Deutsches Regierungsnetz gehackt: Angriff aus der Grau­zone

Gastkommentar von Simon Gauseweg

01.03.2018

Ein Hackerangriff auf das Regierungsnetz sorgt in Berlin für große Besorgnis. Sollte die russische Regierung dahinter stecken, stellt sich die Frage, wie darauf zu reagieren ist. Simon Gauseweg gibt einen völkerrechtlichen Überblick.

Etwa einmal pro Woche sollen ausländische Nachrichtendienste informationstechnische Netze der deutschen Verwaltung angreifen, so kürzlich die Antwort der Bundesregierung auf eine kleine Anfrage der Fraktion Die Linke im Bundestag.

Irgendwann im Jahr 2017, vielleicht schon früher, hatte ein solcher Angriff offenbar Erfolg. Betroffen ist der sogenannte Informationsverbund Berlin-Bonn, das Datennetz der Bundesregierung. Über dieses Netz wickeln nicht nur Bundesministerien, sondern auch das Bundeskanzleramt, der Bundesrat und "Sicherheitsbehörden in Berlin, Bonn und an weiteren Standorten" (was auch Nachrichtendienste umfassen dürfte) nahezu vollständig ihre Kommunikation ab.

Wohl über Monate hinweg haben Hacker das Netzwerk infiltriert und konnten möglicherweise Daten abgreifen. Bereits seit Dezember sollen Sicherheitsbehörden versuchen, sich ein Bild vom Ausmaß des Schadens zu machen. Es ist anzunehmen, dass auch die Bundesanwaltschaft bereits ermittelt, etwa gegen die Hackergruppe "APT28", die hinter dem Angriff stecken soll.

Was aber wäre das rechtliche Instrumentarium, um auf diesen Angriff zu antworten? Die verdächtigte Hackergruppe wird von Seiten der Sicherheitsbehörden der russischen Regierung zugerechnet. Soll heißen: Letztlich könnte ein anderer Staat für den Angriff verantwortlich sein. Wenn das zutrifft, reicht das deutsche Strafgesetzbuch nicht mehr aus und die Handlung ist nach völkerrechtlichen Gesichtspunkten zu bewerten.

Die Grauzone zwischen verboten und erlaubt

Leichter wird es dadurch nicht, denn eine klare Regelung zur Spionage ist im Völkerrecht nicht enthalten. So existieren weder völkerrechtliche Verträge, die die Spionage ächten, noch solche, die sie gestatten. Eine einsame Ausnahme findet sich im Diplomatenrecht, das die Unantastbarkeit von Archiven und Korrespondenz von Botschaften und diplomatischen Missionen regelt. Ansonsten: Allseitiges Schweigen.

Auch zur Praxis, die in Verbindung mit einer entsprechenden Rechtsüberzeugung eine gewohnheitsrechtliche Regelung schaffen könnte, schweigen sich die Staaten aus: Zwar dürfte wohl jeder Staat einen Geheimdienst unterhalten und seine Nachbarn bespitzeln. Dass sie dazu aber tatsächlich berechtigt seien, sprechen die wenigsten offen aus – denn dann müssten sie diese Berechtigung ja auch gegen sich selbst gelten lassen.

So aber stellt wohl jeder Staat die Spionage gegen sich selbst unter Strafe – und schreibt den eigenen Spionen gleichzeitig die gesetzliche Befugnis zum Schnüffeln im Ausland zu. Dieses widersprüchliche Verhalten verhindert sowohl ein gewohnheitsrechtliches Verbot, als auch eine gewohnheitsrechtliche Erlaubnis. Auch einen "allgemeinen Rechtsgrundsatz", also eine in allen nationalen Rechtsordnungen der Staaten enthaltene Regel scheidet aus. Denn die Staaten schützen nur jeweils sich selbst, nicht aber andere vor Spionage.

