Denkanstöße zur ethischen Betrachtung von Cyberoperationen

Denkanstöße zur ethischen Betrachtung von Cyberoperationen

07/2020

Betrachtung aus militärisch-operationeller Sicht

Operationalisierung des Cyberraums

Aufgrund der permanent fortschrei­tenden Digitalisierung im zivilen wie auch im militärischen Umfeld ist es gelungen, Prozesse zu optimieren und effizienter zu gestalten. Damit einher geht eine hohe Abhängigkeit von der einwandfreien Funktions­fähigkeit der zu Grunde liegenden IT-Infrastruktur, des sogenannten Cyberraumes.1 Neben den vielfälti­gen Vorteilen, die durch die Nutzung moderner IT-Systeme resultieren, bedingt sie aber auch eine Vielzahl von neuen Risiken, deren Dimension nicht immer in Gänze abzuschätzen ist.

Verfügbarkeit

Da heute ein sehr hoher Anteil der wirtschaftlichen und verwal­tungstechnischen Prozesse zumin­dest IT-gestützt abgearbeitet wird, kommt der uneingeschränkten Verfügbarkeit sowohl eine hohe wirtschaftliche als auch gesell­schaftliche Bedeutung zu. Schon geringfügige Störungen etwa in der Lieferkette eines Online-Versands führen zu negativen Reaktionen in­nerhalb der Kundschaft. Dabei fällt es nicht schwer, sich die Folgen bei der Unterbrechung von Lieferket­ten für lebenswichtige Produkte wie Blutkonserven oder Medikamente vorzustellen.

Die Beeinträchtigung der Verfüg­barkeit kann unterschiedliche Ursa­chen haben – begonnen bei einem Nutzer, der seine Zugangsdaten ver­gessen hat und so das System nicht mehr nutzen kann. Ebenso kann der technische Ausfall einer einzelnen Komponente aus dem eigenen Ver­antwortungsbereich, wie beispiels­weise einer Festplatte, die Nutzung unmöglich machen. Aber auch der Ausfall von nur mittelbar mit dem IT-System in Verbindung stehenden Komponenten kann Auswirkung haben. So mag ein IT-System zwar einwandfrei funktionieren, aber das Smart Office Building2 verwehrt we­gen einer Fehlfunktion den Zutritt und unterbindet so das Arbeiten.

Natürlich müssen auch gezielte Angriffe von außen auf die Verfüg­barkeit eines bestimmten Anteils im Cyberraum – beispielsweise mittels DDOS-Angriffen3 – bedacht werden.

Da sich auch die Sicherheitsor­gane der meisten Staaten der fort­schreitenden Digitalisierung nicht entziehen konnten, hängt deren Einsatzbereitschaft auch wesentlich von der Verfügbarkeit des Cyberrau­mes ab.

Die Beeinträchtigung der Verfüg­barkeit hat also aufgrund der hohen Abhängigkeit von der Funktions­fähigkeit des globalen Cyberraums unmittelbaren Einfluss auf die Stim­mung einer Gesellschaft, auf die Leistungsfähigkeit ihrer Wirtschaft, auf die Fähigkeit eines Staates, seine hoheitlichen Aufgaben kontinuier­lich wahrzunehmen und damit auf die Stabilität eines Staates als Gan­zes.

 

Integrität

Neben der reinen Verfügbarkeit ist es ebenso wichtig, dass man sich in der Nutzung des Cyberraums auf die zugrunde liegenden Daten verlassen kann.

Unmittelbar bezieht sich die In­tegritätsforderung auf die Daten, die verarbeitet werden und regelmäßig die Grundlage für Entscheidungen liefern. Dies gilt zunächst vor allem für Entscheidungen, die außerhalb des Cyberraums getroffen werden und durch den Menschen inter­pretiert werden. Im Kleinen ist es offenkundig, dass ein verfälschter Kontostand zu falschen wirtschaft­lichen Entscheidungen führen kann. Im Großen können so Unternehmen in den Ruin getrieben werden. Und wird eine medizinische Diagnose aufgrund verfälschter Werte getrof­fen, so können die Folgen in der rea­len Welt auch letal sein.

In gleicher Weise ist die Inte­grität gerade bei automatisierten Entscheidungen von höchster Be­deutung, da hier unzählige Entschei­dungen in kürzester Zeit getroffen werden und so der Effekt verstärkt wird. So liegen vielen Börsentrans­aktionen Regelwerke mit Schwell­werten zugrunde. Wenn ein Schwell­wert erreicht wird, dann werden ohne weitere Interaktion Börsen­transaktionen ausgelöst. Aufgrund dieser Transaktionen können dann Seiteneffekte erzeugt werden, die – wenn das Regelwerk korrumpiert ist – quasi nicht mehr beherrscht wer­den können.

