Ein Hackerangriff auf das Regierungsnetz sorgt in Berlin für große Besorgnis. Sollte die russische Regierung dahinter stecken, stellt sich die Frage, wie darauf zu reagieren ist. Simon Gauseweg gibt einen völkerrechtlichen Überblick.
Etwa einmal pro Woche sollen ausländische Nachrichtendienste informationstechnische Netze der deutschen Verwaltung angreifen, so kürzlich die Antwort der Bundesregierung auf eine kleine Anfrage der Fraktion Die Linke im Bundestag.
Irgendwann im Jahr 2017, vielleicht schon früher, hatte ein solcher Angriff offenbar Erfolg. Betroffen ist der sogenannte Informationsverbund Berlin-Bonn, das Datennetz der Bundesregierung. Über dieses Netz wickeln nicht nur Bundesministerien, sondern auch das Bundeskanzleramt, der Bundesrat und "Sicherheitsbehörden in Berlin, Bonn und an weiteren Standorten" (was auch Nachrichtendienste umfassen dürfte) nahezu vollständig ihre Kommunikation ab.
Wohl über Monate hinweg haben Hacker das Netzwerk infiltriert und konnten möglicherweise Daten abgreifen. Bereits seit Dezember sollen Sicherheitsbehörden versuchen, sich ein Bild vom Ausmaß des Schadens zu machen. Es ist anzunehmen, dass auch die Bundesanwaltschaft bereits ermittelt, etwa gegen die Hackergruppe "APT28", die hinter dem Angriff stecken soll.
Was aber wäre das rechtliche Instrumentarium, um auf diesen Angriff zu antworten? Die verdächtigte Hackergruppe wird von Seiten der Sicherheitsbehörden der russischen Regierung zugerechnet. Soll heißen: Letztlich könnte ein anderer Staat für den Angriff verantwortlich sein. Wenn das zutrifft, reicht das deutsche Strafgesetzbuch nicht mehr aus und die Handlung ist nach völkerrechtlichen Gesichtspunkten zu bewerten.
Die Grauzone zwischen verboten und erlaubt
Leichter wird es dadurch nicht, denn eine klare Regelung zur Spionage ist im Völkerrecht nicht enthalten. So existieren weder völkerrechtliche Verträge, die die Spionage ächten, noch solche, die sie gestatten. Eine einsame Ausnahme findet sich im Diplomatenrecht, das die Unantastbarkeit von Archiven und Korrespondenz von Botschaften und diplomatischen Missionen regelt. Ansonsten: Allseitiges Schweigen.
Auch zur Praxis, die in Verbindung mit einer entsprechenden Rechtsüberzeugung eine gewohnheitsrechtliche Regelung schaffen könnte, schweigen sich die Staaten aus: Zwar dürfte wohl jeder Staat einen Geheimdienst unterhalten und seine Nachbarn bespitzeln. Dass sie dazu aber tatsächlich berechtigt seien, sprechen die wenigsten offen aus – denn dann müssten sie diese Berechtigung ja auch gegen sich selbst gelten lassen.
So aber stellt wohl jeder Staat die Spionage gegen sich selbst unter Strafe – und schreibt den eigenen Spionen gleichzeitig die gesetzliche Befugnis zum Schnüffeln im Ausland zu. Dieses widersprüchliche Verhalten verhindert sowohl ein gewohnheitsrechtliches Verbot, als auch eine gewohnheitsrechtliche Erlaubnis. Auch einen "allgemeinen Rechtsgrundsatz", also eine in allen nationalen Rechtsordnungen der Staaten enthaltene Regel scheidet aus. Denn die Staaten schützen nur jeweils sich selbst, nicht aber andere vor Spionage.
Verstoß gegen die Souveränität
Bestenfalls könnte man hier Rückgriff auf das sogenannte Lotus-Prinzip, zurückgehend auf den Ständigen Internationalen Gerichtshof, nehmen. Es sagt aus, dass völkerrechtlich erlaubt ist, was nicht völkerrechtlich verboten ist. Die Staaten haben also völlige Handlungsfreiheit, solange sie nicht gegen Verbotsnormen verstoßen.
Verboten ist es allen Staaten, die Souveränität anderer Staaten anzutasten. Insbesondere dürfen sie sich nicht in innere Angelegenheiten anderer Staaten einmischen. Dass sich die Souveränität eines Staates auch auf seine Datennetze erstreckt, ist international wohl anerkannt. Dann aber verstößt ein unberechtigter Zugriff gegen die Souveränität des betroffenen Staates.
