Cyber-Krieg: Ohne Schüsse, ohne Regeln

Die neueste Krankheit des Cyberspace heißt „Flame“. Das verkündet der Anti-Viren-Hersteller Kaspersky. Der Virus soll ausgefeilter als „Stuxnet“ sein, jene Schadsoftware, die bislang als Nonplusultra galt. Eine „Super-Cyberwaffe“ sei ihnen da in den digitalen Fliegenfänger gegangen, brüsten sich die Experten. „Cyberkrieg“, das klingt nach Science-Fiction, aufregend und unblutig.

Doch die Begriffe „Cyberkrieg“ und „Waffe“ in Bezug auf Schadsoftware sind verharmlosend und alarmistisch gleichzeitig. Vieles, was „Flame“ kann, etwa Screenshots machen und verschicken, konnte auch der „Bayerntrojaner“, jene Software, die die bayerischen Strafverfolger nutzten, um Straftäter abzuhören. Rechtlich bedenklich war auch das, doch als „Waffe“ gilt der Trojaner nicht. Und doch ist die Bezeichnung nicht falsch, denn der Cyberkrieg, da sind sich Experten einig, ist in vollem Gange und Viren wie „Flame“ und „Stuxnet“ sind seine Instrumente. Vor kaum einem Jahr hat China bestätigt, eine „Hackerarmee“ zu beschäftigen, über ein „Cyber-Abwehrzentren“ verfügt inzwischen beinahe jedes entwickelte Land, auch die Nato.

Die Frage, ob es sich bei „Flame“ um eine „Waffe“ handelt, verweist auf ein wichtiges Problem: Es wird schon mit neuartigen Mitteln gekämpft, während das Völkerrecht noch nach passenden Begriffen sucht. Der Cyberkrieg stellt die internationale Gemeinschaft gleich vor mehrere neue Herausforderungen. Neben der Frage der Definition (was gilt als Spionage, was als Angriff?) stellt sich die Frage der Rüstungskontrolle neu. Niemand muss mehr Kisten mit Kalaschnikows über Grenzen schmuggeln, ein USB-Stick reicht aus, oft vermehren sich die Viren von selbst. „Stuxnet“ etwa zielte auf atomare Forschungsreaktoren im Iran, wurde dann aber auch in deutschen Industrieanlagen gefunden.

Schadsoftware unterliegt keinen Ein- oder Ausfuhrbeschränkungen und wird von keinem Embargo erfasst. Westliche Hersteller liefern ihre Produkte munter an die Brutalos dieser Welt, die sie nutzen, um Oppositionelle zu verhaften, so geschehen nicht nur in Libyen.

Darüber hinaus bleiben die Urheber von Cyber-Attacken in der Regel im Dunkel, kein Satellitenbild dokumentiert den Abschuss einer Rakete. Zuletzt gaben die USA zu, Webseiten von Al Qaida attackiert zu haben – undenkbar, wäre das Terrornetzwerk eine Nation. Der Cyberkrieg ist ein Krieg ohne völkerrechtlich Verantwortliche.

Dass es neue Standards, Definitionen und Abkommen braucht, bevor weitere, schlimmere Cyberattacken die reale Welt berühren, dafür gibt es inzwischen zumindest ein Bewusstsein. 2011 war die Cybersicherheit erstmals Thema beim G-8-Gipfel in Deauville, auf Drängen Russlands und Chinas gibt es auch Versuche, im Rahmen der Vereinten Nationen Gespräche zu beginnen. Geschehen ist noch nicht viel. Gerade die fließenden Übergänge zwischen Spionage- und Angriffssoftware machen einen Dialog schwierig. Denn viele Staaten wollen und können auf Schadsoftware nicht mehr verzichten. Auch Deutschland nicht.