Wie realistisch sind klare Regeln für Cyberwaffen? Vergangene Initiativen zur Regulierung anderer Waffen liefern nur bedingt Inspiration, da sich Cyberwaffen in vielen Punkten grundlegend von etablierten Waffenkategorien unterscheiden. Dennoch muss die Regulierungs-Diskussion dringend geführt werden. Insbesondere die Schweiz hat daran ein Interesse.
Unsere Welt wird vernetzter und digitaler und dadurch auch verwundbarer für Attacken auf Infrastruktur und Technologien. Schreckensszenarien wie die Übernahme eines Atomkraftwerks oder die Manipulation der Finanzmärkte existieren seit Längerem – heute wissen wir, dass es sich dabei nicht nur um paranoide Hirngespinste handelt: Stuxnet oder die Cyber-Operationen in Estland 2007 haben den möglichen strategischen Nutzen von Cyberwaffen deutlich aufgezeigt. Und diesen April wurde gar ein ganzer Fernsehsender lahmgelegt. Kein Wunder also, dass etablierte Waffenhersteller versuchen, IT-Wissen für die Entwicklung von Cyberwaffen anzueignen. Die Waffen sind einfach zu bedienen und relativ günstig zu haben – und darum gefragt, auch ausserhalb staatlich kontrollierter Akteure.
Die lauter werdenden Rufe nach einer Regulierung oder gar einem Verbot von Cyberwaffen erstaunen angesichts dieses steigenden Bedrohungspotentials nicht. Auch aus den Reihen der epsitemic community wurde gefordert, internationale Initiativen zur Regulierung von Cyberwaffen anzustossen. So hat beispielsweise Eugene Kaspersky, wohl nicht ganz ohne Hintergedanken, bereits 2012 an der CeBIT Australien die Erarbeitung einer Cyberwaffenkonvention gefordert. Tatsächlich war zu diesem Zeitpunkt die Diskussion auf internationaler Ebene bereits in Gange, denn ein Jahr zuvor reichten Russland und China, zusammen mit Tadschikistan und Usbekistan, einen Entwurf für einen „International code of conduct for information security“ bei der UN Generalversammlung ein, welcher allerdings nicht viel mehr erreichte, als das Thema auf die politische Agenda zu bringen.
Szene aus dem Film WarGames von 1983
Immerhin wird das Thema seither lebhaft an den neu entstandenen Cyberkonferenzen diskutiert. Für diese Diskussion ist die Frage interessant, ob bereits existierende Frameworks als Modell für die Regulierung von Cyberwaffen dienen könnten. Die Liste potentieller Kandidaten ist beachtlich: von den Haager und Genfer Konventionen zum Kriegsrecht über spezifische Konventionen zu einzelnen Waffenkategorien, z.B. für chemische und biologische Kampfstoffe zum Non-Proliferation Treaty für Atomwaffen. Insbesondere die Biological and Toxin Weapons Convention (BTWC) von 1972 und die Convention on Chemical Weapons (CCW) von 1992 werden gerne als valable Inspirationsquellen genannt: Diese Waffenarten sind schwierig zu verfolgen, können sich leicht verbreiten, generieren massive Kollateralschäden und sind Teil der dual-use Problematik.
Kein Copy-Paste
Es gibt aber mehrere triftige Gründe, welche dagegen sprechen, existierenden Frameworks als Grundlage für eine Regulierung von Cyberwaffen zu nehmen:
– Erstens ist die Definitionsfrage überhaupt nicht geklärt. Verschiedene Staaten und Gruppen haben ganz unterschiedliche Ansichten über den Bereich, den Cyberwaffen abdecken. Handelt es sich um einzelne konkrete Programme, um Technologien? Zählen bereits Drohnen zu Cyberwaffen, da sie zusehends autonom agieren? Sollten wir den Fokus überhaupt auf die „Waffen“ lenken oder lieber „best practices“ erarbeiten? Ohne klare Definitionen wird es unmöglich sein, Cyberwaffen zu regulieren.
– Zweitens müssen Cyberwaffen nicht zwingend materieller Art sein. So kann man beispielsweise die Lagerung von Schadsoftware nicht überprüfen, da der Code sich auf unzählige Arten manifestieren und verbreiten kann. Auf Grund des immateriellen Charakters wird das Monitoring verunmöglicht.
– Drittens müsste selbst wenn ein Monitoring möglich wäre, das Framework ständig an sich verändernde Bedrohungen angepasst werden. Cyberwaffen sind leicht verbreitbar und das Know-How zur Herstellung ist ausserhalb staatlich finanzierter Forschung zur Genüge vorhanden. Da keine komplizierte Infrastruktur zur Erschaffung und Verwendung von Cyberwaffen benötigt wird, ist diese Waffenkategorie besonders für nicht-staatliche Akteure interessant. Diese Umstände beschleunigen auch den Entwicklungszyklus von Cyberwaffen. Während bspw. die Entwicklung eines biologischen Kampfstoffes Jahre und Millionen in Anspruch nehmen kann, kann Schadsoftware in ein paar Wochen in einem schlecht belichteten Keller entwickelt werden.
– Viertens lassen sich Cyberwaffen nur sehr schwer, wenn überhaupt, einem bestimmten Akteur zuweisen . Aus genau diesem Grund sind Cyberwaffen auch für Staaten interessant, welche sich Optionen offen halten möchten, welche sie nicht direkt belasten.
– Fünftens spielt die Politik mit: Bei den regulierten Waffenkategorien haben sich die Staaten mehrheitlich darauf geeinigt, dass eine Kontrolle bzw. ein Verbot für sie sinnvoll ist, da die Waffen geringen strategischen Nutzen mit sich bringen. Dies ist für Cyberwaffen aber überhaupt nicht der Fall, im Gegenteil.
Zusammenfassend ergibt sich durch den Charakter von Cyberwaffen ein düsteres Bild auf die bestehenden Frameworks. Zu gross sind die Unterschiede, sowohl in den zur Diskussion stehenden Technologien als auch im politischen Umfeld, als dass man in Bälde ein fixfertiges Framework für Cyberwaffen erwarten dürfte.
Das bedeutet aber nicht, dass es nicht sinnvoll wäre. Erste Resultate hat die Debatte bereits erzielt: beispielsweise die Convention on Cybercrime des Europarats oder das Tallinn Manual, welches in Zusammenarbeit mit dem IKRK entstand. Interessant scheinen auch weniger formalisierte Prozesse wie die Worldwide Cybersecurity Initiative des EastWestInstitute, welche auf Austausch und Dialog zwischen den Cyber40 setzt. Auch kleine Schritte können zum Ziel führen und Staaten könnten das Thema des Code of Conduct erneut aufgreifen und sich selbst best practices im Bezug auf Cyberwaffen geben oder den gegenseitigen Austausch intensivieren.