Wann Cyberoperationen die Grenze überschreiten: 7 kritische Warnsignale für unverantwortliches Verhalten

In Zeiten zunehmender Cyberbedrohungen fehlt es an klaren Richtlinien: Wann überschreitet eine staatliche Cyberoperation die Schwelle zum unverantwortlichen Handeln? Ein neues Rahmenwerk identifiziert sieben konkrete Warnsignale, die sowohl Angreifern als auch Verteidigern Orientierung in der digitalen Grauzone zwischen Spionage und bewaffnetem Konflikt bieten sollen.

Hybride Bedrohungen erfordern klare Maßstäbe

Die digitale Bedrohungslage verschärft sich kontinuierlich: Regierungsbehörden, Unternehmen und Bürger sehen sich täglich mit Cyberangriffen konfrontiert. Doch während die Zahl staatlich unterstützter Operationen steigt, mangelt es an praktikablen Kriterien zur Bewertung dieser Aktivitäten.

Ein aktuelles Positionspapier schließt diese Lücke mit einem pragmatischen Ansatz. Das Dokument definiert sieben Warnsignale, die anzeigen, wann Cyberoperationen kritische Schwellenwerte überschreiten und eine staatliche Reaktion rechtfertigen. Zu den identifizierten Kriterien gehören Operationen, die bewaffnete Angriffe vorbereiten, essenzielle Dienste stören oder gezielt Angst erzeugen.

Strategischer Wettbewerb im Cyberraum

Staatlich geförderte Cyberoperationen prägen zunehmend die Auseinandersetzung zwischen rivalisierenden Mächten. Ziele sind kritische Infrastrukturen, demokratische Institutionen und militärische Ressourcen. Der Cyberraum entwickelt sich zur Arena für Konflikte unterhalb der Schwelle bewaffneter Auseinandersetzungen.

Bestehende Regelwerke wie die UN-Normen für verantwortungsbewusstes Staatenverhalten bieten oft nicht die erforderliche Klarheit. Operative Leitlinien und Durchsetzungsmechanismen fehlen weitgehend. Das Papier argumentiert, dass aktuelle Verantwortungskonzepte konkreter werden und besser auf operative Realitäten abgestimmt sein müssen.

Grauzone zwischen Spionage und Konflikt

Cyberspionage hat sich als fester Bestandteil strategischer Konkurrenz etabliert und wird implizit toleriert. Das Tallinn Manual 2.0 bestätigt, dass Spionage per se nicht verboten ist. Cyberoperationen gehen jedoch oft weit über reine Spionage hinaus. Aktuelle Operationen wie die Volt-Typhoon-Kampagne gegen US-Infrastrukturen zeigen einen aggressiveren Charakter, bleiben aber unterhalb der Schwelle bewaffneter Konflikte.

Seit über zwei Jahrzehnten arbeiten Staaten an Rahmenwerken für verantwortungsbewusstes Verhalten. Aus technischer und operativer Perspektive erscheinen die aktuellen Normen jedoch oft zu mehrdeutig für die praktische Anwendung.

Das Problem vager Definitionen

Die UN-Norm zum Schutz kritischer Infrastrukturen illustriert die Herausforderung: Es existiert keine allgemein anerkannte Definition kritischer Infrastruktur. Deutschland hat beispielsweise nur einen Teil der Krankenhäuser als kritisch definiert. Eine strikte Auslegung würde bedeuten, dass Angriffe auf kleinere Krankenhäuser nicht unverantwortlich wären – selbst wenn Todesfälle die Folge sein könnten.

Auch die Komplexität militärischer Rahmenwerke erschwert die Praxis. US-Streitkräfte müssen für die Planung von Cyberoperationen mehrere hundert Seiten Doktrin berücksichtigen. In der Realität werden Operationen, die als unverantwortlich gelten, häufig ohne Konsequenzen durchgeführt.

Warnsignale als praktischer Leitfaden

Das vorgeschlagene Rahmenwerk soll diese Lücke schließen. Die Warnsignale helfen zu erkennen, welche Operationen unterhalb der Schwelle bewaffneter Konflikte als unverantwortlich gelten sollten. Für ausführende Staaten signalisieren sie, welche Aktivitäten vermieden werden sollten. Für betroffene Staaten bieten sie Orientierung für erforderliche Gegenmaßnahmen.

Die Warnsignale können die inhärente Unklarheit von Cyberoperationen nicht vollständig beseitigen, sollen jedoch Graubereiche reduzieren. Sie sind keine definitive Checkliste, sondern Leitplanken für Operatoren und Entscheidungsträger. Alle sieben Warnsignale haben gleiches Gewicht.

