Sarah Zerback: Offene Fragen bei dem Thema bleiben, nicht nur danach, geeignete Hacker zu finden, sondern auch, was deren Einsatz völkerrechtlich bedeutet. Darüber habe ich kurz vor dieser Sendung gesprochen mit Michael Bothe. Er ist Völkerrechtler an der Goethe-Universität Frankfurt. – Herr Bothe, wenn ein Staat auf klassische Art angegriffen wird, dann hat er das Recht auf Selbstverteidigung. Das regelt die UN-Charta. Wie sieht das denn bei einem Cyber-Angriff aus?
Michael Bothe: Das kommt darauf an, ob der Cyber-Angriff einem bewaffneten Angriff klassischer Art in seinen Wirkungen entspricht. Es geht ja letzten Endes um die Frage militärischer Gegenschlag, und da muss die Verhältnismäßigkeit gewahrt werden. Militärische Gegenschläge sind nur zulässig gegen Angriffe, die wirklich in ihren Wirkungen einem militärischen Schlag entsprechen.
"Man kann mit einem Computer-Angriff physische Zerstörungen verursachen"
Zerback: Wann würden Sie denn davon sprechen, von einem solchen Fall?
Bothe: Wenn beispielsweise erhebliche physische Schäden hervorgerufen werden. Man kann mit einem Computer-Angriff, indem man sich in Steuerungssysteme hineinhackt, durchaus physische Zerstörungen verursachen, die genauso schlimm sind, wie wenn man eine Bombe geworfen hätte.
Zerback: Wenn wir da zum Beispiel an ein Kernkraftwerk denken.
Bothe: Genauso ist das. Wenn sich ein Hacker in das Steuerungssystem eines Kernkraftwerks oder denken Sie etwas anderes Schreckliches, in das Steuerungssystem eines Staudamms hineinhackt, dann können da enorme Zerstörungen, physische Zerstörungen verursacht werden, und es ist ganz selbstverständlich, dass diese physischen Zerstörungen so etwas sind wie ein bewaffneter Angriff, wenn man eine Bombe geworfen hätte, und dementsprechend ist eine militärische Reaktion als Selbstverteidigung in einem solchen Fall zulässig.
"Selbstverteidigung geht notfalls auch ohne Parlament"
Zerback: Und diese Abwehr von Cyber-Attacken, ist die durch Bundeswehrmandate gedeckt?
Bothe: Das kommt auf das einzelne Mandat an. Die Bundesrepublik kann sich jederzeit gegen Angriffe verteidigen. Das ist überhaupt kein Problem. Dazu brauchen wir zunächst einmal das Parlament nicht. Das Parlament brauchen wir, wenn wir dann mit der Bundeswehr selber irgendwelche militärischen Maßnahmen starten. Aber zunächst einmal Selbstverteidigung, Reaktion, die ja schnell sein muss unter Umständen, das ist dann Gefahr im Verzug und Eile geboten. Das geht notfalls auch ohne Parlament.
Zerback: Das heißt, es müsste nicht jedes Mal der Bundestag zustimmen, wenn denn der deutsche Staat tatsächlich durch einen solchen Angriff bedroht wäre?
Bothe: Das kommt auf das konkrete Szenario an, das wir uns vorstellen müssen. Zunächst einmal ist das Errichten einer Firewall, das Vernichten von irgendwelcher Schadsoftware auf Servern eine passive Abwehrmaßnahme, die immer möglich ist, die jedem Staat möglich ist. Dazu brauchen wir noch nicht einmal das Selbstverteidigungsrecht. Das Selbstverteidigungsrecht brauchen wir in dem Falle, wo wir auf eine solche Schädigungshandlung von außen mit militärischen Maßnahmen reagieren. Da brauchen wir in der Tat in der Regel das Parlament, es sei denn, wir hätten einen besonderen Fall, dass Gefahr im Verzug ist, Eile geboten, oder dass wir eine Situation haben, wo die Reaktion so ist, dass sie nur wirksam sein kann, wenn man sie vorher geheim hält.
Militärische Cyber-Offensiven der Bundeswehr nur mit Parlament
Zerback: Das ist ja ein spannender Punkt. Offiziell, so ist die Lesart, soll das neue Kommando ja nur defensiv tätig sein, Angriffe nur abwehren, statt jetzt selbst Cyber-Waffen zu entwickeln. Allerdings – und das wissen wir auch – bereitet sich auch die Bundeswehr auf offensive Attacken vor. Welche rechtlichen Hürden würden Sie denn da sehen?
Bothe: In dem Moment, wo die Bundeswehr dazu übergeht, mit digitalen Mitteln wirklich Schädigungshandlungen im Ausland vorzunehmen, sind wir in einem Bereich, wo wir genau hinschauen müssen, ob das mit militärischen Maßnahmen irgendwie vergleichbar ist. Und wenn das so ist, dann brauchen wir das Parlament dazu. Aber nur dann!
Zerback: Das große Problem ist aber auch, die Attacke nun einem Urheber zuzuordnen. Der ist ja meist gar nicht erkennbar. Man weiß nicht, ob der Angriff dann von einem Cyber-Kriminellen stammt, oder zum Beispiel von einem Nachrichtendienst. Völkerrechtlich gesehen, wann darf man sich verteidigen und gegen wen?
"Selbstverteidigung auf Verdacht darf nicht sein"
Bothe: Man darf sich verteidigen gegen Maßnahmen, die von einem Staat herrühren, gegen eben diesen Staat. Und damit sind wir bei einem ganz grundsätzlichen Problem der ganzen Diskussion um Cyber-Attacken. Das ist die mangelnde Rückverfolgbarkeit von Schädigungshandlungen mittels Cyber-Attacken. Da gilt ein wichtiger Grundsatz: Selbstverteidigung auf Verdacht darf nicht sein, sondern man darf sich gegen einen anderen Staat nur wehren bei Maßnahmen, die auf diesen Staat eindeutig zurückzuführen sind. Verdacht reicht da nicht aus, sondern es muss eine Gewissheit sein. Wir haben in eher konventionellen Zusammenhängen solche Fälle vor dem Internationalen Gerichtshof gehabt, zum Beispiel Minen legen in Gewässern, und da hat der Gerichtshof gesagt, das muss ganz klar sein, dass die Mine von dem Staat gelegt wird, gegen den dann Selbstverteidigungsmaßnahmen ergriffen werden. Und da war der Gerichtshof sehr streng. Also: Selbstverteidigung auf Verdacht. Wenn man meint, es käme irgendwo her, das reicht nicht. Das mag unbequem sein, aber so ist das.
Zerback: Was Sie auch ganz deutlich machen ist, dass es sehr auf den Einzelfall ankommt. Wir wissen, es gibt bislang keine konkreten Regeln für die Kriegsführung im virtuellen Raum. Muss da Ihrer Meinung nach das Völkerrecht überarbeitet werden?
Bothe: Man ist mitten dabei, das zu überarbeiten. Da gibt es Expertenkommissionen, die sich damit beschäftigen. Das ist wichtig und notwendig. Es ist nur so, dass zunächst einmal ausgegangen werden muss von dem Normenbestand, den wir haben: Gewaltverbot der Satzung der Vereinten Nationen, das humanitäre Völkerrecht für die Frage, was darf angegriffen werden und was nicht. Und dann muss man weiter sehen, ob man mit einer vernünftigen Anwendung solcher traditionellen Regeln zu hinnehmbaren vernünftigen akzeptablen Ergebnissen kommt.
Zerback: Die Einschätzung von Michael Bothe war das, Völkerrechtler an der Goethe-Universität Frankfurt.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
