Navigation auf uzh.ch
Navigation auf uzh.ch
UZH News: Herr Melzer, inwiefern macht eine Zusammenarbeit der Schweiz mit der NATO in Fragen der Cyber-Verteidigung Sinn?
Melzer: Cyberattacken betreffen unser Land potenziell ebenso stark wie die Mitgliedstaaten der NATO. Es macht also sicher Sinn, die Kompetenzen im Bereich Cyber-Sicherheit zu bündeln und nach gemeinsamen Abwehrstrategien zu suchen, ganz besonders bei der Bekämpfung von wirtschaftlicher, extremistischer, aber auch militärischer Internetkriminalität.
Inwiefern findet der «Cyberkrieg» schon statt?
Ein breites Bewusstsein für die Gefahr militärischer Cyberattacken erwachte erstmals in den 1990er Jahren. Durch die Terroranschläge von 9/11 und die militärischen Konfrontationen im Irak und in Afghanistan wurde es vorübergehend in den Hintergrund gedrängt. Das Thema wurde auf einen Schlag wieder aktuell, als 2007 der estnische Staat Opfer grossangelegter Attacken wurde.
Die nächsten prominenten Cyber-Attacken betrafen 2008 Georgien und 2010 eine Atomanlage des Iran. Abgesehen davon sind sowohl private Unternehmen wie staatliche Stellen täglich Tausenden von Angriffen über das Internet ausgesetzt. Aus Gründen der Geheimhaltung erfährt die Öffentlichkeit aber nur wenig davon. In diesem Sinne ist der Cyberkrieg also durchaus real.
Inwiefern ist es berechtigt, dabei von «Krieg» zu sprechen?
Selbstverständlich muss man militärische und wirtschaftliche Spionage sowie die verschiedenen Formen von Internetkriminalität von eigentlichen bewaffneten Konflikten im Sinne des Kriegsvölkerrechts unterscheiden. Aber bereits bei klassischen Bürgerkriegssituationen sind die Grenzen zwischen Kriminalität und Krieg fliessend geworden. Dasselbe gilt auch im Cyberspace.
Hier kommt erschwerend hinzu, dass die Urheberschaft von Cyberattacken leicht verdeckt und somit gefälscht werden kann. Wer dahinter steckt, lässt sich somit kaum verlässlich bestimmen. Bei den Angriffen gegen Estland und Georgien wurde teilweise der russische Staat, beim Angriff auf die iranische Atomanlage Israel als Urheber der Attacken vermutet. Bewiesen ist das allerdings bis heute nicht, es sind auch andere Angreifer denkbar.
Wer verfügt überhaupt über das Wissen, um solche Angriffe zu lancieren?
Zu vergleichsweise simplen Aktionen wie so genannten «Denial of Service»-Attacken im Falle von Estland sind grundsätzlich auch private Gruppierungen fähig. Demgegenüber setzen ausgeklügelte Cyberwaffen, wie etwa der «Stuxnet»-Wurm 2010 gegen den Iran, technische Kapazitäten voraus, welche bisher nur Staaten zur Verfügung stehen.
Dass auch terroristische Gruppierungen Cyberattacken lancieren, lässt sich somit nicht ausschliessen. Die Presse berichtete kürzlich, dass es Aufständischen in Afghanistan gelungen sein soll, den privaten Email-Verkehr amerikanischer Armeeangehöriger auszuspionieren. Sie gelangten dadurch an militärisch wichtige Informationen, die sie in konkreten Kampfhandlungen ausnutzen konnten.
Wie steht es um die technischen Kapazitäten der Staaten im Bereich Cyberspace?
Immer mehr Länder wie etwa die USA, China, Indien sowie Nord- und Südkorea bauen innerhalb ihrer militärischen Strukturen Cyberkommandos auf. Analog zu den «Atommächten» kann man heute von «Cybermächten» sprechen. Obwohl offiziell die Verteidigung im Vordergrund steht, gehe ich davon aus, dass diesen Cyberkommandos auch offensive Funktionen übertragen werden.
Der Begriff Krieg impliziert Tötung und materielle Zerstörung. Sind Cyberattacken dazu fähig?
