In der Schweiz sind die Zuständigkeiten staatlich-militärischer Stellen und privater Unternehmen im Bereich der „Cyber-Defence“ theoretisch klar getrennt. Dies macht auch die neue Verordnung über militärische Cyberabwehr deutlich. Faktisch können staatliche und private Akteure die nationale Cyberabwehr aber nicht ohne Zusammenarbeit gewährleisten.
Am 1. März 2019 ist die Verordnung über die militärische Cyberabwehr in Kraft getreten. Der ausschliessliche Zweck dieser Verordnung ist der Eigenschutz und die Selbstverteidigung der Schweizer Armee vor Cyberangriffen. Eine Gesamtverantwortung der Armee für die Verteidigung der Schweiz wird explizit ausgeschlossen. Die Armee übernimmt folglich keine Verantwortung für den Schutz privater Akteure wie Unternehmen oder Betreiber vitaler Versorgungseinrichtungen, sogenannter kritischer Infrastrukturen wie Strom-, Wasser-, Lebensmittelversorgung, Telekommunikation oder Verkehr. Doch gerade Cyberangriffe auf kritische Infrastrukturen können zu prekären Zuständen führen, wie sich im aktuellen Beispiel von Venezuela zeigt.
Eine klare Trennung von staatlich-militärischer und privater Cyberabwehr mag aus rechtlich-theoretischer Sicht sinnvoll erscheinen. Ob man damit den realen Anforderungen an die nationale Cybersicherheit gerecht wird, erscheint allerdings fraglich.
Die Schweizer Cyberstrategie
Die nationale Cyberstrategie betrachtet den Schutz der Schweiz vor Cyber-Risiken grundsätzlich als gemeinschaftliche Aufgabe von Gesellschaft, Wirtschaft und Staat, fügt aber an, dass die Verantwortungen und Zuständigkeiten klar definiert seien. Im Sinne einer subsidiären Rolle des Staates übernimmt dieser nur dann die Verantwortung, wenn private Akteure nicht willens oder nicht dazu in der Lage sind. Weil nun aber gemäss der Verordnung eine Gesamtverantwortung der Armee ausgeschlossen wird, wird diese konsequenterweise nicht subsidiär tätig, wenn im Rahmen der Abwehr privater Akteure eine Durchführung aktiver (Abwehr-) Massnahmen erforderlich wird. Im Fall der kritischen Infrastrukturen wird dies damit begründet, dass im Hinblick auf Cyber-Risiken im Gegensatz zu den konventionellen Risiken noch wenig militärische Mittel vorhanden sind, um die Betreiber subsidiär bei der Ereignisbewältigung zu unterstützen. Zwar steht den Betreibern kritischer Infrastrukturen zur Unterstützung bei Cybervorfällen gegenwärtig die staatliche Melde- und Analysestelle Informationssicherung zur Verfügung. Diese besitzt im Rahmen der aktiven Cyberabwehr allerdings keinerlei Handlungskompetenzen, wie sie die Armee innehat.
Völkerrechtliche Voraussetzungen der Cyberabwehr
Durch den Bundesrat bewilligungspflichtige, aktive Massnahmen der Cyberabwehr sind unter anderem sogenannte Gegenmassnahmen, die das Eindringen in ausländische Computersysteme erfordern. Will die Schweiz eine Gegenmassnahme erwägen, müssen zwei Voraussetzungen erfüllt sein: Erstens muss der fragliche Cyberangriff gegen Völkerrecht verstossen, und zweitens muss der Cyberangriff, auch wenn er durch einen privaten Akteur versursacht wird, einem anderen Staat zurechenbar sein. In Frage kommen somit zwischenstaatliche Cyberangriffe, die einen unerlaubten Eingriff in die staatliche Souveränität darstellen oder das völkerrechtliche Interventions- bzw. Gewaltverbot verletzen. Ist eine der genannten völkerrechtlichen Bestimmungen verletzt worden, so kann mit einer Gegenmassnahme reagiert werden. Gegenmassnahmen sind ausschliesslich den Völkerrechtssubjekten, namentlich Staaten und deren Organen wie der Armee, vorbehalten.
