06/2023
Stephan Hobe, Martin Schwamborn
Einleitung
Dass die vielfach verwendete Cybertechnologie nicht nur neue Chancen eröffnet, indem sie etwa autonomes Fahren, Fliegen und Ähnliches ermöglicht, ist spätestens klar geworden, seitdem es Cyberangriffe auf Estland im Jahre 2007, auf Georgien im Jahre 2008, auf den Iran im Jahre 2010, auf den Deutschen Bundestag im Jahre 2017 sowie auf das Universitätsklinikum in Düsseldorf im Jahre 2020 gegeben hat. Auch der völkerrechtswidrige Angriffskrieg Russlands gegen die Ukrainewird zwar in erster Linie konventionell geführt, gleichzeitig aber von Anfang an durch umfassende Cyberoperationen flankiert. Schon vor Beginn des russischen Überfalls auf die Ukraine haben sämtliche Großmächte Cyberspace nicht nur als neue Dimension, sondern auch als neue Domäne der Kriegführung betrachtet. Viele Staaten, unter anderem die USA, Russland, China, das Vereinigte Königreich, Israel, Deutschland, aber auch Nordkorea, haben eigene Cybereinheiten ins Leben gerufen, die sich vor allem mit der Abwehr entsprechender Angriffe befassen. Allein für Deutschland sei nur die Errichtung des Nationalen Cyber-Abwehrzentrums im Jahre 2011 sowie die Aufstellung des Organisationsbereichs Cyber- und Informationsraum (CIR) der Bundeswehr im Jahre 2017 mit seinem Kommando Cyber- und Informationsraum in Bonn genannt. Infolge des Ukraine-Krieges wurde jüngst von Bundesinnenministerin Nancy Faeser auch eine Debatte über eine Grundgesetzänderung angestoßen, die dem Bund zusätzliche Kompetenzen zur Abwehr von Cyberattacken inklusive der Möglichkeit aktiver Gegenangriffe, sogenannter „Hackbacks“, einräumen soll.
Mit den verschiedenen Formen von Attacken auf Computerbetriebssysteme durch Viren, Würmer, Trojanische Pferde, Logische Bomben, Backdoor oder Denial of Service-Attacken ist die Variationsbreite möglicher Angriffe enorm. Als einführendes Beispiel für Auswirkungen und Probleme, die mit Cyberangriffen sowohl in faktischer als auch in völkerrechtlicher Hinsicht verbunden sind, soll an dieser Stelle der Computerwurm Stuxnet dienen. Bei Stuxnet handelt es sich um ein Schadprogramm, welches gezielte Angriffe auf ein bestimmtes System zur Überwachung und Steuerung technischer Prozesse ermöglicht. Genau dieses SCADA-System (aus dem Englischen, Supervisory Control and Data Acquisition), die Simatic S7, wurde unter anderem auch zur Steuerung von Zentrifugen zur Urananreicherung in der iranischen Atomanlage Natanz verwendet. Stuxnet manipulierte die Rotationsgeschwindigkeit der hochsensiblen Zentrifugen, was die iranische Urananreicherung empfindlich gestört und langfristig zu einer Zerstörung von etwa 1000 der 9000 Zentrifugen in Natanz geführt hat. Wer den Computerwurm in die iranische Atomanlage eingeschleust hat, ist nach wie vor nicht endgültig geklärt. Zwar gehen Experten wegen der Komplexität der Schadsoftware davon aus, dass die handelnden Personen Unterstützung von staatlicher Seite hatten, wobei insbesondere die USA und Israel genannt werden, doch ist die Verantwortung bis heute offen.
Der Stuxnet-Fall weist damit zwei Charakteristiken auf, die für Cyberangriffe typisch sind. Zum einen kann ein vermeintlich harmloses Computerprogramm große Schäden verursachen, was zwangsläufig zur Frage nach möglichen Gegenmaßnahmen führt. Zum anderen ist oftmals nicht oder jedenfalls nicht innerhalb kurzer Zeit zu ermitteln, von wo und vor allem durch wen der Angriff verübt wurde. Vergleichbare Szenarien wie im Stuxnet-Fall, also Angriffe auf kritische Infrastruktur wie Strom- und Wasserversorgung, Krankenhäuser oder Telekommunikationseinrichtungen können jederzeit auch die Bundesrepublik Deutschland oder einen NATO-Bündnispartner treffen. Infolge des Ukraine-Krieges geht das Bundesamt für Sicherheit in der Informationstechnik (BSI) zurzeit von einer „erhöhte[n] Bedrohungslage für Deutschland“ aus, weshalb sich die Frage nach der völkerrechtlichen Einordnung derartiger Cyberangriffe besonders deutlich aktualisiert.
Ein besonderer Fokus soll hier auf dem Recht der Selbstverteidigung liegen. Zur besseren Einordnung ist der Beitrag in zwei Teile gegliedert. Den Anfang macht ein allgemeiner Überblick zu den rechtlichen Grundlagen und Voraussetzungen des Selbstverteidigungsrechts souveräner Staaten, einschließlich seiner Stellung im allgemeinen Völkerrecht (A.). Anschließend werden die Herausforderungen für das Selbstverteidigungsrecht beleuchtet, die sich aus den Charakteristiken des Cyberspace und der dortigen Angriffsformen ergeben (B.).
A Grundlagen und Einordnung des Selbstverteidigungsrechts souveräner Staaten nach Art. 51 UN-Charta
Um die Besonderheiten und Herausforderungen für das Selbstverteidigungsrecht gegenüber Cyberangriffen vollständig erfassen zu können, kommt man nicht umhin, die völkerrechtlichen Grundlagen des in Art. 51 UN-Charta verankerten Selbstverteidigungsrechts zu betrachten. Ausgangspunkt ist Art. 2 Ziff.1 UN-Charta, wonach die Organisation der Vereinten Nationen auf dem Grundsatz der souveränen Gleichheit aller ihrer Mitglieder beruht. Die sogenannte Friendly Relations Declaration der UN-Generalversammlung vom 24. Oktober 1970 hat diesen „Grundsatz der souveränen Gleichheit der Staaten“ wie folgt konkretisiert:
„Alle Staaten genießen souveräne Gleichheit. Sie haben gleiche Rechte und Pflichten und sind ungeachtet wirtschaftlicher, sozialer, politischer oder anderer Unterschiede gleichberechtigte Mitglieder der internationalen Gemeinschaft.“
Abgesichert wird die souveräne Gleichheit aller Mitgliedstaaten der UN durch verschiedene völkerrechtliche Grundprinzipien, die weitgehend auch in Art. 2 UN-Charta festgehalten sind. Für die hier relevante Frage nach dem Umgang mit Cyberangriffen ist neben dem sogenannten Interventionsverbot, auf das noch zurückzukommen sein wird, insbesondere das Gewaltverbot von Interesse. Nach Art. 2 Ziff.4 UN-Charta unterlassen alle Mitglieder in ihren internationalen Beziehungen jede gegen die territoriale Unversehrtheit oder die politische Unabhängigkeit eines Staates gerichtete oder sonst mit den Zielen der Vereinten Nationen unvereinbare Androhung oder Anwendung von Gewalt. Entsprechend seiner Funktion zur Sicherung des Weltfriedens untersagt Art. 2 Ziff.4 UN-Charta jede Form der Gewaltanwendung. Ohne bereits an dieser Stelle ins Detail gehen zu wollen, können vom Gewaltverbot neben dem klassischen Anwendungsfall der militärischen Gewalt im Sinne einer Waffenanwendung gegen das Hoheitsgebiet oder die Streitkräfte eines anderen Staates auch Maßnahmen unterhalb der Schwelle eines Krieges, wie beispielsweise die Entsendung bewaffneter Rebellengruppen oder Banden, fallen. Auf diese letzte Fallgruppe und den in diesem Zusammenhang relevanten Nicaragua-Fall des Internationalen Gerichtshofs wird noch im späteren Verlauf des Beitrags zurückzukommen sein.