Insofern verbleiben Spionagetätigkeiten bestenfalls in einer rechtlichen Grauzone. Zuweilen wird vertreten, es läge eine non-liquet-Situation vor, d.h. der Bereich entziehe sich grundsätzlich einer Regelung. In jedem Falle kommt es hinsichtlich der rechtlich zulässigen Antworten auf die Umstände des konkreten Einzelfalles an.
Ein "kriegerischer Akt"?
Diese Umstände sind gravierend, hatten die Hacker immerhin Zugriff auf die Daten oberster Bundesbehörden und damit wohl auf so manches Staatsgeheimnis. Der Vergleich mit einem Atomschlag, wie er medial bereits angestellt wurde, erscheint dennoch etwas weit hergeholt: Ein solcher würde die Anwendbarkeit des Selbstverteidigungsrechts nach Art. 51 der Charta der Vereinten Nationen (VNCh) eröffnen. Damit dürfte Deutschland auch militärisch auf den Cyber-Angriff antworten.
Zwar ist die militärische Selbstverteidigung in einigen Cybersicherheitsstrategien durchaus als Option gegen Cyber-Angriffe angelegt. Eine rechtliche Grundlage dürfte sie jedoch nur dann finden, wenn diese Angriffe unmittelbar zu Schäden führen, die in Ausmaß und Wirkung dem Einsatz konventioneller Waffen gleichkommen. Hier liegt ein solcher "kriegerischer Akt" nicht vor, eine militärische Reaktion scheidet daher aus. Ohnehin dürfte eine derartige Eskalation von niemandem beabsichtigt sein.
Von diplomatischem Protest und Gegenmaßnahmen
Das Völkerrecht eröffnet aber auch die Möglichkeit von "Gegenmaßnahmen". Dieses Instrument erlaubt es Staaten auf Rechtsbrüche durch eigenen Pflichtverstoß zu reagieren, um den Rechtsbrecher zur Einhaltung seiner Pflichten anzuhalten.
Voraussetzung hierfür ist jedoch wiederum die Verletzung einer völkerrechtlichen Verpflichtung. Da der unberechtigte Zugriff auf ein Regierungsnetz die Sicherheit des Staates in seinem Kern zu betreffen vermag, liegt eine solche Pflichtverletzung vor. Denn die Souveränität der Bundesrepublik vor Einmischungen in ihre inneren Angelegenheiten (namentlich die exklusive Nutzung regierungsinterner Netze) ist angetastet.
Könnte der Angriff einem Staat zugerechnet werden, hätte Deutschland das Recht, diesen für sein Fehlverhalten zu sanktionieren. Die Bundesregierung dürfte z.B. ihrerseits dessen Netzwerke kompromittieren (sog. "Hack-Back") oder aber auf Wirtschaftssanktionen zurückgreifen.
Warum es bei Protesten bleiben wird
Darüber hinaus stände ihr die Änderung oder gar der Abbruch diplomatischer Beziehungen, die Ausweisung von Diplomaten oder auch Protest beim Verantwortlichen oder den Vereinten Nationen offen. Diese diplomatischen Möglichkeiten stehen grundsätzlich offen und müssen weder juristisch gerechtfertigt, noch begründet werden.
Bei diesen Möglichkeiten dürfte die deutsche Reaktion aber – wenn überhaupt – ihr Bewenden haben. Denn die Krux mit Cyber-Operationen ist nicht deren rechtliche Einordnung. Hier bietet auch das Völkerrecht, wie gezeigt, prinzipiell ausreichend Grundlage. Entscheidend ist vielmehr die Frage der Zurechnung: Cyber-Spione hinterlassen in der Regel noch weniger Spuren, als das bei Spionage ohnehin bereits der Fall ist. Der Versuch, der russischen oder einer anderen Regierung eine Verantwortung für den Angriff nachzuweisen, wird sich als schwierig erweisen.
Ohne eine sichere Attribuierung sind aber Gegenmaßnahmen über Proteste und diplomatische Maßnahmen hinaus völkerrechtlich unzulässig. Die Bundesregierung wäre daher gut beraten, vor allem auf eine Verbesserung ihrer IT-Sicherheit zu setzen, statt auf zum Scheitern verurteilte Abschreckungsversuche.
Der Autor Dipl.-Jur. Simon Gauseweg, LL.B. ist akademischer Mitarbeiter am Lehrstuhl für Öffentliches Recht, insbesondere Völkerrecht, Europarecht und ausländisches Verfassungsrecht an der Europa-Universität Viadrina Frankfurt (Oder). Er forscht dort unter anderem zu völker- und verfassungsrechtlichen Aspekten moderner Kriegsführung.
Deutsches Regierungsnetz gehackt: . In: Legal Tribune Online, 01.03.2018 , https://www.lto.de/persistent/a_id/27283 (abgerufen am: 08.12.2024 )
Infos zum Zitiervorschlag