Ukraine-Krieg: Das Cyber­crime von Anony­mous

Seit Beginn des Einmarschs der russischen Truppen in die Ukraine in der vergangenen Woche fällt vermehrt der Begriff "Cyberwar", wenn von Attacken Russlands gegen die Ukraine und umgekehrt der Ukraine gegen Russland im Internet gesprochen wird.  

Cyberattacken werden dabei nicht selten gleichgesetzt mit kriegerischen Akten im digitalen Raum. Dabei zu beachten ist jedoch, dass Cyberangriffe auf staatliche, militärische oder zivile Infrastrukturen nicht automatisch als "Krieg" im Sinne des Völkerrechts zu klassifizieren sind. Der völkerrechtliche Begriff setzt an dieser Stelle grundsätzlich zwei Aspekte voraus: den bewaffneten Kampf zwischen zwei Staaten und den Eintritt eines Kriegszustandes beispielsweise in Form einer Kriegserklärung. Umstritten ist dabei insbesondere, wie der Einsatz ziviler Akteure zu bewerten ist und wann ein Cyberangriff tatsächlich die Schwelle zum bewaffneten Konflikt überschreitet. Das Völkerrecht findet auf Cyberwarfare im Ergebnis jedoch genauso Anwendung wie bei mit konventionellen Mitteln geführten Angriffen.

Soweit es unmittelbare Cyber-Gegenschläge der Ukraine mit dem Ziel russischer Infrastruktur anbelangt, kann man durchaus von Cyberwar sprechen, da ein bewaffneter Konflikt mit Russland vorliegt, der durch Instrumente der Cyber-Kriegsführung flankiert wird und hier das völkerrechtliche Selbstverteidigungsrecht gilt. Relevant für die rechtliche Würdigung ist hier zusätzlich das Tallinner Handbuch ("Talllinn Manual") in seiner aktuellen Fassung. Es enthält Regeln, an denen sich Staaten im Falle von Cyberangriffen orientieren können.

Cybercrime statt Cyberwar

Anders aber sieht es aus, wenn Privatpersonen und Hackerkollektive wie Anonymous auf Eigeninitiative hin tätig werden, denn sie können als lose Zusammenschlüsse von Einzelpersonen oder Organisationen insoweit nicht den "Krieg erklären" – auch wenn sie dies in Medien und im Netz so kommunizieren –, sondern werden auf eigene Verantwortung hin tätig – und das ist letztlich nichts anderes als eine Form von internationaler "Cybercrime"“, aber eben kein Cyberwar.

Ohnehin stellt sich die Frage nach der Sinnhaftigkeit von derlei eigenmächtigen Operationen, die im Zweifelsfall nur mehr Schaden hervorrufen, als sie nützen, und dies unter dem Deckmantel des selbsternannten "Weltretters". So sind solche Einmischungen ohne Attribution, d.h. ohne die Kennzeichnung von Kombattanten nicht nur rechtlich hoch problematisch, sondern auch deshalb, weil Kritische Infrastrukturen in ihrer Funktion beeinträchtigt werden und so die russische Zivilbevölkerung im Zweifelsfall unmittelbar betroffen ist.  

Überdies ist es ohne vernünftige Zurechnung ebenso möglich, dass sich andere Staaten in der Form von verdeckten nachrichtendienstlichen Operationen in einen bestehenden Kriegszustand einmischen und sich diesen durch Organisationen wie Anonymous zu ihrem eigenen Vorteil zunutze machen.

"Rein defensive Verteidigung gegen Cyberbedrohungen in Deutschland"  

Mit Blick auf die Lage in Deutschland ist festzustellen, dass wir gegenwärtig nicht von einem Cyberwar sprechen können, denn Deutschland befindet sich nicht in einem Krieg mit Russland, weder mit konventionellen noch mit Cyberwaffen im Sinne einer Effekt-Äquivalenz zu der herkömmlichen Kriegsführung.

Die rein defensive Verteidigung gegen Cyberbedrohungen, die es schon seit jeher gibt, hat insoweit erst einmal nichts mit dem Cyberwar im Sinne des Völkerrechts zu tun, sondern ist vorrangig eine Frage der inneren Sicherheit. Deutschland hat seit 2015 eine umfassende IT-Sicherheitsgesetzgebung, Cybersicherheitsstrategie und Behördenorganisation aufgebaut, um Kritische Infrastrukturen, die für die Grundversorgung der Bevölkerung wichtig sind, zu schützen. Außerdem bestehen auch für Unternehmen der Privatwirtschaft jenseits von KRITIS mittlerweile allgemeine rechtliche Anforderungen, dem Stand der Technik entsprechende IT-Sicherheitsmaßnahmen umzusetzen. Diese werden durch das neue IT-Sicherheitsgesetz 2.0 flankiert.  