An dieser Stelle genügt es zunächst einmal festzuhalten, dass Art. 2 Ziff.4 UN-Charta jede Form der Gewaltanwendung zwischen den Staaten untersagt und dass die UN-Charta nur zwei Ausnahmen von diesem Grundsatz kennt. Ausdrücklich vom Gewaltverbot ausgenommen sind zum einen Maßnahmen der kollektiven Sicherheit nach Art. 39 bis 50 UN-Charta, also Handlungen des UN-Sicherheitsrats zur Friedenssicherung. Die zweite Ausnahme bildet das Selbstverteidigungsrecht der Staaten. Der insoweit relevante Art. 51 UN-Charta beinhaltet folgende Regelung:
„Diese Charta beeinträchtigt im Falle eines bewaffneten Angriffs gegen ein Mitglied der Vereinten Nationen keineswegs das naturgegebene Recht zur individuellen oder kollektiven Selbstverteidigung, bis der Sicherheitsrat die zur Wahrung des Weltfriedens und der internationalen Sicherheit erforderlichen Maßnahmen getroffen hat. Maßnahmen, die ein Mitglied in Ausübung dieses Selbstverteidigungsrechts trifft, sind dem Sicherheitsrat sofort anzuzeigen; sie berühren in keiner Weise dessen auf dieser Charta beruhende Befugnis und Pflicht, jederzeit die Maßnahmen zu treffen, die er zur Wahrung oder Wiederherstellung des Weltfriedens und der internationalen Sicherheit für erforderlich hält.“
Bereits dem Wortlaut von Art. 51 UN-Charta lassen sich verschiedene Anforderungen und Grenzen des staatlichen Selbstverteidigungsrechts entnehmen. Nicht zuletzt, um Wiederholungen im zweiten Teil des Beitrags zu vermeiden, geht es an dieser Stelle nur darum, einen Überblick zu den einzelnen Voraussetzungen und den damit verbundenen Problemen zu geben, die sich bei der Reaktion auf Cyberattacken stellen.
Ausgangspunkt und Grundvoraussetzung des Selbstverteidigungsrechts ist das Vorliegen eines „bewaffneten Angriffs“ auf einen Mitgliedstaat der Vereinten Nationen. Während ein konventioneller, das heißt in diesem Zusammenhang vor allem analoger Militärschlag eines Staates gegen das Territorium oder die Streitkräfte eines anderen Staates regelmäßig ohne Weiteres als „bewaffneter Angriff“ eingeordnet werden kann, ist die Lage bei Cyberattacken, die jedenfalls im Ausgangspunkt im rein digitalen Raum ablaufen, nicht immer eindeutig. Hinzu kommt, dass der „bewaffnete Angriff“ von einem anderen Staat ausgehen oder diesem jedenfalls zurechenbar sein muss. Stellt die Frage der Zurechnung von Handlungen privater Akteure an Staaten das Völkerrecht in Zeiten des internationalen Terrorismus schon bei analogen Angriffen vor nicht unerhebliche Herausforderungen, kommt bei Cyberattacken das Problem der schwierigen – wenn nicht sogar unmöglichen – technischen Rückverfolgbarkeit hinzu. Mit anderen Worten: Der Verursacher kann regelmäßig nicht ermittelt werden. Auch die weiteren Voraussetzungen bzw. die Grenzen des völkerrechtlichen Selbstverteidigungsrechts können im Einzelfall mit nicht unerheblichen Schwierigkeiten verbunden sein. So muss die Selbstverteidigung der Abwehr eines gegenwärtigen Angriffs dienen und die ergriffenen Verteidigungsmaßnahmen müssen verhältnismäßig sein. Insbesondere wenn man die schwierige und unter Umständen langwierige Rückverfolgung von Cyberattacken betrachtet, kann das Kriterium der Gegenwärtigkeit des Angriffs bzw. der Unmittelbarkeit der Verteidigung problematisch sein. Unter dem Gesichtspunkt der Verhältnismäßigkeit ist insbesondere zu diskutieren, welche Reaktionen auf Cyberattacken möglich und vor allem angemessen sind. Neben diesen quantitativen und qualitativen Anforderungen an das Selbstverteidigungsrecht kommt noch eine weitere zeitliche Grenze hinzu. So muss die Selbstverteidigung sofort dem UN-Sicherheitsrat angezeigt werden und das Recht zur Selbstverteidigung endet spätestens, wenn der Sicherheitsrat die zur Wahrung des Weltfriedens und der internationalen Sicherheit erforderlichen Maßnahmen getroffen hat. In der Anzeigepflichtkommt die rechtliche Subsidiarität des Selbstverteidigungsrechts gegenüber Maßnahmen des UN-Sicherheitsrats zur kollektiven Sicherheit zum Ausdruck.
Bevor im zweiten Teil des Beitrags die einzelnen Voraussetzungen und Grenzen ausführlicher erläutert und hinsichtlich ihrer Anwendbarkeit auf Cyberattacken einer kritischen Betrachtung unterzogen werden, gilt es im allgemeinen Teil mit dem Interventionsverbot noch ein weiteres völkerrechtliches Grundprinzip für die zwischenstaatlichen Beziehungen zu behandeln. Wie soeben geschildert, ist die Grundvoraussetzung des Selbstverteidigungsrechts das Vorliegen eines „bewaffneten Angriffs“. Wie zu zeigen sein wird, sind gerade im Bereich des Cyberspace nicht wenige Szenarien denkbar, die man umgangssprachlich als „Hacker-Angriff“ einordnen würde, die im juristischen Sinne aber nicht die Schwelle des „bewaffneten Angriffs“ nach Art. 51 UN-Charta bzw. die Schwelle des Gewaltverbots aus Art. 2 Ziff. 4 UN-Charta überschreiten. Dies schließt zwar die Möglichkeit zur Selbstverteidigung aus, stellt den betroffenen Staat aber nicht vollkommen schutzlos. Es kommt nämlich nach wie vor ein Verstoß gegen das völkerrechtliche Interventionsverbot in Betracht.
Das Interventionsverbot schließt eine Einmischung in innere Angelegenheiten eines anderen Staates aus. So untersagt Art. 2 Ziff. 7 UN-Charta, außer im Falle von Maßnahmen der kollektiven Sicherheit, ein Eingreifen der Ver einten Nationen in „Angelegenheiten, die ihrem Wesen nach zur inneren Zuständigkeit eines Staates gehören“. Doch nicht nur für die Vereinten Nationen ist ein solcher Eingriff ausgeschlossen. Auch zwischen den Mitgliedstaaten besteht ein allgemeines Interventionsverbot. Der Internationale Gerichtshof hat im Nicaragua-Fall die Geltung des Interventionsverbots als Satz des Völkergewohnheitsrechts unter Bezugnahme auf die bereits angesprochene Friendly Relations Declaration ausdrücklich anerkannt. Eine verbotene Intervention setzt voraus, dass eine Einmischung in die inneren Angelegenheiten eines Staates vorliegt, die unter Androhung oder Anwendung von Zwang erfolgt ist. Als innere Angelegenheiten gelten jene Bereiche, die dem Staat vorbehalten sind (sog. domaine reservé), wozu der Internationale Gerichtshof die Wahl des politischen, wirtschaftlichen, sozialen und kulturellen Systems sowie die Formulierung der auswärtigen Politik gezählt hat. Problematischer ist demgegenüber, wann eine bestimmte Handlung als verbotener Zwang einzuordnen ist. Dass eine Cyberattacke, die keinen „bewaffneten Angriff“ im Sinne des Art. 51 UN-Charta darstellt, einen Verstoß gegen das Interventionsverbot begründen kann, ist allerdings alles andere als von vornherein ausgeschlossen. Natürlich stellen sich auch hier die bereits angesprochenen Probleme der Rückverfolgbarkeit und Zurechnung sowie der Angemessenheit einer staatlichen Gegenmaßnahme. Dennoch bietet auch das Interventionsverbot einen völkerrechtlichen Anknüpfungspunkt für einen Umgang mit Cyberattacken, weshalb im weiteren Verlauf des Beitrags auch darauf noch ausführlicher einzugehen sein wird.
