Mythos #11: Rüstungskontrolle ist im Cyberspace nicht möglich.
Thomas Reinhold

Mythos: Rüstungskontrolle als wesentlicher Bestandteil der internationalen Friedenssicherung ist im Cyberspace nicht möglich. Das Internet folgt Regeln, die sich stark von denen für Luft, Meer, Land und Weltraum unterscheiden. Daher lassen sich sämtliche konventionellen Konzepte internationaler Sicherheit und die für andere militärische Technologien geltenden Erkenntnisse nicht auf das Internet übertragen, und jeder Versuch einer Rüstungskontrolle für Cyberwaffen muss scheitern.

 

Stimmt’s? Stuxnet, eine auf eine Nuklearanlage im Iran ausgerichtete Malware, wurde 2010 entdeckt und führte der internationalen Gemeinschaft vor Augen, dass es Staaten gibt, die den Cyberspace als nächstes Feld zur Informationsbeschaffung und für militärische Zwecke nutzen (# 10). Dies weckte Befürchtungen, dass Staaten Cyberwaffen einsetzen könnten, um IT-Systeme zu stören oder zu zerstören, was auch durch einen Bericht des UN Disarmament Research Institute aus dem Jahr 2013 bestätigt wurde.

Internationale Entscheidungsträger begannen sich zu fragen, wie die in den letzten Jahrzehnten entwickelten Regeln zur Rüstungskontrolle, die zum Ziel hatten, die Nutzung und zerstörerischen Auswirkungen anderer waffenfähiger Technologien einzuschränken und ihre Produktion oder ihren Handel zu regulieren, an den Cyberspace angepasst werden können. Frühe normative Ansätze wie das Wassenaar-Abkommen, ein Handels‑ und Exportkontrollvertrag, eignen sich zwar für internationale Vertrauensbildung, sind aber in ihren Auswirkungen auf die Reduzierung von Rüstungswettläufen und das Eskalationspotenzial zwischen Konfliktstaaten begrenzt. Der Cyberspace mit seinen Eigenschaften der Unmittelbarkeit, der Nichtmaterialität und der Möglichkeit, Code und Daten unbegrenzt zu kopieren, unterläuft diese Konzepte. Eine Anhäufung von Panzern an einer Grenze lässt  sich mit menschlichen Sinnen erfassen; weitaus schwieriger zu erkennen ist es, wenn Malware für einen Angriff vorbereitet wird.

Aber auch für den Privatsektor sind internetbasierte Sicherheitsprobleme von entscheidender Bedeutung. Informatiker*innen und Unternehmen entwickeln seit Langem Konzepte für die Abwehr von Cyberangriffen. Diese Konzepte können auch genutzt werden, um dem Cyberrüstungswettlauf Einhalt zu gebieten. Ein Beispiel dafür sind digitale Güter wie beispielsweise Musikstücke, die wie alles andere im Cyberspace kopiert werden können. Dennoch haben Unternehmen Maßnahmen zum digitalen Urheberrechtsschutz eingeführt. Auch wenn diese nicht immer die beabsichtigte Wirkung zeigen, stellen sie, um in der Terminologie der Rüstungskontrolle zu bleiben, im Grunde Regeln für die Nichtproliferation dar. Weitere Beispiele sind Blockchain-Mechanismen für digitale, manipulationssichere Informationsprotokolle, die Nutzung von IPv6 zur weltweit eindeutigen Identifizierung aller Geräte im Cyberspace oder das Border Gateway Protocol, das den Datentransfer über nationale IT-Netzwerke hinweg ermöglicht und das traditionelle Konzept der Grenzen implementiert. Etliche dieser Konzepte lassen sich getreu der Dual-Use-Logik auch erfolgreich auf die Rüstungskontrolle im Cyberspace anwenden.

 

Stimmt also nicht! Der Cyberspace ist ein vom Menschen geschaffenes Gebiet. Zwar existieren keine cyberwaffenspezifischen Regelungen oder Verträge, jedoch lassen sich viele Konzepte zur Gewährleistung von Cybersicherheit und zum Schutz vor Angriffen in der Offlinewelt auch auf den Cyberspace anwenden. Cyberrüstungskontrolle ist möglich, muss jedoch über bestehende normative Ansätze hinausgehen und diese sinnvoll adaptieren.

 


Quelle: Thomas Reinhold und Christian Reuter, Arms Control and its Applicability to Cyberspace, in Christian Reuter (Hrsg.), Information Technology for Peace and Security (Wiesbaden: Springer, 2019), 207‑231.