13 Cyberkrieg

13.1 Vorbemerkung

13.2 Cyberkrieg – Was ist das?

13.2.1. Kriegerische Gewalt und Ziele im Cyberspace

Cyberattacken
Hybride Kriegsführung
Drohnen und LAWs

13.2.2. Der Zweck der Cyber-Sicherheit im Cyber-Kriegswesen
13.2.3. Cyberkrieg – Die Fortsetzung der Politik mit anderen Mitteln?

13.3 Besonderheiten des Cyberkriegs gegenüber einem konventionellen Kriegsverständnis

13.3.1. Gerechter Krieg als Bezugspunkt
13.3.2. Ethisch-rechtliche Herausforderungen durch den Cyberkrieg

Zurechenbarkeit, Einmischung, Zuordnung
Angriffsfläche, Ausmaß und Angemessenheit

13.3.3. Umgang mit Cyberattacken
13.3.4. Grauzone der Abgrenzung
13.3.5. Grenzgang zwischen Sicherheitsanforderung und Angriffslücke

Black Hat und Geheimdienste
White Hat und Responsible Disclosure

13.4 Literatur

Das Kapitel in Stichpunkten

  • Der Begriff Cyberkrieg ist, wie vieles im Zusammenhang mit der Digitalität, noch weitgehend unbestimmt und umfasst je nach Verwendung ein gewisses Spektrum an verwandten Begriffen, wie etwa Cyberspionage oder Cyberterrorismus.
  • Als Bezugspunkt für die Diskussion, inwieweit ein Cyberkrieg einem herkömmlichen Krieg entspricht, kann die Idee eines Gerechten Kriegs dienen, die bereits im antiken Rom entwickelt wurde.
  • Bei der Idee des Gerechten Krieges geht es um die Frage, unter welchen (ethischen) Bedingungen ein Krieg gerechtfertigt und begonnen werden kann und mithin wie er auszutragen ist.
  • Die Idee des gerechten Krieges und das Primat der Friedenssicherung finden sich angesichts der verheerenden Vernichtungen in den beiden Weltkriegen des 20. Jahrhunderts in aktuellen internationalen völkerrechtlichen Normen wieder.
  • In den Auseinandersetzungen der jüngsten Vergangenheit hat sich gezeigt, dass oftmals die Grenzen zwischen möglicherweise staatlich gesteuerten und kriminellen Hackergruppen verschwimmen. Die Zurechenbarkeit (Attribution) von kriegerischen Akten auf eine der beiden verfeindeten Parteien wird schwierig und damit zu einem Problem.
  • Konventionelle militärische Attacken sind dadurch gekennzeichnet, dass sie sich auf ein (geografisch definiertes) Territorium in der physischen Welt beziehen, bei einer Cyberattacke hingegen kann es sich auch um eine Aktion handeln, die ausschließlich in virtuellen Räumen stattfindet.
  • Cyberangriffe sind gegebenenfalls als völkerrechtswidrige Eingriffe in die territoriale Souveränität zu bewerten, gegen die sich die betroffenen Staaten mit digitalen und konventionellen Mitteln zur Wehr setzen könnten.
  • In gewissem Sinne scheint der Cyberkrieg sowohl eine eigenständige als auch eine herkömmliche Kategorie der zwischenstaatlichen Auseinandersetzung darzustellen, die je nach Ausprägung mehr oder weniger in die eine oder andere Richtung ausschlägt.
  • Die Suche nach Sicherheitslücken in Systemen kann auf verschiedene Weise motiviert sein bzw. mit der Entdeckung von Schwachstellen kann auf verschiedene Weise umgegangen werden.
  • Black Hat Hacking im Auftrag oder doch zumindest im Interesse eines Staates kann ein wesentliches Element der Cyberkriegsführung sein.
  • Bei White Hat Hacking ist der Angreifer selbst das Ziel und hat ein Sicherheitsinteresse am angegriffenen Ziel.

13. Vorbemerkung

Die Kriegsführung im Cyberraum ist ein Thema, das die Digitalisierung und die mit ihr einhergehenden technologischen Möglichkeiten unweigerlich mit sich bringen. Es ist landläufig bekannt, dass neue Technologien immer auch in militärische Zusammenhänge gestellt werden und ihre Entwicklungen gerade mit Blick auf mögliche militärische Nutzungen vorangetrieben werden. So geht beispielsweise die Entwicklung des Internets auf militärische Ambitionen gegen Ende der 1960er Jahre zurück, als man auf der Suche nach einem dezentralen, weniger störanfälligen Kommunikationsnetz war.[1]

Die gesellschaftliche Wirksamkeit der digitalen Entwicklungen kann man als Digitale Transformation, als einen sehr grundlegenden gesellschaftlichen Umbruch interpretieren, bei dem Sachverhalte in der digitalen Welt wesentliche Auswirkungen auf die physische Welt haben. Mithin verändern sich dadurch die Struktur und die Qualität der Lebenswelt von Menschen.[2] Entsprechend stellt sich die Frage, ob auch in militärischer Hinsicht eine neue Qualität der Kriegsführung entsteht: eine Art transformiertes Kriegswesen, das zwar im Cyberraum aktiv wird, das aber auch Auswirkungen auf die physische Welt mit sich bringt. Für die Menschen, die in der IT-Sicherheit arbeiten, bringt dieser Cyberkrieg neue ethische Herausforderungen mit sich. Insbesondere in der unscharfen Grenzziehung zwischen dem, was noch als zivile Maßnahme oder schon als kriegerischer Akt bewertet werden kann, liegt kritisches Potenzial.

 

13.2 Cyberkrieg – Was ist das?

„Der Krieg ist die bloße Fortsetzung der Politik mit anderen Mitteln.“[3] So bestimmt der kriegserfahrene preußische General und Kriegstheoretiker Carl von Clausewitz (1780-1831) den Begriff des Krieges. Noch heute wird, wenn auch in kritischer Diskussion, häufig auf diese Definition zurückgegriffen. Clausewitz ordnet in seiner Kriegstheorie das Militär und dessen Aufgaben klar der Politik unter. Krieg hat demnach keinen selbstständigen Charakter, er entsteht nicht einfach losgelöst aus sich heraus, sondern er ist ein Instrument der Politik neben anderen. In seinem umfassenden Werk „Vom Kriege“ unterscheidet Clausewitz in logischer Konsistenz zu diesem Verhältnis von Politik und Krieg zwischen dem Zweck, dem Ziel und dem Mittel des Krieges. Der Zweck ist ein rein politischer. Es geht darum, dem Feind den eigenen Willen aufzuzwingen. Das Ziel des Krieges wiederum ist davon abgeleitet und besteht darin, den Feind wehrlos zu machen, so dass er sich dem eigenen Willen fügen muss. Um nun das kriegerische Ziel zu erreichen und den politisch motivierten Zweck zu erfüllen, bedarf es eines kriegerischen Mittels: der Gewalt. Insofern ist der Krieg die Fortsetzung der Politik mit anderen Mittel, und zwar in seiner (theoretischen) Reinform sogar durch die äußerste Anwendung von Gewalt.[4] Als logischer Ausgangspunkt seiner Überlegungen dient Clausewitz das Bild zweier Ringer, die einander zu Boden ringen wollen. Dieses Bild überträgt er auf die feindliche Auseinandersetzung zweier Staaten. Wollte man den genannten Clausewitz´schen Begriff vom Kriege auf den Cyberraum, also auf die Welt des Digitalen, anwenden, so wäre zu klären, inwieweit sich darin ein politischer Wille fände, der zudem den Feind wehrlos machen und mit Gewalt niederringen wollte.