B. Cyberangriffe als Herausforderung für das Selbstverteidigungsrecht
Im Anschluss an den kurzen Überblick über die völkerrechtlichen Grundlagen des Selbstverteidigungsrechts können nun die Herausforderungen in den Blick genommen werden, die mit den schier unbegrenzten Angriffsmöglichkeiten im Cyberspace und ihren Auswirkungen einhergehen. Um diese nicht nur zu erfassen, sondern möglichst auch völkerrechtlich zu bewältigen, muss zunächst eine wichtige Vorfrage geklärt werden. Ausgangspunkt der Überlegungen muss selbstverständlich die Frage sein, was unter Cyberspace und Cyberattacken zu verstehen ist und vor allem, ob und wenn ja unter welchen Voraussetzungen beide Phänomene einer völkerrechtlichen Erfassung und Regelung zugänglich sind. In keinem Fall darf Cyberspace als „Wilder Westen“ oder gar „rechtliches Niemandsland“ angesehen werden. Vielmehr können die Regeln des analogen Völkerrechts grundsätzlich auch im digitalen Raum zur Anwendung gebracht werden. Welche Herausforderungen sich dabei stellen bzw. ob und wie die analogen Regelungen unter Umständen angepasst oder modifiziert werden müssen, soll im Folgenden untersucht werden.
I. Ausgangspunkt: Cyberspace und Völkerrecht
Was ist also Cyberspace und warum stellt er das Völkerrecht vor besondere Herausforderungen? Eine allgemeinverbindliche völkerrechtliche Definition von Cyberspace gibt es bislang nicht. Als Begriff taucht „Cyberspace“ zum ersten Mal in zwei Science-Fiction-Werken von William Gibson auf, die 1982 und 1984 erschienen sind. Umschreiben lässt sich Cyberspace am ehesten als „der virtuelle Raum, der durch die entsprechenden Verbindungen zwischen Sender und Empfänger und deren Computer hergestellt wird“ oder aber als „kommunikativer Raum zwischen Computern und fließenden Netzwerken“. Eine ganz ähnliche Definition findet sich im Glossar der Cybersicherheitsstrategie für Deutschland des Bundesministeriums des Inneren, für Bau und Heimat (BMI) aus dem Jahr 2021:
„Der Cyberraum ist der virtuelle Raum aller weltweit auf Datenebene vernetzten beziehungsweise vernetzbaren informationstechnischen Systeme. Dem Cyberraum liegt als öffentlich zugängliches Verbindungsnetz das Internet zugrunde, das durch beliebige andere Datennetze erweitert werden kann.“
Als virtueller und durch weltweite Vernetzung geprägter Raum zeichnet sich Cyberspace insbesondere durch seine Ubiquität, also seine Ungebundenheit an einen bestimmten Standort aus. Obwohl einzelne Aspekte des virtuellen Raums wie beispielsweise Standorte von Computern oder Servern lokalisierbar sind, liegt der eigentliche Kern des Cyberspace in seiner dezentralen Vernetzung. Während im Völkerrecht klassischerweise eine Anknüpfung an staatliche Territorien und dem damit verbundenen Regelungsanspruch des jeweiligen Staates möglich ist, können im Cyberspace Ursprung, Zwischenstationen und Effekt einer Handlung räumlich weit auseinanderfallen und dennoch innerhalb kürzester Zeit verschiedene Staaten betreffen. Um es mit den Worten des Völkerrechtlers Andreas von Arnauld zu sagen: „Der virtuelle Raum des Cyberspace und der geographische Raum des Staates überlappen sich, passen aber nicht aufeinander.“
Wie bereits gesagt, sollte Cyberspace aber nicht vorschnell als völkerrechtliches „Niemandsland“ eingeordnet werden. Vielmehr geben die Staaten ihre grundsätzlich umfassenden Regelungsansprüche für das eigene Territorium auch im Angesicht von Cyberspace nicht auf. In Bezug auf das völkerrechtliche Selbstverteidigungsrecht nennen beispielsweise die Vereinigten Staaten in der National Cyber Strategy von 2018 ausdrücklich auch militärische Mittel als mögliche Antwort auf Cyberattacken. Auch NATO-Generalsekretär Jens Stoltenberg hat keinen Zweifel daran gelassen, dass die NATO den Cyberspaceals Domäne der Kriegführung auffasst und bereit ist, bei schweren Cyberattacken auch Maßnahmen der kollektiven Selbstverteidigung zu ergreifen. Inwieweit diese erklärte Bereitschaft auch auf eine völkerrechtliche Grundlage gestützt werden kann, gilt es noch im Einzelnen zu klären. Zuvor muss aber noch einmal das Bewusstsein für die zentrale Herausforderung geschärft werden, mit der sich das Völkerrecht bei Cyberoperationen konfrontiert sieht.
Cyberspace stellt das herkömmliche territoriale oder raumbezogene Denken im Völkerrecht deshalb vor Probleme, weil er sich aufgrund seiner Ubiquität der Zuordnung zu einer raumbezogenen staatlichen Jurisdiktionsgewalt jedenfalls in Teilen zu entziehen scheint. So banal diese Feststellung klingt: Die eigentliche Schwierigkeit im Umgang mit Cyberoperationen in völkerrechtlicher Hinsicht liegt in der fehlenden räumlichen Zuordnung. Dies lässt sich anhand eines einfachen Vergleichs von konventionellen und virtuellen Angriffen verdeutlichen. Konventionelle Militärschläge eines Staates A auf das Territorium eines Staates B lassen sich regelmäßig ohne Weiteres völkerrechtlich einordnen. Gleiches gilt für die Frage des Selbstverteidigungsrechts. Die Tatsache, dass moderne Kriegführung über Telekommunikations- oder Zielführungssysteme in weiten Teilen computergestützt abläuft, macht einen konventionellen Militärschlag noch nicht zu einer für die völkerrechtliche Einordnung problematischen Cyberoperation. Gleiches gilt für einen konventionellen Angriff auf Telekommunikations- oder sonstige IT-Einrichtungen. Die eigentliche Herausforderung für das Völkerrecht besteht in einem Angriff, der – ungeachtet seiner möglichen Auswirkungen auf die reale Welt – vollständig im oder durch den digitalen bzw. virtuellen Raum abläuft. Besonderes Augenmerk muss deshalb auf jenen Operationen liegen, „die Wirkungen im oder durch den Cyberraum zeitigen oder zu zeitigen bestimmt sind.“
Wie bereits eingangs erwähnt, ist die Bandbreite möglicher Angriffe auf bzw. durch Computerbetriebssysteme mittels Viren, Würmern, Trojanischen Pferden, Logischen Bomben, Backdoor oder Denial of Service-Attacken enorm. Eine ganz andere Frage ist es aber, ob derartige „Hacker-Angriffe“ auch in völkerrechtlicher Hinsicht als Angriff einzuordnen sind, der eine entsprechende staatliche Reaktion im Wege einer militärischen Selbstverteidigung rechtfertigen würde.
II. Möglichkeiten und Grenzen des Selbstverteidigungsrechts bei Cyberattacken
Cyberattacken eröffnen nur dann das Recht auf Selbstverteidigung, wenn im jeweiligen Einzelfall die Voraussetzungen von Art. 51 UN-Charta erfüllt sind. Ausweislich des klaren Wortlauts setzt das Selbstverteidigungsrecht zunächst das Vorliegen eines „bewaffneten Angriffs gegen einen Mitgliedstaat der Ver einten Nationen“ voraus (1.). Dieser Angriff – und das ist gerade bei Cyberattacken ein großes Problem – muss von einem Staat ausgehen oder diesem jedenfalls zugerechnet werden können (2.). Sollten beide Voraussetzungen erfüllt sein, müssen schließlich noch die Grenzen des Selbstverteidigungsrechts in quantitativer und zeitlicher Hinsicht gewahrt werden (3.).