Aber auch weit im Vorfeld kann die Integrität der Daten beschädigt werden, indem die IT-Systeme be­reits bei der Herstellung manipuliert werden. So sollte jeder Algorithmus, der einer Digitalisierung von Prozes­sen zugrunde liegt, immer bekannt und analysierbar sein. Wenn dies nicht möglich ist, dann agiert das jeweilige IT-System als „Black Box“: Ergebnisse können nicht nachvoll­zogen werden. Hier muss der Nut­zer dem System bzw. dem Hersteller des IT-Systems vertrauen. Umge­kehrt bietet die Manipulation von Algorithmen aufgrund der hohen Komplexität der heute eingesetzten Systeme sehr viele Optionen zur Be­einträchtigung der Datenintegrität.

Beim Verfälschen der Daten, beim Korrumpieren von Entscheidungs­systemen und auch bei der Mani­pulation von Algorithmen handelt es sich um unterschiedliche Ope­rationsmöglichkeiten, die aber im­mer das Ziel haben, eine falsche Entscheidung zu provozieren und sich so einen – zumeist finanziellen – Vorteil zu verschaffen. Dies gilt im Speziellen für die Führung von mi­litärischen Operationen, für deren Erfolg und Gelingen Entscheidungs­überlegenheit eine wesentliche Vor­aussetzung ist.

 

Vertraulichkeit

Wenn aufgrund von umfangreichen Schutzmaßnahmen weder die Ver­fügbarkeit von IT-Systemen, noch die Integrität von Daten beeinträch­tigt werden können, dann kann allein die Kenntnis der gespeicher­ten Daten Schaden verursachen. Nicht nur staatliche Organisationen wie die Bundeswehr, sondern auch große Unternehmen arbeiten daher mit entsprechenden Einstufungen, um die Informationsweitergabe zu steuern. Durch die Kenntnis sensi­tiver Daten, wie beispielsweise die Quartalszahlen eines börsennotier­ten Unternehmens vor Veröffent­lichung, kann man im besten Falle Profit durch Spekulation erzielen. Im schlechtesten Falle kann man durch dieses Wissen Unternehmen in ihrer Existenz bedrohen.

Gleiches gilt für militärische Operationen. Sollten geheime Infor­mationen zur Planung einer Opera­tion frühzeitig bekannt werden, so kann dies – deutlich außerhalb des Cyberraums – dazu führen, dass Sol­daten in dieser Operation ihr Leben verlieren. Zu gut erinnert man sich an die Pressekonferenz im Jahr 2001, in der der damalige Verteidigungs­minister die Aufmarschplanung der Bundeswehr nach Mazedonien ver­riet. Die Folge war eine schnelle Um­planung des Aufmarsches, da die Of­fenlegung offensichtlich war.4 Wenn dies jedoch durch Verletzung der Vertraulichkeit der Daten in einem IT-System geschieht, dann kann die Offenlegung nicht zwingend unmit­telbar erkannt werden und ist somit operationskritisch. Während in Zei­ten vor der Digitalisierung solche Informationen nur mit hohem Risi­ko gewonnen werden konnten, kann dies heute „aus der Ferne“ über den Cyberraum deutlich gefahrloser er­folgen. Vertraulichkeit von Informationen im Cyberraum eine ganz grundle­gende Bedeutung aus militärischer Sicht zu.

Handlungsoptionen im Cyberraum

Der Cyberraum ist also eine weitere operationelle Dimension vergleich­bar Land, See, Luft und Weltall, in dem bereits heute militärische Aus­einandersetzungen stattfinden und in Zukunft immer häufiger stattfin­den werden.

Für alle modernen Streitkräfte resultieren daraus unter anderem zwei wesentliche Folgerungen.

 

Schutz des „eigenen“ Cyber­raums

Der Zugang zum Cyberraum sowie die Nutzung der eigenen Anteile müssen geschützt werden.5

Hierzu dienen alle Maßnahmen der Cyberabwehr im Rahmen der Informationssicherheit sowie der Durchführung defensiver Cyberope­rationen. Für die relevanten Anteile der Bundeswehr am Cyberraum liegt die Verantwortung auch bei der Bun­deswehr selbst.

Die Bundeswehr, speziell der Organisationsbereich Cyber- und Informationsraum, schützt die digi­talisierten Anteile der Bundeswehr zum einen im Rahmen der Betriebs­verantwortung, zum anderen durch alle Maßnahmen der Informations­sicherheit.

Zudem verfügt die Bundeswehr über die Fähigkeit, sich durch de­fensive Cyberoperationen gegen Cy­berangriffe im Rahmen der Cyberab­wehr zur Wehr zu setzen.