13.2.1. Kriegerische Gewalt und Ziele im Cyberspace

Allein die Frage nach der Gewaltanwendung ist nicht ohne weiteres zu klären. Denn im Gegensatz zu konventionellen Waffen, die auf eine tendenziell unmittelbare physische Zerstörung des Feindes in der physischen Welt ausgelegt sind, ist die Sache bei Cyberwaffen weit unschärfer. Im Folgenden sind daher einige Arten der Verwendung von cyberbasierter Gewaltausübung genannt.

Cyberattacken

Über feindliche DDoS (Distributed Denial-of-Service)[5] Attacken beispielsweise können Hacker durch eine Vielzahl von Anfragen an einen Server das Netzwerk einer militärischen Einheit oder auch eines wirtschaftlichen Konzerns überlasten, also verlangsamen oder lahmlegen, und so die Arbeit erschweren. Auch könnte Malware in digitale politische Netzwerke eingeschleust werden, um Informationen zu bekommen oder Desinformationen zu streuen.

Beide Beispiele könnten als feindliche Cyberangriffe interpretiert werden, die durch die Lahmlegung der angegriffenen Server durchaus erheblichen Schaden beim angegriffenen Objekt bzw. in der angegriffenen Gesellschaft verursachen. Eine physische Zerstörung von Dingen oder gar Verletzung von Menschen dürfte aber zunächst eher unwahrscheinlich und nicht per se beabsichtigt sein.

Gleichwohl sind aber auch größere Schäden möglich, die man durchaus als eine bewusste und gezielte physische Gewaltauswirkung interpretieren könnte. So können DDoS Attacken mittelbar einen erheblichen Schaden an Leib und Leben von Menschen oder eine Zerstörung von Dingen in der physischen Welt bewirken, etwa bei Angriffen auf Netzwerke kritischer Infrastrukturen. Man denke beispielsweise an Cyberangriffe auf die Energieversorgung, mit der auch Krankenhäuser betrieben werden, oder Angriffe auf die Verkehrsleitstellen von Zugnetzen oder Flughäfen. Durch die Beeinträchtigung oder komplette Lahmlegung solcher Systeme könnte die Krankenversorgung unterbrochen werden bzw. es könnte zu Unfällen im Zug- und Flugbetrieb kommen, wodurch die Gesundheit und das Leben von Menschen gefährdet wäre. Dazu käme noch der erhebliche materielle Schaden durch die möglichen Unfälle.

Hybride Kriegsführung

Am Beispiel des russischen Angriffskriegs gegen die Ukraine lässt sich die Bedeutung des Cyberkriegs illustrieren. „So soll es laut Medienberichten bereits vor den bewaffneten Auseinandersetzungen zu einigen Cyberattacken gegen öffentliche Einrichtungen der Ukraine gekommen sein.“[6] Die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) berichtet in diesem Zusammenhang konkret von der destruktiven Malware WhisperGate, die ukrainische Zielgeräte funktionsuntüchtig machen sollte.[7] Das Ziel soll es gewesen sein, die ukrainische Kommunikations- und Verteidigungsfähigkeit zu schwächen. So startete Russland mit seinen Cyberangriffen einen hybriden Krieg, bei dem cybertechnologische Mittel die konventionelle Kriegsführung vorbereiteten bzw begleiteten.[8] Entsprechend darf man wohl folgern, dass die Cyberattacken systematisch die Gewaltausübungen der konventionellen Attacken begleiten und damit selbst zu einem Teil der Gewaltausübung und mithin zum Mittel des Krieges, zu einer Waffe, werden.

Drohnen und LAWs

Je nachdem, wie weit man den Cyberkrieg und seine Mittel fassen möchte, könnte man auch physische Waffen, die in besonderem Maße durch künstliche Intelligenz gesteuert sind, auf einem Spektrum zwischen rein virtuellen Cyberwaffen und reinen konventionellen Waffen in einer gewissen Nähe der Cyberwaffen verorten.

In der Berichterstattung zum Krieg Russlands gegen die Ukraine ist sehr häufig von Drohnen die Rede, die auf beiden Seiten eingesetzt werden. Noch nie zuvor seien so viele Drohnen in einem Konflikt eingesetzt worden, womit gleichsam eine neue Ära der Kriegsführung angebrochen sei. Aufgrund ihrer geringen Kosten und leichten Bedienbarkeit sowie aufgrund ihrer Vielfalt in Größe, Gewicht, Tragfähigkeit und Reichweite können sie sehr flexibel eingesetzt werden und entsprechenden Schaden anrichten.[9] Je nach Einsatz von künstlicher Intelligenz können dabei die eingesetzten Drohnen mehr oder weniger selbstständig ihre Ziele auswählen.

Es ist nachgerade das Kriterium der Autonomie, das autonome Waffensysteme in den Bereich des Cyberkrieges rückt: Wie eigenständig kann also die KI eines Waffensystems darüber entscheiden, ob ein Ziel angegriffen wird oder nicht? Man spricht in diesem Zusammenhang von „human-in-the-loop“, wenn die Entscheidungen zum Einsatz der Waffe durch einen Menschen getroffen werden. Von „Human-on-the-loop“ spricht man, wenn das Waffensystem zwar eigenständig Ziele auswählen und angreifen kann, aber dabei noch vollständig unter der Überwachung eines Menschen steht. Schließlich bedeutet „human-out-of-the-loop, dass ein Waffensystem vollständig autonom und ohne Überwachung ein Ziel auswählen und angreifen kann.[10]

Euronews berichtet in Bezug auf Angaben der UNO, dass im Jahr 2020 eine von der libyschen Regierung eingesetzte autonome Drohne erstmals einen Menschen ohne Beteiligung eines menschlichen Anwenders tötete.[11] Das bedeutet, dass diese Waffe selbständig ihr Ziel ausgewählt und attackiert hat. Wenngleich es die physische Sprengkraft der Drohne war, die faktisch getötet hat, so war es dennoch die künstliche Intelligenz des Systems, die die Entscheidung zur Gewaltausübung getroffen hat.

Solche tödlichen autonomen Waffensysteme, sogenannte LAWs (Lethal autonomous weapons), die, einmal losgelassen, durch ihre künstliche Intelligenz weitgehend eigenständig über ihren Einsatz entscheiden, können ein hohes Maß an Gewalt und Zerstörung in der physischen Welt bewirken. Sie würden gleichsam aus der Cyberwelt heraus in der physischen Welt töten und zerstören. Und es bestünde, wenn man das Szenario weiterdenkt, zumindest die theoretische Gefahr, dass solche autonomen Systeme, die im Cyberraum kommunizieren und entscheiden, in der physischen Welt sogar über Krieg und Frieden zwischen Staaten entscheiden könnten, etwa dann, wenn die autonomen Systeme zweier Streitkräfte miteinander kollidieren und selbstständig eskalieren würden.[12] Diese wenigen Beispiele alleine verweisen schon auf den großen Bereich an möglichen Cyberangriffen verschiedener Art und der damit einhergehenden kriegerischen Gewalt, die sie ausüben können.