Die sieben Warnsignale im Detail

1. Körperliche Schäden und Todesfolgen

Die schwerwiegendste rote Flagge liegt vor, wenn Cyberoperationen zu körperlichen Verletzungen oder Todesfällen führen – unabhängig von der ursprünglichen Absicht. Dies gilt für direkte Folgen wie Krankenhausausfälle mit verzögerter Notfallversorgung sowie für indirekte Effekte wie langanhaltende Infrastrukturausfälle mit medizinischen Komplikationen.

Der Kontext spielt eine zentrale Rolle: Ein Stromausfall an einem milden Herbstnachmittag mag verkraftbar sein, während derselbe Vorfall bei Minusgraden oder während einer Hitzewelle lebensbedrohlich werden kann. Operatoren müssen nachgelagerte Risiken proaktiv bewerten.

Bekannte Vorfälle wie der versuchte Angriff auf Israels Wasserversorgung oder die BlackEnergy-Störung der ukrainischen Stromversorgung näherten sich dieser Schwelle. Bislang gibt es keinen öffentlich bestätigten Fall für Friedenszeiten.

2. Weitreichende psychologische Schäden

Die gezielte Zufügung psychologischer Schäden gegen breite Bevölkerungsschichten stellt ein ernstzunehmendes Warnsignal dar. Zwei Kriterien bestimmen die Schwelle: Umfang und Sichtbarkeit der Auswirkungen sowie die operative Logik.

Die Auswirkungen müssen erhebliche Teile der Bevölkerung betreffen, etwa durch Stilllegung öffentlicher Verkehrsmittel oder Veröffentlichung sensibler Daten. Entscheidend ist, ob die Operation primär der Einschüchterung dient. Operationen auf maximale Sichtbarkeit und psychologische Wirkung überschreiten die Grenze zur Verantwortungslosigkeit.

Beispiele sind die Störung des iranischen Eisenbahnsystems und der Tankstelleninfrastruktur sowie der Datendiebstahl bei SingHealth.

3. Manipulation politischer Prozesse

Innenpolitische Prozesse wie Wahlen sind fundamental für die Legitimität eines Staates. Während politische Spionage zur langjährigen Praxis gehört, überschreiten Operationen, die darauf abzielen, die politische Struktur direkt zu verändern oder zu delegitimieren, kritische Schwellen.

Die Manipulation von Wahlinfrastrukturen kann die Zusammensetzung von Parlamenten verändern oder unrechtmäßige Regierungen ermöglichen. Hack-and-Leak-Operationen dienen oft dazu, öffentliche Meinung zu beeinflussen oder Regierungskoalitionen zu spalten.

Bekannte Fälle umfassen Operationen gegen die US-Präsidentschaftswahlen 2016, die französischen Wahlen 2017, die ukrainische Zentrale Wahlkommission 2014 und die britische Wahlkommission 2021/2022.

4. Physische Zerstörung und Störungen

Cyberoperationen mit physischen Zerstörungen sind aus mehreren Gründen alarmierend. Physische Schäden lassen sich nicht einfach rückgängig machen – beschädigte Infrastrukturen erfordern kostspielige und langwierige Reparaturen. Solche Operationen erhöhen das Risiko unbeabsichtigter menschlicher Schäden durch Explosionen, Brände oder kaskadierende Ausfälle.

Die Sichtbarkeit physischer Auswirkungen macht es politisch unmöglich, diese zu ignorieren. Die klaren Auswirkungen wie öffentliche Sichtbarkeit, politischer Druck und irreversible Schäden reichen aus, um solche Operationen als unverantwortlich einzustufen.

Beispiele sind die BlackEnergy-Stromausfälle in der Ukraine, die Störung eines deutschen Stahlwerks und die Operation Olympic Games gegen iranische Urananreicherungsanlagen.

5. Vorbereitung ziviler Störungen

Die absichtliche Platzierung von Schadsoftware oder dauerhafter Zugriff auf Systeme kritischer Infrastrukturen zum Zweck künftiger Störungen stellt eine gefährliche Eskalation dar. Angriffe auf Wasser- oder Stromversorgungssysteme sind von Natur aus unverantwortlich, da ihre Kompromittierung unmittelbare Auswirkungen auf das zivile Leben hätte.

Technische Indikatoren wie modularer Aufbau der Malware, Massenaktivierungsfunktionen oder speziell auf industrielle Systeme zugeschnittene Schadsoftware deuten auf disruptive Absichten hin. Längerer unbefugter Zugriff birgt zudem das Risiko, dass andere Akteure diese Zugangspunkte ausnutzen.

Bekannte Fälle umfassen Einsätze der Malware Industroyer, Havex und HatMan, US-Operationen gegen das russische Stromnetz 2018 sowie chinesische Operationen gegen US-Infrastrukturen.

