Stuxnet im Iran und der DNC-Hack: Nur zwei Fälle von möglicherweise staatsgeführten Cyberangriffen. Wie sollen Staaten mit solchen Attacken umgehen, wie dürfen sie überhaupt damit umgehen? Das bestimmt das Völkerrecht. Der Kölner Völkerrechtler Professor Dr. Claus Kreß ist Mitautor des Tallinn Manual 2.0, eines Handbuchs, das als weltweite Referenz im Dschungel der Cyberoperationen dienen soll. 

Kreß ist eine anerkannte Größe im globalen völkerrechtlichen Dialog: Als Mitglied der deutschen Delegation war er beispielsweise 1998 bei der Staatenkonferenz in Rom zur Errichtung des Internationalen Strafgerichtshofes beteiligt, 2001 hat er den »Prosecutor General for East Timor« beraten und 2010 hat er bei dem Durchbruch der Verhandlungen zum Verbrechen der Aggression in Kampala mitgewirkt. Seit 2012 ist er Direktor des Kölner Instituts für »International Peace and Security Law«, das sich mit Völkerrechtsfragen zu Krieg und Frieden befasst. 

Der Rechtswissenschaftler ist von den Arbeiten in Tallinn zurück in seinem Büro am Lehrstuhl an der Uni Köln. Dreimal ging die Gruppe internationaler Expertinnen und Experten in der Stadt an der Ostsee in Klausur. Das Ergebnis der intensiven Arbeit liegt nun vor: Das Tallinn Manual 2.0. Während das Tallinn Manual 1.0 sich mit dem Cyberkrieg beschäftigte, werden im Tallinn Manual 2.0 die völkerrechtlichen Regeln für Cyberattacken in Friedenszeiten ergänzt. Auf 638 Seiten legt die internationale Expertengruppe ihre Rechtsauffassung zu Fragen dar, wie: Wann ist ein Cyberangriff ein völkerrechtswidriger und wann nur ein unfreundlicher Akt? Wie dürfen betroffene Staaten reagieren? Wo herrscht im Hinblick auf das geltende Recht Konsens, wo nicht? 

Das Völkerrecht ist nur in geringem Maße in förmlichen Rechtsakten schriftlich niedergelegt. Wichtige Rechtsprinzipien ergeben sich deshalb bis heute aus dem Gewohnheitsrecht, das dem tatsächlichen Verhalten der Staaten entspringt. »Und da«, so Claus Kreß, »setzt die Funktion solcher Handbücher ein.« Handbücher können auf lange Sicht als Bezugspunkt für den normativen Diskurs dienen, so wie es gerade bei einer Reihe von Handbüchern zum Kriegsrecht seit dem 19. Jahrhundert der Fall ist. »Solche Handbücher sind aber keine internationale Gesetzgebung. Sie sind das Werk von unabhängigen Wissenschaftlerinnen und Wissenschaftlern. Sie sind deshalb nur so stark wie die Kraft ihrer Argumente.« Zu dem Wert solcher Handbücher gehört es, offene und kontroverse Punkte für die zukünftige Debatte zu bezeichnen. Zielgruppe von Tallinn 2.0 sind primär die Staaten. Kreß hofft, dass das Handbuch zu einem zentralen Referenzwerk avanciert: »Jeder Staat kann nun besser einschätzen: Wo stehen wir eigentlich?« 

Wenn man an Cyberwarfare denkt, denkt man an Krieg. Doch: »So wichtig es ist, auch dramatische Gefahren nicht auszublenden, so richtig ist es, dass sich die ganz große Masse der Computerangriffe bislang unter der Schwelle des bewaffneten Konflikts bewegt «, erklärt der Völkerrechtler. »Völkerrecht ist vor allem Friedensrecht.« 