13.2.2. Der Zweck der Cyber-Sicherheit im Cyber-Kriegswesen

Der Begriff Cyberkrieg ist, wie vieles im Zusammenhang mit der Digitalität, noch weitgehend unbestimmt und umfasst je nach Verwendung ein gewisses Spektrum an verwandten Begriffen, wie etwa Cyberspionage oder Cyberterrorismus. So erklärt beispielsweise das Lexikon der Bundeszentrale für politische Bildung das Schlagwort Cyberwar wie folgt:

„Die elektronischen Informationstechnologien durchdringen umfassend alle Lebens- und Arbeitsbereiche moderner Gesellschaften. Dadurch entstehen virtuelle Welten (Cyberräume), die durch kriminelle Eingriffe oder feindliche Angriffe sog. Hacker manipuliert, gestört oder zerstört werden können. Neue Gefahren bilden nicht nur gezielte Desinformation, (feindliche) Propaganda und z. B. die Manipulation demokratischer Wahlen, sondern auch Angriffe auf sensible Infrastrukturen im Bankensektor, bei der Energieversorgung, in der Telekommunikation, in Krankenhäusern, in Wissenschaft und Forschung. Zur Sicherung und Abwehr möglicher Angriffe insb. auch im Bereich der äußeren und inneren Sicherheit wurde 2017 das sog. Kommando Cyber- und Informationsraum (KdoCIR) der deutschen Bundeswehr geschaffen.“[13]

Auf überstaatlicher Ebene hat auch die NATO die Cyber-Verteidigung gegen die zunehmenden und komplexen Gefahren aus dem Cyberraum als eine ihrer Kernaufgaben bei Abschreckung und Verteidigung bzw. bei der Wahrung der gemeinschaftlichen Sicherheit identifiziert.

„Cyber threats to the security of the Alliance are complex, destructive and coercive, and are becoming ever more frequent. Cyberspace is contested at all times and malicious cyber events occur every day, from low-level to technologically sophisticated attacks. NATO and Allies are responding by strengthening the Alliance’s ability to detect, prevent and respond to malicious cyber activities. NATO and its Allies rely on strong and resilient cyber defences to fulfil the Alliance’s three core tasks of deterrence and defence, crisis prevention and management, and cooperative security. The Alliance needs to be prepared to defend its networks and operations against the growing sophistication of the cyber threats it faces.“[14]

Das Kommando Cyber- und Informationsraum der Bundeswehr bzw. die Einschätzung der NATO zeigen die Bedeutung, die Cyberangriffen von militärischer und politischer Seite beigemessen werden. Dabei wird der Zweck der genannten Herausforderungen und Maßnahmen insbesondere in der Defensive gesehen, in der Verteidigung des Landes bzw. des Bündnisses. Entsprechend hoch dürften die Bedeutsamkeit und auch der Bedarf an IT-Sicherheit in diesem Zusammenhang sein.

13.2.3. Cyberkrieg – Fortsetzung der Politik mit anderen Mitteln?

Mit Blick auf die eingangs erwähnte Definition des Kriegsbegriffes durch den Kriegstheoretiker von Clausewitz, der im Zweck des Krieges die politische Absicht sieht, dem Feind seinen Willen aufzuzwingen, gehen diese defensiven Bekundungen der NATO zur Abwehr von Gefahren durch Cyberangriffe insofern konform, als sie in negativer Hinsicht dafür sorgen wollen, sich den Willen des Feindes nachgerade nicht aufzwingen zu lassen. Und selbst wenn man sich zunächst nur defensiv für den Cyberkrieg aufstellt, darf man wohl annehmen, dass mithin auch offensive Fähigkeiten entwickelt werden könnten, die dazu geeignet sind, selbst Gewalt durch cybertechnologische Waffen auszuüben, um dem Feind den eigenen Willen aufzuzwingen.

In diesem Sinne wäre auch ein Cyberkrieg die Fortführung der Politik mit anderen Mitteln – nämlich mit den Mitteln der Gewalt. Gerade in der Verschränkung von digitaler und physischer Welt, wie man insbesondere am Beispiel der autonomen letalen Waffen (LAWs) sehen kann, wirken cybertechnologische Waffen in die physische Welt hinein. Dort bringen sie physisches Leid und physische Zerstörung. Aus dieser (eher grundsätzlichen philosophischen) Perspektive heraus unterscheidet sich der Cyberkrieg also prinzipiell nicht von einem konventionellen Krieg früherer Zeiten ohne den Einsatz cybertechnologischer Mittel. Die Cyberwaffensysteme wären also nicht nur auf Cyberräume beschränkt, sondern mehr oder weniger unmittelbar auch auf die physische Welt. Damit wäre der Cyberkrieg eher ein neuer Bestandteil des herkömmlichen Krieges, nur dass das Mittel der Gewaltanwendung um ein Arsenal neuer, teils autonom agierender, digital-technologischer Waffensysteme ergänzt wäre.

 

13.3 Besonderheiten des Cyberkriegs gegenüber einem konventionellen Kriegsverständnis

Wenngleich man, wie in Kapitel 2 gezeigt, den Cyberkrieg grundsätzlich als eine mögliche Form eines herkömmlichen Krieges interpretieren kann, so gibt es doch einige Besonderheiten, die den Cyberkrieg kennzeichnen (können) und den Bezug zum Begriff eines herkömmlichen Krieges erschweren. Mit anderen Worten könnte man fragen, ob ein Cyberkrieg auch eine andere, neue, eigene Art des Krieges ist.[15] Davon sind in der Folge auch die ethischen Betrachtungen und Bewertungen beeinflusst.

13.3.1. Gerechter Krieg als Bezugspunkt

Als Bezugspunkt für die Diskussion, inwieweit ein Cyberkrieg einem herkömmlichen Krieg entspricht, kann die Idee eines Gerechten Kriegs dienen, die bereits im antiken Rom entwickelt und von der christlichen Theologie (bspw. Thomas von Aquin, 13. Jh.) beeinflusst wurde. Besonders geprägt hat die ursprüngliche Idee des Gerechten Krieges (bellum iustum) der römische Politiker und Philosoph Marcus Tullius Cicero (106-43 v. Chr.). Er hat den Krieg als gewaltsamen Modus der Konfliktaustragung gesehen, die im Gegensatz zum eigentlich menschlichen der argumentativen Auseinandersetzung stehe. Damit ein Krieg als gerecht gesehen werden kann, müssen für ihn besondere Regeln gelten.[16]

Im Kern geht es bei der Idee des Gerechten Krieges um die Frage, unter welchen (ethischen) Bedingungen ein Krieg gerechtfertigt und begonnen werden kann und mithin, wie er auszutragen ist.[17] Es liegt auf der Hand, dass mit der Rechtfertigung auch eines sogenannten Gerechten Krieges grundlegende ethische Prinzipien außer Kraft gesetzt werden, insbesondere etwa das Tötungsverbot. Auch kann man einwenden, dass anstelle der Rechtfertigung eines Krieges besser eine ethische Pflicht zur Friedenssicherung angemessen wäre. Immerhin scheint es völkerrechtlich schon länger die Einsicht zu geben, „dass der Krieg nicht mehr ein erlaubtes Mittel der internationalen Politik ist“[18].

