Die North Atlantic Treaty Organization (NATO) hat den Cyberspace – „das Internet“ – zum offiziellen Kriegsgebiet erklärt. Neben Angriffen auf die bisherigen Operationsgebiete Land, Luft und See werden damit nun auch virtuelle Angriffe auf die IT-Struktur eines Landes als kriegerischer Akt gewertet, sofern sie von einem fremden Staat oder einer gleichwertigen Institution ausgehen und eine kritische Dimension erreichen. Gleichzeitig schafft das Verteidigungsbündnis damit den offiziellen Rahmen für eigene Cyberattacken auf fremde Staaten.
Bereits vor zwei Jahren hatte das Verteidigungsbündnis festgelegt, dass eine Cyberattacke auf einen Mitgliedsstaat im Ernstfall den sogenannten Bündnisfall nach Artikel 5 des Nordatlantikvertrags auslösen könne. In diesem Fall würde sich z.B. die Bundesrepublik Deutschland verpflichten, anderen Ländern bei einem derartigen Angriff beizustehen und u.U. hinderliche eigene Hoheitsrechte zurückzustellen.
Der Nato-Generalsekretär Jens Stoltenberg betonte auf einem Treffen von 28 Verteidigungsministern in Warschau, dass es zum jetzigen Zeitpunkt hauptsächlich um den Verteidigungsfall gehe. In der jüngeren Vergangenheit seien Mitgliedsstaaten immer wieder das Ziel von Cyberattacken geworden, ohne dass man den Verursacher eindeutig identifizieren konnte.
Russland und China stehen im Verdacht, mehr oder weniger regelmäßig organisierte Angriffe auf die IT-Systeme westlicher Staaten und Unternehmen zu organisieren, auch dem IS wird das gelegentlich nachgesagt. Ohne eine zwischenstaatliche Kooperationen ist es schwierig, den tatsächlichen Ursprung herauszufinden, da die Hacker ihre Wege verschleiern. Problematisch wird eine solche Attacke dann, wenn die Systeme eines eigentlich befreundeten Staates erfolgreich – und u.U. unbemerkt – gekapert werden und nachfolgende Attacken von dort aus weitergeführt werden.
Rein formal betrachtet hat die neue Vereinbarung z.B. zur Folge, dass nun Organisationsstrukturen innerhalb der NATO geschaffen oder Budgets und Etats beantragt und freigegeben werden. Zudem können die Mitgliedsstaaten nun Kapazitäten bündeln und Aufgaben aufteilen, also sich z.B. über die proaktive Überwachung von „virtuellen Krisenregionen“ verständigen.

Kritiker der Vereinbarung dürfte vor allem stören, dass damit mittelfristig auch international legitimierte Rahmenbedingungen für Attacken der NATO-Bündnispartner geschaffen werden, denen andere Bündnispartner im Rahmen der Bündnistreue nur schwer widersprechen können. Großangelegte institutionelle Cyberattacken müssen sich nicht zwangsläufig auf Verteidigungssysteme eines Staates beschränken, sondern können neben den Kommunikationsnetzen beispielsweise die Wasser- oder Energieversorgung eines Gegners ins Visier nehmen. Dies wiederum wäre de facto, je nach Betrachtungsweise, ein völkerrechtlich unzulässiger Angriff auf die Zivilbevölkerung. Immer wieder gibt es Hinweise auf veraltete und entsprechend unsicherer Steuerungsanlagen in Kraft- und Wasserwerken, die für einen potentiellen Angreifer ein „attraktives“ Ziel bieten und die Handlungsfähigkeit des Gegners erheblich stören könnten.
Zudem umfasst ein Cyberkrieg per Definition auch andere Bereiche, die man nicht unmittelbar mit „kriegerischen“ Aktionen in Verbindung bringt, beispielsweise Propaganda. Über gut koordinierte Aktionen in den Sozialen Netzwerken können Meinungen und Stimmungen manipuliert und die innere Sicherheit eines Staates gefährdet werden. Auch hierfür gibt es bereits Beispiele, bei denen u.a. Social Bots eingesetzt wurden. Die NATO wird also sowohl bei der Definition eines gegnerischen „Angriffs“ als auch bei der Zulässigkeit der Aktionen eines Bündnispartners noch sehr viel aufarbeiten müssen.
Ein mögliches Szenario für einen wochenlang anadauernden und ziemlich erfolgreichen Cyberangriff gab es vor neun Jahren in Estland. Parallel zu einem politisch relevanten Ereignis wurden das estnische Parlament, verschiedene Ministerien, Banken, Internetdienste und Medien in einer koordinierten DoS-Attacke angegriffen.
Strategisch betrachtet sind die Rahmenbedingungen längst geschaffen. Unter dem Akronym C⁴ISR (Command and Control, Communications, Computers, Intelligence, Surveillance, and Reconnaissance – also Führung und Steuerung, Kommunikation, Computer, Informationsbeschaffung, Überwachung und Aufklärung) werden alle Maßnahmen zusammengefasst und organisiert, mit denen ein Staat oder Staatenbündnis entsprechende Aktionen koordiniert.
Großbritannien soll in der Vergangenheit rund 2 Milliarden US-Dollar in digitale Verteidigungssysteme investiert haben, führend in diesem Bereich ist aber nach wie vor die USA. Das Land betreibt mittlerweile mehrere IT-Trainingscenter, in denen Taktische Einheiten den Ernstfall proben.
via nato.int, Bild: © User:Colin / Wikimedia Commons, via Wikimedia Commons