Digitale Genfer Konvention: Warum das Völkerrecht im Cyberspace versagt

2 Min. Lesezeit

Krankenhäuser, Stromnetze, Wasserversorgung – im physischen Krieg durch die Genfer Konventionen geschützt. Im Cyberspace: Freiwild. Während Staaten ihre offensiven Cyber-Fähigkeiten massiv ausbauen, fehlt jede verbindliche Regel für den digitalen Kriegsraum. Warum das gefährlicher ist, als die meisten Politiker verstehen.

Das Wichtigste in Kürze

Es gibt kein verbindliches Völkerrecht für den Cyberspace – nur unverbindliche UN-Normen und das umstrittene Tallinn Manual
Über 40 Staaten betreiben offensive Cyber-Programme – darunter Angriffe auf zivile Infrastruktur anderer Länder
Das Attributionsproblem macht klassische Abschreckung unmöglich: Wer hat angegriffen? Beweis oft erst nach Monaten
Zivilbevölkerung ist im Cyberkrieg nicht geschützt – Krankenhäuser und Kraftwerke werden bewusst als Ziele gewählt

Die Lücke im Völkerrecht

1949 einigten sich die Staaten der Welt auf die Genfer Konventionen: Angriffe auf Zivilisten, Krankenhäuser und humanitäre Einrichtungen sind verboten. Diese Regeln gelten im Landkrieg, im Seekrieg, im Luftkrieg. Im Cyberspace? Theoretisch ja – praktisch nein.

Das Problem ist nicht, dass das Völkerrecht Cyberangriffe ausschließt. Die meisten Juristen argumentieren, dass bestehende Regeln anwendbar sind. Das Problem ist: Niemand hält sich daran, niemand wird bestraft, und die Regeln sind für eine Domäne geschrieben, die 1949 nicht existierte.

Als Russlands Sandworm-Gruppe 2015 das ukrainische Stromnetz abschaltete – mitten im Winter, 230.000 Menschen ohne Strom – war das nach jedem vernünftigen Maßstab ein Angriff auf zivile Infrastruktur. Die internationale Reaktion? Diplomaten drückten „Besorgnis“ aus. Keine Sanktionen. Keine Konsequenzen.

Warum klassische Abschreckung scheitert

Das Attributionsproblem: Im physischen Krieg ist klar, wer den Panzer über die Grenze geschickt hat. Im Cyberspace dauert die Zuordnung Monate, manchmal Jahre. Und selbst dann bleibt plausible Deniability: „Das waren patriotische Hacker, keine Staatsbediensteten.“ Russland, China, Iran und Nordkorea nutzen diese Grauzone systematisch.

Asymmetrie: Ein kleines, technisch kompetentes Land kann einer Supermacht im Cyberspace überproportionalen Schaden zufügen. Nordkorea – ein wirtschaftlich insignifikantes Land – hat durch Cyberangriffe über 3 Milliarden Dollar erbeutet. Klassische Machtbalancen greifen nicht.

Eskalationsrisiko: Wann wird ein Cyberangriff zum Kriegsakt? Wenn ein Stromnetz ausfällt? Wenn ein Krankenhaus lahmgelegt wird? Wenn Menschen sterben? Diese Schwelle ist nicht definiert – und ihre Unklarheit ist gefährlich, weil sie versehentliche Eskalation ermöglicht.

Das Tallinn Manual – Theorie ohne Praxis

Das NATO Cooperative Cyber Defence Centre in Estland hat mit dem Tallinn Manual den ambitioniertesten Versuch unternommen, Völkerrecht auf den Cyberspace anzuwenden. Das Ergebnis: ein 600-seitiges akademisches Werk mit 154 Regeln. Wichtig für die juristische Debatte – irrelevant für die operative Realität.

Kein Staat hat das Tallinn Manual ratifiziert. Kein Gericht wendet es an. Kein Angreifer fühlt sich gebunden. Es ist ein brillantes Gedankenexperiment ohne praktische Wirkung.

Was eine digitale Genfer Konvention bräuchte

Rote Linien: Angriffe auf Gesundheitsinfrastruktur, Trinkwasserversorgung und Energienetze müssen explizit als Kriegsverbrechen gelten – unabhängig davon, ob ein formeller Kriegszustand existiert. Mit klaren Konsequenzen: Sanktionen, Strafverfolgung, gegebenenfalls kinetische Antworten.

Attributionsmechanismus: Eine unabhängige internationale Instanz – vergleichbar mit der OPCW für Chemiewaffen – die Cyberangriffe neutral untersucht und zuordnet. Ohne glaubwürdige Attribution gibt es keine Abschreckung.

Verbotene Waffen: Bestimmte Cyber-Werkzeuge – Wiper-Malware gegen zivile Infrastruktur, Angriffe auf medizinische Geräte, Manipulation von Staudamm-Steuerungen – sollten kategorisch verboten werden, ähnlich wie chemische und biologische Waffen.

Fazit: Die Welt braucht Regeln, bevor es zu spät ist

Die Genfer Konventionen entstanden nach den Schrecken zweier Weltkriege. Die digitale Genfer Konvention müsste vorher kommen – bevor ein Cyberangriff zu einem Massensterben führt. Die technologischen Fähigkeiten existieren bereits. Was fehlt, ist der politische Wille. Und mit jedem Jahr ohne Regeln steigt das Risiko, dass die erste Cyber-Katastrophe die Welt unvorbereitet trifft.

Key Facts

Offensive Cyber-Programme: Mindestens 40 Staaten betreiben aktive offensive Cyberfähigkeiten – nur 12 davon haben sich öffentlich zu Normen für verantwortungsvolles Verhalten bekannt.

Kosten der Untätigkeit: Cyberangriffe auf kritische Infrastrukturen verursachten 2024 weltweit geschätzte 45 Milliarden Dollar Schaden – ohne eine einzige völkerrechtliche Konsequenz.

Häufige Fragen

Gilt bestehendes Völkerrecht nicht bereits im Cyberspace?

Theoretisch: Ja. Die meisten Staaten erkennen an, dass bestehendes Völkerrecht anwendbar ist. Praktisch: Die Regeln sind zu vage, die Durchsetzung nicht existent und die Attribution zu unsicher für verbindliche Rechtsfolgen.

Würde Russland oder China einer digitalen Genfer Konvention zustimmen?

Kurzfristig: Unwahrscheinlich. Langfristig: Auch die chemische Waffenkonvention brauchte Jahrzehnte. Der Prozess beginnt mit „like-minded“ Staaten und wird über Normsetzung, wirtschaftlichen Druck und die Erfahrung konkreter Vorfälle zum globalen Standard.

Was können Unternehmen tun, solange es keine Regeln gibt?

Sich auf Angriffe auf kritische Systeme vorbereiten, als ob sie unvermeidlich wären. OT-Segmentierung, Offline-Backups, getestete Incident-Response-Pläne und Redundanz für lebenskritische Systeme. Wer auf Regulierung wartet, wartet zu lang.