 

Operationelle Nutzung des Cyberraums

Wenn die eigene Gesellschaft und die eigenen staatlichen Institutionen, im Speziellen auch die Einsatzbereit­schaft von Streitkräften, nachhaltig neuen Bedrohungen aufgrund der Digitalisierung ausgesetzt sind und sich für feindliche Kräfte dadurch neuartige Optionen ergeben, Staat und Gesellschaft in ihrer Stabilität zu beeinträchtigen, dann muss im Rahmen der Daseinsvorsorge auch über die eigenen Möglichkeiten zum Handeln im Cyberraum nachgedacht werden. Bereits auf dem NATO-Gip­fel in Wales 2014 hat die NATO den Cyberraum als operationelle Dimen­sion deklariert. Das Weißbuch von 2016 nimmt dies vor allem für die Weiterentwicklung auf. In der Folge werden der Organisationsbereich Cyber- und Informationsraum auf­gestellt und unter anderem auch die Fähigkeiten zu offensiven Cyberope­rationen gestärkt.

Bei offensiven Cyberoperationen spricht die Bundeswehr zum einen von der Fähigkeit zur Aufklärung im und über den Cyberraum und zum anderen über die Fähigkeit, im und über den Cyberraum zu wirken.

Beide Fähigkeiten stellen Streit­kräften völlig neue Optionen in der militärischen Auftragserfüllung zur Verfügung, die bereits heute für mo­derne und zukunftsgerichtete Arme­en unabdingbar sind.

Aufklärung

Durch die Fähigkeit zur Aufklärung in und über den Cyberraum kön­nen Streitkräfte grundsätzlich auch Kenntnis von besonders geschütz­ten, nicht übermittelten Informatio­nen erlangen, die mit keinem ande­ren militärischen Aufklärungsmittel zu gewinnen wären. Dies begründet sich im Wesentlichen durch die Digi­talisierung und die Verlagerung aller relevanten Informationen in den Cy­berraum. Dabei gibt es bereits heute eine Vielzahl von Informationen, die nur digital existieren und so aus­schließlich in IT-Systemen gefunden werden können. Als Beispiel sei hier der Zahlungsverkehr mittels virtuel­ler Währungen genannt.

Zusätzlich lassen sich durch die Aufklärung im Cyberraum sehr gro­ße Datenmengen einfacher gewin­nen, die dann in einem weiteren Analyseschritt fusioniert bzw. kor­reliert werden können und so zur Erstellung eines Lagebildes dienen können.

So könnten im Idealfall opera­tionsrelevante Informationen ge­wonnen werden, noch bevor der ei­gentliche Adressat sie erhält. Damit kann ein entscheidender Informati­onsvorsprung für die eigene Opera­tionsführung erlangt werden.

Wirkung

Während die Aufklärung im Wesent­lichen zur Verbesserung der eigenen Informationsbasis dient, stellt die Wirkung im und über den Cyber­raum eine neue Möglichkeit dar, im Rahmen militärischer Operationen Effekte zu erzielen.

Die Fähigkeit ist dabei grund­sätzlich vergleichbar mit den klas­sischen Effektoren von Streitkräf­ten wie Panzern oder Flugzeugen. Die zu erzielenden Effekte wirken in der Regel zunächst auf Daten und sind damit reversibel und nicht le­tal. Dennoch zeigen Beispiele, dass sehr wohl auch letale bzw. physikali­sche Effekte erzielt werden können. Als Beispiel sei die Zerstörung von Uranzentrifugen durch das Schad­program Stuxnet erwähnt.

Der mögliche Effekt und dessen Wir­kung hängen wesentlich von der Kreativität des Operateurs ab bzw. von seiner Fähigkeit, ‚um die Ecke zu denken‘.

So sind Cybereffekte oftmals eine effiziente und reversible Alternative zu klassischen Effekten. Sie können sehr gezielt und berechenbar ein­ gesetzt werden. Ihre Wirkung kann skaliert werden. Kollateralschäden können im Vorhinein untersucht und in der Planung minimiert bzw. oftmals ganz ausgeschlossen wer­den.

Die gewünschten Cybereffek­te müssen dabei immer in eine Gesamtplanung eingebettet sein. Zwar ist ein singulärer Einsatz ei­nes Cybereffektes unter bestimm­ten Rahmenbedingungen sehr wohl denkbar. So kann auch mit einem Cybereffekt auf eine klassische Ag­gression geantwortet werden, wenn es die Situation erfordert. Grund­sätzlich wirken aber alle Effektoren von Streitkräften zusammen. Um­gekehrt kann aber auch auf eine Cyberattacke mit klassischen Mit­teln reagiert werden.