Verstoß gegen die Souveränität

Bestenfalls könnte man hier Rückgriff auf das sogenannte Lotus-Prinzip, zurückgehend auf den Ständigen Internationalen Gerichtshof, nehmen. Es sagt aus, dass völkerrechtlich erlaubt ist, was nicht völkerrechtlich verboten ist. Die Staaten haben also völlige Handlungsfreiheit, solange sie nicht gegen Verbotsnormen verstoßen.

Verboten ist es allen Staaten, die Souveränität anderer Staaten anzutasten. Insbesondere dürfen sie sich nicht in innere Angelegenheiten anderer Staaten einmischen. Dass sich die Souveränität eines Staates auch auf seine Datennetze erstreckt, ist international wohl anerkannt. Dann aber verstößt ein unberechtigter Zugriff gegen die Souveränität des betroffenen Staates.

Insofern verbleiben Spionagetätigkeiten bestenfalls in einer rechtlichen Grauzone. Zuweilen wird vertreten, es läge eine non-liquet-Situation vor, d.h. der Bereich entziehe sich grundsätzlich einer Regelung. In jedem Falle kommt es hinsichtlich der rechtlich zulässigen Antworten auf die Umstände des konkreten Einzelfalles an.

Ein "kriegerischer Akt"?

Diese Umstände sind gravierend, hatten die Hacker immerhin Zugriff auf die Daten oberster Bundesbehörden und damit wohl auf so manches Staatsgeheimnis. Der Vergleich mit einem Atomschlag, wie er medial bereits angestellt wurde, erscheint dennoch etwas weit hergeholt: Ein solcher würde die Anwendbarkeit des Selbstverteidigungsrechts nach Art. 51 der Charta der Vereinten Nationen (VNCh) eröffnen. Damit dürfte Deutschland auch militärisch auf den Cyber-Angriff antworten.

Zwar ist die militärische Selbstverteidigung in einigen Cybersicherheitsstrategien durchaus als Option gegen Cyber-Angriffe angelegt. Eine rechtliche Grundlage dürfte sie jedoch nur dann finden, wenn diese Angriffe unmittelbar zu Schäden führen, die in Ausmaß und Wirkung dem Einsatz konventioneller Waffen gleichkommen. Hier liegt ein solcher "kriegerischer Akt" nicht vor, eine militärische Reaktion scheidet daher aus. Ohnehin dürfte eine derartige Eskalation von niemandem beabsichtigt sein.

Von diplomatischem Protest und Gegenmaßnahmen

Das Völkerrecht eröffnet aber auch die Möglichkeit von "Gegenmaßnahmen". Dieses Instrument erlaubt es Staaten auf Rechtsbrüche durch eigenen Pflichtverstoß zu reagieren, um den Rechtsbrecher zur Einhaltung seiner Pflichten anzuhalten.

Voraussetzung hierfür ist jedoch wiederum die Verletzung einer völkerrechtlichen Verpflichtung. Da der unberechtigte Zugriff auf ein Regierungsnetz die Sicherheit des Staates in seinem Kern zu betreffen vermag, liegt eine solche Pflichtverletzung vor. Denn die Souveränität der Bundesrepublik vor Einmischungen in ihre inneren Angelegenheiten (namentlich die exklusive Nutzung regierungsinterner Netze) ist angetastet.

Könnte der Angriff einem Staat zugerechnet werden, hätte Deutschland das Recht, diesen für sein Fehlverhalten zu sanktionieren. Die Bundesregierung dürfte z.B. ihrerseits dessen Netzwerke kompromittieren (sog. "Hack-Back") oder aber auf Wirtschaftssanktionen zurückgreifen.

Warum es bei Protesten bleiben wird

Darüber hinaus stände ihr die Änderung oder gar der Abbruch diplomatischer Beziehungen, die Ausweisung von Diplomaten oder auch Protest beim Verantwortlichen oder den Vereinten Nationen offen. Diese diplomatischen Möglichkeiten stehen grundsätzlich offen und müssen weder juristisch gerechtfertigt, noch begründet werden.

