Cyberaggression: Braucht das Völkerrecht ein Update?
Der russische Angriffskrieg gegen die Ukraine wird verstärkt auch auf virtueller Ebene ausgefochten. Warum eine Ausweitung der juristischen Definition des Begriffes „Aggression“ auf Cyberangriffe gerade jetzt geboten ist, erklärt Ilona Khmeleva, Expertin für Völkerrecht und Sekretärin des Wirtschaftssicherheitsrates der Ukraine (ESCU).
Der russisch-ukrainische Krieg wütet nun schon seit zehn Jahren. Neben unermesslicher Zerstörung und unbeschreiblichem Leid sind in diesem Jahrzehnt des Krieges eine Vielzahl neuer Sicherheitsbedrohungen entstanden, darunter eine hochgradig operationalisierte Cyberkriegsführung. Eine wesentliche Voraussetzung für die Überwindung dieser Bedrohungen und den Wiederaufbau einer friedlichen Weltordnung ist eine Aktualisierung der juristischen Definition von „Aggression“. In diesem Zusammenhang dürfen die Lehren, die aus der russischen Aggression zu ziehen sind, nicht ignoriert werden.
Die virtuelle Dimension des russischen Krieges gegen die Ukraine
Die Aggression der Russischen Föderation erstreckt sich auf mehrere Bereiche – konventionelle russische Angriffe werden häufig von Cyberangriffen begleitet oder unterstützt. Tatsächlich gehören Operationen im virtuellen Raum oder mithilfe von Cyberstrategien zu den zentralen Aspekten der russischen Kriegsführung. So gingen beispielsweise der vollumfänglichen Landinvasion im Jahr 2022 massive Cyberangriffe auf Banken und Regierungseinrichtungen, einschließlich des ukrainischen Verteidigungsministeriums, voraus, die auch während der Invasion fortgesetzt wurden. Einige Stunden bevor die russischen Truppen mit dem Beschuss ukrainischer Städte und dem Überfall auf die gesamte Ukraine begannen, hatte ein Cyberangriff auf den Satelliten-Internetdienst begonnen.
Cyberangriffe haben auch das Leid der Zivilbevölkerung vergrößert. So startete Russland im Herbst und Winter 2022–2023 – nach einer Reihe von Cyberangriffen auf den Energiesektor – mehrere Wellen von Raketenangriffen auf die Energieinfrastruktur. Eines der jüngsten Beispiele für Cyberangriffe ist der Angriff auf den größten ukrainischen Telekommunikationsbetreiber Kyivstar, der zur Zerstörung von rund 40 Prozent der unterstützenden Infrastruktur führte. Außerdem werden kinetische Aktionen oft mit Informations- und Wirtschaftsoperationen kombiniert. Der „Wirtschaftskrieg“ Russlands gegen die Ukraine begann viele Jahre vor dem aktuellen bewaffneten Konflikt.
Ertüchtigung gegen Cyberangriffe als Kriegsstrategie
Immerhin haben einige Länder beträchtliche Schritte unternommen, um diesen Bedrohungen zu begegnen. Einige Staaten haben beispielsweise Cyberstreitkräfte als eigenständige militärische Abteilungen innerhalb ihrer Armeen eingerichtet (z.B. den Cyber and Information Domain Service in Deutschland oder den Digital and Intelligence Service in Singapur). Der NATO-Gipfel 2023 im litauischen Vilnius ist ein weiteres Beispiel für eine solche Ertüchtigung: Die Bündnispartner billigten ein neues Konzept, mit dem der Beitrag der Cyberverteidigung zur Gesamtabschreckung der NATO gestärkt werden soll, und führten das NATO-Unterstützungsprojekt Virtual Cyber Incident Support Capability (VCISC) ein.
Das Völkerrecht muss Cyberkriegsführung als eine Form der Aggression anerkennen
Die rechtliche Analyse dieser komplexen, mehrdimensionalen Operationen muss entsprechend umfangreich sein und die Wechselwirkungen zwischen den einzelnen Bereichen der Kriegsführung berücksichtigen, anstatt jeden Bereich isoliert zu betrachten. Dies gilt insbesondere im Hinblick auf die Cyberaggression. Die illegalen Aktionen Russlands beweisen, dass es mit modernen Technologien möglich ist, gegnerischen Staaten im und durch den Cyberraum zu schaden oder ganz lahmzulegen.
Und obwohl die russische Aggression gegen die Ukraine derzeit verschiedene Ebenen der Kriegsführung kombiniert, gibt es keine Garantien dafür, dass ein künftiger vollumfänglicher Krieg nicht auch ausschließlich auf virtuellem Gebiet ausgetragen werden könnte. Ohne einen einzigen Schuss abzufeuern, haben Cyberangriffe die Macht, zivile und militärische Infrastrukturen zu zerstören, erhebliches menschliches Leid und großen wirtschaftlichen Schaden zu verursachen.
Die Fähigkeit der Staaten, sich gegen Cyberangriffe zu verteidigen, wird erheblich beeinträchtigt, wenn das Völkerrecht die Cyberkriegsführung nicht als das anerkennt, was sie ist: eine Form der Aggression. In diesem Sinne ist eine Aktualisierung der Definition von „Aggression“ längst überfällig.
Die Definition von „Aggression“
1974 wurde mit der Resolution 3314 (XXIX) der Generalversammlung der Vereinten Nationen die allgemein anerkannte rechtliche Definition von Aggression festgelegt. Es ist dieselbe Definition, die auch in den Änderungen des Römischen Statuts des Internationalen Strafgerichtshofs verwendet wird. „Aggression“, so die Resolution, „ist die Anwendung von Waffengewalt durch einen Staat, die gegen die Souveränität, die territoriale Unversehrtheit oder die politische Unabhängigkeit eines anderen Staates gerichtet oder sonst mit der Charta der Vereinten Nationen unvereinbar ist, wie in dieser Definition ausgeführt.“
Schon allein das Alter der Definition von „Aggression“ unterstreicht, dass sie einer Überarbeitung bedarf. Nicht nur, dass das Wort „Cyber“ 1974 relativ neu war, die Idee der „Cyberaggression“ schien zudem eher einem Science-Fiction-Roman zu entstammen als einer praktikablen Methode der Kriegsführung. Heute jedoch, da sich die Staaten zunehmend auf die Bequemlichkeit und relative Sicherheit der Cybertechnologie verlassen, können Cyberangriffe genauso destabilisierend wirken wie eine konventionelle Invasion.
Gefährdete Souveränität: Cyberangriffe als reale Bedrohung
Eine solche regelmäßige „Aktualisierung“ der juristischen Terminologie steht im Einklang mit dem, was der Internationale Gerichtshof zu diesem Thema formuliert hat. In seinem Gutachten vom 21. Juni 1971 stellte der Gerichtshof fest, dass „ein internationales Instrument im Rahmen der gesamten Rechtsordnung, die zum Zeitpunkt der Auslegung gilt, ausgelegt und angewandt werden“ müsse. Daher sollte jede Auslegung des Begriffes „Cyberaggression“ dynamisch und proaktiv sein.
Für diesen Punkt ist die Betonung der Souveränität in der Resolution 3314 zentral. Obwohl bislang Cyberangriffe allein noch nicht zur Besetzung des Hoheitsgebiets eines anderen Staates geführt haben, können sie – in Verbindung mit konventioneller Kriegsführung – hilfreich sein, um ein solches Ziel zu erreichen. Darüber hinaus können Cyberangriffe einen Staat daran hindern, seine souveräne Macht auszuüben und damit seine politische Unabhängigkeit untergraben.