 

Legitimationsgrundlagen

Da es sich bei den Fähigkeiten Auf­klärung und Wirkung im und durch den Cyberraum um militärische Fä­higkeiten handelt, gelten für sie die gleichen rechtlichen Rahmenbedin­gungen wie für jeden anderen Ein­satz militärischer Fähigkeiten:

Um diese Fähigkeiten einzuset­zen, bedarf es (wie für jeden Einsatz von Fähigkeiten der Bundeswehr) ei­ner Rechtsgrundlage.

 

Besonderheiten von offensiven Cyberoperationen

Da mittels offensiver Cyberoperatio­nen in erster Linie auf Daten gewirkt wird, stehen zumeist keine physi­schen Effekte im Interessenschwer­punkt. Zumeist wird es Ziel sein, Daten zu verfälschen und so den Gegner zu falschen Entscheidungen zu verleiten oder für seine Operati­onsführung wichtige Systeme in ih­rer Funktion zu beeinträchtigen und so die Entscheidungsfindung zu er­schweren oder zu verzögern. Letale Effekte sind dabei in der Regel ma­ximal als Seiteneffekt zu erwarten. Ersetzt der Einsatz offensiver Cyberoperationen kinetische Mittel, kann er bestenfalls deeskalierend wirken und zur Entspannung einer Situati­on beitragen.

Aufgrund der weltweiten Vernet­zung und der Übertragung der Daten nahe Lichtgeschwindigkeit kann das Operationstempo durch die Wahl des Mittels „Cyberoperation“ massiv gesteigert und zum eigenen Vorteil genutzt werden.

Da Cyberoperationen in einer vir­tuellen Welt durchgeführt werden, kann das Fachpersonal außerhalb der physikalischen Gefahrenberei­che eingesetzt werden. Neben der Reduzierung der persönlichen Ge­fährdung wird dadurch auch der psy­chische Stress gesenkt. Bessere ope­rationelle Entscheidungen können durch das Personal getroffen wer­den. Ungewünschte Effekte lassen sich so noch besser ausschließen.

Ethische Fragen

Auch wenn der Cyberraum immer noch neu und ungreifbar wirkt und die Optionen von offensiven Cyberoperationen in allen Streitkräften der Welt gerade erst ausgelotet wer­den, handelt es sich dabei jedoch „nur“ um einen weiteren Effektor im Portfolio von Streitkräften. Und wie für alle klassischen Effektoren neben den rechtlichen Rahmenbe­dingungen auch ethische Grund­sätze gelten, so sind diese auch auf Cyberoperationen grundsätzlich zu übertragen.

Aspekte, die in der virtuellen Welt grundsätzlich noch nicht ge­regelt sind, müssen unabhängig von einer ethischen Betrachtung beleuchtet werden. Dazu zählt bei­spielsweise, dass im Cyberraum ein Äquivalent zu „unwiederbringlichen Kulturgütern“ definiert und deren Schutz vereinbart wird.

Mit Blick auf die Entwicklungen im Bereich der Künstlichen Intelligenz müssen zukünftig Fragen der Ent­scheidungshoheit getroffen werden. Dies jedoch überschreitet die Betrach­tung nach der ethischen Bewertung von offensiven Cyberoperationen.

Zusammenfassung

Offensive und defensive Cyberope­rationen stellen neue Handlungsop­tionen für militärische Operationen dar. Sie sind charakterisiert durch Reversibilität, Humanität und Effi­zienz. Eingesetzt allein oder im Ver­bund mit anderen Effektoren von Streitkräften unterliegen sie nicht nur dem geltenden Rechtsrahmen, sondern auch den gleichen ethi­schen Grundsätzen wie jeder Effek­tor zu Lande, in der Luft oder zu Was­ser, solange ein Mensch über den Einsatz entscheidet. Erst bei einer vollständigen Automatisierung ohne man-in-the-loop wäre eine ethische Neubetrachtung notwendig. Diese unterscheidet sich aber nicht von der Betrachtung klassischer autono­mer Waffensysteme. Somit gilt, dass es für den Bereich Cyberoperatio­nen keiner gesonderten ethischen Betrachtung bedarf, sondern sich auch beim Einsatz der Fähigkeiten zum Aufklären und Wirken im und durch den Cyberraum an die gülti­gen Grundsätze zu halten ist.

Matthias Rogg, Sophie Scheidt, Hartwig von Schubert (Hrsg); Christian Pawlik; German Institute for Defence and Strategic Studies (GIDS), Hamburg; 2020

 

http://www.fcas-forum.eu/publications/Ethische-Herausforderungen-digitalen-Wandels-in-bewaffneten-Konflikten.pdf; Zugriff 25.06.2020

http://creativecommons.org/licenses/by-nc-nd/4.0/.

 

 

 

 

cyber security

 

Cyber Security

Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr