SlideShare ist ein Scribd-Unternehmen logo

Cybersecurity: State Accountability and Private Actors

S
SanijaAmeti

Cyberwar is no longer at the centre of the discussion. Moreover, there is a need for a legal analysis of the more common cyber incidents that states encounter on a day-to-day basis and that fall below the thresholds of the use of force or armed conflict. The article focuses on cyberattacks below these thresholds. It discusses the rights and duties that rise from state-sovereignty in cyberspace. Should governments take accountability for transnational malicious cyberattacks – even when they are performed by private actors? (Article in German language)

Recht
1 von 8
Downloaden Sie, um offline zu lesen
1 Cyberwar, quo vadis?1 Eine Verlagerung des Diskurses hin zum geltenden Völkerrecht im Cy- berspace zu Friedenszeiten Sanija Ameti∗ Inhaltsübersicht I. Einleitung 2 II. Aktuelle Entwicklung und anwendbares Recht 3 A. Vom Gewaltverbot zum Interventionsverbot 3 B. Staatliche Souveränität und das Interventionsverbot 5 1. Staatliche Souveränität im klassischen Sinn 7 a. Definition 7 b. Staatliche Souveränität: Recht und Pflicht zugleich 7 2. Cybersouveränität 9 a. Übertragung des Konzepts Souveränität auf den Cyberspace 9 b. Staatenpraxis 10 C. Verletzung des Interventionsverbots im Cyberspace 11 1. Interventionsverbot und Tallinn Manual 2.0 11 a. Wirtschaftliche Sabotage, Funktionsbeeinträchtigung kritischer Infrastruktur und Eingriffe in die staatliche Organisation 12 b. Politische Manipulation und Destabilisierung 13 2. Cyberspionage 14 3. Fallbeispiel GRU-Spionageaffäre 16 III. Fazit 17 Literaturverzeichnis 16 Materialienverzeichnis 18 1 In Weiterführung der angestossenen Debatte durch MICHAEL SCHMITT, The Law of Cyber Warfare: Quo Vadis?, Stanford Law & Policy Review 2014. ∗ Ein besonderer Dank geht an Dr. iur. Florian Schmidt-Gabain und Christa Stünzi, M.A. HSG, für die Durchsicht und wertvollen Anmerkungen.
Cyberwar, quo vadis? die Beurteilung von Cyberoperationen während Friedenszeiten wird deshalb das völ- kerrechtliche Interventionsverbot. Es dient sozusagen als Auffangtatbestand für jene Eingriffe, die nicht gegen das Gewaltverbot verstossen.30 Dieser Verlagerung vom Gewalt- zum Interventionsverbot verlieh die NATO-Expertengruppe zusätzlich Ge- wicht, als sie 2017 das Tallinn-Manual 2.0 herausgab und seinen Fokus auf die Rege- lung von Cyberoperationen durch das „Peacetime International Law“ gesetzt hat31 . B. Staatliche Souveränität und das Interventionsverbot Das in Art. 2 Ziff. 1 und in Art. 2 Ziff. 7 UN-Charta verankerte staatliche Interventi- onsverbot verbietet Staaten, sich unter Anwendung von Zwang in die inneren Angele- genheiten anderer Staaten einzumischen.32 Das Schutzobjekt des Interventionsverbots ist die staatliche Souveränität in Friedenszeiten.33 Die jeweiligen Schutzbereiche der Souveränität und des Interventionsverbots dürfen, obwohl sie oft, so auch im Tallinn Manual, nicht klar voneinander unterschieden werden,34 nicht als deckungsgleich verstanden werden. Eine Verletzung des Interventionsverbots findet vielmehr erst dann statt, wenn bestimmte Aspekte der Souveränität durch eine Zwangsanwendung verletzt werden.35 Der Kern des Interventionsverbots gemäss Art. 2 Ziff. 1 UN-Charta liegt bei der Verpflichtung staatlicher Organe, Eingriffe in die Souveränität anderer Staaten zu unterlassen.36 In diesem Zusammenhang stellen sich weitere zentrale Fra- gen: Welche Cyberoperation verletzt wann die staatliche Souveränität und wann das Interventionsverbot? Und inwiefern sind Staaten verpflichtet, ihre Cyberinfrastruk- keit des „Cyberkriegs“ vgl. AMETI, Völkerrechtsblog vom 24. Oktober 2018; DIGGEL- MANN/HADORN, 260. 30 STEIN/VON BUTTLAR/KOTZUR, Rz. 646. 31 CCDCOE, News vom 2. Februar 2016: „Tallinn Manual 2.0 adds a legal analysis of the more common cyber incidents that states encounter on a day-to-day basis and that fall below the thresholds of the use of force or armed conflict.“ 32 UN-Charta-FASSBENDER, Art. 2 Ziff. 1 UN-Charta N 54–68. 33 UN-Charta-NOLTE, Art. 2 Ziff. 7 UN-Charta N 3. 34 Vgl. etwa Tallinn Manual 2.0, Rule 66, Rz. 1: „A State may not intervene, including by cyber means, in the internal or external affairs of another State. […] This Rule prohibits coercive in- tervention, including by cyber means, by one State into the internal or external affairs of anoth- er. It is based on the international law principle of sovereignty, specifically that aspect of the principle that provides for the sovereign equality of States” oder Rule 4, Rz. 10: „[…] the prin- ciple of sovereignty underlies the prohibition of unlawful intervention into a State’s domaine réservé.” 35 Siehe vertiefter dazu nachfolgende Ausführungen, insb. Kap. C. 36 Friendly Relations Declaration: „[…] use of economic political or any other type of measures to coerce another State in order to obtain from it the subordination of the exercise of its sovereign rights.“
Sanija Ameti 6 tur37 zu schützen und zu überwachen, sodass diese nicht für die Verletzung der soge- nannten „Cybersouveränität“38 anderer Staaten durch private Dritte missbraucht wer- den kann? Ein weiteres Problem, das der Anwendbarkeit von geltendem Völkerrecht grundsätzlich entgegensteht, ist schliesslich die fehlende oder nicht nachweisbare Zwischenstaatlichkeit39 , da vermehrt nicht-staatliche Akteure aus eigenem Antrieb oder auf Anweisung von Regierungen solche Cyberoperationen verüben.40 Die bisherige Staatenpraxis lässt durchblicken, dass Staaten nur zögerlich Verantwor- tung für die von ihrem Territorium ausgegangenen Cyberoperationen zu übernehmen bereit sind.41 Ein gewisses Zögern hinsichtlich der Übernahme von Verantwortung ist aufgrund der schwierigen Attribution von Cyberoperationen nachvollziehbar. Erstens verunmöglicht die Natur von Cyberoperationen eine zeitlich verhältnismässige Reak- tion, weil es i.d.R. an technischen Möglichkeiten fehlt, die Urheberschaft dieser Ope- rationen zu ermitteln. Zweitens ist der digitale Raum dermassen vernetzt, dass solche Operationen über das Internet willkürlich verschiedene zwischengeschaltete Server und somit verschiedene territoriale Souveränitätsgebiete durchlaufen, ehe sie im Ziel- staat einen potenziellen Schaden verursachen. Solche „Transit-Staaten“ möchten nicht die Verantwortung für Cyberoperationen übernehmen, nur weil der Datenfluss über ihre Cyberinfrastruktur und somit ihr Territorium erfolgt. Dennoch lauten die ent- scheidenden Fragen, um die sich alles dreht: Verletzt eine Cyberoperation auf dem Territorium von Staat „Alice“ die Souveränität des Staates „Bob“? Und wer ist ver- antwortlich für die Verletzung? Die Frage der Verantwortlichkeit42 ist deshalb rele- vant, weil erst eine bejahte Verantwortlichkeit eines Staates dem geschädigten Staat die Möglichkeit einräumt, seine Souveränitätsverletzung geltend zu machen und eine allfällige Wiedergutmachung zu fordern oder Gegenmassnahmen zu ergreifen.43 Im Folgenden soll daher aufgezeigt werden, was Souveränität im völkerrechtlichen Sinne de lege lata bedeutet und welche Rechte und Pflichten für die Staaten damit 37 Cyberinfrastrukturen bilden die Grundlage, auf welcher Informationssysteme operieren. Solche Strukturen umfassen im Grundsatz alle Formen von Kommunikations-, Aufbewahrungs- und Computingressourcen, vgl. Glossary, Tallinn Manual 1.0, 258. 38 Zum Begriff „Cybersouveränität“ siehe die Ausführungen unter Kap. B.2. 39 UN-Charta-RANDELZHOFER/DÖRR, Art. 2 Ziff. 4 UN-Charta N 29. 40 So haben etwa Ende November 2018 vom chinesischen Geheimdienst beauftragte Hacker per- sönliche Daten, darunter Identitätsnummern von Pässen, von über 500 Millionen Marriott- Hotelbesuchern gestohlen, SANGER/PERLROTH/THRUSH/RAPPEPORT, New York Times vom 11. Dezember 2018, und SANGER, New York Times vom 4. Januar 2018; weiterführend zum sog. „Outsourcing” von Cyberoperationen siehe JONES, Financial Times vom 4. September 2015. 41 Vgl. FARIVAR, Financial Times vom 12. März 2009; PERLROTH/KRAUSS, The New York Times vom 15. März 2018. 42 Vorliegender Artikel befasst sich schwerpunktmässig mit dem Interventionsverbot und der staatlichen Souveränität im Cyberspace. Eine ausführliche Diskussion zur staatlichen Verant- wortlichkeit würde den vorgegebenen Rahmen sprengen. 43 Gemäss den Artikeln zu Responsibility of States for Internationally Wrongful Acts (ARS).
Cyberwar, quo vadis? verbunden sind. Anschliessend soll beleuchtet werden, ob und wie sich das für den physischen Raum entwickelte Konzept der staatlichen Souveränität auf den digitalen Raum bzw. den Cyberspace übertragen lässt und welche Konsequenzen sich aus die- ser Übertragung für das Verhalten von sowohl staatlichen als auch nicht-staatlichen Akteuren im Cyberspace ergeben. 1. Staatliche Souveränität im klassischen Sinn a. Definition Eine universell anerkannte Definition staatlicher Souveränität gibt es nicht44 , nicht für den physischen und noch weniger für den digitalen Raum, der menschengeschaffenen „fünften Dimension“45 . Vorliegende Auseinandersetzung betrachtet die Souveränität deshalb als ein Konzept, dem Rechte und Pflichten zugrunde liegen46 , und versucht, trotz fehlender allgemeingültiger Definition, zumindest die anerkannten Rechte und Pflichten, die das Souveränitätskonzept begründen, zu umreissen. b. Staatliche Souveränität: Recht und Pflicht zugleich Aus dem Grundprinzip der Souveränität ergeben sich keine unmittelbaren Rechte und Pflichten. Vielmehr begründen Rechte und Pflichten eines Staates das Konzept der Souveränität.47 Der völkerrechtliche Grundsatz, dass Souveränität nicht nur auf Rech- ten, sondern auch auf Pflichten basiert48 , ist so alt wie das westfälische System und somit die Einführung des Souveränitätskonzepts selbst49 . Dass der staatlichen Souve- ränität neben Rechten auch Schutzpflichten zugrunde liegen, wurde bereits von MAX HUBER im berühmten Fall Islands of Palmas von 1928 explizit festgestellt50 und unter anderem im viel zitierten Corfu Channel-Urteil von 1949 durch den IGH bestätigt.51 44 UN-Charta-FASSBENDER, Art. 2 Ziff. 1 UN-Charta N 46 ff. 45 OREND, passim. 46 Hinsichtlich der Frage, ob die staatliche Souveränität als nicht bindender Grundsatz anzusehen ist, welcher staatliches Handeln lediglich lenken oder aber als eine Norm mit bindender Wir- kung angesehen werden soll, ist bisweilen in der Völkerrechtslehre umstritten. In der vorliegen- den Auseinandersetzung wird die Meinung vertreten, dass Souveränität, weil sie aus verbindli- chen Rechten und Pflichten resultiert, selbst als bindende Norm anzusehen, und zudem als Grundbaustein im Interventions- und Gewaltverbot inkorporiert, rechtlich selbstständig verletz- bar ist, vgl. weiterführend dazu SCHMITT, passim. 47 WILDHABER, 442. 48 Friendly Relations Declaration: „All states enjoy sovereign equality. They have equal rights and duties […]“, Ziff. 1. 49 Vgl. KOSKINNIEMI, 45. 50 „Territorial sovereignty, as has already been said, involves the exclusive right to display the activities of a State. This right has as corollary a duty: the obligation to protect within the terri-