Die Idee des gerechten Krieges und das Primat der Friedenssicherung finden sich angesichts der verheerenden Vernichtungen in den beiden Weltkriegen des 20. Jahrhunderts in aktuellen internationalen völkerrechtlichen Normen wieder. So betont beispielsweise die 1945 in Kraft getretene Charta der Vereinten Nationen (UN Charta) gleich in ihrer Präambel den festen Entschluss, „künftige Geschlechter vor der Geißel des Krieges zu bewahren“ und „Grundsätze anzunehmen und Verfahren einzuführen, die gewährleisten, daß Waffengewalt nur noch im gemeinsamen Interesse angewendet wird“.[19] Die Genfer Konvention aus dem Jahr 1949 wiederum stellt Regeln zum Umgang mit Kriegsgefangenen, verwundeten Soldaten und Zivilisten auf.[20] Und die Haager Konvention aus dem Jahr 1954 ist darüber hinaus bestrebt, Kulturgut vor Zerstörung, Plünderung oder Diebstahl während bewaffneter Konflikte zu schützen.[21]

Wesentliche Kriterien des Gerechten Kriegs für ein Recht zum Krieg (ius ad bellum) sind[22]:

  • (1) legitime Autorität (heute der UN-Weltsicherheitsrat),
  • (2) gerechter Grund (insbes. Selbstverteidigung, Notwehr, aber auch Nothilfe und Befreiungskrieg),
  • (3) gerechte Absicht (insbes. Ziel des Friedens),
  • (4) letztes, äußerstes Mittel (friedliche Mittel haben Vorrang, insbes. Verhandlungen, Mediation, zivile Intervention) und
  • (5) begründete Aussicht auf Erfolg.

Zudem sind Kriterien für die Kriegsführung (ius in bello) wichtig:

  • (6) Verhältnismäßigkeit der Mittel (unnötige Schäden und Leiden sind zu vermeiden) und
  • (7) Diskriminierungsgebot zwischen Kämpfern und Zivilisten (Zivilpersonen und zivile Infrastruktur dürfen nicht angegriffen werden).

Allen diesen Regelungen und Vereinbarungen zum Trotze bleibt nicht zuletzt mit Blick auf den Angriffskrieg von Russland ab Februar 2022 faktisch anzuerkennen, dass Krieg nach wie vor in der Welt ist und dass er ganz offensichtlich weiterhin als politisches Instrument (zumindest des Angreifers, und auch völkerrechtswidrig) genutzt wird. Das allerdings macht die Idee eines Gerechten Krieges, der nur unter bestimmten Bedingungen geführt werden darf, um legitimiert zu sein, keinesfalls obsolet, kann sie doch als Referenzrahmen für die (ethische) Beurteilung der Geschehnisse dienen. In ihrer konzeptionellen Ausarbeitung und der Bereitstellung von Kriterien, die einen Krieg rechtfertigen bzw. auszeichnen, kann die Idee des Gerechten Krieges mithin als Bezugspunkt für die Diskussion der Besonderheiten des Cyberkrieges dienen.

13.3.2. Ethisch-rechtliche Herausforderungen durch den Cyberkrieg

Sofern eine staatliche Armee erkennbar cybertechnologische Mittel zur Bekämpfung eines ausgewiesenen Feindes einsetzt, um ihre berechtigten und gerechten Absichten durchzusetzen, kann man die Cyberwaffen als ein militärisches Element neben anderen sehen. Allerdings hat sich in den Auseinandersetzungen der jüngsten Vergangenheit gezeigt, dass oftmals die Grenzen zwischen möglicherweise staatlich gesteuerten und kriminellen Hackergruppen verschwimmen. Dies wurde beispielsweise nach Cyberattacken gegen mehrere deutsche Behörden nach entsprechender Pressemitteilungen des BKA im Mai 2022 in den Medien diskutiert. Zwar soll sich die russische Hackergruppe Killnet zu den Angriffen bekannt haben, doch sei dies nicht abschließend klar. Gerade mit Blick auf den russischen Angriffskrieg gegen die Ukraine zeige sich, dass dieser in einem erheblichen Teil auch im Cyberraum geführt würde. Auf beiden Seiten würden sich Hackergruppen finden, die sich mit der jeweiligen Kriegspartei solidarisierten und diese unterstützen wollten. Inwieweit solche Gruppen eigenmächtig agieren oder auf staatliches Geheiß, bliebe unklar.[23]

Zurechenbarkeit, Einmischung, Zuordnung

An diesen Beispielen lassen sich zwei Besonderheiten des Cyberkrieges illustrieren. Zum einen ist dies das Problem der schwierigen Zurechenbarkeit (Attribution) von kriegerischen Akten auf eine der beiden verfeindeten Parteien. Das kann dazu führen, dass sich die verfeindeten Parteien gegenseitig dafür verantwortlich machen, eine Cyberattacke bspw. gegen eine kritische Infrastruktur vorgenommen zu haben und sich so jeweils die Schuld zuweisen.  Zum anderen, damit eng verbunden, ist eine Besonderheit die Einmischung von nicht staatlich legitimierten Gruppierungen. Sie sind eine Besonderheit des Cyberkrieges. Ein bekanntes Beispiel dafür ist die Hackergruppe Anonymous, die Russland kurz nach dessen Einmarsch in die Ukraine den Krieg erklärt hat.[24] Eine Erklärung, die völkerrechtlich gar nicht möglich ist, da ein Hackerkollektiv keinerlei (inter)staatliche Legitimität besitzt. Zudem kann in einer verborgenen und anonymen Einmischung von privaten Akteuren ein enormes Eskalationspotenzial liegen, da alle Kriegsparteien die Geschehnisse für ihre Propaganda ausdeuten, entsprechende Schuldzuweisungen machen und Vergeltungsmaßnahmen ergreifen könnten.[25]

Auch die Unterscheidung zwischen Kämpfern und Zivilisten wird durch die anonyme Einmischung teils ziviler Gruppen erschwert. Daraus resultiert eine Unsicherheit bei der Zuordnung des Status als Soldat oder Zivilist und führt zur Frage, welches Recht für sie anzuwenden ist. Gelten sie beispielsweise als legitime Ziele eines militärischen Gegenschlags, oder wie wäre mit ihnen im Falle ihrer Gefangenschaft umzugehen? Zudem ist oftmals nicht eindeutig zu klären, ob diese Personen im Auftrag oder mit inoffizieller Unterstützung eines Staates agieren, oder ob sie sich eigenmächtig auf die eine oder andere Seite geschlagen haben.

Angriffsfläche, Ausmaß und Angemessenheit

Konventionelle militärische Attacken sind dadurch gekennzeichnet, dass sie sich auf ein (geografisch definiertes) Territorium in der physischen Welt beziehen, dass also beispielsweise Raketen auf ein gegnerisches Gelände geschossen werden, das man zerstören oder einnehmen möchte. Bei einer Cyberattacke hingegen kann es sich auch um eine Aktion handeln, die ausschließlich in virtuellen Räumen stattfindet. Solche Räume sind jedoch dadurch gekennzeichnet, dass Ihre Existenz nachgerade keines Territoriums bedarf.

Gemäß Artikel 115a des Grundgesetzes[26] für die Bundesrepublik Deutschland kann der Bundestag den Verteidigungsfall feststellen, wenn das Bundesgebiet mit Waffengewalt angegriffen wird. Wann aber könnte der Verteidigungsfall nach einem Cyberangriff festgestellt werden? Was wäre analog zum Bundesgebiet zu sehen, und ab wann könnte man von Waffengewalt sprechen, die für solch einen Verteidigungsfall hinreichend wäre? Und schließlich, wäre ein solcher Verteidigungsfall dann auch ein Bündnisfall für die NATO, bei dem ein Angriff auf ein NATO Mitglied als ein Angriff gegen sie alle gesehen wird?[27] Schließlich stellt sich mithin die Frage nach der Angemessenheit der Reaktion. Darf auf einen Cyberangriff (nur) mit einem Cyber-Gegenangriff reagiert werden, oder darf auch auf massiv konventionelle Weise zurückgeschlagen werden? Und wie groß muss der zugefügte Schaden sein, um ein gewisses Ausmaß als eigene Reaktion in legitimer Weise zu rechtfertigen?

13.3.3. Umgang mit Cyberattacken

Eine Antwort auf diese Fragen der richtigen Reaktion auf einen Cyberangriff kommt von der NATO selbst, die bereits 2016 verkünden ließ, dass auch Cyberangriffe den Bündnisfall auslösen könnten.  Angriffe über Datennetze würden künftig wie solche durch Land-, See- oder Luftstreitkräfte behandelt.[28]

Mit einem Positionspapier aus dem Jahr 2021 spricht sich die deutsche Bundesregierung für die Anwendung und Einhaltung des Völkerrechts auch bei Cyberoperationen aus und wertet Cyberattacken als Eingriff in die territoriale Souveränität. In ihrem Statement lehnt sie sich eng an das Tallinn-Manual 2.0, eine unverbindliche wissenschaftliche Studie der NATO aus dem Jahr 2017, an.[29]

„Die Bundesregierung ist der Ansicht, dass das Völkerrecht auch im Cyber- und Informationsraum zur Anwendung kommt. Der Grundsatz der territorialen Souveränität solle auch für das Internet gelten, da auch digitale Infrastrukturen innerhalb von Landesgrenzen lägen. In der Folge seien Cyberangriffe gegebenenfalls als völkerrechtswidrige Eingriffe in die territoriale Souveränität zu bewerten, gegen die sich die betroffenen Staaten mit digitalen und konventionellen Mitteln zur Wehr setzen könnten.

Ob ein Angriff von einem Staat oder von einem mit einem Staat verbundenen Akteur wie etwa einem Hackerkollektiv ausgeht, ist dabei unerheblich. Völkerrechtliche Gegenmaßnahmen sollen jedenfalls dann erlaubt sein, wenn ein Angriff mit dem eindeutigen Einverständnis eines Staates erfolgte.“[30]

In den Einschätzungen von Bundesregierung und NATO über den angemessenen Umgang mit den Herausforderungen von Cyberangriffen scheinen wiederum die bereits diskutierten Prinzipien der Idee des Gerechten Kriegs durch. Eine Eins-zu-Eins-Übertragung der Prinzipien indes scheint aufgrund der Besonderheiten der kriegerischen Auseinandersetzung im Cyberraum nicht möglich. Argumentative Brückenschläge scheinen notwendig.

Im Bestreben, den Cyberkrieg im Rahmen der bisherigen völkerrechtlichen Übereinkünfte einzuordnen einerseits und andererseits in der Tatsache, dass der Begriff des Cyberkriegs kaum eindeutig zu fassen ist, könnte man einen doppelten Charakter dieser Form des Krieges sehen. In gewissem Sinne scheint der Cyberkrieg sowohl eine eigenständige als auch eine herkömmliche Kategorie der zwischenstaatlichen Auseinandersetzung darzustellen, die je nach Ausprägung mehr oder weniger in die eine oder andere Richtung ausschlägt.

13.3.4. Grauzone der Abgrenzung

Gegebenenfalls kann es sich anbieten, auf andere Begrifflichkeiten wie beispielsweise Cyberterrorismus oder Cyberspionage auszuweichen, die einen erweiterten Spielraum bei der Interpretation und der Reaktion auf Cyberangriffe ermöglichen.[31] In Bezug auf solche Begriffe könnten beispielsweise Angriffe von nicht-staatlichen Akteuren gegen private Einrichtungen, wie etwa Unternehmen, die aber gleichwohl in einem Zusammenhang mit der kriegerischen Auseinandersetzung zweier Staaten stehen könnten, womöglich angemessener interpretiert, beurteilt und beantwortet werden.

Cyberterrorismus, Cyberspionage oder auch Cybervandalismus stellen insofern eine Grauzone zwischen kriminellen Aktivitäten in einem strafrechtlichen, innerstaatlichen Sinne und militärischen Aktivitäten in einem zwischenstaatlichen, völkerrechtlichen Sinne dar. Man denke etwa an propagandistische Fehlinformationen, Datendiebstahl und Erpressung oder auch das Eindringen in Netzwerke und deren Lahmlegung oder Zerstörung. Entsprechend schwer sind sie ihrem Charakter nach eindeutig dem zivilen oder militärischen Bereich zuzuordnen, und sie sind schwer gegeneinander abzugrenzen. Gemeinsam ist ihnen indes ein subversiver, zerstörerischer Charakter, wenngleich sie im Ausmaß wohl geringer sind als ein militärischer Cyberschlag. Dennoch können durch die Unberechenbarkeit von Terror- oder Spionageaktivitäten Ängste und Reaktionen in einer Gesellschaft ausgelöst werden, die man sogar in die Nähe von psychologischer Kriegsführung bringen könnte und die einen Impact auf das Kriegsgeschehen haben könnten.

13.3.5. Grenzgang zwischen Sicherheitsanforderung und Angriffslücke

Einen markanten Fall, den man in die Grauzone zwischen kriminellen Hackergruppen, die auf eigene Rechnung agieren, und Hackergruppen, die staatlich finanziert sind bzw. aus Geheimdienstkreisen kommen, verorten kann, stellen die sogenannten Zero-Day-Exploits dar. Dabei geht es um die Suche und Ausnutzung von Schwachstellen (Vulnerabilities) in verbreiteter Software, von denen die Hersteller noch keine Kenntnis haben. Kommt es dann zu der Ausnutzung einer solchen Schwachstelle durch Hacker, spricht man vom Zero-Day. Das ist gewissermaßen der „Tag Null“, der noch vor dem „Tag Eins“ liegt, an dem der Hersteller von seiner Schwachstelle Kenntnis erlangen und den Schaden hätte abwenden können. So hatte der Hersteller auch keine Zeit (null Tage), die Nutzer vor ersten Angriffen zu schützen.[32]

Black Hat und Geheimdienste

Die Suche nach Sicherheitslücken in Systemen kann auf verschiedene Weise motiviert sein bzw. mit der Entdeckung von Schwachstellen kann auf verschiedene Weise umgegangen werden. Mit krimineller Energie können so genannte Black Hat Hacker versuchen, die Sicherheitslücken entweder für sich selbst zu nutzen, um Malware aufzuspielen und/oder den Hersteller zu erpressen. Oder sie bieten die Information über diese Sicherheitslücken im Darknet an, um sie dort gewinnbringend an andere Hacker zu verkaufen, die ihrerseits ein Interesse daran haben könnten, so dass die Käufer die Sicherheitslücke nutzen, bevor das betroffene Unternehmen mit der Zero-Day Vulnerability, reagieren kann. Der Ausdruck Black Hat stammt aus alten Western-Filmen. Dort hatten die Helden oftmals weiße Hüte auf und die Bösewichte eben schwarze Kopfbedeckungen.[33]

Doch nicht nur andere kriminelle Hacker können ein Kaufinteresse an Sicherheitslücken haben, sondern auch militärische Geheimdienste, die auf der Suche nach möglichen Angriffsstellen für Cyberattacken sind.  Die entdeckten Sicherheitslücken bieten einen asymmetrischen Vorteil gegenüber den Gegnern, da sie es ermöglichen, praktisch unentdeckbar Informationen zu sammeln und sogar die Infrastruktur des Gegners zu deaktivieren oder zu sabotieren.[34] Ein prominentes Beispiel dafür ist der NotPetya Angriff, den russische Staatshacker im Jahr 2017 gegen eine ukrainische Steuersoftware gestartet hatten und der Auswirkungen auf die Weltwirtschaft hatte.[35]

Glaubt man einer Studie[36], die 200 Zero-Day Vulnerabilities analysiert hat, so haben die entdeckten Schwachstellen eine Lebensdauer von fast sieben Jahren. Das heißt, vom Tag ihrer ersten (privaten) Entdeckung bis zur Schließung der Lücke durch den Betroffenen vergehen mehrere Jahre, ohne dass das Sicherheitsrisiko öffentlich bekannt ist.  Entsprechend groß dürfte das Interesse gerade von Geheimdiensten sein, solche Sicherheitslücken nicht nur punktuell zu kaufen, sondern sich systematisch eine Vorratshaltung, ein sogenanntes Stockpiling, an relevanten Sicherheitslücken anzulegen, um im Bedarfsfalle die Sicherheitslücken als Zugang für eigene Cyberwaffen zu nutzen. Wenngleich laut der Studie die Wahrscheinlichkeit, dass andere Gruppen diesselbe Schwachstellen ebenfalls entdecken könnten, relativ gering ist (weshalb auch die Lebensdauer der Lücke so hoch ist), besteht dennoch das Risiko, dass die Vorratshaltung selbst attackiert und von wiederum feindlichen Akteuren gegen kritische Infrastrukturen des vorratshaltenden Staates selbst verwendet wird.[37] Stockpiling ist folglich mit Kosten des Aufspüren oder Einkaufs behaftet und es trägt das Risiko, selbst zu einem empfindlichen Ziel eines Angriffs zu werden. Aus staatlicher bzw. militärischer Sicht dürfte es sich hierbei um eine Güterabwägung zwischen den möglichen Kosten und dem möglichen Nutzen einer solchen Vorratshaltung handeln. Kann man dem Tenor von Fachartikeln und Medienberichten glauben, so scheint der erwartete Nutzen von Stockpiling zu überwiegen.

Black Hat Hacking im Auftrag oder doch zumindest im Interesse eines Staates kann ein wesentliches Element der Cyberkriegsführung sein. Als solches ist das Hacken mit krimineller und/oder kriegerischer Absicht zum militärischen Nutzen im Kontext der völkerrechtlichen Legitimation kriegerischer Auseinandersetzungen zwischen Staaten zu bewerten. Jenseits begründeter, eventuell übergeordneter staatlicher Interessen dürfte in einer grundlegenden ethischen Betrachtung im Bereich der IT-Sicherheit das Hacken von Systemen mit dem Ziel der Bereicherung oder des Zufügens eines Schadens gegenüber einem anderen kaum eine ethische Legitimation finden.

White Hat und Responsible Disclosure

Eine positive Konnotation eines Hackerangriffs allerdings findet sich unter dem Begriff Ethical Hacking [38] oder White Hat Hacking. Damit ist das Eindringen und Suchen von Sicherheitslücken in Systemen gemeint, die die betroffene Einrichtung, etwa ein Unternehmen oder eine staatliche Einrichtung, selbst beauftragt haben. So soll die Organisation einem Sicherheitstest unterzogen werden. Detektierte Schwachstellen sollen mithin direkt dem Auftraggeber gemeldet werden. Dieser hat dann die Möglichkeit, selbst seine Schwachstellen zu verbessern, bevor sie von anderen entdeckt und zum Angriffsziel feindlicher (privater oder staatlicher) Hackergruppen werden können. Abstrakt könnte man sagen, dass bei White Hat Hacking der Angreifer selbst das Ziel ist und ein Sicherheitsinteresse am angegriffenen Ziel hat. Beim Black Hat Hacking hingegen ist der Angreifer nie sein eigens Ziel, da er ein Interesse an der Ausnutzung der Schwachstelle hat.[39]

Eine weitere Form des Umgangs mit Schwachstellen ist das so genannte Responsible Disclosure.[40] Damit ist der Prozess der Offenlegung einer detektierten Schwachstelle in einer Soft- oder Hardware gemeint, die auf verantwortliche Weise erfolgen soll. Getragen ist dieses Konzept von der Idee vieler ethischer Hacker, dass es eine ethische Verpflichtung gegenüber der Öffentlichkeit gäbe, erkannte Schwachstellen zum Schutz der Öffentlichkeit transparent zu machen, diese also offenzulegen.

Verantwortliche Offenlegung bedeutet, dass der Hacker, der die Schwachstelle entdeckt hat, zuerst die betroffene Organisation informiert. Die Öffentlichkeit wird erst nach einer gewissen Zeit informiert, so dass die betroffene Organisation die Chance hat die Lücke zu schließen, bevor mit der Öffentlichkeit auch mögliche feindliche Hacker die Information erhalten. Im Gegensatz dazu steht das Full Disclosure, bei der der Hacker seine Entdeckung sofort offengelegt und zugleich die betroffene Organisation informiert. Damit wird ein enormer Druck auf die betroffene Organisation aufgebaut, die Lücke zu schließen bevor feindlich gesonnene Angreifer – die dann ebenfalls die Information der Offenlegung erhalten haben – einen Schaden anrichten können.

Wie Organisationen mit Informationen über ihre Schwachstellen umgehen, ob Sie die Meldung im Sinne des Responsible Disclosure anerkennen, für das Eindringen in die Systeme den Hackern mit Strafverfolgung androhen oder ihnen gar Geld anbieten, um einen Private Disclosure zu kaufen, bei dem die Öffentlichkeit gar nicht informiert wird, hängt von der Sicherheitsstrategie der jeweiligen Organisation ab. Schließlich gibt es noch Bug Bounty Programme.[41] Dabei handelt es sich um eine Art Kopfgeld auf Fehler im System, nach denen Hacker suchen können. Die Organisation, die das „Kopfgeld“ auslobt, hat einen regulierten Meldeprozess, der sicherstellen soll, dass eine Responsible Disclosure eingehalten wird.