Bei diesen Möglichkeiten dürfte die deutsche Reaktion aber – wenn überhaupt – ihr Bewenden haben. Denn die Krux mit Cyber-Operationen ist nicht deren rechtliche Einordnung. Hier bietet auch das Völkerrecht, wie gezeigt, prinzipiell ausreichend Grundlage. Entscheidend ist vielmehr die Frage der Zurechnung: Cyber-Spione hinterlassen in der Regel noch weniger Spuren, als das bei Spionage ohnehin bereits der Fall ist. Der Versuch, der russischen oder einer anderen Regierung eine Verantwortung für den Angriff nachzuweisen, wird sich als schwierig erweisen.

Ohne eine sichere Attribuierung sind aber Gegenmaßnahmen über Proteste und diplomatische Maßnahmen hinaus völkerrechtlich unzulässig. Die Bundesregierung wäre daher gut beraten, vor allem auf eine Verbesserung ihrer IT-Sicherheit zu setzen, statt auf zum Scheitern verurteilte Abschreckungsversuche.

Der Autor Dipl.-Jur. Simon Gauseweg, LL.B. ist akademischer Mitarbeiter am Lehrstuhl für Öffentliches Recht, insbesondere Völkerrecht, Europarecht und ausländisches Verfassungsrecht an der Europa-Universität Viadrina Frankfurt (Oder). Er forscht dort unter anderem zu völker- und verfassungsrechtlichen Aspekten moderner Kriegsführung.

Zitiervorschlag

Simon Gauseweg, Deutsches Regierungsnetz gehackt: Angriff aus der Grauzone . In: Legal Tribune Online, 01.03.2018 , https://www.lto.de/persistent/a_id/27283/ (abgerufen am: 13.12.2018 )

Infos zum Zitiervorschlag
Kommentare
  • 01.03.2018 14:56, bergischer löwe

    Das beA muss kommen, schnell und für alle Anwälte verpflichtend - sofort!

    Auf diesen Kommentar antworten
    • 01.03.2018 15:54, M.D.

      Genau! Mit dem beA wäre das nicht passiert. Ich fordere: bea für alle!
      Am Besten die Gebühr gleich zusammen mit dem Rundfunkbeitrag einziehen.

  • 01.03.2018 20:24, Rainer Breitrück,+Rechtsanwalt

    Da war doch wieder ATOS im Spiel, oder ?

    Auf diesen Kommentar antworten
  • 02.03.2018 16:34, Oberlehrer

    Die BRAK schreibt ja auch heute noch, dass das beA eine Ende-zu-Ende-Verschlüsselung habe: http://bea.brak.de/wie-sicher-ist-das-bea/sichere-nachrichtenuebermittlung/

    Egal wie das beA tatsächlich technisch konstruiert ist, für die BRAK ist es E2EE und sicher.

    Auf diesen Kommentar antworten
  • 02.03.2018 22:21, ReisenderAmBER

    Jedenfalls im Augenblick ist das BeA sicherer als jedes andere Netzwerk...

    Auf diesen Kommentar antworten
  • 04.03.2018 08:17, Paddington

    Für den Fall das sich tatsächlich mal irgendwann ein "Tatnachweis" führen lassen würde, eine interessante Betrachtung. Allerdings unterliegen die Beschuldigungen bei diesem Thema dann doch zu sehr dem Zeitgeist. Nach dem Jahrtausendwechsel wurden solche Straftaten ganz gerne "den Chinesen" zu geschrieben, zwischen durch durften auch mal "die Nordkoreaner" herhalten und wegen der aktuellen Spannungen mit "den Russen" geht man natürlich davon das im Auftrag von Herrn Putin gehackt wird. Wirkliche Anhaltspunkte für eine Beteiligung "der Russen" gibt es nicht wirklich. Eine Paar Kommentarzeilen im Quellcode eines Programms als Ausgangspunkt für völkerrechtliche Gedankenspiele zu nehmen mutet schon sehr befremdlich an.

    Auf diesen Kommentar antworten
Neuer Kommentar