Das IoT droht aber auch zu einem sicherheitspolitischen Problem zu werden, da viele Geräte technisch schlecht gegen Angriffe geschützt sind. Eine Studie hat bspw. ein Szenario skizziert, in dem AngreiferInnen durch die Übernahme von besonders energieintensiven Geräten Verbrauchsschwankungen erzeugen und dadurch weitreichende Stromausfälle auslösen könnten (Soltan, Mittal und Poor, 2018). Das Mirai-Botnet3 hat gezeigt, dass IoT-Geräte wie IP-Kameras oder Fernseher für Angriffe gekapert und missbraucht werden können. Mit einem großen DDoS-Angriff4 legte das Botnet im Oktober 2016 einen zentralen DNS-Dienst5 lahm und sorgte so dafür, dass große Teile des Internets für viele NutzerInnen nicht mehr erreichbar waren (Mansfield-Devine, 2016).

Das Internet ist im Zuge seiner sozialen Integration aber nicht erst mit dem Aufkommen des IoT zu einer Quelle gesellschaftlicher Unsicherheit und zum Medium des Konfliktaustrages geworden. Während in der Frühphase des Netzes Schadsoftware noch oft von individuellen AkteurInnen aus technischer Neugier oder zur Reputationssteigerung in einer relativ kleinen (Peer-)Gruppe von HackerInnen eingesetzt wurde, gehen aktuelle Schätzungen davon aus, dass (organisierte) Cyberkriminalität weltweit jährlich Schäden in Höhe von bis zu 600 Milliarden US-Dollar verursacht (McAfee und CSIS, 2018, S. 4). Die Geschäftsmodelle reichen dabei vom Handel mit illegalen Gütern wie Waffen oder Drogen im Darknet, über den massenhaften Versand von Spam- und (Spear)Phishingmails, bis zur Verbreitung von Erpressungstrojanern (Ransomware), die die Geräte der Opfer verschlüsseln und nur gegen Lösegeldzahlung wieder zugänglich machen.

Es sind aber nicht nur Kriminelle, die die neuen Verwundbarkeiten der digitalen Gesellschaft ausnutzen. Auch politische Konflikte finden Widerhall im Netz. Die Bandbreite angreifender AkteurInnen ist dabei ebenso zahl- und facettenreich wie die verschiedenen Angriffsmöglichkeiten. Politisch motivierte nichtstaatliche Hacktivists nutzen das Netz, um durch öffentlichkeitswirksame Aktionen, wie bspw. (D)DoS-Angriffe oder die Veröffentlichung gestohlener Dokumente (doxing), ein größeres Publikum auf ihre Anliegen aufmerksam zu machen (Karatzogianni, 2015; Sauter, 2014). Terrororganisationen greifen auf Cyberangriffe zurück, um bspw. Finanzmittel zu generieren oder propagandistische Botschaften zu verbreiten (Schweitzer, Siboni und Yogev, 2013). Regierungen erweitern und komplementieren durch Cyberangriffe ihr außen- und sicherheitspolitisches Handlungsrepertoire. Die Möglichkeiten reichen dabei von umfassenden Spionageaktivitäten gegen Staaten, Unternehmen und gesellschaftliche Akteure – wie sie bspw. durch die Snowden-Enthüllungen 2013 aufgedeckt wurden – über kinetisch folgenreiche Angriffe – etwa zur Unterminierung des iranischen Nuklearwaffenprogramms durch den Wurm Stuxnet – bis zur Verschränkung konventioneller Kriegführung mit Cyberangriffen – bspw. im Zuge des Kaukasuskrieges 2008. BeobachterInnen gehen davon aus, dass in zukünftigen Konflikten mit einer zunehmenden Verknüpfung von konventionellen Mitteln des Konfliktaustrags, Cyberangriffen und Maßnahmen zur Informationsmanipulation zu rechnen ist (Libicki, 2017). Regierungen delegieren Angriffe dabei mitunter an nichtstaatliche Akteure (sog. Proxies), um die eigene Urheberschaft systematisch abstreiten zu können (Maurer, 2018).

Diese Ausdifferenzierung auf der Akteursseite ist mit einer qualitativen Weiterentwicklung der Cyberangriffe und der quantitativen Zunahme von Vorfällen verbunden. War Malware in der Frühphase der Netzentwicklung noch häufig Analogon zum konventionellen Scherzartikel, ist Schadsoftware heute meist deutlich komplexer und potenziell folgenreicher. Möglich wird der Einsatz von Schadsoftware durch die zahlreichen Sicherheitslücken (vulnerabilities), die in Hard- als auch Software vorhanden sind und die teilweise durch AngreiferInnen gezielt ausnutzbar sind (exploits). Da die Anforderungen an Funktionalität und Interoperationalität von IT immer anspruchsvoller werden, wächst auch deren Fehleranfälligkeit (Gaycken, 2011).