De-facto-Vermischung von staatlicher und privater Cyberabwehr
Gegen eine strikte Trennung von staatlich-militärischer und privater Cyberabwehr sprechen Erfahrungswerte, wie sie beispielsweise in den USA vorliegen. Im Hinblick auf die Fähigkeit zur Informationsbeschaffung und Zurechnung von Cyberangriffen, hat sich in den letzten Jahren gezeigt, dass es grösstenteils private Unternehmen waren, denen eine Zurechnung der fraglichen Cyberangriffe an die verantwortlichen Staaten gelungen ist. Beispielhaft genannt sei der „Office of Personnel-Hack“ im Jahr 2015, als über Cyberattacken auf das US-amerikanische Office for Personnel Management persönliche Daten und Sicherheitsreports von mehr als 21 Millionen Bundesangestellten gestohlen wurden. Darunter befanden sich auch Fingerabdrücke von 5,6 Millionen Angestellten, mittels derer sich Zugang zu gesicherten staatlichen Einrichtungen verschaffen liesse. Der damalige Direktor des FBI James B. Comey bezeichnete diesen Vorfall als „a very big deal from a national security perspective and from a counterintelligence perspective”. Schliesslich war es das private Cybersecurity-Unternehmen „CrowdStrike”, welche die staatlich gelenkten Hacker dank seiner Fähigkeit zur Informationsbeschaffung identifizieren und diese China zurechnen konnte. Die US-amerikanische Regierung profitierte insofern, als sie nur dank der erfolgten Zurechnung die chinesische Regierung dafür belangen konnte und völkerrechtskonform Gegenmassnahmen hätte ergreifen können. Die nationale Cybersicherheit konnte in diesem und zahlreichen weiteren Beispielen nur dank einer überraschend guten Zusammenarbeit zwischen staatlich-militärischen und privaten Akteuren funktionieren.
Eigenverantwortung vs. Gesamtverantwortung
Staaten dürfen nur dann Gegenmassnahmen ergreifen, falls eine Zurechnung an einen anderen Staat möglich ist. Wie das angeführte Beispiel zeigt, sind private Unternehmen oftmals besser dazu fähig und ausgerüstet als eine staatliche Stelle wie die Armee. Es ist durchaus denkbar, dass der Staat im Rahmen der Zurechnungsvornahme auf die Unterstützung privater Akteure angewiesen sein wird, wenn er – gegebenenfalls auch militärische – Aktionen im Cyberraum ausführen will. Zudem ist nicht auszuschliessen, dass in manchen Fällen selbst die technische Fähigkeit zur Durchführung von Gegenmassnahmen im Cyber-Raum ebenfalls bei einem privaten Akteur zu suchen und zu finden ist.
Unter Berücksichtigung einer solchen (potenziellen) Abhängigkeit der staatlich-militärischen Cyberabwehr von privaten Akteuren, scheint es nicht sachgerecht, eine Gesamtverantwortung der Armee auszuschliessen. Denn auch private Unternehmen und insbesondere Betreiber kritischer Infrastrukturen können wesentlich auf die Handlungsbereitschaft staatlich-militärischer Stellen angewiesen sein. Dies ganz besonders, wenn private Unternehmen im Rahmen der Cyberabwehr auf militärische Ressourcen zurückgreifen müssen oder mangels Status als Völkerrechtssubjekt keine Gegenmassnahmen ergreifen können. Wenn es um die nationale Cybersicherheit geht, muss das volle Potenzial ausgeschöpft werden – und dies gelingt nur auf der Grundlage gegenseitiger Gesamtverantwortungsgefühle.
Image: Unsplash