Völkerrechtlich anerkannt: Staatsterritorium „Cyberspace“
Tatsächlich verletzt einigen Wissenschaftlern zufolge ein Cyberangriff faktisch die Souveränität des angegriffenen Staates, da er dessen Souveränität über seinen Cyberraum aufhebt oder verringert. So hat beispielsweise die NATO anerkannt, dass „das Völkerrecht, einschließlich des humanitären Völkerrechts und der UN-Charta, im Cyberspace gilt“. Ein Staat kann nicht völlig souverän sein, wenn er seinen Cyberraum nicht kontrolliert: Dieser ist nicht weniger wichtig als sein physisches Territorium. So erlaubt selbst die überholte Definition der Resolution 3314, einige feindliche Handlungen im Cyberraum als Aggression zu bezeichnen.
Skeptiker dieses Verständnisses von Cyberangriffen werden fragen, wo die Grenze zwischen unfreundlichen Handlungen und „Aggressionen“ im Cyberraum verläuft. Die Antwort auf diese Frage liegt in der Bewertung zweier Kriterien: zum einen des Ausmaßes des Cyberangriffs und zum anderen der Absicht, die Souveränität eines anderen Staates zu beeinträchtigen.
Können Cyberangriffe zum Bündnisfall führen?
Erstens: Obwohl der Nordatlantikrat von Fall zu Fall entscheidet, wann ein Cyberangriff zum Bündnisfall gemäß Artikels 5 des NATO-Vertrags führt, bekräftigt die NATO, dass die Auswirkungen eines Cyberangriffs „ebenso schädlich für moderne Gesellschaften sein können wie ein konventioneller Angriff“ und dass die Cyberverteidigung zur „Kernaufgabe der NATO, der kollektiven Verteidigung“ gehört. Das Ausmaß des Angriffs lässt sich jedoch auch an konkreten Folgen wie menschlichen Opfern oder Sachschäden messen. Bei Angriffen auf kritische Infrastrukturen sollte in einer Angriffsanalyse nicht nur die Zerstörung der Infrastrukturen selbst, sondern auch die Beeinträchtigung ihrer Funktionsfähigkeit über einen längeren Zeitraum berücksichtigt werden.
Cyberangriff vs. Cyberaggression
Zweitens ist unter der Absicht, die Souveränität zu verletzen, der politische Wille zu verstehen, einen Angriff mit dem Ziel zu begehen, die politische Unabhängigkeit oder territoriale Integrität eines anderen Staates zu beeinträchtigen. Ebenso wie unfreundliche Zwischenfälle an physischen Grenzen von einem umfassenden Krieg zu unterscheiden sind, lassen sich vereinzelte kleine Cyberangriffe von Cyberaggression unterscheiden. Die vorsätzliche Zufügung eines konkreten Schadens durch einen Cyberangriff sollte als Aggression betrachtet werden, vergleichbar mit dem Beschuss von souveränem Territorium.
Wann verletzen Cyberangriffe die Souveränität eines Staates?
In der Erklärung der Tschechiens auf der zweiten Substanzsitzung der OEWG 2020 wurden beispielsweise mehrere Situationen aufgeführt, in denen Cyberoperationen als Verletzung der Souveränität eines Staates angesehen werden können, z.B. wenn eine Cyberoperation (1) „den Tod oder die Verletzung von Personen oder erhebliche materielle Schäden“ verursacht; (2) „eine Beschädigung oder Störung von Cyber- oder anderen Infrastrukturen mit erheblichen Auswirkungen auf die nationale Sicherheit, die Wirtschaft, die öffentliche Gesundheit oder die Umwelt“ verursacht; (3) Daten oder Dienste stört, die für die Ausübung inhärenter staatlicher Funktionen wesentlich sind, und „dadurch die Ausübung dieser Funktionen erheblich stört; beispielsweise die Verbreitung von Ransomware, die die von einer Regierung genutzten Computer verschlüsselt und dadurch die Auszahlung von Altersrenten erheblich verzögert“; (4) „gegen einen Staat oder darin befindliche Einrichtungen oder Personen, einschließlich internationaler Organisationen [...] durch ein physisch anwesendes Organ eines anderen Staates“ gerichtet ist.
Vorteile einer umfassenden Definition von „Aggression“
Eine Ausweitung des Aggressionsbegriffs auf Cyberangriffe bringt erhebliche Vorteile mit sich. Einerseits würde die Definition von Cyberangriffen als Aggression nach den oben genannten Kriterien die Grenzen des Rechts der Staaten auf individuelle Selbstverteidigung klarer abstecken.
Darüber hinaus würde eine klarere Definition von Cyberangriffen als eine Form der Aggression auch eine Rechtsgrundlage für andere Reaktionsmaßnahmen schaffen. Es wurde viel über die Beschlagnahmung russischer Staatsvermögen als Entschädigung für das Unrecht im Zusammenhang mit der Invasion Russlands in die Ukraine diskutiert. Ein Vertreter des Internationalen Währungsfonds warnte kürzlich, dass alle Entscheidungen zur Beschlagnahmung eingefrorener russischer Vermögenswerte mit „ausreichender rechtlicher Unterstützung“ untermauert werden sollten, um künftige Risiken abzuwenden.
Eine Definition von „Aggression“, die auch Cyberangriffe umfasst, könnte eine solche rechtliche Unterstützung bieten. Den Artikeln über die Verantwortlichkeit der Staaten für völkerrechtswidrige Handlungen zufolge ist der verantwortliche Staat verpflichtet, den durch die völkerrechtswidrige Handlung verursachten Schaden vollständig zu ersetzen. Die Verletzung umfasst jeden Schaden, ob materiell oder moralisch. Die vollständige Wiedergutmachung des durch die völkerrechtswidrige Handlung verursachten Schadens erfolgt in Form von Rückerstattung, Kompensation und Schadensbefriedigung – entweder einzeln oder in Kombination.
Neue Bündnisse gegen Cyberbedrohung
Cyberaggression stellt eine große Herausforderung für die globale Sicherheit dar, und Verteidigungsbündnisse oder Verträge über Sicherheitsgarantien müssen Cyberattacken Rechnung tragen. Ein gutes Beispiel dafür ist das jüngste Abkommen über Sicherheitskooperation zwischen dem Vereinigten Königreich Großbritannien, Nordirland und der Ukraine, das die Vertragspartner dazu verpflichtet, „gemeinsam an der Sicherstellung einer nachhaltigen Streitmacht zu arbeiten, die in der Lage ist, jetzt die Ukraine zu verteidigen und zukünftig die russische Aggression einzudämmen, und zwar durch die anhaltende Bereitstellung von Sicherheitsunterstützung und moderner militärischer Ausrüstung in den Bereichen Land, Luft und See, Weltraum und Cyber“. Ein weiteres Beispiel ist das jüngste Abkommen zwischen der Ukraine und Deutschland, in dem ausdrücklich von „Cyber- und hybriden Bedrohungen“ die Rede ist. Ein ähnliches Abkommen zwischen Frankreich und der Ukraine verwendet ebenfalls den Begriff „Cyberaggression“.
Unabhängig von der Form des rechtlichen Rahmens ist die Ausweitung der Definition von „Aggression“, ein dringliches Gebot, um Cyberbedrohungen angemessen begegnen zu können. Dieses würde nicht nur dazu beitragen, künftige Cyberangriffe besser abzuschrecken, sondern auch die russische Führung für all das Unrecht zur Rechenschaft zu ziehen, das sie während des Krieges in der Ukraine begangen hat – und nicht nur für jenes, das auf die konventionelle Kriegsführung zurückzuführen ist.
Ilona Khmeleva ist Juristin und Koordinatorin des Projektes „Die Ukraine in Europa: Parlamentarische Dimension“ in der EEF.
Ilona Khmeleva ist Juristin und Koordinatorin des Projektes „Die Ukraine in Europa: Parlamentarische Dimension“ in der EEF.
Gefördert durch:
