Wann ist ein Cyberangriff ein Kriegsverbrechen?

Am 24. Februar, dem Tag, an dem Russland die Invasion in der Ukraine begann, wurde die militärische Kommunikation der Ukraine durch einen Cyberangriff auf den Satelliteninternetdienst KA-SAT gestört. Der Angriff, den Beamte der Vereinigten StaatenExterner Link der russischen Militärspionageagentur zuschrieben, breitete sich über die Grenzen der Ukraine hinaus aus.

Zehntausende von Menschen in ganz Europa, von Frankreich bis in die Ukraine, waren ohne Internetzugang. Etwa 2000 Windturbinen in Deutschland waren auch einen Monat nach dem Angriff noch offlineExterner Link.

Einen Tag später wurde eine Grenzkontrollstation zwischen der Ukraine und Rumänien von einer datenlöschenden Malware – einer Schadsoftware – angegriffenExterner Link, was die Abfertigung von Flüchtlingen verlangsamte. Die Urheber:innen dieses Angriffs sind nach wie vor unbekannt.

Dies sind zwei der 35 bedeutendsten Cyberangriffe gegen kritische und zivile Infrastrukturen in der Ukraine, die das CyberPeace Institute, eine in Genf ansässige Nichtregierungsorganisation, seit Beginn des Krieges auf seiner WebsiteExterner Link erfasst hat.

Laut Bruno Halopeau, Chief Technology Officer und Leiter der Cyber-Analyse der Organisation, zielten die meisten Angriffe zwar auf militärische Ziele, öffentliche Einrichtungen und die Medien ab, es seien aber auch Zivilist:innen – absichtlich oder nicht – betroffen gewesen.

Angriffe auf Zivilist:innen können nach humanitärem Völkerrecht ein Kriegsverbrechen sein.

«Wir beobachten die Situation und sammeln Beweise, damit wir im Fall einer Untersuchung in der Lage sind, Beweise für die Geschehnisse zu liefern», sagt Halopeau. Auf ihrer Website listet die NGO die Cyberangriffe auf und beschreibt sie. Sie schätzt den gesellschaftlichen Schaden ein, den die Angriffe verursacht haben sowie Einzelheiten darüber, wem sie  zugeordnet werden können.

«Was wir auf unserer Website veröffentlichen, ist nur ein Bruchteil der Informationen, die wir haben», sagt Halopeau. Diese Informationen, so Halopeau, stehen für mögliche künftige Gerichtsverfahren zur Verfügung. Das CyberPeace Institute sammelt diese Beweise auch, um zu beurteilen, ob Länder die von ihnen unterzeichneten internationalen Verträge einhalten, und um Gesetzeslücken zu ermitteln.

Kriegsrecht im digitalen Zeitalter

Das humanitäre Völkerrecht – auch als Kriegsrecht bekannt – setzt Kriegshandlungen Grenzen und zielt auf den Schutz von Zivilist:innen, medizinischem Personal, verwundeten Soldaten und Kriegsgefangenen ab.

Direkte Angriffe auf Zivilist:innen sind verboten. Auch der Einsatz von Waffen, deren Wirkung nicht auf militärische Ziele beschränkt werden kann, ist verboten. In der physischen Welt bedeutet dies beispielsweise, dass ein Krankenhaus nicht beschossen oder dicht besiedelte Gebiete nicht bombardiert werden dürfen. Aber in der digitalen Welt werden die Sachen komplizierter.

Halopeau sagt, es sei sehr schwierig, eine Malware zu entwickeln, die nur bestimmte Systeme angreift und nicht eine Vielzahl von ihnen. Der Hack des Internetdienstes KA-SAT veranschaulicht diese Tatsache.

Der Krieg zwischen Russland und der Ukraine, der sich auch auf den Cyberspace ausgeweitet hat, lässt auch die Grenzen zwischen Zivilpersonen und Armeeangehörigen verschwimmen.

Am 26. Februar rief die ukrainische RegierungExterner Link Amateur-Hacker aus aller Welt auf, sich ihrer «IT-Armee» anzuschliessen und Angriffe gegen russische Ziele zu starten. Anonymous, ein globales Hackerkollektiv, erklärte am ersten Tag des Krieges, dass es einen Cyberkrieg gegen MoskauExterner Link führe.

Bruno Halopeau bezweifelt, dass sich ein Grossteil der Cyberkrieger:innen darüber im Klaren sind, was ihre Beteiligung an diesem Konflikt nach dem humanitären Völkerrecht bedeutet.