Sanija Ameti 8 Das wahrscheinlich fundamentalste Recht unter dem Souveränitätskonzept umfasst die exklusive Kontrolle, die ein Staat auf seinem Territorium ohne Einmischung eines fremden Staates ausüben darf.52 Spiegelbildlich an dieses Recht geknüpft ist die Pflicht der Staaten, gegenseitig ihre Souveränitätsansprüche anzuerkennen und nicht in die domaine réservé53 anderer Staaten zu intervenieren.54 Nichts anderes konstitu- iert das gemäss Art. 2 Ziff. 1 UN-Charta geltende Interventionsverbot, wenn eine Intervention unter Zwang erfolgt.55 Das die staatliche Souveränität begründende Recht und das völkerrechtliche Interventionsverbot gehen somit Hand in Hand. Schliesslich bedeutet Souveränität auch, dass Staaten Autorität über Objekte, Perso- nen und deren Handlungen auf ihrem Territorium besitzen.56 Konkret erstreckt sich diese Autorität über Handlungen natürlicher und juristischer Personen auf dem Terri- torium des jeweiligen Staates und seiner Staatsbürger im Ausland.57 Eine wesentliche Pflicht kann folglich darin gesehen werden, dass Staaten rechtswidrige grenzüber- schreitende Handlungen, deren Verursacher wissentlich innerhalb der geografischen Grenzen ihrer Jurisdiktion agieren, entweder verhindern müssen oder nicht dulden dürfen.58 Es resultiert im Ergebnis eine Präventions- und Ahndungspflicht von Hand- lungen sowohl staatlicher als auch nicht-staatlicher Akteure, die Schaden in anderen Staaten anrichten können und mithin deren Souveränität verletzen.59 Grenzüberschrei- tende Handlungen nicht-staatlicher Akteure hat der IGH unter anderem im Urteil Ar- tory the rights of other States, in particular their right to integrity and inviolability in peace and in war, together with the rights which each State may claim for its nationals in foreign territory. […] Territorial sovereignty cannot limit itself to its negative side, i.e. to excluding the activities of other States; […]“, PCA, Island of Palmas (or Miangas), United States v. The Netherlands, Schiedsurteil vom 4. April 1928, 839. 51 IGH, Corfu Channel, United Kingdom v. Albania, ICJ Rep 4, Urteil vom 9. April 1949, 22. 52 Dieses Verständnis von Souveränität hat Richter Alvarez in seiner Individual Opinion zum Corfu-Channel-Urteil wie folgt umschrieben: „By Sovereignty we understand the whole body of rights and attributes which a State possesses in its territory, to the exclusion of all other States, and also in its relations with other States“, Individual Opinion of Judge Alvarez, ICJ Rep 15; BESSON, Rz. 119. 53 Konkretisiert werden das Interventionsverbot und die sog. domaine réservé im Kapitel B.3. 54 IGH, Corfu Channel, 35. 55 BESSON, „The UN-Charter also protects sovereign States’ domaine réservé and prohibits other States’ interventions on sovereign States’ territory“, Rz. 88. 56 BESSON, „ultimate authority and competence over all people and all things within territory“, Rz. 70; COHAN, 18 Florida Journal International Law 2006, 944. 57 STACY, 55 Stanford Law Review 2003, 2050–2951. 58 IGH, Corfu Channel, 4, 22. 59 IGH, United States Diplomatic and Consular Staff in Tehran, United States v. Iran, ICJ Rep 3, Urteil vom 24. Mai 1980, Rz. 67–68.
Cyberwar, quo vadis? med Activities on the Territory of Congo beurteilt.60 In seinem Urteil konnte der IGH Zaire keine Verantwortung für die völkerrechtswidrigen Handlungen der bewaffneten Gruppierungen zuweisen, weil es keine faktische Kontrolle über diese ausüben konn- te.61 Dies änderte hingegen nichts an der bestehenden Verpflichtung, die fraglichen Handlungen verhindert haben zu müssen, wäre die genügende Ausübung der verlang- ten Kontrolle über die nicht-staatlichen Akteure gegeben gewesen. Die völkerrechtli- che Rechtsprechung hat in diesem Sinne wiederholt bestätigt, dass sich die der Souve- ränität zugrunde liegenden Präventions- und Ahndungspflichten nicht nur auf die staatlichen Organe, sondern ebenfalls auf nicht-staatliche Akteure beziehen.62 2. Cybersouveränität a. Übertragung des Konzepts Souveränität auf den Cyberspace Es ist der 8. Februar 1996, als am Rednerpult des Weltwirtschaftsforums in Davos JOHN PERRY BARLOW in seinem Manifest „A Declaration of the Independence of Cyberspace“ den „Staaten der industriellen Welt“, den „überdrüssigen Giganten aus Fleisch und Stahl“, verkündet, sie sollen gefälligst zum „Wohle der Zukunft, uns, diejenigen aus dem Cyberspace, in Ruhe lassen“, sie seien „nicht willkommen unter uns“, haben „keine Souveränität, wo wir uns versammeln“.63 Siebzehn Jahre später, am 24. Juni 2013, beschliesst die Group of Governmental Ex- perts der UN-Generalversammlung (UN GGE) in ihrem Bericht zu „Information and Telecommunications in the Context of International Security“ erstmals die Anwen- 60 IGH, Armed Activities on the Territory of the Congo, Congo, the Democratic Republic of the v. Uganda, ICJ Rep 168, Urteil vom 19. Dezember 2005, Rz. 299–301. 61 Ibid. 62 So unter anderem die Ausführungen des Tribunals zum Trail-Smelter-Fall, das schweizerische Bundesgerichtsurteil vom 1. November 1900 in Sachen Solothurn gegen Aargau (BGE 26 I 444) zitierend: „[…] zur Beantwortung der Frage nach den gegenseitigen staatlichen Rechten und Pflichten der Kantone ist vielmehr auf die Normen des allgemeinen Völkerrechts zurück- zugreifen, […] so steht doch für das Verhältnis nach aussen, zu andern Staaten, so viel fest, dass aus der Souveränität und der Gebietshoheit bestimmte […] Rechte herfliessen. […] Dieses Recht [= die Souveränität] schliesst aber weiterhin jede Einwirkung eines andern Staates auf das Gebiet des eigenen oder dessen Bewohner aus, und zwar nicht nur die Anmassung und Ausübung von Hoheitsrechten des eigenen Staates, sondern auch ein thatsächliches Hinüber- greifen, das die naturgemässe Benutzung des Territoriums und die freie Bewegung seiner Be- wohner beeinträchtigen könnte.“ Das Tribunal führte daraufhin aus, dass „unter den Regeln des Völkerrechts […] kein Staat das Recht besitzt, sein Territorium auf eine Weise zu brauchen o- der von Dritten brauchen zu lassen, […] die auf dem Territorium eines anderen Staats Schaden anrichtet […]“, Trail Smelter Arbitration (United States v. Canada) (1938 and 1941) 3 R.I.A.A. 1905, Rz. 1941; vgl. auch die zitierte Rechtsprechung in Fn. 54–57. 63 BARLOW, passim.
Sanija Ameti 10 dung der völkerrechtlichen Normen und der staatlichen Souveränität auf den Cyber- space.64 Dabei stützte sich das UN GGE auf das Argument, der Cyberspace könne ohne die Cyberinfrastrukturen, die sich auf dem Territorium und somit unter der Kon- trolle der souveränen Staaten befinden, nicht existieren.65 Zum selben Schluss kommt das Tallinn Manual 2.0, indem es in seiner allerersten Regel festlegt, dass „Staaten Kontrolle über die Cyberinfrastruktur und -aktivitäten auf ihrem souveränen Territori- um ausüben können“66 . Folglich soll diese Infrastruktur unter die Jurisdiktion des jeweiligen Staates fallen. Im Mai 2018 befasste sich erstmals der CSS-Report „Cyber Sovereignty and Data Sovereignty“ 67 mit dem Begriff der sog. „Cybersouveränität“ und definiert diese als „die Anwendung der der Souveränität zugrunde liegenden staatlichen Rechte und Pflichten im Cyberspace“.68 b. Staatenpraxis Nach den theoretischen Ausführungen zur Anwendbarkeit der staatlichen Souveränität im Cyberspace verrät ein Blick in die nationalen Cyberstrategien einiger Staaten, ob und wie diese die Souveränität im Cyberspace in der Praxis definieren und sich darauf beziehen. Der CSS-Report untersuchte die nationalen Cyberstrategien von 93 Ländern.69 Er kommt zum Schluss, dass die untersuchten Staaten in ihren nationalen Cyberstrate- gien den Begriff der Souveränität, wenn sie ihn überhaupt nennen, in Bezug auf den Cyberspace primär im Rahmen ihrer daraus abgeleiteten Rechte auslegen.70 Darin steht fast ausschliesslich der Schutz der eigenen Informationssysteme, Verteidigungs- kräfte und kritischer Infrastruktur vor auswärtigen Cyberangriffen und die autonome Steuerung derselben im Vordergrund. Souveränität wird, wenn überhaupt vorge- bracht, primär als Schutzwerkzeug gegen fremde Cyberangriffe betrachtet. Staaten berufen sich in erster Linie auf das Recht, als souveräne, gleichgestellte Subjekte ihre Cyberinfrastruktur ohne die Einmischung fremder Staaten zu gebrauchen. Eine Defi- nition des Souveränitätsbegriffs im Cyberspace hinsichtlich der sich daraus ergeben- den Pflichten, wie sie unter B.1 identifiziert wurden, ist in den untersuchten Strategien der jeweiligen Staaten nicht ersichtlich. Die Untersuchungen des CSS-Reports erge- 64 UN GGE 2013 Report, „State sovereignty and international norms and principles that flow from sovereignty apply to the conduct by States of ICT-related activities and to their jurisdiction over ICT infrastructure within their territory“, Rz. 20; UN GGE 2015 Report, Rz. 27. 65 Ibid. 66 Tallinn Manual 2.0, Rule 1: „A State may exercise control over cyber infrastructure and activities within its sovereign territory.“ 67 BAEZNER/ROBIN, passim. 68 Ibid., 6. 69 Die untersuchten nationalen Cyberstrategien der 93 Länder sind open-source, ibid., 15 ff. 70 Ibid., 8.
Cyberwar, quo vadis? ben, dass unter der Staatengemeinschaft kein gemeinsames Verständnis des Souverä- nitätsbegriffs im Cyberspace besteht. Dies obwohl die allermeisten Staaten das tradi- tionelle westfälische Souveränitätsverständnis in ihren Strategien teilen, insbesondere in Bezug auf die darin geäusserte Besorgnis über Cyberangriffe, welche die eigene Souveränität möglicherweise verletzen könnten.71 Erfolgte im Cyberspace eine konsequente Anwendung nicht nur der vom Souveräni- tätskonzept verkörperten Rechte, sondern auch der Pflichten, wären die jeweiligen Staaten dazu angehalten, über das Nichtintervenieren in die Cybersouveränität anderer Staaten hinaus ihre eigene Cyberinfrastruktur gegen Missbrauch durch nicht-staatliche Akteure zu schützen.72 In diesem Zusammenhang kann von einer positiven Schutz- pflicht der einzelnen Staaten ausgegangen werden. Schliesslich hält das Tallinn Ma- nual 2.0 in seinen Ausführungen zu Rule 4 korrekter- und konsequenterweise fest, dass ein Staat den wissentlichen Missbrauch seiner Cyberinfrastruktur auf seinem Territorium und unter seiner exklusiven staatlichen Kontrolle nicht erlauben darf.73 Obwohl diese positive Schutzpflicht aus der konsequenten Anwendung des klassi- schen Souveränitätskonzepts auf den Cyberspace resultiert und ebenfalls durch das Tallinn Manual 2.0 bestätigt und zur Anwendung empfohlen wird, wird diese in den nationalen Cyberstrategien der einzelnen Staaten nicht diskutiert. C. Verletzung des Interventionsverbots im Cyberspace 1. Interventionsverbot und Tallinn Manual 2.0 Die internationale Expertengruppe konnte sich bei der Erarbeitung des Tallinn Manu- als 2.0 nicht auf eine klare Antwort zur Frage einigen, ob der Einsatz einer Schad- software, die keinen physischen, aber finanziellen Schaden anrichtet, die staatliche Souveränität verletzt.74 Weil aber fast alle bisher weltweit erfolgten Cyberoperatio- nen, wie sie unter Kapitel II.A dargelegt wurden, unter diese Kategorie fallen, muss die Frage, welche Cyberoperationen wann die Souveränität und womöglich auch das Interventionsverbot verletzen, weiterhin gestellt werden. 71 Ibid. 72 Tallinn Manual 2.0, Rule 2, Rz. 3: „With respect to a State’s internal sovereignty, it is irrelevant as a matter of international law whether […] the cyber activities concerned are engaged in by the State’s organs or by private individuals or entities.“ 73 Ibid., Rule 4 und dazugehörige Ausführungen in Rz. 1–6. 74 Ibid., Rule 1, Rz. 6: „The International Group of Experts could achieve no consensus as to whether the placement of malware that causes no physical damage (as with malware to monitor activities) constitutes a violation of sovereignty.“