Bisher entstand vor allem wirtschaftlicher Schaden und solcher aufgrund von Spionage. Das kann sich jedoch sehr schnell ändern, wenn wichtige Infrastrukturen wie etwa Spitäler oder die Energie-, Wasser-, und Lebensmittelversorgung zur Zielscheibe von Cyberattacken werden.
Oder denken Sie an einen provozierten Zusammenbruch des Fluglotsensystems über einem Flughafen. Die Erfahrung zeigt leider, dass der Mensch das zerstörerische Potenzial einer grundsätzlich zivilen Technologie früher oder später fast unweigerlich auch als Kriegswaffe einzusetzen versucht. Die Gefahr grosser Cyberangriffe ist daher durchaus ernst zu nehmen.
Inwiefern unterscheidet sich die Konfliktaustragung über das Internet rechtlich von herkömmlichen Kriegen?
Eine grosse Herausforderung stellt etwa die globale, nicht-territoriale Dimension des Internets dar. Staatliche Organe wie auch Private können beispielsweise per Internet unentdeckt ihre eigenen oder fremde Staatsbürger in anderen Staaten bespitzeln. Das wirft Fragen nach der Hoheitsgewalt im Internet auf: Welcher Staat ist dafür verantwortlich, die menschenrechtlich garantierte Privatsphäre des Individuums im Internet zu schützen?
Oder: Wann liegt eine Verletzung der Souveränität eines Staates vor? Wann ist eine Cyberattacke als Kriegshandlung zu betrachten, so dass sie die Anwendbarkeit des Kriegsvölkerrechts und das militärische Selbstverteidigungsrecht des betroffenen Staates auslöst? Welche Form von Verteidigung wäre verhältnismässig? Könnte ein Cyber-Angriff allenfalls gar eine Bedrohung für den Weltfrieden darstellen und somit eine Intervention des UNO-Sicherheitsrats rechtfertigen? Unzählige Fragen warten darauf, einem internationalen Konsens zugeführt zu werden.
Zu solchen Fragen besteht keine Einigkeit in der Staatengemeinschaft?
Nein. Obwohl man sich seit einiger Zeit um vertrauensbildende Massnahmen bemüht, halten die Staaten die militärische Kapazität ihrer Cyber-Streitkräfte weitgehend geheim. Es besteht die Gefahr eines Wettrüstens zwischen den wichtigsten Cybermächten.
Die Fronten verlaufen dabei ähnlich wie zur Zeit des Kalten Krieges. Auf der einen Seite stehen insbesondere die USA und Grossbritannien, denen vor allem staatlich geduldete, grenzüberschreitende Cyberkriminalität ein Dorn im Auge ist. Sie wollen bei einer ernsthaften Bedrohung aus dem Cyberspace möglichst rasch auch mit konventionellen militärischen Mitteln reagieren können.
Auf der anderen Seite stehen vor allem Russland und China, die sich vorschnell als Angreifer gebrandmarkt sehen. Sie stellen vor allem den Schutz ihrer staatlichen Souveränität und das zwischenstaatliche Interventionsverbot im Internet in den Vordergrund. Gleichzeitig wollen sie das Internet weitgehend kontrollieren können, um Kriminalität und innere Unruhen zu bekämpfen.
Wie sähe eine Lösung auf internationaler Ebene aus?
Fernziel ist meines Erachtens ein multilaterales Abkommen, welches die genannten offenen Fragen klärt. Davon sind wir aber weit entfernt. Ich plädiere in der derzeitigen Situation für einen unverbindlichen Verhaltenskodex. Darin sollten sich die Staaten vor allem zusichern, dass sie gewillt sind, geltendes Recht grundsätzlich auch im Internet zu beachten, also etwa die Wahrung der Menschenrechte, des humanitären Völkerrechts oder die Souveränität der anderen Staaten.
Darüber hinaus könnte ein solcher Verhaltenskodex auch Empfehlungen und sogenannte «Good Practices» zu verantwortungsvollem Verhalten von Staaten im Cyberspace enthalten. Dies alles wäre zwar unverbindlich, hätte aber eine konsens- und vertrauensbildende Wirkung.
Das gegenseitige Misstrauen ist im Moment gross. Die traditionell anerkannten guten Dienste und die grosse internationale Glaubwürdigkeit der neutralen Schweiz könnten eine Schlüsselrolle spielen, dies zu ändern.
