Tallinn Manual: NATO veröffentlicht Handbuch mit Cyberwar-Regeln

von Andrea Jonjic am 20. März 2013, 15:17 in Digital Rights

Am 15. März 2013 wurde in London das Tallinn Manual vorgestellt, ein Handbuch über Cyberwar, erstellt vom Cooperative Cyber Defence Centre of Excellence (CCDCOE) der NATO. Seit 2009 wurde es von 20 Rechtsexperten aus verschiedenen NATO-Staaten in Kooperation mit dem Internationalen Roten Kreuz und dem Cyber-Kommando der US-Armee in Estlands Hauptstadt Tallinn erarbeitet. Das Tallinn Manual enthält 95 Regeln (black letter rules), an denen sich NATO-Staaten im Fall eines Cyberkriegs orientieren können – einen solchen habe es bis heute jedoch noch nicht gegeben.

To date, no international armed conflict has been publicly characterised as having been solely precipitated in cyberspace. Nevertheless, the international group of experts unanimously concluded that cyber operations alone might have the potential to cross the threshold of international armed conflict.

Die Experten konnten sich nicht einigen bei der Frage, ob die Stuxnet-Attacke auf Uran-Anreicherungsanlagen im Iran bereits als Cyberkrieg zu werten sei. Laut Regel 22 kann in einem Cyberkrieg immer dann von einem bewaffneten Konflikt gesprochen werden, wenn Feindseligkeiten zwischen zwei oder mehr Staaten auftreten, die Cyber-Operationen beinhalten oder sich auf diese beschränken. Dann sei es nötig, ‚angemessene Gegenmaßnahmen‘ zu ergreifen. Auf Cyberangriffe mit Waffengewalt antworten solle ein Staat nur dann, wenn die Attacken Menschenleben gekostet oder massive Schäden am Besitz eines Staates angerichtet hätten.

Projektleiter Michael Schmitt, Professor am Naval War College der US-Marine, gegenüber dem Guardian dazu:

You can only use force when you reach the level of armed conflict. Everyone talks about cyberspace as though it’s the wild west. We discovered that there’s plenty of law that applies to cyberspace.

So wurde beispielsweise Artikel 2 der Genfer Konvention (I-IV) herangezogen, um zu verdeutlichen, dass die Existenz eines bewaffneten Konflikts auch dann gilt, wenn eine der Parteien sie nicht anerkennt.

Regel 7 besagt, dass die Tatsache, dass ein Cyber-Angriff auf das Regierungs-Netzwerk eines anderen Staates zurückzuverfolgt werden kann, nicht ausreicht, um dem betreffenden Staat die Schuld daran zu geben. Dies sei lediglich ein Indiz dafür, dass dieser Staat etwas mit den Angriffen zu tun haben könnte. Aktuelles Beispiel für solche Fragestellungen sind die Vorwürfe von den USA an China und umgekehrt, wir berichteten.

Eine der wichtigsten Regeln des Handbuchs wird in Artikel 80 formuliert: Demnach soll besondere Rücksicht auf die Zivilbevölkerung genommen werden, indem keine Atomkraftwerke, Staudämme und ähnliche Bauwerke angegriffen werden sollen. Ebenso wie in den Regeln traditioneller Kriegsführung, dürfen auch Krankenhäuser und sonstige medizinische Einrichtungen Falle eines Cyberkrieges nicht angegriffen werden.

Interessant wird es hier:

It also states that so-called „hacktivists“ who participate in online attacks during a war can be legitimate targets even though they are civilians.

Ein Hacktivist ist laut Glossar ein privater Bürger, der auf eigene Initiative unter anderem aus ideologischen, politischen, religiösen oder patriotischen Gründen hackt. Regel 35 formuliert dann, dass Hacktivistinnen und Hacktivisten keinen Schutz genießen:

Civilians enjoy protection against attack unless and for such time as they directly participate in such hostilities.

Direkte Partizipation bezeichnet Cyber-Attacken „relating to an armed conflict“ – genannt werden solche Aktionen, die Schwachstellen in einem System identifizieren oder Malware entwickeln, mit denen solche Schwachstellen ausgenutzt werden können. Eindeutig sei eine direkte Partizipation auch dann, wenn jemand mithilfe von informationstechnologischen Mitteln Angaben über feindliche Operationen sammelt und sie den eigenen Streitkräften übermittelt, sowie DDoS-Aktionen gegen militärische Systeme des Gegners durchführt. Keine direkte Partizipation stelle es hinegegen dar, wenn jemand Malware entwickelt und sie öffentlich zur Verfügung stellt oder „maintaining computer equipment generally, even if such equipment is subsequently used in the hostilities“.

NATO-Rechtsberater Kirby Abbott nannte das Handbuch „the most important document in the law of cyber-warfare“ und sagte, es werde sehr nützlich sein. Es hat jedoch keinen bindenden Charakter.

Hier als ppp: https://issuu.com/nato_ccd_coe/docs/tallinnmanual?layout=http://skin.issuu.com/v/light/layout.xml&showFlipBtn=true&e=5903855/1802381

Hier die Auffassung der Bundesregierung zum Tallinn-Manual