Cyberkrieg – und keiner geht hin?
Myriam Dunn Cavelty plädiert für eine realistische Einschätzung, wenn es darum geht, was staatliche Institutionen gegen Cyberattacken ausrichten können.
Man mag verleitet sein es «Krieg» zu nennen, wenn eine Cyberattacke von einem staatlichen Akteur orchestriert worden ist. Schliesslich handelt es sich doch um einen Angriff auf nationale Infrastrukturen aus dem Ausland. Der Begriff «Cyberkrieg» wird unterdessen aber so inflationär gebraucht, dass ich nicht nur vor einem Hype warnen möchte. Es ist auch an der Zeit, die Erwartungen zu dämpfen, was die Möglichkeiten von staatlichem Handeln anbelangt.
Im kalten Krieg wurde «Sicherheit» eng definiert. Hauptsächlich waren damit die klassischen militärischen Gefahren und die Verteidigung des Staatsterritoriums gemeint. Seither hat sich der Begriff ausgeweitet. So führt der Sicherheitspolitische Bericht der Schweiz1 von 2016 in der Liste der Bedrohungen neben dem bewaffneten Angriff auch den Terrorismus, die Kriminalität, die Manipulation des Informationsraums, Versorgungsstörungen und allgemein Katastrophen und Notlagen auf. Eine solche Liste von neuen Bedrohungen führte dazu, dass die sicherheitspolitischen Instrumente für Prävention, Abwehr und Bewältigung eben dieser Gefahren angepasst wurden. Die Armee bleibt ein wichtiger Bestandteil, ist aber längst nicht mehr das einzige Instrument.
Kriege sind Sache der Armee
Wenn Cyberattacken tatsächlich Krieg wären, dann müsste die Bewältigung dieser Gefahr primär eine Aufgabe der Armee sein. Diese Annahme entspricht aber nicht der Realität der Gefährdung und trifft sich auch nicht mit den rechtlichen und operativen Fähigkeiten dieses sicherheitspolitischen Instruments.
«Wie bei anderen modernen Gefahren ist die Rolle, die der Staat in diesem Bereich wahrnehmen will (und kann), auffallend klein.»Myriam Dunn Cavelty
Die grosse Mehrheit von Cybervorfällen haben einen kriminellen Hintergrund und zielen auf private Netzwerke und Vermögenswerte von Firmen. Staatliche Organe haben keinen Zugriff auf diese Netzwerke. Bei den wenigen Vorfällen in regierungs(nahen) Netzwerken der letzten Jahre – in der Schweiz zum Beispiel prominent der RUAG-Vorfall2 2016 – handelte es sich um Spionage. Sie hinterlassen ein ungutes Gefühl und betreffen die nationale Sicherheit, doch gehören fremde nachrichtendienstliche Aktivitäten zum Alltag. In einem Kriegszustand befinden wir uns deshalb noch lange nicht. Und obwohl wir wissen, dass sich nichtstaatliche und staatliche Akteure immer häufiger Cybermitteln bedienen, um strategische Ziele zu erreichen, bleiben alle diese Vorfälle bisher klar (und sicherlich bewusst) unter der Kriegsschwelle.
Technische Massnahmen reichen nicht
Wenn nicht die Armee, welche staatliche Institution soll dann also für Cybersicherheitspolitik verantwortlich sein? Diese Frage beschäftigt gegenwärtig viele Staaten – auch in der Schweiz wird darüber debatiert. Weil politisch motivierte Vorfälle zugenommen haben, wird die Cybersicherheit spätestens seit 2010 als ein Problem der nationalen Sicherheit angesehen und in ihr integriert. Man hat eingesehen, dass sich das Problem nicht nur mit Hilfe von technisch-operativen Massnahmen lösen lässt. Dementsprechend gibt es einen Trend zur Zentralisierung: Vormals verteilte Cybersicherheitskompetenzen werden unter ziviler Führung gebündelt und politisch gestärkt, indem sie spezifisch dafür verantwortlichen, auf zuweilen höchster Staatsebene angesiedelten Einheiten gegeben werden.
Alles eine Frage der Eigenverantwortung?
Wie bei anderen «modernen» Gefahren ist die Rolle, die der Staat in diesem Bereich wahrnehmen will (und kann), aber auffallend klein. Alle bekannten Cybersicherheitspolitiken setzen hauptsächlich auf Eigenverantwortung von Wirtschaft und Bürgern: es gilt der Selbstschutz. Das heisst: Der Staat soll nur eingreifen, wenn öffentliche Interessen auf dem Spiel stehen oder, in der Schweiz spezifisch3, wenn er im Sinne der Subsidiarität handelt. Die Streitkräfte sind primär für den Schutz der eigenen Systeme zuständig. Dafür wird der Aufbau von offensiven und defensiven operationellen Fähigkeiten im gegebenen rechtlichen Rahmen vorangetrieben.
Das ist gut so.
Cybersicherheit ist eine sicherheitspolitische Aufgabe – aber hier müssen alle an einem Strick ziehen. Die Sicherheit kann nur gestärkt werden, wenn Wirtschaft, Hochschulen und verschiedene Behörden zusammenarbeiten und sinnvolle Kooperationen mit dem Ausland eingehen. Eine diskursive Militarisierung schafft nur Unruhe und weckt falsche Erwartungen.