Kann das Völkerrecht bei der Bewertung konkreter Fälle von Cyber-Operationen helfen? Kreß erläutert, dass in der Praxis zunächst oft das Problem auftauche, dass der Urheber einer bestimmten Operation unklar bleibe: »Viele Computerangriffe wären rechtlich gar nicht so schwierig zu beurteilen, wenn man wüsste, wer dahintersteckt.« Einmal vorausgesetzt, dass die USA oder Russland hinter den Angriffen in den Fällen »Stuxnet« und »DNC-Hacking« gesteckt haben sollten, gelangt Kreß zu unterschiedlichen Beurteilungen: »Stuxnet ist ein Fall, bei dem die Frage auftritt, ob bereits die Schwelle zur Gewaltanwendung und zum bewaffneten Konflikt erreicht ist.« Denn an den Zentrifugen seien als mehr oder weniger direkte Folge des Angriffs Schäden aufgetreten. »Das ist genau das Kriterium, das im Tallinn Manual empfohlen wird, um über die Frage einer Gewaltanwendung zu entscheiden.« 

Unterstellt man bei Stuxnet die Urheberschaft der USA, »so stellt sich ernsthaft die Frage eines Verstoßes gegen das völkerrechtliche Gewaltverbot, und die Folgefrage lautet, ob der Iran unter Wahrnehmung des Selbstverteidigungsrechts gewaltsam, das heißt auch unter Einsatz konventioneller Waffen gegen Amerika hätte reagieren dürfen. « Hierzu muss der Gewalteinsatz nach überwiegender Rechtsansicht aber eine gewisse Schwere erreichen. Wo genau diese Schwelle verläuft, bleibt einstweilen Gegenstand der Diskussion. 

Anders liegt der Fall beim Hacking des E-Mail-Servers des Demokratischen Nationalkomitees während des Präsidentschaftswahlkampfs 2016 in den USA. Zwar ist davon auszugehen, dass hiermit gegen amerikanisches Recht verstoßen wurde. Aber sind deswegen auch Völkerrechtsregeln verletzt worden? In Frage kommen die Pflicht, die territoriale Souveränität eines anderen Staates zu respektieren und das Verbot der Einmischung in die inneren Angelegenheiten eines anderen Staates. Ob die Schwelle, ab der man von einer Verletzung dieser Regeln sprechen kann, schon überschritten war, liege, so Kreß, allerdings nicht auf der Hand. 

Der Umstand, dass russische Organe nicht physisch auf amerikanischen Territorium anwesend waren, schließe eine Verletzung amerikanischer Souveränität nicht aus. Im Übrigen könnten auch mehr als nur ganz unbedeutende Funktionsstörungen eine solche Souveränitätsverletzung begründen. Doch besteht an dieser Stelle noch Rechtsunsicherheit: Die Experten des Tallinn Manual haben hier bezeichnenderweise untereinander keine vollständige Einigkeit erzielen können. Auch wenn private Einrichtungen in den Schutz der staatlichen territorialen Souveränität einbezogen sind, kann es insoweit und auch im Hinblick auf das Interventionsverbot von Bedeutung sein, dass ein Computerangriff die Wahrnehmung hoheitlicher Funktionen beeinträchtigt. Im Fall des »DNC-Hack« ging es um die Vorbereitung einer demokratischen Wahl. »Eine solche betrifft den Kern der internen Angelegenheiten eines Staates, und das fällt sicher für die Annahme einer Völkerrechtsverletzung auf die Waagschale«, so Kreß.

Ist ein Staat zum Opfer einer Völkerrechtsverletzung geworden, so darf dieser unter bestimmten Voraussetzungen eine sogenannte Gegenmaßnahme durchführen, dem Völkerrechtsverletzer gegenüber also ein Verhalten an den Tag legen, das unter normalen Umständen völkerrechtswidrig wäre. Eine solche Gegenmaßnahme kann auch die Form eines »Computergegenangriffs « annehmen. Allerdings betont Kreß, dass es eine Sache sei, ein Recht zur Gegenmaßnahme zu haben, und eine andere Sache, von diesem Recht auch Gebrauch zu machen. Letzteres sei eine Frage der politischen Klugheit. »Und darüber zu entscheiden, ist nicht unsere Aufgabe als Völkerrechtler.« Auch das beste Handbuch des Völkerrechts enthebt die Politik eben nicht ihrer Verantwortung.