1. Der „bewaffnete Angriff“ als Ausgangspunkt
Ein „bewaffneter Angriff“ bildet den Ausgangspunkt jeder staatlichen Selbstverteidigung. Es versteht sich zunächst von selbst, dass eine Selbstverteidigung von vornherein ausscheidet, wenn der vermeintliche „Angreifer“ selbst im Wege der Selbstverteidigung oder anderweitig gerechtfertigt handelt. Genauer wäre es daher von einem rechtswidrigen bewaffneten Angriff als Grundvoraussetzung zu sprechen. Allerdings liegt die völkerrechtliche Problematik weniger in der Einordnung der Rechtmäßigkeit als vielmehr in der Einordnung einer Handlung als „bewaffneter Angriff“. Obwohl es die zentrale Voraussetzung ist, bleibt der Begriff des „bewaffneten Angriffs“ oder der „armed attack“ nämlich nach wie vor durch eine gewisse Unschärfe geprägt. Eine wichtige Orientierung für die Praxis bietet die Aggressionsdefinition der Generalversammlung der Vereinten Nationen vom 14. Dezember 1974. In Art. 3 dieser Resolution werden verschiedene Handlungen beispielhaft als Angriffshandlung definiert. Darunter fallen neben der Invasion oder dem Angriff der Streitkräfte eines Staates auf das Hoheitsgebiet eines anderen Staates unter anderem auch die Beschießung oder Bombardierung fremden Hoheitsgebietes, der Einsatz von Waffen jeder Art durch einen Staat gegen das Hoheitsgebiet eines anderen Staates, die Blockade von Häfen oder Küsten eines anderen Staates sowie der Angriff der Streitkräfte eines Staates auf die Land-, See- oder Luftstreitkräfte oder auf die See- und Luftflotte eines anderen Staates. Obwohl diese nach Art. 4 der Resolution nicht abschließende Liste von Handlungen eine gute erste Orientierung bieten kann, sollte man bedenken, dass sich der Aggressionsbegriff dieser Resolution nur auf die Kompetenz des UN-Sicherheitsrats nach Art. 39 UN-Charta bezieht und ausdrücklich nicht als Definition für den „bewaffneten Angriff“ im Sinne des Art. 51 UN-Charta gedacht war. Es besteht allerdings weitgehende Einigkeit, dass der Aggressionsbegriff zur Bestimmung eines Kernbereichs des „bewaffneten Angriffs“ herangezogen und der „bewaffnete Angriff“ im Übrigen durch Rechtsprechung und Praxis konkretisiert werden kann.
Im Allgemeinen scheint heute Folgendes anerkannt: Zunächst stellt nicht jede Gewaltanwendung einen „bewaffneten Angriff“ dar, sondern nur eine solche, die als massiver, koordinierter Militärschlag gegen einen anderen Staat eine gewisse Intensität erreicht.39 So hat auch der Internationale Gerichtshof im Nicaragua-Fall bloße Grenzscharmützel zwar als Verstoß gegen das Gewaltverbot, nicht aber als einen das Selbstverteidigungsrecht auslösenden „bewaffneten Angriff“ eingeordnet. Ob ein „bewaffneter Angriff“ vorliege, sei anhand des jeweiligen Einzelfalls zu bewerten, wobei es sowohl auf das Ausmaß bzw. die Größenordnung des Anschlages („scale“) als auch auf seine (Aus-)Wirkungen („effects“) ankomme. Wann Ausmaß und Wirkung die Schwelle des „bewaffneten Angriffs“ überschreiten, ist naturgemäß eine im Einzelfall schwierig zu beurteilende Frage. So hat beispielsweise der UN-Sicherheitsrat das Ausmaß wiederholter sogenannter „gestreuter Bagatellangriffe“ der PLO gegenüber Israel nicht als ausreichend angesehen. Umgekehrt hat der Internationale Gerichtshof eine kumulative Gesamtbetrachtung nicht vollständig ausgeschlossen.
Generell dürfte bei hohen Opferzahlen die Schwelle zum „bewaffneten Angriff“ überschritten sein. Gleichzeitig wird gerade im Hinblick auf die „Auswirkungen“ der fraglichen Handlung oftmals eine hohe Hürde angesetzt, die auf eine Bedrohung der politischen Unabhängigkeit oder Souveränität des betroffenen Staates abstellt. Eine derart hohe Hürde mag auf den ersten Blick unbefriedigend erscheinen. Obwohl ein klarer aggressiver Akt vorliegt, der möglicherweise auch gegen das Gewaltverbot verstößt, wird dem „Opfer“ der Aggression das Recht zur Selbstverteidigung verwehrt. Diesem Umstand versuchen einige Stimmen zu begegnen, indem sie das Selbstverteidigungsrecht nicht vollständig ausschließen, sondern „nur“ in der Rechtsfolge beschränken wollen. Wird nach dieser Ansicht die Schwelle des „bewaffneten Angriffs“ nach Ausmaß und Wirkung nicht über schritten, dürfe der betroffene Staat auf eine „forcible countermeasure“ unter strenger Wahrung der Verhältnismäßigkeit zurückgreifen. Die Etablierung eines solchen „kleinen Selbstverteidigungsrechts“ ist mit Blick auf eine mögliche Eskalation des Konflikts aber mit Vorsicht zu genießen. Wie auch der Internationale Gerichtshof im Nicaragua-Fall noch einmal betont hat, ist es das Ziel der UN-Charta, gewalttätige Auseinandersetzungen zwischen den Staaten der Vereinten Nationen im größtmöglichen Umfang auszuschließen. Im Falle des Nichterreichens der Schwelle des „bewaffneten Angriffs“ ist der betroffene Staat somit mangels Ausnahme vom Gewaltverbot auf friedliche Gegenmaßnahmen beschränkt. In Betracht kommt neben Maßnahmen im Bereich des Diplomaten- bzw. Konsularrechts insbesondere die Verhängung von Wirtschaftssanktionen. Eine Klassifizierung als „bewaffneter Angriff“ ist also schon bei konventionellen bzw. analogen Angriffen nicht unproblematisch. Noch einmal komplizierter wird es dann, wenn Cyberattacken rechtlich eingeordnet werden sollen.
Können Cyberattacken einen „bewaffneten Angriff“ im Sinne des Art. 51 UN-Charta darstellen? Zur Beantwortung sei zunächst auf ein Gutachten des Internationalen Gerichtshofs verwiesen, wonach die Ausübung des Rechts auf Selbstverteidigung nicht von der Art der Waffe abhängt, mit der ein Angriff verübt wurde. Dies entspricht auch der Staatenpraxis, wonach auch chemische, biologische oder atomare Attacken als „bewaffnete Angriffe“ qualifiziert werden können. Eine andere Frage ist hingegen, ob der Wortlaut von Art. 51 UN-Charta ein physisches Element in Bezug auf die Waffe fordert oder ob auch rein elektronische oder virtuelle Waffen erfasst sind. Die Formulierung „bewaffnet“ bzw. „armed“ spricht eher gegen eine unmittelbare Erfassung nicht-physischer Waffen. Dies darf aber nicht zu einem Ausschluss des Selbstverteidigungsrechts führen, da die Anwendung des naturgegebenen Selbstverteidigungsrechts nicht davon abhängen kann, wie ein möglicher Angriff verursacht bzw. ein entstandener Schaden vermittelt wurde. Dementsprechend kann auch ein rein virtueller Angriff grundsätzlich zu einer entsprechenden bzw. analogen Anwendung von Art. 51 UN-Charta führen.