Sicherheitspolitik wird zudem durch die Globalität des Internets und die technischen Charakteristiken vor neue Herausforderungen gestellt (bspw. durch das Attribtutionsproblem). Diese Situation hat aber nicht nur dazu geführt, dass Staaten neue regulatorische Maßnahmen zum Umgang mit Cybersicherheit ergriffen haben, auch wissenschaftlich erfährt die Thematik zunehmend Aufmerksamkeit:

Der Fokus auf die offensiven Cybersicherheitspolitiken ist angebracht, da diese national wie international besonders umstritten sind und wissenschaftlich bisher vergleichsweise wenig Aufmerksamkeit erfahren haben. International konnte im Rahmen einer Group of Governmental Experts der UN (UN GGE) zwar Einigkeit darüber erzielt werden, dass völkerrechtliche Regelungen und insbesondere die Charta der Vereinten Nationen prinzipiell auf den Cyberspace übertragbar sind (United Nations, 2013b), was das konkret bedeutet, ist aber nach wie vor unklar. So scheiterte im Jahr 2017 die letzte UN GGE. Zentraler Streitpunkt war dabei offenbar die Bedeutung des Selbstverteidigungsrechts im Cyberspace (Henriksen, 2019). Aber nicht nur bei der militärischen Nutzung des Internets besteht Unsicherheit. Die Snowden-Enthüllungen haben ferner gezeigt, dass Cyberangriffe zur Informationsgewinnung auch gegen befreundete Staaten eingesetzt werden (Spiegel, 2014b). Im Bereich des Strafrechts konnte zwar relativ schnell geklärt werden, was als unangemessenes Verhalten gewertet werden soll. International konnten mit der Convention on Cybercrime im Rahmen des Europarates auch strafrechtliche Regelungen harmonisiert werden. Domestisch ist aber nach wie vor umstritten, wann und in welchem Umfang staatliche Ermittlungsbehörden IT-Sicherheit unterminieren sollten (Roggan, 2018).

Das Internet als sicherheitspolitischer Handlungsraum mit globaler Architektur und universellen Protokollen, die nicht primär auf Sicherheitserwägungen fußen (s. Kapitel 2.4.1), stellt staatliche Praktiken vor besondere Herausforderungen. Denn einerseits wird die Trennung zwischen innerer und äußerer Sicherheit im globalen Netz problematisch, da Pakete stets auch über Knoten im Ausland geleitet werden können und andererseits befinden sich zentrale Infrastrukturen nicht in staatlicher Hand. Gleichzeitig ist das Netz mittlerweile für das Funktionieren nahezu aller bedeutenden gesellschaftlichen Infrastrukturen in Industriestaaten essenziell. Verkehrsleitsysteme können ebenso digital gesteuert werden wie die Wasser- oder Energieversorgung. Das Internet ist damit nicht nur selbst zu einer zentralen gesellschaftlichen Infrastruktur geworden. Es ist vielmehr zu der Infrastruktur geworden, von deren Funktionieren zahlreiche andere Infrastrukturen abhängen: »the Internet has become a backbone of backbones« (Choucri, 2012, S. 151).

Eindrückliche Vorfälle in jüngerer Vergangenheit haben offengelegt, dass diese Verwundbarkeiten auch praktisch nutzbar sind bzw. bereits genutzt werden. In der Ukraine verursachte ein Cyberangriff im Dezember 2016 einen kurzfristigen Stromausfall von dem mehr als 200.000 BürgerInnen betroffen waren (Wired, 2016). Die rasche Verbreitung des Wurms WannaCry im Mai 2017 traf unter anderem das britische Gesundheitssystem (National Health System (NHS)) und hatte zur Folge, dass Krankenhäuser ihre PatientInnen nicht mehr planmäßig versorgen konnten (National Audit Office, 2018).8

Ein Angriff auf das Netz und insbesondere kritische Infrastrukturen kann für Gesellschaften dabei potenziell verheerende (kaskadierende) Folgen haben. Diese neue Verwundbarkeit hat Hollywoodfilme wie Stirb Langsam 4.0 schon früh dazu inspiriert, den digitalen Knockout vernetzter Gesellschaften auszumalen und auch in der (populär)wissenschaftlichen Auseinandersetzung mit der Thematik wird immer wieder mit Szenarien folgenschwerer Cyberangriffe argumentiert. Auch wenn es empirisch noch keine Vorfälle mit derart gravierenden Effekten gegeben hat. In Anbetracht der bisher kinetisch zumeist folgenlosen Cyberangriffe ist ein beständiges Skizzieren von Worst-Case-Szenarien kritisch hinterfragt worden (Dunn Cavelty, 2013; Schünemann und Steiger, 2019).

Aber auch wenn sich Horrorszenarien von kinetisch folgenreichen Cyberangriffen bisher nicht realisiert haben, haben Regierungen die wachsende Angriffsfläche zum Anlass genommen neue regulatorische Maßnahmen zu ergreifen, um mit den Risiken im Cyberspace umzugehen. Das Netz und die mit ihm verbundene Perzeption neuer Herausforderungen hat dementsprechend seit Ende der 1990er Jahre zentrale Bedeutung in sicherheitspolitischen Dokumenten erlangt. Sichtbarer Ausdruck sind unter anderem die Cybersicherheitsstrategien, die mittlerweile von zahlreichen Industrienationen ausgearbeitet und implementiert wurden (Bundesministerium des Innern, 2011; Cabinet Office, 2009). Auch in Deutschland und Großbritannien9 haben die Regierungen dieses Problem adressiert und neue Kapazitäten zur offensiven Nutzung des Netzes aufgebaut.

Die Lektüre dieser Dokumente zeigt, dass sich staatliche Sicherheitspolitik in diesem Feld mit unterschiedlichen Spannungen konfrontiert sieht. Einerseits sind die Regierungen daran interessiert, das Netz als Wirtschaftsraum und IT als Mittel der Effizienzsteigerung möglichst umfassend zu nutzen. Sie sind aus dieser Warte an einem sicheren Cyberspace interessiert, der den Wirtschaftssubjekten nicht durch Unsicherheit die Bereitschaft zur Investition oder zum Handeln allgemein nimmt. Ferner fördern demokratische Regierungen die Nutzung des Internets zur freien Verbreitung von Informationen oder zur vertraulichen Kommunikation. Andererseits sehen Regierungen im Netz aber auch ein Mittel, mit dem klassische sicherheitspolitische Ziele erreicht werden können. Hierzu ist es aber mitunter nötig, IT-Sicherheit zu unterminieren, bspw. dann, wenn es darum geht, Kriminelle abzuhören, nachrichtendienstliche Aufklärung zu betreiben oder die Infrastruktur gegnerischer Staaten im Konfliktfall zu unterminieren. Durch die Geheimhaltung und Nutzung von Sicherheitslücken wird der Staat so selbst zum Akteur, der IT-Unsicherheit schafft (Nissenbaum, 2005).

Die Cybersicherheitspolitiken stehen damit potenziell in Spannung mit dem Erhalt bzw. der Förderung volkswirtschaftlichen Wohlstands und der Gewährleistung demokratischer Freiheitsrechte. Beim Einsatz zumeist klandestiner Cyberoperationen stellt sich ferner die Frage, wie Exekutiven demokratisch kontrolliert werden können. Als globaler Handlungsraum stellt der Cyberspace damit nicht nur die internationalen Beziehungen vor Herausforderungen, sondern auch die domestischen Verhältnisse zwischen Regierungen, Parlamenten, Judikativen, Unternehmen, VertreterInnen der Zivilgesellschaft sowie BürgerInnen. Die Analyse von Cybersicherheitspolitiken ist somit empirisch nicht nur aufgrund der zunehmenden Vernetzung, der damit einhergehenden gesellschaftlichen Verwundbarkeit und der Zunahme qualitativ hochwertiger Angriffe relevant, sondern auch, weil sie zentrale demokratische und wirtschaftliche Abwägungen erfordern und damit soziale Relationen domestisch wie international berühren.

Die Regierungen haben ihre Cybersicherheitspolitiken dabei in unterschiedlichen Handlungsfeldern definiert. Das Untersuchungsinteresse dieser Studie bezieht sich konkret auf die Politikentwicklung in drei zentralen Bereichen. Erstens auf den Kontext der Strafverfolgung. Zur Regulation krimineller Handlungen haben die Regierungen explizite Regelungen akzeptablen Verhaltens etabliert und diese in ihre nationalen Strafrechtsordnungen integriert. Teilweise wurden diese auch auf internationaler Ebene harmonisiert. Im Kontext der polizeilichen Ermittlungspraktiken haben die Exekutiven in diesem Zusammenhang aber auch selbst Maßnahmen ergriffen, die die IT-Sicherheit unterminieren. Diese Praktiken wurden in den Strafprozessordnungen kodifiziert. Zweitens auf den Bereich der Nachrichtendienste. Die Snowden-Enthüllungen 2013 haben gezeigt, dass auch Demokratien das Netz umfassend zur Informationsgewinnung im Ausland nutzen (Signals Intelligence). Internationale (Cyber)Spionage ist rechtlich jedoch nicht reguliert. Was als akzeptables staatliches Verhalten gilt, ist folglich nicht expliziert, sondern ggf. nur aus etablierten Praktiken internationalen Rechts ableitbar (Buchan, 2016, 2019). Drittens auf die militärische Nutzung des Netzes. Regierungen haben sukzessive damit begonnen, militärische Cyberkapazitäten aufzubauen (Lewis und Neuneck, 2013). Abgesehen vom Konsens, dass internationales Recht und insbesondere die Charta der Vereinten Nationen prinzipiell auf den Cyberspace übertragbar ist (United Nations, 2013b), ist jedoch auch in diesem Kontext, das staatliche Verhalten weitgehend unreguliert.

Die drei Untersuchungsbereiche zeichnen sich damit durch unterschiedliche Akteurskonstellationen und Regelungsarrangements aus. Sie betreffen auch in unterschiedlicher Weise die internationalen Beziehungen sowie das Verhältnis zwischen domestischen AkteurInnen.

Zudem ist die Untersuchung theoretisch relevant, da mit dem Netz als sicherheitspolitischem Handlungsfeld neue theor...