Empfohlen

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture CodeSkeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 

Empfohlen

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture CodeSkeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data ScienceChristy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Applitools
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at WorkGetSmarter
 
ChatGPT webinar slides
ChatGPT webinar slidesChatGPT webinar slides
ChatGPT webinar slidesAlireza Esmikhani
 
More than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike RoutesMore than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike RoutesProject for Public Spaces & National Center for Biking and Walking
 
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...DevGAMM Conference
 
Barbie - Brand Strategy Presentation
Barbie - Brand Strategy PresentationBarbie - Brand Strategy Presentation
Barbie - Brand Strategy PresentationErica Santiago
 
Good Stuff Happens in 1:1 Meetings: Why you need them and how to do them well
Good Stuff Happens in 1:1 Meetings: Why you need them and how to do them wellGood Stuff Happens in 1:1 Meetings: Why you need them and how to do them well
Good Stuff Happens in 1:1 Meetings: Why you need them and how to do them wellSaba Software
 
Introduction to C Programming Language
Introduction to C Programming LanguageIntroduction to C Programming Language
Introduction to C Programming LanguageSimplilearn
 

Weitere ähnliche Inhalte

Empfohlen

How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Applitools
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at WorkGetSmarter
 
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...DevGAMM Conference
 
Barbie - Brand Strategy Presentation
Barbie - Brand Strategy PresentationBarbie - Brand Strategy Presentation
Barbie - Brand Strategy PresentationErica Santiago
 
Good Stuff Happens in 1:1 Meetings: Why you need them and how to do them well
Good Stuff Happens in 1:1 Meetings: Why you need them and how to do them wellGood Stuff Happens in 1:1 Meetings: Why you need them and how to do them well
Good Stuff Happens in 1:1 Meetings: Why you need them and how to do them wellSaba Software
 
Introduction to C Programming Language
Introduction to C Programming LanguageIntroduction to C Programming Language
Introduction to C Programming LanguageSimplilearn
 

Empfohlen (20)

How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
 
ChatGPT webinar slides
ChatGPT webinar slidesChatGPT webinar slides
ChatGPT webinar slides
 
More than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike RoutesMore than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike Routes
 
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
 
Barbie - Brand Strategy Presentation
Barbie - Brand Strategy PresentationBarbie - Brand Strategy Presentation
Barbie - Brand Strategy Presentation
 
Good Stuff Happens in 1:1 Meetings: Why you need them and how to do them well
Good Stuff Happens in 1:1 Meetings: Why you need them and how to do them wellGood Stuff Happens in 1:1 Meetings: Why you need them and how to do them well
Good Stuff Happens in 1:1 Meetings: Why you need them and how to do them well
 
Introduction to C Programming Language
Introduction to C Programming LanguageIntroduction to C Programming Language
Introduction to C Programming Language
 

Cybersecurity: State Accountability and Private Actors

  • 1. 1 Cyberwar, quo vadis?1 Eine Verlagerung des Diskurses hin zum geltenden Völkerrecht im Cy- berspace zu Friedenszeiten Sanija Ameti∗ Inhaltsübersicht I. Einleitung 2 II. Aktuelle Entwicklung und anwendbares Recht 3 A. Vom Gewaltverbot zum Interventionsverbot 3 B. Staatliche Souveränität und das Interventionsverbot 5 1. Staatliche Souveränität im klassischen Sinn 7 a. Definition 7 b. Staatliche Souveränität: Recht und Pflicht zugleich 7 2. Cybersouveränität 9 a. Übertragung des Konzepts Souveränität auf den Cyberspace 9 b. Staatenpraxis 10 C. Verletzung des Interventionsverbots im Cyberspace 11 1. Interventionsverbot und Tallinn Manual 2.0 11 a. Wirtschaftliche Sabotage, Funktionsbeeinträchtigung kritischer Infrastruktur und Eingriffe in die staatliche Organisation 12 b. Politische Manipulation und Destabilisierung 13 2. Cyberspionage 14 3. Fallbeispiel GRU-Spionageaffäre 16 III. Fazit 17 Literaturverzeichnis 16 Materialienverzeichnis 18 1 In Weiterführung der angestossenen Debatte durch MICHAEL SCHMITT, The Law of Cyber Warfare: Quo Vadis?, Stanford Law & Policy Review 2014. ∗ Ein besonderer Dank geht an Dr. iur. Florian Schmidt-Gabain und Christa Stünzi, M.A. HSG, für die Durchsicht und wertvollen Anmerkungen.
  • 2. Cyberwar, quo vadis? die Beurteilung von Cyberoperationen während Friedenszeiten wird deshalb das völ- kerrechtliche Interventionsverbot. Es dient sozusagen als Auffangtatbestand für jene Eingriffe, die nicht gegen das Gewaltverbot verstossen.30 Dieser Verlagerung vom Gewalt- zum Interventionsverbot verlieh die NATO-Expertengruppe zusätzlich Ge- wicht, als sie 2017 das Tallinn-Manual 2.0 herausgab und seinen Fokus auf die Rege- lung von Cyberoperationen durch das „Peacetime International Law“ gesetzt hat31 . B. Staatliche Souveränität und das Interventionsverbot Das in Art. 2 Ziff. 1 und in Art. 2 Ziff. 7 UN-Charta verankerte staatliche Interventi- onsverbot verbietet Staaten, sich unter Anwendung von Zwang in die inneren Angele- genheiten anderer Staaten einzumischen.32 Das Schutzobjekt des Interventionsverbots ist die staatliche Souveränität in Friedenszeiten.33 Die jeweiligen Schutzbereiche der Souveränität und des Interventionsverbots dürfen, obwohl sie oft, so auch im Tallinn Manual, nicht klar voneinander unterschieden werden,34 nicht als deckungsgleich verstanden werden. Eine Verletzung des Interventionsverbots findet vielmehr erst dann statt, wenn bestimmte Aspekte der Souveränität durch eine Zwangsanwendung verletzt werden.35 Der Kern des Interventionsverbots gemäss Art. 2 Ziff. 1 UN-Charta liegt bei der Verpflichtung staatlicher Organe, Eingriffe in die Souveränität anderer Staaten zu unterlassen.36 In diesem Zusammenhang stellen sich weitere zentrale Fra- gen: Welche Cyberoperation verletzt wann die staatliche Souveränität und wann das Interventionsverbot? Und inwiefern sind Staaten verpflichtet, ihre Cyberinfrastruk- keit des „Cyberkriegs“ vgl. AMETI, Völkerrechtsblog vom 24. Oktober 2018; DIGGEL- MANN/HADORN, 260. 30 STEIN/VON BUTTLAR/KOTZUR, Rz. 646. 31 CCDCOE, News vom 2. Februar 2016: „Tallinn Manual 2.0 adds a legal analysis of the more common cyber incidents that states encounter on a day-to-day basis and that fall below the thresholds of the use of force or armed conflict.“ 32 UN-Charta-FASSBENDER, Art. 2 Ziff. 1 UN-Charta N 54–68. 33 UN-Charta-NOLTE, Art. 2 Ziff. 7 UN-Charta N 3. 34 Vgl. etwa Tallinn Manual 2.0, Rule 66, Rz. 1: „A State may not intervene, including by cyber means, in the internal or external affairs of another State. […] This Rule prohibits coercive in- tervention, including by cyber means, by one State into the internal or external affairs of anoth- er. It is based on the international law principle of sovereignty, specifically that aspect of the principle that provides for the sovereign equality of States” oder Rule 4, Rz. 10: „[…] the prin- ciple of sovereignty underlies the prohibition of unlawful intervention into a State’s domaine réservé.” 35 Siehe vertiefter dazu nachfolgende Ausführungen, insb. Kap. C. 36 Friendly Relations Declaration: „[…] use of economic political or any other type of measures to coerce another State in order to obtain from it the subordination of the exercise of its sovereign rights.“
  • 3. Sanija Ameti 6 tur37 zu schützen und zu überwachen, sodass diese nicht für die Verletzung der soge- nannten „Cybersouveränität“38 anderer Staaten durch private Dritte missbraucht wer- den kann? Ein weiteres Problem, das der Anwendbarkeit von geltendem Völkerrecht grundsätzlich entgegensteht, ist schliesslich die fehlende oder nicht nachweisbare Zwischenstaatlichkeit39 , da vermehrt nicht-staatliche Akteure aus eigenem Antrieb oder auf Anweisung von Regierungen solche Cyberoperationen verüben.40 Die bisherige Staatenpraxis lässt durchblicken, dass Staaten nur zögerlich Verantwor- tung für die von ihrem Territorium ausgegangenen Cyberoperationen zu übernehmen bereit sind.41 Ein gewisses Zögern hinsichtlich der Übernahme von Verantwortung ist aufgrund der schwierigen Attribution von Cyberoperationen nachvollziehbar. Erstens verunmöglicht die Natur von Cyberoperationen eine zeitlich verhältnismässige Reak- tion, weil es i.d.R. an technischen Möglichkeiten fehlt, die Urheberschaft dieser Ope- rationen zu ermitteln. Zweitens ist der digitale Raum dermassen vernetzt, dass solche Operationen über das Internet willkürlich verschiedene zwischengeschaltete Server und somit verschiedene territoriale Souveränitätsgebiete durchlaufen, ehe sie im Ziel- staat einen potenziellen Schaden verursachen. Solche „Transit-Staaten“ möchten nicht die Verantwortung für Cyberoperationen übernehmen, nur weil der Datenfluss über ihre Cyberinfrastruktur und somit ihr Territorium erfolgt. Dennoch lauten die ent- scheidenden Fragen, um die sich alles dreht: Verletzt eine Cyberoperation auf dem Territorium von Staat „Alice“ die Souveränität des Staates „Bob“? Und wer ist ver- antwortlich für die Verletzung? Die Frage der Verantwortlichkeit42 ist deshalb rele- vant, weil erst eine bejahte Verantwortlichkeit eines Staates dem geschädigten Staat die Möglichkeit einräumt, seine Souveränitätsverletzung geltend zu machen und eine allfällige Wiedergutmachung zu fordern oder Gegenmassnahmen zu ergreifen.43 Im Folgenden soll daher aufgezeigt werden, was Souveränität im völkerrechtlichen Sinne de lege lata bedeutet und welche Rechte und Pflichten für die Staaten damit 37 Cyberinfrastrukturen bilden die Grundlage, auf welcher Informationssysteme operieren. Solche Strukturen umfassen im Grundsatz alle Formen von Kommunikations-, Aufbewahrungs- und Computingressourcen, vgl. Glossary, Tallinn Manual 1.0, 258. 38 Zum Begriff „Cybersouveränität“ siehe die Ausführungen unter Kap. B.2. 39 UN-Charta-RANDELZHOFER/DÖRR, Art. 2 Ziff. 4 UN-Charta N 29. 40 So haben etwa Ende November 2018 vom chinesischen Geheimdienst beauftragte Hacker per- sönliche Daten, darunter Identitätsnummern von Pässen, von über 500 Millionen Marriott- Hotelbesuchern gestohlen, SANGER/PERLROTH/THRUSH/RAPPEPORT, New York Times vom 11. Dezember 2018, und SANGER, New York Times vom 4. Januar 2018; weiterführend zum sog. „Outsourcing” von Cyberoperationen siehe JONES, Financial Times vom 4. September 2015. 41 Vgl. FARIVAR, Financial Times vom 12. März 2009; PERLROTH/KRAUSS, The New York Times vom 15. März 2018. 42 Vorliegender Artikel befasst sich schwerpunktmässig mit dem Interventionsverbot und der staatlichen Souveränität im Cyberspace. Eine ausführliche Diskussion zur staatlichen Verant- wortlichkeit würde den vorgegebenen Rahmen sprengen. 43 Gemäss den Artikeln zu Responsibility of States for Internationally Wrongful Acts (ARS).