Damit ist aber noch lange nicht geklärt, unter welchen Voraussetzungen eine Cyberattacke einen „bewaffneten Angriff“ darstellt, der eine Selbstverteidigung rechtfertigen würde. Entsprechend der allgemeinen Annäherung an den Begriff kommt es nach überwiegender Auffassung auch bei Cyberattacken auf Ausmaß und Wirkung an. Damit eine Cyberattacke die Schwelle eines „bewaffneten Angriffs“ im Sinne des Art. 51 UN-Charta (analog) überschreitet, müssen ihre physischen Auswirkungen, das heißt insbesondere die hervorgerufenen Schäden, mit denen eines konventionellen „bewaffneten Angriffs“ vergleichbar sein. Insoweit werden also in erster Linie die Auswirkungen der virtuellen Attacke auf die reale Welt in den Blick genommen und daraufhin geprüft, ob sie in Ausmaß und Wirkung einem konventionellen Angriff entsprechen. Das Tallinn Manual, ein internationales Handbuch für rechtlich zulässige Methoden der Kriegführung, welche nun auch Regeln über die Anwendung des Völkerrechts auf Cyberoperationen zum Inhalt hat, bietet für diesen Vergleich eine nicht abschließende Liste von Kriterien an, die neben dem Grad des Schadens auch einige qualitative Elemente der Cyberoperation in den Blick nimmt. Im Einzelnen nennt das Manual severity, immediacy, directness, invasiveness, measurability of effects, military character, state involvement und presumptive legality. Neben dieser Liste, die das Tallinn Manual in erster Linie nur auf das Gewaltverbot nach Art. 2 Ziff. 4 UN-Charta bezieht, bietet es auch im Zusammenhang mit dem Selbstverteidigungsrecht und der dort relevanten Einordnung als „bewaffneter Angriff“ einige Hilfestellung.
In Anlehnung an die auch bei konventionellen Angriffen herangezogene Aggressionsdefinition können Cyberoperationen gegen die militärische Infrastruktur eines Staates, welche die Verteidigungsbereitschaft erheblich einschränken, als bewaffneter Angriff eingeordnet werden. Ein einfaches Beispiel wäre ein Cyberangriff gegen die IT eines Kriegsschiffes oder Kampfflugzeugs als Vorbereitung für einen konventionellen Angriff. Ist allerdings die Verteidigungsbereitschaft nicht unmittelbar betroffen, wird auch die Schwelle zum „bewaffneten Angriff“ regelmäßig nicht überschritten sein. Dies gilt insbesondere für rein netzinterne Vorgänge, wie beispielsweise im Falle des bloßen Ausspähens von Daten oder der kurzfristigen Blockade von Regierungsseiten. Obwohl diese und ähnlich gelagerte Situationen also nicht zur Selbstverteidigung ermächtigen, können sie gleichwohl als Verstoß gegen das Interventionsverbot zu qualifizieren sein und dementsprechend friedliche Gegenmaßnahmen ermöglichen.
Anders sieht die Situation wiederum aus, wenn man Cyberattacken auf zivile Einrichtungen oder Objekte betrachtet. Denkbare Szenarien sind insbesondere Cyberoperationen, die kritische Infrastruktur ins Visier nehmen. Für Deutschland nennt § 2 Abs. 2 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz), auf welches auch die Cybersicherheitsstrategie des BMI Bezug nimmt, als kritische Infrastrukturen:
Einrichtungen, Anlagen oder Teile davon,
- die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung angehören und
- von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
Cyberoperationen gegen derartige Einrichtungen, die zu nicht unerheblichen Verletzungen, Todesfällen oder substanziellen Sachschäden oder Zerstörungen führen, können ebenfalls als „bewaffneter Angriff“ im Sinne des Art. 51 UN-Charta eingeordnet werden. Fehlt es an derartigen klaren oder unmittelbaren Folgen, kann die Abgrenzung schwierig sein. Beispielsweise hat ein Cyberangriff auf internationale Finanzmärkte zweifelsfrei enorme wirtschaftliche Folgen, führt aber nicht zwangsläufig zu unmittelbaren physischen Schäden. Letztlich kommt es auf eine einzelfallbezogene Betrachtung an, bei der grundsätzlich alle vorhersehbaren Effekte sowohl im unmittelbar betroffenen Staat als auch in Drittstaaten berücksichtigt werden müssen. Umstritten bleibt dabei, inwieweit die Intention des Angreifers zu berücksichtigen ist. Letztlich bleiben aber Ausmaß und Wirkung der Cyberoperation und ihre Vergleichbarkeit zu einem konventionellen Angriff entscheidend. Dabei ist auch in Rechnung zu stellen, dass in der globalisierten Welt Cyberattacken auf die kritische Infrastruktur eines Landes schnell überregionale oder sogar weltweite Auswirkungen haben können. Umgekehrt sollte mit Blick auf die hohe Bedeutung des Gewaltverbots nicht vorschnell ein „bewaffneter Angriff“ angenommen werden.
Als erstes Zwischenergebnis lässt sich aber somit festhalten, dass Cyberattacken, sofern sie nach Ausmaß und Wirkung mit einem konventionellen Angriff vergleichbar sind, einen „bewaffneten Angriff“ im Sinne des Art. 51 UN-Charta darstellen können. Damit ist aber nur die Grundvoraussetzung des Selbstverteidigungsrechts erfüllt. Die eigentliche Herausforderung in faktischer und völkerrechtlicher Hinsicht liegt darin, zu beurteilen, von wem der Angriff ausgegangen ist und gegen wen sich dementsprechend auch eine Gegenmaßnahme zu richten hat.
2. Die eigentliche Herausforderung: Rückverfolgbarkeit und Zurechnung
Wie soeben dargestellt, kann schon die Qualifizierung einer Cyberattacke als „bewaffneter Angriff“ eine im Einzelfall schwierig zu beantwortende rechtliche Frage darstellen. Doch selbst wenn ein Staat unzweifelhaft von einer Cyberoperation betroffen ist und er sie aufgrund ihrer Auswirkungen zu Recht als „bewaffneten Angriff“ einordnet, steht der Staat vor dem nicht unerheblichen Problem, gegen wen er seine Gegenmaßnahmen richten soll. Die damit angesprochenen Fragen der Identifizierung des Angreifers sowie der Zurechnung zu einem Staat sind nicht nur in völkerrechtlicher, sondern auch und vor allem in technischer Hinsicht mit Schwierigkeiten verbunden.
So wird bei Cyberoperationen regelmäßig zunächst die technische Frage der schwierigen bis unmöglichen Rückverfolgbarkeit des Angriffs die eigentliche Herausforderung darstellen. Die Funktionsweise des Cyberspace als weltweit verzweigtes Netzwerk lässt dem Angreifer zahllose technische Wege, entweder Ursprung und Route seines Angriffs komplett zu verbergen oder aber auch falsche Fährten zu legen. Selbst wenn eine Cyberattacke über Leitungen oder Computer eines bestimmten Staates verübt wurde, ist das zwar ein Indiz, aber noch kein vollständiger Nachweis darüber, ob dieser Staat tatsächlich der Ursprungsort des Angriffs war. Eine große Rolle spielt auch der Faktor Zeit. Während die Attacke selbst in der Regel nur wenige Augenblicke dauern wird, können ihre Wirkungen unter Umständen erst mit Verzögerung eintreten oder aber erst später als Folge einer Cyberattacke erkennbar werden. Ein letztes in der Regel kaum zu überbrückendes Problem ist schließlich die sogenannte „Mensch-Maschine-Gap“. Selbst wenn sich der Weg eines Angriffs vollständig und innerhalb angemessener Zeit zu einem bestimmten Server oder Computer zurückverfolgen lässt und somit der Ursprungsort feststeht, ist damit noch nicht geklärt, welcher Mensch an diesem Computer saß und in welcher Funktion er tätig wurde. Diese Frage wird sich in der Praxis regelmäßig auch nicht oder jedenfalls nicht innerhalb kurzer Zeit klären lassen. In technischer Hinsicht besteht damit eine nur schwer zu überwindende Einschränkung für das Selbstverteidigungsrecht. Kann der Angreifer nicht zweifelsfrei identifiziert werden, ist eine Verteidigung schon rein praktisch ausgeschlossen. Ob und vor allem wie dieser technischen Unzulänglichkeit mit neuen Ansätzen und Mitteln des Völkerrechts begegnet werden kann, wird im Rahmen des Ausblicks am Ende des Beitrags erläutert. Zunächst soll die Problematik der Rückverfolgbarkeit aber zurückgestellt werden und der Fokus auf den weiteren Voraussetzungen und Grenzen des Selbstverteidigungsrechts liegen.
