Cyberkrieg – und keiner geht hin?
Myriam Dunn Cavelty pl?diert für eine realistische Einsch?tzung, wenn es darum geht, was staatliche Institutionen gegen Cyberattacken ausrichten k?nnen.
Man mag verleitet sein es ?Krieg? zu nennen, wenn eine Cyberattacke von einem staatlichen Akteur orchestriert worden ist. Schliesslich handelt es sich doch um einen Angriff auf nationale Infrastrukturen aus dem Ausland. Der Begriff ?Cyberkrieg? wird unterdessen aber so inflation?r gebraucht, dass ich nicht nur vor einem Hype warnen m?chte. Es ist auch an der Zeit, die Erwartungen zu d?mpfen, was die M?glichkeiten von staatlichem Handeln anbelangt.
Im kalten Krieg wurde ?Sicherheit? eng definiert. Haupts?chlich waren damit die klassischen milit?rischen Gefahren und die Verteidigung des Staatsterritoriums gemeint. Seither hat sich der Begriff ausgeweitet. So führt der Sicherheitspolitische Bericht der Schweiz1 von 2016 in der Liste der Bedrohungen neben dem bewaffneten Angriff auch den Terrorismus, die Kriminalit?t, die Manipulation des Informationsraums, Versorgungsst?rungen und allgemein Katastrophen und Notlagen auf. Eine solche Liste von neuen Bedrohungen führte dazu, dass die sicherheitspolitischen Instrumente für Pr?vention, Abwehr und Bew?ltigung eben dieser Gefahren angepasst wurden. Die Armee bleibt ein wichtiger Bestandteil, ist aber l?ngst nicht mehr das einzige Instrument.
Kriege sind Sache der Armee
Wenn Cyberattacken tats?chlich Krieg w?ren, dann müsste die Bew?ltigung dieser Gefahr prim?r eine Aufgabe der Armee sein. Diese Annahme entspricht aber nicht der Realit?t der Gef?hrdung und trifft sich auch nicht mit den rechtlichen und operativen F?higkeiten dieses sicherheitspolitischen Instruments.
?Wie bei anderen modernen Gefahren ist die Rolle, die der Staat in diesem Bereich wahrnehmen will (und kann), auffallend klein.?Myriam Dunn Cavelty
Die grosse Mehrheit von Cybervorf?llen haben einen kriminellen Hintergrund und zielen auf private Netzwerke und Verm?genswerte von Firmen. Staatliche Organe haben keinen Zugriff auf diese Netzwerke. Bei den wenigen Vorf?llen in regierungs(nahen) Netzwerken der letzten Jahre – in der Schweiz zum Beispiel prominent der RUAG-Vorfall2 2016 – handelte es sich um Spionage. Sie hinterlassen ein ungutes Gefühl und betreffen die nationale Sicherheit, doch geh?ren fremde nachrichtendienstliche Aktivit?ten zum Alltag. In einem Kriegszustand befinden wir uns deshalb noch lange nicht. Und obwohl wir wissen, dass sich nichtstaatliche und staatliche Akteure immer h?ufiger Cybermitteln bedienen, um strategische Ziele zu erreichen, bleiben alle diese Vorf?lle bisher klar (und sicherlich bewusst) unter der Kriegsschwelle.
Technische Massnahmen reichen nicht
Wenn nicht die Armee, welche staatliche Institution soll dann also für Cybersicherheitspolitik verantwortlich sein? Diese Frage besch?ftigt gegenw?rtig viele Staaten – auch in der Schweiz wird darüber debatiert. Weil politisch motivierte Vorf?lle zugenommen haben, wird die Cybersicherheit sp?testens seit 2010 als ein Problem der nationalen Sicherheit angesehen und in ihr integriert. Man hat eingesehen, dass sich das Problem nicht nur mit Hilfe von technisch-operativen Massnahmen l?sen l?sst. Dementsprechend gibt es einen Trend zur Zentralisierung: Vormals verteilte Cybersicherheitskompetenzen werden unter ziviler Führung gebündelt und politisch gest?rkt, indem sie spezifisch dafür verantwortlichen, auf zuweilen h?chster Staatsebene angesiedelten Einheiten gegeben werden.
Alles eine Frage der Eigenverantwortung?
Wie bei anderen ?modernen? Gefahren ist die Rolle, die der Staat in diesem Bereich wahrnehmen will (und kann), aber auffallend klein. Alle bekannten Cybersicherheitspolitiken setzen haupts?chlich auf Eigenverantwortung von Wirtschaft und Bürgern: es gilt der Selbstschutz. Das heisst: Der Staat soll nur eingreifen, wenn ?ffentliche Interessen auf dem Spiel stehen oder, in der Schweiz spezifisch3, wenn er im Sinne der Subsidiarit?t handelt. Die Streitkr?fte sind prim?r für den Schutz der eigenen Systeme zust?ndig. Dafür wird der Aufbau von offensiven und defensiven operationellen F?higkeiten im gegebenen rechtlichen Rahmen vorangetrieben.
Das ist gut so.
Cybersicherheit ist eine sicherheitspolitische Aufgabe – aber hier müssen alle an einem Strick ziehen. Die Sicherheit kann nur gest?rkt werden, wenn Wirtschaft, Hochschulen und verschiedene Beh?rden zusammenarbeiten und sinnvolle Kooperationen mit dem Ausland eingehen. Eine diskursive Militarisierung schafft nur Unruhe und weckt falsche Erwartungen.