Auch die Bundeswehr hat eine Sicherheitsstrategie zum präventiven Schutz ihrer IT-Systeme und Webanwendungen. Diese Vulnerability Disclosure Policy ist auf ihrer Internetseite veröffentlicht. Dort bittet sie darum, über entdeckte Schwachstellen zu informieren, so dass sie dieses Problem schnellstmöglich beheben kann. Bezüglich des Meldevorgangs beschreibt sie das erbetene Vorgehen und bietet gesicherte Kommunikationskanäle an. Im Gegenzug verspricht die Bundeswehr, den Finder der Schwachstelle in seiner Leistung öffentlich anzuerkennen und keine Strafverfolgung einzuleiten: „Handeln Sie gemäß den oben genannten Anweisungen der Security Policy der Bundeswehr, werden die Strafverfolgungsbehörden im Zusammenhang mit Ihren Erkenntnissen nicht informiert. Dies gilt nicht, wenn erkennbar kriminelle oder nachrichtendienstliche Absichten verfolgt werden.“[42] Mit dem letzten Satz des Versprechens der Bundeswehr schlägt das un/ethische Hacking im Grenzgang zwischen Sicherheitsanforderung und Angriffslücke in ziviler und militärischer Hinsicht den Bogen explizit zurück zum Cyberkrieg und seinen vielschichtigen Herausforderungen an die IT-Sicherheit.

 

13.4 Literatur

Anonymous (2022): The Anonymous collective is officially in cyber war against the Russian government, 24.2.2022, https://twitter.com/youranonone/status/1496965766435926039, letzter Abruf am 5.8.2023.

BBK – Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (o.D.): Haager Konvention, https://www.bbk.bund.de/DE/Themen/Schutz-Kulturgut/Was-ist-Kulturgut/Haager-Konvention/haager-konvention_node.html, letzter Abruf am 4.8.2023.

Biermann, Kai (2013): Bug Bounty. Kopfgeldjagd im Internet, in: Zeit Online, 3.9.2013, https://www.zeit.de/digital/datenschutz/2013-09/bug-bounty-hack/komplettansicht, letzter Abruf am 8.8.2023.

Bittner, Stephanie (2022): Moderne Kriegsführung: Welche Rolle spielen Cyberangriffe im Ukraine-Krieg?, SWR Wissen vom 3.3.2022, https://www.swr.de/wissen/cyberkrieg-in-der-ukraine-100.html, letzter Abruf am 3.8.2023.

BKA (2022): Einladung zur Vorstellung des Lagebilds Cybercrime, 4.5.2022, https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2022/Presse2022/220504_PM_CybercrimeBLB.html, letzter Abruf am 8.8.2023.

BMVG – Bundesministerium für Verteidigung (2021): Cyberoperationen: Deutschland dringt auf Einhaltung des Völkerrechts, 16.03.2021, https://www.bmvg.de/de/aktuelles/cyberoperationen-deutschland-einhaltung-voelkerrechts-5040696, letzter Abruf am 6.8.2023.

BMVG – Bundesministerium für Verteidigung (2023): Artikel 4 und 5 im NATO-Vertrag: Gemeinsam beraten und füreinander einstehen, 31.1.2023, https://www.bmvg.de/de/aktuelles/gemeinsam-entscheiden-artikel-4-und-5-des-nato-vertrages-5572746, letzter Abruf am 6.8.2023.

bpb: Bundeszentrale für politische Bildung (2020): Cyberwar. Nach Schubert, Klaus/ Martina Klein: Das Politiklexikon. 7., aktual. u. erw. Aufl. Bonn: Dietz. https://www.bpb.de/kurz-knapp/lexika/politiklexikon/296290/cyberwar/, letzter Abruf am 28.06.2023.

BSI (a): Bundesamt für Sicherheit in der Informationstechnik (o.D.): DoS- und DDoS-Attacken, https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/DoS-Denial-of-Service/dos-denial-of-service_node.html, letzter Abruf am 3.8.2023.

BSI (b): Bundesamt für Sicherheit in der Informationstechnik (o.D.): Zero-Day-Exploit, https://www.bsi.bund.de/SharedDocs/Glossareintraege/DE/Z/Zero-Day-Exploits.html, letzter abruf am 7.8.2023.

Bundesregierung (2021): On the Application of International Law in Cyberspace. Position Paper, März 2021, https://www.auswaertiges-amt.de/blob/2446304/2ae17233b62966a4b7f16d50ca3c6802/on-the-application-of-international-law-in-cyberspace-data.pdf, letzter Abruf am 6.8.2023.

Bundeswehr (o.D.): Erläuterung und Security Policy, https://www.bundeswehr.de/de/security-policy, letzter Abruf am 8.8.2023.

CISA – Cybersecurity & Infrastructure Security Agency (2022): Update: Destructive Malware Targeting Organizations in Ukraine. 28.04.2022, https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-057a, letzter Abruf am 4.8.2023.

Clausewitz, Carl von (2008): Vom Kriege, 5. Auflage, Ullstein Berlin.

ComputerWeekly.de (o.D.): Black Hat, https://www.computerweekly.com/de/definition/Black-Hat, letzter Abruf am 7.8.2023.

DARPA –  Defense Advanced Research Projects Agency (o.D.): ARPANET, https://www.darpa.mil//about-us/timeline/arpanet, letzter Abruf am 13.05.2023.

Deutschlandfunk (2016): NATO-Verteidigungsministertreffen. NATO erklärt Cyberspace zum Einsatzgebiet, 15.6.2021, https://www.deutschlandfunk.de/nato-verteidigungsministertreffen-nato-erklaert-cyberspace-100.html, letzter Abruf am 6.8.2023.

Euronews (2023): Wie wird KI im Krieg eingesetzt: Russlands Kamikaze-Drohnen gar nicht so smart?, 20.2.2023, https://de.euronews.com/2023/02/20/ki-krieg-drohnen-waffen, letzter Abruf am 3.8.2023.

Gaist, Nir (o.D.): Should Governments Stockpile Zero-Day Vulnerabilities?, in: Cyber Startup Observatory, https://cyberstartupobservatory.com/should-governments-stockpile-zero-day-vulnerabilities, letzter Abruf am 7.8.2023.

Gaycken, Sandro (2022): Welche Rolle spielt der Cyberkrieg beim Überfall auf die Ukraine? Interview, der Bundeszentrale für politische Bildung vom 10.3.2022, https://www.bpb.de/kurz-knapp/hintergrund-aktuell/506109/welche-rolle-spielt-der-cyberkrieg-beim-ueberfall-auf-die-ukraine/, letzter Abruf am 5.8.2023.

Genfer Abkommen (o.D.), in: Deutsches rotes Kreuz: Humanitäres Völkerrecht. Genfer Abkommen, https://www.drk.de/das-drk/auftrag-ziele-aufgaben-und-selbstverstaendnis-des-drk/humanitaeres-voelkerrecht-im-kontext-des-drk/genfer-abkommen/, letzter Abruf am 4.8.2023.

Grundgesetz für die Bundesrepublik Deutschland, in: Deutscher Bundestag, https://www.bundestag.de/parlament/aufgaben/rechtsgrundlagen/grundgesetz/gg_10a-245146,   letzter Abruf am 6.8.2023.

Inversini, Reto (2020): Cyber Peace: And how it can be achieved, in: Christen, Markus/ Gordijn, Bert/ Loi Michele (Hrsg.): The Ethics of Cybersecurity, SpringerOpen Cham, 259-276.