Ungeachtet der schwierigen Rückverfolgbarkeit muss sich die Selbstverteidigung grundsätzlich gegen den Staat richten, der den Angriff verübt hat oder dem ein eventuelles Handeln privater Gruppen oder Akteure zugerechnet werden kann. Einen Sonderfall bildet die umstrittene Selbstverteidigung gegen private Akteure, die unabhängig von einem Staat handeln, namentlich terroristische Gruppen. Auch Cyberangriffe können logischerweise von Staaten oder privaten Akteuren ausgeführt werden, wobei Handlungen von nichtstaatlichen Akteuren sicherlich die größte Herausforderung darstellen. In Bezug auf konventionelle bzw. analoge „bewaffnete Angriffe“ hat der Internationale Gerichtshof im Nicaragua-Fall geäußert, dass die Entsendung bewaffneter Banden im Sinne des Art. 3 lit. g der Aggressionsdefinition einem Staat zugerechnet und somit zu einem Selbstverteidigungsrecht führen kann. Für eine Zurechnung darf der Staat aber nicht nur als bloßer finanzieller oder logistischer Unterstützer erscheinen. Vielmehr muss er im Sinne einer Tatherrschaft so über die Handlungen der privaten Gruppen bestimmen, dass sie gewissermaßen als sein „verlängerter Arm“ agieren. Besteht keine solche Verbindung, scheidet eine Selbstverteidigung unmittelbar gegen Angriffe von privaten Akteuren grundsätzlich aus. Dieses Verständnis hat sich im Nachgang zu den Terroranschlägen vom 11. September 2001 aber teilweise gewandelt. Während der Internationale Gerichtshof wohl weiter an der herkömmlichen Sichtweise festhält, gehen der UN-Sicherheitsrat, die Staatengemeinschaft und wohl auch der überwiegende Teil der Literatur davon aus, dass auch private Gewaltanwendung einen „bewaffneten Angriff“ darstellen kann, sofern sie das Ausmaß einer staatlichen Militäraktion erreicht. In diesem Fall würde sich die Selbstverteidigung gegen den Staat richten, der den Angreifern einen Unterschlupf – man spricht auch von einem „safe haven“ – gewährt hat.
Obwohl gerade diese letzte Ansicht nicht unumstritten ist, können die grundlegenden Gedanken der Zurechnung auch zur rechtlichen Einordnung von Cyberattacken herangezogen werden. Wenn eine Gruppe oder einzelne Personen einen Cyberangriff als verlängerter Arm eines Staates ausführen, ist auch insoweit eine Zurechnung möglich. Bei Cyberangriffen, die Private vom Territorium eines Staates verüben, ohne dass dieser den Angriff ausdrücklich autorisiert hat oder ihn jedenfalls duldet, bleibt die Lage umstritten. Problematisch ist vor allem, wann dem Staat, von dessen Territorium ein Angriff verübt wird, in rechtlicher Hinsicht ein Vorwurf gemacht werden kann, der auch ein Selbstverteidigungsrecht des angegriffenen Staates rechtfertigen würde. Da dies auch mit der bereits problematisierten technischen Rückverfolgbarkeit zusammenhängt, werden beide Aspekte noch einmal am Ende des Beitrags im Zusammenhang mit den künftigen Entwicklungslinien des Völkerrechts aufgegriffen. Zunächst kann aber als zweites Zwischenergebnis festgehalten werden, dass eine Selbstverteidigung auch bei privaten Cyberattacken nicht von vornherein ausgeschlossen ist.
3. Grenzen des Selbstverteidigungsrechts
Wenn Cyberattacken also ungeachtet der schwierigen Rückverfolgbarkeit ein staatliches Selbstverteidigungsrecht legitimieren können, bleibt noch zu klären, wie die konkrete Verteidigungshandlung ablaufen muss. Dies führt zu der abschließenden Frage, welchen Grenzen das staatliche Selbstverteidigungsrecht aus Art. 51 UN-Charta unterliegt.
Entsprechend seiner Zielsetzung, einen „bewaffneten Angriff“ auf das eigene Territorium abzuwehren, eröffnet das Selbstverteidigungsrecht nicht die Möglichkeit für eine Vergeltung. Es richtet sich alleine gegen einen aktuell andauernden bzw. gegenwärtigen Angriff. Eine Selbstverteidigung ist daher grundsätzlich nur möglich, wenn der Angriff bereits begonnen hat und noch nicht abgeschlossen ist. Dieses Gegenwärtigkeits- oder auch Unmittelbarkeitskriterium kann sowohl in Bezug auf den Beginn als auch das Ende des Angriffs bzw. der Selbstverteidigung problematisch sein. Zunächst ist das Kriterium nicht im Sinne einer strengen „Unverzüglichkeit“ zu verstehen. So geht die Gegenwärtigkeit regelmäßig nicht verloren, wenn ein Staat sich erst mit seinen Verbündeten abstimmt oder andere notwendige Vorbereitungshandlungen für einen Gegenschlag trifft. Mit anderen Worten: Es besteht hinsichtlich des Endes der Gegenwärtigkeit ein gewisser Spielraum. Umstritten ist, inwieweit dies auch beim Angriffsbeginn der Fall ist. Dies betrifft insbesondere die sogenannte „antizipatorische Selbstverteidigung“, also eine Verteidigung gegen einen unmittelbar bevorstehenden Angriff. Regelmäßig dürfte es einem Staat nicht zuzumuten sein, so lange abzuwarten, bis der Angriff tatsächlich begonnen hat. Um die damit verbundene Missbrauchsgefahr zu begrenzen, wird zur Bestimmung der Frage, wann die Unmittelbarkeit noch gewahrt ist, auf die sogenannte Caroline– oder Webster-Formel abgestellt. Demnach muss der Staat, der sich auf die Selbstverteidigung beruft, nachweisen, dass der Angriff unmittelbar bevorstand, überwältigend war und dass keine Wahl der Mittel und keine Zeit für weitere Beratungen blieb. Die Beurteilung, wann diese Kriterien erfüllt sind, hängt naturgemäß vom jeweiligen Einzelfall ab. Letztlich spricht einiges dafür, dem angegriffenen Staat auch hier einen – begrenzten – Beurteilungsspielraum zuzugestehen. Andernfalls könnte der Angreifer allein die Regeln des Spiels bestimmen.
Das Erfordernis der Gegenwärtigkeit kann bei Cyberangriffen eine nicht unerhebliche Hürde darstellen. Wie bereits geschildert, spielt der Zeitfaktor eine wichtige Rolle bei Cyberattacken. Einerseits läuft die Angriffshandlung sehr schnell ab. Ihre Folgen können aber unter Umständen erst viel später eintreten oder erkannt werden. Auch kann es eine lange Zeit dauern, bis der Angriff zurückverfolgt und so das Ziel der Selbstverteidigung identifiziert ist. Die soeben geschilderten Gedanken, also insbesondere die Möglichkeit einer antizipatorischen Selbstverteidigung und die Notwendigkeit, dem angegriffenen Staat eine gewisse Vorbereitungs- und Nachforschungszeit einzuräumen, dürften grundsätzlich auch bei Cyberoperationen anwendbar sein, wobei die Einzelheiten weiter umstritten sind. Auch bei Cyberoperationen ist zur Wahrung der Unmittelbarkeit aber entscheidend, dass der zeitliche und inhaltliche Bezug von Angriff und Verteidigungshandlung nicht vollständig verloren geht. In Anbetracht der schwierigen Rückverfolgbarkeit macht dies möglicherweise eine weitergehende Flexibilisierung des Unmittelbarkeitskriteriums erforderlich. Andererseits darf wiederum die drohende Missbrauchsgefahr nicht unterschätzt werden.