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Meldestelle für IT-Sicherheit in Deutschland und sammelt Informationen, wertet diese aus, erstellt Lagebilder und koordiniert Abwehrmaßnahmen. Das CERT-Bund kann in Notfallsituationen unterstützen. Das Nationale Cyber-Abwehrzentrum (NCAZ) als Kooperationsplattform koordiniert behördenübergreifend Schutz- und Abwehrmaßnahmen für IT-Sicherheitsvorfälle. Über die EU-Cybersicherheitsbehörde ENISA finden Koordination, Kooperation und Informationsaustausch auch auf der europäischen Ebene statt. Außerdem verfügt die EU über eine Toolbox zur Cyber-Diplomatie und es können entsprechende Sanktionen verhängt werden.  

Bundeswehr wäre für "digitalen Gegenschlag" zuständig

Verschiedene Vorfälle in der jüngeren Vergangenheit haben aber gerade gezeigt, dass Kommunen und staatliche Einrichtungen in Deutschland nicht selten das Ziel von erfolgreichen Cyberangriffen sind. Hier bestehen mit Blick auf die Cyberabwehr noch erhebliche Lücken und der Staat ist gefordert, tätig zu werden, denn auch er stellt mit seiner Organisationsstruktur eigentlich eine Kritische Infrastruktur dar, die mindestens denselben technisch-organisatorischen Anforderungen zur Cybersicherheit wie der übrige KRITIS-Sektor genügen müsste.

Wenn Deutschland tatsächlich aktiv in den Russland-Ukraine-Krieg einbezogen würde und sich die Frage nach einem "digitalen Gegenschlag" stellt, muss differenziert werden. Die Bundesregierung hat 2019 ein internes Konzeptpapier erarbeitet, in dem von einem vierstufigen Raster mit Cyber-Gegenmaßnahmen unterschiedlicher Intensität die Rede ist, angefangen bei der Blockade/Umleitung von schadhaftem Datenverkehr, bis hin zu offensiven hardwarebezogenen Maßnahmen.  

Für einen solchen digitalen Gegenschlag, der durchaus schon dem völkerrechtlich verstandenen Cyberwar zuzuordnen sein dürfte, sind aber nicht diejenigen Behörden zuständig, die operative Cybersicherheit betreiben, wie BSI, Verfassungsschutz, Polizeien oder Nachrichtendienste, sondern einzig und allein die Bundeswehr mit dem Kommando Cyber- und Informationsraum (KdoCIR) und dem Zentrum Cyber-Operationen (ZCO).

Hohe verfassungsrechtliche Hürden

Ein Tätigwerden der Bundeswehr im CIR setzt wiederum voraus, dass die hohen verfassungsrechtlichen Hürden für den Einsatz deutscher Streitkräfte erfüllt sind, wie sie durch das Grundgesetz vorgegeben werden. So setzt der Einsatz der Bundeswehr grundsätzlich einen Verteidigungsfall als Reaktion auf eine militärische Gewaltanwendung voraus, die von außen kommt.  

Dabei dürfte die Erheblichkeitsschwelle zur militärischen Angriffsqualität bei reinen Cyber-Angriffen nur dann überschritten sein, wenn die schädigenden Auswirkungen des Cyber-Angriffs in der realen Welt ein bestimmtes Maß überschreiten, sodass zur Abwehr des Angriffs die gängigen polizeilichen Mittel nicht mehr ausreichen. Sollten diese Voraussetzungen des Selbstverteidigungsrechts nicht erfüllt sein, wären Offensivmaßnahmen der Bundeswehr im digitalen Raum als "act of aggression" völkerrechtswidrig.

Aufgrund der hohen verfassungsrechtlichen Hürden dürfte deshalb davon auszugehen sein, dass eine Verwicklung Deutschlands in einen Cyberwar zumindest zurzeit noch nicht naheliegt – es sei denn, es soll der Ukraine als einem angegriffenen Staat militärischer Beistand geleistet werden. Selbst für diesen Fall erscheint jedoch die Unterstützung mit konventionellen militärischen Mitteln naheliegender, da der Cyberwar allein nicht kriegsentscheidend sein wird.

Prof. Dr. Dennis-Kenji Kipker lehrt IT-Sicherheitsrecht an der Universität Bremen. Er ist u.a. Mitglied des Vorstands der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) und der unabhängigen AG KRITIS. Zu seinen Schwerpunktgebieten zählen Cybersecurity, Polizei- und Nachrichtendienstrecht, internationales IT-Recht sowie digitale Souveränität.