  • 4. Cyberwar, quo vadis? verbunden sind. Anschliessend soll beleuchtet werden, ob und wie sich das für den physischen Raum entwickelte Konzept der staatlichen Souveränität auf den digitalen Raum bzw. den Cyberspace übertragen lässt und welche Konsequenzen sich aus die- ser Übertragung für das Verhalten von sowohl staatlichen als auch nicht-staatlichen Akteuren im Cyberspace ergeben. 1. Staatliche Souveränität im klassischen Sinn a. Definition Eine universell anerkannte Definition staatlicher Souveränität gibt es nicht44 , nicht für den physischen und noch weniger für den digitalen Raum, der menschengeschaffenen „fünften Dimension“45 . Vorliegende Auseinandersetzung betrachtet die Souveränität deshalb als ein Konzept, dem Rechte und Pflichten zugrunde liegen46 , und versucht, trotz fehlender allgemeingültiger Definition, zumindest die anerkannten Rechte und Pflichten, die das Souveränitätskonzept begründen, zu umreissen. b. Staatliche Souveränität: Recht und Pflicht zugleich Aus dem Grundprinzip der Souveränität ergeben sich keine unmittelbaren Rechte und Pflichten. Vielmehr begründen Rechte und Pflichten eines Staates das Konzept der Souveränität.47 Der völkerrechtliche Grundsatz, dass Souveränität nicht nur auf Rech- ten, sondern auch auf Pflichten basiert48 , ist so alt wie das westfälische System und somit die Einführung des Souveränitätskonzepts selbst49 . Dass der staatlichen Souve- ränität neben Rechten auch Schutzpflichten zugrunde liegen, wurde bereits von MAX HUBER im berühmten Fall Islands of Palmas von 1928 explizit festgestellt50 und unter anderem im viel zitierten Corfu Channel-Urteil von 1949 durch den IGH bestätigt.51 44 UN-Charta-FASSBENDER, Art. 2 Ziff. 1 UN-Charta N 46 ff. 45 OREND, passim. 46 Hinsichtlich der Frage, ob die staatliche Souveränität als nicht bindender Grundsatz anzusehen ist, welcher staatliches Handeln lediglich lenken oder aber als eine Norm mit bindender Wir- kung angesehen werden soll, ist bisweilen in der Völkerrechtslehre umstritten. In der vorliegen- den Auseinandersetzung wird die Meinung vertreten, dass Souveränität, weil sie aus verbindli- chen Rechten und Pflichten resultiert, selbst als bindende Norm anzusehen, und zudem als Grundbaustein im Interventions- und Gewaltverbot inkorporiert, rechtlich selbstständig verletz- bar ist, vgl. weiterführend dazu SCHMITT, passim. 47 WILDHABER, 442. 48 Friendly Relations Declaration: „All states enjoy sovereign equality. They have equal rights and duties […]“, Ziff. 1. 49 Vgl. KOSKINNIEMI, 45. 50 „Territorial sovereignty, as has already been said, involves the exclusive right to display the activities of a State. This right has as corollary a duty: the obligation to protect within the terri-
  • 5. Sanija Ameti 8 Das wahrscheinlich fundamentalste Recht unter dem Souveränitätskonzept umfasst die exklusive Kontrolle, die ein Staat auf seinem Territorium ohne Einmischung eines fremden Staates ausüben darf.52 Spiegelbildlich an dieses Recht geknüpft ist die Pflicht der Staaten, gegenseitig ihre Souveränitätsansprüche anzuerkennen und nicht in die domaine réservé53 anderer Staaten zu intervenieren.54 Nichts anderes konstitu- iert das gemäss Art. 2 Ziff. 1 UN-Charta geltende Interventionsverbot, wenn eine Intervention unter Zwang erfolgt.55 Das die staatliche Souveränität begründende Recht und das völkerrechtliche Interventionsverbot gehen somit Hand in Hand. Schliesslich bedeutet Souveränität auch, dass Staaten Autorität über Objekte, Perso- nen und deren Handlungen auf ihrem Territorium besitzen.56 Konkret erstreckt sich diese Autorität über Handlungen natürlicher und juristischer Personen auf dem Terri- torium des jeweiligen Staates und seiner Staatsbürger im Ausland.57 Eine wesentliche Pflicht kann folglich darin gesehen werden, dass Staaten rechtswidrige grenzüber- schreitende Handlungen, deren Verursacher wissentlich innerhalb der geografischen Grenzen ihrer Jurisdiktion agieren, entweder verhindern müssen oder nicht dulden dürfen.58 Es resultiert im Ergebnis eine Präventions- und Ahndungspflicht von Hand- lungen sowohl staatlicher als auch nicht-staatlicher Akteure, die Schaden in anderen Staaten anrichten können und mithin deren Souveränität verletzen.59 Grenzüberschrei- tende Handlungen nicht-staatlicher Akteure hat der IGH unter anderem im Urteil Ar- tory the rights of other States, in particular their right to integrity and inviolability in peace and in war, together with the rights which each State may claim for its nationals in foreign territory. […] Territorial sovereignty cannot limit itself to its negative side, i.e. to excluding the activities of other States; […]“, PCA, Island of Palmas (or Miangas), United States v. The Netherlands, Schiedsurteil vom 4. April 1928, 839. 51 IGH, Corfu Channel, United Kingdom v. Albania, ICJ Rep 4, Urteil vom 9. April 1949, 22. 52 Dieses Verständnis von Souveränität hat Richter Alvarez in seiner Individual Opinion zum Corfu-Channel-Urteil wie folgt umschrieben: „By Sovereignty we understand the whole body of rights and attributes which a State possesses in its territory, to the exclusion of all other States, and also in its relations with other States“, Individual Opinion of Judge Alvarez, ICJ Rep 15; BESSON, Rz. 119. 53 Konkretisiert werden das Interventionsverbot und die sog. domaine réservé im Kapitel B.3. 54 IGH, Corfu Channel, 35. 55 BESSON, „The UN-Charter also protects sovereign States’ domaine réservé and prohibits other States’ interventions on sovereign States’ territory“, Rz. 88. 56 BESSON, „ultimate authority and competence over all people and all things within territory“, Rz. 70; COHAN, 18 Florida Journal International Law 2006, 944. 57 STACY, 55 Stanford Law Review 2003, 2050–2951. 58 IGH, Corfu Channel, 4, 22. 59 IGH, United States Diplomatic and Consular Staff in Tehran, United States v. Iran, ICJ Rep 3, Urteil vom 24. Mai 1980, Rz. 67–68.
  • 6. Cyberwar, quo vadis? med Activities on the Territory of Congo beurteilt.60 In seinem Urteil konnte der IGH Zaire keine Verantwortung für die völkerrechtswidrigen Handlungen der bewaffneten Gruppierungen zuweisen, weil es keine faktische Kontrolle über diese ausüben konn- te.61 Dies änderte hingegen nichts an der bestehenden Verpflichtung, die fraglichen Handlungen verhindert haben zu müssen, wäre die genügende Ausübung der verlang- ten Kontrolle über die nicht-staatlichen Akteure gegeben gewesen. Die völkerrechtli- che Rechtsprechung hat in diesem Sinne wiederholt bestätigt, dass sich die der Souve- ränität zugrunde liegenden Präventions- und Ahndungspflichten nicht nur auf die staatlichen Organe, sondern ebenfalls auf nicht-staatliche Akteure beziehen.62 2. Cybersouveränität a. Übertragung des Konzepts Souveränität auf den Cyberspace Es ist der 8. Februar 1996, als am Rednerpult des Weltwirtschaftsforums in Davos JOHN PERRY BARLOW in seinem Manifest „A Declaration of the Independence of Cyberspace“ den „Staaten der industriellen Welt“, den „überdrüssigen Giganten aus Fleisch und Stahl“, verkündet, sie sollen gefälligst zum „Wohle der Zukunft, uns, diejenigen aus dem Cyberspace, in Ruhe lassen“, sie seien „nicht willkommen unter uns“, haben „keine Souveränität, wo wir uns versammeln“.63 Siebzehn Jahre später, am 24. Juni 2013, beschliesst die Group of Governmental Ex- perts der UN-Generalversammlung (UN GGE) in ihrem Bericht zu „Information and Telecommunications in the Context of International Security“ erstmals die Anwen- 60 IGH, Armed Activities on the Territory of the Congo, Congo, the Democratic Republic of the v. Uganda, ICJ Rep 168, Urteil vom 19. Dezember 2005, Rz. 299–301. 61 Ibid. 62 So unter anderem die Ausführungen des Tribunals zum Trail-Smelter-Fall, das schweizerische Bundesgerichtsurteil vom 1. November 1900 in Sachen Solothurn gegen Aargau (BGE 26 I 444) zitierend: „[…] zur Beantwortung der Frage nach den gegenseitigen staatlichen Rechten und Pflichten der Kantone ist vielmehr auf die Normen des allgemeinen Völkerrechts zurück- zugreifen, […] so steht doch für das Verhältnis nach aussen, zu andern Staaten, so viel fest, dass aus der Souveränität und der Gebietshoheit bestimmte […] Rechte herfliessen. […] Dieses Recht [= die Souveränität] schliesst aber weiterhin jede Einwirkung eines andern Staates auf das Gebiet des eigenen oder dessen Bewohner aus, und zwar nicht nur die Anmassung und Ausübung von Hoheitsrechten des eigenen Staates, sondern auch ein thatsächliches Hinüber- greifen, das die naturgemässe Benutzung des Territoriums und die freie Bewegung seiner Be- wohner beeinträchtigen könnte.“ Das Tribunal führte daraufhin aus, dass „unter den Regeln des Völkerrechts […] kein Staat das Recht besitzt, sein Territorium auf eine Weise zu brauchen o- der von Dritten brauchen zu lassen, […] die auf dem Territorium eines anderen Staats Schaden anrichtet […]“, Trail Smelter Arbitration (United States v. Canada) (1938 and 1941) 3 R.I.A.A. 1905, Rz. 1941; vgl. auch die zitierte Rechtsprechung in Fn. 54–57. 63 BARLOW, passim.
  • 7. Sanija Ameti 10 dung der völkerrechtlichen Normen und der staatlichen Souveränität auf den Cyber- space.64 Dabei stützte sich das UN GGE auf das Argument, der Cyberspace könne ohne die Cyberinfrastrukturen, die sich auf dem Territorium und somit unter der Kon- trolle der souveränen Staaten befinden, nicht existieren.65 Zum selben Schluss kommt das Tallinn Manual 2.0, indem es in seiner allerersten Regel festlegt, dass „Staaten Kontrolle über die Cyberinfrastruktur und -aktivitäten auf ihrem souveränen Territori- um ausüben können“66 . Folglich soll diese Infrastruktur unter die Jurisdiktion des jeweiligen Staates fallen. Im Mai 2018 befasste sich erstmals der CSS-Report „Cyber Sovereignty and Data Sovereignty“ 67 mit dem Begriff der sog. „Cybersouveränität“ und definiert diese als „die Anwendung der der Souveränität zugrunde liegenden staatlichen Rechte und Pflichten im Cyberspace“.68 b. Staatenpraxis Nach den theoretischen Ausführungen zur Anwendbarkeit der staatlichen Souveränität im Cyberspace verrät ein Blick in die nationalen Cyberstrategien einiger Staaten, ob und wie diese die Souveränität im Cyberspace in der Praxis definieren und sich darauf beziehen. Der CSS-Report untersuchte die nationalen Cyberstrategien von 93 Ländern.69 Er kommt zum Schluss, dass die untersuchten Staaten in ihren nationalen Cyberstrate- gien den Begriff der Souveränität, wenn sie ihn überhaupt nennen, in Bezug auf den Cyberspace primär im Rahmen ihrer daraus abgeleiteten Rechte auslegen.70 Darin steht fast ausschliesslich der Schutz der eigenen Informationssysteme, Verteidigungs- kräfte und kritischer Infrastruktur vor auswärtigen Cyberangriffen und die autonome Steuerung derselben im Vordergrund. Souveränität wird, wenn überhaupt vorge- bracht, primär als Schutzwerkzeug gegen fremde Cyberangriffe betrachtet. Staaten berufen sich in erster Linie auf das Recht, als souveräne, gleichgestellte Subjekte ihre Cyberinfrastruktur ohne die Einmischung fremder Staaten zu gebrauchen. Eine Defi- nition des Souveränitätsbegriffs im Cyberspace hinsichtlich der sich daraus ergeben- den Pflichten, wie sie unter B.1 identifiziert wurden, ist in den untersuchten Strategien der jeweiligen Staaten nicht ersichtlich. Die Untersuchungen des CSS-Reports erge- 64 UN GGE 2013 Report, „State sovereignty and international norms and principles that flow from sovereignty apply to the conduct by States of ICT-related activities and to their jurisdiction over ICT infrastructure within their territory“, Rz. 20; UN GGE 2015 Report, Rz. 27. 65 Ibid. 66 Tallinn Manual 2.0, Rule 1: „A State may exercise control over cyber infrastructure and activities within its sovereign territory.“ 67 BAEZNER/ROBIN, passim. 68 Ibid., 6. 69 Die untersuchten nationalen Cyberstrategien der 93 Länder sind open-source, ibid., 15 ff. 70 Ibid., 8.
  • 8. Cyberwar, quo vadis? ben, dass unter der Staatengemeinschaft kein gemeinsames Verständnis des Souverä- nitätsbegriffs im Cyberspace besteht. Dies obwohl die allermeisten Staaten das tradi- tionelle westfälische Souveränitätsverständnis in ihren Strategien teilen, insbesondere in Bezug auf die darin geäusserte Besorgnis über Cyberangriffe, welche die eigene Souveränität möglicherweise verletzen könnten.71 Erfolgte im Cyberspace eine konsequente Anwendung nicht nur der vom Souveräni- tätskonzept verkörperten Rechte, sondern auch der Pflichten, wären die jeweiligen Staaten dazu angehalten, über das Nichtintervenieren in die Cybersouveränität anderer Staaten hinaus ihre eigene Cyberinfrastruktur gegen Missbrauch durch nicht-staatliche Akteure zu schützen.72 In diesem Zusammenhang kann von einer positiven Schutz- pflicht der einzelnen Staaten ausgegangen werden. Schliesslich hält das Tallinn Ma- nual 2.0 in seinen Ausführungen zu Rule 4 korrekter- und konsequenterweise fest, dass ein Staat den wissentlichen Missbrauch seiner Cyberinfrastruktur auf seinem Territorium und unter seiner exklusiven staatlichen Kontrolle nicht erlauben darf.73 Obwohl diese positive Schutzpflicht aus der konsequenten Anwendung des klassi- schen Souveränitätskonzepts auf den Cyberspace resultiert und ebenfalls durch das Tallinn Manual 2.0 bestätigt und zur Anwendung empfohlen wird, wird diese in den nationalen Cyberstrategien der einzelnen Staaten nicht diskutiert. C. Verletzung des Interventionsverbots im Cyberspace 1. Interventionsverbot und Tallinn Manual 2.0 Die internationale Expertengruppe konnte sich bei der Erarbeitung des Tallinn Manu- als 2.0 nicht auf eine klare Antwort zur Frage einigen, ob der Einsatz einer Schad- software, die keinen physischen, aber finanziellen Schaden anrichtet, die staatliche Souveränität verletzt.74 Weil aber fast alle bisher weltweit erfolgten Cyberoperatio- nen, wie sie unter Kapitel II.A dargelegt wurden, unter diese Kategorie fallen, muss die Frage, welche Cyberoperationen wann die Souveränität und womöglich auch das Interventionsverbot verletzen, weiterhin gestellt werden. 71 Ibid. 72 Tallinn Manual 2.0, Rule 2, Rz. 3: „With respect to a State’s internal sovereignty, it is irrelevant as a matter of international law whether […] the cyber activities concerned are engaged in by the State’s organs or by private individuals or entities.“ 73 Ibid., Rule 4 und dazugehörige Ausführungen in Rz. 1–6. 74 Ibid., Rule 1, Rz. 6: „The International Group of Experts could achieve no consensus as to whether the placement of malware that causes no physical damage (as with malware to monitor activities) constitutes a violation of sovereignty.“