Als weitere Grenze des Selbstverteidigungsrechts muss der Grundsatz der Verhältnismäßigkeit beachtet werden. Obwohl diese Voraussetzung sich nicht aus dem Wortlaut des Art. 51 UN-Charta ergibt, hat der Internationale Gerichtshof sie mit Blick auf die gewohnheitsrechtlichen Grundlagen des Selbstverteidigungsrechts ausdrücklich auch für Art. 51 UN-Charta bestätigt. Eine Verteidigungshandlung muss demnach erforderlich sein, es darf also kein milderes, gleich wirksames Mittel geben. Zudem darf die ergriffene Maßnahme nicht außer Verhältnis zu Umfang und Auswirkung des Angriffs stehen, sie muss also angemessen sein. Beide Fragen sind naturgemäß nicht allgemein, sondern nur anhand eines konkreten Einzelfalls zu beantworten. Dabei dürfen nur rechtliche, nicht aber politische Kriterien eine Rolle spielen. Wichtige Gesichtspunkte sind u.a. die Art und Intensität des Angriffs sowie der Bewaffnung, das Ausmaß erwarteter Schäden auf beiden Seiten und die möglichen Auswirkungen auf Drittstaaten. Eine strenge Symmetrie zwischen Angriff und Verteidigung gibt es dabei nicht. Der verteidigende Staat darf auf die effektive und endgültige Beendigung des Angriffs zielen.
Gerade der letztgenannte Aspekt ist für Cyberoperationen besonders relevant. So kann ein angegriffener Staat auf einen Cyberangriff durchaus mit einem konventionellen Gegenschlag reagieren. Umgekehrt ist auch ein Cyber-Gegenschlag als Reaktion auf einen konventionellen Schlag denkbar. Wiederum sind allein die rechtlichen Kriterien der Erforderlichkeit und Angemessenheit maßgeblich. Bezüglich der Erforderlichkeit ist bei der Reaktion auf Cyberangriffe insbesondere zu bedenken, ob ein milderes Mittel, also beispielsweise rein defensive Maßnahmen wie Firewalls oder Ähnliches ausreichend sind. Stehen im konkreten Fall keine milderen Mittel zur Verfügung, sind – unter Wahrung der Angemessenheit – durchaus auch offensive Gegenmaßnahmen denkbar. Diese Maßnahmen können nach dem Wortlaut von Art. 51 UN-Charta wie bei konventionellen Angriffen einzeln oder auch kollektiv, also zum Beispiel auch im Rahmen der NATO, getroffen werden. Zu beachten ist allerdings, dass die Beweislast sowohl für die Gegenwärtigkeit als auch für die Verhältnismäßigkeit bei dem Staat liegt, der sich auf das Selbstverteidigungsrecht beruft.
Als letzte Grenze des Selbstverteidigungsrechts ist schließlich die Anzeigepflicht gegenüber dem UN-Sicherheitsrat zu beachten. Dies ist eine echte Rechtspflicht und sichert das Monopol, welches dem Sicherheitsrat zur Wahrung des Weltfriedens zukommt. Das Selbstverteidigungsrecht endet nach dem klaren Wortlaut von Art. 51 UN-Charta, sobald der Sicherheitsrat die zur Wahrung des Weltfriedens und der internationalen Sicherheit erforderlichen Maßnahmen getroffen hat. Allerdings führt ein Unterlassen der Anzeige auch nach dem Internationalen Gerichtshof nicht zur Rechtswidrigkeit einer Selbstverteidigungshandlung. Obwohl in der Anzeigepflicht damit vor allem die Subsidiarität des Selbstverteidigungsrechts zum Ausdruck kommt, bleibt es in der Praxis gleichwohl höchst relevant. Schließlich wird der Sicherheitsrat oftmals blockiert sein oder aus anderen Gründen seine Aufgabe nicht oder jedenfalls nicht innerhalb kurzer Zeit wahrnehmen können. Im aktuellen Ukraine-Krieg zeigt sich diese Blockade besonders deutlich, da Russland nicht nur der Aggressor, sondern auch ständiges Mitglied im UN-Sicherheitsrat mit Vetorecht ist. Der Resolutionsentwurf zur Beendigung des Ukraine-Krieges vom 25.02.2022 scheiterte am russischen Veto. Dass die Generalversammlung am 02.03.2022 und 24.03.2022 mit zwei Resolutionen das Vorgehen Russlands als völkerrechtswidrige Aggression eingeordnet und den unverzüglichen Abzug der russischen Truppen gefordert hat, vermag wegen der fehlenden völkerrechtlichen Verbindlichkeit von Resolutionen der Generalversammlung die Blockade nicht zu überwinden. Gleichwohl ist die Verabschiedung mit einer Mehrheit von 141 bzw. 140 Stimmen eine nicht zu unterschätzende politische Botschaft der Weltgemeinschaft, die sich gegen die russische Aggression stellt.
Ungeachtet einer Blockade dürfte im Allgemeinen, insbesondere bei einzelnen Cyberattacken, bei denen aus den geschilderten Gründen der Faktor Zeit in mehrfacher Hinsicht entscheidend ist, die Rolle des Sicherheitsrats in der Zukunft eher gering bleiben. Wegen der Schnelligkeit von Cyberattacken, erlangt auch die sonst schwierige Frage, ob die vom Sicherheitsrat ergriffenen Maßnahmen auch ausreichend waren, keine allzu große Bedeutung. Unabhängig von der künftigen Rolle Russlands in der UN dürfte die Rolle des Sicherheitsrats jedenfalls bei einzelnen kurzfristigen Cyberattacken schon rein faktisch eher gering bleiben. In rechtlicher Hinsicht bleibt es aber dabei, dass der Sicherheitsrat nach Art. 51 UN-Charta auch bei Cyberattacken zwingend zu unterrichten ist. Ergreift der Sicherheitsrat in der Folge erfolgreich Maßnahmen zur Friedenssicherung, endet das Selbstverteidigungsrecht. Eine andere Frage ist es, ob der Sicherheitsrat in seiner heutigen Organisation und Zusammensetzung den aktuellen Herausforderungen des Friedenssicherungsrechts gerade mit Blick auf Cyberspace noch gerecht werden kann.
C. Zusammenfassung und Ausblick
An dieser Stelle soll es aber nicht um die Zukunft der Friedenssicherung im Rahmen der UN und die künftige Rolle Russlands im internationalen System gehen. Stattdessen sollen zum Abschluss noch einmal die wesentlichen Erkenntnisse zusammengefasst und ein kleiner Ausblick auf künftige Entwicklungen im Zusammenspiel von Cyberspace und Völkerrecht gewagt werden.
Cyberspace stellt das klassische Völkerrecht wegen seiner weltweiten netzwerkartigen Struktur und seiner Ungebundenheit an einen bestimmten Standort vor nicht unerhebliche Herausforderungen. Gleichwohl – und das ist der erste wichtige Punkt – führt dies nicht dazu, dass Cyberspace ein rechtsfreier Raum wäre. Vielmehr können die Regeln des Völkerrechts auch auf Cyberattacken angewendet werden. Cyberangriffe können und sollten aber nicht pauschal in eine bestimmte völkerrechtliche Kategorie eingeordnet werden. Vielmehr ist entsprechend der Abstufungen der UN-Charta im Einzelfall zu prüfen, ob sich eine Cyberattacke als Verstoß gegen das Interventionsverbot, als unzulässige Gewaltanwendung oder als bewaffneter Angriff einordnen lässt. Wie dargestellt, können Cyberangriffe einen „bewaffneten Angriff“ im Sinne des Art. 51 UN-Charta darstellen, wenn sie in Ausmaß („scale“) und Wirkung („effect“) mit einem konventionellen Schlag vergleichbar sind. Unter strenger Achtung von Unmittelbarkeit und Verhältnismäßigkeit ist dann eine Selbstverteidigung mit digitalen oder konventionellen Mitteln möglich. Ist die Schwelle eines „bewaffneten Angriffs“ nicht erfüllt, ist dem betroffenen Staat das Selbstverteidigungsrecht verwehrt. Wegen des regelmäßig durch die feindliche Cyberoperation vorliegenden Verstoßes gegen das Interventionsverbot ist es dem Staat aber unbenommen, friedliche völkerrechtliche Gegenmaßnahmen zu ergreifen.