«Indem sie sich aktiv an diesem Konflikt beteiligen, verlieren sie möglicherweise unwissentlich ihren rechtlichen Schutz als Zivilist:innen und werden als Kriegsteilnehmer:innen behandelt. Der Staat, den sie angreifen, kann Vergeltungsmassnahmen ergreifen und sie können nach dem Krieg strafrechtlich verfolgt werden», sagt er.

Hüterin des humanitären Völkerrechts

Als Hüterin des humanitären Völkerrechts verfolgt das Internationale Komitee vom Roten Kreuz (IKRK) aufmerksam die neuesten Entwicklungen auf dem Schlachtfeld, spricht im Vertraulichen mit Staaten, um sie an die bestehenden Vorschriften zu erinnern. Es prüft auch, ob das Recht geändert werden muss.

«Wir sehen eine Realität, in der Cyberoperationen in bewaffneten Konflikten immer häufiger werden», sagt Tilman Rodenhäuser, Rechtsberater beim IKRK. «Und eine der wichtigsten Aufgaben des IKRK ist es, auf die potenziellen menschlichen Kosten solcher Operationen hinzuweisen, auf die potenziellen Kosten für die Zivilbevölkerung.»

Das humanitäre Völkerrecht wurde in einer Zeit eingeführt, in der es noch keine Cyberangriffe gab. Sind diese Regeln also heute noch zweckmässig?

«Wir können nicht bei jeder technologischen Entwicklung neue Regeln für bewaffnete Konflikte aufstellen.»

Tilman Rodenhäuser, Rechtsberater beim IKRK

«Wir können nicht bei jeder technologischen Entwicklung neue Regeln für bewaffnete Konflikte aufstellen», antwortet Rodenhäuser.

Aber einige Aspekte des Rechts bleiben offen für Interpretationen. Eine der ältesten Regeln des humanitären Völkerrechts ist der Schutz von zivilen Objekten. Viele Jahre lang durften zivile Daten – darunter versteht man beispielsweise vertrauliche Dokumente in physischen Archiven – rechtlich nicht beschädigt oder zerstört werden. Aber was sagt das Gesetz, wenn dieselben Daten digital gespeichert sind?

«Der Schutz von Daten wird von den Regeln des humanitären Völkerrechts nicht ausdrücklich angesprochen», sagt Rodenhäuser, der hinzufügt, dass Rechtsexpert:innen und Staaten unterschiedliche Ansichten darüber haben, wie das humanitäre Völkerrecht in diesem Fall anzuwenden ist.

Für das IKRK ist es wichtig, dass die Staaten das bestehende Recht so auslegen, dass Zivilist:innen und zivile Infrastrukturen das gleiche Schutzniveau geniessen wie in der Vergangenheit. Und dass für Cyberwaffen die gleichen Grenzen gelten wie für traditionelle Kriegsmittel.

«Wenn die Staaten sagen würden: Nein, Daten sind eigentlich Freiwild und sie können in bewaffneten Konflikten ohne rechtliche Konsequenzen beschädigt und gelöscht werden, dann wäre das ein echtes humanitäres Problem, und wir müssten über neue Regeln nachdenken», sagt Rodenhäuser.

Aber neue Regeln des internationalen Rechts müssen von den Staaten ausgehandelt werden. Sobald ein Vertrag existiert, muss er unterzeichnet und ratifiziert werden – ein langwieriger und komplizierter Prozess, zumal die derzeitigen Regeln des humanitären Völkerrechts praktisch alle Staaten binden.

«Es ist von entscheidender Bedeutung, dass diese vereinbarten Regeln auch im Hinblick auf Cyberoperationen eingehalten werden, denn der Grossteil dessen, was wir als Bedrohung für die Zivilbevölkerung ansehen, wird durch die bestehenden Regeln abgedeckt», so Rodenhäuser.

Die Haltung der internationalen Gemeinschaft

Die Frage, ob und wie das Völkerrecht – einschliesslich des humanitären Völkerrechts – auf den Cyberspace anwendbar ist, war in den letzten zwei Jahrzehnten Gegenstand zahlreicher multilateraler Diskussionen im Rahmen der Vereinten Nationen.

Ein Durchbruch gelang 2013, als eine Gruppe von Regierungsexpert:innen (Group of Governmental Experts GGE) einen im Konsens angenommenen Bericht vorlegte, in dem bestätigt wurde, dass die Nutzung von Informationstechnologien durch Staaten dem Völkerrecht unterliegt. Die Frage, wie dieses Recht anzuwenden ist, blieb offen.

Im Jahr 2019 wurde bei der UNO eine neue Arbeitsgruppe geschaffen, die allen 193 Mitgliedstaaten offensteht. Ihr Ziel war es, die Erkenntnisse der Regierungsexpert:innen weiterzuverfolgen.

«Die Herausforderung bestand darin, alle an einen Tisch zu bringen und den Konsens wiederherzustellen», sagt Jürg Lauber, Botschafter der Schweiz bei der UNO in Genf und ehemaliger Vorsitzender der Arbeitsgruppe.

Seine Aufgabe, so Lauber, wurde durch «zunehmende politische Spannungen zwischen den Grossmächten» und «Versuche, die Regeln von einer kleinen Gruppe von Ländern umzuschreiben» erschwert.

Letztendlich kam auch die Arbeitsgruppe zum Schluss, dass das Völkerrecht auf Cyberkrieg anwendbar ist. Aber auch sie konnte keine Einigung darüber erzielen, wie dies umgesetzt werden soll.

«In der Sache gab es Fortschritte, aber es war kein grosser Sprung. Allerdings ist die Unterstützung jetzt viel breiter, weil alle die Möglichkeit hatten, sich an der Diskussion zu beteiligen», sagt Lauber.

Für den Zeitraum 2021 bis 2025 wurde eine neue Arbeitsgruppe bei der UNO geschaffen.

«Ich hoffe, dass sie weiter kommen […] Es gibt eindeutig eine Kluft zwischen allen Mitgliedstaaten, die sich über die Anwendbarkeit des bestehenden internationalen Rechts einig sind, und dem, was wir mit der illegalen Nutzung von Cybertechnologie erleben.»

Kriegsverbrechen?

Die Verfolgung von Kriegsverbrechen, die auf dem physischen Schlachtfeld begangen wurden, ist ein langwieriger und schwieriger Prozess, der Jahre dauern kann. Die Cyberwelt trägt zu dieser Komplexität bei.

Es ist sehr schwierig herauszufinden, wer hinter einem Cyberangriff steckt, da dieser leicht von Stellvertreter:innen gestartet werden kann.

«Manchmal sind jahrelange Ermittlungen erforderlich, um wirklich zu verstehen, wie ein Angriff geplant wurde, wie er durchgeführt wurde, wer ihn angeordnet hat und welche Personen dahinterstecken», sagt Bruno Halopeau vom CyberPeace Institute. Normalerweise brauche man Informationen aus der physischen Welt – wenn eine Regierung beteiligt gewesen sei, Namen von Personen, die zu einer bestimmten Zeit an einem bestimmten Ort gearbeitet hätten, Bilder usw. – um virtuelle Spuren untermauern zu können, fügt er hinzu.

«Man muss eine Menge Informationen kombinieren, die nicht sofort verfügbar sind. Und das im besten Fall, wenn man mehr oder weniger weiss, dass es sich nur um eine:n Angreifer:in handelt», sagt Halopeau.

Im Ukraine-Krieg haben Nationalstaaten, aber auch kriminelle Gruppen und Einzelpersonen Cyberangriffe durchgeführt. «Und dann muss die Haftung derjenigen, die daran beteiligt waren, definiert werden, und das wird sehr kompliziert», prognostiziert Halopeau.

Halopeau hält es für möglich, dass einige Cyberangriffe, bei denen Zivilist:innen zu Schaden gekommen sind – wie der KA-SAT-Angriff oder die Hackerangriffe auf die ukrainisch-rumänische Grenzkontrolle – für den Internationalen Strafgerichtshof (IStGH) von Interesse sein könnten, der bereits Ermittlungen wegen angeblicher Kriegsverbrechen in der Ukraine eingeleitet hat. Bislang untersucht der IStGH die Cyberkriegsführung nicht.

Trotz der schrecklichen Ereignisse könne der Krieg in der Ukraine als Lehre für die Notwendigkeit dienen, die Rechenschaftspflicht im Cyberspace zu stärken, meint er.

«Dies ist einer der ersten Konflikte, in dem Cyberangriffe in diesem Ausmass eingesetzt werden. […] Ich denke also, dass es im Hinblick auf das humanitäre Völkerrecht eine Diskussion geben muss, um zu erkennen, wie der Cyberspace genutzt wird, um Menschen zu schaden, und um unangemessenes Verhalten zu verhindern.»

Editiert von Imogen Foulkes.

Übertragen aus dem Englischen von Melanie Eichenberger