Jaques-Chiffelle, David-Olivier/ Loi, Michele (2020): Ethical and Unethical Hacking, in: Christen, Markus/ Gordijn, Bert/ Loi Michele (Hrsg.): The Ethics of Cybersecurity, SpringerOpen Cham, 179-204.

Kimminich, Otto (1976): Krieg, in: Ritter, Joachim (Hrsg.): Historisches Wörterbuch der Philosophie, Band 4: I-K, Wissenschaftliche Buchgesellschaft Darmstadt, 1230-1235.

Manjikian, Mary (2018). Cybersecurity Ethics. An Introduction. Routledge Verlag Abington und New York.

Matthay, Sabine (2023): Drohnen im Ukraine-Krieg. „Eine neue Ära der Kriegsführung“, Tagesschau vom 3.8.2023, https://www.tagesschau.de/ausland/europa/ukraine-drohnen-104.html, letzter Abruf am 3.8.2023.

McMahan, Jeff (2010): Kann Töten gerecht sein? Krieg und Ethik. WBG Darmstadt.

Microsoft (2022): Digital Defense Report 2022, S.02, https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5bUvv?culture=en-us&country=us, letzter Abruf am 3.8.2023.

Muth, Max (2022): IT-Sicherheit in der Ukraine: Der erste echte Cyberkrieg. In: Süddeutsche Zeitung vom 4. November 2022, https://www.sueddeutsche.de/wirtschaft/mircosoft-ukraine-cybersicherheit-russland-hackerangriff-it-sicherheit-1.5687083, letzter Abruf am 3.8.2023.

NATO (2023): Cyber defence, https://www.nato.int/cps/en/natohq/topics_78170.htm,  Aktualisierung vom 22.6.2023, letzter Abruf am 03.08.2023.

Ramanti, Romano (2020): Offenlegung von Sicherheitslücken aus ethischer Sicht, in: Hochschule für Wirtschaft Zürich: Aktuell, 26.10.2020, https://fh-hwz.ch/news/offenlegung-von-sicherheitsluecken-aus-ethischer-sicht, letzter Abruf am 8.8.2023.

RAND (2017): RAND Study Examines 200 Real-World ‘Zero-Day’ Software Vulnerabilities, 9.3.2017, https://www.rand.org/news/press/2017/03/09.html, letzter Abruf am 7.8.2023.

Sauer, Frank (2018) in: Monitor: Killer-Roboter: Töten ohne Gewissen?, 22.05.2018. https://www.youtube.com/watch?v=ltLV5Na7owU, letzter Abruf am 28.06.2023.

Scherschel, Fabian A. (2020): 3 Jahre NotPetya: Der Erpressungstrojaner, der keiner war, in: heise online, 27.6.2020, https://www.heise.de/hintergrund/3-Jahre-NotPetya-Der-Erpressungstrojaner-der-keiner-war-4797250.html, letzter Abruf am 7.8.2023.

Schmidt, Matthias (2022): Verschränkung von physischer und digitaler Welt, in: ders. (Hrsg.): Kompendium Digitale Transformation. Perspektiven auf einen gesellschaftlichen Umbruch. UVG Verlag Berlin, https://pressbooks.pub/kompendium/chapter/verschraenkung-von-physischer-und-digitaler-welt/, letzter Abruf am 28.12.2022.

Schmitt, Michael N. (2017) (Hrsg.): Tallinn Manual 2.0 on the International Law applicable to Cyber Operations, Cambridge University Press.

Sommer, Gert (2022): Gerechter Krieg, in: Dorsch Lexikon der Psychologie, 21.09.2022, https://dorsch.hogrefe.com/stichwort/gerechter-krieg, letzter Abruf am 4.8.2023.

The Epoch Times (2022): Bundesregierung bestätigt Cyberattacken auf mehrere Behörden, 10.5.2022, https://www.epochtimes.de/politik/deutschland/bundesregierung-bestaetigt-cyberattacken-auf-mehrere-behoerden-a3821934.html, letzter Abruf am 5.8.2023.

UN Charta (1973): Charta der Vereinten Nationen und Statut des Internationalen Gerichtshofs, in: Bundesgesetzblatt 1973 II. Tag der Ausgabe: Bonn, den 9. Juni 1973, S. 505-531. Bezogen als PDF über: https://unric.org/de/charta/#Kapitel%20II%20%E2%80%93%20Mitgliedschaft, letzter Abruf am 4.8.2023.

Vilmer, Jean-Baptiste Jeangène (2018): Terminator-Ethik: Sollten Killerroboter verboten werden? In: Otto, Philipp/ Gräf, Eike (Hrsg.): 3TH1CS. Die Ethik der digitalen Zeit, Sonderausgabe für die Bundeszentrale für politische Bildung, Bonn, 114-132.

Fußnoten

[1] Vgl. DARPA.

[2] Schmidt (2022).

[3] Clausewitz (2008: 44).

[4] Vgl. ebd.: 27, 28.

[5] Vgl. BSI (a) (o.D.).

[6] Bittner (2022).

[7] CISA (2022).

[8] Vgl. Muth (2022) i.V.m. Microsoft (2022).

[9] Vgl. Matthay (2023).

[10] Vgl. Vilmer (2018: 118).

[11] Vgl. Euronews (2023).

[12] Vgl. Sauer (2018).

[13] bpb/Schubert (2020).

[14] NATO (2023).

[15] Vgl. Manjikian (2018: 171; 178).

[16] Vgl. Kimminich (1976: 1231).

[17] Vgl. McMahan (2010), auch kritisch dazu.

[18] Ebd.: 1235.

[19] UN Charta (1973: 1).

[20] Vgl. Genfer Abkommen (o.D.).

[21] Vgl. BBK (o.D.).

[22] Die Auflistung ist wörtlich übernommen von Sommer (2022).

[23] Vgl. bspw. The Epoch Times vom 10.5.2022, ausführlich und exemplarisch für zahlreiche ähnlich lautende Medienberichte mit Bezug auf die Pressekonferenz des BKA am 9.5.2022.

[24] Vgl. Anonymous (2022).

[25] Vgl. Gaycken (2022).

[26] Grundgesetz.

[27] Vgl. bspw. BMVG (2023).

[28] Vgl. Deutschlandfunk (2016).

[29] Vgl. Bundesregierung (2021) sowie Schmitt (2017).

[30] BMVG (2021)

[31] Vgl. weiterführend Manjikian (2018: 181ff.).

[32] Vgl. BSI (b) (o.D.).

[33] Vgl. ComputerWeekly (o.D.)

[34] Vgl. Gaist (o.D.).

[35] Vgl. Scherschel (2020).

[36] Vgl. RAND (2017).

[37] Vgl. Inversini (2020: 265).

[38] Siehe hierzu auch Kapitel 2.3

[39] Vgl. Jaquet-Chiffelle/ Loi (2020: 192).

[40] Vgl. Biermann (2013).

[41] Vgl. Ramanti (2020).

[42] Bundeswehr (o.D.).

Lizenz

Icon für Creative Commons Namensnennung-Weitergabe unter gleichen Bedinungen 4.0 International

Ethik in der IT-Sicherheit (2. erweiterte Auflage) Copyright © 2023 by Matthias Schmidt is licensed under a Creative Commons Namensnennung-Weitergabe unter gleichen Bedinungen 4.0 International, except where otherwise noted.

Dieses Buch teilen