In beiden Fällen steht der Staat jedoch regelmäßig vor dem Problem der schwierigen bis unmöglichen Rückverfolgbarkeit von Cyberoperationen. Die Antwort auf die Frage, ob und wie völkerrechtliche Instrumente zur Überwindung dieser in erster Linie technischen Herausforderung genutzt werden können, ist eine der großen Aufgaben für die Weiterentwicklung des Völkerrechts. Einige der Ansätze, die in diesem Zusammenhang diskutiert werden, sollen zum Abschluss vorgestellt werden.
Zu diesem Zweck bietet es sich an, noch einmal auf den geschilderten Fall zurückzukommen, bei dem ein Cyberangriff zweifelsfrei von Computern oder Servern eines bestimmen Staates verübt wurde, aber die handelnde Person entweder gar nicht zu identifizieren oder aber ihr Verhältnis zum Staat nicht eindeutig ist. Ist die Person zu identifizieren, dürfte gleichwohl eine Zurechnung zum jeweiligen Staat schwer möglich sein. Die nach der bisherigen Rechtsprechung geforderte „Entsendung“ oder „effective control“ wird sich regelmäßig nicht ohne Weiteres nachweisen lassen, zumal der betroffene Staat den Cyberangriff kaum offen zugeben wird. Eine Möglichkeit wäre nun, in Bezug auf Cyberangriffe die Zurechnungskriterien generell zu lockern. Ähnliches wäre auch bei den Grenzen des Selbstverteidigungsrechts denkbar. Beispielsweise könnte das Gegenwärtigkeitskriterium mit Blick auf den Zeitfaktor bei Cyberangriffen großzügiger gehandhabt werden. Allerdings ist bei jeder extensiven Auslegung des Selbstverteidigungsrechts die mögliche Missbrauchsgefahr mitzubedenken. Die Grundidee der Nachkriegsordnung durch die Vereinten Nationen ist die Sicherung des Weltfriedens durch ein möglichst weitreichendes Gewaltverbot. Vor diesem Hintergrund sollten Modifikationen der Tatbestandsvoraussetzungen oder Zurechnungskriterien nur mit äußerster Vorsicht vorgenommen werden.
Diskutiert wird in diesem Zusammenhang insbesondere eine Modifikation der Zurechnung im Wege einer Beweislastumkehr. Vor dem Hintergrund, dass die klassischen Zurechnungskriterien im Recht der Staatenverantwortlichkeit für die deliktische Haftung geschaffen wurden, könnte man tatsächlich überlegen, eine derartige Modifikation für jene Fälle anzunehmen, bei denen der Ursprung der Cyberattacke zweifelsfrei einem Staatsgebiet zugeordnet werden kann. Da es bei Cyberoperationen bzw. deren Abwehr weniger um eine Haftung für als um eine Prävention von Schäden geht, wäre es durchaus denkbar, die Zurechnung in solchen Szenarien widerleglich zu vermuten. Konkret würde dies bedeuten, dass ein Cyberangriff widerleglich dem Staat zugerechnet wird, von dessen Territorium der Angriff ausgeht. Der Staat würde – vorläufig – als verantwortlich für den Angriff angesehen, weil er den Missbrauch seines Netzwerks geduldet bzw. nicht verhindert hat. Ein Ansatzpunkt für ein Selbstverteidigungsrecht gegenüber diesem Staat wäre die grundsätzliche Pflicht jedes Staates, dafür zu sorgen, dass von seinem Staatsgebiet keine Angriffe auf andere Staaten ausgehen. Eine Selbstverteidigung wäre aber regelmäßig auch dann nur erforderlich, wenn der Staat, von dessen Territorium der Angriff ausging, nicht willens oder in der Lage war gegen die privaten Akteure vorzugehen. Aus diesem Grund müsste dem betreffenden Staat zunächst die Möglichkeit eröffnet werden, sich zu erklären und selbst geeignete Maßnahmen durchzuführen. Aufgrund ihrer Widerlegbarkeit ist die Vermutung im Ergebnis aber eben nicht mehr als eine Umkehr der Beweislast. Darüber hinaus ist eine derartige Umkehr der Beweislast nicht nur im Hinblick auf ihre Vereinbarkeit mit den grundsätzlichen Regeln der Staatenverantwortlichkeit, sondern auch und vor allem im Hinblick auf eine drohende Eskalation bedenklich. Schließlich hilft eine Beweislastumkehr nicht weiter, wenn der Ursprung eines Angriffs gar nicht einem bestimmen Staatsterritorium zugeordnet werden kann.
Das Problem, wie mit dem Umstand der fehlenden Kenntnis über den Ursprung von Cyberattacken umgegangen werden soll, bleibt also weiterhin bestehen. Ein vielversprechender Ansatz könnte hier in der Orientierung am Umweltvölkerrecht liegen, welches ebenfalls mit dem Problem des „Nicht-Wissens“ umgehen muss. Im Umweltrecht wird mit guten Gründen das Vorsorgeprinzip (sog. „precautionary principle“) zur Anwendung gebracht. Demnach müssen Aktivitäten, die schädlich für die Umwelt sind, vermieden und Maßnahmen zur Prävention getroffen werden, und zwar gerade auch dann, wenn Ungewissheit über Kausalität und Auswirkungen der möglicherweise schädlichen Handlungen besteht. Interessant ist in diesem Zusammenhang Punkt 15 der rechtlich nicht bindenden Rio-Deklaration von 1992, der ausdrücklich dazu auffordert, wissenschaftliche Unsicherheit („scientific uncertainty“) nicht als Vorwand für das Unterlassen wesentlicher präventiverMaßnahmen zur Verhinderung potenzieller zukünftiger Umweltschäden zu nehmen.
Dieser Grundgedanke könnte auch für Cyberoperationen fruchtbar gemacht werden. Nicht mehr der Angriffspunkt wäre entscheidend für die Zuordnung einer Cyberattacke zu einem Aggressor-Staat, sondern es käme im Wesentlichen auf den Schutz vor den mit ihr einhergehenden Auswirkungen an. Vorsorge könnte im internationalen Bereich ein Verbot möglicher schädigender Handlungen zum Inhalt haben, was etwa in ein umfassendes Entwicklungs-, Herstellungs- und Nutzungsverbot für Cyberwaffen münden könnte. Für die Staaten selbst könnte dies allerdings auch bedeuten, dass sie in ihrem eigenen regulativen Netzwerk sicherstellen müssten, dass entsprechende Missbrauchshandlungen des Cyberspace ausgeschlossen würden. Auf völkerrechtlicher Ebene ließe sich insofern an die Etablierung eines Kodex von jedenfalls (halb)verbindlichen Grundsätzen zur Erhöhung der Cybersicherheit denken, deren Einbezug Staaten nur durch strikte Regeln innerstaatlicher Rechtssetzung Folge leisten könnten. Da weder nach nationalem noch nach internationalem Recht die letztlich technischen Probleme der Rückverfolgung vollständig lösbar sind, erscheint ein derartiger Perspektivwechsel von der Repression auf die Prävention besonders vielversprechend.
Stephan Hobe, Martin Schwamborn in: Die Macht der Algorithmen; Nomos Verlag; Baden-Baden; 2023
https://doi.org/10.5771/9783748941576-1
https://creativecommons.org/licenses/by/4.0/
Zur einfacheren Lesbarkeit wurden die Quellenverweise entfernt.