6. Gestaltung militärischer Schlachtfelder

Cyberoperationen, die aktiv Bedingungen für künftige militärische Konfrontationen schaffen, überschreiten eine kritische Grenze. Konzentrieren sich Operationen auf militärische Ziele wie Luftabwehrsysteme, Kriegsschiffe oder nukleare Kommandostrukturen, ist die Schwelle eindeutig überschritten.

Malware mit fest programmierten Löschfunktionen oder manipulierte Software-Updates mit Auslösern zur Systemdeaktivierung sind klare Hinweise auf Konfliktvorbereitungen. Solche Angriffe unterscheiden sich von Operationen gegen Rüstungsunternehmen, die eher allgemeinen Spionagezielen dienen.

Beispiele sind die Deaktivierung syrischer Luftabwehrsysteme während der Operation Orchard sowie die Volt-Typhoon-Operationen gegen US-Infrastrukturen in Guam.

7. Verlust operativer Kontrolle

Wenn operative Kontrolle absichtlich aufgegeben wird oder unbeabsichtigt verloren geht, steigen die Risiken erheblich. Organisatorischer Kontrollverlust umfasst übermäßige Autonomie von Behörden ohne klare Aufsicht oder Auslagerung an nichtstaatliche Akteure ohne ausreichende Kontrolle.

Technischer Kontrollverlust entsteht beim Einsatz sich selbst verbreitender Malware ohne wirksame Sicherheitsvorkehrungen wie Kill-Switches. Das Zurücklassen von Zugangspunkten kann zu unkontrollierter Verbreitung führen, wenn andere Akteure diese entdecken.

Bekannte Fälle sind Operationen chinesischer Unternehmen wie i-Soon, die Würmer WannaCry und NotPetya mit weltweiten Störungen, der Stuxnet-Wurm sowie schwach gesicherte Web-Shells von Hafnium-Betreibern.

Angemessene Reaktionen auf Warnsignale

Das Rahmenwerk ermöglicht es Akteuren, strategische Folgen besser zu bewerten. Für Operatoren ist es essentiell, Warnsignale bereits in der Planungsphase zu erkennen. Für betroffene Staaten stellt sich nicht die Frage des Ob, sondern des Wie und Wann einer Reaktion.

Spektrum möglicher Gegenmaßnahmen

Staaten verfügen über ein breites Spektrum von Instrumenten:

• Cyberabwehr und operative Gegenmaßnahmen: Von Bedrohungsjagd bis zu Cyber-Gegenoperationen
• Nachrichtendienstliche Missionen: Verdeckte Informationsbeschaffung und Informationsoperationen
• Diplomatische Maßnahmen: Öffentliche Erklärungen, Einbestellung von Botschaftern, Abberufung diplomatischen Personals
• Öffentliche Zuordnung: Technische Berichterstattung oder offizielle politische Attribution
• Strafrechtliche Maßnahmen: Innerstaatliche Anklagen oder internationale Haftbefehle
• Sanktionsregime: Gezielte finanzielle Maßnahmen oder Handelsbeschränkungen
• Militärische Aufstellung: Von erhöhter Einsatzbereitschaft bis zum Einsatz von Gewalt in extremen Fällen

Die geeignete Wahl hängt von den ausgelösten Warnsignalen und dem Gesamtschaden ab. Strategische Geduld kann erforderlich sein, um den richtigen Zeitpunkt für wirksame Gegenmaßnahmen zu finden. Bewusste Nichtreaktion sollte nicht zur Norm werden, da Untätigkeit unverantwortliches Verhalten normalisiert.

Ausblick: Klare Leitplanken für die digitale Zukunft

Die Identifizierung roter Flaggen soll zu konsistenteren nationalen und internationalen Reaktionen beitragen. Ein klareres Verständnis strategischer Schwellen kann helfen, unbeabsichtigte Konflikte zu verhindern und eine regelbasierte internationale Ordnung aufrechtzuerhalten.

Die vorgestellten Warnsignale sollen spezifisch und global anwendbar sein. Durch konsequente staatliche Praktiken können sie wirksam politisch verbindend werden. Da immer mehr Staaten ihre Cyberstreitkräfte ausbauen, wird die Notwendigkeit klarer Leitplanken dringlicher.

Die definierten Leitplanken tragen zur Risikominderung bei, indem sie die Grenze zwischen operativem Vorteil und unverantwortlichem Verhalten klar definieren. Sie bieten einen praktischen Kompass für die Navigation in der zunehmend komplexen digitalen Konfliktlandschaft.

Autor: Dr. Sven Herpig, Leiter Cybersecurity Policy and Resilience
Quelle: Interface Policy Brief

Lesen Sie mehr

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk