Cyberterrorismus – Digital Waterloo oder Mythos?

BS-Beitrag November 2019

Cyberterrorismus – Die Bandbreite der Metaphern und Termini reichen von „Inhaltsloses Skandalthema“, „Panikmache“, „Electronic Pearl Harbor“ [1] bis hin zum Vergleich mit einem Raketenangriff oder dem globalen Terrorismus[2]. Auch wenn (angeblich) bis heute keine Menschen durch Cyberterrorismus zu Tode gekommen sein sollen, wie real ist diese Gefahrenlage tatsächlich?

Es fängt schon mit der Definition an. Bis heute hat die internationale Staatengemeinschaft weder einen gemeinsame, verbindliche Definition über Terrorismus finden können – und schon gar keine über Cyberterrorismus. Am meisten zitiert wird die FBI-Definition, wonach diese vorsätzliche, politisch motivierte Attacken

Vorfälle:

Die Verteidigungsminister Estlands, Lettlands, Litauens, Italiens, Spaniens, Deutschlands und der Slowakei haben Anfang Mai angekündigt, dass sie in Estland ein Zentrum für Cyber-Sicherheit errichten. Spätestens im August 2009 sollen dort rund 30 Spezialisten dafür sorgen, dass virtuelle Anschläge von Cyber-Terroristen verhindert werden. Es wird erwartet, dass sich im Laufe der Zeit weitere NATO-Länder anschließen.

Den Anstoß für das Projekt hat ein Cyber-Angriff auf Estland im vergangenen Jahr gegeben. Dabei waren nach der Verlegung eines russischen Kriegerdenkmals aus der Hauptstadt Tallinn unter anderem Server der estnischen Regierung angegriffen geworden. Die estnische Regierung hatte zunächst behauptet, dass der Ursprung der Angriffe auf die Rechner des Kreml zurückzuführen sei, und schaltete die EU sowie die NATO ein. Eine Beteiligung Russlands an den Cyber-Attacken konnte allerdings nie bewiesen werden.

Ende Januar 2008 ging die Affäre dann ähnlich aus wie einst das Hornberger Schießen: Ein estnisches Gericht verurteilte einen Studenten russischer Abstammung wegen der Angriffe zu einer Geldstrafe von 1100 Euro.

im fernen Malaysia 26 Länder in einer neuen, „Impact“ (The International Multilateral Partnership Against Cyber-Terrorism) genannten Gruppe zusammengeschlossen. Ziel dieser nach eigenen Aussagen ersten multilateralen Vereinigung aus Unternehmen und Behörden zum Kampf gegen den Cyberterrorismus ist es, Regierungen, Branchengrößen der IT und Experten für Cybersicherheit zusammenzubringen.  Ein ständiges Büro in Malaysias High-Tech-Stadt Cyberjaya soll für die Umsetzung sorgen. Außerdem werden von dort aus die vier Schwerpunkte der laufenden Arbeit koordiniert: das Centre for Global Response, das Centre for Policy & International Cooperation, das Centre for Training & Skills Development sowie das Centre for Security Assurance & Research.

Genaueres war 2008 noch nicht klar: Auf jeden Fall sollen Regierungen im Ernstfall wohl eine Liste von Zentren erhalten, an die sie sich wenden können. Das klingt ein bisschen danach, als ob beim kommenden Oktoberfest an Betrunkene Kärtchen mit der Adresse der nächstgelegenen Ausnüchterungszelle verteilt werden.

NATO März 2008: März hatte sich die Security & Defence Agenda, ein NATO-Think-Tank in Brüssel, mit dem Thema Cyberterrorismus beschäftigt. Dabei wurde zwar von verschiedener Seite vollmundig die Bedeutung internationaler Kooperationen hervorgehoben. Alexander Seger, Leiter der Abteilung Wirtschaftskriminalität des Europarates, wies jedoch auch darauf hin, dass die besten Verträge ohne Engagement nichts nützen: So sei etwa die bereits 2001 auf den Weg gebrachte Convention on Cybercrime erst von 22 der 43 Vertragsstaaten ratifiziert, darunter lediglich von 13 EU-Staaten. So dringend scheint das Problem also doch nicht zu sein.

The Council of Europe Convention on Cybercrime (CETS No. 185) of 2001

Das Übereinkommen des Europarats über Computerkriminalität (SEV Nr. 185) von 2001 ist ein multilateraler Vertrag, der einen Rechtsrahmen für die Bekämpfung von über das Internet oder über andere Computernetze begangenen Straftaten bietet. Es befasst sich insbesondere mit Computerbetrug, Kinderpornografie, Verstößen gegen die Netzsicherheit und Verletzungen des Urheberrechts. Die Europäische Union anerkennt und unterstützt das Übereinkommen als das wichtigste globale Instrument zur Bekämpfung der Cyberkriminalität. Das Übereinkommen leistet dreierlei:

• Harmonisierung der Strafrechtsvorschriften im Bereich der Cyberkriminalität;
• Bereitstellung von Strafverfahrensinstrumenten für die Untersuchung und Verfolgung von Angriffen auf Informationssysteme sowie anderer Straftaten, die mithilfe eines Computersystems begangen werden, und von elektronischen Beweismitteln in Bezug auf diese Straftaten;
• Förderung eines schnellen und wirksamen Systems der internationalen Zusammenarbeit.

Derzeit sind 62 Länder Vertragsparteien des Übereinkommens – darunter 26 EU-Mitgliedstaaten (alle mit Ausnahme von Irland und Schweden, die das Übereinkommen unterzeichnet, aber noch nicht ratifiziert haben)

Warum ist ein Zweites Zusatzprotokoll zum Übereinkommen erforderlich?

Die Vertragsparteien des Übereinkommens untersuchen seit einiger Zeit bestehende Hindernisse für den Zugang von Justiz- und Polizeibehörden zu elektronischen Beweismitteln. Mit dem Zweiten Zusatzprotokoll sollen diese Herausforderungen durch eine verstärkte internationale Zusammenarbeit angegangen werden. Die Verhandlungen über das Protokoll wurden im Juni 2017 aufgenommen und sollen bis Dezember 2019 abgeschlossen werden. Die Verhandlungen über das Zweite Zusatzprotokoll konzentrieren sich auf 4 Schlüsselelemente: Maßnahmen zur Verbesserung der internationalen Zusammenarbeit zwischen Strafverfolgungs- und Justizbehörden – einschließlich der Rechtshilfe zwischen Behörden, Zusammenarbeit zwischen Behörden und Diensteanbietern in anderen Ländern, Bedingungen und Garantien für den Zugriff auf Informationen durch Behörden in anderen Ländern sowie sonstige Garantien einschließlich Datenschutzanforderungen.

Außerdem ist die Kommission der Auffassung, dass zur Vermeidung einer Fragmentierung und eines unterschiedlichen Schutzniveaus in den einzelnen EU-Mitgliedstaaten eher ein gemeinsamer EU-Ansatz als bilaterale Abkommen zwischen den USA, Drittländern und einigen EU-Mitgliedstaaten anzustreben ist. Bei den Verhandlungen über das 2. Zusatzprotokoll muss also die EU dabei sein. Die EU wird insbesondere den Schutz der Privatsphäre und personenbezogener Daten (gemäß der Datenschutz-Grundverordnung, der Datenschutzrichtlinie für elektronische Kommunikation und der Richtlinie für den Datenschutz bei Polizei und Strafjustiz)‚ Verfahrensrechte wie das Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht, die Unschuldsvermutung und die Verteidigungsrechte, die Grundsätze der Gesetzmäßigkeit und der Verhältnismäßigkeit im Zusammenhang mit Straftaten und Strafen sowie alle diesbezüglichen Verpflichtungen der Strafverfolgungs- oder Justizbehörden prüfen.

Das EP wird nur unterrichtet,  keine Beteiligungspflicht vorgesehen

[1] John Hamre, politico, 12.09.2015 , Fundstelle https://www.politico.com/agenda/story/2015/12/pearl-harbor-cyber-security-war-000335; Hamre kreierte diesen Begriff in einem Hearing vor dem Senat zum Thema Cybersecurity im November 1971- ein touchstone.

[2] Suleyman Anil, Leiter des Nato-Zentrums für IT-Sicherheit, März 2008, London, CC-Conference https://www.zdnet.de/39188179/nato-sicherheitsexperte-warnt-vor-krieg-im-internet/;

Nach seiner Ansicht wird die Bedrohungslage noch weiter zunehmen. „Der Cyber-Krieg kann zu einer sehr konkreten globalen Bedrohung werden, denn er ist kostengünstig, birgt wenige Risiken, ist hocheffektiv und weltweit anwendbar.“