Streitkräfteeinsatz zur Verteidigung gegen Cyberangriffe [1 ed.] 9783428558308, 9783428158300

Citation preview

Das Recht der inneren und äußeren Sicherheit

Band 11

Streitkräfteeinsatz zur Verteidigung gegen Cyberangriffe Von

Maximilian L. Knoll

Duncker & Humblot · Berlin

MAXIMILIAN L. KNOLL

Streitkräfteeinsatz zur Verteidigung gegen Cyberangriffe

Das Recht der inneren und äußeren Sicherheit Herausgegeben von Prof. Dr. Dr. Markus Thiel, Köln

Band 11

Streitkräfteeinsatz zur Verteidigung gegen Cyberangriffe

Von

Maximilian L. Knoll

Duncker & Humblot · Berlin

Die Juristische Fakultät der Universität Passau hat diese Arbeit im Jahr 2019 als Dissertation angenommen.

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

D 739 Alle Rechte vorbehalten

© 2020 Duncker & Humblot GmbH, Berlin Satz: L101 Mediengestaltung, Fürstenwalde Druck: CPI buchbücher.de GmbH, Birkach Printed in Germany ISSN 2199-3475 ISBN 978-3-428-15830-0 (Print) ISBN 978-3-428-55830-8 (E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706

Internet: http://www.duncker-humblot.de

Meinen Eltern

Respice finem! 

Vorwort und Danksagung Die vorliegende Dissertation wurde im Sommersemester 2019 an der Juristischen Fakultät der Universität Passau als Dissertation angenommen. Tag der Disputation war der 21. Juni 2019. Eine Reihe von Personen waren auf dem Weg hierher wesentlich, weshalb ich ihnen im Folgenden gleichermaßen Dank und Anerkennung aussprechen möchte. Ein herzlicher Dank gebührt in erster Linie meinem Doktorvater Prof. Dr. Meinhard Schröder. Er ließ mir nicht nur im Zusammenhang mit der Erstellung des Werkes, sondern auch bei der Ausgestaltung des Betreuungsverhältnisses weitgehend freie Hand, gleichwohl war er bei Bedarf stets ein äußerst konstruktiver Gesprächspartner. Daneben bin ich Prof. Dr. Hans-Georg Dederer zu Dank verpflichtet, der ebenso rasch wie unbürokratisch das ­ Zweitgutachten erstellte. Die Aufnahme in die Schriftenreihe „Das Recht der inneren und äußeren Sicherheit“ erfüllt mich gleichermaßen mit Stolz und Dankbarkeit. Letztere gebührt dem Herausgeber der Reihe, Prof. Dr. Dr. Markus Thiel. Für die Gewährleistung der unabdingbaren geistigen Freiheit ist zu einem nicht unwesentlichen Teil die Konrad-Adenauer-Stiftung verantwortlich, von der ich als Promotionsstipendiat aufgenommen und während der Bearbeitung finanziell unterstützt wurde. Hierfür bin ich ihr zu Dank verpflichtet, was einschließt, ihr ideell verbunden zu bleiben. Nicht hinwegzudenken für die Realisierung des Projekts in der vorliegenden Gestalt ist mein engstes familiäres und privates Umfeld, dem ich für die fortwährende Unterstützung danke und das ich – im Lichte des vollendeten Werkes – bitte, mir die eine oder andere Verstimmung nachzusehen. Berlin, im Februar 2020

Maximilian L. Knoll

Inhaltsverzeichnis Einführung und Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Die sicherheitspolitische Ausgangslage . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Einführung in die Fragestellung und Relevanz der Thematik . . . . . . . . . . III. Erkenntnisinteresse  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kapitel (1): Die Bedrohungslage im und aus dem digitalen Raum . . . . . Kapitel (2): Status quo der Sicherheitsarchitektur mit Fokus auf den digitalen Raum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kapitel (3): Die Verwendung der Streitkräfte zur Verteidigung im digitalen Raum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kapitel (4): Inhalt und Ablauf der Verteidigung . . . . . . . . . . . . . . . . . . . . V. Neue wissenschaftliche Erkenntnisse  . . . . . . . . . . . . . . . . . . . . . . . . . . . .

19 19 20 22 22 22 23 24 26 27

Kapitel 1

Die Bedrohungslage im und aus dem digitalen Raum 

A. Der Cyberraum als Ort von Auseinandersetzungen  . . . . . . . . . . . . . . . . . . . . I. Der Cyberraum – Ein Raum ohne Grenzen? . . . . . . . . . . . . . . . . . . . . . . . 1. Begriffliche Abgrenzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Cyber-, digitaler und analoger Raum  . . . . . . . . . . . . . . . . . . . . . . . b) Aufschlüsselung des Cyber-Raums – Was umfasst die Informa­ tionstechnik? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) (Computer-)Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) Eingebettete Systeme  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Rückkopplung in die analoge Welt  . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Vermeintliche Flüchtigkeit des Cyberraums . . . . . . . . . . . . . . . . . . b) Klare Bezugspunkte im analogen Raum . . . . . . . . . . . . . . . . . . . . . 3. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Kategorisierung der Auseinandersetzungen im Cyberraum . . . . . . . . . . . . 1. Cyber-War, Cyber-Terrorismus und Cyber-Kriminalität . . . . . . . . . . . . a) Cyber-War – Ein Krieg im klassischen Sinne? . . . . . . . . . . . . . . . . aa) Krieg als Begriff im Grundgesetz . . . . . . . . . . . . . . . . . . . . . . bb) Die Begrifflichkeit Krieg und das kodifizierte Völkerrecht  . . cc) Verständnis des sogenannten Cyberwars  . . . . . . . . . . . . . . . . dd) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

28 29 30 30 31 31 32 32 33 34 34 35 36 37 37 37 38 40 41 43

10 Inhaltsverzeichnis b) Cyber-Terrorismus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 c) Cyber-Kriminalität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 2. Computernetzwerkoperationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 a) Cyber-Angriff    . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 b) Cyber-Intrusion  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 c) Auf den Cyberraum abzielende Informationsoperationen  . . . . . . . 49 aa) Vom Mittel zur Aufklärung zur modernen Desinformationskampagne  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 bb) Begriffliches Verständnis  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 cc) Betrachtungsgegenstand im Rahmen des Sammelbegriffs Informationsoperationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 d) Cyber-Exploitation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 e) Zwischenergebnis zu den Computernetzwerkoperationen  . . . . . . . 59 3. Mischphänomene: „Hybride Konflikte“ und „Hybride Kriegs­ führung“  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 a) Verwischung der Grenze zwischen Krieg und Frieden . . . . . . . . . . 60 b) Kombination des Einsatzes verschiedener Mittel und Methoden  . 60 c) Die Rolle der Computernetzwerkoperationen im Rahmen der hybriden Kriegsführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 d) Rechtliche Einordnung und Zwischenergebnis  . . . . . . . . . . . . . . . 63 B. Gegenstand und Durchführung von Computernetzwerkoperationen . . . . . . . . 63 I. Ziele und Methoden der Angriffe  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 1. Nichtverfügbarkeit von Diensten und Anlagen  . . . . . . . . . . . . . . . . . . 64 a) Angriffsziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 b) Methoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 aa) Überlastung des Zielsystems  . . . . . . . . . . . . . . . . . . . . . . . . . . 65 bb) Schadsoftware und Ransomsoftware . . . . . . . . . . . . . . . . . . . . 68 (1) Vielfalt der Schadprogramme . . . . . . . . . . . . . . . . . . . . . . 69 (a) Viren  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 (b) Würmer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 (c) Trojaner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 (d) Logische Bomben . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 (2) Einschleusung von Schadsoftware  . . . . . . . . . . . . . . . . . . 71 (a) (Spear-)Phishing  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 (b) Backdoor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 2. Beschädigung und Zerstörung  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 3. Informationsunterdrückung, -verbreitung und Falschinformation . . . . 75 a) Angriffsziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 b) Methoden  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 aa) Website-Defacement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 bb) False Amplifiers und Social Bots in sozialen Netzwerken . . . 76 cc) Überlastung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 dd) Schadprogramme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 c) Einzelbeispiele   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Inhaltsverzeichnis11 4. Informationsbeschaffung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Bandbreite und Absicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Angriffsziele und Methoden  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Einzelbeispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Fremdsteuerung  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Klassifizierung und Zwischenergebnis  . . . . . . . . . . . . . . . . . . . . . . . . . II. Die Protagonisten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Staatliche Akteure  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Nichtstaatliche Akteure  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C. Ergebnis zur Bedrohungslage  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

82 82 82 83 85 86 87 87 89 90

Kapitel 2

Status quo der Sicherheitsarchitektur mit Fokus auf den digitalen Raum 

93

A. Der zivile Arm der Sicherheitsarchitektur  . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 I. Polizeien  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 1. Landespolizei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 a) Räumlicher Tätigkeitsbereich im digitalen Raum . . . . . . . . . . . . . . 97 b) Gefahrenabwehr im digitalen Raum . . . . . . . . . . . . . . . . . . . . . . . . 99 2. Polizeibehörden des Bundes  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 a) Bundeskriminalamt  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 aa) Erweiterte Zuständigkeit im Bereich der Strafverfolgung von Computerkriminalität  . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 bb) Cyberterrorismus nunmehr Gegenstand der Gefahrenabwehr/ Straftatenverhütung  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 b) Bundespolizei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 aa) Sicherung der physischen Bundesgrenzen  . . . . . . . . . . . . . . . 106 bb) Schutz der Verfassungsorgane – auch im digitalen Raum? . . . 107 cc) Ausgewählte Einsatzmöglichkeit in Notlagen  . . . . . . . . . . . . 110 dd) Einsatz über die Landesgrenzen hinaus . . . . . . . . . . . . . . . . . . 110 c) Polizei beim Deutschen Bundestag  . . . . . . . . . . . . . . . . . . . . . . . . 112 II. Nachrichtendienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 1. Bundesamt für Verfassungsschutz (BfV) . . . . . . . . . . . . . . . . . . . . . . . . 116 a) Beobachtungsauftrag nach innen . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 b) Gesetzliche Anpassung an die Sicherheitslage . . . . . . . . . . . . . . . . 118 aa) Ausbau der Zentralstellenfunktion für den Cyberraum  . . . . . 118 bb) Erweiterung der Fernmeldeaufklärung auf Computer­ straftaten  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 2. Bundesnachrichtendienst (BND) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 a) Umfassender Beobachtungsauftrag nach außen . . . . . . . . . . . . . . . 120 b) Gesetzgeberische Reaktion auf die doppelte Entgrenzung  . . . . . . 121

12 Inhaltsverzeichnis III. Bundesamt für Sicherheit in der Informationstechnologie . . . . . . . . . . . . 123 1. Mobile Incident Response Teams (MIRTs) . . . . . . . . . . . . . . . . . . . . . . 124 2. Computer Emergency Response Teams (CERT) . . . . . . . . . . . . . . . . . . 124 IV. Sonstige Einrichtungen mit thematischem Bezug   . . . . . . . . . . . . . . . . . . 125 1. Bundesebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 a) Nationales Cyber-Abwehrzentrum (NCAZ) . . . . . . . . . . . . . . . . . . 125 b) Nationaler Cyber-Sicherheitsrat . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 c) Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 d) Agentur für Innovation in der Cybersicherheit . . . . . . . . . . . . . . . . 128 2. Landesebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 V. Gemeinsame Erkenntnisse aus den Zuständigkeiten der zivilen Sicherheitsbehörden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 1. Mit Blick auf die Zuständigkeitsverteilung: Verlagerung auf den Bund, im Kern jedoch Ländersache . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 2. Mit Blick auf die Bundesbehörden: Eingeschränkt einsatzfähig im digitalen Raum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 3. Mit Blick auf den Einsatzraum: Beschränkung auf das Staatsgebiet der Bundesrepublik Deutschland  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 B. Die Streitkräfte  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 I. Der Einsatz als die zentrale Begrifflichkeit zur Verwendung der Streitkräfte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 1. Der Einsatz als Auslöser des Parlamentsvorbehalts   . . . . . . . . . . . . . . 132 2. Der Einsatzbegriff als Begrenzung der inländischen Verwendung der Streitkräfte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 a) Das eingriffsrechtliche Element – Grundrechtsbetroffenheit durch das spezifisch „Militärische“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 b) Das föderale Element – Wahrung der Länderhoheit . . . . . . . . . . . . 135 3. Der Cyberangriff als Herausforderung für beide Dimensionen des Einsatzbegriffs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 II. Die einzelnen Verwendungsmöglichkeiten der Streitkräfte  . . . . . . . . . . . 137 1. Die Verwendung der Streitkräfte zur Verteidigung im Aus- und Inland   . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 2. Die Verwendung der Streitkräfte im Ausland im Übrigen  . . . . . . . . . 139 3. Die Verwendung der Streitkräfte im Innern . . . . . . . . . . . . . . . . . . . . . 140 a) Amtshilfe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 b) Regionale und überregionale Ausnahmesituation . . . . . . . . . . . . . . 140 c) Qualifizierter innerer Notstand . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 III. Thematisch relevante Komponenten der Streitkräfte . . . . . . . . . . . . . . . . . 142 1. Bundeswehr und Streitkräfte, zwei synonym zu verwendende ­Begriffe? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 2. Kommando Cyber- und Informationsraum (CIR) . . . . . . . . . . . . . . . . . 143 3. Militärischer Abschirmdienst (MAD) . . . . . . . . . . . . . . . . . . . . . . . . . . 145

Inhaltsverzeichnis13 Kapitel 3

Die Verwendung der Streitkräfte zur Verteidigung im digitalen Raum 

A. Das historische Angriffsverständnis  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Wesen des Angriffs als Ausgangspunkt . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Der Ost-West-Konflikt als Keimzelle der Wehrverfassung . . . . . . . . . . . . 1. Die Bedrohungslage quo ante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Territoriale Bedrohung  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Ideologische Bedrohung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Die Bedrohungslage im Spiegel der bundesverfassungsgerichtlichen Rechtsprechung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Fortbestand trotz sich verändernder Sicherheitslage . . . . . . . . . . . . . . . III. Die konkrete Fassung des historischen Angriffsverständnisses . . . . . . . . . B. Das klassische Angriffsverständnis im Lichte des Cyberraums  . . . . . . . . . . . I. Der Mythos der Rückverfolgbarkeit im Cyberraum . . . . . . . . . . . . . . . . . 1. Begriffliche Einführung und klassische Relevanz  . . . . . . . . . . . . . . . . 2. Zwecke der Rückverfolgbarkeit  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Die (Un-)Möglichkeit der Rückverfolgung im Cyberraum . . . . . . . . . 4. Akzeptanzdefizit des Wehrenden  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Unzureichende Lösungsansätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Vermutungsregelung  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Vorsorgeprinzip  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Das spezifisch „Militärische“ – Kein Differenzierungskriterium im Cyberraum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Grundlegendes  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Traditionelles Verständnis  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Status Soldat nicht maßgebend  . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Kein wesentlicher Unterschied beim Führungs- und Entscheidungsprozess  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Die Ausrüstung als Differenzierungskriterium  . . . . . . . . . . . . . . . . 3. In Ansehung des Cyberraums . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Ergebnis zum klassischen Angriffsverständnis im Lichte des Cyberraums  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Konsequenz für die Abgrenzung der Streitkräfte zu den (Bundes-)Polizeien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Historische Abgrenzungsschwäche: Der Bundesgrenzschutz – ­Polizeieinheit oder militärischer Verbund? . . . . . . . . . . . . . . . . . . . . . . 2. Kein stichhaltiges Exklusivitätsverhältnis auf dem Boden des gesetzlichen Auftrags  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Untaugliche Abgrenzung anhand des Auftrags zur Gefahren­ abwehr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

147 148 148 149 150 151 151 152 153 153 155 155 155 157 158 161 163 164 165 167 167 167 168 168 169 170 171 172 172 173 174 174

14 Inhaltsverzeichnis b) Untaugliche Abgrenzung anhand der strafrechtlichen ­Tatbestandsmäßigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 c) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 3. Reflexion auf den Cyberraum  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik . . . 177 I. Parameter für den Einsatz zur Verteidigung  . . . . . . . . . . . . . . . . . . . . . . . 177 1. Die (Un-)Beachtlichkeit der Herkunft – Verteidigung auch im Innern? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 a) Grundgesetzlicher Ausgangspunkt des Inlandseinsatzes  . . . . . . . . 178 b) Bundesverfassungsgerichtliche Maßgaben  . . . . . . . . . . . . . . . . . . . 180 aa) Inneneinsatz bei Angriff auf die „staatliche Rechts- und Freiheitsordnung“? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 bb) Gebot der „strikten Texttreue“ – auch für Verteidigung?  . . . . 182 c) Umkehrschluss aus § 8 BPolG . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 d) Art. 87a Abs. 4 GG abschließend für den militärischen Inneneinsatz zur (Cyber-)Gefahrenabwehr? . . . . . . . . . . . . . . . . . . . . . . . . . 184 e) Bundesstaatsprinzip  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 aa) Die grundsätzliche Eigenstaatlichkeit der Länder . . . . . . . . . . 186 bb) Exot: Verteidigungsauftrag  . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 cc) Lösung vom Grundsatz bei Cyberbezug . . . . . . . . . . . . . . . . . 187 dd) Technisch-praxisbezogene Betrachtung   . . . . . . . . . . . . . . . . . 188 f) Relativierung des „Droh- und Einschüchterungspotentials“ durch die Streitkräfte im Cyberraum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 g) Zwischenergebnis  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 2. Die (Un-)Beachtlichkeit des Urhebers – Verteidigung gegen jeden?  . 190 a) Exkurs: Verhältnis nationales Recht/Völkerrecht . . . . . . . . . . . . . . 190 aa) Gegenstand des Völkerrechts . . . . . . . . . . . . . . . . . . . . . . . . . . 191 bb) Allgemeines Rangverhältnis  . . . . . . . . . . . . . . . . . . . . . . . . . . 191 cc) Besonderes, auf Verteidigung bezogenes Rangverhältnis  . . . . 193 dd) Auswirkung mangelnder Rückverfolgbarkeit  . . . . . . . . . . . . . 195 b) Die (Un-)Beachtlichkeit staatlicher Urheberschaft  . . . . . . . . . . . . 195 aa) Qualitative und quantitative Zunahme nichtstaatlicher ­Akteure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 bb) Vorhalten einer „militärähnlichen Struktur“? . . . . . . . . . . . . . . 197 cc) Verlagerung vom „Ob“ auf das „Wie“ der Verteidigung . . . . . 198 3. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 II. Die Fassung des Verteidigungsobjekts  . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 1. Verständnis in Literatur und Rechtsprechung . . . . . . . . . . . . . . . . . . . . 200 2. Verteidigung als staatliche Schutzpflicht? . . . . . . . . . . . . . . . . . . . . . . . 202 a) Herleitung der Schutzpflichten  . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 b) Erstreckung der Schutzpflicht auf den Verteidigungssektor  . . . . . 203 c) Erstreckung der Schutzpflicht auf den digitalen Raum  . . . . . . . . . 205 d) Der Staat in Ausübung seiner Schutzplicht . . . . . . . . . . . . . . . . . . . 208

Inhaltsverzeichnis15 e) Grund und Grenze eigenverantwortlichen Schutzes  . . . . . . . . . . . 208 f) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 3. Art. 87a GG als normativer Ausgangspunkt . . . . . . . . . . . . . . . . . . . . . 211 a) Art. 115a GG Bestandteil der Notstandsverfassung . . . . . . . . . . . . 211 b) Keine Deckungsgleichheit von Verteidigung und Verteidigungsfall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 c) Einzug des Verteidigungsbegriffs in das Grundgesetz . . . . . . . . . . 214 d) Ergebnis und Ausblick  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 4. Normbezogene Konkretisierung des Verteidigungsobjekts . . . . . . . . . . 215 a) Konkretisierung anhand von Art. 115a Abs. 1 GG . . . . . . . . . . . . . 215 aa) Kein Widerspruch mit dem Verhältnis zwischen Art. 87a und Art. 115a GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 bb) Konkretisierung anhand des Bundesgebiets  . . . . . . . . . . . . . . 215 b) Konkretisierung anhand von Art. 87a Abs. 3 GG  . . . . . . . . . . . . . 216 aa) Verteidigungsobjekt nur unter Vorbehalt? . . . . . . . . . . . . . . . . 217 bb) Inhaltliches Verständnis  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 5. Konkretisierung anhand grundgesetzlicher Kollektivschutzgüter  . . . . 218 a) Grundlegendes und Zweck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 aa) Bedürfnis nach Konkretisierung  . . . . . . . . . . . . . . . . . . . . . . . 218 bb) Art. 87a Abs. 4 GG als Ausschlussgrund?  . . . . . . . . . . . . . . . 219 b) Bestand des Bundes oder eines Landes . . . . . . . . . . . . . . . . . . . . . . 219 aa) Staatsgebiet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 bb) Staatsvolk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 cc) Staatsgewalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 dd) Funktionsfähigkeit des Staates  . . . . . . . . . . . . . . . . . . . . . . . . 222 c) Freiheitliche demokratische Grundordnung  . . . . . . . . . . . . . . . . . . 224 aa) Inhaltliches Verständnis  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 bb) Abgrenzung zum Bestand des Staates . . . . . . . . . . . . . . . . . . . 225 cc) Verteidigungsobjekt oder reines Organisationsprinzip?  . . . . . 226 (1) Verteidigung als Ausprägung streitbarer Demokratie?  . . 226 (2) Taugliches Angriffsobjekt?  . . . . . . . . . . . . . . . . . . . . . . . . 227 (a) Rein geistige Auflehnung gegen die bestehende Ordnung tatbestandlich für die FDGO? . . . . . . . . . . . 227 (b) Bekämpfung der FDGO auch von außen möglich?  . 229 5. Zwischenergebnis zur Fassung des Verteidigungsobjekts . . . . . . . . . . . 230 III. Die Intensität der Schutzgutbetroffenheit  . . . . . . . . . . . . . . . . . . . . . . . . . 231 1. Grundgesetzliche Herleitung  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 2. Die einzelnen Verteidigungsobjekte im Fokus . . . . . . . . . . . . . . . . . . . 232 a) Bestandsgefährdung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 aa) Die Perspektive des inneren Notstandes  . . . . . . . . . . . . . . . . . 233 bb) Das Maß der Bestandsgefährdung im einfachen Recht . . . . . . 234 b) Gefährdung der freiheitlichen demokratischen Grundordnung . . . . 235

16 Inhaltsverzeichnis 3. Bewertung der Intensität im digitalen Raum . . . . . . . . . . . . . . . . . . . . a) Analogie zur Typizität analoger Angriffe . . . . . . . . . . . . . . . . . . . . b) Allokation der Mittel und Ort der Zuständigkeit  . . . . . . . . . . . . . . aa) Tatsächliche Eignung (Haushaltsallokation)  . . . . . . . . . . . . . . bb) Rechtliche Eignung (örtliche Zuständigkeit) . . . . . . . . . . . . . . 4. Völkerrechtlicher Einfluss auf die Bewertung der Intensität . . . . . . . . a) Der Cyberraum – Regelungsgegenstand im Völkerrecht?  . . . . . . . b) Konsens im Cyberraum? – Bisher überschaubarer Erfolg . . . . . . . c) Auslegung der UN-Charta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Gewaltverbot und bewaffneter Angriff im digitalen Raum . . . (1) Verhältnis der Vorschriften zueinander . . . . . . . . . . . . . . . (2) Inhaltliches Verständnis  . . . . . . . . . . . . . . . . . . . . . . . . . . (3) Das Prinzip der Wirkungsäquivalenz . . . . . . . . . . . . . . . . . (4) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Gewalt-/Angriffsverständnis im Lichte der Zurechenbarkeit . cc) Gesamtschau von Angriffs- und Verteidigungshandlung . . . . . dd) Interventionsverbot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Zwischenergebnis zum völkerrechtlichen Einfluss auf die Inten­ sität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Subsumtion  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Kategorie der Beschädigung und Zerstörung . . . . . . . . . . . . . . . . . . . . a) Netzwerkexterne Schäden  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Exkurs: Kritische Infrastrukturen im Sinne des BSIG . . . . . . . . . . c) Netzwerkinterne Schäden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Kategorie der Nichtverfügbarkeit von Diensten und Anlagen  . . . . . . a) Belästigend für die Bevölkerung oder funktionsbeeinträchtigend für den Staat? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Wahrung des rechtlichen Regel-Ausnahme-Verhältnisses  . . . . . . . 3. Kategorie der Informationsunterdrückung, -verbreitung und Falschinformation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Potentielle Strafbarkeit auf subordinativer Ebene  . . . . . . . . . . . . . b) Intervention auf der koordinativen Ebene? . . . . . . . . . . . . . . . . . . . c) Informationskampagnen als Verteidigungsobjekt . . . . . . . . . . . . . . d) Gegenstand staatlicher Schutzpflicht . . . . . . . . . . . . . . . . . . . . . . . . 4. Kategorie der Informationsbeschaffung  . . . . . . . . . . . . . . . . . . . . . . . . a) Kein zwischenstaatliches Spionageverbot  . . . . . . . . . . . . . . . . . . . b) Spionage als Intervention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Spionage als bestandsgefährdend? . . . . . . . . . . . . . . . . . . . . . . . . . . V. Kapitelabschließende Bemerkungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

237 237 238 238 239 240 240 241 245 245 246 246 247 249 249 250 251 253 254 254 254 255 256 257 258 261 261 262 263 265 267 268 268 269 270 271

Inhaltsverzeichnis17 Kapitel 4

Inhalt und Ablauf der Verteidigung  

273

A. Inhalt und Grenzen der Verteidigung  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 I. Offensive und defensive Verteidigung im Cyberraum  . . . . . . . . . . . . . . . 273 1. Die Kategorie der defensiven Cyberfähigkeiten . . . . . . . . . . . . . . . . . . 274 2. Schwerpunkt: Gegenstand offensiver Cybermaßnahmen . . . . . . . . . . . 275 II. Die Art und Weise der Verteidigungsmaßnahme im engeren Sinne . . . . . 276 1. Maßnahmen mit physischer Wirkung . . . . . . . . . . . . . . . . . . . . . . . . . . 276 a) Konflikt mit Rückverfolgungsproblematik und dem Prinzip der Unterscheidung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 b) Praktische Konkordanz mit dem staatlichen Sicherheitsinteresse . 279 2. Sonstige Maßnahmen und Grenzen derselben  . . . . . . . . . . . . . . . . . . . 280 a) Das Gebot der Verhältnismäßigkeit . . . . . . . . . . . . . . . . . . . . . . . . . 280 b) Herausforderungen an das Unterscheidungsprinzip . . . . . . . . . . . . 281 c) Verbot des Angriffskrieges  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 B. Die Streitkräfte im digitalen Raum im Lichte des Parlamentsvorbehalts . . . . 284 I. Einführung und Abgrenzung  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 II. Grundsätzliche Maßgaben nach dem ParlBG . . . . . . . . . . . . . . . . . . . . . . 285 1. Territorialer Maßstab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 2. Weniger Bewaffnung als Zweck des Einsatzes entscheidend  . . . . . . . 285 3. Grundsatz der vorherigen Zustimmung . . . . . . . . . . . . . . . . . . . . . . . . . 286 III. Anwendbarkeit und Zweckmäßigkeit des Parlamentsvorbehalts im digitalen Raum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 1. Anwendbarkeit  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 a) Maßstab: Ort der militärischen Erfolgsverwirklichung  . . . . . . . . . 287 b) Unbeachtlichkeit des konkreten Einsatzmittels  . . . . . . . . . . . . . . . 288 2. Zweckdienlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 a) Einsatzbeginn  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 b) Zeitmoment  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 3. De lege ferenda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 C. Einsatz zur Verteidigung im Innern im Konflikt mit dem „Trennungsgebot“? . 293 I. Trennung von Nachrichtendiensten und Polizei  . . . . . . . . . . . . . . . . . . . . 294 1. Verfassungsrang des „Trennungsgebots“  . . . . . . . . . . . . . . . . . . . . . . . 296 a) Der „Polizei-Brief“  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 b) Normativer Ursprung im Grundgesetz  . . . . . . . . . . . . . . . . . . . . . . 298 c) Herleitung aus dem Rechtsstaatsprinzip . . . . . . . . . . . . . . . . . . . . . 300 d) Recht auf informationelle Selbstbestimmung . . . . . . . . . . . . . . . . . 301 2. Ergebnis zur verfassungsrechtlichen Verankerung des „Trennungs­ gebots“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 II. Konsequenz für etwaige Informationsbeschaffungen durch die Streitkräfte  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303

18 Inhaltsverzeichnis 1. Hinreichende informationelle Trennung im Nationalen CyberAbwehrzentrum? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Hürde bei der Erstellung eines Cyber-Lagebildes  . . . . . . . . . . . . . . . . 3. Verteidigungsauftrag als Legitimation zur Informationsgewinnung? . . 4. Klarstellende Ergänzung im Wehrverfassungsrecht?  . . . . . . . . . . . . . .

303 304 305 305

Schlussbetrachtung  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 Sachverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330

Einführung und Gang der Untersuchung I. Die sicherheitspolitische Ausgangslage Die Weltordnung, wie sie sich derzeit darstellt, verdient das Wort „Ordnung“ im eigentlichen Sinne nur bedingt. Sie hat mit der zum Ende des Kalten Krieges bestehenden Lage nur noch insoweit etwas gemeinsam, als sich die militärischen Konflikte der Gegenwart zunehmend als solche offenbaren, bei denen sich die einstigen Blöcke wiederum (mittelbar) gegenüberstehen, mindestens aber ihre Interessen projizieren. Von einer Renaissance des Kalten Krieges zu sprechen wäre gleichwohl verkürzt, nicht zuletzt, weil es der (wieder) erstarkenden und auf ubiquitären Einfluss zielenden Großmacht China nicht gerecht würde. Die provozierende These von Francis Fukuyama, wonach sich mit dem Fall der Sowjetunion die Demokratie nun abschließend durchgesetzt habe,1 sieht sich angesichts der Bündelung klassischer staatlicher Machtinstrumente (natürliche, wirtschaftliche und militärische Ressourcen) in den Händen maximal bedingt demokratisch verfasster, mitunter aber gleichzeitig wirtschaftlich prosperierender Staaten sowie der horizontal hierzu verlaufenden Nutzung des Cyber- und Informationsraums herausgefordert. Wenn dabei von multipolarer Weltordnung gesprochen wird, dann ist der Cyber- und Informationsraum gleichzeitig als ein Grund und eine Ausprägung derselben anzuführen. Sein Potential verhält sich zu dieser neuen, multipolaren Weltordnung geradezu komplementär. Weder konnte jemals zuvor mit vergleichbar geringem Einsatz von Ressourcen ein derart hoher Wirkungsgrad erzielt werden, noch war es denkbar, dass sich Verantwortlichkeit und Haftbarkeit (im weiteren Sinne) bis zur Unkenntnis voneinander trennen lassen. Vor allem das Gewaltmonopol des Staates ist im Kern herausgefordert, wenn Angriffe ohne nennenswerte finanzielle Ressourcen von jedem vernetzten Ort der Welt, auf jeden vernetzten Ort der Welt unter Verschleierung der eigenen Identität durchgeführt werden können.

1  Rezipiert von Williams/Sullivan/Matthews, Francis Fukuyama and the end of history, 2016, S. 87 f.

20

Einführung und Gang der Untersuchung

II. Einführung in die Fragestellung und Relevanz der Thematik Die Begleiterscheinungen unserer in sämtlichen Facetten des täglichen Privat- und Wirtschaftslebens sowie in staatlicher Hinsicht zunehmend vernetzten Welt sind vermehrt sowohl Regelungsgegenstand in Gesetzen und Verordnungen als auch Anlass für die Anpassung staatlicher Institutionen. Parallel dazu hat das Bundesverfassungsgericht bekräftigt, dass grundrechtliche Freiheiten in den digitalen Raum hineinwirken und damit Gegenstand staatlicher Schutzverpflichtung sind.2 Von dieser anlassbezogenen Um- und Neustrukturierung werden auch die Streitkräfte als staatliche Organisationseinheit nicht ausgenommen, sondern mit der Einrichtung von Computer Emergency Response Teams sowie im Wege der Aufstellung eines militärischen Organisationsbereichs für den Cyber- und Informationsraum als sechste Teilstreitkraft seit dem 5. April 20173 strukturell auf die sicherheitspolitischen Herausforderungen der Digitalisierung eingestellt. In diesem Zusammenhang betonten staatliche Entscheidungsträger, dass einerseits weder eine Differenzierung in Krieg und Frieden, noch eine solche in Äußere und Innere Sicherheit im Zeitalter der sogenannten Cyber-Bedrohungen bzw. Cyber-Kriegsführung möglich sei, andererseits, Verteidigung sich auch auf den Cyberraum erstrecke und die Freiheit der Bundesrepublik Deutschland auch in diesem verteidigt würde.4 Gleichwohl ist völlig ungeklärt, ob und inwieweit Militär zur Verteidigung gegen unter2  Siehe hierzu BVerfGE 120, 274, 319; dazu auch Johannes/Roßnagel, Der Rechtsrahmen für einen Rechtsrahmen der Grundrechte in der digitalen Welt, S. 18 ff. 3  Tag der Indienststellung; Verantwortlich für den Aufbau war der Aufbaustab CIR im Bundesverteidigungsministerium im Zuge des Tagesbefehls der Bundesverteidigungsministerin v. 17. September 2015, abrufbar unter: https://www.bmvg.de/de/ aktuelles/projekt-von-herausragender-bedeutung-11458. 4  Vgl. Ministerin von der Leyen bei der Vorstellung des aktuellen Weißbuchs zur Sicherheitspolitik und Zukunft der Bundeswehr im Jahr 2016, Zitat abrufbar unter: http://www.deutschlandfunk.de/bundeswehr-offensive-im-cyberwar.684.de.html?dram: article_id=360331. Die ehemalige Staatssekretärin des BMVg Suder (Verantwortungsbereich Planung, Ausrüstung, Informationstechnik und Nutzung) sagte auf der Koblenzer IT-Tagung zum Thema „Das neue digitale Gefechtsfeld – Auswirkungen auf Sicherheit und Souveränität“ am 07.09.2017, an der auch der Autor teilgenommen hat, dass der Staat nicht nur politisch, sondern auch digital aktiv handeln können müsse. Beachtlich ist auch der Satz „Deutschlands Sicherheit wird auch im Cyberraum verteidigt. Mach, was wirklich zählt“, der Gegenstand einer Werbekampagne der Bundeswehr beginnend im Jahr 2016 war, um der im Zuge der Aussetzung der Wehrpflicht andauernden Personalnot zu begegnen; das Weißbuch zur Sicherheitspolitik und Zukunft der Bundeswehr aus dem Jahr 2016 verweist zudem auf die Verteidigung von Cyberangriffen mit „offensive[n] Hochwertfähigkeiten“ (S. 93); siehe auch den Tagesbefehl vom 17.9.2015, in dem die Ministerin statuiert, dass die Bun-



Einführung und Gang der Untersuchung21

schiedliche Formen digitaler Angriffe auf die Bundesrepublik Deutschland eingesetzt werden darf und wo hierbei die Kompetenzlinien zwischen allgemeinem Gefahrenabwehrrecht als Bestandteil originär polizeilicher Zuständigkeit und Verteidigung als ausschließlich militärische Zuständigkeit verlaufen.5 Es entsteht der Eindruck, als würden zwar Strukturen geschaffen, tatsächliche und rechtliche Fragen aber nur unzureichend beantwortet oder ganz außen vorgelassen werden. Die Notwendigkeit, die Verwendung der Streitkräfte zur Verteidigung von den Aufgaben anderer Sicherheitsbehörden abzugrenzen, erschließt sich nicht ohne weiteres und mag zunächst als redundant aufgefasst werden. Gleichwohl ist dies die Konsequenz aus der Bedrohungslage im Cyberraum, die sich nicht vergleichbar des analogen Raumes anhand von eher plakativen Merkmalen einem bestimmten Aufgabenträger zuordnen lässt. So lässt sich im analogen Raum typischerweise anhand der spezifischen Form der Bewaffnung eine Zuordnung der Zuständigkeit vornehmen. Wenn der Einsatz von – typischerweise dem Militär vorbehaltenen – Waffen dann auch noch von einem anderen Staat auf Befehl der jeweiligen politischen Führung ausgeht, erschiene eine Diskussion über die behördliche Aufgabenzuweisung gar überflüssig und wäre es im Ergebnis auch, ganz unabhängig davon, dass es eine klassische Kriegserklärung als formales Abgrenzungskriterium nicht mehr gibt. Sind die eingesetzten Medien und Mittel dagegen weder dem Militär und damit typischerweise staatlicher Kernkompetenz vorbehalten, lässt sich der Einsatz und die Zielrichtung der Attacke gleichsam unter einen Straftatbestand des StGB subsumieren und ist insbesondere eine Rückverfolgung nur eingeschränkt oder aber nicht einmal ansatzweise möglich, eröffnen sich plötzlich Fragen nach der behördlichen Zuordnung. Wenn dann das Grundgesetz, wie in Art. 73 Abs. 1 Nr. 1 und 87a GG für die Verteidigung, die entsprechende Aufgabenzuweisung explizit dem Bund und hier den Streitkräften zuweist, also von einer gemeinsamen Kompetenz bzw. Zuständigkeit von Bund und Ländern sowohl in formeller als auch materieller Hinsicht absieht, drängt sich eine inhaltliche Auseinandersetzung mit dem Gegenstand von Verteidigung und damit einhergehend die Abgrenzung zu anderen Sicherheitsbehörden geradezu auf. Erschwerend kommt hinzu, dass das Grundgedeswehr „zur erfolgreichen Operationsführung im gesamten Informationsraum“ befähigt werden müsse, zitiert aaO. 5  So statuiert die Cyber Sicherheitsstrategie des BMI 2016 auf S. 33, dass CyberVerteidigung als militärischer Teil der Gesamtverteidigung verfassungsmäßiger Auftrag der Bundeswehr sei; im neuen Weißbuch der Bundeswehr von 2016 heißt es: „Verteidigungsaspekte der gesamtstaatlichen Cybersicherheit sind originäre Aufgaben des Bundesministeriums der Verteidigung und der Bundeswehr“ (S. 11).

22

Einführung und Gang der Untersuchung

setz den Inneneinsatz der Streitkräfte nur in enumerativ aufgeführten Fällen vorsieht, wie Art. 87a Abs. 2 GG postuliert. Auch der Umstand, dass der digitale Raum – gleich dem analogen – Bestandteil der grundrechtlich verbürgten Freiheiten ist, wird in verteidigungsrechtlicher Hinsicht nur unzureichend fortgeführt mit der Folge, dass völlig unklar ist, ob und wenn ja inwieweit grundrechtlichen Freiheiten hier verteidigungswürdig und -fähig sind. Dasselbe gilt für die Verteidigungswürdigkeit staatlicher Institutionen, angefangen bei der Frage, wann das Beeinträchtigen dieser beim Erfüllen ihrer originären Funktionen – gegebenenfalls ohne substantielle Veränderung – einen verteidigungswürdigen Umstand begründet.

III. Erkenntnisinteresse Die der Arbeit zugrundeliegende Absicht besteht darin, darzustellen, was abstrakt und konkret bezogen auf die aufzuführende Bedrohungslage Gegenstand von staatlicher (Selbst-)Verteidigung ist und ausgehend davon die Frage zu beantworten, ob und wie das Wehrverfassungsrecht in der Lage ist, die digitalen Angriffe rechtlich „in den Griff“ zu bekommen. Die Bearbeitung verfolgt dabei den Ansatz, nach Möglichkeit praxisorientiert vorzugehen, was insbesondere dadurch gewährleistet wird, dass sich an einer Bedrohungslage orientiert wird, die auf tatsächlich stattgefundenen und stattfindenden Ereignissen gründet. Rein deklaratorisch wird darauf hingewiesen, dass die Bearbeitung mitnichten anstrebt, die Bedrohungen durch den und aus dem Cyberraum zwingend dem militärischen Aufgaben- und Pflichtenbereich zuzuordnen. Ferner wird ebenso wenig beabsichtigt, die Streitkräfte aus ihrem grundgesetzlich eng gesteckten Verwendungsrahmen herauszulösen. Gegenstand ist vielmehr die Frage der Anwendbarkeit des Wehrverfassungsrechts auf die darzustellenden Bedrohungen, das Aufzeigen der in diesem Zusammenhang auftretenden verfassungsrechtlichen und tatsächlichen Probleme sowie die Diskussion entsprechender Lösungsansätze.

IV. Gang der Untersuchung Die Untersuchung wird in vier Schritten unterschiedlichen Umfangs vorgenommen, die gleichzeitig die vier Kapitel darstellen. Kapitel (1): Die Bedrohungslage im und aus dem digitalen Raum Zentraler Gegenstand des ersten Kapitels ist die Bedrohungslage wie sie sich gegenwärtig darstellt. Ausgehend von einer Auseinandersetzung mit



Einführung und Gang der Untersuchung23

dem Wesen und den Bestandteilen des Cyberraums, werden zunächst Begrifflichkeiten erläutert und voneinander abgegrenzt. Hierzu gehören insbesondere solche, die das Präfix Cyber enthalten sowie der inflationär gebrauchte Begriff des Cyberkrieges. Der Untersuchungsgegenstand wird sodann auf das Spektrum der Computernetzwerkoperationen konkretisiert, deren Unterfall der Angriff auf Computersysteme (gemeinhin der sog. Cyber-Angriff) ist, die aber auch sogenannte Informationsoperationen und Cyber-Exploitations umfassen. Im weiteren Verlauf werden dann Gegenstand und Durchführung von Computernetzwerkoperationen in den Fokus gerückt. Dabei soll die Darlegung technischer Details auf das notwendige Maß reduziert werden, gleichwohl ist die Schaffung eines Grundverständnisses unentbehrlich. Gegenstand der Auseinandersetzung sind vier verschiedene Kategorien von Angriffszielen und -mitteln: Ausgangspunkt sind solche, die auf die Nichtverfügbarkeit eines Dienstes oder einer Anlage abzielen, gefolgt von denen, die in eine physische Zerstörung münden. Die dritte Gruppe beleuchtet solche, die auf Desinformation abzielen bevor sich viertens mit denjenigen Computernetzwerkoperationen auseinandergesetzt wird, mit deren Hilfe Entwendung und Ausspähung von Daten bewerkstelligt wird. So sind der im Februar 2018 bekanntgewordene Angriff auf das Kommunikationsnetz der Bundesregierung sowie der Datenabzug aus dem Netzwerk des Deutschen Bundestages im Jahr 2015 ebenso Gegenstand der Betrachtung, wie die zahlreichen in Nichtverfügbarkeit mündenden Denial-of-Service-Attacken auf Internetauftritte der Bundesregierung und Privater sowie die Verbreitung von Falschinformationen, wie etwa im Frühjahr 2017, die sich gegen das Deutsche NATO-Kontingent in Litauen richteten. Über die Landesgrenzen hinaus findet neben der vermuteten US-Wahlkampfbeeinflussung und der Unterbrechung des Sendebetriebs des französischen Senders TV5 Monde auch die Attacke auf ukrainische Umspannwerke mit Stromausfall für bis zu 225.000 Personen (beide 2015) Berücksichtigung im Rahmen der Bedrohungsanalyse. Kapitel (2): Status quo der Sicherheitsarchitektur mit Fokus auf den digitalen Raum Das zentrale Anliegen des zweiten Kapitels besteht darin, einen Überblick über die Sicherheitsarchitektur der Bundesrepublik Deutschland zu verschaffen, Bestandteil dessen auch die Einführung in das Wehrverfassungsrecht ist. Der Fokus liegt hierbei insbesondere darauf, die beteiligten Behörden und Einrichtungen auf ihre Kompatibilität mit dem Cyberraum abzuklopfen. Zentral hierfür ist es, die Zuständigkeitsverteilungen zwischen dem Bund auf der

24

Einführung und Gang der Untersuchung

einen und den Ländern auf der anderen Seite vor dem entsprechenden Hintergrund zu reflektieren. Daneben wird sich mit den materiell rechtlichen Grundlagen für den Einsatz der Behörden im digitalen Raum auseinandergesetzt und aufgezeigt, ob diese die Betätigung im digitalen Raum einschließen. Beleuchtet werden hierzu sowohl der zivile Arm der Sicherheitsarchitektur als auch die Streitkräfte. Entlang dieser Trennung vollzieht sich nicht nur die Behandlung der Landes- und Bundespolizei(en), sondern auch die der Nachrichtendienste. Im Rahmen der Aufgabenbeschreibung der Landes- und Bundespolizeien sowie der Verfassungsschutzämter werden nicht nur die Herausforderungen angesprochen, die dem Bundesstaatsprinzip in Bezug auf das Agieren gegen Cyberbedrohungen inhärent anhaften, sondern auch die Entwicklungen der mitunter jüngeren Vergangenheit aufgezeigt, die insbesondere im Bereich der Zuständigkeiten des BKA und des Verfassungsschutzes gerade mit Blick auf den Cyberraum zu verzeichnen sind. Diese machen allesamt eine Kompetenzverlagerung auf den Bund deutlich, was die Tatsache, dass es sich bei den Streitkräften – ungeachtet ihrer exponierten Stellung – auch um eine Bundesbehörde handelt, für die weitere Bearbeitung in den Fokus rückt. Flankiert werden die Ausführungen von der Darstellung vergleichsweise neuer Einrichtungen wie u. a. dem Bundesamt für Sicherheit in der Informationstechnologie, den verschiedenen Response-Teams sowie dem Nationalen Cyber-Abwehrzentrum, die explizit im Lichte der Eigenheiten des Cyberraums geschaffen wurden und allesamt auf Bundesebene organsiert sind. Die Streitkräfte sind als Teil der Sicherheitsarchitektur ebenfalls Gegenstand der Ausführungen. Hierzu gehört neben ihren verschiedenen Betätigungsformen die eher grundsätzliche Auseinandersetzung mit der Begrifflichkeit des Einsatzes und seiner Zweigliedrigkeit, sowohl mit Blick auf die Verwendung der Streitkräfte im Innern wie auch im Äußeren. Kapitel (3): Die Verwendung der Streitkräfte zur Verteidigung im digitalen Raum Das dritte Kapitel nimmt den Verteidigungsauftrag der Streitkräfte in den Fokus und behandelt damit den wesentlichen Aspekt der Arbeit: Den Einsatz der Streitkräfte zur Verteidigung im digitalen Raum. Während das Grundgesetz die sogenannten Einsatzformen der Bundeswehr außerhalb des in Art. 87a Abs. 1 GG postulierten Verteidigungsauftrages enumerativ aufführt, beschäftigt es sich mit dem materiellen Verteidigungsgegenstand nur unzureichend bis gar nicht. Dies führt der Autor auf das historische Angriffsverständnis zurück, in Ansehung dessen es einer Konkretisie-



Einführung und Gang der Untersuchung25

rung nicht bedurfte, weil insbesondere die Abgrenzung zu anderen Behörden dies nicht erforderte. Die dem herkömmlichen Angriffsverständnis zugrundeliegenden Elemente waren die positive Kenntnis darüber, wer der Urheber ist und wo dieser verortet ist, flankiert von der Kenntnis darüber, dass es sich um den Einsatz von Mitteln handelt, die sich klar als militärische einordnen ließen. Diese Aspekte firmieren unter der Begrifflichkeit der Zurechenbarkeit bzw. der Rückverfolgbarkeit eines Angriffs, der sich im Anschluss an die Darlegung des historischen Angriffsverständnisses ausgiebig gewidmet wird. Das Ausmaß dieser im Kern bestehenden Unwissenheit über die dargelegten Aspekte wird nach Auffassung des Autors vom Gros der Literatur in tatsächlicher Hinsicht nicht hinreichend anerkannt. Vielmehr wird versucht, im Wege von juristischen Konstruktionen das Phänomen der unzureichenden Rückverfolgung in den Griff zu bekommen. Diese lassen in ihrer Breite das (zumindest noch) geltende Faktum der technischen Hürden jedoch unberücksichtigt. Dabei werden Schwierigkeiten auf zwei Ebenen begründet: Erstens auf der technischen Ebene, die sich schlicht darin manifestiert, dass sich der Urheber nicht ausmachen lässt, zweitens in tatsächlicher Hinsicht. So hat eine positive Zurechnung auch ein akzeptanzschaffendes Element. Das betrifft das Erfordernis, die Erwägung und Durchführung von Gegenmaßnahmen im Zuge eines Angriffs für Dritte nachvollziehbar zu machen und sich damit im Einklang mit internationalem Recht zu behaupten. Durch die schwierige und meist erfolglose, jedenfalls aber unsichere Rückverfolgung wird dieser Aspekt jedoch nicht unerheblich konterkariert. Diese Erkenntnis dient als Ausgangspunkt für die im Anschluss folgende Thematisierung des verfassungsrechtlichen Umgangs mit eben dieser Unwissenheit. In diesem Zusammenhang bedarf es neben der Beantwortung der mit Blick auf den Inneneinsatz teilweise hochumstrittenen Frage nach der Relevanz der Kenntnis von Urheber und Ursprung des Angreifers für den Einsatz der Streitkräfte, einer Konkretisierung des Verteidigungsobjekts. Hierzu wird sich mit den staatlichen Schutzpflichten als individualrechtliche Begründung der Verteidigungspflicht sowie dem Verständnis über den Bestand des Staates und der Freiheitlichen Demokratischen Grundordnung als Kollektivschutzgüter auseinandergesetzt. Daneben ist auch die Abgrenzung von Art. 87a und Art. 115a GG von Relevanz, weil von der jeweiligen Sichtweise abhängt, ob das Verteidigungsspektrum bereits aus normativen Gründen eine Einschränkung erfährt. Im Weiteren ist sich mit der Intensität auseinanderzusetzen, mit der die angesprochenen Verteidigungsobjekte heimgesucht werden müssen, um einen verteidigungswürdigen Tatbestand darzustellen. In diesem Zusammenhang werden nicht nur die eingesetzten Mittel des Angreifers in den Fokus genommen, sondern auch die Tatsache, dass ein Angriff auch geeignet sein kann, eine Herausforderung auf die territorial abgesteckte Polizeihoheit

26

Einführung und Gang der Untersuchung

der Länder darzustellen. Auch wird das Völkerrecht, maßgeblich in Gestalt der UN-Charta einbezogen, das vereinzelt Aussagen zur Intensität der Betroffenheit im Zuge von Angriffen und Einwirkungen trifft. Die Notwendigkeit für das Kriterium der Intensität speist sich maßgeblich aus dem Umstand, dass die thematisierten Verteidigungsobjekte nicht allesamt exklusiv als Gegenstände des militärischen Aufgabenbereichs deklariert werden können, sondern teilweise unter Umständen auch Gegenstand polizeilichen Handelns sein können. Die Erkenntnisse über das Verständnis des Verteidigungsbegriffs werden im Anschluss einzelnen der im ersten Kapitel typisierten Cyberangriffe gegenübergestellt. Kapitel (4): Inhalt und Ablauf der Verteidigung Gegenstand des vierten Kapitels ist dann auf dem Boden der Erkenntnisse aus Kapitel zwei – in Anlehnung an die völkerrechtliche Differenzierung in ius in bello und ius ad bellum – zum einen der Inhalt und die Grenzen des Verteidigungsrechts. Hierbei geht es zunächst um die verschiedenen Arten der Gegenwehr, konkret solcher Verteidigungsmaßnahmen im engeren und weiteren Sinne sowie solche mit und ohne physische Wirkung. Diese werden zu dem jeweiligen Maße der Rückverfolgbarkeit eines Angriffs ins Verhältnis gesetzt. Besonderes Augenmerk fällt in diesem Zusammenhang auf das Unterscheidungsgebot, nach dem militärische und nichtmilitärische Ziele zu trennen sind und die Frage, wie sich dieses zu einer unzureichenden Rückverfolgung verhält. Ferner wird sich dezidiert mit dem Parlamentsvorbehalt und seiner einfachgesetzlichen Ausgestaltung im Parlamentsbeteiligungsgesetz auseinandergesetzt. Hierbei besteht die Kernfrage darin, zu ermitteln, ob er überhaupt Anwendung findet, respektive welchen Schwierigkeiten er im Rahmen des Einsatzes der Streitkräfte im digitalen Raum ausgesetzt ist. Teilvoraussetzung ein jeder Gegenmaßnahme ist die Aufklärung des Gegners. Dessen Identität und Ursprung ist aber regelmäßig nicht oder nur eingeschränkt auszumachen. Daher bedarf es der Infiltration der Urhebersysteme. Weil sich die Streitkräfte dabei im klassischen Terrain der Geheimdienste bewegen, gleichzeitig im Falle der positiven (Teil-)Rückverfolgung aber diejenigen sind, die das Verteidigungsrecht exekutieren, ist das sog. Trennungsgebot zu erörtern, speziell die Frage, ob sich dieses nur aus dem einfachen Recht ergibt oder gar verfassungsrechtlich verankert ist.



Einführung und Gang der Untersuchung27

V. Neue wissenschaftliche Erkenntnisse Abgesehen von der eingangs dargestellten rechtspolitischen Relevanz der Thematik behandelt die Arbeit eine Reihe von Fragestellungen, die bisher entweder nicht oder nicht in vergleichbarem Maße Gegenstand von Monographien waren: Bei dem Dissertationsvorhaben handelt es sich um das erste, das sich mit digitalen Bedrohungen in wehrverfassungsrechtlicher Hinsicht beschäftigt. Bisher wurden diesbezüglich nur völkerrechtliche Betrachtungen angestellt.6 Auch die Frage, was unter Verteidigung im Sinne von Art. 87a GG zu verstehen ist, bzw. welche Qualität das auslösende Ereignis haben muss, war bis dato – auch losgelöst vom Aspekt der Computernetzwerkoperationen – nur untergeordnet Gegenstand von Monographien.7 Thematisch bedingt erörtert die Arbeit die Verantwortlichkeit der Streitkräfte nicht nur im Verhältnis der einzelnen wehrverfassungsrechtlichen Befugnisnormen zueinander, sondern im Lichte der gesamten Sicherheitsarchitektur (insb. Verhältnis Streitkräfte – Polizei), um ausgehend davon die Frage zu beantworten, wie die Kompetenz der Streitkräfte und der Einsatz derselben zur Verteidigung gegenüber der Betätigung anderer Sicherheitsbehörden zu bewerten ist. All dies wird flankiert von der Anerkennung technischer Fakten, die von der Rechtswissenschaft bisher nicht hinreichend nachvollzogen wurden, was die Gefahr birgt, dass Antworten zu Problemlagen de facto keine Antworten sind.

6  Aus dem deutschsprachigen Raum in diesem Zusammenhang zu erwähnen sind die Dissertationen von Falko Dittmar „Angriffe auf Computernetzwerke“, Marco Roscini „Cyber Operations and the use of force in International Law“ und SvenHendrik Schulze, „Cyber- „War“ -Testfall der Staatenverantwortlichkeit“. 7  Siehe insbesondere Alexander Coridaß, „Der Auslandseinsatz von Bundeswehr und Nationaler Volksarmee“, 1986 mit der Abgrenzung von Art. 87a zu Art. 115a und dies mit dem Fokus auf die Beteiligung der Bundeswehr im Rahmen der Bündnistreue und Marcus Schultz, Die Auslandsentsendung von Bundeswehr und Bundesgrenzschutz zum Zwecke der Friedenswahrung und Verteidigung, 1994.

Kapitel 1

Die Bedrohungslage im und aus dem digitalen Raum Der Cyberraum hat sich über die Jahrzehnte des stetigen Fortschritts im Bereich der Informationstechnologie als ein Element des (sicherheits-)politischen und militärischen Diskurses etabliert.1 Zur Beantwortung der übergeordneten Frage, ob und inwiefern die Streitkräfte im Cyber-Raum eingesetzt werden können ist es unabdingbar, die aktuelle Bedrohungslage im Zusammenhang mit diesem darzustellen. Mit Blick auf eine spätere Subsumtion unter die verschiedenen Verwendungsmöglichkeiten der Streitkräfte aber auch die Abgrenzung gegenüber dem Aufgabenspektrum anderer Sicherheitsbehörden ist es erforderlich, begriffliche Einordnungen und Abgrenzungen vorzunehmen. Ferner bedarf es einer Auseinandersetzung mit den Grundzügen der technischen Umsetzung der im Folgenden näher zu bestimmenden Angriffsmethoden. Hierzu ist es unabdingbar, das Betätigungsfeld bzw. die Örtlichkeit etwaiger Auseinandersetzungen darzustellen und seine Funktionsweise sowie Rückkopplung in die physische Welt zu erläutern. Dabei wird angestrebt, Begrifflichkeiten, die in der öffentlichen Diskussion in unterschiedlichen Kontexten verwandt werden, in ihrer Bedeutung klar zu bestimmen.2

1  Dargestellt bei Warner, Cybersecurity: A Pre-history, Journal on Intelligence and National Security, Vol. 27, 2012, 781 (787); Drechsler/Lünstedt/Lacroix, Informations-Operationen, „Cyberterrorismus“ und die Bundeswehr, S+F 2000, 130 (134), sprechen davon, dass Informationen und Informationstechnologie immer mehr zur Grundlage der Ressourcen werden, welche die Konkurrenz- und Kriegsführungs­ fähigkeit bestimmen und bezeichnen die Informationsinfrastruktur als „Gravitationszentrum“ derselben. 2  So weist Lin, Cyber Conflict and International Humanitarian Law, International Review of the Red Cross Cross 94 (2012), 515 (518) zu Recht darauf hin, dass die öffentliche Berichterstattung mitunter die Begrifflichkeiten Cyber-Attack und CyberExploitation verwechselt; siehe auch Schmahl, Cybersecurity, in: Berichte der Deutschen Gesellschaft für Internationales Recht, Band 47 (hrsg. von Dethloff/Nolte/Reinisch), Heidelberg 2016, S. 159 (162), die auf die terminologischen Abgrenzungsprobleme hinweist; Stein vermischt ferner Informationsoperationen und Angriffe auf Computernetzwerke und Völkerrechtliche Aspekte von Informationsoperationen, ­ZaöRV 2000, 1 (8).



A. Der Cyberraum als Ort von Auseinandersetzungen 29

Das abschließende Bild zur Bedrohungslage fußt auf folgenden Aspekten: Das anteilsmäßige Verhältnis der einzelnen Computernetzwerkoperationen zueinander, die Einbeziehung der dazu eingesetzten Mittel sowie der beteiligten Akteure und Urheber. Nicht als Grundlage dienen dagegen die Intensität und die Schwere der jeweiligen Auswirkungen einzelner IT-gestützter Angriffe. Dies liegt maßgeblich an der Schwierigkeit, die Intensität allgemeinverbindlich zu bestimmen. Die Zerstörung von Zentrifugen einer Atomanlage und die Veröffentlichung von E-Mails politischer Parteien lassen sich zwar beide als Ergebnisse von Systemeinbrüchen verstehen, im Hinblick auf die Intensität jedoch nur schwer in ein Verhältnis setzen. Daneben haben sich eine Reihe von Vorkommnissen bis dato entweder nicht ausgewirkt oder aber es besteht keine gesicherte Erkenntnis darüber, ob und inwiefern beispielsweise die im Zuge von Einbrüchen in Computersysteme politischer Parteien erfolgten Veröffentlichungen von E-Mails und anderer Daten die anschließende Wahl auch tatsächlich beeinflusst haben. Die Aufstellung einer Bedrohungslage dient im weiteren Fortgang der Arbeit als tatsächliche Grundlage.

A. Der Cyberraum als Ort von Auseinandersetzungen Der Austragungsort spielt im Rahmen herkömmlicher, konventioneller, d. h. ohne die Unterstützung von Cyber-Waffen ausgetragener Auseinandersetzungen meist unter militärstrategischen und -taktischen Erwägungen eine Rolle,3 weniger aber in rechtlicher Hinsicht.4 So lassen sich im analogen Raum territoriale Zuständigkeits- und Verantwortungsbereiche als Ausfluss staatlicher Souveränität überwiegend hinreichend klar bestimmen und zuordnen.5 Ob es indes im Cyber-Raum vergleichbar klare Abgrenzungskriterien staatlicher Souveränität gibt und welche das im Einzelnen sind, ist Gegenstand von Diskussionen. Nicht zuletzt um diese Frage zu beantworten bedarf 3  hierzu anschauchlich: Knoll, Preußen Ein Beispiel für Führung und Verantwortung, S.  201 ff. 4  Freilich gilt dies in der analogen Welt nicht absolut; exemplarisch hierfür z. B. die luftkriegsrechtlich umstrittene Frage, ob Staaten über das Küstenmeer hinausgehende Sicherheits- und Verteidigungszonen erklären dürfen, Ipsen, Völkerrecht, § 47 Rn. 13. 5  Ein Blick auf den im Zusammenhang mit sog. „zerfallenen Staaten“ diskutierten Wegfall der effektiven Staatsgewalt und ausgehend davon z. B. die Begründung eines neuen, vom Recht auf Selbstverteidigung unabhängigen Rechts auf Rettung eigener Staatsangehöriger, veranschaulicht, dass diese Diskussion nicht auf den Cyberraum begrenzt ist. Gleichwohl wird nach allg. Meinung auch dem zerfallenen Staat trotz Wegfalls seiner Staatsgewalt ein weitreichender Fortbestand seiner Staatlichkeit und Rechtspersönlichkeit zuerkannt, sodass die Diskussion im analogen Raum tatsächlich eine untergeordnete Rolle spielt, Ipsen, Völkerrecht, § 5 Rn. 142.

30

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

es eines Überblicks über den Austragungsort sowie die einzelnen Ausgestaltungen digitaler Auseinandersetzungen.

I. Der Cyberraum – Ein Raum ohne Grenzen? Die Besonderheit des Cyber-Raums als Ort von Auseinandersetzungen besteht darin, dass er das einzige Betätigungsfeld ist, das nicht nur künstlich erschaffen worden ist, sondern auch künstlich aufrechterhalten wird und fortlaufend Gegenstand von (technischen) Modifikationen ist und damit in seinen Grundbedingungen variabel ist.6 So ist sein Umfang nicht abschließend definiert, sondern eng an den technischen Fortschritt gekoppelt und von der (bisher) stets zunehmenden Dependenz der analogen von der digitalen Welt bestimmt. Die grundlegende Frage ist daher, was unter dem sogenannten Cyber-Raum zu verstehen ist, was er umfasst und was ihn ausmacht. 1. Begriffliche Abgrenzungen Essentiell für den Fortgang der Untersuchung ist es, Begrifflichkeiten zu definieren, voneinander abzugrenzen und Dopplungen aufzuzeigen.7 Vor dem Hintergrund, dass sich diese Arbeit überwiegend im deutschen Verfassungsrecht bewegt, ist es insbesondere von Relevanz, englische Begrifflichkeiten, die Einzug in die deutsche Fach- und Rechtssprache gefunden haben, zu erläutern. Innerhalb der Definitionen, die mitunter qua Anzahl ein dem Zweck einer Definition entgegenlaufendes Ausmaß eingenommen haben, wird sich unter Aufzeigen der Unterschiede im Zweifelsfalle nationalen Definitionen angeschlossen (verwendet in Leitlinien, Strategiepapieren oder Antworten der Bundesregierung oder gar in Legaldefinitionen). Sofern diese in relevanter Weise von denen solcher Organisationen divergieren, in denen die Bundesrepublik im entsprechenden Bereich vertreten ist, bzw. dort vertretener Partner, wird darauf hingewiesen.

6  Melzer, Cyberwarfare and International Law, S. 5, abrufbar unter: http://unidir. org/files/publications/pdfs/cyberwarfare-and-international-law-382.pdf. 7  So weist inter alia auch Döge, Cyber Warfare. Challenges for the Applicability of the traditional Laws of War Regime, AVR 2010, 486 (488) darauf hin, dass die Begrifflichkeiten Computer Network Attack (CNO), (Offensive) Information Operation (IO) und Information Warfare (IW) nicht einheitlich, sondern sich inhaltlich überschneidend verwendet werden.



A. Der Cyberraum als Ort von Auseinandersetzungen 31

a) Cyber-, digitaler und analoger Raum Der Begriff Cyber- steht inhaltlich nicht etwa im Zusammenhang mit dem was Norbert Wiener mit der Begrifflichkeit Kybernetik (engl. Cybernetics) beschrieb und als solche die Selbststeuerung von Regelkreisläufen umfasst.8 Die Bundesregierung definiert den „Cyber-Raum“ als „virtuellen Raum aller auf Datenebene vernetzten IT-Systeme im globalen Maßstab“, dem das Internet als „universelles und öffentlich zugängliches Verbindungs- und Transportnetz“ zugrunde liegt, ergänzt durch „beliebige andere“ Datennetze, „die über Schnittstellen verfügen“, ansonsten aber vom Internet separiert betrieben werden.9 Auffallend an der Definition der Bundesregierung ist, dass zwischen „dem Internet“ und „anderen Datennetzen“ differenziert wird, was dazu veranlasst, sich mit den Begrifflichkeiten (Computer-)Netzwerke und dem Internet näher auseinanderzusetzen. Das Wort „digital“ wird – trotz seiner möglicherweise weiteren Fassung gegenüber „Cyber“ – im Folgenden synonym für das Wort „Cyber“ verwandt. Mit „analog“ ist im folgenden jegliche Erscheinung bezeichnet, die ohne Zuhilfenahme von Cyber-Mitteln erfolgt, kurz, also außerhalb des Cyberbzw. digitalen Raums abspielt, gleichwohl aber von diesem beeinflusst werden kann.10 b) Aufschlüsselung des Cyber-Raums – Was umfasst die Informationstechnik? Eine wichtige Rolle im Cyberraum spielt die Informationstechnik. Diese ist einerseits das Ziel jeglicher Betätigung im Cyberraum, andererseits auch das Mittel derselben, sodass sich konstatieren lässt: Angriffe auf IT erfol8  Wiener definierte Cybernetics in seinem Werk „Cybernetics or control and communication in man and in the machine“ als „the entire field of control and communication theory, whether in the machine or in the animal“, Wiener, Cybernetics: Or Control and Communication in the Animal and the Machine, S. 11. 9  Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Neu, Hunko, Gehrcke, weiterer Abgeordneter und der Fraktion DIE LINKE. – Drucksache 18/6496 –, S. 1; wortgleich in Cyber-Sicherheitsstrategie für Deutschland 2016, hrsg. vom BMI, S. 46; vgl. die mit Ausnahme der Nennung des Internets inhaltlich angelehnte Definition des Tallinn Manual on the International Law Applicable to Cyber Warfare, wonach der Cyberspace auf S. 211 folgendermaßen definiert ist: „The environment formed by physical and non-physical components, characterized by the use of computers and the electro-magnetic spectrum, to store, modify, and exchange data using computer networks.“ 10  auch Schmitt, Tallinn Manual, differenziert zwischen Cyber-Raum und dem Internet, mit dem Ergebnis, dass das Internet zwar grundsätzlich einen Cyber-Raum darstellt, jedoch nicht den einzigen.

32

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

gen in der Regel mit IT.11 Was als Gegenstand des Cyberraums zu verstehen ist, wird im allgemeinen verbreitet unzureichend differenziert und im besonderen regelmäßig allein mit dem „Internet“ und „Netzwerken“ gleichgesetzt.12 aa) (Computer-)Netzwerke Unter einem Netzwerk ist die aufgrund einer bestimmten Technologie erfolgende Verbindung verschiedenen Geräte, im Falle des Computernetzwerks von Computern zu verstehen, wobei das Netzwerk das Produkt der Einzelverbindungen darstellt.13 Dabei gelten die Gerätschaften als miteinander verbunden, wenn sie in die Lage versetzt werden, Informationen auszutauschen.14 Dieser Informations- und Kommunikationsaustausch wird über sogenannte Netzwerkprotokolle ermöglicht und gewährleistet15 und findet per Kabel (z. B. Ethernet), kabellos (z. B. Wifi) oder im Zusammenspiel statt.16 bb) Internet Das Internet selbst lässt sich am besten als „Netzwerk von Netzwerken“ oder „Inter-Netzwerk“ beschreiben, in dem auf der Basis bestimmter Protokolle Informationen ausgetauscht werden.17 Die in diesem Zusammenhang meistverbreiteten Protokollfamilien sind das Transmission Control Protocol und das Internet Protocol (TCP/IP).

11  Gaycken, Cyberwar, Das Internet als Kriegsschauplatz, S. 91; sich ebenfalls für eine Doppelfunktion des in ihren Worten „cyberspace“ aussprechend: Geiß/Lahmann, Cyber Warfare: Applying the Principle of Distinction in an Interconnected Space, Israel Law Review 2012, S. 384. 12  hierauf m. w. N. hinweisend Assessing Cyber Power, in: Pissanidis/Rõigas/Veenendaal (Hrsg.), 8th International Conference on Cyber Conflict, 2016, 7 (13); siehe auch Gaycken, Cyberwar, Das Internet als Kriegsschauplatz, S. 95, der dem Internet als Angriffsmittel im Hinblick auf Cyber-Angriffe auf Staaten nur untergeordnete Relevanz beimisst, weil sich darüber i. d. R. keine sensiblen Strukturen erreichen ließen. 13  Tanenbaum/Wetherall, Computernetzwerke, 2012, S. 22. 14  aaO. 15  Siegmund, Technik der Netze 2, S. 327. 16  Schmitt, Tallinn Manual on the International Law Applicable to Cyber Warfare, S. 211. 17  Bellia et al., Cyberlaw Problems of Policy and Jurisprudence in the Information Age, S. 19; Woltag, Cyber Warfare, Military Cross-Border Computer Network Operations under International Law, S. 9, der diese Begrifflichkeiten gleichfalls verwendet.



A. Der Cyberraum als Ort von Auseinandersetzungen 33

Das gemeinhin als „das Internet“ bezeichnete öffentliche Internet (World Wide Web)18 ist nur eins von vielen tausend Inter-Netzwerken, die größtenteils nicht öffentlich von Firmen oder staatlichen Organisationen betrieben werden.19 Das World Wide Web ist zwar Teil des Internets, greift folglich auf die Infrastruktur des Internets als Vernetzung von Netzwerken zurück, allerdings nur mit Blick auf das Aufrufen von Webseiten. Vor diesem Hintergrund sind, der Cyberraum und das gemeinhin als „das Internet“ verstandene Format nicht gleichzusetzen, weil letzteres nicht zwingend vom jeweils betrachteten Cyber-Raum erfasst sein muss. Diesem Umstand trägt auch die Definition der Bundesregierung zum Cyberraum teilweise Rechnung, die zumindest zwischen Internet und sonstigen Netzwerken unterscheidet, jedoch mit Blick auf das Internet hätte klarstellen können, dass hiermit nicht nur das World Wide Web gemeint ist. cc) Eingebettete Systeme Während Rechner- und Softwaresysteme zunächst überwiegend getrennt von der physikalischen Welt Berechnungen anstellten oder Informationen verwalteten, wurden sie immer stärker für Aufgaben der Kontrolle und Steuerung physikalischer Vorgänge eingesetzt.20 Diese Interaktion firmiert unter der Begrifflichkeit Eingebettetes System (engl. Embedded System). Es handelt sich also um elektronische Rechner oder Computer, die in einen technischen Kontext eingebunden sind.21 Die Aufgaben des Rechners sind vielseitig und umfassen die Übernahme von Überwachungs-, Steuerungs- oder Rege18  Kurz zur Funktionsweise: Sobald eine Internetadresse in einen Webbrowser eingetippt wird, wird diese Information zunächst an das sogenannte Domain Name System weitergeleitet. Dieses System hat die Funktion einer Auskunft und ist in der Lage, dem Browser die dahinterstehende IP-Adresse mitzuteilen, mit der dieser sich dann an die gewünschte Zieladresse wendet. Im Einzelnen verständlich dargestellt bei Kerr, The Problem of Perspective in Internet Law, Georgetown Law Journal 2003, 359 (360 f.). 19  aaO. 20  Diese Entwicklung aufzeigend Broy, Cyber-Physical Systems – Wissenschaftliche Herausforderungen bei der Entwicklung, in: Broy (Hrsg.): Cyber-Physical Systems. Innovation durch softwareintensive eingebettete Systeme, 17 (20 f.), abrufbar unter: http://www.acatech.de/fileadmin/user_upload/Baumstruktur_nach_Website/ Acatech/root/de/Publikationen/acatech_diskutiert/acatech_diskutiert_CPS_einseitig_ oI.pdf. 21  Linn, Cyber Conflict and International Humanitarian Law; International Review of the Red Cross Cross 94 (2012), 515 (516), Maybaum, Technical Methods, Techniques, Tools and Effects of Cyber Operations, in: Ziolkowski (Hrsg.), Peacetime Regime for State Activities in Cyberspace. International Law, International Relations and Diplomacy, 103 (129).

34

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

lungsfunktionen bis zu Daten- bzw. Signalverarbeitungen. Eingebettete Systeme sind von hoher Relevanz und weit verbreitet.22 So arbeiten etwa 90 % aller Prozessoren nicht in einem PC, sondern als ebensolche Embedded Systems im Verborgenen, wie etwa in Antiblockiersystemen im Automobil, in Maschinensteuerungen, in Telefonanlagen und medizinischen Geräten.23 Im Zuge der Entwicklung des Internets der Dinge werden die eingebetteten Systeme zunehmend in eine Dateninfrastruktur (vornehmlich das Internet) eingepflegt und so in die Lage versetzt, miteinander sowie mit ihrem Nutzer zu kommunizieren.24 Diese Systeme firmieren unter der Begrifflichkeit Cyber-Physical Systems.25 2. Rückkopplung in die analoge Welt a) Vermeintliche Flüchtigkeit des Cyberraums Aufgrund der (stellenweise vermeintlichen) Ubiquität und Anonymität des Cyberraums wird teilweise vertreten, dass der Cyberraum ähnlich dem Weltraum26 ein res communis omnium sei27, d. h. ein Medium, welches sich der Beanspruchung und der Ausübung von Hoheitsgewalt durch Staaten generell 22  Libicki, Cyberdeterrence and Cyberwar, S. 171 verweist explizit auf die Gefährdung eingebetteter Systeme vor Hackern. 23  Siehe Bundesministerium für Bildung und Forschung (BMBF), abrufbar unter: http://www.softwaresysteme.pt-dlr.de/de/embedded-cyberphysical-systems.php; dazu auch Kuehl, Information Operations, Information Warfare, and Computer Network Attack: Their Relationship to National Security in the Information Age, in: M. N, Schmitt/B. T. O’Donnell (Hrsg.), Computer Network Attack and International Law, Naval War College, Newport, Rhode Island 2002, 33 (53). 24  Bericht des BMBF, Embedded Systems „Embedded Software“ – Herausforderung und Chancen für die deutsche Wirtschaft, S. 1, abrufbar unter: http://www. softwaresysteme.pt-dlr.de/media/content/Embedded_Systems_Infoblatt.pdf. 25  Bericht des BMBF, aaO. 26  Ipsen, Völkerrecht, § 39 Rn. 7. 27  so unterstellt Barlow in seiner „Declaration of the Independence of Cy­ berspace“. 8.  Februar 1996, abrufbar unter: https://www.eff.org/de/cyberspaceindependence, dass der Cyberraum, mitunter aufgrund seiner grenzüberschreitenden Existenz, keine physische Rückkopplung habe und damit losgelöst von jeglichen Grenzen sei. Bzgl. der hohen See wird dies nach der von Selden, im Jahre 1635 entwickelten These vom „mare clausum“ bestritten, wonach derjenige, der die See mit seiner Flotte beherrsche, andere an der Ausübung der Schifffahrts- und Handelsfreiheit hindern dürfe, im Einzelnen dazu Ipsen, § 39 Rn. 7; a. A. Ipsen § 46 Rn. 2; Reidenberg, Lex Informatica: The Formulation of Information Policy Rules Through Technology, Texas Law Review 1997, 553 (570); Hollis, Re-Thinking the Boundaries of Law in Cyberspace: A Duty to Hack?, in: Ohlin/Govern/Finkelstein, Cyber War Law and Ethics for Virtual Conflicts, 129 (132).



A. Der Cyberraum als Ort von Auseinandersetzungen 35

entzöge.28 Zwar wird diese Auffassung von der überwiegenden Mehrheit nicht geteilt, die nämlich der Auffassung ist, dass staatliche Souveränität auch in den Cyberraum hineinwirke.29 Gleichwohl bedarf dies der technischen Untermauerung. Die einleitende Sichtweise, wonach der Cyberraum sich jeglicher Hoheitsgewalt entziehe, basiert entscheidend auf der Grundannahme, dass der Cyberraum in seiner Gänze nicht lokal verortbar sei.30 Dies trifft jedoch nur insoweit zu, als das Internet bzw. ein sonstiges Netzwerk selbst keine physische Struktur hat,31 es keine Verbindungsbeziehungen im Transportnetz gibt und sich jedes der einzelnen IP-Pakete seinen eigenen Weg durch das jeweilige Netz sucht, ohne das dieser Übermittlungsweg (über die Zugehörigkeit zu einem entsprechenden Netz) beeinflusst oder rückverfolgt werden kann.32 b) Klare Bezugspunkte im analogen Raum Stichhaltige Faktoren weisen den Cyberraum als ein Betätigungsfeld aus, welches gegenüber staatlicher Hoheitsgewalt nicht immun ist.33 Zuvörderst sind hier die zwingend notwendigen physisch-terrestrischen Strukturen anzuführen, derer es bedarf, um digitale Kommunikation jedweder Art überhaupt stattfinden zu lassen.34 So ist Hardware in Gestalt von Servern, Routern oder anderen Endgeräten physisch-real verortet. Die für den Austausch einzelner Netzwerke bzw. einzelner an das Netzwerk angeschlossener Gerätschaften erforderliche Technologie ist in derselben Form von der genannten Hardware

28  Art. II Weltraumvertrag, wonach dieser nicht aneignungsfähig ist; Dietz, Der Krieg der Zukunft und das Völkerrecht der Vergangenheit, DÖV 2011, 465 (470); bzgl. der Ubiquität siehe auch Schmahl, Zwischenstaatliche Kompetenzabgrenzung im Cyberspace, AVR 2009, 284 (285) für die der Cyberraum drei grundlegende Charakteristika aufweist: Ubiquität, Mobilität und Anonymität. 29  So inter alia auch Schulze S. 112. 30  So auch Applegate, The Principle of Maneuver in Cyber Operations, in: Czossek/Ottis/Ziolkowki (Hrsg.), 4th International Conference on Cyber Conflict, 2012, 183 (191). 31  Patterson, Silencing the Call to Arms: A Shift Away From Cyber Attacks as Warfare, Loyola of Los Angeles Law Review 2015, S. 969 (978). 32  Nasu/McLaughlin S. 91; Patterson, 969 (979). 33  Vgl. Stadlmeier, Cyber Warfare und Neutralität, ZöR 2018, 59 (62). 34  Franzese, Sovereignty in Cyberspace: Can it Exist?, Air Force Law Review, Vol. 64, 2009, 1 (12); zustimmend Heintschel von Heinegg, Humanitäres Völkerrecht und neue Waffentechnologien, in: Gramm/Weingärtner (Hrsg.), Moderne Waffentechnologie. Hält das Recht Schritt?, Baden-Baden 2015, 13 (19), der die territoriale Souveränität als effektive Norm des Völkerrechts begreift, die man problemlos zumindest auf die Cyber-Infrastruktur anwenden könne.

36

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

abhängig wie das Fernsehen oder das Radio.35 Diese Hardware unterliegt der nationalen Jurisdiktion genauso wie jede andere örtliche Anlage.36 Das gilt im Übrigen auch für die an den jeweiligen Unternehmungen beteiligten Personen, und zwar auf Sender- und Empfängerseite, bzw. für Opfer und Täter.37 Die Tatsache, dass die globale Cyber-Infrastruktur physisch-real in Staaten rückgekoppelt ist und damit staatlicher Hoheitsgewalt unterfällt, lässt sich auch anhand eines weiteren Aspekts veranschaulichen: So ist es theoretisch möglich, der eigenen Bevölkerung bzw. Menschen die sich kumulativ in dem Einflussbereich einer Jurisdiktion und einer entsprechenden physischen Anlage aufhalten, den Zugang zum Internet oder Teilen des Internets zu drosseln oder ganz zu verwehren.38 Das Vorgesagte trifft erst recht auf rein lokale, nationale Netzwerke zu, wenn diese physisch überhaupt keinen Bezugspunkt in staatsfremdem Territorium haben. Den zuvor dargestellten Embedded Systems und Cyber-Physical Systems ist die Rückkopplung in die analoge Welt aufgrund ihrer Einbindung in einen physisch-realen Kontext dagegen immanent. 3. Zwischenergebnis Als Zwischenergebnis lässt sich festhalten, dass sich der Cyberraum insgesamt, d. h. unter Einbeziehung aller seiner aufgeführten Bestandteile, aufgrund seiner unabdingbaren Abhängigkeit von physischen Infrastrukturen, geographisch verorten lässt39 und sich damit (zumindest in der Theorie)40 staatlicher Hoheitsgewalt nicht entzieht.41 35  Hollis, Re-Thinking the Boundaries of Law in Cyberspace: A Duty to Hack?, in: Ohlin Govern/Finkelstein, Cyber War Law and Ethics for Virtual Conflicts, 2015, 129 (133). 36  so auch Woltag, Cyber Warfare, Military Cross-Border Computer Network Operations under International Law, S. 11. 37  hierauf zutreffend hinweisend Kanuck, Sovereign Discourse on Cyber Conflict, Texas Law Review, 1571 (1573). 38  Patterson, Silencing the Call to Arms: A Shift Away From Cyber Attacks as Warfare, Loyola of Los Angeles Law Review 2015, S. 969 (1011 f.). https://www. nytimes.com/2019/11/17/world/middleeast/iran-protest-rouhani.html; Nasu/McLaughlin, S. 85. 39  Nasu/McLaughlin, New Technologies and the Law of Armed Conflict, S. 91; noch einen Schritt weiter gehen Goldsmith/Wu, Who Controls the Internet? Illusions of a Borderless World, S. 181, die der Auffassung sind, dass es sich bei dem Cyberraum bereits nicht um einen „Raum“ handele. 40  so besteht natürlich die Problematik der Zurechnung und Rückverfolgung eines wie auch immer gearteten Angriffs; dazu umfangreich aus völkerrechtlicher Perspektive die Dissertation von Schulze; vgl. auch Gaycken, Die vielen Plagen des Cyberwar, in: Schmidt-Radefeldt/Meissler (Hrsg.), Automatisierung und Digitalisierung des



A. Der Cyberraum als Ort von Auseinandersetzungen 37

II. Kategorisierung der Auseinandersetzungen im Cyberraum 1. Cyber-War, Cyber-Terrorismus und Cyber-Kriminalität Im Folgenden werden die verbreitet gebrauchten Begrifflichkeiten CyberWar, Cyber-Terrorismus und Cyber-Kriminalität näher beleuchtet. a) Cyber-War – Ein Krieg im klassischen Sinne? Das Begriffspaar „Cyber-War“ ist zu einem Schlagwort der öffentlichen Diskussion avanciert und bedarf weniger aufgrund seiner rechtlichen Relevanz als vielmehr mit Blick auf die einleitend genannten Absichten einer Auseinandersetzung.42 Das Wort „Krieg“ (engl. „war“) ist Gegenstand einer Vielzahl von Definitionen, deren detaillierte Ausführung an dieser Stelle mit Blick auf die übergeordnete Fragestellung unergiebig wäre. Vielleicht ist die Definition von Carl von Clausewitz wegen ihres hohen Abstraktionsgrades und der damit verbundenen Zeitlosigkeit eine solche, der man gegenwärtig und zukünftig am ehesten zustimmen mag. Er bezeichnete Krieg u. a. als „eine bloße Fortsetzung der Politik mit anderen Mitteln“.43 Gleichwohl birgt diese Erklärung die Gefahr, die Frage nur zu verlagern, namentlich auf den Gegenstand von Politik im eigentlichen Sinne. Ungeachtet der Frage nach Art der Durchführung (analog oder digital), handelt es sich bei Krieg um einen Begriff, der jedoch weder grundgesetzlich noch völkerrechtlich (legal-) definiert ist. Es kann damit hinsichtlich der Bedeutung mitnichten von einem feststehenden Begriff gesprochen werden.44 Auch die Bemühung, das Verständnis von Krieges. Drohnenkrieg und Cyberwar als Herausforderungen für Ethik, Völkerrecht und Sicherheitspolitik, S. 89 (101 ff.). 41  so auch Schulze S. 112 f., der es jedoch nicht unter staatlicher Hoheitsgewalt, sondern unter Souveränität fasst; Schmahl, Cybersecurity, in: Berichte der Deutschen Gesellschaft für Internationales Recht, Band 47 (hrsg. von Dethloff, Nina/Nolte, Georg/Reinisch, August), Heidelberg 2016, S. 159 (184); Woltag, Cyber Warfare, Military Cross-Border Computer Network Operations under International Law, S. 57 f. 42  May, The Nature of War and the Ideal of „Cyberwar“, in: Ohlin/Govern/Finkelstein, Cyber War Law and Ethics for Virtual Conflicts, Oxford, 2015, 3 (15). 43  Vom Kriege, 1. Kapitel, 1. Buch, Unterkapitel 24 (Überschrift), daneben de­ finierte er Krieg auch folgendermaßen: „Der Krieg ist also ein Akt der Gewalt um den Gegner zur Erfüllung unseres Willens zu zwingen.“, 1. Buch, 1. Kapitel, Unter­ kapitel 2. 44  Siehe trotz dessen die im Jahr 2009 kontrovers geführte Debatte in der deutschen Öffentlichkeit im Zuge des ISAF-Einsatzes in Afghanistan unter Beteiligung

38

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

Krieg als die Abwesenheit von Frieden aufzufassen,45 ist wenig hilfreich, weil es sich bei „Frieden“ ebenfalls um einen nicht gesetzlich definierten Begriff handelt und das GG die Begriffe Krieg und Frieden auch nicht in im Zusammenhang (z. B. im Rahmen ein- und derselben Norm) erwähnt.46 Das Ziel ist es, eingedenk des Umstandes, dass eine Verrechtlichung bestimmter Begriffe bereits in der analogen Welt nicht erfolgt ist, Verständnis und eine gewisse Gelassenheit für die ausufernden Definitionen zum „Cyber-War“ zu schaffen. aa) Krieg als Begriff im Grundgesetz Im Grundgesetz findet sich Krieg als Teilwort an verschiedenen Stellen, gleichwohl ohne näher Auskunft darüber zu geben, was hierunter zu verstehen ist. Relevant sind in diesem Zusammenhang Art. 4 Abs. 3 S. 1 und Art. 26 Abs. 1 GG. Ersterer regelt das mit der Aussetzung der Wehrpflicht hinfällig gewordene Recht auf gewissensbedingte „Kriegsdienstverweigerung mit der Waffe“. Gleichwohl wird über den Zustand, in dem ebendieser Kriegsdienst (mittlerweile) zu leisten war, geschwiegen. Der Zusatz „mit der Waffe“ ist für sein Verständnis insoweit aufschlussreich, als der Verfassungsgeber offenkundig den Einsatz von Waffen mit dem Kriegsdienst verbindet. Jedoch ist dies weder überraschend noch trägt es mit Blick auf die Bandbreite dessen, was gerade mit Blick auf den vorliegenden Untersuchungsgegenstand unter Bewaffnung aufgefasst wird, wesentlich zur Konkretisierung bei. Hinzu kommt, dass die Aufnahme des Abs. 3 S. 1 als solches wie auch sein konkreter Wortlaut im parlamentarischen Rat stark umstritten war und mitunter gerade die Frage zum Gegenstand hatte, inwiefern der Einsatz „mit der Waffe“ das auslösende Element für eine kriegerische Konnotation darstellt und ob eine solche nicht wesentlich weiter zu verstehen ist, etwa bereits

der Bundeswehr, deren Gegenstand die Bezeichnung der Einsatzrealität vor Ort als „kriegsähnlicher Zustand“ war. Exemplarisch hierzu: http://www.faz.net/aktuell/ politik/inland/afghanistan-einsatz-guttenberg-kriegsaehnliche-zustaende-1883496. html. 45  diese niemandem spezifisch zurechenbare Auffassung hat zudem neue Diskussionen eröffnet, insbesondere die Frage nach der Unterscheidung in positiven und negativen Frieden. Während unter ersterem allein das Fehlen von gewaltsamen Auseinandersetzungen verstanden wird, wird letzterer Zustand als die Verwirklichung umfassender sozialer Gerechtigkeit verstanden; siehe dazu Bonacker/Imbusch, Zentrale Begriffe der Friedens- und Konfliktforschung: Konflikt, Gewalt, Krieg, Frieden, in: Imbusch/Zoll (Hrsg.), Friedens- und Konfliktforschung, 67 (126 f.). 46  Das GG nennt den Begriff Frieden neben der Präambel in den Art. 1 Abs. 2, 24 Abs. 2, 79 Abs. 1 und 115l Abs. 3.



A. Der Cyberraum als Ort von Auseinandersetzungen 39

im Zuge der Fabrikation von Bomben.47 Etwas aussagekräftiger ist Art. 26 Abs. 1 GG. Dieser nennt den Angriffskrieg als Unterfall aller Handlungen, die geeignet sind, das friedliche Zusammenleben der Völker zu gefährden.48 Für ein Verständnis des Wortes Krieg als Zustandsbeschreibung lässt sich Art. 115a GG in den Fokus nehmen. Art. 115a regelt als Teil der Notstandsverfassung in seinem Abs. 1 S. 1, dass die Feststellung des Verteidigungsfalls vom Bundestag mit Zustimmung des Bundesrates getroffen wird. Gleichzeitig wird der Verteidigungsfall hier legal definiert. In Betracht kommt eine Gleichsetzung des nach erfolgter Feststellung eintretenden Zustandes Verteidigungsfall mit dem Kriegszustand. In diese Richtung deutet eine Entscheidung des Bundesverfassungsgerichts, in der es die Feststellung des Verteidigungsfalls mit der früheren Kriegserklärung49 vergleicht.50 Unbeschadet der Art. 26 Abs. 1 und Art. 115a GG im Lichte der verfassungsgerichtlichen Rechtsprechung lassen sich dem Grundgesetz keine hinreichend aussagekräftigen Rückschlüsse auf einen durch den Verteidigungsfall begründeten Kriegszustand sowie einen im Zuge eines Angriffs begründeten Krieges gewinnen.

47  die hier relevante Begründung des Abgeordneten Heuß (FDP) ist umfassend dargestellt in Wiefelspütz, Das Parlamentsheer, Der Einsatz bewaffneter Streitkräfte im Ausland, der konstitutive Parlamentsvorbehalt und das Parlamentsbeteiligungsgesetz, S.  17 f. 48  Kritisch zustimmend Gerold Hübner (ehem. Government Security Director der Microsoft Corporation) im Vorwort bei Gaycken, Cyberwar, Das Internet als Kriegsschauplatz, S. 17, für den die Begriffe „Cyber War“ und „Cyber Warfare“ insofern herausragen, als nur wenige Termini in der aktuellen Sicherheitsdebatte einen vergleichbar großen Konnotationsbereich hätten, gleichzeitig aber so wenig Kontur hätten. 49  (Art. 11 Abs. 1 S. 2 RV 1871). 50  Siehe BVerfGE 90, 286, 384 in der das Gericht (zwar in anderem Zusammenhang) von der Kriegserklärung in Art. 11 Abs. 1 S. 2 der Reichsverfassung v. 1871 (RGBl. S. 63), bzw. die Abänderung desselben v. 28. Oktober 1918, über Art. 45 Abs. 2 der Weimarer Reichsverfassung auf zunächst Art. 59a Abs. 1 GG a. F. und sodann auf Art. 115a GG schließt und bzgl. des Wegfalls des Wortes Kriegserklärung von einer „Ersetzung“ desselben durch die „Feststellung, daß der Verteidigungsfall eingetreten sei“ spricht; zum Nichterfordernis einer Kriegserklärung siehe auch Thym, Zwischen „Krieg“ und „Frieden“: Rechtsmaßstäbe für operatives Handeln der Bundeswehr im Ausland, DÖV 2010, 621 (626); Welz, 60 Jahre Wehrpflicht – Geschichte der Wehrgesetzgebung in der Bundesrepublik Deutschland, NZWehrr 2017, 104 (115); siehe auch Münkler, Der Wandel des Krieges. Von der Symmetrie zur Asymmetrie, S.  30 ff., 142 f.

40

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

bb) Die Begrifflichkeit Krieg und das kodifizierte Völkerrecht Das ius ad bellum, soweit es in der UN-Charta geregelt ist, erwähnt den Begriff Krieg, außerhalb vereinzelter Bezugnahmen auf den Zweiten Weltkrieg51, überhaupt nicht.52 Der Begriff Krieg ist vielmehr in der völkerrechtlichen Praxis und Wissenschaft im Nachgang des zweiten Weltkrieges zur Kategorisierung von Konflikten durch das Begriffspaar international- und nicht-international bewaffnete Konflikt abgelöst worden.53 Dies liegt darin begründet, dass der Umgang mit dem Kriegsbegriff mit einigen Unsicherheiten behaftet war. So wurde das Austragen bewaffneter Kämpfe alleine als unzureichend angesehen. Neben diesem objektiven Faktum bedurfte es sowohl einer Erklärung des Krieges54 als auch eines subjektiven Elements, dem sog. Kriegsführungswillen55. Von beidem ist die Staatenpraxis abgerückt.56 Insbesondere das Beharren auf dem formalen Kriterium der Kriegserklärung birgt die Gefahr, dass die Anwendbarkeit des humanitären Völkerrechts solange suspendiert ist, bis der „Krieg“ formal erklärt wird und auf diese Weise in das Belieben der Konfliktparteien gestellt ist.57 Es gilt daher als wichtige Fortentwicklung, dass seit Begründung der vier Genfer Konventionen vom

51  Art. 53

Abs. 2, 77 Abs. 1 b) und 107 UNC. Begrifflichkeit ius ad bellum selbst enthält zwar den Begriff Krieg, findet jedoch keine Verwendung in der maßgeblichen UN-Charta, ferner wurde die Begrifflichkeit schon vor Schaffung derselben verwandt, Ipsen, Völkerrecht, § 51 Rn. 1. 53  V. Arnauld, Völkerrecht, Rn. 355; Ipsen, Völkerrecht, § 2 Rn. 39 und 62; Walter, Cyber Security als Herausforderung für das Völkerrecht, JZ 2015, 685 (686); zur grundsätzlichen Entwicklung des Kriegsbegriffs, Dinstein, War, Aggression and SelfDefense, S.  65 ff. 54  So bestimmte die 3. Haager Landkriegsordnung von 1907, dass die Feindseligkeiten nicht beginnen dürften, wenn nicht vorher eine unzweideutige Benachrichtigung der Gegenpartei stattgefunden habe. Diese Mitteilung könne entweder die Form einer begründeten Kriegserklärung oder die eines Ultimatums mit bedingter Kriegserklärung haben, siehe dazu: v. Waldkirch, Das Völkerrecht, S. 341 f.; näher dazu und m. w. N. Arndt, Wissenschaftlicher Dienst des Bundestages Fachbereich WD 2, Zur völkerrechtlichen Kategorisierung von Konflikten, S. 2. 55  Bothe, in: Graf Vitzthum/Proelß (Hrsg.), S. 599. 56  Herdegen, Völkerrecht, S.  434 f.; Wolff, Kriegserklärung und Kriegszustand nach klassischem Völkerrecht: mit einem Beitrag zu den Gründen für eine Gleichbehandlung Kriegführender, Berlin, 1990. 57  Arndt, aaO; mit Blick auf den Cyberraum als Ort der Auseinandersetzung hat der russische Generalstabschef Valery Gerasimov in einem Interview mit dem Military-Industrial Kurier, vom 27.02.2013 gesagt: „Wars are no longer declared (…).“, ausschnittweise abrufbar in englischer Übersetzung unter: http://usacac.army.mil/ CAC2/MilitaryReview/Archives/English/MilitaryReview_20160228_art008.pdf. 52  Die



A. Der Cyberraum als Ort von Auseinandersetzungen 41

12. August 194958 das Vorliegen eines bewaffneten Konflikts für dessen Anwendbarkeit als ausreichend erachtet wird.59 cc) Verständnis des sogenannten Cyberwars Nicht nur die im Rahmen der digitalen Auseinandersetzungen am häufigsten auftretende Begrifflichkeit des Cyberwars ist Gegenstand einer Vielzahl von Definitionen.60 Das Attribut Warfare wird auch im Zusammenhang mit einigen anderen themenbezogenen Begrifflichkeiten zahlreich verwendet.61 Deutsche Autoren definieren den Cyberwar lediglich insofern einheitlich, als (Computer)-Netzwerke als Angriffsmittel und Angriffsziel vorausgesetzt werden. Unterschiedliche Sichtweisen bestehen bereits bei der Beteiligtenfähigkeit. Während Woltag62 bzgl. der Beteiligung eines Staates, sei es unmittelbar oder im Wege der Zurechnung, nicht festgelegt zu sein scheint, verlangt Döge63 klar die direkte oder indirekte Beteiligung von Staaten auf beiden Seiten.64 Auffallend ist auch, dass selbst bei der Beteiligung des Militärs keine Einigkeit herrscht. So bezeichnet lediglich Woltag65 den Cyber-Angriff 58  Das I. Genfer Abkommen zur Verbesserung des Loses der Verwundeten und Kranken der Streitkräfte im Felde. Das II. Genfer Abkommen zur Verbesserung des Loses der Verwundeten, Kranken und Schiffbrüchigen der Streitkräfte zur See. Das III. Genfer Abkommen über die Behandlung der Kriegsgefangenen. Das IV. Genfer Abkommen zum Schutze der Zivilpersonen in Kriegszeiten. 59  Arndt, aaO; gleichwohl ist nicht abschließend geklärt, ob der Begriff des „bewaffneten Konflikts“ den „Kriegsbegriff“ vollständig ersetzt hat, siehe dazu Ipsen, Völkerrecht, § 38 Rn. 6. 60  dazu in jüngerer Vergangenheit Schmahl, Cybersecurity, in: Berichte der Deutschen Gesellschaft für Internationales Recht, Band 47 (hrsg. von Dethloff, Nina/ Nolte, Georg/Reinisch, August), Heidelberg 2016, S. 159 (163). 61  so z.  B. u. a. in Verbindung mit Information, Command-and-control, intelligence-based und electronic, siehe hierzu Libicki, What is Information Warfare?, der Cyberwarfare als einen der sieben Bereiche des Information Warfare auffasst und diesen wiederum unterteilt in u. a. information terrorism. S. 75 ff. 62  Nach Woltag handelt es sich bei Cyberkriegsführung um „military activity that primarily makes use of computer systems and networks in order to attack those of the adversary“, Cyber Warfare, in: Wolfrum (Hrsg.), Max Planck Encyclopedia of Public International Law Vol. II, 988 f. 63  Döge, Cyber Warfare. Challenges for the Applicability of the traditional Laws of War Regime, AVR 2010, 486 (489). 64  Döge, aaO stellt eine eigene Definition für cyber warfare auf: „The use of computers or network-based capabilities by a state, or a group or person whose actions can be attributed to a state, in order to launch an attack on another state.“ 65  Woltag, Cyber Warfare, aaO.

42

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

als militärische Aktivität, wohingegen sich Döge auf das Angriffsmedium und -ziel, namentlich Computernetzwerkkapazitäten beschränkt. Zwar lässt Woltags Definition den Schluss zu, dass dieser – ohne es explizit zu nennen – auch von der Beteiligung von zwei Staaten ausgeht, da nur diese über Strukturen und Kapazitäten verfügen, die als Militär bezeichnet werden.66 Im Hinblick auf Döges Definition bleibt indes unklar, ob sie nur dann auf einen Cyberwar erkennt, wenn die Computernetzwerkoperationen vom Militär durchgeführt werden. Ihr Wortlaut eröffnet jedenfalls die Möglichkeit, dass auch andere staatliche Institutionen wie z. B. nichtmilitärische Geheimdienste als Initiator in Frage kommen. Roscini, der den Cyberwar als Unterfall der Cyber Operation versteht, orientiert sich allein an völkerrechtlichen Maßstäben.67 Konkret macht er die Einordnung davon abhängig, ob es sich um einen bewaffneten Konflikt handelt und ob in diesem mittels Cybertechnologie gegen das Kriegsvölkerrecht verstoßen wurde.68 Eingedenk des Umstandes, dass das Verständnis des bewaffneten Konflikts aber selbst Gegenstand von divergierenden Auffassungen ist, die mitunter gerade an der Beteiligtenfähigkeit an einem solchen anknüpfen,69 ist auch Roscinis Auffassung nicht zielführend, um die Begrifflichkeit „Cyberwar“ klar zu umgrenzen. Vor dem Hintergrund, dass im weiteren Verlauf noch die Frage zu beantworten sein wird, was die militärische Durchführung einer Netzwerkoperation genau ausmacht und von nichtmilitärischen unterscheidet, ist es ferner auch unergiebig, wenn nicht zirkelschlüssig, gerade durch Streitkräfte geprägte Definitionen70 zu verwenden, die einzig entlang der Trennlinie militärischer und nicht militärischer Durchführung von Operationen differenzieren.71 Schmahl differenziert zwischen Cyber-Attack und Cyber-War anhand einer Erheblichkeitsschwelle, nach deren Überschreiten beide Begrifflichkeiten

66  dafür spricht jedenfalls sein Verständnis in Woltag, Cyber Warfare, Military Cross-Border Computer Network Operations under International Law, S. 24. 67  Roscini, Cyber Operations and the Use of Force in International Law, S. 10 f. 68  Roscini, aaO. 69  Ipsen, Völkerrecht, § 53 Rn. 10. 70  konkret sind hier die US-Streitkräfte gemeint, im Weißbuch der Bundeswehr findet der Begriff Cyberwar dagegen keine Erwähnung. 71  Exemplarisch hierfür ist die mittlerweile mehrfach geänderte Joint Chiefs of Staff, Information Operations (1998), Joint Publication 3-13, GL-6. Diese führt unter dem Begriff „electronic warfare (EW)“ folgendes aus: „Any military action involving the use of electromagnetic and directed energy to control the electromagnetic spectrum or to attack the enemy. (…) The three major subdivisions within electronic warfare are: electronic attack, electronic protection, and electronic warfare support.“



A. Der Cyberraum als Ort von Auseinandersetzungen 43

weitgehend identisch seien.72 Diese Abgrenzung dürfte im Einzelfall zu eng sein, da sie im Ergebnis allein auf den Vergleich mit den Resultaten konventioneller Angriffe hinausliefe. Hierzu bedarf es aber stets einer entsprechenden Vergleichsgruppe aus dem konventionellen Spektrum. Ohne an dieser Stelle übermäßig vorgreiflich zu sein offenbart ein Blick in die Realität jedoch, dass diese Vergleichsgruppe nur bedingt besteht, weil der Cyberraum wesentlich vielseitiger eingesetzt werden kann und sich insofern auch die Intensität nicht linear in Relation zum analogen Raum bestimmen lässt. dd) Zwischenergebnis Die Begriffe Cyberwar, Cyber Warfare sowie Cyber- und Computerkriegsführung werden auf dem Boden der obigen Ausführungen im Folgenden vermieden und durch den Oberbegriff der Computernetzwerkoperation, bzw. noch darzustellender genauerer Spezifikationen ebensolcher ersetzt. Maßgeblich hierfür ist einerseits der Umstand, dass der Terminus „Krieg“ bereits in der analogen Welt von bestenfalls untergeordneter rechtlicher Relevanz ist.73 Ferner ist mit Blick auf den Untersuchungsgegenstand, also ob und inwiefern der Cyberraum als Betätigungsfeld der Streitkräfte in Betracht kommt, jegliche Voreingenommenheit durch Begrifflichkeiten zu vermeiden.74 So ist es gerade Gegenstand der weiteren Untersuchung, Computernetzwerkoperationen am Aufgabenspektrum der Streitkräfte zu spiegeln. Die Bezeichnung bestimmter ebendieser Operationen als „War“ bzw. zu deutsch „Krieg“ führt zu Vordeterminationen im Hinblick auf anzustellende Anforderungen an Intensität und Auswirkung der Unternehmungen, deren Erfordernis und Entscheidungserheblichkeit in vorliegendem Werk gerade zum Gegenstand einer eingehenden Untersuchung gemacht werden soll.75

72  Schmahl, Cybersecurity, in: Berichte der Deutschen Gesellschaft für Internationales Recht, Band 47 (hrsg. von Dethloff, Nina/Nolte, Georg/Reinisch, August), Heidelberg 2016, S. 159 (163) verweist zwar auf Lin (Fn. 34), der jedoch tatsächlich kein Rangverhältnis entlang der Erheblichkeit erkennt; in diese Richtung lenkt auch die Lektüre von Gaycken/Karger, Entnetzung statt Vernetzung, MMR 2011, 3 ff., der m. w. N. zusammenfasst, wie der Umstand, dass es eine physische Auswirkung gab, die Bezeichnung als Cyberwar vorantrieb. 73  Vgl. hierzu auch Stadlmeier, Cyber Warfare und Neutralität, ZöR 2018, 59 (63 f.). 74  einen ähnlichen Weg wählt auch Walter, Cyber Security als Herausforderung für das Völkerrecht, JZ 2015, 685 (686 f.), der sich u. a. von den Begrifflichkeiten „Cyber War“, Cyber Warfare“ und „Cyber Crime“ löst und diese durch den Begriff des „incidents“ ersetzt, mit dem Ziel einer möglichst „neutralen Beschreibung“. 75  ähnlich auch Roscini, S. 10 m. w. N., der den Begriff „cyber war“ vermeidet „to avoid using outdated notions and superficial and misleading analogies; Walter, aaO.

44

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

b) Cyber-Terrorismus Mit der Begrifflichkeit Cyber-Terrorismus verhält es sich insofern ähnlich, als hier ebenfalls weder das Grundgesetz noch das einfache Recht eine Legaldefinition für das Verständnis von Terrorismus vorhält. Neben der Verwendung der Begrifflichkeit im einfachen Recht gibt es eine schier unübersichtliche Anzahl an außergesetzlichen Terrorismusdefinitionen.76 Verwertbare Anhaltspunkte über ein inhaltliches Verständnis sind zum einen der Rahmenbeschluss des Rates der Europäischen Union zur Terrorismusbekämpfung vom 13. Juni 200277, der als Grundlage für die Änderung bzw. Neufassung des § 129a StGB diente, zum anderen Art. 75 UAbs. 1 AEUV, der die Terrorismusfinanzierung zum Gegenstand hat. Sowohl der Rahmenbeschluss wie auch die Kommentierungen zum AEUV stellen Terrorismus in den Kontext von Straftaten.78 Damit lässt sich auch unter Cyber-Terrorismus eine bestimmte Kategorie von Straftaten auffassen mit der Folge, dass Cyber-Terrorismus grundsätzlich nur dann vorliegt, wenn Straftatbestände verwirklicht wurden. Diese klare Zuordnung wird jedoch durch den Beschluss des Nordatlantikrates vom 12. September 200179 gestört. Der Rat ordnete die Anschläge vom Vortag als Fall des Art. 5 NATO-Vertrag und damit den Bündnisfall auslösend ein, was impliziert, dass in den Anschlägen ein bewaffneter Angriff im Sinne des Art. 51 UNC erkannt wird. Zwar bestätigte der UN-Sicherheitsrat diese Einschätzung nicht, lehnte sie aber auch nicht ausdrücklich ab.80 So wurde lediglich das insofern neutrale Wort „Terroranschläge“ gebraucht. Die Problematik bei der Einordnung durch die NATO besteht darin, dass dieser zufolge, in Abkehr des herkömmlichen Verständnisses,81 offenbar auch Terroristen und damit nichtstaatliche Vereinigungen einen bewaffneten Angriff im Sinne des Völkerrechts verüben können und in der Konsequenz das staatliche Selbstverteidigungsrecht nach UN-Charta auslösen.82 Dieser Zwitterstellung des Terrorismus als nationalem Straftatbestand einerseits und Rechtsfolgen des Völkerrechts auslösend andererseits kann nur begegnet 76  Akhbar,

Cyber Crime and Cyber Terrorism Investigator’s Handbook, S. 11 ff. Nr. L 164 S. 3. 78  Siehe dazu exemplarisch Röben, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union 61. EL April 2017, Art. 75 AEUV Rn. 21. 79  abrufbar unter: http://www.nato.int/docu/pr/2001/p01-124e.htm. 80  UN-Dok. S/RES/1368 v. 12. September 2001. 81  Dieses kommt insb. in Art. 1 der von der Generalversammlung im Jahr 1974 angenommenen Definition der Aggression (Resolution 3314 (XXIX)) zum Ausdruck, in der es heißt: „agression is the use of armed force by a State against the sovereignty, territorial integrity or political independence of another State.“ 82  Umfangreich dargestellt bei Tomuschat, Der 11. September 2001 und seine rechtlichen Konsequenzen, EUGRZ 2001, 535 (540 f.). 77  ABl.



A. Der Cyberraum als Ort von Auseinandersetzungen 45

werden, indem man der durchaus angreifbaren, insgesamt jedoch vertretbare Argumentation der NATO folgt, dass es sich bei den Anschlägen vom 11. September 2001 um eine staatlich unterstütze bzw. einem Staat zurechenbare Unternehmung handelte.83 c) Cyber-Kriminalität Die Begrifflichkeit Cyber-Kriminalität ist insofern handhabbarer, als sie sich grundsätzlich allein auf diejenigen Handlungen beschränkt, deren Verwirklichung einen Straftatbestand darstellen. Hierzu zählen vornehmlich die §§ 202a, 202b, 202c, 303a und 303b StGB. Anzumerken ist dabei, dass es sich hierbei nicht nur um Straftaten handelt, die alleine die innere Sicherheit der Bundesrepublik Deutschland gefährden können. Ausweislich des § 4 Abs. 1 Nr. 5 BKAG sieht der Gesetzgeber diese vielmehr als geeignet an, neben der inneren auch die äußere Sicherheit der Bundesrepublik Deutschland zu beeinträchtigen.84 Eine Reduzierung der Begrifflichkeit Cyber-Kriminalität auf die innere Sicherheit, was regelmäßig bei der Betrachtung von Kriminalität geschieht, ist in Ansehung des Vorgenannten damit nicht angebracht. 2. Computernetzwerkoperationen Bei Computernetzwerkoperationen (kurz: CNO) handelt es sich um einen Sammelbegriff, der wiederum verschiedene Ausprägungen hat und mitunter das einschließt, was stellenweise als Cyberwar bezeichnet wird, ohne jedoch von vorneherein eine militärische Konnotation zu suggerieren. Auf der Grundlage des einleitenden Überblicks über den Cyberraum und seine Bestandteile lassen sich als CNO generell alle Unternehmungen auffassen, die zwischen den physischen Elementen des Cyberraums stattfinden.85 Was Ge83  siehe dazu die Erklärung des damaligen NATO-Generalsekretärs Robertson v. 2. Oktober 2001, der auf die „links between Al-Qaida and the Taleban regime in Afghanistan“ hinwies und diese daher als armed attack deklarierte, abrufbar unter: http://www.nato.int/docu/speech/2001/s011002a.htm; siehe auch Schneider, Der 11. September und die militärischen Reaktionen: Anwendbarkeit des humanitären Völkerrechts?, HuV-I 2001, 222 (224). 84  so begründet der Gesetzesentwurf die Kompetenz beim BKA mit der internationalen Dimension und der in der Regel hohen außenpolitischen Bedeutung in diesem Ermittlungsbereich (BT-Drs. 18/11163, S. 88). 85  So auch Melzer S. 5; zustimmend Patterson, Silencing the Call to Arms: A Shift Away From Cyber Attacks as Warfare, Loyola of Los Angeles Law Review, 969 (976); für ein umfassendes Verständnis hinsichtlich der Bezeichnung der Computernetzwerkoperationen auch Ziolkowski, Computernetzwerkoperationen und die Zusatzprotokolle zu den Genfer Abkommen, HuV-I 2008, 202 (203).

46

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

genstand solcher Operationen sein kann, wird im Lichte des Untersuchungsgegenstandes im Folgenden dargelegt. a) Cyber-Angriff  86 Ein Unterfall der Computernetzwerkoperationen sind Angriffe auf und mit ebensolchen Computernetzwerken. Ohne hier die weiter unten folgenden Darlegungen zu den Angriffsmitteln vorwegzunehmen ist hierunter mit der Cybersicherheitsstrategie 2016 eine Einwirkung auf ein oder mehrere andere informationstechnische Systeme im oder durch den Cyber-Raum zu verstehen, die zum Ziel hat, deren IT-Sicherheit durch informationstechnische Mittel ganz oder teilweise zu beeinträchtigen.87 Ergänzend ist das begriffliche Verständnis des International Commitee of the Red Cross zu verstehen: „Such operations can aim to do different things, for instance to infiltrate a computer system and collect, export, destroy, change, or encrypt data or to trigger, alter or otherwise manipulate processes controlled by the infiltrated system.“88 Es lässt sich damit festhalten, dass ein Angriff auf ein Computernetzwerk also stets die Veränderung der Arbeitsweise, der Struktur oder des Inhalts des jeweiligen Computernetzwerks zum Gegenstand hat,89 der im Extremfall destruktive Folgen für Sachwerte sowie 86  Dieser Begriff wird im weiteren Fortgang gleichbedeutend mit dem Begriff der Cyber-Attacke, der Computernetzwerk-Attacke, des Angriffs auf Computernetzwerke und den jeweiligen englischen Pendants verwendet. 87  Cyber-Sicherheitsstrategie für Deutschland 2016, S. 46; in der vorherigen Strategie von 2011, S. 14 f. hieß es noch, dass die Zielsetzung der Angriff auf die „Brechung“ der IT-Sicherheit abzielen muss; das Tallinn Manual on the International Law Applicable to Cyber Warfare, S. 92 ist in seiner Definition dagegen deutlich enger als beide: Hiernach stellt eine „Cyber attack“ nur dar, „(…) a cyber operation (…) that is reasonably expected to cause injury or death to persons or damage or destruction to objects.“ 88  so hat es Droege, Head of the Operational Law Unit, Legal Division, Interna­ tional Committee of the Red Cross (ICRC), in einem Interview vom 16. August 2011 formuliert, zu finden unter: https://www.icrc.org/eng/resources/documents/ interview/2011/cyber-warfare-interview-2011-08-16.htm; ähnlich Joint Chief of Staff, Information Operation, Joint Publication 3-13 (1998), I-9, allerdings mit dem Zusatz, dass nicht nur die Zerstörung des auf dem Computersystem vorhandenen Materials sondern auch die Zerstörung des Computersystems selbst, Gegenstand des Angriffs sein kann; mittlerweile ist die Definition allerdings in Gänze nicht mehr Bestandteil der US-Doktrin für Informationsoperationen. 89  Ähnlich auch Owens/Dam/Lin, Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities, S. S-1, die für eine „Cyberattack“ eine „destructive activity“ fordern; Schmahl, Cybersecurity, in: Berichte der Deutschen Gesellschaft für Internationales Recht, Band 47 (hrsg. von Dethloff, Nina/ Nolte, Georg/Reinisch, August), Heidelberg 2016, S. 159 (163) führt noch – als



A. Der Cyberraum als Ort von Auseinandersetzungen 47

Leib und Leben haben kann.90 Gleichwohl ist darauf hinzuweisen, dass die netzexterne Wirkung nicht als charakteristisch anzusehen ist, mithin auch eine reine netzinterne Wirkung qualifizierend ist.91 Mit Blick auf den weiteren Fortgang ist ferner darauf hinzuweisen, dass der Angriff dabei nicht zwingend zu offensiven Zwecken stattfinden muss, sondern gleichsam Gegenstand einer Verteidigungsmaßnahme sein kann.92 b) Cyber-Intrusion Die Beschäftigung mit der Begrifflichkeit Cyber-Intrusion (zu Deutsch: Eindringen) und die isolierte Darstellung derselben ist unter technischer wie im weiteren Fortgang auch rechtlicher Hinsicht relevant. Cyber-Intrusion ist keine eigene Form der Computernetzwerkoperation. Vielmehr handelt es sich um einen Begriff für das Frühstadium des Einbruchs in ein Computersystem, einem Zeitpunkt, zu dem noch nicht absehbar ist, welchen genauen Verlauf und welche Konsequenzen dieser haben wird.93 Die Cyber-Intrusion ist sich daher auf einer Zeitachse als der erste Punkt im Rahmen des Einbruchs in ein Netzwerk vorzustellen, auf den im weiteren Verlauf dann die Auswirkungen eines klassischen Angriffs auf Computernetzwerke bzw. der Cyber-Exploitation folgen können.94 Die Cyber-Intrusion kann daher im weiteren Verlauf jegliche Form der Informationsmanipulation, Steuerungssabotage und Spionage zur Folge haben.95

Teil der Definition – an, dass dieser Angriff „im Extremfall destruktive Folgen für Sachwerte und Leib und Leben haben kann“, wovon hier abgesehen wird, weil der Eindruck einer Verkürzung vermieden werden soll bzw. nicht von der Maßgabe einer grundsätzlichen derartigen Eignung als Voraussetzung ausgegangen werden soll. 90  So auch m. w. N. Schmahl, 159 (163). 91  Schmahl, 159 (162). 92  Schmitt, Tallinn Manual on the International Law Applicable to Cyber Warfare, Rule 30, S. 91 f.; so auch Ziolkowski, 202 (203). 93  So bezeichnet Giannelli, The Cyber Equalizer: The Quest for Control and Dominance in Cyber Spectrum, S. 135 eine Cyber-Intrusion typischerweise als „prelude“ eines Cyber-Angriffs. Mit Gaycken, in: Schmidt-Radefeldt/Meissler (Hrsg.), S. 89 (109), muss dies dann auch für eine „Cyber-Exploitation“ gelten. 94  So bezeichnet Giannelli dies, S. 133, „not always [as] a desastrous event, but always [as] an invasive event“. Verdeutlicht auch im Beitrag des Navy Cyber Defense Operations Command (NCDOC) mit dem Titel: It Can Happen to You: Know the Anatomy of A Cyber Intrusion, in dem unterschieden wird zwischen der Phase der „Intrusion“ und der „Malware Insertion“, abzurufen unter: http://www.navy.mil/ submit/display.asp?story_id=91603. 95  Nguyen, Navigating Jus Ad Bellum in the Age of Cyber, Warfare, California Law Review 2013, 1079 (1120).

48

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

Die Problematik besteht darin, dass das Opfer den Systemeinbruch (den sogenannten Hack) als solches im Zuge einzelner wahrnehmbarer Veränderungen, wenn überhaupt zwar feststellen kann, nicht jedoch den genauen Gegenstand sowie das Ausmaß des Einbruchs.96 Dieser Umstand birgt die Gefahr, dass eine Lagefeststellung über das Ausmaß der Bedrohung nur unzureichend erfolgen kann und ausgehend davon keine umfassende Verteidigungsstrategie erarbeitet werden kann. Beispielhaft hierfür steht der StuxnetWurm, der als gezielter Angriff u. a. auf das iranische Atomprogramm wegen seiner destruktiven Fähigkeiten international Aufmerksamkeit erzeugte.97 Hierbei handelte es sich um einen Computerwurm, der zunächst Systeme zur Überwachung und Steuerung des Herstellers Siemens im Iran manipuliert hatte, später aber auch in zahlreichen anderen Ländern auftauchte.98 Der Ablauf veranschaulicht die Problematik der Cyber-Intrusion: So hat sich der Wurm zu einem nicht eindeutig bekannten Zeitpunkt in die Steuerungsanlage installiert, stand gleichwohl einem reibungslosen Weiterbetrieb zunächst nicht entgegen.99 Von hier aus war der Wurm in der Lage automatisierte Sabotage durchzuführen. Traf der Wurm auf bestimmte Frequenzregler, deren Aufgabe die Regulierung der Drehgeschwindigkeit angeschlossener Motoren war, wurde er aktiv.100 Er sorgte in der Folge dafür, dass die Drehzahl dieser Motoren hoch- und runtergefahren wurde und störte so die angeschlossenen Prozesse und führte in der Folge zur Zerstörung von Zentrifugen.101 Allerdings verging zwischen der Einschleusung des Wurms und der Durchführung der Sabotage Zeit. So ist bekannt, dass die Steuerungsanlagen im Jahr 2010 erstmals sabotiert wurden.102 Der Umstand, dass die Erstellung der Programmdatei aber auf das Frühjahr 2009 rückdatiert wird, ist ein Anhaltspunkt 96  Gaycken,

Cyberwar, Das Internet als Kriegsschauplatz, S. 109. Krieg gegen anonymous, Völkerrechtliche Regelungsmöglichkeiten bei unsicherer Zurechnung im Cyberwar, AVR 2012, 1 (2); Theiler, Cyber-Defence als Herausforderung für die NATO: Angemessene Bedrohungsabwehr oder Umgang mit einem „Scheinriesen“, in: Schmidt-Radefeldt/Meissler (Hrsg.), Automatisierung und Digitalisierung des Krieges. Drohnenkrieg und Cyberwar als Herausforderungen für Ethik, Völkerrecht und Sicherheitspolitik, S. 130 (136). Dieser verweist auch auf den FAZ Artikel von Rieger v. 22.09.2010, der unter dem Titel „Der digitale Erstschlag ist erfolgt“ firmiert, abrufbar unter: http://www.faz.net/aktuell/feuilleton/debatten/ digitales-denken/trojaner-stuxnet-der-digitale-erstschlag-ist-erfolgt-1578889.html. 98  Perloth, Researchers Find Clues in Malware, NY Times v. 30.05.2012, abrufbar unter: http://www.nytimes.com/2012/05/31/technology/researchers-link-flame-virusto-stuxnet-and-duqu.html. 99  Gaycken, Stuxnet, Wer war’s und Wozu?, Zeit Online v. 25.11.2010, abrufbar unter: http://www.zeit.de/2010/48/Computerwurm-Stuxnet. 100  Gaycken, aaO. 101  Gaycken, aaO; Ipsen, Völkerrecht, § 52 Rn. 13 f.; Theiler, S. 137. 102  So etwa Giannelli, S. 135. 97  Krieger,



A. Der Cyberraum als Ort von Auseinandersetzungen 49

dafür, dass die Einschleusung ebenfalls weit vor dem Ausbruch erfolgt ist.103 Das Beispiel veranschaulicht die Unwissenheit nicht nur mit Blick auf die Frage, ob infiltriert wurde, sondern bejahendenfalls auch über welchen Zeitraum, in welcher Tiefe und mit welcher Absicht dies geschehen ist.104 c) Auf den Cyberraum abzielende Informationsoperationen Von Bedeutung ist es darüber hinaus, ein Verständnis über sogenannte Informationsoperationen und des als Unterfall105 derselben geltenden Informationskrieges zu schaffen. In diesem Zusammenhang ist auffallend, dass die Begrifflichkeit zunächst maßgeblich vom US-Militär (allgemeinzugänglich) aufgestellt und definiert wurde. Eingedenk der Tatsache, dass die als „das Internet“ bekannte zentrale Kommunikations-, Informations- und mittlerweile auch Angriffsplattform ihren Ursprung in einem Projekt aus den 60er Jahren hat, das maßgeblich vom US-amerikanischen Verteidigungsministerium unterstützt wurde,106 ist dies indes nicht überraschend. aa) Vom Mittel zur Aufklärung zur modernen Desinformationskampagne Die klassischen, in militärischer Hinsicht maßgeblichen Faktoren sind Kräfte, Raum und Zeit.107 Bereits der Vorgänger des aktuellen Weißbuchs zur Sicherheitspolitik und Zukunft der Bundeswehr aus dem Jahr 2006 hat indes die Verfügbarkeit von und den ungehinderten Zugang zu Informationen als Grundlage für sowohl den militärischen Entscheidungsprozess, wie auch die Befehlsgebung im Rahmen der Operationsplanung und -führung gleichbe-

103  So

etwa Giannelli, aaO. weist auch der Verfassungsschutzbericht des Bundes 2015 auf S. 248

104  Hierauf

hin.

105  Döge, Cyber Warfare. Challenges for the Applicability of the traditional Laws of War Regime, AVR 2010, 486 (488). 106  Ausgangspunkt war die sog. Advanced Research Projects Agency (Arpa), deren Name später im Zuge umfangreicher Förderung des Department of Defense in Defense Advanced Research Projects Agency (Darpa) geändert wurde und deren Mo­ tivation es war, die Möglichkeiten, die der Computer als Kommunikationsmedium bietet, zu entwickeln, vgl. Cohen-Almagor, Internet History, International Journal of Technoethics, 2011, S. 45 (47 f.); siehe auch Leiner et al., Brief History of the Internet, 2012, S. 3 ff., abrufbar unter: https://www.internetsociety.org/sites/default/files/ ISOC-History-of-the-Internet_2012Oct.pdf. 107  Hierauf genauer eingehend: Drechsler/Lünstedt/Lacroix, Informations-Opera­ tionen, „Cyberterrorismus“ und die Bundeswehr, S+F 2000, 130 (134); Münkler, Der Wandel des Krieges. Von der Symmetrie zur Asymmetrie, S. 141.

50

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

rechtigt neben diese Faktoren gestellt.108 Dabei ist zu beachten, dass die Erheblichkeit von Informationen für die Erfüllung des Auftrages und umgekehrt die Informationsunterlegenheit als Gefährdung desselben gerade in militärischer Hinsicht im Grundsatz jedoch kein neues Phänomen darstellt.109 Die Relevanz von Informationen im Rahmen der militärischen Aufklärung hat auch in der Gegenwart nicht ab-, sondern eher zugenommen.110 So haben die drei genannten Faktoren im Grundsatz zwar Bestand, der Einsatz von Informationstechnologie als Mittel der Aufklärung modifiziert sie jedoch. Während die Präsenz massiver Kräfte in umkämpften Einsatzräumen an Bedeutung verloren hat, nimmt die sog. „Echtzeitinformation“ als die Grundlage für die Koordination von schnellen Bewegungen und die Führung eines präzisen Feuerkampfes aus der Distanz zu.111 Der Faktor Raum nimmt in seiner klassischen Bedeutung ab, während er mit dem hinzukommenden Cyberraum eine Erweiterung erfährt, zu dessen Beherrschung es mit dem zuvor gesagten eines geringeren Kräfteansatzes bedarf.112 Der Faktor Zeit hat im Zuge der zunehmenden Echtzeitfähigkeit dagegen an Bedeutung gewonnen.113 Der Fokus schwenkt zunehmend weg vom Wirkmittel hin zur Aufklärung des Gegners.114 So hängt die effektive Wirkung entscheidend von der zeitgerechten Verfügbarkeit relevanter Lageinformationen und deren echtzeitgerechter Übertragung ab. Gerade im Zuge anhaltenden asymmetrischen Vorgehens stellt die effektive Begegnung mit Überwachungstechnologien wie Drohnen, Satelliten und anderen Fernerkennungssystemen in Verbindung mit Fernlenkungssystemen115 höchste Ansprüche an leistungsfähige Daten- und 108  Weißbuch zur Sicherheitspolitik und zur Zukunft der Bundeswehr v. 2006, S. 100. 109  Exemplarisch hierfür lässt sich die sogenannte Schlacht bei Tannenberg zwischen dem 26. und 30. August 1914 anführen. Hier konnten die deutschen Truppen, die in das südliche Ostpreußen eingedrungenen waren, die russischen Streitkräfte trotz zahlenmäßiger Unterlegenheit insbesondere deshalb schlagen, weil sie den russischen Funkverkehr abgehört hatten und so von den Russen nur eingeschränkt aufgeklärt werden konnten; Weiße, Informationsoperationen weltweit, S. 26. 110  Braitinger/Jansen, Moderne Kriegswaffen: Die technologische Perspektive, in: Gramm/Weingärtner (Hrsg.), Moderne Waffentechnologie. Hält das Recht Schritt?, 56 (57). 111  Braitinger/Jansen, aaO. 112  Braitinger/Jansen, aaO. 113  Gaycken aaO. 114  so beschrieben von Braitinger/Jansen, aaO. 115  Mitunter mittels sogenannter Precision Guided Munition, die bereits im zweiten Golfkrieg eingesetzt wurde, siehe NY Times Artikel vom 26.02.1991, abrufbar unter: http://www.nytimes.com/1991/02/26/science/invention-that-shaped-the-gulfwar-the-laser-guided-bomb.html?pagewanted=all.



A. Der Cyberraum als Ort von Auseinandersetzungen 51

Informationsübertragung.116 Auf diese Weise kann effektiv dem Umstand begegnet werden, dass sich der Gegner häufig nur schwer als solcher identifizieren lässt und es vermindert Kampflinien im klassischen Sinne gibt. Ein vergleichbar neues Phänomen ist es dagegen, dass mit Informationsoperationen eine Absicht verbunden wird, die (zumindest) von militärischen Operationen losgelöst ist, keinen Einsatz typischerweise dem Militär vorbehaltenen Gerätes bedarf, gleichwohl aber staatlich initiiert ist.117 Im Vordergrund steht die Verfolgung eines politischen Zwecks.118 Dieser liegt nicht selten in der Beeinflussung innenpolitsicher Vorgänge beim Adressaten und knüpft daher insbesondere an Kontroversen in der jeweiligen Zielgesellschaft an.119 Zwar ist auch die Ausübung staatlicher Propaganda in ihren unterschiedlichen Ausgestaltungen (militärisch oder nicht militärisch begleitet) als der systematische Versuch, öffentliche Meinungen und Sichtweisen zu formen, Erkenntnisse zu manipulieren und das Verhalten in eine vom Propagandisten erwünschte Richtung zu steuern,120 an und für sich kein neues Phäno116  näher dazu auch Gaycken, Cyberwar, Das Internet als Kriegsschauplatz, S. 40; Braitinger/Jansen, 56 (59) gehen noch einen Schritt weiter im Zuge der Beschreibung von Verteidigungssystemen, bei denen der Mensch aufgrund der Schnelligkeit nicht einmal mehr die Kontrollgewalt über die Auslösung hat („man-off-the-loop“). 117  dazu Kuehl, Information Operations, Information Warfare, and Computer Network Attack: Their Relationship to National Security in the Information Age, in: Schmitt/O’Donnell (Hrsg.), Computer Network Attack and International Law, Naval War College, 2002, S. 35 (53 f.); siehe in diesem Zusammenhang die seit 2015 gültige russische Militärdoktrin, abrufbar im Original unter: http://static.kremlin.ru/media/ events/files/ru/l8iXkR8XLAtxeilX7JK3XXy6Y0AsHD5v.pdf. Dazu gehört, wie es in der Doktrin heißt, die komplexe Anwendung militärischer Gewalt sowie politischer, wirtschaftlicher, informationstechnischer und anderer nicht-militärischer Mittel, sowie den subversiven Einsatz von Nachrichtendiensten im digitalen Raum. Die Doktrin im Einzelnen analysiert, in: Klein, Russlands neues Militärdoktrin, Stiftung Wissenschaft und Politik, abrufbar unter: https://www.swp berlin.org/fileadmin/contents/products/ aktuell/2015A12_kle.pdf. 118  Hollis, Why States Need an International Law for Information Operations, Lewis & Clark Law Review 2007, 1023 (1035); ungeachtet des nach Auffassung des Autors weiterhin geltenden Satzes von Clausewitz, dass Krieg die Fortsetzung der Politik mit anderen Mitteln sei, ist hier der politische Zweck als isoliert stehend zu betrachten; dies stellt nicht zuletzt auch der Facebook Report, im Zuge einer internen Revision der mit Informationsoperationen verfolgten Absicht fest, S. 5. 119  dies erkennt auch das Weißbuch zur Sicherheitspolitik und zur Zukunft der Bundeswehr v. 2016, S. 37 an, welches die Manipulation von Informationen auf Nachrichtenportalen, als „besondere Herausforderung für offene und pluralistische Gesellschaften“ bezeichnet. 120  Definition aus dem englischen, siehe dazu ausführlichst: Jowett/O’Donnell, Propaganda and Persuasion, S. 6 ff.: „Propaganda is the deliberate, systematic attempt to shape perceptions, manipulate cognitions, and direct behavior to achieve a response that furthers the desired intent of the propagandist“.

52

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

men.121 Gleichwohl bietet der Einsatz informationstechnischer Systeme, konkret die Verbreitung über Websites, soziale Medien und deren Interaktion, einen gegenüber herkömmlichen Distributionskanälen weit höheren potentiellen Adressatenkreis.122 Gelangen beispielsweise Falschmitteilungen über die sozialen Medien bzw. einzelne Internetauftritte hinaus sogar in die klassischen Medien, ist ob der Vielschichtigkeit zum einen der Verbreitungsgrad höher, zum anderen verleiht es der Mitteilung ein erhöhtes Maß an Glaubhaftigkeit. Dies hat zur Folge, dass aus Sicht des Absenders „wenigstens“ die Grenzen zwischen wahr und falsch, belegt und unbelegt verschwimmen und damit der Absicht des Absenders – Vertrauen in und die Glaubwürdigkeit staatlicher Institutionen generell erodieren zu lassen – Vorschub geleistet wird.123 bb) Begriffliches Verständnis Ein öffentlich zugängliches Begriffsverständnis über Informationsoperationen (IO) und Informationskriegsführung war zunächst nur über US-Militär121  Brunello, A Moral Compass and Modern Propaganda? Charting Ethical and Political Discourse, Review of History and Political Science 2014, S. 169 (187), der unter Erläuterung der Begrifflichkeiten „white“, „grey“ und „black“ Propaganda die Brücke aus dem 20. Jahrhundert in die jüngere Vergangenheit schlägt und hier insb. die Interessenpropagierung der US-Regierung ggü. der eigenen Bevölkerung im Zuge der Gründung des sog. „Office of Global Communication“ im Vorfeld des Irakkrieges 2003 ausführt; vgl. mit Fokus auf die mediale Begleitung des Irakkrieges 2003 mit konventionellen Medien auch Bussemer, Medien als Kriegswaffe. Eine Analyse der amerikanischen Militärpropaganda im Irak-Krieg, Aus Politik und Zeitgeschichte (APuZ) 2003, 20 (27 f.). 122  so weist das Papier der NSA, Background to „Assessing Russian Activities and Intentions in Recent US Elections“: The Analytic Process and Cyber Incident Attribution, S. 11, vom 06.01.2017 darauf hin, dass die Zahl der Youtube-Abonnenten von Russia Today America mit knapp 450 Mio. Nutzern sowohl die Anzahl der BBCAbonnenten, wie auch (deutlich) solche des amerikanischen Nachrichtennetzwerks CNN übersteigen, abrufbar unter: https://web-beta.archive.org/web/20170421222356/ https://www.dni.gov/files/documents/ICA_2017_01.pdf; so berichtet die FAZ unter dem Titel „Britischer Geheimdienst kann Internet manipulieren“ am 14.07.2014 davon, dass der britische Geheimdienst GCHQ über umfangreiche Möglichkeiten verfüge, Online-Umfragen zu beeinflussen, abrufbar unter: http://www.faz.net/aktuell/ politik/weitere-snowden-enthuellungen-britischer-geheimdienst-kann-internetmanipulieren-13046387.html; näher damit auseinandergesetzt: Dengg/Schurian, Zum Begriff der Hybriden Bedrohungen, in: Dengg/Schurian (Hrsg.), Vernetzte Unsicherheit – Hybride Bedrohungen, 23 (60). 123  Hierzu auch Hegelich, Invasion der Meinungsroboter, Analysen und Argumente Konrad-Adenauer-Stiftung, Ausgabe 221, September 2016, S. 3 f.; ebenfalls Thomas/ Grier/Paxson, Adapting Social Spam Infrastructure for Political Censorship, International Computer Science Institute, University of California, Berkeley, S. 2 ff.



A. Der Cyberraum als Ort von Auseinandersetzungen 53

quellen möglich. Während das Begriffspaar 1998 vom Vereinigten Generalsstab der US-Streitkräfte (Joint Chiefs of Staff) im Rahmen der Joint Doctrine for Information Operation noch sehr oberflächig definiert wurde, wurde es über die Jahre differenzierter gefasst.124 Mittlerweile wird darunter folgendes verstanden: „The integrated employment, during military operations, of information-related capabilities in concert with other lines of operation to influence, disrupt, corrupt, or usurp the decision-making of adversaries and potential adversaries while protecting our own.“125 An der Definition fällt neben der (urheberbedingten) militärischen Konnotation auf, dass das US-Militär Informationsoperationen nicht isoliert betrachtet, sondern stets im Kontext mit anderen Operationsformen, es ihnen also unterstützenden Charakter beimisst.126 Das vordergründige Ziel besteht darin, Informationshoheit bzw. -überlegenheit gegenüber dem Gegner zu erreichen.127 Der Begriff Information Warfare dagegen wird, anders als noch 1998, zumindest in der US-amerikanischen Militärdoktrin mittlerweile nicht mehr verwandt.128 Das deckt sich insofern mit der vorhergehenden Bearbeitung, als der Kriegsbegriff ohnehin nur geringen Mehrwert bietet. Ferner wurde die Unterteilung in offensive IO und defensive IO aufgegeben. Es lässt sich die Überlegung anführen, dass die Abkehr vom Begriff der Informationskriegsführung auf die Mittel zurückzuführen ist, die heutzutage ausreichen, um eine Informationsoperation durchzuführen. Diese sind nicht mehr staatlichen Institutionen, geschweige denn dem Militär vorbehalten. Die Tatsache, dass sich der Konzern Facebook als der weltweit nutzerstärkste Betreiber 124  So wurde in der 1998er Doktrin folgendes unter Information Operations verstanden: „Actions taken to affect adversary information and information systems while defending one’s own information and information systems. Also called IO. (S. GL-7)“; unter Information Warfare verstand man: „Information operations conducted during time of crisis or conflict to achieve or promote specific objectives over a specific adversary or adversaries. Also called IW (S. GL-7).“ Ausführlich bei Dittmar, S. 32 f. und Schulze S.  8 f. 125  Joint Chiefs of Staff, Information Operations (1998), Joint Publication 3-13 v. 27. November 2012, S. GL-3. 126  Dies lässt sich zudem belegen mit dem Field-Manual „information operations“ 100-6 vom August 1996, in dem es auf S. iii heißt, dass IO unterstützend zu anderen Operationen eingesetzt werden. 127  100-6 S.  iii (maintain information dominance), 1998er S. vii und 2012er S. GL-3 („achieve and sustain the level information superiority“); zur Frage, ob es sich bei der Durchführung von Informationsoperationen um einen Verstärker herkömmlicher Kriegsführung oder um neuartige Kriegsführung handelt, siehe Dittmar S.  30 m. w. N. 128  Bestätigend Döge in Cyber Warfare. Challenges for the Applicability of the traditional Laws of War Regime, AVR 2010, 486 (489).

54

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

von sozialen Netzwerken129 im Nachgang der US-Präsidentschaftswahlen 2016 veranlasst fühlte, seinen Stellenwert für die Durchführung von Informationsoperationen grundsätzlich und bezogen auf den Wahlkampf darzulegen,130 verdeutlicht, dass diese mittlerweile nicht mehr dem Militär (entgegen der US-Doktrin von 1998) und auch nicht bewaffneten Konflikten vorbehalten sind. Der Konzern Facebook versteht unter Information Operations bezeichneten Unternehmungen folgendes: „Actions taken by governments or organized non-state actors to distort domestic or foreign political sentiment, most frequently to achieve a strategic and/or geopolitical outcome. These operations can use a combination of methods, such as false news, disinformation, or networks of fake accounts (false amplifiers) aimed at manipulating public opinion.“131 Bei Vergleich der beiden Definitionen fällt auf, dass sie sich mit Blick auf die mit Informationsoperationen intendierte Wirkung ähneln. So ist das Erzielen einer strategisch und/oder geopolitischen Auswirkung (strategic and/ or geopolitical outcome) im Zuge einer Informationsoperation durchaus dem Beeinflussen und Korrumpieren (to influence (…) corrupt) der Entscheidungsfindung des Gegners (the decision-making of adversaries) vergleichbar, wenn man berücksichtigt, dass die Verwendung der Worte „strategisch“ und „geopolitisch“ (Facebook-Definition) auf einen staatlichen Bezug hindeuten, welcher der militärischen Definition (wegen des Einsatzes des Militärs) ja schon immanent ist. Selbstverständlich haben diese Definitionen keine Allgemeinverbindlichkeit.132 Gleichwohl indiziert ihr Vergleich eine Verbreiterung 129  Nachweis darüber abrufbar unter: http://www.pewinternet.org/2016/11/11/ social-media-update-2016/; in § 1 Abs. 1 des NetzDG werden soziale Netzwerke nunmehr legaldefiniert als „Telemediendiensteanbieter, die mit Gewinnerzielungsabsicht Plattformen im Internet betreiben, die dazu bestimmt sind, dass Nutzer beliebige Inhalte mit anderen Nutzern teilen oder der Öffentlichkeit zugänglich machen (soziale Netzwerke)“, BT-Drucksache 18/13013, abrufbar unter: https://www.bundestag.de/ dokumente/textarchiv/2017/kw26-de-netzwerkdurchsetzungsgesetz/513398; siehe aber auch Nolte, Hate-Speech, Fake-News, das „Netzwerkdurchsetzungsgesetz“ und Vielfaltsicherung durch Suchmaschinen, 552 (555), der die Weite der Definition kritisiert, indem er darauf hinweist, dass neben klassischen Diensten wie Facebook und Twitter auch Sharing-Plattformen (z. B. YouTube, Pinterest, Snapchat und Instagram) sowie E-Commerce-Plattformen, E-Mail- und internetbasierte Kurznachrichtendienste erfasst würden. 130  siehe Weedon et al., Information Operation and Facebook, Version 1.0, 27. April 2017, S. 4, abrufbar unter: https://fbnewsroomus.files.wordpress.com/2017/04/facebookand-information-operations-v1.pdf. 131  Weedon et al., S. 5. 132  Brangetto/Veenendaal, Influence Cyber Operations: The Use of Cyberattacks in Support of Influence Operations, in: Pissanidis/Rõigas/Veenendaal (Hrsg.), 8th In-



A. Der Cyberraum als Ort von Auseinandersetzungen 55

des Verständnisses für inter alia die Urheber sowie die beanspruchten Mittel.133 Auch in Deutschland hat die Begrifflichkeit der Informationsoperationen Einzug in den sicherheitspolitischen Diskurs gehalten. Das aktuelle Weißbuch zur Sicherheitspolitik und zur Zukunft der Bundeswehr weist die ungehinderte Nutzung von Informationslinien als Grundlage für Prosperität und Wohlstand aus.134 Im Zuge dieser Abhängigkeit wird die Reaktions- und Abwehrfähigkeit sowie Resilienz gegen Informationsoperationen als „unverzichtbar“ bezeichnet.135 Daneben werden auch in der aktuellen Cyber-Sicherheitsstrategie für Deutschland Informationsoperationen aufgegriffen. Anders als im Weißbuch wird hier jedoch nicht die ökonomische Unverzichtbarkeit des Informationsraums herausgestellt, sondern die gezielte Verbreitung von Falschmeldungen, zur Desinformation und Manipulation der öffentlichen Meinung „als langfristig[e] Gefahren für die freiheitliche Gesellschaft und die Demokratie“ bezeichnet.136 Gleichwohl lassen beide Dokumente insbesondere Aufschluss darüber vermissen, ob hier die Informationsoperationen lediglich in ihrem Stellenwert als Flankierung militärischer Betätigung gemeint sind oder umfassender zu verstehen sind. cc) Betrachtungsgegenstand im Rahmen des Sammelbegriffs Informationsoperationen Die Bandbreite an möglichen Informationsoperationen lassen sich in den Kontext der Computernetzwerkoperationen bzw. diesen nachgeordneten Angriffen auf Computernetzwerke folgendermaßen eingliedern: Der Angriff auf ein Computernetzwerk kann eine Informationsoperation oder ein Teil einer solchen darstellen, sofern die Intention in der Informationsgewinnung und/ oder Informationsunterbindung oder Informationsverbreitung besteht.137 Es ternational Conference on Cyber Conflict, 2016, 113 (115), die auf die Vielzahl an Definitionen hinweisen und selbst von „Influence Operations“ sprechen. 133  Schmahl, Cybersecurity, in: Berichte der Deutschen Gesellschaft für Internationales Recht, Band 47 (hrsg. von Dethloff/Nolte/Reinisch), Heidelberg 2016, S. 159 (164 ff.), die sieben systematische Eigenheiten von Cyberoperationen benennt. 134  siehe Weißbuch zur Sicherheitspolitik und zur Zukunft der Bundeswehr v. 2016, S. 41, 50 und 56. 135  Weißbuch zur Sicherheitspolitik und zur Zukunft der Bundeswehr v. 2016, S. 38. 136  Cyber Sicherheitsstrategie für Deutschland 2016 auf S. 5. 137  so auch Owens/Dam/Lin, S. 1–5; Dittmar, S. 35; Möckli, Informationsoperationen: Trends und Kontroversen, Center for Strategic Studies (CSS) ETH Zürich, Mai 2008, S. 1 (2); Indikator für Überschneidungen ist auch der Umstand, dass für die Informationsoperationen der Begriff der Informations-Infrastruktur geschaffen wurde,

56

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

lässt sich also nicht trennscharf voneinander abgrenzen, sondern es gibt Überschneidungen. Bereits anhand der zuvor genannten Definitionen wird jedoch deutlich, dass Informationsoperationen nicht grundsätzlich auf Computernetzwerke angewiesen, sondern umfassender aufzufassen sind.138 Der vorliegende Betrachtungsgegenstand ist auf den Einsatz von Computernetzwerken beschränkt. Er umfasst daher insbesondere Vorgehen, die gegen die Verfügbarkeit, Vertraulichkeit und Integrität fremder bzw. gegnerischer Systeme gerichtet sind.139 Gleichsam kann sich eines Netzwerkes auch als Verbreitungsmedium bedient werden, um Informationen oder Desinformationen zu streuen.140 Für alle Variationen gilt wiederum die Möglichkeit einer offensiven wie defensiven Dimension, was sich bereits aus dem Umstand erklärt, dass die offensive Nutzung denklogisch die defensive Abwehrfähigkeit herausfordert.141 In der Praxis bedingen sich Angriffe auf Computernetzwerke mit dem Ziel der Erlangung von Daten und Informationsoperationen regelmäßig in dem Sinne, dass zunächst in Netzwerke, beispielsweise solche von Regierungen oder Parlamenten eingebrochen wird und die erlangten Informationen dann zu entsprechender Zeit im Original oder unterfüttert mit Falschinformationen mit zuvor genannter Zielsetzung veröffentlicht werden.142 d) Cyber-Exploitation Über das inhaltliche Verständnis der sogenannten Cyber-Exploitation143 besteht Uneinigkeit, weil die Begrifflichkeit in verschiedenen Kontexten so Joint Chiefs of Staff, Information Operations (1998), Joint Publication 3-13, S. GL-8 und I-13, deren Angriff gleichsam einen Angriff auf ein Computernetzwerk darstellt, obgleich die Bezeichnung in der Militärdoktrin mittlerweile aufgegeben wurde; Brangetto/Veenendaal, 113 (117). 138  so auch Owens/Dam/Lin, aaO. 139  So etwa Weiße, Informationsoperationen weltweit, S. 27. 140  siehe die weiter vorne erwähnte Facebook-Publikation; siehe auch das Weißbuch zur Sicherheitspolitik und zur Zukunft der Bundeswehr v. 2016, S. 37. 141  in der Doktrin des Join Chiefs of Staff (2012) sind die offensive und defensive Information Operations nicht mehr isoliert als solche aufgeführt, jedoch werden offensive und defensive Cyberoperationen in Unterstützung von Informationsoperationen angeführt, S. II-9; siehe auch Jurich, Cyberwar and Customary International Law: The Potential of a „Boom-up“ Approach to an International Law of Information Operations, Chicago Journal of International Law, 275 (277). 142  In diesem Zusammenhang stellt Weiße, Informationsoperationen weltweit, S. 26 die Behauptung auf, Computernetzwerkoperationen würden zukünftig das Schwergewicht der Informationsoperationen ausmachen. 143  auch Computernetzwerk-Exploitation bezeichnet; zu Deutsch: Ausnutzung.



A. Der Cyberraum als Ort von Auseinandersetzungen 57

verwandt wird. So wird nicht einheitlich beurteilt, ob der Cyber-Exploitation eine selbstständige Berechtigung neben den zuvor dargestellten Angriffen auf Computernetzwerke bzw. den Informationsoperationen zukommt oder es sich um einen Unterfall einer solchen handelt. Ungeachtet der inhaltlichen Einordnung gebietet es der Umstand, dass es sich bei der Cyber-Exploitation um eine in der Fachliteratur verbreitet verwendete Formulierung handelt, die Auseinandersetzung mit ihr.144 Die Verschiedenartigkeit der Einordnungen lassen sich auf den Wortlaut zurückführen: So wird in der Fachsprache des Computings die Suche nach Missbrauchsmöglichkeiten als „Exploitation“ bezeichnet.145 Entsprechende Sicherheitslücken werden als „exploits“ bezeichnet.146 Konsequent dem Wortlaut folgend lässt sich „Cyber-Exploitation“ daher als die Bandbreite der Ermöglichungen im Zuge des Einbruchs in ein Computersystem verstehen.147 Da ein Hack den Ausgangspunkt zur Durchführung eines Angriffs auf ein Computernetzwerk darstellt, ist es nachvollziehbar die „Ausnutzung“ begrifflich nicht eigenständig, sondern dem Spektrum des weiter vorne angeführten Bereichs der Angriffe auf Computernetzwerke zuzuordnen.148 Hinzu kommt, dass sowohl die Durchführung einer Cyber-Attacke als auch eine Cyber-Exploitation in einem Dreiklang stattfindet: Erstens bedarf es einer Schwachstelle im System (engl. vulnerability). Zweitens eines Zugangs zu dieser Schwachstelle und Drittens der Ausführung (verschiedener Natur, alternativ oder kumulativ durchgeführt) im engeren Sinne (im englischen als „Payload“149 bezeichnet).150 Der Unterschied zwischen der CyberExploitation und dem Cyber-Angriff besteht erst in der Natur dieser Payload, die wiederum vom erstrebten Ziel abhängt.151 Die Herauslösung der Cyber-Exploitation aus dem Umfeld der Angriffe auf Computernetzwerke wird mit der Verschiedenartigkeit der Absichten, die 144  Auch wenn bspw. die Joint Chiefs of Staff, Information Operations (2012), Joint Publication 3-13, auf S. GL-3 anzeigen, dass die Begrifflichkeit der Computer Network Exploitation zukünftig nicht mehr verwendet wird; siehe dagegen nur Owens/Dam/Lin, S. 2-51. 145  Erickson, Hacking: Die Kunst des Exploits, S. 7 Fn. 1. 146  Erickson, Hacking: Die Kunst des Exploits, aaO. 147  Gaycken, Cyberwar, Das Internet als Kriegsschauplatz, S. 138 f. u. 229. 148  Gaycken, Cyberwar, Das Internet als Kriegsschauplatz, S. 138. 149  Nguyen, 1079 (1092), nach dem die „Payload (…) to the component of a computer virus [refers] that executes a malicious activity, once the vulnerability has been exploited.“ 150  Owens/Dam/Lin, S. 2-2; siehe hierzu auch Lin, Cyber Conflict and International Humanitarian Law; International Review of the Red Cross Cross 94 (2012), 515 (518). 151  Owens/Dam/Lin, aaO.; Lin, aaO.

58

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

typischerweise mit Cyber-Exploitations einerseits und mit Angriffen auf Computernetzwerke (den sogenannten Cyber-Attacken) andererseits verfolgt werden, begründet.152 Mit Cyber-Exploitation wird in der Fachliteratur die Informationsbeschaffung aus gegnerischen Computernetzwerken explizit zum Zwecke der Spionage bezeichnet.153 Bisweilen firmiert diese Unternehmung auch unter dem Begriff Cyberreconaissance (zu Deutsch: Ausspähung).154 Die Cyber-Exploitation stellt damit eine Variante der allgemein gefassten Informationsoperationen dar.155 Charakteristisch ist, dass die Absicht gerade nicht darauf abzielt, die gewöhnliche Arbeitsweise des Computersystems zu stören.156 Die Differenzierung zwischen den Begrifflichkeiten Angriff auf Computernetzwerke und Computernetzwerk-Exploitation ist für den weiteren Fortlauf von Relevanz. So ist die Unterscheidung von Aktivitäten, die eine Veränderung bzw. Beschädigung in einem System zur Folge haben in rechtlicher Perspektive nämlich unter Umständen anders zu beurteilen als die Informationsbeschaffung/Spionage ohne „substanzielle“ System- oder Netzwerkschädigung. e) Zwischenergebnis zu den Computernetzwerkoperationen Zusammenfassend lassen sich auf dem Boden der vorangegangenen Ausführungen demnach vier Kategorien von Computernetzwerkoperationen ausdazu etwa Owens/Dam/Lin, S. 2-51. Vorwort S. viii und S. 2-51 f., der die Bandbreite beschreibt, von staatlicher Spionage bis hin zur Industriespionage einzelner Unternehmen; Ziolkowski, HuV-I 2008, 202 (203); Gaycken benutzt den Begriff „Cyberreconaissance“ meint aber inhaltlich dasselbe, in ders., Cyberwar, Das Internet als Kriegsschauplatz, S. 138; Gaycken, Die vielen Plagen des Cyberwar, in: Schmidt-Radefeldt/Meissler (Hrsg.), Automatisierung und Digitalisierung des Krieges. Drohnenkrieg und Cyberwar als Herausforderungen für Ethik, Völkerrecht und Sicherheitspolitik, S. 89 (109). 154  So z. B. Gaycken, in: Gaycken, Cyberwar, Das Internet als Kriegsschauplatz, S. 138; ders., Die vielen Plagen des Cyberwar, in: Schmidt-Radefeldt/Meissler (Hrsg.), Automatisierung und Digitalisierung des Krieges. Drohnenkrieg und Cyberwar als Herausforderungen für Ethik, Völkerrecht und Sicherheitspolitik, S. 89 (109). 155  In diese Richtung zielt auch die Cyber-Sicherheitsstrategie für Deutschland 2011, S. 14 f., indem sie anhand des Urhebers differenziert, ob es sich um eine CyberSpionage (hier: Cyber-Exploitation) oder um eine Ausspähung (hierzu Informationsoperationen zählend) handelt. 156  Lin, Cyber Conflict and International Humanitarian Law; International Review of the Red Cross Cross 94 (2012), 515 (518) führt hierzu veranschaulichend an, dass die beste Cyber-Exploitation diejenige sei, die der Nutzer niemals mitbekommt. 152  Siehe

153  Owens/Dam/Lin,



A. Der Cyberraum als Ort von Auseinandersetzungen 59

machen: Cyber-Angriffe, Cyber-Intrusion, auf den Cyberraum abzielende Informationsoperationen sowie die Gruppe der Cyber-Exploitation. 3. Mischphänomene: „Hybride Konflikte“ und „Hybride Kriegsführung“ Der Umstand, dass das aktuelle Weißbuch der Bundeswehr auf den Stellenwert hinweist, der Computernetzwerkoperationen als Bestandteil hybrider Konfliktaustragungen zukommt, gebietet die inhaltliche Auseinandersetzung mit dieser Thematik.157 „Hybride Kriegsführung“ wurde in jüngerer Vergangenheit vornehmlich mit der russischen Vorgehensweise im Zuge der Annexion der Halbinsel Krim im Jahr 2014 und dem andauernden russischen Engagement in der Ostukraine in Verbindung gebracht. Gleichwohl ist die Bezeichnung eines Konflikts als „hybride“ älter. Es handelt sich dabei ähnlich der Begrifflichkeit der Computernetzwerkoperation um einen Sammelbegriff. Dieser ist nicht etwa komplementär zu den bereits genannten Variationen von Computernetzwerkoperationen aufzufassen, vielmehr nimmt er bisweilen einzelne Elemente ebensolcher auf. Grundsätzlich lässt sich die Hybridität eines Vorgehens auf zwei verschiedene Weisen als solches bezeichnen: Einerseits in Abgrenzung zur klassischen Form militärischer Konfliktaustragung anhand qualitativer Merkmale. Demnach ist ein Konflikt dann als hybride zu bezeichnen, wenn er unterhalb der klassischen militärischen Auseinandersetzung anzusiedeln ist.158 Zum anderen dann, wenn er verschiedene Arten, Mittel und Strategien der Konfliktaustragung vereint.159 Die Bestrebungen beider Formen hybrider Konfliktaustragung lassen sich mit einem Zitat von Sun Tsu zusammenfassen: „Die größte Leistung besteht darin, den Widerstand des Feindes ohne einen Kampf zu brechen.“160

157  Weißbuch zur Sicherheitspolitik und zur Zukunft der Bundeswehr v. 2016, u. a. S. 35, 38, 65; so auch Hector, Hybride Kriegsführung: Eine neue Herausforderung?, ZaöRV 2016, 513 (515). 158  Hector, 513 (516). 159  So auch Brettner-Messler, Hybride Bedrohungen: eine Reflexion über Ableitungen aus strategischen Dokumenten der EU, in: Dengg/Schurian (Hrsg.), Vernetzte Unsicherheit – Hybride Bedrohungen 151 (151 f.). 160  Sunzi, in: Die Kunst des Krieges, (Hrsg. James Clavell), S. 8.

60

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

a) Verwischung der Grenze zwischen Krieg und Frieden An die erstgenannte Betrachtungsweise knüpft das aktuelle Weißbuch der Bundeswehr an. Dieses versteht unter einem hybriden Konflikt den Einsatz von Mitteln, die zu einer „Verwischung der Grenze zwischen Krieg und Frieden“161 sowie zur Verschleierung der Rolle als Angreifer und Konfliktpartei162 führen.163 Maßgeblich sei der Einsatz (nicht näher konkretisierter) militärischer Mittel unterhalb der Schwelle eines konventionellen Krieges.164 Diese Verwischung kann denklogisch nur dann bewerkstelligt werden, wenn Mittel eingesetzt werden, die sich entweder überhaupt nicht oder zumindest nicht ohne weiteres einer klassischen Militäroperation zurechnen lassen, oder der Anschein generiert wird, der Einsatz militärischer Mittel sei gerechtfertigt.165 Das Verständnis der Hybridität ist hier also zustandsbezogen. Wie weiter vorne dargelegt, ist der klassische „Krieg“, wie auch der „Frieden“, als Richtgröße jedoch äußerst schwammig und durch das Begriffspaar des internationalen und nichtinternationalen bewaffneten Konflikts zu ersetzen. Die völkerrechtliche Schwelle zur Gewaltanwendung kann ein Orientierungspunkt sein um die Hybridität auszumachen.166 b) Kombination des Einsatzes verschiedener Mittel und Methoden Auslöser für die Bezeichnung eines Krieges als hybride war die Flankierung des Einsatzes konventioneller militärischer Mittel und Methoden mit anderen Einsatzformen.167 Der Militäranalyst William Nemeth sprach bereits 161  siehe Weißbuch zur Sicherheitspolitik und zur Zukunft der Bundeswehr v. 2016, S. 65, wo insbesondere auf die der Verwischung folgende Schwierigkeit der Feststellung des Bündnisfalls nach Art. 5 des NATO-Vertrags hingewiesen wird. 162  siehe Weißbuch, S. 39; in diesem Zusammenhang ist auch der Einsatz von Soldaten ohne Hoheits- und Dienstabzeichen durch Russland in der Ukraine zu erwähnen. 163  So auch Hector, 513 (514), der die Intention in der „Schaffung einer Atmosphäre der Unsicherheit sieht“. 164  Weißbuch zur Sicherheitspolitik und zur Zukunft der Bundeswehr v. 2016, S. 38. 165  seit der Annexion der Krim durch Russland stehen hierfür sinnbildlich die sogenannten „kleinen grünen Männchen“, bei denen es sich augenscheinlich um Soldaten handelte, deren Einsatz jedoch mangels Hoheitsabzeichens nicht belastbar einem Staat zugerechnet werden konnte, dazu Hector, 513 (517); http://www.bbc.com/news/ world-europe-31796226. 166  hierzu auch Hector, 513 (520). 167  die konventionellen Mittel als Basis auffassend: Unterrichtung durch die deutsche Delegation in der Interparlamentarischen Konferenz für die Gemeinsame Außenund Sicherheitspolitik und die Gemeinsame Sicherheits- und Verteidigungspolitik



A. Der Cyberraum als Ort von Auseinandersetzungen 61

im Zusammenhang mit dem zweiten Tschetschenienkrieg (1999–2009) im Jahr 2002 von hybrider Kriegsführung, beschränkte sich jedoch auf den Aspekt des gleichzeitigen Einsatzes von regulären und irregulären Kräften, konkret in Gestalt der Flankierung regulärer Einheiten mit Guerilla-Kämpfern.168 Eine ähnliche Konnotation erfuhr der Begriff im Rahmen des Libanonkrieges 2006, den der amerikanische Sicherheitsexperte Frank G. Hoffmann als „clearest example of a modern hybrid challenger“169 bezeichnete, weil die vom Iran unterstütze Hizbullah Waffensysteme einsetzte, die aus dem Arsenal nationalstaatlicher Armeen herrührten.170 Richtigerweise handelt es sich aber gerade bei der Kombination aus regulären und irregulären Kräften um kein neues Phänomen. So wird die Verwendung der Begrifflichkeit mittlerweile gerade deshalb kritisiert, weil sie lediglich mit einem anderen Wort beschreibe, was ein „Krieg“ nach der Clausewitz’schen Auffassung ausmacht: Die Fortsetzung der Politik mit anderen Mitteln, deren Mischung eher die Regel als die Ausnahme darstelle.171 So erscheint es nachvollziehbar, dass die Begrifflichkeit im derzeit aktuellen Tagung der Interparlamentarischen Konferenz für die Gemeinsame Außen- und Sicherheitspolitik und die Gemeinsame Sicherheits- und Verteidigungspolitik vom 4. bis 6. März 2015 in Riga, Drucksache BT Drucksache 18/5138, 11.06.2015, S. 5. Abrufbar unter: http://dip21.bundestag.de/dip21/btd/18/051/1805138.pdf. 168  Nemeth, Future war and Chechnya: A Case for Hybrid Warfare, 2002, S. 4: Im Vordergrund stand hier die These, dass ursächlich für die Kombination aus irregulären und regulären Kräften eine hybride Gesellschaft sei, die sowohl Elemente aus pre-state- und modern societies enthält und sich dieser Umstand auf die Kriegsführung auswirke. 169  Hofman, Conflict in the 21st Century: The Rise of Hybrid Wars, Arlington 2007, S. 35. 170  namentlich Boden-Luft-Raketen und tiefgestaffelte Verteidigungsstellungen samt moderner Führungssysteme; Hofman, aaO; dazu auch Oprach, Hybrid Warfare – neue Dimension der terroristischen Bedrohung, Die politische Meinung 2012, 59 (59 f.); auch im Kontext dieser Form von Hybridität nennenswert ist die Aufstellung der Mudschaheddin im Zuge der Bewaffnung durch die USA im AfghanistanKrieg mit Stinger-Raketen, weil ein grundsätzlich einem Staat vorbehaltenes Waffensystem für eine nichtstaatlichen Akteur vorgehalten wurde, dazu detailliert: Johnson, Military Capabilities for Hybrid War, S. 4, abrufbar: http://www.rand.org/content/ dam/rand/pubs/occasional_papers/2010/RAND_OP285.pdf. 171  So van Puyvelde, Hybrid war – does it even exist?, 2016, der sich von dem Begriff gänzlich distanziert und in Anlehnung an Clausewitz sagt: „(…) I believe ­decision-makers should stay away from it and consider warfare for what it has always been: a complex set of interconnected threats and forceful means waged to further political motives“, abrufbar unter: http://www.nato.int/docu/review/2015/ Also-in-2015/hybrid-modern-future-warfare-russia-ukraine/EN/; ebenso Schreiber, Der neue unsichtbare Krieg? Zum Begriff der „hybriden“ Kriegsführung, Aus Politik und Zeitgeschichte 2016, 1 (3), abrufbar unter: http://www.bpb.de/apuz/232962/derneue-unsichtbare-krieg?p=all; siehe auch Murray, in: Murray/Mansoor, Fighting Complex Opponets from the Ancient World to the Presence, S. 289 ff.

62

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

NATO-Strategiepapier von 2010 keine gesonderte Erwähnung findet.172 Die weiter vorne angesprochenen Schwierigkeiten in Zusammenhang mit der Bezeichnung eines Konflikts als „Krieg“ wirken sich auch auf die Bezeichnung eines solchen als hybride aus. Für diesen ist es unter Abkehr vom klassischen Kriegsverständnis dann nämlich nicht maßgeblich, ob der Konflikt teilweise unter Einsatz konventioneller militärischer Mittel geführt wird, mit der Folge, dass jegliche gemischte Form der Einwirkung auf einen Staat qualifizierend ist.173 c) Die Rolle der Computernetzwerkoperationen im Rahmen der hybriden Kriegsführung Der Einsatz von Computernetzwerkoperationen spielt in beiden dargestellten Richtungen der Qualifizierung als hybride eine zunehmende Rolle. So liegt es nahe, dass die angesprochenen Verwässerungen auch durch den unterstützenden Einsatz von beispielsweise Cyberangriffen und/oder Informationsoperationen verschiedener Zielrichtung bewerkstelligt werden können. Ziel kann hier die Verschleierung der eigenen Absichten und Verantwortlichkeit174, über die Verschaffung eines Rechtfertigungsgrundes gegenüber der eigenen bzw. gegnerischen Bevölkerung oder internationaler Organisationen bis hin zur schlichten Destabilisierung des Gegners oder umgekehrt der Verschaffung von Rückhalt bei Teilen der gegnerischen Bevölkerung175 oder aber schlichte Machtprojektion176 sein. 172  gleichwohl werden im Communiqué des NATO-Gipfels von Warschau 2016 die hybriden Bedrohungen als eigenständig neben anderen, u. a. den Cyber-Bedrohungen genannt, abrufbar unter: www.nato.int/cps/bu/natohq/official_texts_133168.htm; NATO Generalsekretär Stoltenberg bezeichnet die hybride Kriegsführung in einer Keynote-Speech vom 25.03.2015 als „as old as the Trojan horse“, abrufbar unter: http://www.nato.int/cps/on/natohq/opinions_118435.htm. 173  So van Puyvelde, aaO; Schreiber, aaO; Murray, aaO; siehe auch Eidman, der in der NZZ vom 17.3.2018 unter der Überschrift „Russland erprobt den ersten hybriden Weltkrieg“ den Giftgasanschlag auf den Ex-Spion Skripal v. 4.3.2018 in Großbritannien zum Anlass nimmt, neben diesem und der Verbreitung von Fake-News auch Geldwäsche sowie die Unterstützung eines bestimmten Parteienspektrums als Elemente der hybriden Kriegsführung anführt, abrufbar unter: https://www.nzz.ch/ meinung/der-erste-hybride-weltkrieg-ld.1365857. 174  Dengg/Schurian, Zum Begriff der Hybriden Bedrohungen, in: Dengg/Schurian (Hrsg.), Vernetzte Unsicherheit – Hybride Bedrohungen, S. 23. 175  dazu instruktiv Cronin, Cyber-Mobilization: The New Levée en Masse, Summer 2006, 77 (86): „The information revolution is not just changing the way people fight, it is altering the way people think and what they decide to fight for“; führt man sich vor Augen, dass knapp mehr als 25 Prozent der Bevölkerung in Lettland und 50 Prozent der Bewohner der lettischen Hauptstadt ethnische Russen sind, wird deutlich welches Potential solche Unternehmungen haben können.



B. Gegenstand und Durchführung von Computernetzwerkoperationen 63

d) Rechtliche Einordnung und Zwischenergebnis In rechtlicher Hinsicht kommt dem hybriden Konflikt kaum mehr Bedeutung zu als dem zuvor thematisierten Kriegsbegriff. Es kommt für die Frage, ob ein Verstoß gegen das völkerrechtliche Gewaltverbot vorliegt bzw. ein bewaffneter Angriff anzunehmen ist, allein auf die Subsumtion unter die einschlägigen Vorschriften in Verbindung mit den völkerrechtlichen Praktiken und den damit einhergehenden Problematiken an.177 Einzig das Perfidieverbot aus Art. 37 Abs. 1 ZP I, bzw. die Ausnahme hierzu in Art. 37 Abs. 2 scheinen die Thematik im weitesten Sinne ansatzweise zu erfassen. So fallen sogenannte Kriegslisten nicht unter Perfidie.178 Darunter sind Handlungen zu verstehen, die einen Gegner irreführen oder ihn zu unvorsichtigem Handeln veranlassen sollen, jedoch keine Regel des in bewaffneten Konflikten anwendbaren Völkerrechts verletzen und nicht heimtückisch im Sinne des Abs. 1 sind. Als Beispiele werden Tarnung, Scheinstellungen, Scheinoperationen und irreführende Informationen aufgeführt. Allerdings kommen die Genfer Abkommen nur im Zuge international bewaffneter Auseinandersetzungen vollständig zur Anwendung, ihre Einschlägigkeit steht also unter der Bedingung des Vorliegens eines bewaffneten Konflikts. Gerade hier kommt dem hybriden Konflikt aber keine eigenständige Bedeutung zu. Für den hier zugrundeliegenden Untersuchungsgegenstand ist erstens festzuhalten, dass Computernetzwerkoperationen im Kontext sogenannter hybrider Konflikte aus beiden dargestellten Betrachtungswinkeln eine wachsende Rolle einnehmen. Dabei ist zweitens zu konstatieren, dass der Begriff der hybriden Bedrohung, -Kriegsführung oder schlicht des Konflikts als eigene Kategorie keinen Mehrwert bietet.

B. Gegenstand und Durchführung von Computernetzwerkoperationen Die folgenden Ausführungen geben Aufschluss darüber, unter Verwendung welcher technischen Mittel Computernetzwerkoperationen durch wen durchführt werden und auf welche technische Weise das System des (potentiellen) Opfers genau beeinträchtigt wird. Dabei wird beleuchtet, gegen welche Ziele 176  Dengg/Schurian, Zum Begriff der Hybriden Bedrohungen, in: Dengg/Schurian (Hrsg.), Vernetzte Unsicherheit – Hybride Bedrohungen, 23 (24). 177  hier sei nur exemplarisch auf die völkerrechtlich äußerst kontrovers diskutierten Fragestellungen verwiesen, ob und wann eine Computernetzwerkoperation gegen das Gewaltverbot verstößt bzw. einen bewaffneten Angriff darstellt, bzw. einem Staat zurechenbar ist. 178  Dargstellt bei Ipsen, Völkerrecht, § 61 Rn. 20.

64

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

sich die Angriffe richten und welche Absichten hier seitens der Protagonisten verfolgt werden. Ausgehend davon wird auch auf die anteilsmäßige Verteilung der verschiedenen Vorfälle eingegangen.

I. Ziele und Methoden der Angriffe Während zunächst die Herausarbeitung des begrifflichen Verständnisses von Computernetzwerkoperationen im Kontext der verschiedenen Formen von Aktivitäten im Cyberraum im Vordergrund stand, sind im Folgenden die Ziele und Methoden Gegenstand der Betrachtung. Da die Wahl des Mittels davon abhängt, welche Angriffsziele mit der jeweiligen Unternehmung angesteuert werden, bedingen sich beide einander und lassen sich nicht losgelöst voneinander betrachten. Ausgangspunkt der Ausführungen ist die mit Computernetzwerkoperationen angestrebte Wirkung und nicht die jeweilige Methode oder der Grad ihrer Einwirkung auf das Computersystem.179 Die zur Verständlichkeit erforderlichen technischen Details werden en passant jeweils dort vertieft, wo sie systematisch einzubetten sind und bei sich wiederholenden Methoden in der Folge ohne Erläuterung erwähnt. 1. Nichtverfügbarkeit von Diensten und Anlagen Im Folgenden steht die temporäre oder dauerhafte Nichtverfügbarkeit eines Dienstes, einer körperlichen Anlage oder der Kombination aus beidem im Vordergrund. Es geht demnach nicht um die Zerstörung von Soft- oder Hardware, sondern allein darum, dass ein Dienst oder eine Anlage bzw. Teile davon nicht mehr in ihrer üblichen Weise funktionieren, bzw. angesteuert werden können.

179  Schmahl, Cybersecurity, in: Berichte der Deutschen Gesellschaft für Internationales Recht, Band 47 (hrsg. von Dethloff/Nolte/Reinisch), Heidelberg 2016, S. 159 (162), wählt dagegen einen eher technischen Ausgangspunkt, indem sie nach dem Einwirkungsgrad differenziert, in Gestalt der Unterscheidung nach intrusiven und nicht-intrusiven Angriffsmethoden. Im Gegensatz zu ersteren dringen letztere nicht in das Computersystem ein, greifen es also nicht gezielt an, sondern wirken sich nur auf die Funktionsfähigkeit des Systems aus; die vorliegend gewählte Herangehensweise spricht dieses Kriterium zwar an, differenziert jedoch nicht hierentlang. Gleichwohl kann es im weiteren Verlauf der Arbeit sehr wohl einen Unterschied machen, mit welchem Grad der Einwirkung auf das System zugegriffen wird; Schmitt, Computer Network Attack and the Use of Force, in: International Law: Thoughts on a Normative Framework, Columbia Journal of Transnational Law 37 (1999), 885 (892 f.) beschreibt die einzelnen Angriffe auf Computernetzwerke dagegen auch ausgehend von ihrem Zielobjekt in der Außenwelt.



B. Gegenstand und Durchführung von Computernetzwerkoperationen 65

a) Angriffsziele Gegenstand der Angriffe sind hierbei Dienste und physische Anlagen. Dabei sind unter Diensten sämtliche Anwendungen eines Netzwerks (z. B. des Internets und hier insbesondere des World Wide Web) zu verstehen, die sich allesamt netzwerkintern abspielen. Mit Anlage ist grundsätzlich jeder körperliche, physisch-reale Gegenstand gemeint, mitunter solche der sog. kritischen Infrastruktur.180 Gleichsam unter Anlagen fällt auch die Hardware der Informationsinfrastruktur, also z. B. Computer und Netzwerke, aber auch Antennen, die für die Erreichbarkeit und Verfügbarkeit von Informationen erforderlich sind. b) Methoden aa) Überlastung des Zielsystems Zunächst besteht die Möglichkeit eine Nichtverfügbarkeit im Zuge der Überlastung des Zielsystems zu bewerkstelligen. Diese geschieht im Zuge einer sogenannten DDoS/DoS Attacke. Wörtlich betrachtet handelt es sich bei DoS und DDoS zwar lediglich um die englische Bezeichnung eben der Nichtverfügbarkeit eines Dienstes, sodass die Frage für den Grund der Unterkate­ gorisierung aufkommen mag. Jedoch handelt es sich hierbei um einen Eigennamen innerhalb der Nichtverfügbarkeitsmethodiken, der eine bestimmte Durchführungsmethode zum Gegenstand hat, die sich von anderen Nichtverfügbarkeitsoperationen unterscheidet. Einfache DoS-Angriffe werden auch „Flooding“ („Überschwemmung“) genannt, weil in der meistverbreiteten Form der Attacke eine überwältigende Menge an Anfragen und Datenpaketen an das anvisierte Ziel gesendet wird und es im Zuge dessen quasi „überschwemmt“ wird und schlussendlich unter der Last zusammenbricht.181 Das Resultat ist ein Denial of Service, der Server ist also nicht mehr ansprechbar.182 180  Ohne an dieser Stelle bereits detaillierter auf das Verständnis zu kritischen Infrastrukturen einzugehen, werden jedenfalls solche davon erfasst, die in § 2 Abs. 10 BSIG genannt sind. Dazu gehören Anlagen der Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. 181  Sklerov, Solving the Dilemma of State Responses to Cyberattacks: A Justification for the Use of Active Defenses against States who neglect their Duty to prevent, Military Law Review 201 (2009), 1 (16 f.); BSI Bericht S. 28; siehe auch: So funktionieren DDoS-Angriffe, abrufbar unter: https://www.computerwoche.de/a/sofunktionieren-ddos-angriffe,3329263,3; Benatar, The Use Cyber Force, Need for Legal Justification, Goettingen Journal of International Law 2009, 375 (377). 182  http://www.searchsecurity.de/antwort/Der-Unterschied-zwischen-DNSReflection-und-herkoemmlichen-DoS-Angriffen.

66

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

Bei der verwandten DDoS (Distributed Denial of Service) -Attacke werden die Angriffe nicht nur über einen Rechner ausgeübt, sondern von einer Vielzahl von Rechnern.183 Hierbei wird sich häufig sogenannter Botnetze beholfen.184 Die Einrichtung eines Botnetzes stellt einerseits selbst einen Angriff dar, dient als Durchgangsstadium aber ferner der Durchführung der eigentlichen Angriffe.185 Jedoch ist die Einrichtung von Botnetzen nicht auf die Durchführung von DDoS-Attacken beschränkt.186 Hierbei handelt es sich um einen Verbund von internetfähigen Geräten mit dem Ziel der kontrollierten Aktivierung und Nutzung im Interesse des Initiators.187 Da grundsätzlich jedes internetfähige Gerät Teil eines solchen Verbundes werden kann, sind neben klassischen PCs und Internetrouter zunehmend auch Mobiltelefone betroffen.188 Erst kürzlich waren im November 2016 über 900.000 Kundenanschlüsse der Deutschen Telekom von Internet- und Telefonieausfällen betroffen, deren Internet-Router/-Modems, entsprechend der Absicht des Angreifers, Teil eines Botnetzes werden sollten.189 Der Zugriff auf die Bots, die aufgrund ihrer Fernsteuerung auch Zombies genannt werden, erfolgt über zentrale Systeme, die von den Botnetz-Betreibern kontrolliert werden und die es ermöglichen, den Bots Steuerbefehle zu schicken.190 Diese Systeme werden als „Command-and-Control-Server“ (C&C-Server) oder „Botmaster“ bezeichnet.191 Der Botnetzbetreiber gewinnt die Zombies über getarnte Computerprogramme in Downloads oder E-Mail Anhängen.192

183  Yu weist in Distributed Denial of Service Attack and Defense, 2014, S. 3 darauf hin, dass die DDoS-Attacke neben der Überflutungsvariante auch auf eine andere Weise bewerkstelligt werden kann. 184  Diese sind auch Trägermethode zur Durchführung weiterer Angriffe, wie dem Versand von Spam oder zur Verbreitung von Ransomware. 185  Sklerov, Solving the Dilemma of State Responses to Cyberattacks: A Justification for the Use of Active Defenses against States who neglect their Duty to prevent, Military Law Review 201 (2009), 1 (16 f.). 186  Sklerov, aaO. 187  Yu, Distributed Denial of Service Attack and Defense, 2014, S. 3 und Graphik S. 4. 188  BSI-Papier zum Schutz Kritischer Infrastrukturen durch IT-Sicherheitsgesetz und UP KRITIS, S. 7. 189  Pressebericht des BSI vom 28.11.2016, abrufbar unter: https://www.bsi.bund. de/DE/Presse/Pressemitteilungen/Presse2016/Angriff_Router_28112016.html; laut BSI Papier, aaO., waren die Angriffe auf die Internet-Router/-Modems jedoch nicht erfolgreich. 190  BSI Bericht S. 26; Bhattacharyya/Kalita, DDoS Attacks: Evolution, Detection, Prevention, Reaction, and Tolerance, S. 5. 191  BSI Bericht S. 26; Bhattacharyya/Kalita, S. 5. 192  Wilson, Congressional Research Report Congress: Botnets, Cybercrime, and Cyberterrorism: Vulnerabilities and Policy Issues for Congress, 2008, S. 5 ff.



B. Gegenstand und Durchführung von Computernetzwerkoperationen 67

Ein botnetzgestützter DDoS-Angriff bedarf keiner nennenswerten finanziellen Ressourcen oder sonstiger Kapazitäten.193 So wird sich – sofern das Opfer über das Internet erreichbar ist – in der Ausführungsphase häufig des für jedermann verfügbaren Domain Name Systems (DNS) bedient. Hierbei handelt es sich um den unentbehrlichen Namensauflösungsdienst, der die in den Browser eingegebenen Informationen in die IP-Adresse umwandelt und auf diese Weise zum beabsichtigten Internetanschluss führt.194 Bei einer sogenannten DNS Amplification Attack, einer Variante des DDoS-Angriffs, wird hierbei der Umstand ausgenutzt, dass die Antwort des Namensauflösungsdienstes regelmäßig umfangreicher ist als die Anfrage, was mit einer höheren Beanspruchung an Rechenkapazität einhergeht.195 Werden nun durch den Einsatz eines Botnetzes von einer Vielzahl an internetfähigen Geräten gleichzeitig dieselben Anschlüsse angefragt, wird der Internetanschluss überlastet und kann zumindest vorübergehend nicht mehr verwendet werden.196 Aus der Vielzahl an Internetauftritten lässt sich auf die Vielzahl der möglichen Beweggründe schließen.197 Neben den in diesem Zusammenhang vielzitierten, nun aber schon länger zurückliegenden, mehrwöchigen DDoS Attacken auf Estland198 (2007) oder Georgien199 (2008), ist in jüngerer Vergangenheit gerade mit Blick auf die dazu Wilson, aaO. Bericht S. 17; Zuckerman et al., Pihelgas, Back-Tracing and Anonymity in Cyberspace, in: Ziolkowski (Hrsg.), Peacetime Regime for State Activities in Cyberspace. International Law, International Relations and Diplomacy, 31 (36). 195  Distributed Denial of Service Attacks Against Independent Media and Human Rights Sites, in: The Berkman Center for Internet & Society at Harvard University 2010, S. 17; ferner weist dies. darauf hin, dass vereinzelt Angreifer bereits in der Lage waren, die in Anspruch genommenen Ressourcen pro Aufruf auf das 76-fache zu erhöhen, abrufbar unter: https://www.opensocietyfoundations.org/reports/distributeddenial-service-attacks-against-independent-media-and-human-rights-sites. 196  BSI Bericht S. 17. 197  So wurde z. B. der Internetdienstleister Dyn am 21.10.2016 Opfer eines solchen Angriffs, mit der Folge das zahlreiche Internetdienstleister wie u. a. Twitter, Spotify, Netflix, eBay, Paypal vorübergehend nicht verfügbar waren, näheres dazu abrufbar unter: https://www.tagesschau.de/wirtschaft/hackerangriff-dyn-101.html. 198  Dieser richtete sich u. a. gegen Computersysteme der Regierung, des Parlamentes, der Tageszeitungen, Universitäten, Krankenhäuser, Banken und Notrufverbindungen, dazu Krieger, Krieg gegen anonymous, Völkerrechtliche Regelungsmöglichkeiten bei unsicherer Zurechnung im Cyberraum, AVR 2012, 1 (11), Schulze, S.  28 f.; seinerzeit der bis dato schwerste DDoS-Angriff; Siedler, Hard Power in Cyberspace: CNA as a Political Mean, in: Pissanidis/Rõigas/Veenendaal (Hrsg.), 8th International Conference on Cyber Conflict, 2016, 23 (29). 199  Kozlowski, Comparative Analysis of Cyberattacks on Estonia, Georgia and Kyrgyzstan, European Scientific Journal 2014, 237 (239 f.); Wilson, Congressional Research Report for Congress: Botnets, Cybercrime, and Cyberterrorism: Vulnerabilities and Policy Issues for Congress, 2008, S. 7 f.; Siedler, 23 (33). 193  umfangreich 194  BSI

68

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

als relativ simpel beschriebene DNS-basierte Angriffsmethode die Lahmlegung einiger durch das Bundespresseamt betriebener Internetauftritte, wie die Webseite des Deutschen Bundestages und der Bundeskanzlerin am 07. Januar 2015, erwähnenswert.200 bb) Schadsoftware und Ransomsoftware Eine Nichtverfügbarkeit kann ferner mittels Schadsoftware erreicht werden.201 Diese firmiert auch unter dem Namen Malware und bezeichnet Computerprogramme, die unerwünschte und/oder schädliche Funktionen auf einem infizierten Computer ausführen.202 Unter Ransomware ist eine absichtsbezogene Variante der Schadsoftware zu verstehen, die den Zugriff auf Daten und Systeme einschränkt oder verhindert und diese Ressourcen nur gegen Zahlung eines Lösegeldes („ransom“) im Idealfall wieder freigibt.203 Die Zahlung des Lösegeldes soll in der Regel durch den Einsatz von Krypto-Währungen wie Bitcoin erfolgen. In jüngerer Vergangenheit hat hier der als Trojaner auftretende Wurm Wannacry öffentliche Aufmerksamkeit erzielt, der neben den Anzeigetafeln der Deutschen Bahn u. a. auch die Computersysteme britischer Krankenhäuser in London, Blackpool und Hertfordshire zum Ziel hatte und die Funktionsfähigkeit der Anzeigen bzw. den Zugriff auf die Computersysteme von der Zahlung eines Lösegeldes abhängig machte.204 Ein wesentliches Instrument zur 200  Hierzu die Bestätigung des Regierungssprechers Seibert, abgedruckt in ­eit-Online, abrufbar unter: http://www.zeit.de/digital/internet/2015-01/bundestagZ bundeskanzlerin-cyberberkut-angriff-webseiten. 201  Hathaway et al., The Law of Cyber-Attack, Faculty Scholarship Series, 2012, Paper 3852, 817 (828). 202  BSI Bericht S. 18; Hathaway et al., aaO; Waxman, Cyber-Attacks and the Use of Force. Back to the Future of Article 2 Abs. 4, Yales Journal of International Law, Vol. 36, 2011, 421 (435). 203  BSI Bericht S. 20, wonach das jeweilige System mit einem Bild oder einer Website überlagert wird, oder die Daten verschlüsselt werden. 204  Siehe hierzu die Pressemitteilung des BSI vom 13.05.2017, abrufbar unter: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/PM_WannaCry_ 13052017.html; daneben Bericht in der FAZ-Online vom 12.05.2017, abrufbar unter: http://www.faz.net/aktuell/weltweite-attacke-cyberattacke-legt-krankenhaeuserlahm-15013162.html; sowie Bericht von BBC-Online vom 22.05.2017, abrufbar unter: http://www.bbc.com/news/technology-39997581; überdies weist bereits der vorausgehende BSI Bericht 2016 auf S. 21 darauf hin, dass auch in Deutschland u. a. Krankenhäuser bereits Objekt derartiger Attacken waren, z. B. das Lukaskrankenhaus in Neuss; ähnlich auch der im Mai 2017 aufgetretene Verschlüsselungstrojaner Petya/NotPetya, der insgesamt bis zu 200.000 Rechner in 150 Ländern befiel und u. a. zu Beeinträchtigungen am Flughafen von Kiew sowie zum vorübergehenden



B. Gegenstand und Durchführung von Computernetzwerkoperationen 69

Verbreitung von Schadprogrammen jedweder Natur haben die zuvor erläuterten Botnetze.205 (1) Vielfalt der Schadprogramme Der Begriff Schadsoftware umfasst eine Bandbreite von Computerprogrammen, von denen Viren, Würmer, Trojanische Pferde und logische Bomben im Folgenden dargestellt werden. (a) Viren Der Virus hängt an einem ausführbaren Programm, dem sogenannten Wirt.206 Solange dieses nicht aktiviert ist, ist auch der Virus inaktiv, wird es aktiviert, wird er ausgeführt.207 Er verbreitet sich, indem er andere Dateien infiziert. Das Ausmaß von Virenschäden reicht von Nichtverfügbarkeiten einzelner Dienste bis hin zur vollständigen Zerstörung von Programmen.208 (b) Würmer Der Wurm lässt sich als eine spezielle Art eines Virus beschreiben.209 Im Unterschied zu jenem wartet der Wurm nicht darauf ausgeführt zu werden, sondern versucht selbstständig in ein System einzudringen.210 Er benötigt also keine Wirtsdatei mit der Folge, dass seine schädigende Wirkung auch nicht unter der aufschiebenden Bedingung der Ausführung einer Datei steht.211 Gleich dem Virus ist der Wurm in der Lage, sich selbst zu vervielAusfall des ukrainischen Regierungsnetzes führte, dazu: http://cyberlaw.stanford.edu/ publications/‘notpetya’-ransomware-attack-shows-corporate-social-responsibilityshould-include. 205  BSI Bericht S. 25. 206  Kisker, Beiträge zur Datensicherheit: Ein gegen Viren immuner PC – eine abhörsichere Datenübertragung, in: Dette (Hrsg.) Computer, Software und Vernetzungen für die Lehre, 281 (283). 207  Kisker, aaO. 208  Kisker, aaO; zu beachten ist, dass ein unmittelbar physischer Schaden aufgrund eines Virus nicht möglich ist, siehe dazu: https://www.kaspersky.de/resource-center/ threats/computer-viruses-and-malware-facts-and-faqs. 209  Stabsstelle für Informationssicherheit der Universität Bochum, abrufbar unter: http://www.itsb.ruhr-uni-bochum.de/viren.html. 210  Stabsstelle für Informationssicherheit der Universität Bochum, aaO. 211  Stabsstelle für Informationssicherheit der Universität Bochum, aaO.

70

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

fältigen und auch in andere Systeme zu expandieren.212 Nebenprodukt des jeweiligen – wurmabhängigen, in der Bandbreite aber dem Spektrum der Virenschädigungen vergleichbaren – Wurmbefalls ist, dass im Zuge der unkontrollierten Vervielfältigung die Ressourcen des jeweiligen Systems überbeansprucht werden, was zu Geschwindigkeitsverlust in den Zielsystemen führt.213 Der wohl bekannteste Wurm ist der im Jahr 2010 bekannt gewordene Stuxnet-Wurm, der bereits im Rahmen der Cyber-Intrusion näher beschrieben wurde.214 Auch in Deutschland wurden im Zuge von Vorbereitungen zu Revisionsarbeiten im Kernkraftwerk Grundremmingen Schadprogramme auf einem Rechner zur Darstellung und Aufzeichnung von Handhabungsvorgängen an der Brennelement-Lademaschine (Visualisierungsrechner) entdeckt.215 Gleichwohl kam es über den Bereinigungsaufwand der Computersysteme hinaus weder zu einem Schaden am Atomkraftwerk selbst, noch an der dazugehörigen Infrastruktur oder der Informationstechnik.216 (c) Trojaner Trojaner haben in Anlehnung an den historischen Namenspatron die Eigenschaft, dass sich die Schadsoftware vom Rezipienten regelmäßig nicht als solche identifizieren lässt.217 Insofern stellt er lediglich eine aus der Befähigung zur Tarnung entspringende Variante anderer Schadprogramme dar.218 Veranschaulicht lässt sich davon sprechen, dass der Trojaner ein Programm darstellt, dessen implementierte Ist-Funktionalität nicht mit der angegebenen Soll-Funktionalität übereinstimmt.219 Zur Verbreitung von Würmern und Trojanern eignen sich ebenfalls Botnetze.220

212  Barkham, Information Warfare and International Law on the Use of Force, 34 N.Y.U. J. INT’L L. & POL. 57 (2001), 57 (63). 213  Barkham, 57 (63). 214  Verweis auf S. 47 ff. 215  BSI Bericht S. 21, in dem das AKW aber nicht namentlich genannt wird; die Zuordnung begründet sich aus dem Dringlichkeitsantrag des bay. Landtags an die Staatsregierung zum enstpr. Vorfall, Drs. 17/11202, S. 1. 216  BSI Bericht S. 20. 217  Gaycken, Cyberwar, Das Internet als Kriegsschauplatz, S. 241. 218  Döge, Cyber Warfare. Challenges for the Applicability of the traditional Laws of War Regime, AVR 2010, 486 (496) Fn. 59; Schulze, S. 25. 219  Skistims/Roßnagel, Rechtlicher Schutz vor Staatstrojanern, ZD 2012, 3 f. 220  Sklerov, Solving the Dilemma of State Responses to Cyberattacks: A Justification for the Use of Active Defenses against States who neglect their Duty to prevent, Military Law Review 201 (2009), 1 (16 f.).



B. Gegenstand und Durchführung von Computernetzwerkoperationen 71

(d) Logische Bomben Eine weitere zum Kreis der Schadsoftware gehörende Variante ist die sogenannte Logic Bomb (zu Deutsch: logische Bombe). Diese lässt sich in Ansehung ihrer Funktion eher als Zeitbombe begreifen, weil der Faktor Zeit der für sie charakteristische ist.221 Ihre Auslösung steht nämlich unter der aufschiebenden Bedingung eines Ereignisses oder eines Zeitablaufs.222 Logische Bomben werden häufig mit den zuvor genannten Schadprogrammen kombiniert, stellen also im Ergebnis nur eine Bedingung dar, mit deren Eintritt etwas geschieht.223 Beispielsweise soll der Stuxnet-Wurm mitunter aus mehreren logischen Bomben bestanden haben, deren Bedingungseintritt von der Frequenz der als Zielobjekt ausgemachten Zentrifugenmotoren abhing.224 (2) Einschleusung von Schadsoftware Die Infektion mit Schadsoftware kann auf verschiedene Weisen erfolgen, die sich mitunter entlang der Mitwirkungspflicht des Opfers differenzieren lassen und von denen zwei der verbreitetesten im Folgenden dargestellt werden. (a) (Spear-)Phishing Unter Phishing wird eine Verbreitungsmethode für Schadprogramme verstanden, mit der sich über den Einsatz infizierter Webseiten oder E-Mails Zugang zum jeweiligen System verschafft wird.225 Das eigentliche Phishing ist dabei eine Form des sogenannten social engineerings, bei dem grundsätz221  Dietz, Der Krieg der Zukunft und das Völkerrecht der Vergangenheit?, DÖV 2011, 465 (471). 222  Post et al., From Car Bombs to Logic Bombs: The Growing Threat from Information Terrorism, Terrorism and Political Violence, Vol. 12, No. 2, 2000, S. 97 (99 f.); Schmitt, Computer Network Attack and the Use of Force in International Law: Thoughts on a Normative Framework, Columbia Journal of Transnational Law 37 (1999), S. 885 (892 f.). 223  im Ergebnis so auch Schulze, S. 25, Fn. 94 der die logische Bombe nicht als eigenes Schadprogramm begreift; Joyner/Lotrionte, Information Warfare as International Coercion: Elements of a Legal Framework, European Journal of International Law (EJIL) 2001, 825 ff. 224  Govil et al., On Ladder Logic Bombs in Industrial Control Systems, Cornwell University Library, 1 (5), abrufbar unter: https://arxiv.org/abs/1702.05241. 225  Das Wort setzt sich aus „Password“ und „Fishing“ zusammen (BSI Bericht 2016, S. 65); Owens/Dam/Lin, S. 2-57.

72

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

lich das gutgläubige Opfer animiert wird, im Sinne des Täters zu handeln.226 Die Abgrenzung zwischen schlichtem Phishing und Spear-Phishing erfolgt nach der Aufklärungstiefe des Zielsystems.227 Während das einfache Phishing im Hinblick auf die Opferwahl unspezifisch erfolgt, wird das Opfer beim Spear-Phishing durch kontextgebundene Gestaltung von Mails oder Webseiten (Absender, Regelungsbereich) individuell angesprochen und auf diese Weise zu einem gutgläubigen Werkzeug.228 Bei E-Mails ist die Malware regelmäßig im Anhang enthalten und erfordert noch einen Ausführungsakt, der beim Besuch infizierter Webseiten dagegen entbehrlich ist.229 Im Jahr 2015 erfolgte ein mehrstufiger Angriff auf drei Stromnetzbetreiber in der Ukraine durch den Einsatz verschiedener, kombinierter Methoden.230 Der Angriff erfolgte mehrstufig: Eine über Spear-Phishing eingeschleuste Fernwartungssoftware führte zunächst zur Öffnung der Hochspannungsleistungsschalter von 30 Umspannwerken und Stromanlagen, was zum Ausfall der Stromversorgung für ca. 225.000 ukrainische Stromkunden führte. Gleichzeitig wurden entsprechende Überwachungsstellen daran gehindert, den Vorfall zu melden. Dies wurde im zweiten Schritt mit einem TDoS-Angriff231 flankiert, im Zuge dessen die Telefonleitungen des Callcenters überlastet wurden, sodass Störmeldungen von Betroffenen nicht abgesetzt werden konnten. Schließlich wurden Teile des Betriebssystems sowie Spuren mittels sogenannter KillDisk-Software gelöscht bzw. verwischt.232

226  Gaycken, Cyberwar, Das Internet als Kriegsschauplatz, S. 143  f.; Lindsay, Stuxnet and the Limits of Cyber Warfare, in: Security Studies Vol. 22, Iss. 2013, 365 (381); Koch/Stelte/Golling, Attack Trends in Present Computer Networks, in: Czossek/Ottis/Ziolkowki, 4th International Conference on Cyber Conflict, 2012, S. 269 (272 f.); Verfassungsschutzbericht 2016, S. 266. 227  Gaycken, aaO. 228  BSI Bericht 2016 S. 22, der mitunter auf in sozialen Netzwerken gesammelte Informationen hinweist; Gaycken, S. 144; Lindsay, 365 (381). 229  BSI Bericht 2016, S. 24. 230  BSI Bericht 2016, S. 40; siehe ausführlich hierzu auch das Hintergrundgespräch zum Thema: „Russland, Die Hacking-Supermacht?“, zwischen dem russ. Geheimdienstexperten Andrei Soldatov mit Stefan Neumann von der Stiftung Neue Verantwortung am 01.06.2017, der den Angriff als „very successfull“ und ersten erfolgreichen Angriff auf kritische Infrastruktur beschreibt. Daneben weist er darauf hin, dass sich hier seitens des Angreifers wohl bis zu sieben Monate im ukrainischen System aufgehalten wurde, abrufbar unter: https://www.stiftung-nv.de/de/ veranstaltung/hintergrundgespräch-russland-die-hacking-supermacht. 231  Telephone Denial of Service. 232  Dazu gesamt BSI 2016, S. 40; ebenfalls wurde im November 2014 in ein USamerikanisches Stromnetz eingedrungen, dazu: Baltzer, Blackout – Stromversorgung wird durch die Umstellung auf erneuerbare Energien anfällig, VW 2/2015, 76 (77).



B. Gegenstand und Durchführung von Computernetzwerkoperationen 73

(b) Backdoor Daneben besteht die Möglichkeit eine sogenannte Backdoor zu installieren, über die sich dann unter Umgehung der normalen Zugriffssicherung Zugang in das System verschafft wird.233 Diese können entweder vom Entwickler originär angelegt worden sein, um das System nachträglich zu modifizieren oder aber durch Angreifer im Zuge eines vorherigen Angriffs installiert worden sein.234 Das Auffinden bzw. Einbetten von Sicherheitslücken erfolgt meist im Zuge des sog. Reverse Engineerings.235 Weil der Programmtext (Quellcode) nach seiner Fertigstellung in Maschinensprache übersetzt wird und nicht mehr gelesen werden kann, muss dieser erst wieder lesbar gemacht werden, damit die Hintertür implementiert werden kann. Diese „Rückübersetzung“ erfolgt über das sog. Reverse Engineering. Der Programmcode wird also wieder sichtbar gemacht. Im Zuge der Visualisierung des Codes werden nun auch Einbruchstellen offengelegt. Diese Einbruchsstellen nennt man Zero Days, was daher rührt, weil sie vor ihrer Entdeckung nicht vorhanden waren, also „Null Tage“ existent waren.236 2. Beschädigung und Zerstörung Mit Computernetzwerkoperationen lassen sich jedoch auch Beschädigungen verschiedener Art und Tragweite bis hin zur Zerstörung erzielen.237 Dabei kommen zum einen nicht physisch wirkende, d. h. netzwerkinterne Beschädigungen in Betracht, die über eine „bloße“ Nichtverfügbarkeit hinausgehen (z. B. Löschung von Programmen). Daneben aber auch solche, die über das Netzwerk hinausgehend, in der Außenwelt wahrnehmbare, physische Beschädigungen oder Zerstörungen anrichten.238 Voraussetzung um Ziel ei233  BSI

Bericht, S. 23. Cyberwar, Das Internet als Kriegsschauplatz, S. 53. 235  Hierzu sehr umfangreich Koch/Dreo Rodosek, The Role of COTS Products for High Security Systems, in: Czossek/Ottis/Ziolkowki, 4th International Conference on Cyber Conflict, 2012, S. 413 (418). 236  Koch/Stelte/Golling, Attack Trends in Present Computer Networks, in: Czossek/Ottis/Ziolkowki, 4th International Conference on Cyber Conflict, 2012, S. 269 (272); Gaycken, Cyberwar, Das Internet als Kriegsschauplatz, aaO. 237  In diesem Zusammenhang wird auch häufig von Cyber-Sabotage gesprochen, die inhaltlich inter alia Beschädigung und Zerstörung erfasst, siehe Steinmetz, in: MünchKomm StGB. § 87 StGB, Rn. 16 (Schönke/Schröder/Sternberg-Lieben StGB § 87 StGB Rn. 14). 238  Verfassungsschutzbericht des Bundes 2016, S. 259; Schmahl, Cybersecurity, in: Berichte der Deutschen Gesellschaft für Internationales Recht, Band 47 (hrsg. von Dethloff, Nina/Nolte, Georg/Reinisch, August), Heidelberg 2016, S. 159 (ab S. 168). 234  Gaycken,

74

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

nes auf Zerstörung hinauslaufenden Angriffs zu werden ist lediglich, dass das Zielobjekt mit einem Netzwerk verbunden ist. Die Methoden decken das gesamte Spektrum der zuvor beschriebenen Schadprogramme ab.239 Das bisher prominenteste Beispiel einer im Ergebnis physisch-realen Auswirkung war die Zerstörung der Zentrifugen in der iranischen Urananreicherungsanlage durch den Stuxnet-Wurm.240 Abgesehen davon besteht laut BSI-Bericht des Jahres 2014 Erkenntnis darüber, dass im Zuge der gehäuften Ausfälle einzelner Steuerungskomponenten, ein Hochofen in Deutschland nicht geregelt heruntergefahren werden konnte, was laut Bericht – und hierin besteht die physische Auswirkung – eine massive Beschädigung der Anlage zur Folge hatte.241 Im Übrigen finden sich nur wenige belastbare und gleichzeitig öffentlich zugängliche Quellen, die weitere Computernetzwerkoperationen mit diesen Konsequenzen zum Gegenstand haben.242

239  Der Verfassungsschutzbericht des Bundes 2016, S. 260 erwähnt in Zusammenhang mit zerstörerischen Angriffen explizit die logischen Bomben, die zwar als „digitale Zeitbomben“ bezeichnet werden, inhaltlich aber dasselbe erfassen. 240  Gaycken/Karger, Entnetzung statt Vernetzung, MMR 2011, 3 ff.; Waxman, Cyber-Attacks and the Use of Force. Back to the Future of Article 2 Abs. 4, Yales Journal of International Law, Vol. 36, 2011, 421 (443); Fildes, Stuxnet worm ‚targeted high-value Iranian assets‘, BBC-Online vom 23.09.2010, abrufbar unter: http://www. bbc.com/news/technology-11388018; Broad, Israeli Test on Worm Called Crucial in Iran Nuclear Delay, New York Times Online vom 15.01.2011, abrufbar unter: http:// www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html; Ipsen, Völkerrecht, § 52 Rn. 13 f.; zweifelnd bezüglich der physisch realen Auswirkungen dagegen Ziolkowski, Stuxnet – Legal Considerations, HuV-I 2012, 139 (147); siehe auch Leinhos, Kdr. CIR, Jahrbuch Clausewitz Gesellschaft 2016, S. 128. 241  BSI Bericht aaO. 242  So gibt es Hinweise, dass im Rahmen eines israelischen Luftangriffs gegen einen vermuteten syrischen Atomreaktor im Jahr 2007, die syrische Flugabwehr mittels eines Trojaners ausgeschaltet worden sei, abrufbar unter: http://www.nytimes. com/2009/10/27/science/27trojan.html?_r=1&ref=science&pagewanted=all; daneben schrieb der ehemalige US Air Force Secretary Thomas C. Reed in seinem Buch, At the Abyss: An Insider’s History of the Cold War, dass die 1982 stattgefundene Explosion einer transsibirischen Pipeline auf einen in ein Steuerungselement eingebauten Trojaner (sog. built-in flaws) der Amerikaner zurückzuführen sei; darauf bezugnehmend auch Gaycken, Cyberwar, Das Internet als Kriegsschauplatz, S. 116 f. m. w. N., der von einem Testangriff des Idaho National Laboratories im Jahr 2007 schreibt, im Rahmen dessen eine Sicherheitslücke im SCADA-System (Steuerungszentrum) eines Kraftwerks ausgenutzt wurde und ein Generator angeblich zur Explosion gebracht werden konnte; Gaycken spricht auf S. 117 ferner von der Möglichkeit, Wasserversorgungen dauerhaft zu zerstören; generell zu Attacken mit physischen Auswirkungen auch Libicki, Cyberdeterrence and Cyberwar, S. 21 f.; Lin, Cyber Conflict and International Humanitarian Law; International Review of the Red Cross Cross 94 (2012), 515 (530).



B. Gegenstand und Durchführung von Computernetzwerkoperationen 75

3. Informationsunterdrückung, -verbreitung und Falschinformation a) Angriffsziele Im Vordergrund stehen hier Online-Plattformen, die zur Verbreitung von Informationen dienen, bzw. auf denen sich Informationsunterdrückung gegenüber einem Adressatenkreis vornehmen lässt. Vornehmlich kommen hier Internetdienste und Informationsquellen in Gestalt von Webseiten und sozialen Netzwerken in Betracht, die gleichermaßen als Ziel wie auch als Medium zur Durchführung dienen. b) Methoden aa) Website-Defacement Neben der Verbreitung von Falschinformationen auf vom Informanten selbst betriebenen Webseiten, findet sogenanntes Website-Defacement auf fremden Webseiten statt. Dem Wortlaut lässt sich bereits relativ gut entnehmen, was hier das Resultat ist. Im Zuge eines Hacks wird der Inhalt eines Internetsauftritts durch einen anderen ausgetauscht.243 Dies hat zur Folge, dass z. B. (vermeintlich getätigte) politische Aussagen ohne Einwilligung des Berechtigten eingepflegt werden oder ein Internetauftritt durch das Hinzufügen oder Wegnehmen von Informationen nach Belieben des Angreifers verändert wird.244 Diese Methode ist insbesondere deshalb verbreitet, weil sie 243  Czosseck, State Actors and their Proxies in Cyberspace, in: Ziolkowski (Hrsg.), Peacetime Regime for State Activities in Cyberspace. International Law, International Relations and Diplomacy 1 (7) Fn. 18; Gaycken, Die vielen Plagen des Cyberwar, in: Schmidt-Radefeldt/Meissler (Hrsg.), Automatisierung und Digitalisierung des Krieges. Drohnenkrieg und Cyberwar als Herausforderungen für Ethik, Völkerrecht und Sicherheitspolitik, S. 89 (94). 244  Gaycken weist in Cyberwar, S. 105 darauf hin, dass im politischen Defacement besonders Hitler-Bilder beliebt seien, weist aber auch auf israelische Patrioten hin, die regelmäßig palästinensischen Webseiten „defacen“; Woltag, Cyber Warfare, Military Cross-Border Computer Network Operations under International Law, S. 5 f.; ebenso der Hack des Twitter-Accounts der amerikanischen Associated Press im Jahr 2013, mittels dem gemeldet wurde, dass das Weiße Haus angegriffen worden sei und der Präsident verletzt sei und im Nachgang der Dow Jones 143 Punkte fiel (1 %), siehe dazu: Brangetto/Veenendaal, Influence Cyber Operations: The Use of Cyberattacks in Support of Influence Operations, in: Pissanidis/Rõigas/Veenendaal (Hrsg.), 8th International Conference on Cyber Conflict, 2016, 113 (123) sowie https://www. theguardian.com/business/2013/apr/23/ap-tweet-hack-wall-street-freefall; siehe jüngst auch den Verdacht des lettischen Außenministeriums, wonach die im Frühjahr 2018 gegen den Chef der lettischen Notenbank Ilmārs Rimšēvičs erhobenen Korruptionsvorwürfe womöglich Gegenstand einer ausländischen Desinformationskampagne

76

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

sich vergleichbar leicht realisieren lässt.245 Die Vorbereitungshandlung für das eigentliche Defacen besteht im Hacken einer Webpräsenz, beispielweise indem Sicherheitslücken in Webanwendungen ausgenutzt werden.246 Die Verbreitung von Schadprogrammen steht dagegen in der Regel nicht im Fokus, da es den Urhebern ja gerade darum geht, dass der modifizierte Webauftritt möglichst lange Bestand hat und nicht im Zuge von Unregelmäßigkeiten auffliegt.247 bb) False Amplifiers und Social Bots in sozialen Netzwerken Bei der Durchführung von Falschinformationskampagnen spielen soziale Netzwerke eine zunehmende Rolle,248 insbesondere Facebook und Twitter. Neben dem Einbruch in Benutzerprofile mit dem Ziel der Entwendung von Daten249 und der webseitenäquivalenten Nutzung zur Verbreitung von Falschinformationen über Nachrichtenplattformen in dem jeweiligen sozialen Netzwerk, werden insbesondere sogenannte False Amplifier (zu Deutsch: falsche Verstärker) eingesetzt. Hierbei handelt es sich um einen Sammelbegriff, den Facebook selbst definiert als „fake account aimed at manipulating public opinion“.250 Die Methoden der falschen Verstärker sind vielfältig: So lässt sich durch die Verbreitung von Falschinformationen über authentisch wirkende Nutzerprofile die öffentliche Meinungsbildung beispielsweise mit dem Ziel beeinflussen, das Vertrauen in staatliche Institutionen zu erschüttern.251 Gleichzeiseien, abrufbar unter: http://www.mod.gov.lv/en/Aktualitates/Preses_pazinojumi/2018/ 02/20-01.aspx. 245  Gaycken, Cyberwar, Das Internet als Kriegsschauplatz, S. 105. 246  Gaycken, aaO. 247  Pihelgas, Back-Tracing and Anonymity in Cyberspace, in: Ziolkowski (Hrsg.), Peacetime Regime for State Activities in Cyberspace. International Law, International Relations and Diplomacy, 31 (56). 248  So statuiert das Weißbuch zur Sicherheitspolitik und zur Zukunft der Bundeswehr v. 2016 auf S. 37, dass die Nutzung der digitalen Kommunikation zur gezielten Steuerung von Diskussionen in sozialen Netzwerken ebenfalls eine besondere Herausforderung für offene und pluralistische Gesellschaften darstelle; so auch der Verfassungsschutzbericht des Bundes 2016, S. 268, der explizit das Netzwerk Twitter nennt. 249  diese Unternehmung ist nach hiesigem Verständnis nicht dem Bereich der Durchführung von Informationsoperationen im engeren Sinne zuzuordnen. 250  S. 8 des Berichts: Weedon et al., Information Operation and Facebook, Version 1.0, 27. April 2017, S. 4, abrufbar unter: https://fbnewsroomus.files.wordpress. com/2017/04/facebook-and-information-operations-v1.pdf. 251  Das Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag kommt in seinem Thesenpapier zum öffentlichen Fachgespräch „Social Bots – Diskussion



B. Gegenstand und Durchführung von Computernetzwerkoperationen 77

tig gibt der Einsatz von Nutzerprofilen als Mittler zur Verbreitung solcher Nachrichten vor, dass, anders als bei der unmittelbaren Verbreitung über Webseiten, ein gesellschaftlicher Diskurs hierüber bereits stattfinde.252 Dieser Eindruck kann durch eine über künstliche Profile erzeugte Anzahl sogenannter Likes bzw. (je nach Zielrichtung) Dislikes oder der Anzahl an sogenannter Follower gefestigt werden.253 Auch politische Entscheidungsprozesse können zumindest dann beeinflusst werden, wenn sie sich an einem Kulminationspunkt befinden, wie z. B. im Endstadium eines Wahlkampfes mit äußerst knapper Prognose im Hinblick auf den Ausgang.254 Hinter den so bezeichneten Fake-Accounts stehen entweder natürliche Personen255 oder aber sogenannte Social Bots.256 Bei Letzteren handelt es sich und Validierung von Zwischenergebnissen“ am 26. Januar 2017 im Deutschen Bundestag zu dem Ergebnis, dass Social Bots das Potential haben, das Vertrauen in die Demokratie zu unterlaufen (S. 9); im Facebook Bericht werden als Ziele des sog. „negative amplifying[s]“ folgende genannt: „Promoting or denigrating a specific cause or issue, Sowing distrust in political institutions und Spreading confusion“, S. 8; Thomas/Grier/Paxson, Adapting Social Spam Infrastructure for Political Censorship, International Computer Science Institute, University of California, Berkeley, S. 1; dies bekräftigt auch der Verfassungsschutzbericht des Bundes 2016, S. 270. 252  Nach eigenen Angaben von Facebook sei im Rahmen des US-Präsidentschaftswahlkampfes 2016 der Anteil solcher „False Amplifiers“ im Verhältnis zur gesamten politischen Betätigung auf der Plattform zwar nur marginal gewesen, S. 11 des Berichts, jedoch zeigen die Entwicklungen im Frühjahr 2018, dass der Anteil offenbar so gewichtig war, dass er Anlass für eine Anklage von 13 russischen Staatsbürgern und Organisationen gegeben hat, abrufbar unter: https://www.justice.gov/file/1035477/ download. 253  Hierzu auch Hegelich, Invasion der Meinungsroboter, Analysen und Argumente, Konrad-Adenauer-Stiftung, Ausgabe 221, September 2016, S. 3 f.; mit dem Fokus auf fake follower: Cresci et al., Fame for sale: Efficient detection of fake ­Twitter followers, Decision Support Systems (2015), Abstract und 56 ff., abrufbar unter: https://www.researchgate.net/publication/281808707 Fame_for_sale_Efficient_ detection_of_fake_Twitter_followers. 254  Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag, S. 8, das jedoch davon ausgeht, dass die Voraussetzungen zur Schaffung dieses Kulminationspunktes nicht von Bots geschaffen werden können. 255  Diese wurden in jüngerer Vergangenheit insbesondere als „Trolle“ bezeichnet. Die Formulierung wurde im Jahr 2013 Gegenstand der öffentlichen Berichterstattung, in Zusammenhang mit dem Ukraine-Konflikt, sowie eines Berichts der russischen Zeitung Nowaja Gazeta, nach dem in St. Petersburg eine Schule für staatlich gelenkte Internettrolle existiere, dazu detailliert: Gunitsky, Corrupting the Cyber-Commons: Social Media as a Tool of Autocratic Stability, Perspectives on Politics, March 2015, 42 (45 f.); dies vermutet auch der Verfassungsschutzbericht des Bundes 2016, S. 267 f. 256  Weedon et al., Information Operation and Facebook, Version 1.0, 27. April 2017, S. 9 führt aus, dass nach Auffassung von Facebook die größte Zahl der sog. False-Amplifications nicht auf Socialbots zurückzuführen sei. Anders Simon Hegelich, zitiert in „Bei Cyberangriffen auf Bundestagswahl/Feuern auf allen Kanälen“,

78

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

um Programme, die automatisierte Tätigkeiten ausführen.257 Die Social Bots unterscheiden sich von anderen, zum Beispiel in der Werbung verbreiteten Spambots dadurch, dass sie auf Grundlage ihres Algorithmus in der Lage sind, in den sozialen Netzwerken menschliches Verhalten zu simulieren.258 Es werden dabei nicht immer in Gänze unwahre Informationen verbreitet. Aus Sicht des Absenders können gerade solche Mitteilungen weit wirksamer sein, die einen wahren Kern haben und sich auf ein tatsächliches Ereignis beziehen. Dies hat zur Folge, dass die Zusammensetzung eines Meinungsbildes entweder manipuliert oder gar selbst künstlich erschaffen wird.259 cc) Überlastung Daneben kommen auch die zuvor geschilderten DoS- und DDoS Attacken als gangbare Methoden in Betracht, wenn es beispielsweise um die Unterdrückung von Informationen dergestalt geht, dass Internetnutzer im Zuge der zuvor geschilderten Überflutung gezielt von der Unterrichtung aus bestimmten Quellen abgehalten werden.260 Für die Bewerkstelligung der Nichtverfügbarkeit können wiederum Botnetze eingesetzt werden.261

FAZ-Online vom 19.07.2017, abrufbar unter: http://www.faz.net/aktuell/politik/ bundestagswahl/bei-cyberangriffen-auf-bundestagswahl-feuern-auf-allenkanaelen-15111925.html; das größte auf den sozialen Netzwerk Twitter organisierte Botnetz besteht laut Hegelich aus 350.000 Accounts, abrufbar unter: http://www.faz. net/aktuell/politik/bundestagswahl/bei-cyberangriffen-auf-bundestagswahl-feuern-aufallen-kanaelen-15111925.html. 257  Hierzu auch Hegelich, Invasion der Meinungsroboter, Analysen und Argumente, Konrad-Adenauer-Stiftung, Ausgabe 221, September 2016, S. 2 f.; Boshmaf/ Muslukhov/Ripeanu, Design and Analysis of a Social Botnet, Department of Electrical and Computer Engineering, The University of British Columbia, 2012, S. 1 f., die Socialbots auf drei Fähigkeiten reduzieren: Erstens, die Fähigkeit, eine Vielzahl an nicht auf natürlichem Wege entstandene Verbindungen zu begründen; zweitens, aufbauend auf erstens Desinformation zu verbreiten und drittens, eine Vielzahl an Nutzerdaten für weitere Aktivitäten zu sammeln. 258  Boshmaf/Muslukhov/Ripeanu, S. 1; vgl. auch Woolley/Howard, Political Communication, Computational Propaganda, and Autonomous Agents, International Journal of Communications 10 (2016), 4882 ff.; Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag, S. 4. 259  Nach eigenen Angaben von Facebook sei der Anteil solcher „False Aplifiers“ im Rahmen des US-Präsidentschaftswahlkampfes 2016 im Verhältnis zur gesamten politischen Betätigung auf der Plattform indes nur marginal gewesen, S. 11 des Berichts. 260  Gaycken, Die vielen Plagen des Cyberwar, S. 89 (94) bezeichnet dies als Möglichkeit der „digitalen Sitzblockade“. 261  BSI Bericht 2016, S. 61.



B. Gegenstand und Durchführung von Computernetzwerkoperationen 79

dd) Schadprogramme Auch eine Reihe der aufgeführten Schadprogramme dienen als probate Mittel Informationsunterdrückung, -verbreitung und Falschinformation zu bewerkstelligen. Im April 2015 wurde mit Hilfe eines nicht näher bekannten Schadprogramms ein Angriff auf die Antennen der französischen Weltnachrichtensendergruppe TV5 Monde verübt und damit erstmalig der Betrieb einer westlichen Fernsehstation durch einen Cyber-Angriff vollständig zum Erliegen gebracht.262 Auf elf Sendern der Gruppe war in der Folge lediglich ein schwarzer Bildschirm zu sehen. Der Angriff wurde auf die dazugehörige Webseite und den Mailserver ausgestreckt. Zwar dauerte es nur einige Stunden bis die Programme wieder hochfuhren, dafür jedoch Monate, bis der Sender wieder mit dem Internet verbunden werden konnte.263 c) Einzelbeispiele Zur Veranschaulichung der Diversität und Tragweite der in diesem Abschnitt behandelten Informationsoperationen werden im Folgenden verschiedene Beispiele, mitunter mit Deutschlandbezug aufgeführt. So hat der arabische Dienst des vom russischen Staat finanzierten Auslandsfernsehsenders Russia Today im Juni 2016 auf seiner Website die Falschmeldung verbreitet, Bundeskanzlerin Angela Merkel habe muslimischen Wirten während des Fastenmonats Ramadan die Steuern erlassen, was nach Angaben des stellvertretenden Regierungssprechers der Bundesregierung, Georg Streiter, jeglicher Grundlage entbehrte.264 262  http://www.zeit.de/2015/16/tv5-monde-cyber-attacke; nach dem stellvertretenden Chef der französischen Sicherheitsagentur für Informationssysteme, Konteradmiral Dominique Riban, gehöre der Angriff auf TV5 Monde zu den drei größten weltweit stattgefundenen Sabotageakten (ebenda); i. Ü. auch als Desinformationskam­ pagne denkbar, hierzu gibt es aber zu wenig Aufschluss über eine diesbezügliche Absicht. 263  So der Direkter des Senders, abrufbar unter: http://www.bbc.com/news/ technology-37590375; http://www.faz.net/aktuell/politik/ausland/russen-sollen-hintercyber-attacke-auf-tv5-monde-stehen-13638777.html. 264  Über dieses Ereignis hat sich der stellv. Regierungssprecher Streiter im Rahmen einer Veranstaltung der Clausewitz-Gesellschaft vom 25. April 2017 in Berlin zum Thema „Strategie im postfaktischen Zeitalter“: Wie kann sich unser freiheitlichdemokratisches System gegen Desinformation und Propaganda verteidigen? geäußert, an der auch der Verfasser teilgenommen hat; in dieselbe Richtung weisend auch: Pörzgen, Informationskrieg in Deutschland? Zur Gefahr russischer Desinformation im Bundestagswahljahr, Bundeszentrale für politische Bildung, abrufbar unter: http:// www.bpb.de/apuz/248506/informationskrieg-in-deutschland-zur-gefahr-russischerdesinformation-im-bundestagswahljahr?p=all; auch berichtend darüber der Artikel „Propaganda-Zielscheibe Angela Merkel“ der Deutschen Welle Online vom

80

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

Daneben wurden die deutschen Bundeswehrkräfte der im Zuge des NATOGipfels 2016 in Warschau eingerichteten NATO Enhanced Forward Presence Battle Group zumindest einmal gesichert Opfer einer Informationsoperation. Konkret ist Anfang die Behauptung verbreitet worden, deutsche Soldaten hätten am 9. Februar 2017 ein minderjähriges litauisches Mädchen in der Stadt Jonava vergewaltigt.265 Das Verbreitungsmedium waren hier E-Mails, die an Politiker (u. a. den litauischen Parlamentspräsidenten) versandt wurden sowie die lokalen Medien. Die litauische Polizei kam im Nachgang mangels Opfer und Zeugen abschließend zu dem Ergebnis, dass sich die Behauptung nicht belegen lasse.266 Überdies ereignete sich im Frühjahr 2016 der sogenannte Fall Lisa, der bis in die deutsche und russische Regierungsebene hineinreichte.267 Nachdem eine jungen Frau, die als Spätaussiedlerin die deutsche und russische Staatsangehörigkeit besitzt, wider besseren Wissens vorgab, von „Südländern“ sexuell missbraucht worden zu sein,268 verbanden russische Staatsmedien dies mit der Flüchtlingsproblematik und motivierten zu deutschlandweiten Protesten russischer Spätaussiedler.269 In der Folge warf der russische Außenminister Sergej Lawrow Bundeskanzlerin Angela Merkel „Vertuschung“ aus Gründen politischer Korrektheit vor.270 Als ein weiteres nicht aus Deutschland stammendes Beispiel lässt sich der zur sogenannten Katar-Krise271 geführte Cyber-Angriff im Mai 2017 anfüh08.07.2016, abrufbar unter: http://www.dw.com/de/propaganda-zielscheibe-angelamerkel/a-19388105. 265  Siehe dazu FAZ Artikel, „Fake-News als Waffe, Attacke auf die Bundeswehr in Litauen“, vom 16.02.2017, abrufbar unter: http://faktenfinder.tagesschau.de/ausland/ bundeswehr-litauen-107.html. 266  Siehe neben FAZ Artikel aaO auch DW-Artikel „Lithuanian authorities launch investigation into fake German rape story“, vom 17.02.2017, abrufbar unter: http:// www.dw.com/en/lithuanian-authorities-launch-investigation-into-fake-german-rapestory/a-37608180. 267  Siehe umfangreich dazu: Pörzgen: Informationskrieg in Deutschland? Zur Gefahr russischer Desinformation im Bundestagswahljahr, Bundeszentrale für politische Bildung, abrufbar unter: http://www.bpb.de/apuz/248506/informationskrieg-in-deutsch land-zur-gefahr-russischer-desinformation-im-bundestagswahljahr?p=all. 268  „Unser Mädchen Lisa“, FAZ-Artikel vom 31.01.2016, abrufbar unter: http:// www.faz.net/aktuell/politik/russlands-informationskrieg-hat-angela-merkel-alsziel-14043618.html. 269  Pörzgen, aaO. 270  „Bundesregierung weist Lawrows Vertuschungs-Vorwurf zurück“, DW-Artikel vom 27.01.2016, abrufbar unter: http://www.dw.com/de/bundesregierung-weistlawrows-vertuschungs-vorwurf-zur%C3%BCck/a-19007814. 271  Siehe hierzu http://www.bbc.com/news/world-middle-east-40173757 sowie http://www.bbc.com/news/world-middle-east-40046782.



B. Gegenstand und Durchführung von Computernetzwerkoperationen 81

ren. Zuvor erschienen auf Internet-Plattformen der staatlichen Nachrichtenagenturen sowie in sozialen Netzwerken272 Meldungen, wonach der katarische Emir den Iran sowie die radikal-islamische Hamas lobt.273 Im Zuge dessen brachen zahlreiche arabische Staaten ihre diplomatischen Beziehungen zu dem Emirat mit sofortiger Wirkung ab. Nach Informationen von USGeheimdiensten handelt es sich bei der Nachrichtenverbreitung um eine Falschinformationskampagne, die auf einen Hackerangriff zurückzuführen ist.274 Bei der Debatte um den Einfluss auf den US-Wahlkampf für die Wahl im Jahr 2016 handelt es sich zwar um keine Falschinformationskampagne im engeren Sinne, weil der dort mutmaßlich ausgeübte Einfluss nicht zwingend die Falschinformation zum Gegenstand hatte bzw. eine solche intendierte, sondern – so die Anklage vom 16. Februar 2018 gegen 13 russische Staatsbürger und Organisationen – eher Zwietracht zu säen suchte („sow discord in the U.S. political system“)275. Dies soll bewerkstelligt worden sein über das Gründen und Betreiben von Foren und Gruppen in sozialen Netzwerken bzw. unter erfundenen US-Identitäten, deren Aufgabe es unisono war, sich an gesellschaftlich kontrovers geführten Thematiken beteiligen bzw. solche zu etablieren.276 Die Zwietracht sollte vor allem dadurch gesät werden, dass bereits die Namen der Gruppen und Foren unter denen sich echte Bürger versammelten polarisierten und ohnehin vorhandene Kontroversen im jeweiligen Themenbereich gezielt aufzustacheln suchten.277 Für den eher unreflektierten Diskussionsteilnehmer kann nämlich bereits anhand der Betitelung eines jeweiligen Forums der Eindruck entstehen, bei der aufgegriffenen Thematik handele es sich um eine gesellschaftliche Kontroverse, obwohl dies möglicherweise nicht, bzw. nicht in dem dargestellten Ausmaß der Fall ist. Es ist zu vermuten, dass hierbei auch Falschinformationen gezielt einge-

272  Mitunter 273  Siehe

html.

der Twitter-Auftritt der Regierung. hierzu: https://www.tagesschau.de/ausland/katar-krise-hackerangriff-101.

274  Erstmals von der Washington Post unter Berufung auf den Geheimdienst als Quelle verbreitet, abrufbar unter: https://www.washingtonpost.com/world/nationalsecurity/uae-hacked-qatari-government-sites-sparking-regional-upheaval-accordingto-us-intelligence-officials/2017/07/16/00c46e54-698f-11e7-8eb5-cbccc2e7bfbf_story. html?utm_term=.6a1e81366aef. 275  Anklage, S. 3 abrufbar unter: https://www.justice.gov/file/1035477/download. 276  Anklage, S. 12 ff., abrufbar aaO. 277  So z. B. die Gruppenamen „United Muslims of America“, „Army of Jesus“ oder „Secured Borders“, S. 14 der Anklage; in der Anklage heißt es ferner: „Specialists were directed to create political intensity through supporting radical groups, users dissatisfied with [the] social and economic situation and oppositional social movements.“

82

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

setzt wurden, gleichwohl bestand der Fokus weniger hierauf, als auf der Lenkung und Kanalisierung radikaler politischer Ansichten. 4. Informationsbeschaffung a) Bandbreite und Absicht Neben einer unbegrenzten Vielfalt an Beweggründen kann die Informationsbeschaffung u. a. zum Zwecke der Spionage (Cyber-Exploitation) erfolgen.278 Von Spionageaktivitäten sind sowohl der staatliche, wie auch der private Sektor betroffen, letzterer in Gestalt von Konkurrenzausspähung/Industriespionage einerseits und Wirtschaftsspionage andererseits. Die begriffliche Differenzierung der einzelnen Spionagearten ist nicht unumstritten, erfolgt aber im Allgemeinen entlang der Urheberschaft derselben.279 Daneben kann mit der Informationsbeschaffung aber auch schlicht die Absicht sog. Disruption verfolgt werden, konkret die Erschütterung des Vertrauens der Allgemeinheit in die Schutzfähigkeit (staatlicher) Institutionen im Hinblick auf ihre eigenen Informationen als Beitrag zur Aufrechterhaltung ihrer eigenen Funktionsfähigkeit.280 b) Angriffsziele und Methoden Ziel der Angriffe ist diejenige IT-Infrastruktur, die als Speicherplatz für die erstrebten Daten dient. Die Angriffsmethoden variieren je nach Erreichbar278  Wie bereits weiter vorne geschildert wird unter dem doppelt verwendeten Begriff der Cyber-Exploitation auch die Informationsbeschaffung aus gegnerischen Computernetzwerken zum Zwecke der Spionage verstanden. 279  Die Ausforschung eines Unternehmens durch einen Wettbewerber wird gemeinhin als Konkurrenzausspähung/Industriespionage bezeichnet, demgegenüber wird bei staatlich gelenkter Ausforschung von Wirtschaftsunternehmen und Forschungseinrichtungen von Wirtschaftsspionage gesprochen, siehe: Broschüre des BfV zur Wirtschaftsspionage 2014, S. 27; zu den divergierenden Ansichten m. w. N. siehe auch: Cede, Rechtsanwaltskanzleien als Beispiel hybrider Bedrohung, in: Dengg/ Schurian (Hrsg.), Vernetzte Unsicherheit – Hybride Bedrohungen im 21. Jahrhundert, Wien 2015. S. 211 (212). 280  Siehe hierzu Angriff auf das US Office of Personnel Management in 2015, wodurch der Eindruck entstand, die jeweilig zuständigen Behörden seien nicht in der Lage, sensible Daten zu schützen; ebenso die Cyber-Angriffe auf den Internetauftritt der NATO in den Jahren 2014 und 2015, die darauf abzielten, die Verteidigungsbereitschaft der NATO im Cyberraum zu unterminieren; zu beidem umfangreich: Brangetto/Veenendaal, Influence Cyber Operations: The Use of Cyberattacks in Support of Influence Operations, in: Pissanidis/Rõigas/Veenendaal (Hrsg.), 8th International Conference on Cyber Conflict, 2016, S. 113 (121 u. 123).



B. Gegenstand und Durchführung von Computernetzwerkoperationen 83

keit des Speichermediums durch Dritte (z. B. aber, nicht notwendig über das Internet) bzw. nach seiner Verbindung nach außen.281 Vorwiegend dienen Schadprogramme in Gestalt von heruntergeladenen Viren, Trojanern oder anderer Malware als Zugangsmittel.282 Zur Verbreitung wird sich vielfach der zuvor geschilderten Spear-Phishing-Methode bedient.283 c) Einzelbeispiele IT-gestützte Angriffe zur Informationsbeschaffung sind kein neues Phänomen.284 Gleichwohl häuften sich in jüngerer Vergangenheit eine Reihe von Angriffen auf staatliche wie nichtstaatliche Einrichtungen. In Erinnerung mit Deutschlandbezug sind hier insbesondere die APT-Angriffskampagne285 auf das interne Bundestagsnetzwerk über zwei Rechner im Mai 2015,286 sowie einer weiteren Spear-Phishing-Angriffswelle auf das Parlament im August 2016 mittels maliziöser Links, die als von NATO-Stellen herrührende E-Mails getarnt waren.287 Dabei sei es zumindest bei dem Angriff im Mai 2015 zu einem „nicht unerheblichen“ Datenabfluss gekommen.288 Daneben wurde im Mai 2016 wiederum ein Spear-Phishing-Angriff gegen das Netzwerk der Partei CDU bekannt, der jedoch im Versuchsstadium stecken geblieben sei.289 Jüngst wurde im Februar 2018 einer der schwersten jemals vorgenommenen Angriffe auf das Kommunikationsnetz der Bundesregierung (IVBB)290 bekannt.291 281  Hathaway et al., The Law of Cyber-Attack, Faculty Scholarship Series, 2012, Paper 3852, 817 (839). 282  Hathaway et al., aaO. 283  Hathaway et al., aaO. 284  So wurde 2013 eine Operation („Roter Oktober“) bekannt, bei der im Zuge der Platzierung von Schadprogrammen seit 2009 Informationen aus Bundesministerien und Auslandsvertretungen in Osteuropa beschafft wurden, laut Verfassungsschutz 2013, S. 322 mit russischer Urheberschaft. 285  Die Abkürzung APT steht für Advanced Persistent Threat und bezeichnet nach BSI Bericht 2016, S. 22 im Kern einen Angriff, der darauf angelegt ist, sich einen langfristigen Zugang im System des Opfers zu sichern. Hieraus wird mitunter geschlossen, dass es sich i. d. R. um einen ressourcenstarken Angreifer handele. Eine bereits seit 2007 mit dieser Zielsetzung agierende Hackergruppe firmiert u. a. unter APT 28. 286  Verfassungsschutzbericht des Bundes 2015, S. 251 f. und 2016, S. 262. 287  Verfassungsschutzbericht 2016, S. 262 f. 288  Verfassungsschutzbericht 2015, S. 251. 289  Verfassungsschutzbericht 2016, aaO. 290  Informationsverbund Berlin-Bonn. 291  Bestätigt vom damaligen Bundesminister des Innern de Maizière in einem Statement vom 1.3.2018, abrufbar unter: https://www.bmi.bund.de/SharedDocs/ kurzmeldungen/DE/2018/03/statement-cyberangriff-ivbb.html.

84

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

Hierbei kam es insbesondere zum Abgriff von Daten mit Osteuropa- und Russlandbezug.292 Auch im Rahmen der Präsidentschaftswahlkämpfe in den USA 2016 und Frankreich 2017 wurde mitunter in Server und E-Mail-Konten von Angehörigen des Democratic National Congress sowie der Partei La République en Marche eingebrochen und daraus gewonnene Informationen (teilweise inhaltlich verändert) im Internet veröffentlicht; im Fall des D.N.C. auf der Plattform WikiLeaks, im Fall Frankreich sogar am Tag vor der Stichwahl zu einem Zeitpunkt, zu dem eine etwaige Gegendarstellung wegen des eingetretenen Wahlwerbungsverbots gesetzlich verboten war.293 Die beiden letztgenannten Beispiele lassen sich aufgrund der über die Informationsbeschaffung hinausgehenden Verbreitung auch Varianten der zuvor geschilderten Informationsoperationen zuordnen. Was Spionageaktivitäten gegen den privaten Sektor angeht, ist die Faktenlage im Hinblick auf die erfolgreiche Durchführung von Cyber-Angriffen zum Zwecke der Spionage weit ungesicherter. Das hängt damit zusammen, dass sich die Bereitschaft eines Unternehmens, öffentlich den Abfluss von Firmengeheimnissen zu kolportieren, in Grenzen hält.294 Überwiegend beschränken sich die diesbezüglichen Erkenntnisse daher auf gescheiterte Unternehmungen.295 Zwar gibt es in Deutschland mittlerweile nach § 8b Abs. 4 BSIG eine Meldepflicht für bestimmte Cyber-Angriffe. Diese ist indes solchen Angriffen vorbehalten, die sich gegen Kritische Infrastrukturen richten und gleichzeitig den Ausfall bzw. den Verlust der Funktionsfähigkeit derselben zur Folge haben, was beides bei Spionage in der Regel nicht der Fall ist.296 292  Siehe hierzu http://www.sueddeutsche.de/digital/attacke-auf-auswaertiges-amtdie-geschichte-eines-cyber-angriffs-1.3917502. 293  Zum D.N.C. Hack siehe https://www.nytimes.com/2016/07/23/us/politics/dncemails-sanders-clinton.html?ref=politics; das Vorkommnis in Frankreich wurde durch einen Sprecher der Partei La République en Marche gegenüber der New York Times bestätigt, abrufbar unter: https://www.nytimes.com/2017/05/09/world/europe/hackerscame-but-the-french-were-prepared.html?_r=0 sowie https://www.nytimes.com/2017/ 05/05/world/europe/france-macron-hacking.html?mcubz=1&_r=1. 294  Verfassungsschutzbericht 2016, S. 248 ff., der gleichwohl aber die Gefahr betont, die der Cyber- und Informationsraum mit Blick auf Spionagetätigkeit darstellt. 295  So z. B. ein – nach Angaben des Unternehmens – gescheiterter Angriff auf ThyssenKrupp, abrufbar unter: https://www.tagesschau.de/wirtschaft/thyssen-cyber attacke-101.html. 296  mit dem Verständnis über sog. Kritischen Infrastrukturen wird sich zu späterem Zeitpunkt noch umfangreicher und losgelöst von gesetzlichen Kodifikationen auseinandergesetzt. Mit Blick auf die vorliegende Meldepflicht nach § 8b Abs. 4 BSIG wird sich indes auf die von der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) als solche verstandene KRITIS be-



B. Gegenstand und Durchführung von Computernetzwerkoperationen 85

5. Fremdsteuerung Eine weitere Kategorie von Computernetzwerkoperationen stellt die der Fremdsteuerung dar. Hierbei ist die Einwirkung auf das System selbst nur Zwischenziel bzw. Mittel zum Zweck. Das Fernziel besteht darin, dass im Zuge der Einwirkung die physische Herrschaft über das System gewonnen wird.297 Relevant sind in diesem Zusammenhang insbesondere sog. unmanned aerial vehicles (UAV), die auch unter Drohnen firmieren. Solche Systeme haben zum einen militärische Anwendungsbereiche298 im Bereich der Nachrichtengewinnung, Überwachung, Zielerfassung und Aufklärung (im Fachjargon ISTAR bezeichnet).299 Ein wachsendes Anwendungsfeld stellt aber auch der zivile Sektor dar, angefangen bei der hobbymäßigen Verwendung bis hin zum geplanten Einsatz im Logistiksektor.300 In technischer Hinsicht läuft der Angriff folgendermaßen ab: Jedes UAV verfügt über ein Basissystem. Dieses ist zum einen verbunden mit anderen Bestandteilen des UAV (z. B. Sensoren, Avionik oder (wenn vorhanden) dem Waffensystem), zum anderen mit der Bodenkontrollstation. Verbindungsträger ist ein Kommunikationssystem, das Gegenstand des Einbruchs ist.301 Im Zuge dessen lassen sich dann z. B. GPS-Signale fälschen und dadurch die Steuerungsherrschaft gewinnen.302 Dass es sich hierbei um keine fiktiven Szenarien handelt, ist spätestens seit dem Jahr 2011 anerkannt. Anlass war ein Zwischenfall im Iran, bei dem die iranischen Streitkräfte eine US-Drohne (RQ-170 Sentinel UAV) ohne physische Einwirkung in ihre Gewalt brachten.303 Gleichwohl ist diese Kategorie der Computernetzwerkoperationen gegenüber den anderen, schränkt. Hierzu gehören näher spezifizierte Anlagen aus den Bereichen Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, sofern sie einen in der VO näher spezifizierten Schwellenwert aufweisen. 297  Hartmann/Giles, UAV Exploitation: A New Domain for Cyber Power, in: Pissanidis/Rõigas/Veenendaal (Hrsg.), 8th International Conference on Cyber Conflict, 2016, 205 (206). 298  laut einer kleinen Anfrage aus dem Jahr 2016, war die Bundeswehr seinerzeit im Besitz von 567 unbemannten Luftfahrzeugen, BT-Drs. 18/9642, Frage 41. 299  siehe hierzu: https://www.hartpunkt.de/elettronica-hensoldt-indra-und-thaleswollen-kooperieren/. 300  So hat die US Federal Aviation Administration (FAA) im Jahr 2010 prognostiziert, dass im Jahr 2020 ca. 15.000 UAVs in Verwendung sind. Tatsächlich wurden bereits im Jahr 2015, 15.000 UAVs monatlich verkauft, http://atwonline.com/airlinetraffic/faa-forecasts-doubling-small-model-personal-uav-fleet-2022. 301  Hartmann/Giles, 205 (208). 302  Hartmann/Giles, aaO. 303  Siehe dazu https://www.nytimes.com/2011/12/08/world/middleeast/drone-crashin-iran-reveals-secret-us-surveillance-bid.html.

86

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

zuvor behandelten, unterrepräsentiert,304 was sich auch daran zeigt, dass sie in staatlichen Dokumenten bisher keinen Niederschlag gefunden hat. Aus diesem Grund wird sich im weiteren Verlauf mit dieser Kategorie auch nicht vertiefter auseinandergesetzt. 6. Klassifizierung und Zwischenergebnis Aus den dargestellten potentiellen Auswirkungen von Computernetzwerkoperationen305 und der Art und Weise ihrer Bewerkstelligungen lassen sich bereits an dieser Stelle einige Schlüsse ziehen. So ist die Kategorie der physisch-realen Auswirkungen in Gestalt von Beschädigung und Zerstörung, gemessen an der Anzahl der Vorkommnisse in der Realität, gegenüber den übrigen anteilsmäßig unterrepräsentiert. Dies gilt ungeachtet des Umstandes, dass die Beispiele aus der Realität in dieser Kategorie gegenüber denen der drei anderen Kategorien, wie ausgeführt, weitgehend auf unklaren Faktenlagen basieren. An dem dargestellten Verhältnis ändert sich nämlich auch dann nichts, wenn diejenigen, überwiegend auf unsicherer Faktenlage basierenden Vorkommnisse, miteinbezogen würden. Eine hierauf aufbauende Erkenntnis belegt ferner, dass die zahlenmäßig unterrepräsentierten Computernetzwerkoperationen der Kategorie Beschädigung und Zerstörung, in technischer und finanzieller Hinsicht gleichzeitig am meisten Ressourcen beanspruchen.306 304  Hartmann/Giles,

205 (217). von Diensten, Beschädigung und Zerstörung, Informationsunterdrückung, -verbreitung und Falschinformation sowie Informationsbeschaffung. 306  Ausgangspunkt ist der technische Aufwand zur Beschädigung oder Zerstörung, für den sich der Stuxnet-Wurm anführen lässt, dazu: Gaycken/Karger, Entnetzung statt Vernetzung, MMR 2011, 3 ff.; ders., Stuxnet, Wer war’s und Wozu?, Zeit Online v. 25.11.2010, abrufbar unter: http://www.zeit.de/2010/48/Computerwurm-Stuxnet; F. W. Kriesel/D. Kriesel, Cyberwar – relevant für Sicherheit und Gesellschaft? Eine Problemanalyse, in: Schmidt-Radefeldt/Meissler (Hrsg.), Automatisierung und Digitalisierung des Krieges. Drohnenkrieg und Cyberwar als Herausforderungen für Ethik, Völkerrecht und Sicherheitspolitik, S. 117 (127); für die staatliche Urheberschaft aussprechend m. w. N. auch Krieger, Krieg gegen anonymous, Völkerrechtliche Regelungsmöglichkeiten bei unsicherer Zurechnung im Cyberwar, AVR 2012, 1 (2); von diesem technischen Aufwand ausgehend wird dann i. d. R. auf den finanziellen Aufwand geschlossen (der nicht selten dann die Begründung für eine staatliche Urheberschaft liefert, dazu später). Generell zu dem Verhältnis von Aufwand und Ertrag bei Computernetzwerkoperationen, siehe Gaycken, Die vielen Plagen des Cyberwar, in: Schmidt-Radefeldt/Meissler (Hrsg.), Automatisierung und Digitalisierung des Krieges. Drohnenkrieg und Cyberwar als Herausforderungen für Ethik, Völkerrecht und Sicherheitspolitik, S. 89 (98) der das Phänomen als „Wirkasymmetrie“ (S. 98) beschreibt; Gaycken in Cyberwar, S. 91, Schörnig, Die Automatisierung des Krieges: Eine kritische Bestandsaufnahme, in: Schmidt-Radefeldt/Meissler (Hrsg.), Automatisierung und Digitalisierung des Krieges. Drohnenkrieg und Cyberwar als Herausforderungen für Ethik, Völkerrecht und Sicherheitspolitik, S. 33 (45) legt den Fokus zwar eher auf 305  Nichtverfügbarkeit



B. Gegenstand und Durchführung von Computernetzwerkoperationen 87

Anders gewendet: Die drei Kategorien Nichtverfügbarkeit von Diensten, Informationsunterdrückung, -verbreitung und Falschinformation sowie Informationsbeschaffung kommen nicht nur häufiger vor, sondern lassen sich auch mit geringerem Aufwand bewerkstelligen.307

II. Die Protagonisten Die Urheberschaft von Computernetzwerkoperationen ist in der Regel schwer zu ermitteln.308 Bei der allgemein unter Attributionsproblematik firmierenden Zurechnungsschwierigkeit handelt es sich daher um eines der zentralen Probleme im Bereich der Computernetzwerkoperationen.309 Dies hat verschiedene Gründe. So wurde sich bisher von staatlicher Seite noch nie zu einer Computernetzwerkoperation bekannt.310 Erschwerend kommt die geschilderte grundsätzliche Dezentralität des Cyberraums hinzu. Damit einhergehend lässt sich gegenüber dem analogen Raum im Zuge sogenannter False-Flag-Operationen viel leichter täuschen und die eigene Urheberschaft verdecken.311 Die Zurechnungsproblematik hat dabei zwei Dimensionen: Zum einen die Frage, von wessen Territorium der Angriff ausgeht, und zum anderen, wem er genau zuzurechnen ist, einer staatlichen oder nichtstaatlichen Organisationseinheit. 1. Staatliche Akteure Im Bereich der staatlichen Akteure lässt sich grundsätzlich zwischen denjenigen differenzieren, die als originär staatliche Organisationseinheit bzw. unbemannte Systeme, die Argumentationslinie ist indes dieselbe; Schmahl, Cybersecurity, in: Berichte der Deutschen Gesellschaft für Internationales Recht, Band 47 (hrsg. von Dethloff, Nina/Nolte, Georg/Reinisch, August), Heidelberg 2016, S. 159 (165 f.). 307  Diesbezüglich sei nur beispielhaft auf die Botnetze verwiesen; daneben Schörnig, aaO; Schmahl, aaO. 308  U. a. aufgeführt m. w. N. bei Bussolati, The Rise of Non-State Actors in Cyberwarfare, in: Ohlin/Govern/Finkelstein, Cyber War Law and Ethics for Virtual Conflicts, Oxford, 2015, 102 (106). 309  Schmahl, S. 159 (187). 310  Lin, Cyber Conflict and International Humanitarian Law; International Review of the Red Cross Cross 94 (2012), 515 (520). 311  Exemplarisch hierfür ist der weiter vorne dargestellte Einbruch in das System des franz. Senders TV5 Monde anzuführen, im Rahmen dessen die Hacker zunächst behaupteten, Angehörige eines Cyber-Caliphates zu sein. Mittlerweile gilt jedoch als gesichert, dass sich die Urheberschaft keinem islamistischen Spektrum zurechnen lässt, vielmehr wird die russisch-assoziierte APT 28 als Urheber vermutet; siehe dazu: Corera/Gordon, How France’s TV5 was almost destroyed by ‚Russian hackers‘ BBC-Online Artikel v. 10.10.2016, abrufbar unter: http://www.bbc.com/news/technology-37590375.

88

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

Behörde einen Angriff durchführen und solchen, die auf Geheiß eines Staates bzw. in Erfüllung eines staatlichen Auftrages „als verlängerter Arm“ handeln.312 Im Zentrum stehen damit Militär und Nachrichtendienste. Indikatoren für ebensolche staatliche Urheberschaft sind insbesondere die Opferauswahl (politische Parteien, Behörden, Forschungseinrichtungen),313 aber auch die Komplexitäten der Angriffe. Je komplexer der Angriff, desto größer der Einsatz an finanzieller Ressourcen und desto größer die Wahrscheinlichkeit einer staatlichen Urheberschaft.314 So wird insbesondere beim Computer-Wurm Stuxnet angenommen, dass dieser, wegen der Komplexität seines Angriffsmusters, insbesondere weil der Wurm fehlerfrei auf unterschiedlichen Systemen der angegriffenen Anlagen lief, in einer Industrieanlage getestet worden sein müsse und vor diesem Hintergrund eines erheblichen finanziellen Aufwandes bedurft habe.315 Bekennerschreiben sind dagegen insgesamt eher von nichtstaatlichen Akteuren zu erwarten.316 312  Zum

(174).

Beispiel die sog. patriotischen Hacker, näher dazu bei Schmahl, S. 159

313  Gleichwohl ist das Abstellen allein auf das Opfer nicht ausreichend, was sich insbesondere anhand der gleichermaßen staatlich wie nicht staatlich initiierten Industriespionage belegen lässt. Staatlich durchgeführte Industriespionage wird insbesondere von China betrieben, das ohnehin einen ganzheitlichen Ansatz verfolgt und nicht nach staatlich/militärisch auf der einen und wirtschaftlich motiviert auf der anderen Seite trennt. So hat Sicherheit in China eine wirtschaftliche Dimension, mit der Folge, dass sich die Volksbefreiungsarmee ausweislich der chinesischen Militärstrategie von 2015 an der wirtschaftlichen Entwicklung des Landes zu beteiligen hat (abrufbar unter: http://english.gov.cn/archive/white_paper/2015/05/27/content_281475115610833. htm), siehe insgesamt hierzu hierzu: Brettner-Messler, Hybride Bedrohungen: eine Reflexion über Ableitungen aus strategischen Dokumenten der EU, in: Dengg/ Schurian (Hrsg.), Vernetzte Unsicherheit – Hybride Bedrohungen im 21. Jahrhundert, Wien 2015. S. 151 (158) sowie Schmidt/Sanger, 5 in China Army Face U.S. Charges of Cyberattacks, The New York Times Online, 19.05.2014, abrufbar unter: https:// www.nytimes.com/2014/05/20/us/us-to-charge-chinese-workers-with-cyberspying. html. 314  So die Verfassungsschutzberichte des Bundes 2015 (S. 249) und 2016 (261). 315  Gaycken/Karger, Entnetzung statt Vernetzung, MMR 2011, 3 ff.; ders., Stuxnet, Wer war’s und Wozu?, Zeit Online v. 25.11.2010, abrufbar unter: http://www.zeit. de/2010/48/Computerwurm-Stuxnet; F. W. Kriesel/D. Kriesel, Cyberwar – relevant für Sicherheit und Gesellschaft? Eine Problemanalyse, in: Schmidt-Radefeldt/Meissler (Hrsg.), Automatisierung und Digitalisierung des Krieges. Drohnenkrieg und ­Cyberwar als Herausforderungen für Ethik, Völkerrecht und Sicherheitspolitik, S. 117 (127); für die staatliche Urheberschaft aussprechend m. w. N. auch Krieger, Krieg gegen anonymous, Völkerrechtliche Regelungsmöglichkeiten bei unsicherer Zurechnung im Cyberwar, AVR 2012, 1 (2). 316  Siehe nur exemplarisch das Bekenntnis der pro-russischen ukrainischen Hackergruppe CyberBerkut im Nachgang des DDoS-Angriffs auf die Internetpräsenz des Bundespresseamts.



B. Gegenstand und Durchführung von Computernetzwerkoperationen 89

Mit Blick auf die Bundesrepublik Deutschland nennen die Verfassungsschutzberichte der vergangenen drei Jahre, vorbehaltlich der dem Cyberraum immanenten Erkenntnisschwierigkeiten, Russland, China und Iran317 als identifizierte Angreifer und mutmaßen in diesem Zusammenhang den jeweiligen Nachrichtendienst als Urheber.318 2. Nichtstaatliche Akteure Die Beteiligung nichtstaatlicher Akteure ist im Bereich der Computernetzwerkoperationen besonders hoch. Das hängt vordergründig damit zusammen, dass die notwendigen Mittel in der Regel jedermann, jedenfalls aber einem weit größeren Kreis zugänglich sind, als es konventionell militärische Mittel sind, und dies regelmäßig unter geringem Einsatz finanzieller Ressourcen.319 So sind Informationen über einzelne Vorgehensweisen vielfach im Internet (über das frei zugängliche World Wide Web oder das anonyme peer-to-peerverschlüsselte Darknet) vorhanden und hier über Foren einseh- und beschaffbar.320 Dies schafft zudem die Möglichkeit des Austausches untereinander, wie auch mit etwaigen Auftraggebern.321 Die nichtstaatlichen Akteure reichen vom individuellen Hacker ohne jegliche politische Affiliation, über kriminelle Organisationen, die sich mitunter im Bereich der dargestellten Ramsomware-basierten Angriffe eine Einnahme-

317  Ab

nung.

Verfassungsschutzbericht 2015, S. 261 findet der Iran als Urheber Erwäh-

318  Verfassungsschutzberichte des Bundes von 2012 (S. 388), 2013 (S. 322), 2014 (S. 143), 2015 (S. 264), und 2016 (S. 261); als Ziele nennt letzterer auch einige Bundesministerien (u. a. AA, BMF, BMWi sowie das BKAmt). 319  Schmahl, Cybersecurity, in: Berichte der Deutschen Gesellschaft für Internationales Recht, Band 47 (hrsg. von Dethloff, Nina/Nolte, Georg/Reinisch, August), Heidelberg 2016, S. 159 (166); Abschlussbericht des Aufbaustabs Cyber- und Informationsraum, S. 3. 320  Keber/Roguski, Ius ad bellum electronicum? Cyberangriffe im Lichte der UNCharta und aktueller Staatenpraxis, AVR Vol. 49, 2011, 399 (405); Maybaum, Technical Methods, Techniques, Tools and Effects of Cyber Operations, in: Ziolkowski (Hrsg.), Peacetime Regime for State Activities in Cyberspace. International Law, International Relations and Diplomacy, 103 (130 ff.); Pihelgas, Back-Tracing and Anonymity in Cyberspace, in: Pihelgas, 31 (39); Schmahl, 159 (200), die auf im Internet für jedermann verfügbare „hacking tools“ hinweist. 321  Bussolati, The Rise of Non-State Actors in Cyberwarfare, in: Ohlin/Govern/ Finkelstein, Cyber War Law and Ethics for Virtual Conflicts, Oxford, 2015, 102 (107) schildert von sog. „Bug hunters“, bei denen es sich um Hacker handelt, die nach Schwachstellen suchen und diese Informationen, gepaart mit der erforderlichen Software dann verkaufen.

90

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

quelle erschließen,322 einer Kombination aus beidem, bis hin zu Organisationen sogenannter patriotischer Hacker bzw. Hacktivists, die mitunter im Auftrag einer Regierung tätig sind.323 Letztgenannte begreifen sich selbst regelmäßig zwar unabhängig von einem staatlichen Gefüge, gleichwohl sind ihre Betätigungen politisch und ideologisch motiviert.324 Darüber hinaus führt der Einsatz von Botnetzen dazu, dass auch eine Vielzahl an natürlichen oder juristischen Personen ohne Kenntnis an einem Angriff beteiligt sind, indem sie mit der von Ihnen vorgehaltene Hardware unwissentlich einen wesentliche Intermediär darstellen.325

C. Ergebnis zur Bedrohungslage Die vorangegangenen Ausführungen weisen zwar vereinzelt auf Gemeinsamkeiten zwischen dem analogen und dem Cyberraum hin. So ist der Cyberraum mit Blick auf das Internet keineswegs in einem Ausmaß entgrenzt wie vereinzelt angenommen, sondern lässt sich territorial sehr wohl rückkoppeln und damit (zumindest in der Theorie) staatlicher Hoheitsgewalt unterwerfen. Bei örtlichen, nicht mit dem Internet verbundenen Anlagen besteht in vorbezeichneter Hinsicht sogar gar kein Unterschied zum analogen Raum. Insgesamt ist auf dem Boden der vorherigen Ausführungen aber zu konstatie-

322  Daneben kommen sogenannte Banking-Trojaner sowie Spam- und DDoS-Bots in Betracht, in deren Einsatz das BSI die Verfolgung einer globalen Strategie der Monetarisierung von kompromittierten Systemen sieht (BSI-Bericht 2016, S. 24). Deren Versand ist laut BSI aaO insbesondere auf Entwicklungs- und Schwellenländer zurückzuführen. 323  Bussolati, aaO bezeichnet den individuellen Hacker als den wesentlichen Faktor im Bereich der Computernetzwerkoperationen; exemplarisch ist die Bekennung der pro-russischen ukrainische Hackergruppe CyberBerkut zum DDoS-Angriff auf eine von deutschen Regierungsseiten am 07.01.2015 zu nennen; auch Schmahl, S. 159 (174), nach der für die sog. „patriotischen Hacker“ charakteristisch ist, dass der Staat deren Verhalten als eigenes anerkennt und solidarisch unterstützt. 324  Czosseck, State Actors and their Proxies in Cyberspace, in: Ziolkowski (Hrsg.), Peacetime Regime for State Activities in Cyberspace. International Law, International Relations and Diplomacy 1 (7); so werden hinter den Cyber-Angriffen gegen den Internetauftritt des estnische Parlament 2007 sogenannte patriotische Hacker vermutet, Bussolati, 102 (109 f.); der russ. Präsident Putin hat im Rahmen eines Wirtschaftsforums am 01.06.2017 zwar die Urheberschaft des russischen Staates für einzelne Cyber-Angriffe bestritten, gleichzeitig aber die Möglichkeit der Verantwortlichkeit vorbezeichneter patriotischer Hacker eröffnet, abrufbar unter: http://www.faz.net/ aktuell/politik/ausland/putin-schliesst-cyberangriffe-patriotischer-russen-nichtaus-15042732.html. 325  Owens/Dam/Lin, Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities, S. 2-11.



C. Ergebnis zur Bedrohungslage 91

ren, dass die Bedrohungslage aus dem Cyberraum nur sehr begrenzt mit der in der analogen Welt vergleichbar ist. Nicht nur die Angriffs- und Angreifermonopole verschieben bzw. lösen sich gänzlich auf, auch die Ziele und Methoden werden vielfältiger. So lassen sich mit Computernetzwerkoperationen eben nicht nur physische, in der Außenwelt sichtbare Zwangswirkungen erzielen, die mit kinetischen Waffen vergleichbar sind. Die Unternehmungen münden vielmehr und mehrheitlich in Resultate, die sich vormals eben gar nicht oder zumindest nicht in vergleichbarem Ausmaß erzielen ließen.326 Neben der generellen Zurechnungsproblematik stellen gerade letztere in rechtlicher Hinsicht eine Schwierigkeit dar, weil die herkömmlichen Parameter Ursprung, Auswirkung und Intensität, mitunter zur Unterscheidung von polizeilichem (präventiv wie repressiv) und militärischem Aufgabenbereich herangezogen, sich nur noch unzureichend eignen. So ist der Ursprung einer Computernetzwerkoperation in Ansehung der Zurechnungsproblematik schwer auszumachen. Dies erfasst sowohl die tatsächliche Möglichkeit der Rückverfolgbarkeit wie auch – unterstellt diese ist erfolgreich vorgenommen – die Belast- und Beweisbarkeit einer solchen in einer Qualität, die sich zumindest dem Grunde nach als Verteidigungsgrundlage nach außen vertreten lässt und von der Staatengemeinschaft akzeptiert wird. Gleichzeitig lässt sich eine Folgenabschätzung angesichts der schleichenden Infiltration der vorbezeichneten Angriffe (Cyber-Intrusion) zum Zeitpunkt eines Systemeinbruchs nur schwerlich vornehmen. Die Bedrohung in den verschiedenen Kategorien hat einen Dauerzustand eingenommen, mit der Folge, dass Computernetzwerkoperationen zunehmend allgegenwärtig sind. Grund hierfür ist zum einen, dass die Anzahl, Vielfalt und Bandbreite der Angriffe zunimmt. Dies liegt neben den angeführten Gründen insbesondere daran, dass sie mit technisch wie wirtschaftlich verhältnismäßig einfachen Mitteln zu bestreiten sind, Staaten hierbei also keine Monopolstellung (mehr) zukommt. Zum anderen daran, dass die Gefahr, beispielsweise im Falle des Informationsabzugs, mit dem Moment der initialen Handlung nicht gebannt ist, sondern ein weiterer Ausführungsakt in Gestalt der Verbreitung bevorsteht, für deren Bewerkstelligung 326  siehe Geiß/Lahmann, Freedom and Security in Cyberspace: Shifting the Focus away from Military Responses towards Non-forcible Countermeasures and Collective Threat-Prevention, in: Ziolkowski (Hrsg.), Peacetime Regime for State Activities in Cyberspace, 621 (657), die als eine der wenigen die Diskrepanz zwischen den tatsächlich stattfindenden CNO und denen mit denen sich in rechtlicher Hinsicht beschäftigt wird so klar benennen. In diesem Zusammenhnag verweisen sie auch auf die Tatsache, dass bis dato keine CNO die Schwelle des bewaffneten Angriffs erreicht, obgleich diese überwiegend Gegenstand der Diskussion sind.

92

Kap. 1: Die Bedrohungslage im und aus dem digitalen Raum

sich wegen der Massenerreichbarkeit wiederum Facetten des Cyberraums eignen.327 Das Internet spielt hierbei durchweg eine zentrale Rolle, da es sich in der überwiegenden Anzahl der Computernetzwerkoperationen als Verbreitungsoder/und Zugangsmedium nutzen lässt und die meisten Zielnetzwerke an das Internet angeschlossen sind. Wie bereits im Rahmen der Aufschlüsselung des Cyberraums dargestellt,328 handelt es sich bei dem, was gemeinhin als das „Internet“ verstanden wird, um einen Zusammenschluss von Netzwerken. Die Verbindung mit dem Internet ist aber nicht zwingend. So sind sensible Strukturen und Netzwerke nicht selten gar nicht mit dem Internet verbunden, was ihre Gefährdung vor einem Angriff beispielsweise mittels über das Internet verbundener Botnetze denklogisch auf null reduziert.329 Die Relevanz des Internets mit Blick auf die absolute Zahl der zeitgenössischen Computernetzwerkoperationen ist zwar hoch. Dies darf aber nicht darüber hinwegtäuschen, dass zahlreiche sensible Infrastrukturnetzwerken unterschiedlicher Art trotz ihrer Autarkie vom Internet gleichfalls gefährdet sind.330

327  So ist es beispielsweise bei dem Angriff auf das Bundestagsnetzwerk im Mai 2015 zu einem „nicht unerheblichen“ Datenabfluss gekommen, vgl. Verfassungsschutzbericht 2015, S. 251. 328  Verweis auf S. 31 ff. 329  So auch Gaycken, in: Schmidt-Radefeldt/Meissler (Hrsg.), S. 89 (95), nach dem beispielsweise DDoS-Attacken lediglich in der Lage seien, kleine Mengen von Anschlüssen anzugreifen. Er bezeichnet die Gefahr durch DDoS Attacken im Einklang mit den Ausführungen über die als Trägermethode fungierenden Botnetze als kaum relevant und führt das diesbezüglich bestehende Missverständnis auf die fehlerhafte Annahme zurück, das Internet – als wiederum Grundlage für den Zusammenschluss des Botnetzes – sei überragend wichtig im Cyberraum. 330  Gaycken, Cyberwar, Das Internet als Kriegsschauplatz, S. 95.

Kapitel 2

Status quo der Sicherheitsarchitektur mit Fokus auf den digitalen Raum Mit dem Begriff Sicherheitsarchitektur lassen sich die Organisationen und rechtlichen Befugnisse umschreiben, die der Gewährleistung der inneren und äußeren Sicherheit des Staates dienen.1 Ungeachtet der verschiedenen Aufgabenzuweisungen haben die verschiedenen Institutionen gemein, dass sie als Teil der Exekutive nach Art. 20 Abs. 3 GG an Recht und Gesetz gebunden sind. Bei denjenigen Einrichtungen, die als Behörde zu qualifizieren sind, bedarf es ferner einer gesetzlichen Aufgabenzuweisung. Dies ist Ausfluss des Grundsatzes der Gesetzmäßigkeit der Verwaltung sowie, für Bundesbehörden, aus Art. 87 Abs. 1 GG.2 Die nun anschließenden Darstellungen verfolgen ein Grob- und ein Feinziel: Ersteres besteht darin, die sicherheitsrelevanten Landes- und Bundesbehörden, ihre Aufgaben, Kompetenzen und Unterscheidbarkeiten allgemein darzustellen. Der Fokus liegt dabei auf ihrer Zuständigkeit bezüglich der zuvor dargestellten Bedrohungen im und aus dem Cyberraum. Regelmäßig ergibt sich diese explizit aus den gesetzlichen Grundlagen. Teilweise bedarf es hierzu jedoch der Auslegung derselben sowie bisweilen einer vertieften Betrachtung des Verhältnisses der Kompetenzzuweisungen verschiedener Institutionen zueinander. Die Streitkräfte sind in ihrer Eigenschaft als Teil der Sicherheitsarchitektur ebenfalls Gegenstand der folgenden Ausführungen, obgleich ihr Einsatz zur Verteidigung dem Folgekapitel vorbehalten bleibt. Das Feinziel besteht darin, für das Anschlusskapitel den Boden zu bereiten. Dort liegt der Fokus auf der Verwendung der Streitkräfte zur Verteidigung im digitalen Raum. Die Vorarbeit in Gestalt eines thematisch aufbereiteten Gerüsts der Sicherheitsarchitektur drängt sich geradezu auf, wenn man es sowohl mit einem nicht ansatzweise definierten Verteidigungsbegriff zu tun hat, als auch mit Bedrohungen, die sich nur schwer entlang klassischer 1  So Würtenberger, Sicherheitsarchitektur im Wandel, in: Kugelmann, Polizei unter dem Grundgesetz, S. 73. 2  Linke, Rechtsfragen der Einrichtung und des Betriebs eines Nationalen CyberAbwehrzentrums als informelle institutionalisierte Sicherheitskooperation, DÖV 2015, 128 (132 ff.); Gusy, in: Dietrich/Eiffler (Hrsg.), Handbuch des Rechts der Nachrichtendienste, IV § 1, Rn. 27.

94

Kap. 2: Status quo der Sicherheitsarchitektur

Strukturen einordnen lassen. Insofern ist ein Für und oder Wider ihrer Einordnung in das den Streitkräften zugeordnete Verteidigungsspektrum auch stets vor der Gesamtheit der Sicherheitsarchitektur zu reflektieren.

A. Der zivile Arm der Sicherheitsarchitektur Bestandteil dieser Kategorie sind drei Gruppen: Die auf Bundes- und Landesebene existenten Polizeibehörden, die Nachrichtendienste sowie die dritte Gruppierung, die sich als die der aufsichtlichen, wirtschaftlichen und technisch-fachlichen Dienste zusammenfassen lässt. Im Rahmen letzterer spielt vorliegend insbesondere die Unterkategorie der technisch-fachlichen Dienste eine Rolle und hier zuvörderst das Bundesamt für Sicherheit in der Informationstechnologie (BSI).

I. Polizeien Der wesentliche, zum Verständnis der Polizeiarchitektur erforderliche Verfassungsgrundsatz ist das in Art. 20 Abs. 1 GG niedergelegte und über Art. 79 Abs. 3 GG abgesicherte Bundesstaatsprinzip. Ausgehend hiervon und fortgeführt durch die in Art. 30 und 70 GG verankerte Gesetzgebungskompetenz bzw. die grundsätzliche Verwaltungskompetenz (Art. 83, 84 GG) der Länder, bewahrt es die föderale Kompetenzverteilung als Ausdruck der Eigenstaatlichkeit der Länder zur Begrenzung gesamtstaatlicher Machtausübung.3 Wesentlicher Ausfluss dieser Grundentscheidung ist die Dezentralisierung der Polizei im Bereich des allgemeinen Polizeirechts, die bereits im vorkonstitutionellen „Polizeibrief“ der alliierten Militärgouverneure vom 14. April 1949 ihren Ursprung findet.4 So fällt das Polizei- und Ordnungsrecht grundsätzlich in den Zuständigkeitsbereich der Länder mit der Folge, dass es in Deutschland 16 Landespolizeigesetze gibt.5 Gemeinsam ist ihnen die Aufteilung in Schutz- und Kriminalpolizei. Unterschiede ergeben sich aber 3  Bauer, in: Roggan/Kutscha, Handbuch zum Recht der Inneren Sicherheit, S. 155; Bauer, in: Dreier, GG-Kommentar, Art. 20 (Bundesstaat) Rn. 6 ff.; Rachor, in Denninger/Rachor, Handbuch des Polizeirechts, S. 153 Rn. 42. 4  Der „Polizei-Brief“ ist abgedr. bei Werthebach/Droste, in: BK-GG, Losebl. (Stand: Dez. 1998), Art. 73 Nr. 10 Rn. 10; Bauer, in: Roggan/Kutscha, aaO; siehe umfassend zur Stimmungslage des parlamentarischen Rates zur Einrichtung einer Bundespolizeibehörde im Rahmen der Textentwicklung des Art. 87 Abs. 1 S. 2 GG Willich, Historische und aktuelle Probleme der Rechtsstellung des Bundesgrenzschutzes, seiner Aufgaben und Befugnisse, S. 4 ff. 5  Gade/Kieler, Polizei und Föderalismus. Aufgabenfelder der Bundes- und Landespolizeien im verfassungsrechtlichen Gefüge der Bundesrepublik Deutschland, S.  41 f.



A. Der zivile Arm der Sicherheitsarchitektur 95

bei der Behördenorganisation.6 Daneben ergibt sich für den Bund aus Art. 87 Abs. 1 S. 2 GG die Kompetenz, in den dort bezeichneten Bereichen Einrichtungen mit polizeilichen Befugnissen zu schaffen, wovon er mit Errichtung von Bundespolizei und Bundeskriminalamt Gebrauch gemacht hat. Eine Ausnahme vom geschilderten kompetenzrechtlichen Grundsatz, die als solche gleichzeitig zur Bestätigung desselben geeignet ist, hat das BVerfG im Falle des Bundesgrenzschutzes (seit 01. Juli 2005 Bundespolizei) entwickelt, indem es mit seiner sogenannten „Gepräge-Formel“-Kriterien aufgestellt hat, bei Wahrung derer der Bundesgrenzschutz außerhalb der grund- sowie einfachgesetzlich ohnehin normierten Rechtsgrundlagen eingesetzt werden darf. Neben der Stützung auf einen Kompetenztitel des Grundgesetzes und der Bedingung, dass die zur Übertragung stehende Aufgabe ihrerseits nicht von Verfassung wegen einem bestimmten Verwaltungsträger vorbehalten sein darf, muss das Gepräge des Bundesgrenzschutzes als Sonderpolizei gewahrt werden.7 Es darf demnach mit den Worten des BVerfG nicht zu einem Ausbau des Bundesgrenzschutzes zu einer „allgemeinen Bundespolizei“ kommen, die mit der Landespolizei „konkurriert“.8 Im Kern bedeutet dies, dass das grundsätzliche Verhältnis der polizeilichen Zuständigkeiten des Bundes auf der einen, und der Länder auf der anderen Seite nicht an Trennschärfe verlieren darf, indem der nunmehr Bundespolizei auf der Basis von einzelnen Kernkompetenzen, klassisch landespolizeiliche Aufgabenwahrnehmung ermöglicht wird. Gleichfalls den Grundsatz bestätigend anzuführen sind die Ausnahmen der Art. 35 Abs. 3 S. 1 GG und den mit Blick auf den gegenüber der Amtshilfe spezielleren Art. 91 Abs. 2 GG, nach denen die Bundesregierung, nur auf wenige Notlagen begrenzt, die Verfügung über Landespolizeikräfte an sich ziehen, den Landesregierungen Weisungen erteilen und die Bundespolizei einsetzen darf.9 Hieraus wird deutlich, dass der Verfassungsgeber bzw. verfassungsändernde Gesetzgeber nur im Falle des für ein Land alternativ oder kumulativ drohenden quantitativen und/oder qualitativen Verlusts der Beherrschbarkeit einer Notlage die Beteiligung einer Bundesbehörde, nament6  Die Grenzziehung zwischen Polizei im engeren Sinne und der Verwaltungspolizei bzw. den Ordnungsbehörden wurde unterschiedlich gezogen. So haben einige Länder für ihre Gesetzgebung den im angelsächsischen Bereich favorisierten engeren Begriff der „Vollzugspolizei“ zugrunde gelegt, dieser aber zum Teil auch „verwaltungspolizeiliche“ Aufgaben übertragen, dazu Boldt/Stolleis, in: Denninger/Rachor, Handbuch des Polizeirechts, S. 33 Rn. 79 f. 7  BVerfGE 97, 198 (217). 8  BVerfGE 97, 198 (218). 9  Volkmann, in: Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art. 91 Rn. 32; anders als bei Art. 91 Abs. 2 darf die Bundesregierung den Landesregierungen im Falle von Art. 35 Abs. 3 nicht direkt die Weisung erteilen, ihre Polizeikräfte einem betroffenen Land zur Verfügung zu stellen, Pieroth, in: Jarass/Pieroth Art. 35 Rn. 8.

96

Kap. 2: Status quo der Sicherheitsarchitektur

lich der Bundespolizei anerkennt und es im Übrigen streng bei der Zuständigkeit der Länder bleibt. Neben den allgemeinen Landespolizeibehörden werden im Folgenden die Zuständigkeiten der Fach- bzw. Sonderpolizeien des Bundes für den relevanten Bereich thematisiert. 1. Landespolizei Die Begrifflichkeit der Landespolizei bedarf zunächst der Erläuterung und Abgrenzung. Dabei ist anzumerken, dass die Landespolizei begrifflich zwar eine Sicherheitsbehörde10 (bzw. Ordnungsbehörde11) darstellt, von diesen aber gleichermaßen abzugrenzen ist. Das Verhältnis zwischen Polizei und Sicherheitsbehörden/Ordnungsbehörden im Trennungssystem bzw. zwischen Polizeivollzugsdienst und (Verwaltungs-)Polizeibehörde bestimmt sich nach den jeweiligen gesetzlichen Vorschriften. Einer näheren Erläuterung hierüber bedarf es nicht, weil Gegenstand der folgenden Ausführungen zunächst nur die allgemein gleich verstandenen Aufgaben der Schutz- und Kriminalpolizei sind12 und mit Blick auf weitere Ordnungsbehörden im Bedarfsfalle punktuell auf abzugrenzende Verhältnisse eingegangen wird. Zum einen ist die Landespolizei als Schutzpolizei zuständig für die Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung (präventive Dimension), zum anderen als Kriminalpolizei für die Strafverfolgung (repressive Dimension). Zur Schutzpolizei in der Regel uniformierten Polizeibeamte, zur Kriminalpolizei Beamte in Zivil. Jeder der beiden Zweige verfügt zudem über einen eigenen Organisationsaufbau, der auf den Anforderungen vor Ort abgestimmt ist.13 Im Bereich des sogenannten Gefahrenabwehrrechts stellt die öffentliche Sicherheit und Ordnung das zentrale Schutzgut dar, zu deren Bewahrung den Polizeibehörden die in den Landespolizeigesetzen aufgeführten Standardmaßnahmen an die Hand gegeben sind, bzw. die Befugnisgeneralklausel nach der die Polizeibehörden bei vorbezeichneter Lage und nach pflichtgemäßer Ermessensausübung „die notwendigen Maßnahmen“ treffen können.14 10  In Bayern gebräuchliche und gesetzlich definierte Begrifflichkeit (Art.  6 LStVG). 11  U. a. in Berlin gebräuchliche Entsprechung des Begriffs der Sicherheitsbehörden (§ 2 Abs. 2 ASOG). 12  Rachor, in: Denninger/Rachor, Handbuch des Polizeirechts, S. 148 Rn. 21. 13  Rachor, in: Denninger/Rachor, Handbuch des Polizeirechts, S. 154 Rn. 44. 14  Die Grenzziehung zu den Ordnungsbehörden erfolgte bisweilen unterschiedlich, siehe dazu Boldt/Stolleis, in: Denninger/Rachor, Handbuch des Polizeirechts, S. 33 Rn. 80 f.



A. Der zivile Arm der Sicherheitsarchitektur 97

Die Befugnisgeneralklausel ist ein entscheidendes Wesensmerkmal des Zuständigkeitsspektrums der Landespolizeien und findet keine Entsprechung im Bereich der Polizeien des Bundes. Das Schutzgut der öffentlichen Sicherheit lässt sich vergleichsweise klar aufzeigen, als es neben dem gesamten geschriebenen Recht, den Bestand des Staates und die Funktionsfähigkeit seiner Einrichtungen sowie Individualrechtsgüter erfasst.15 Die öffentliche Ordnung ist dagegen weniger klar greifbar und vor allem nicht statisch, sondern dynamisch zu begreifen. Unter ihr werden ungeschriebenen Regeln des Gemeinwesens verstanden, die von einer bestimmten Bevölkerungsgruppe in einem bestimmten Gebiet zu einer bestimmten Zeit für ein gedeihliches Zusammenleben als sozial-ethisch notwendig und daher unerlässlich angesehen werden.16 a) Räumlicher Tätigkeitsbereich im digitalen Raum In räumlicher Hinsicht ist die Zuständigkeit der Landespolizeien grundsätzlich auf das Gebiet ihres Polizeibezirks bzw. des jeweiligen Bundeslandes beschränkt.17 Dies ergibt sich zum einen aus den ausdrücklichen Regelungen in sämtlichen Landespolizeigesetzen, wie auch aus einem Umkehrschluss aus den Amtshilfevorschriften der Art. 35 und 92 GG.18 Allerdings ist zu differenzieren zwischen einem zuständigkeitswidrigen Einsatz der Polizei in einem anderen Dienstbezirk desselben Bundeslandes, dem Einsatz in einem anderen Bundesland und dem zuständigkeitswidrigen Einsatz im Ausland. Im Hinblick auf erstere Sachlage sind die jeweiligen Regelungen stark vom Effizienzgedanken bestimmt, sodass sich hier regelmäßig kein Rechtsverstoß konstatieren lässt.19 Allein schon deshalb, weil die Landesgesetze mit Blick auf den Effizienzgedanken hier umfangreiche Organisationsregeln vorsehen (z. B. Gefahr im Verzug)20.21 Die zweite Einsatzlage ist in sämtlichen Landespolizeigesetzen gesetzlich geregelt und auch von Art. 91 GG erfasst.22 Im Hinblick auf die Vornahme von Amtshandlungen außerhalb der Bundesrepublik Deutschland sind solche nur dann zulässig, wenn völkerrechtliche Ver15  Söllner, in: Pewestorf/Söllner/Tölle, Praxishandbuch Polizei- und Ordnungsrecht, S. 143, Rn. 9 sowie Pewestorf, in: Pewestorf/Söllner/Tölle, S. 17 f., Rn. 40 ff. 16  Söllner, in: Pewestorf/Söllner/Tölle, aaO. 17  Pewestorf, in: Pewestorf/Söllner/Tölle, Praxishandbuch Polizei- und Ordnungsrecht, S. 50, Rn. 3. 18  siehe exemplarisch dafür § 6 ASOG und §§ 78, 79 PolG BaWü. 19  Rachor, in: Denninger/Rachor, Handbuch des Polizeirechts, S. 150 Rn. 31. 20  Siehe beispielhaft § 5 Abs. 3 SOG M-V. 21  Rachor, in: Denninger/Rachor, Handbuch des Polizeirechts, S. 150 Rn. 32. 22  siehe exemplarisch §§ 7, 8 ASOG und § 9 POG NRW.

98

Kap. 2: Status quo der Sicherheitsarchitektur

träge bzw. Rechtsakte der Europäischen Union dies vorsehen.23 Gängig sind in diesem Zusammenhang auf Basis der Gegenseitigkeit abgeschlossene Verwaltungsabkommen. Der typische Anwendungsfall ist die Nacheile, bei der es um die Verfolgung eines auf frischer Tat angetroffenen, flüchtigen Verdächtigen über die Bundesgrenze hinweg, geht.24 Maßgeblich für die örtliche Zuständigkeit ist nicht, dass der Ursprung der Gefahr bzw. der Ort, von dem sie ausgeht, im Zuständigkeitsbereich liegt. Entscheidend ist, dass zumindest die Auswirkungen in den der örtlichen Zuständigkeit unterfallenden Raum hineinreichen.25 Insofern ist es unbeachtlich, ob Gefahr aus dem Ausland herrührt, solange sich die Auswirkungen im Zuständigkeitsbereich zeigen.26 Sofern der Ort der vorgenommenen und zur Gefahr führenden Handlung im Zuständigkeitsgebiet liegt, begründet selbstverständlich auch dieser die örtliche Zuständigkeit. Die Zulässigkeit der Gefahrenabwehr kann indes gänzlich auf den Ort der Wirkung der (drohenden) Handlung beschränkt sein.27 Das ist dann der Fall, wenn die Handlung im Ausland vorgenommen wird und kein internationales Abkommen der vorbezeichneten Art existiert. Letzteres ist gerade bei Cyberangriffen der Fall, weil bei diesen in aller Regel die Einwirkung auf das System des Opfers aus dem Ausland vorgenommen wird und nur die Auswirkungen etwa die Verschaffung von Daten (§§ 202a und 202b) oder irgend geartete Nachteilszufügungen (z. B. im Falle des DDoS nach § 302b Abs. 1 Nr. 2) innerhalb des landespolizeilichen Zuständigkeitsbereichs eintreten. Im Hinblick auf ein Einschreiten gegen den Initiator am Ort der auslösenden Handlung sind die hiesigen Landespolizeibehörden dann jedoch auf die ausländischen Sicherheits- und Ordnungsbehörden angewiesen, was insoweit eine Schwierigkeit aufwirft, als die jeweilige Handlung vor Ort gleichfalls Anlass zum Einschreiten geben muss. Es ist augenscheinlich, dass die Abwehr solcher Gefahren, bei denen Handlungs- und Erfolgsort grenzüberschreitend auseinanderfallen, ohne internationale Zusammenarbeit nicht möglich ist. Die EU hat im Rahmen von Europol reagiert, wo zum 01. Januar 2013 die Abteilung mit dem Namen European Cybercrime Centre (EC3) ihre Arbeit aufgenommen hat. Deren Aufgabe ist die grenzüberschreitende Koordinierung von Computerkriminalität in der EU auf Grundlage des Europol-Übereinkommens.28 Dass diese 23  siehe

exemplarisch § 7 Abs. 1 ASOG, PolG BaWÜ aaO. Polizei- und Ordnungsrecht, S. 65, Rn. 72. 25  Pewestorf, in: Pewestorf/Söllner/Tölle, Praxishandbuch Polizei- und Ordnungsrecht, S. 51 f., Rn. 8, der die Verdeutlichung anhand einer Störung ausgehend von einem Botschaftsgelände vornimmt. 26  Pewestorf, aaO. 27  Pewestorf, aaO. 28  http://www.bmi.bund.de/DE/Themen/Sicherheit/IT-Cybersicherheit/cyberkrimi nalitaet/cyberkriminalitaet_node.html. 24  Kugelmann,



A. Der zivile Arm der Sicherheitsarchitektur 99

bisher bereits einen ersten Erfolg erzielt hat, belegt ein multinationaler Einsatz im Jahr 2016 unter Beteiligung deutscher Behörden gegen einen DDoSErpresserring namens DD4BC, der im Ergebnis zu mehreren Festnahmen führte.29 Gleichwohl ist anzumerken, dass Europol ausweislich der in Art. 2 und 3 des Europol-Übereinkommens niedergelegten Ziele und Aufgaben keine Befugnisse zu exekutivem Handeln hat.30 Die Problematik im Hinblick auf die zuvor dargestellte Abhängigkeit vom Tätigwerden der ausländischen Sicherheits- und Ordnungsbehörden im Falle des grenzüberschreitenden Auseinanderfallens von Handlung und Erfolg/Wirkung besteht also fort. Gleichzeitig findet eine Konzentration auf Bundesebene in Abkehr von der grundsätzlichen Zuständigkeitsverteilung statt. So sind die von Europol geschaffenen und mittlerweile in jedem EU-Mitgliedstaat eingerichteten sogenannten „Nationalen Stellen“ in Deutschland dem BKA angegliedert,31 wodurch die grenzüberschreitende Zusammenarbeit per se dem Bund zufällt. b) Gefahrenabwehr im digitalen Raum Wie zuvor angeführt erfasst die öffentliche Sicherheit mitunter das geschriebene Rechts und hier mitunter Strafgesetze. Auf welche Weise die öffentliche Sicherheit oder Ordnung gefährdet wird, mitunter also ein Straftatbestand erfüllt wird oder droht erfüllt zu werden, ist gefahrenabwehrrechtlich unbeachtlich. Dies umfasst damit auch die Frage, ob die Gefährdung bzw. Störung im Wege eines Cyber-Angriffs oder im Zuge herkömmlicher Tatmodalitäten bewerkstelligt wurde. Allein die gesetzgeberische Klassifizierung einer bestimmten Handlung als Straftat bzw. im präventiven Bereich die Gefahr der Vornahme einer solchen Handlung ist das zuständigkeitsbegründende Element. Dasselbe gilt für die Funktion der Polizei als Strafverfolgungsorgan. Damit ist es zunächst einmal irrelevant, ob der Verdacht einer der im Rahmen des 41. StrÄndG32 eingefügten bzw. geänderten Straftaten aus dem Bereich der Computerkriminalität (§§ 202a (Ausspähen von Daten), 202b (Abfangen von Daten), 202c (Vorhaben des Ausspähens und Abfangens von Daten), 303a (Datenveränderung) und 303b (Computersabotage)) im Raum steht, oder aber mit den in Kapitel (1) dargestellten Mitteln und Methoden 29  https://www.europol.europa.eu/newsroom/news/international-action-againstdd4bc-cybercriminal-group. 30  Müller/Schlothauer, Münchner Anwaltshandbuch Strafverteidigung, 2. Auflage (München) 2014, § 83, Rn. 78. 31  https://www.bka.de/DE/UnsereAufgaben/Kooperationen/Europol/europol_node. html. 32  BGBl. Jahrgang 2007 Teil I Nr. 38, S. 1787 ff.

100

Kap. 2: Status quo der Sicherheitsarchitektur

ein gefährlicher Eingriff beispielsweise in den Bahn-, Schiffs- oder Luftverkehr nach § 315 StGB vorgenommen wurde.33 Entscheidend für die Gefahrenabwehr bzw. der Strafverfolgung im Bereich des gegenständlichen Schutzgutes ist es, dass die konkrete Gefahr der Begehung eines Straftatbestandes gegeben ist, bzw. ein Anfangsverdacht (§ 152 Abs. 2 i. V. m. § 160 Abs. 1 StPO) besteht. 2. Polizeibehörden des Bundes Unbeschadet der vorangegangenen Ausführungen wird der Bereich der Computerkriminalität in den anschließenden Ausführungen besonders gewürdigt. Dem liegt neben dem thematischen Schwerpunkt folgender Umstand zugrunde: Zwar handelt es sich bei den folgenden Behörden um solche des Bundes. Gleichwohl sind diese inter alia für die Computerkriminalität teilweise originär zuständig (mitunter erst seit kurzem) und stellen damit eine Ausnahme vom Grundsatz der Länderzuständigkeit dar. Dies ist mit Blick auf die übergeordnete Fragestellung nach der Funktion der Streitkräfte im digitalen Raum insofern von Interesse, als dieser Ausnahme vom Grundsatz möglicherweise eine gewisse Indizwirkung für die übergeordnete Fragestellung entnommen werden kann. Eine solche ließe unbeschadet weiterer in Betracht zu nehmender Aspekte an und für sich zwei mögliche Schlüsse zu: Zum einen eine grundsätzliche Öffnung der Zuständigkeit von Bundesbehörden im Cyberraum. Zum anderen die Bündelung desselben in den Zuständigkeitsbereichen der Polizeien. a) Bundeskriminalamt Bei dem Bundeskriminalamt handelt es sich um eine der drei Sonderpolizeien des Bundes, die für die nationale Verbrechensbekämpfung zuständig ist. Die Gesetzgebungs- und Behördenkompetenz des Bundes zum Erlass des BKAG ergibt sich aus Art. 73 Abs. 1 Nr. 10 GG in Verbindung mit Art. 87 Abs. 1 S. 2 GG. Damit gehört es als eine dem BMI nachgeordnete Behörde zur fakultativen Bundesverwaltung. Das BKA hat eine Doppelfunktion.34 Es nimmt neben der Funktion als Zentral- und Koordinierungsstelle (§ 2 BKAG) in enger Zusammenarbeit mit 33  dazu sowie unter Einbeziehung von Straftaten gegen die körperliche Unversehrtheit im Zuge der Überlastung eines Atomkraftwerkes Vogelgesang/Möllers/Potel, Strafrechtliche Bewertung von Honeypots bei DoS-Angriffen, MMR 2017, 291 (293). 34  Gade/Kieler, Polizei und Föderalismus. Aufgabenfelder der Bundes- und Landespolizeien im verfassungsrechtlichen Gefüge der Bundesrepublik Deutschland, S. 44.



A. Der zivile Arm der Sicherheitsarchitektur 101

den Landeskriminalämtern mittlerweile auch polizeiliche Aufgaben auf dem Gebiet der Strafverfolgung (§ 4 BKAG) sowie der Gefahrenabwehr (§ 4a BKAG) in einer Reihe von Katalogstraftaten in originärer Zuständigkeit war.35 In diesem Zusammenhang obliegen die polizeilichen Aufgaben auf dem Gebiet der Verbrechensbekämpfung und der Strafverfolgung der Kriminal- und Schutzpolizei also gemeinsam.36 Gleichzeitig kann grundsätzlich davon ausgegangen werden, dass die Kriminalpolizei für schwerere Formen der Kriminalität zuständig ist. Trotzdem können sich Strafverfolgung und Gefahrenabwehr bisweilen überlappen.37 aa) Erweiterte Zuständigkeit im Bereich der Strafverfolgung von Computerkriminalität Das BKA ist mit Blick auf den thematisch relevanten Bereich nunmehr neben dem § 303b StGB auch für die Strafverfolgung im Zuge von Straftaten nach §§ 202a, 202b, 202c und 303a StGB zuständig.38 Sofern sich diese gemäß § 4 Abs. 1 S. 1 Nr. 5 BKAG entweder gegen die innere oder äußere Sicherheit der Bundesrepublik Deutschland (Buchst. a), Behörden bzw. Einrichtungen des Bundes39 oder sicherheitsempfindliche Stellen von lebenswichtigen Einrichtungen richten, bei deren Ausfall oder Zerstörung eine erhebliche Bedrohung für die Gesundheit oder das Leben von Menschen zu befürchten ist oder die für das Funktionieren des Gemeinwesens unverzichtbar sind (Buchst. b), wird die originäre Zuständigkeit des BKA begründet.40 Die Formulierung in Buchst. a) begründet im Umkehrschluss keine Zuständigkeit des BKA, wenn (un)mittelbar Individualrechte betroffen sind.41 Die Strafverfolgungsaufgabe bezieht sich vielmehr ausschließlich auf 35  Der Zweck liegt laut BT-Drs. 14/7386, S. 52 insbesondere darin, den mit einer Beauftragung des BKA nach § 4 Abs. 2 BKAG einhergehenden Zeitverzug zu verhindern. 36  Graulich, in: Schenke/Graulich/Ruthig, § 4 BKAG, Rn. 3. 37  Meyer-Goßner, StPO Einl. Rn. 39. 38  Eingeführt im Zuge des TBG vom 9. Januar 2002; zuletzt geändert durch Art. 7 des IT-Sicherheitsgesetzes vom 17. Juli 2015, im Zuge dessen mitunter der Straftatenkatalog von bis dato nur § 303b StGB auf die aufgeführten Normen geändert wurde, dazu BT-Drs. 18/4096 S. 37. 39  Nachträglich eingeführt durch Gesetz v. 17.7.2015 (BGBl. I S. 1324). 40  „Behörden oder Einrichtungen des Bundes“ ist ebenfalls im Zuge der vorbezeichneten Gesetzesänderung in § 4 Abs. 1 S. 1 Nr. 5 a) BKAG ergänzt worden; siehe noch zur vorherigen Gesetzesfassung jedoch nicht die Änderung betreffend Graulich, in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, § 4 BKAG, Rn. 18; Busche, Die Zentralisierung polizeilicher Aufgaben auf dem Gebiet der Strafverfolgung beim Bundeskriminalamt, S. 108 f. 41  BT-Drs. 14/7386, S. 52.

102

Kap. 2: Status quo der Sicherheitsarchitektur

Straftatbestände mit Staatsschutzcharakter im Sinne des Art. 96 Abs. 5 Nr. 5 GG, die laut der Gesetzesbegründung der Änderung des BKAG von 2001 zu erheblichen Auswirkungen auf die innere oder äußere Sicherheit der Bundesrepublik Deutschland führen.42 Diesbezüglich ist losgelöst von der bloßen Zuständigkeit des BKA auffallend, was bereits im ersten Kapitel im Rahmen der Einordnung der Cyberkriminalität erörtert wurde, nämlich dass die Verübung der hier aufgeführten Straftaten vom Gesetzgeber offenkundig als geeignet angesehen wird, neben der inneren auch die äußere Sicherheit der Bundesrepublik Deutschland zu gefährden. Diese Erkenntnis ist für die im weiteren Verlauf anstehende Abgrenzung polizeilicher und militärischer Zuständigkeit von Relevanz, weil die bloße Qualifizierung einer Tätigkeit als Straftat als nicht mehr ausreichend erachtet werden kann, Aufgabenbereiche zuzuordnen. Mit den Erweiterungen der zuständigkeitsbegründenden Computerstraftaten auf das aktuelle Spektrum einerseits sowie der Bezugsobjekte auf Behörden und Einrichtungen des Bundes andererseits, ist ferner eine Zuständigkeitsverlagerung zu Gunsten des Bundes auszumachen. Die Erfassung von nunmehr auch Bundeseinrichtungen wurde im Kern mit der Breitenwirkung der zugrundeliegenden strafbaren Handlungen begründet.43 Diese lassen sich typischerweise nur schwer örtlich abgrenzbar zuordnen und stellen demnach neben der noch zu erörternden Zuständigkeitsverteilung zwischen Polizei und den Streitkräften auch innerhalb der Polizei mit ihrer grundsätzlichen Landeszuständigkeit eine Herausforderung dar.44 Zu den von Buchst. b) als „sicherheitsempfindliche Stellen von lebenswichtigen Einrichtungen“ bezeichneten Objekten gehören laut der Gesetzesbegründung Energie- und Wasserversorgung sowie das Gesundheitswesen und die Lebensmittelversorgung.45 Graulich zählt jedoch gleichermaßen Massenverkehrsmittel, den Zahlungsverkehr und Einrichtungen der Telekommunikation sowie die Funktions- und Verbreitungsfähigkeit des Rundfunks dazu und verallgemeinert diese als gleichermaßen von staatsschützendem Charakter.46 Zudem komme es weder darauf an, dass die gesamte Bundesrepublik betroffen ist, noch sei die Tatbestandsmäßigkeit auf Angriffe gegen öffentlich-rechtliche Institutionen beschränkt.47 42  Graulich,

aaO; BT-Drs. 14/7386, aaO. dem Sinne lässt sich die Gesetzesbegründung verstehen, wenn sie davon spricht, dass „die örtliche Zuständigkeit oftmals dem Zufall überlassen bleibt, abhängig davon, wo der Vorfall zuerst entdeckt wird“, BT-Drs. 18/4096, S. 37. 44  BT-Drs. 18/4096, aaO. 45  BT-Drs. 14/7386, aaO. 46  Graulich, in: Schenke/Graulich/Ruthig, § 4 BKAG, Rn. 20. 47  Graulich, aaO. 43  In



A. Der zivile Arm der Sicherheitsarchitektur 103

Im Hinblick auf die Urheber der auch von der Gesetzesbegründung als „Angriffe“ bezeichneten Straftaten spricht diese allein von „terroristischer Urheberschaft“, was mit Blick auf die seinerzeitige Einbettung der Ziffer fünf in das Maßnahmenpaket des Terrorismusbekämpfungsgesetzes zwar nachvollziehbar ist, in Ansehung der noch vertieft zu behandelnden Zurechnungsproblematik für die Begründung der Zuständigkeit aber erhebliche Schwierigkeiten bereiten kann. Die jüngste Cyber-Sicherheitsstrategie des Bundes weist auf die Einrichtung einer spezialisierten Ermittlungseinheit im BKA hin, der sogenannten Quick Reaction Force (QRF), die im Einvernehmen mit der jeweils zuständigen Staatsanwaltschaft oder Bundesanwaltschaft die ersten unaufschiebbaren strafprozessualen Maßnahmen für die Strafverfolgungsbehörden nach CyberAngriffen umsetzen soll.48 bb) Cyberterrorismus nunmehr Gegenstand der Gefahrenabwehr/Straftatenverhütung Im Wege der Einführung des Art. 73 Abs. 1 Nr. 9a)49 erhielt der Bund die ausschließliche Gesetzgebungskompetenz für die Gefahrenabwehr durch das BKA im Bereich des internationalen Terrorismus.50 Auf Grundlage dieser Kompetenzerweiterung wurde der teils wortgleiche § 4a BKAG geschaffen, nach dem das BKA für die Terrorismusbekämpfung erstmals die Aufgabe klassischer Gefahrenabwehr sowie entsprechende Befugnisse erhielt.51 Das BKA ist für die Terrorismusabwehr hiernach mitunter dann zuständig, sofern eine länderübergreifende Gefahr52 (Abs. 1 S. 1) besteht oder es eine der in § 129a Abs. 1 und 2 StGB aufgeführten Straftaten zu verhüten gilt.53 48  Cyber-Sicherheitsstrategie

des Bundes 2016, S. 29. Gesetz vom 28. August 2006 als Bestandteil der Föderalismusreform I. 50  BGBl. I S. 3083; dazu kritisch Tams, Die Zuständigkeit des Bundes für die Abwehr terroristischer Gefahren, DÖV 2007, 367 (372); siehe auch Uhle, Zur Bundesgesetzgebungskompetenz für die Abwehr von Gefahren des internationalen Terrorismus, DÖV 2010, 989 (993), der in der Beschränkung des Art. 73 Abs. 1 Nr. 9a auf drei Fälle eine implizite Absage an eine allgemeine Eilkompetenz des Bundes zur Abwehr von Gefahren des internationalen Terrorismus erkennt. 51  Graulich, in: Schenke/Graulich/Ruthig, § 4a BKAG, Rn. 2. 52  Bzw. alternativ die Zuständigkeit einer Landespolizeibehörde nicht erkennbar ist, bzw. die oberste Landesbehörde um eine Übernahme ersucht (BT-Drs. 16/9588 S.  18 f.). 53  BGBl. I S. 2034; auffallend ist, dass einerseits von Gefahrenabwehr (Abs. 1 S. 1), andererseits Straftatenverhütung (Abs. 1 S. 2) gesprochen wird, was die Gesetzesbegründung nur insoweit thematisiert, als sie darauf hinweist, aus der Differenzierung keine Rückschlüsse auf bereits bestehende Befugnisse des BKA zu ziehen (BTDrs. 16/9588 S. 19). Es ist mit Graulich, § 4a BKAG, Rn. 5 davon auszugehen, dass 49  mit

104

Kap. 2: Status quo der Sicherheitsarchitektur

Aufschluss darüber, was im Sinne der Vorschrift unter Terrorismus aufzufassen ist, lässt sich zwar weder dem BKAG selbst noch der Lektüre der Gesetzesbegründung gewinnen. Allerdings verweist § 4a BKAG auf § 129a StGB, der seinerseits durch das Gesetz zur Umsetzung des Rahmenbeschlusses des Rates der Europäischen Union vom 13. Juni 2002 zur Terrorismusbekämpfung54 geändert bzw. neugefasst wurde. Nach diesem Rahmenbeschluss55 konzipiert sich eine terroristische Straftat aus einem objektiven und subjektiven Element. Während ersteres durch die Auflistung von Katalogstraftaten konkretisiert wird, bedarf es für das subjektive Element einer Zielsetzung, die weitgehend sowohl in § 129a Abs. 2 StGB als auch § 4a Abs. 1 S. 2 BKAG übernommenen wurde und darauf gerichtet sein muss, „die Bevölkerung auf erhebliche Weise einzuschüchtern, eine Behörde oder eine internationale Organisation rechtswidrig mit Gewalt oder durch Drohung mit Gewalt zu nötigen oder die politischen, verfassungsrechtlichen, wirtschaftlichen oder sozialen Grundstrukturen eines Staates oder einer internationalen Organisation zu beseitigen oder erheblich zu beeinträchtigen, und durch die Art ihrer Begehung oder ihre Auswirkungen einen Staat oder eine internationale Organisation erheblich schädigen kann.“56 Ferner ist zu beachten, dass für Terrorismus sowohl nach dem vorbezeichneten Rahmenbeschluss57 wie auch nach §§ 129a Abs. 1 in Verbindung mit 129 Abs. 2 StGB in formaler Hinsicht allein ein Zusammenschluss von Personen qualifizierend ist und nicht etwa eine staatliche Betätigung. Die Befugnisnorm des § 4a BKAG verweist in Abs. 1 S. 2 explizit auf § 129a Abs. 1 und Abs. 2 StGB, in dessen Katalog auch die thematisch relevante Computersabotage (§ 303b StGB) aufgeführt ist. Daher kann das BKA nach Maßgabe des § 4a Abs. 1 im Falle der sich mit terroristischer Zielrichtung anbahnenden Computersabotage zur Verhütung derselben eingesetzt werden. b) Bundespolizei Die Bundespolizei ist eine Sonderpolizei des Bundes mit im Kern präventivem Aufgabenspektrum.58 Bis zum Juli 2005 trug sie in Anlehnung an ihre die Aufgabe der Gefahrenabwehr die Straftatenverhütung miteinschließt; unterstützend auch Bäcker, Terrorismusabwehr durch das Bundeskriminalamt, S. 35 f., der darauf hinweist, dass bisher kein Polizeigesetz darauf hindeutet, die Straftatenverhütung gegenüber der Gefahrenabwehr als selbstständige Aufgabe der Polizei anzusehen. 54  BGBl. I 2836. 55  ABl. Nr. L 164 S. 3. 56  Siehe insgesamt dazu Art. 1 Abs. 1 des EU-Rahmenbeschlusses vom 13. Juni 2002 (Abl. EU Nr. L 164). 57  ABl. Nr. L 164 S. 3. 58  Wehr, Bundespolizeigesetz, Einleitung Rn. 1.



A. Der zivile Arm der Sicherheitsarchitektur 105

vornehmliche Aufgabenzuweisung den Namen Bundesgrenzschutz.59 Der vormalige Bundesgrenzschutz ist zudem eng mit der Gründung der Bundeswehr im Jahr 1955 verwoben, im Zuge derer zahlreiche Grenzschutzbeamte in die neugegründete Bundeswehr wechselten.60 Dies war insbesondere aufgrund der Organisationsstruktur des Bundesgrenzschutzes vergleichsweise einfach möglich.61 Dessen Aufgabenprofil wandelte sich mit Verabschiedung der Notstandsverfassung im Grundgesetz, weil nunmehr die Bundeswehr unter entsprechenden Voraussetzungen, zumindest in der Theorie, auch im Inland eingesetzt werden konnte und damit die Notwendigkeit einer als „quasi-militärisch“ bezeichneten Einheit entfiel.62 Die Gesetzgebungskompetenz des Bundes für die Bundespolizei als Grenzschutzbehörde folgt aus Art. 73 Abs. 1 Nr. 5 GG und seine Einrichtungs- und Verwaltungskompetenz aus Art. 87 Abs. 1 S. 2 GG. Im Zuge des angesprochenen Grundsatzes enthält das BPolG im Unterschied zu den Landespolizeigesetzen keine Generalklausel, sondern benennt summarisch die Aufgaben, „die ihr entweder durch dieses Gesetz übertragen werden oder ihr bis zum 1. November 1994 durch ein anderes Bundesgesetz oder auf Grund eines Bundesgesetzes zugewiesen worden sind“ (§ 1 Abs. 2).63 Die Verhütung von Straftaten erfolgt folglich gemäß § 1 Abs. 5 BPolG nach Maßgabe des Bundespolizeigesetzes und erstreckt sich damit nicht auf die übrigen von den landespolizeilichen Befugnisgeneralklauseln erfassten Schutzgüter der öffentlichen Sicherheit und Ordnung.64

59  Gesetz zur Umbenennung des Bundesgrenzschutzes in Bundespolizei vom 21. Juni 2005 (BGBl. I S. 1818). 60  Vgl. § 2 des zweiten Gesetzes über den Bundesgrenzschutz vom 30. Mai 1956 (BGBl. S. 436); dazu umfangreich Willich, Historische und aktuelle Probleme der Rechtsstellung des Bundesgrenzschutzes, seiner Aufgaben und Befugnisse, S. 41 f. 61  Diesbezüglich wird verbreitet die Ansicht vertreten, der BGS sei bereits vor der Gründung der Bundeswehr (para-)militärisch organisiert gewesen. Dagegen wendet sich Willich, S. 41 u. 77 ff., für den die hierfür landläufig unterstützend angeführten Kriterien Personalauswahl, Kasernierung, Gliederung, Bewaffnung, Ausbildung und Befehl/Gehorsam nicht für eine spezifisch militärische Charakterisierung sprechen. Nach Willich liegt die Ursache für die wahrgenommene militärische Assoziation des BGS in dem Umstand begründet, dass er beim (Personal-)Aufbau der Bundeswehr eine Rolle spielte. 62  Willich, aaO. 63  Graulich, in: Schenke/Graulich/Ruthig, § 1 BPolG, Rn. 8. 64  Ergibt sich auch aus § 14 Abs. 2 BPolG; so bereits über das BGSG Huzel, Zur rechtlichen Problematik der Verhütung von Straftaten und der Vorsorge für die künftige Verfolgung von Straftaten – unter besondere Berücksichtigung der Aufgaben des Bundesgrenzschutzes, in: Heesen et al., Der Bundesgrenzschutz im Spannungsfeld gesellschaftlicher Entwicklungen, 85 (91); Graulich, in: Schenke/Graulich/Ruthig, § 1 BPolG, Rn. 17 f.

106

Kap. 2: Status quo der Sicherheitsarchitektur

aa) Sicherung der physischen Bundesgrenzen Der Zweck des zentralen und in § 2 BPolG niedergelegten Grenzschutzes ist die Bewahrung der territorialen Integrität gegenüber fremder Staatsgewalt. Zwar ist das Schutzobjekt Bundesgrenze seinem Wortlaut nach dahingehend auslegungsfähig, dass hierunter nicht zwingend physische Außengrenzen zu verstehen sind.65 Jedoch deutet die Systematik der Vorschrift klar auf ein klassisches und damit physisches Grenzverständnis hin. Dies ergibt sich insbesondere aus § 2 Abs. 2 BPolG, der klar auf den physischen Grenzübertritt und die räumliche Tiefe des Aufgabenbereichs rekurriert und dessen Zweckbestimmung damit die Unversehrtheit und Funktionsfähigkeit der Grenze ist.66 Auch ohne diese Konkretisierung wäre eine Kompetenzerstreckung auf den digitalen Raum allerdings mit Schwierigkeiten verbunden. Zwar ist dieser in Gestalt seiner Anlagen und örtlichen Einrichtungen wie bereits geschildert nicht nur rechtlich, sondern auch tatsächlich, weil physisch verortet, kein res communis omnium, sondern einem Hoheitsgebiet zugeordnet. Jedoch lässt sich kein dem physischen Raum vergleichbarer Grenzübertritt ausmachen; erst recht keiner, im Rahmen dessen dem Überschreitungsakt der Bundesgrenze als solches eine besondere Rolle zukommt bzw. sich gerade aus diesem Übertritt Gefahren ableiten ließen; ganz unbeschadet der Frage, ob und inwiefern sich der Überschreitungsakt überhaupt als singulärer Zeitpunkt feststellen ließe. Losgelöst von einem etwaigen Überschreitungsakt an der Bundesgrenze vermag auch der schlichte Einbruch in ein innerhalb der Grenzen der Bundesrepublik Deutschland verorteten Systems nicht als zuständigkeitsauslösend betrachtet werden. Die Tatbestandsmäßigkeit einer solchen Sachlage würde bereits an den in § 2 verbrieften räumlichen Voraussetzungen der grenznahen Umgebungen scheitern (§ 2 Abs. 2 S. 1 Nr. 3, S. 4 BPolG).67 Die hier kodifizierte Ausprägung des Sachzusammenhangs mit dem Grenzschutz ist wiederum Ausdruck der Begrenzung der Zuständigkeit des Bundes auf dem Gebiet des jeweiligen Bundeslandes.68 Diese Stoßrichtung nimmt auch das BVerfG vor, indem in es seiner Bahnpolizei-Entscheidung den grenzpolizeilichen Schutz auf das die Grenze umgebende Hinterland sowie 65  hierzu auch Pieroth, Die präventiven und repressiven Aufgaben des Bundesgrenzschutzes, besonders an den Binnengrenzen, VerwArch 1997, 568 (581), der im Gegensatz auf die allgemeiner aufzufassenden Grenzmarkierungen im StGB hinweist. 66  Graulich, in: Schenke/Graulich/Ruthig, § 2 BPolG, Rn. 25 ff.; Pieroth, aaO. 67  zur räumlichen Zuständigkeitsbegrenzung auch Graulich, in: Schenke/Graulich/ Ruthig, § 2 BPolG, Rn. 19 f.; ähnlich auch Pieroth, VerwArch 1997, aaO. 68  Gade/Kieler, Polizei und Föderalismus. Aufgabenfelder der Bundes- und Landespolizeien im verfassungsrechtlichen Gefüge der Bundesrepublik Deutschland, S. 62.



A. Der zivile Arm der Sicherheitsarchitektur 107

den Verkehr an den grenznahen Flughäfen und Grenzbahnhöfen beschränkt.69 Vor diesem Hintergrund wäre die Bundespolizei demnach nicht zuständig. bb) Schutz der Verfassungsorgane – auch im digitalen Raum? Unter den Voraussetzungen des § 5 BPolG darf die Bundespolizei zum Schutz von Verfassungsorganen des Bundes und Bundesministerien gegen Gefahren eingesetzt werden, welche die Durchführung ihrer Aufgaben beeinträchtigen, sofern sie hierum seitens des jeweiligen Verfassungsorgans bzw. Bundesministeriums ersucht wird. Unklarheit besteht bereits darüber, was unter dem Begriff „Verfassungsorgan“ zu verstehen ist. Da der Begriff im GG nicht definiert ist, ist sich mit der Gesetzesbegründung auf diejenigen Staatsorgane zurückzuziehen, „die das Grundgesetz selbst vorsieht“.70 Da die Vorschrift jedoch zusätzlich die Bundesministerien aufführt und zwar ohne Einschränkung auf solche, die das GG nicht explizit vorsieht, muss angenommen werden, dass es sich bei den Ministerien um keine Verfassungsorgane im Sinne der Vorschrift handelt. Vielmehr wird man im Grundsatz nur diejenigen obersten Organe des Bundes unter Einschluss ihrer jeweiligen Verwaltungen darunter fassen können, deren Aufgaben und Organisation vom GG selbst bestimmt werden und keinem anderen Staatsorgan unterstellt sind.71 Die Gesetzesbegründung führt in diesem Zusammenhang (nicht abschließend) den Bundespräsidenten, Bundestag, Bundesrat und Bundeskanzler auf. Jedoch ist anzumerken, dass der Präsident des Bundestages eigene Polizeigewalt innehat (Art. 40 Abs. 2 GG) und der BPol insoweit nur eine unterstützende Funktion zukommt (§ 9 Abs. 1 Nr. 1 BPolG). Damit ist der Bundestag zwar Verfassungsorgan, nicht jedoch primäres Schutzobjekt im Sinne des § 5 BPolG. Schutzobjekt ist dagegen sehr wohl die in Art. 54 GG geregelte und u. a. die Mitglieder des Bundestages erfassende Bundesversammlung.72 Trotz ihrer Verankerung im Grundgesetz gehören dagegen Bundesbank, Bundesrechnungshof und die obersten Bundesgerichte nicht zu den Schutzobjekten, weil sich ihr Aufgabenkatalog unbeschadet der Art. 95 f. GG weitgehend aus dem einfachen Recht ergibt.73 Anders dagegen das Bun69  BVerfGE

97, 198 (214). 6/2886, S. 23. 71  Walter, in: Drewes/Malmberg/Walter, BPolG, § 5 Rn. 6. 72  a. A. Wehr, Bundespolizeigesetz, § 5 Rn. 4, der unter Hinweis auf Abs. 2 auf ihren mangelnden Amtssitz verweist. Dieser ist aber insoweit unbeachtlich, als die Bundesversammlung vom Präsidenten des Bundestages einberufen wird (Art. 54 Abs. 4 S. 2) und stets im Reichstag zusammenkommt. Der von § 5 Abs. 2 BPolG ausgehenden territorialen Begrenzung des Schutzes ist also Genüge getan. 73  Stern, Staatsrecht II, § 32 II 2, S. 344 f.; Walter, in: Drewes/Malmberg/Walter, BPolG, § 5 Rn. 6. 70  BT-Drs.

108

Kap. 2: Status quo der Sicherheitsarchitektur

desverfassungsgericht, dessen Kompetenzen sich dezidiert aus Art. 93 des Grundgesetzes ergeben und das deshalb in den Katalog der Schutzobjekte aufzunehmen ist.74 Im Sinne der zuvor dargestellten Grundsätze verleiht auch § 5 BPolG der Bundespolizei keine Kompetenz zur umfassenden Gefahrenabwehr, sondern beschränkt sie auf das Aufgabenfeld der Norm, namentlich den Schutz vor Beeinträchtigungen der Aufgabenwahrnehmung des jeweiligen Verfassungsorgans.75 Dies ergibt sich zuvörderst aus dem Umstand, dass der Schutz der Unversehrtheit der Einrichtungen des Staates als Schutzgut der öffentlichen Sicherheit grundsätzlich Aufgabe der Landespolizeien ist.76 Ferner lässt sich der Norm ein Subsidiaritätsverhältnis bundesbehördlicher gegenüber landesbehördlicher Kompetenzwahrnehmungen insoweit entnehmen, als Einvernehmen mit dem betroffenen Land herrschen muss, „daß deren [Verfassungsorgane] angemessener Schutz anderweitig nicht gewährleistet werden kann“. Eine Begrenzungsfunktion geht darüber hinaus von § 5 Abs. 2 BPolG aus, der den Schutzbereich durch die Bundespolizei auf die Grundstücke der jeweiligen Amtssitze beschränkt und damit eher dem Vorstellungsbild einer physisch-gegenständlichen und räumlich abgrenzbaren Bedrohung entspricht.77 Der Schutzauftrag ist dagegen insofern umfassend, als er sich nicht nur auf die Personen oder Mitglieder, sondern auch auf die Verwaltungen der jeweiligen Verfassungsorgane bezieht, z. B. das Bundespräsidialamt und das Bundeskanzleramt.78 Jedoch ist ergibt sich aus der Norm nicht, bzw. nicht ohne weiteres, ob dieser Schutzauftrag auf analoge Gefahren beschränkt ist oder solche digitaler Natur miteinschließt. Der Umgrenzungscharakter des Abs. 2 spricht jedenfalls gegen eine digitale Wirkung. Ein Anhaltspunkt für die Bestimmung der Art der Beeinträch74  Walter,

in: Drewes/Malmberg/Walter, BPolG, § 5 Rn. 6. in: Schenke/Graulich/Ruthig, § 5 BPolG, Rn. 7. 76  Wehr, Bundespolizeigesetz, § 5 Rn. 2; vor diesem Hintergrund wird die Verfassungsmäßigkeit der Norm im Schrifttum auch angezweifelt, siehe dazu umfangreich Winkeler, Von der Grenzpolizei zur multifunktionalen Polizei des Bundes? Aufgaben und Verwendungen des Bundesgrenzschutzes am Maßstab des Grundgesetzes, S.  145 ff. 77  Gleichwohl wird dem Abs. 2 eher die Funktion einer Abgrenzung des Zuständigkeitsbereichs der BPol gegenüber den Landespolizeien sowie eine Abgrenzung zum Zuständigkeitsbereich des BKA beigemessen, als letzteres nach § 5 Abs. 1 Nr. 2 grundsätzlich für den inneren Schutz der Dienst- und Wohnsitze u. a. für die Mitglieder der Verfassungsorgane des Bundes zuständig ist, dazu Wehr, Bundespolizeigesetz, § 5 Rn. 7 f. sowie Winkeler, S. 166. 78  BT-Drs. 6/2886 S.  23; Graulich, in: Schenke/Graulich/Ruthig, § 5 BPolG, Rn. 6. 75  Graulich,



A. Der zivile Arm der Sicherheitsarchitektur 109

tigung findet sich in § 23 Abs. 1 Nr. 4 BPolG. Dieser ermächtigt die Bundespolizei eine Identitätsfeststellung u. a. dann durchzuführen, wenn eine Person sich in dem Amtssitz des auf § 5 bezogenen Verfassungsorgans bzw. eines Bundesministeriums oder in unmittelbarer Nähe dazu aufhält. Kumulativ wird weiterhin vorausgesetzt, dass „Tatsachen die Annahme rechtfertigen [müssen], daß dort Straftaten begangen werden sollen, durch die in oder an diesen Objekten befindliche Personen oder diese Objekte selbst unmittelbar gefährdet sind, und die Feststellung der Identität auf Grund der Gefährdungslage oder auf die Person bezogener Anhaltspunkte erforderlich ist.“ Das Gesamtgepräge deutet darauf hin, dass die Beeinträchtigung der entsprechenden Einrichtungen in § 5 zwar nicht notwendig physisch vermittelt, in jedem Fall aber physische Auswirkungen haben muss. Dafür spricht die Voraussetzung der räumlichen Nähe der gefährdenden Person zur Einrichtung (die im Falle eines digitalen Angriffs unerheblich wäre), genauso wie die Natur der Maßnahme zu der § 23 BPolG ermächtigt: Diese besteht lediglich in der Durchführung einer Identitätsfeststellung und somit in einer klassischen Standardmaßnahme, nicht etwa in der Befugnis zur allgemeinen Gefahrenabwehr. Die Ermächtigung zur Identitätsfeststellung lässt im Hinblick auf die Auswirkungen den Schluss nahe, dass diese typischerweise als unmittelbar von einem Menschen ausgehend erwartet werden. Die Ermächtigung zur Einlass- und Aufenthaltsberechtigungskontrolle nach § 23 Abs. 5 BPolG untermauert diese Erkenntnis insofern, als dieser ebenfalls sowohl mit Blick auf den Tatbestand wie auch die Rechtsfolge nahelegt, dass es sich um eine personengebundene physische Gefahr zu handeln habe. Im Schrifttum finden sich zu Art und Qualität der Beeinträchtigung nur verhaltene Äußerungen. Rückschlüsse lassen sich hier aus den (nicht gesetzlich geregelten) thematisierten Schutzmaßnahmen und Befugnissen ziehen, bei denen überwiegend die Rede von Kontrollen des Personen- und Fahrzeugverkehrs, Einlasskontrollen und der Gefahrenabwehr durch Streifenpräsenz ist.79 Dies deckt sich sowohl mit den Ermächtigungen nach § 23 BPolG als auch der räumlichen Begrenzung des § 5 Abs. 2 BPolG. Insgesamt lässt sich konstatieren, dass die Bandbreite der erfassten Beeinträchtigungen der vorbezeichneten Verfassungsorgane und Ministerien auf dem Boden der dargestellten Auslegung eher physisch-gegenständlicher Natur ist und nicht auf etwaige Beeinträchtigungen digitaler Natur anwendbar ist. In der Konsequenz und unbeschadet einer diesbezüglich noch zu erörternden militärischen Zuständigkeit bedeutet dies im Lichte der Grundstruktur zunächst eine Zuständigkeit der Landespolizei zum Schutze der nicht von § 5 BPolG erfassten Gefährdungen der hier thematisierten Schutzobjekte. 79  Graulich,

in: Schenke/Graulich/Ruthig, § 5 BPolG, Rn. 9 f.

110

Kap. 2: Status quo der Sicherheitsarchitektur

cc) Ausgewählte Einsatzmöglichkeit in Notlagen Im Zuge der Einkleidung der Notstandsverfassung vom 24. Juni 1968 in das Grundgesetz wurden verschiedene Vorschriften geschaffen bzw. modifiziert, die fortan der Bundesregierung als Ermächtigungsgrundlage dienten, den Bundesgrenzschutz (nunmehr Bundespolizei) über seinem dargestellten und im BPolG niedergelegten Aufgabenspektrum hinaus einzusetzen. Den Notstandsregelungen des Grundgesetzes kommt primär kompetenzrechtliche Bedeutung zu, da sie das zuvor geschilderte Grundgefüge der Kompetenzverteilung bezüglich bundes- und landespolizeilicher Zuständigkeiten im Falle einzelner Tatbestände zu Gunsten des Bundes modifizieren.80 Gegenständlich sind die Art. 35 Abs. 2 S. 2 und 3, die das Zusammenwirken bei Naturkatastrophen oder Unglücksfällen regeln, der Art. 91 Abs. 2 als Kodifikation des so bezeichneten Inneren Notstands sowie die Art. 115 f. und i als Bestandteile der Regelungsmaterie zum Äußeren Notstand. Diese Ausnahmensituationen wurden in den §§ 7 und 11 BPolG aufgegriffen und einfachgesetzlich normiert. Daneben obliegt es dem jeweiligen Bundesland, im Falle einer drohenden Gefahr für den Bestand oder die freiheitliche demokratische Grundordnung des Bundes oder eines Landes (Art. 91 Abs. 1 GG) bzw. zur Aufrechterhaltung oder Wiederherstellung der öffentlichen Sicherheit oder Ordnung (Art. 35 Abs. 2 S. 1 GG) auf eigene Initiative Kräfte der Bundespolizei anzufordern. Was im Einzelnen unter den, die verschiedenen Notstände qualifizierenden Lagen zu verstehen ist, bleibt dem Folgekapitel vorbehalten, weil es sich insbesondere im Falle des Art. 91 GG um eine Vorschrift handelt, die aufgrund ihres Wortlauts wie ihrer Systematik im Kontext des auf sie aufbauenden Art. 87a Abs. 4 GG zu verstehen ist; letzterer ist jedoch eine Ermächtigungsnorm zum Einsatz der Streitkräfte. dd) Einsatz über die Landesgrenzen hinaus Im Rahmen des Einsatzes der Bundespolizei zum Schutz der Bundesgrenzen wurde sich bereits zum territorialen Aufgabengebiet positioniert, wenngleich beschränkt auf die Gefahrenabwehr vor der Einwirkung von außen und bezogen auf das unmittelbare Grenzgebiet. Ausweislich der §§ 6 und 8 BPolG ist der Einsatz der Bundespolizei jedoch nicht auf das Bundesgebiet beschränkt, sondern erstreckt sich im Falle des § 8 auch auf das Ausland. Diese Vorschrift hat damit über ihren eigenen Regelungsbereich hinaus auch Einfluss auf die Abgrenzung polizeilicher und 80  Haratsch,

in: Sodan, Grundgesetz, Art. 91 Rn. 2.



A. Der zivile Arm der Sicherheitsarchitektur 111

militärischer Zuständigkeit. So teilt ihre Existenz jedenfalls denjenigen Vertretern eine Absage, welche die Differenzierung zwischen polizeilichem und militärischem Aufgabenspektrum allein anhand des Ursprungs der (untechnisch gesprochenen) Gefahr bzw. des Angriffs ausmachen wollen.81 Daran ändert auch der Abs. 3 der Vorschrift nichts, der lediglich klarstellt, dass die Regeln zur Durchführung des Auftrages im Völkerrecht und nicht im nationalen Recht wurzeln.82 Die Streitkräfte sind damit nicht die einzige mit Sicherheit betraute Behördenstruktur, deren Verwendung (auch bzw. vornehmlich) im Ausland stattfindet. Mit Blick auf die Vorgehensweise der Polizei verlangt § 8 BPolG nicht ausdrücklich die physische Präsenz von Polizeikräften im Ausland. Nicht ausgeschlossen und damit grundsätzlich möglich ist daher die „bloße“ Wirkung in das Ausland hinein, etwa über computergestützte Einsatzszenarien, die vom Inland aus geplant und durchgeführt werden, ihre Wirkung aber im Ausland erzielen. Gleichwohl spielt eine entsprechende „bloße“ Wirkung in das Ausland hinein in Ansehung der hier thematisierten Bedrohungen nur eingeschränkt eine Rolle. Neben dem vergleichbar weit gefassten Abs. 1 ist diese nur im Falle „humanitäre[r] Zwecke“ bzw. im Falle der „Wahrnehmung dringender Interessen der Bundesrepublik Deutschland“ (beides Abs. 2 S. 2) denkbar. Dagegen deutet die in Abs. 2 S. 1 normierte „Rettung von Personen aus einer gegenwärtigen Gefahr für Leib oder Leben im Ausland“ ihrem Wortlaut bzw. Sinn und Zweck nach klar auf die Notwendigkeit physischer Präsenz im Ausland hin.83 Generell ist die bloße Wirkung in das Ausland hinein bis dato nicht thematisiert worden mit der Folge, dass die angeführten, grundsätzlich mit dem Wortlaut zu vereinbarenden Varianten ausnahmslos in Zusammenhang mit physischer Präsens im Ausland in den Kommentierungen Beachtung gefunden haben.84 § 8 BPolG ist gegenüber den anderen Ermächtigungsnormen auch kompetenzrechtlich ein Exot. Wegen ihres Auslandsbezugs fällt sie unter den Bundeskompetenztitel für die auswärtigen Belange, namentlich Art. 73 Abs. 1 Nr. 1 bzw. Art. 87 Abs. 1 S. 1. Damit stellen sich die weiter vorne virulenten Fragen sowie zuständigkeitsbezogenen Grundsätze und Ausnahmen nicht. 81  In diese Richtung zu verstehen ist Stern, Das Staatsrecht der Bundesrepublik Deutschland, Bd. II, S. 864, der dies aber rein mit Blick auf den Art. 87a Abs. 2 thematisiert. 82  BT-Drs. 418/94 S. 43. 83  So bezieht sich etwa die Gesetzesbegründung im Rahmen des Abs. 2 S. 1 explizit auf den Einsatz des BGS im Jahre 1977 zur Befreiung von Geiseln aus der Lufthansa-Maschine „Landshut“ aus der Hand von terroristischen Entführern auf dem Flughafen von Mogadischu/Somalia durch die GSG 9 (BT-Drs. 418/94 S. 42). 84  Siehe Graulich, in: Schenke/Graulich/Ruthig, § 8 BPolG, Rn. 45, sowie Wehr, Bundespolizeigesetz, § 8 Rn. 5 ff.

112

Kap. 2: Status quo der Sicherheitsarchitektur

Die Verwaltungskompetenz des Bundes für die Auslandseinsätze der Bundespolizei ergibt sich aus Art. 32 Abs. 1 GG.85 Die Ermächtigungsnorm ist nach ihrem Gesamtgepräge insofern mit den übrigen Einsatzmöglichkeiten der Bundespolizei vergleichbar, als sie diesen gleichsam sehr eng begrenzt. Im Unterschied zu den übrigen Verwendungsmöglichkeiten ist Motiv für die Begrenzung hier jedoch nicht die grundgesetzlich verbriefte Länderhoheit, sondern der Umstand, dass es sich um eine zwischenstaatliche und damit völkerrechtlich relevante Unternehmung handelt, dergleichen sowohl völkerrechtlich (Ersuchen der VN, einer regionalen Abmachung oder Einrichtung nach Kap. VIII der UN-Charta, welcher die Bundesrepublik Deutschland angehört, der EU oder der (zum 30.6.2011 aufgelösten) WEU) wie auch grundgesetzlich (Art. 24, 25 GG) an formale Kriterien geknüpft sind, die konsequenterweise auch in § 8 BPolG zum Ausdruck kommen.86 Gleichzeitig nimmt die Vorschrift eine formale Abgrenzung zu militärischen Einsätzen vor, indem sie betont, dass die Verwendung auf die nichtmilitärische Aufgabenerfüllung begrenzt ist. Dies schließt nach Auffassung von Graulich das Verbot ein, den Auftrag mit militärischen Mitteln, konkret Bewaffnung und Befugnisse, durchzuführen.87 c) Polizei beim Deutschen Bundestag Nach Art. 40 Abs. 2 GG übt der Präsident des Bundestages neben dem Hausrecht die Polizeigewalt im Gebäude des Bundestages aus. Auffallend ist, dass ihre Existenz keine einfachgesetzliche Ausprägung gefunden hat, etwa im Sinne eines „Bundestagspolizeigesetzes“.88 Der Zweck der Vorschrift ist ein zweifacher: Erstens und naheliegend besteht er darin, die Funktionsfähigkeit des Bundestages vor Störungen zu bewahren und somit den Parlamentsbetrieb zu sichern.89 Daneben wird mit der Norm die verfassungsrechtlich herausragende Stellung des Parlaments abgesichert, indem sie gewährleistet, dass es von jedweder Ein- bzw. Unterordnung in/unter die Exekutive freigestellt ist.90

85  Graulich,

in: Schenke/Graulich/Ruthig, § 8 BPolG, Rn. 4. Bundespolizeigesetz, § 8 Rn. 3. 87  Graulich, Rn. 8. 88  Hierauf hinweisend Möstl/Kugelmann, Beck’scher Online-Kommentar Polizeiund Ordnungsrecht Nordrhein-Westfalen, 6. Edition, Stand: 10. August 2017, § 1 Rn. 30. 89  Klein, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 07/2007, Art. 40 Rn. 153 f.; Köhler, Polizeigewalt des Parlamentspräsidenten, DVBl. 1992, 1577 (1582). 90  Köhler, Polizeigewalt des Parlamentspräsidenten, DVBl. 1992, 1577 (1583); Wilrich, Der Bundestagspräsident, DÖV 2002, 152 (155); ders. spricht unter Verweis 86  Wehr,



A. Der zivile Arm der Sicherheitsarchitektur 113

Der Bundespolizei kommt hierbei unterstützende Funktion zu.91 Gemäß § 9 Abs. 1 Nr. 1 BPolG unterstützt sie nach Aufforderung des Bundestagspräsidenten diesen bei der Wahrnehmung seiner Polizeiaufgaben.92 Was genau die Funktionsfähigkeit des Parlaments ausmacht und wie weit sie reicht ist bisher in der Literatur unbeantwortet geblieben, insbesondere, ob sich die Funktionsfähigkeit auf die Geschehnisse im Plenarsaal (parlamentarische Lesung, Debatte und Abstimmung) reduziert oder aber auch der individuelle sowie kollektive Weg zur Entscheidungsfindung in den Fraktionen oder Ausschüssen einzubeziehen ist. Richtigerweise dürfte letzteres anzunehmen sein. Dafür spricht insbesondere der Umstand, dass die Verlagerung des Meinungsbildungsprozesses außerhalb des Plenarsaals der zunehmenden parlamentarischen Praxis entspricht und daneben die konstitutive Basis für jegliche legislative Betätigung darstellt. Die Polizeigewalt des Parlamentspräsidenten orientiert sich am sogenannten materiellen Polizeibegriff.93 Ihm obliegen damit alle präventivpolizeilichen Maßnahmen, die zur Abwehr einer Störung der öffentlichen Sicherheit und Ordnung im Gebäude des Bundestages geboten sind.94 Sofern und soweit den angeführten Zweck fördernd, ist dem Bundestagspräsidenten auch die Ausübung der Befugnisse der Verwaltungspolizei vorbehalten, als durch die Einwirkung anderer Behörden in den Bereich des Bundestages dessen Funktionsfähigkeit beeinträchtigt werden könnte.95 Nicht vom materiellen Polizeibegriff umfasst sind dagegen repressive Befugnisse, die der Polizei grundsätzlich im Rahmen ihrer Eigenschaft als Strafverfolgungsbehörde zustehen.96

auf Ramsauer, in: Kopp/Ramsauer Kommentar zum VwVfG in § 1 Rn. 23 insofern von einer Durchbrechung des Gewaltenteilungsgrundsatzes. 91  Siehe BT-Drs. 418/94 S. 43. 92  Zur Auflösung des Zuständigkeitskonflikts zwischen Bundespolizei und Bundestagspolizei im Falle des inneren Notstandes, siehe Köhler, Polizeigewalt des Parlamentspräsidenten, DVBl. 1992, 1577 (1583), der unter Anwendung der Maxime der praktischen Konkordanz die Rolle des Parlaments auf der einen und die Effizienz der Gefahrenabwehr auf der anderen Seite im entsprechenden Fall zu Gunsten der Gefahrenabwehr auflöst und damit das Parlament der Exekutive unterordnet. 93  Klein, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 07/2007, Art. 40 Rn. 152; vgl. dazu auch Achterberg, Parlamentsrecht, S. 125. 94  Klein, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 07/2007, Art. 40 Rn. 152; v. Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art. 40, Rn. 26 f. 95  Klein, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 07/2007, Art. 40 Rn. 154. 96  Siehe dazu und zu der hier unerheblichen Frage, ob und inwieweit der Bundestagspräsident auch befugt ist, Aufgaben der sogenannten „Verwaltungspolizei“ wahrzunehmen, Klein, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 07/2007,

114

Kap. 2: Status quo der Sicherheitsarchitektur

Der dargelegte Zweck findet auch eine räumliche Begrenzung. Diesbezüglich weist das Grundgesetz lediglich „das Gebäude des Bundestages“ aus. Das erscheint jedoch zu kurzgegriffen und ist funktional auf all diejenigen Liegenschaften zu erweitern, in denen Teile desselben tagen bzw. zur Arbeit zusammenkommen.97 Ihre Grenze findet die räumliche Geltung in der fiskalischen Zuständigkeit der Bundestagsverwaltung.98 Ausgenommen sind insofern Wohnungen oder Büroräume von Abgeordneten.99 Auffallend ist die bisher rein physisch-analog konnotierte Bestimmung des Geltungsbereichs, der sich aber im Hinblick auf den Zweck „Wahrung der Funktionsfähigkeit des Parlaments“ ohne Schwierigkeiten in den digitalen Raum übertragen lässt.100 Angesichts der Tatsache, dass Art. 40 Abs. 2 S. 1 GG „die polizeiliche Generalklausel in das Bundesrecht rezipiert“101, deckt sich der Umfang der Polizeigewalt des Parlamentspräsidenten folgerichtig mit dem der Landespolizeigesetze.102 Sofern also mit Blick auf die hier gegenständlichen Bedrohungen, die öffentliche Sicherheit in Gestalt ihres Schutzobjekts der objektiven Rechtsordnung etwa durch das Ausspähen oder Abfangen von Daten (§§ 202a, 202b StGB) gefährdet ist, ist dieser Sachverhalt geeignet, die Zuständigkeit der Bundestagspolizei zu begründen. Gleichwohl ist mit Blick auf den engen räumlichen Schutzbereich als Ausfluss der ratio legis zu beachten, dass das Ausspähen zumindest geeignet sein muss, die Funktionsfähigkeit des Parlaments zu beeinträchtigen. Dies spricht in Verbindung mit dem zuvor genannten räumlichen Anwendungsbereich dagegen, Angriffe auf einzelne Abgeordnetenrechner als zuständigkeitsbegründend zu bezeichnen. Die beiden Ausspähattacken auf das interne Netz des Bundestages in den Jahren 2015 und 2016 lassen sich zwar in räumlicher Hinsicht, weil das Intranet als solches betreffend, als zustänArt. 40 Rn. 152 ff.; Köhler, Polizeigewalt des Parlamentspräsidenten, DVBl. 1992, 1577 (1580). 97  So auch Versteyl, in: v. Münch/Kunig Grundgesetz-Kommentar, Art. 40 Rn. 25; Köhler, DVBl. 1992, 1577 (1582), der auch die Geschäftsräume der Fraktionen einbezieht. 98  Köhler, DVBl. 1992, 1577 (1582). 99  Versteyl, in: v. Münch/Kunig Grundgesetz-Kommentar, Art. 40 Rn. 28. 100  Bisher wurde die Erstreckung auf den digitalen Schutzbereich nur im Zusammenhang mit der Störung der parlamentarischen Ordnung, d. h. des innerparlamentarischen Zusammenlebens, im Zuge einer Verunglimpfung eines Abgeordneten bei dessen parlamentarischer Arbeit durch einen anderen Abgeordneten in sozialen Netzwerken thematisiert und für grundsätzlich existent erachtet. Siehe dazu umfassend Jacobs, Die Wahrung der parlamentarischen Ordnung, DÖV 2016, 563 (566). 101  Drews/Wacke/Vogel/Martens, Gefahrenabwehr, S. 72. 102  Wilrich, Der Bundestagspräsident, DÖV 2002, 152 (155).



A. Der zivile Arm der Sicherheitsarchitektur 115

digkeitsbegründend bezeichnen, sind aber nur schwerlich als geeignet ansehen, die Funktionsfähigkeit des Parlaments zu tangieren. Anders könnte eine etwaige Verbreitung der entwendeten Daten zu beurteilen sein, etwa dann, wenn sensible Informationen über Abgeordnete und deren Abstimmungsverhalten bekannt werden, die wiederum geeignet sind, diese in der Ausübung ihres Rechts nach Art. 38 Abs. 1 GG einzuschränken. Eine solche Verbreitung stieße jedoch möglicherweise wiederum in Konflikt mit dem räumlichen Geltungsbereich.

II. Nachrichtendienste Die Tätigkeit der Nachrichtendienste umfasst die nachrichtendienstliche Aufklärung durch das Sammeln und Auswerten von Informationen zur Erfüllung ihres gesetzlichen Auftrages.103 Aufklärung schließt dabei nicht nur das Sammeln von offen zugänglichen Informationen ein, sondern erstreckt sich in Gestalt von Spionage auch auf solche Informationen, die nicht öffentlich zugänglich sind.104 Dem Fokus auf die Aufklärung ist es immanent, dass die Verfassungsschutzbehörden weitgehend im Vorfeld tätig werden.105 Exekutivbefugnisse (z. B. Durchführung von Festnahmen) stehen ihnen dagegen nicht zu, obwohl die Vorfeldbezogenheit ihrer Tätigkeit dies nicht per se ausschließen würde. Auch ist es im internationalen Vergleich der Inlandsgeheimdienste nicht typisch, den Geheimdiensten keine Exekutivbefugnisse zu verleihen, wie ein Blick nach USA und Frankreich belegt.106 Gleichwohl ist die Trennung in der Bundesrepublik Deutschland zumindest einfachgesetzlich insofern verbürgt, als die gesetzlichen Grundlagen der Nachrichtendienste allgesamt eine Trennung von polizeilichen und nachrichtendienstlichen Aufgaben vorsehen.107 Ob sich eine entsprechende Trennung auch der Verfassung entnehmen lässt, ist dagegen umstritten. Wegen untergeordneter Relevanz an dieser Stelle ist diese Frage erst in Kapitel (4) vertiefter Gegenstand der Bearbeitung.

103  Singer,

S. 53, Rn. 132. aaO. 105  Bergemann, in: Denninger/Rachor, Handbuch des Polizeirechts, S. 928 Rn. 32. 106  Siehe dazu bereits Roewer, Geschichtlicher Nachtrag zur Kontroverse um die Trennung von Polizei und Verfassungsschutzbehörden, DVBl. 1988, 666 (668), der einen Vergleich der deutschen und britischen Geheimdienste einerseits mit den USamerikanischen und den französischen Geheimdiensten andererseits zieht. 107  § 1 Abs. 1 S. 2 BNDG; Roewer, aaO sieht dies ursprünglich in dem Bestreben der Vertreter Großbritanniens begründet, dem BfV keine Festnahmekompetenz einzuräumen und vermutet als Motiv die Analogie zum britischen MI 5. 104  Singer,

116

Kap. 2: Status quo der Sicherheitsarchitektur

1. Bundesamt für Verfassungsschutz (BfV) Das Bundesamt für Verfassungsschutz ist der deutsche Inlandsnachrichtendienst.108 Es gewinnt seine Existenzberechtigung aus dem Umstand, dass sich der Verfassungsgeber für die „streitbare Demokratie“ entschieden hat und deshalb einen Missbrauch der Grundrechte zum Kampf gegen die freiheitliche Ordnung weder hinnimmt, noch die Bekämpfung derselben allein dem politischen Prozess und der Polizei überlässt.109 Ausgehend davon bedarf es der Aufklärung über verfassungsfeindliche Tendenzen. Gegenstand der Aufklärung, sind konsequenterweise in erster Linie und im Kern Bestrebungen, die sich gegen die freiheitlich demokratische Grundordnung bzw. den Bestand oder die Sicherheit des Bundes oder eines Landes richten. Das Bundesamt für Verfassungsschutz ist der einzige Nachrichtendienst, dessen Existenz und föderale Struktur das Grundgesetz ausweislich Art. 73 Abs. 1 Nr. 10b) GG explizit vorsieht.110 Die Aufgabe des Verfassungsschutzes ist als Gesetzgebungsaufgabe partiell dem Bund zugewiesen, insgesamt aber föderalistisch geteilt.111 Nach Art. 73 Abs. 1 Nr. 10b) und Art. 87 Abs. 1 S. 2 GG obliegt es ihm, die Zusammenarbeit des Bundes und der Länder auf diesem Gebiet zu regeln.112 Den Ländern verbleibt demnach Raum, dem Bund nicht zustehende Verfassungsschutzangelegenheiten in eigener Zuständigkeit, dem Grundsatz aus Art. 70 GG folgend, zu regeln. Als Konsequenz des Art. 87 Abs. 1 S. 2 GG statuiert § 2 Abs. 1 S. 1 BVerfSchG für die Zusammenarbeit mit den Ländern die Existenz eines Bundesamts für Verfassungsschutz als Bundesoberbehörde, das dem BMI unterstellt ist und in seiner Eigenschaft als Zentralstelle grundsätzlich mit dem BKA vergleichbar ist.113 Als Ausprägung der grundgesetzlich normierten Mischverwaltung existieren neben dem Bundesamt für Verfassungsschutz die Verfassungsschutzorgane der Länder.114 Deren Landesverfassungsschutzgesetze verwei108  Zur Begriffswahl „Verfassungsschutz“ gegenüber einer Bezeichnung als „Staatsschutz“ siehe Warg, in: Dietrich/Eiffler (Hrsg.), Handbuch des Rechts der Nachrichtendienste, V § 1 Rn. 92. 109  Graulich im Rahmen der Vorlesung Sicherheitsrecht des Bundes an der HU Berlin, Skript abrufbar auf dem Internetauftritt der jur. Fakultät; siehe dazu BVerfGE 28, 36 (48 f.); Gusy, in: Dietrich/Eiffler (Hrsg.), Handbuch des Rechts der Nachrichtendienste, IV § 1 Rn. 9. 110  Singer, S. 41 Rn. 70. 111  Gusy, in: Dietrich/Eiffler (Hrsg.), Handbuch des Rechts der Nachrichtendienste, IV § 1 Rn. 14. 112  Gusy, aaO. 113  Petri, in: Denninger/Rachor, Handbuch des Polizeirechts, S. 51 Rn. 133. 114  Stern, Staatsrecht I, § 6 VI 2, S. 220; Singer weist mit Blick auf die originären Kompetenztitel des BKA (ins. § 4 BKAG) auf S. 42 Rn. 77 darauf hin, dass trotz des im Grundgesetz verwendeten Terminus „Zusammenarbeit“ die Stellung des BfV im



A. Der zivile Arm der Sicherheitsarchitektur 117

sen entweder auf § 3 Abs. 1 BVerfSchG115 oder geben diesen sinngemäß, in den meisten Fällen sogar wortlautgetreu wieder.116 a) Beobachtungsauftrag nach innen Charakterisierend für das Verfassungsschutzamt des Bundes ist, dass es der politischen Informierung der Bundesregierung dient.117 Hierin unterscheidet es sich funktionaler damit maßgeblich von den Polizei- und Strafverfolgungsbehörden, auch denen des Bundes.118 Die Aufgaben des Verfassungsschutzamtes des Bundes und denen der Länder ergeben sich im Allgemeinen aus § 3 BVerfSchG und im Besonderen aus § 5 BVerfSchG. Dabei besteht die originäre Aufgabe laut Gesetz allein aus der Sammlung und Auswertung von Informationen zu politischem Extremismus und Terrorismus (§ 3 Abs. 1 Nr. 1), Spionage (Nr. 2), Ausländerextremismus (Nr. 3) sowie Bestrebungen gegen die Sicherung des Friedens unter den Völkern und Staaten (Nr. 4).119 Allgemein wird das Sammeln und Auswerten als der sogenannte Beobachtungsauftrag verstanden.120 Die unpräzise Formulierung „sicherheitsgefährdend“ in § 3 Abs. 1 Nr. 2 BVerfSchG im Zusammenhang mit der Aufgabe der Informationsbeschaffung über sicherheitsgefährdende oder geheimdienstliche Tätigkeiten (…) für eine fremde Macht wird als Versehen im Gesetzgebungsverfahren verstanden, weil sie trotz der präziseren, modalitätenäquivalenten Formulierung „geheimdienstlich“ in der Schlussredaktion nicht gestrichen worden ist.121 Verhältnis zu den Landesämtern noch schwächer ausgestaltet sei als die des Bundeskriminalamtes gegenüber den Landeskriminalämtern. 115  So z. B. Art. 3 BayVSG. 116  Roth weist in Schenke/Graulich/Ruthig, BVerfSchG, §§ 3, 4 Rn. 19 darauf hin, dass die Länder jenseits des bundesgesetzlichen Aufgabenkanons im Rahmen ihrer fortbestehenden Gesetzgebungskompetenz für den Verfassungsschutz ihren LfV weitere Aufgaben zuweisen können. 117  Poscher/Rusteberg, Die Aufgabe des Verfassungsschutzes, KJ 2014, 57 (71); siehe auch bereits die Nr. 2 des „Polizei-Briefs“, abgedr. bei Werthebach/Droste, in: BK-GG, Losebl. (Stand: Dez. 1998), Art. 73 Nr. 10 Rn. 10 nach der es der Bundesregierung gestattet wird, „eine Stelle zur Sammlung und Verbreitung von Auskünften über umstürzlerische, gegen die Bundesregierung gerichtete Tätigkeiten einzurichten“. 118  Poscher/Rusteberg, aaO. 119  übersichtlich dargestellt bei Singer, S. 43 Rn. 82. 120  Roth, in: Schenke/Graulich/Ruthig, BVerfSchG, §§ 3, 4 Rn. 87. 121  Dazu umfassend Roewer, Nachrichtendienstrecht der Bundesrepublik Deutschland. Kommentar und Vorschriftensammlung für die Praxis der Verfassungsschutzbehörden, des Bundesnachrichtendienstes und des Militärischen Abschirmdienstes, BVerfSchG § 3 Rn. 44; beipflichtend Siems, 425 (429).

118

Kap. 2: Status quo der Sicherheitsarchitektur

Die maßgebliche Befugnisnorm ist § 8 BVerfSchG, wonach das BfV die zur Erfüllung seiner Aufgaben erforderlichen Informationen (nach Abs. 2 auch verdeckt) erheben, verarbeiten und nutzen darf, jedoch ohne Einschluss polizeilicher Befugnisse, wie Abs. 3 klarstellt und insofern mit dem einfachgesetzlichen Trennungsgebot korrespondiert. b) Gesetzliche Anpassung an die Sicherheitslage aa) Ausbau der Zentralstellenfunktion für den Cyberraum Im Jahr 2015 hat der Bund u. a. die wachsende Bedrohung aus dem Cyberraum zum Anlass genommen, verschiedene Gesetzesänderungen vorzunehmen.122 Im Rahmen des Gesetzes zur Verbesserung der Zusammenarbeit im Bereich des Verfassungsschutzes wurde dabei unter anderem § 5 BVerfSchG modifiziert, in den inter alia ein Abs. 4 aufgenommen wurde. Nach diesem unterstützt das BfV die Landesbehörden bei der Erfüllung ihrer in § 3 beschriebenen Aufgaben u. a. dadurch, dass „zentrale Einrichtungen im Bereich besonderer technischer und fachlicher Fähigkeiten“ vorgehalten werden. Zwar konkretisiert Abs. 4 Nr. 2 mit Blick auf den Cyberraum im Grunde lediglich nur das, was § 1 Abs. 3 BVerfSchG mit der Zusammenarbeit zwischen Bund und Ländern zur gegenseitigen Unterstützung allgemein postuliert.123 Gleichzeitig wird hierdurch jedoch auch unmissverständlich dargestellt, dass sich die Zentralstellenfunktion des Bundes auch auf diesen Bereich erstreckt.124 So erwähnt die Gesetzesbegründung explizit die notwendige „synergetische Bündelung von Aufgaben und Fähigkeiten“ verbunden mit der Feststellung, dass ohne diese „zukunftsgerichtete Lösungen speziell im technischen Bereich kaum angemessen realisierbar“ seien.125 bb) Erweiterung der Fernmeldeaufklärung auf Computerstraftaten Im Zuge der vorbezeichneten Gesetzesänderung126 wurden auch Änderungen im G-10-Gesetz zur strategischen Fernmeldeaufklärung vorgenommen, die allerdings nicht nur die Verfassungsschutzämter, sondern alle Nachrichtendienste des Bundes berechtigen und verpflichten. Hier wurde im Bereich 122  Gesetz v. 17.11.2015 – Bundesgesetzblatt Teil I 2015 Nr. 45 20.11.2015 S. 1938. 123  BT-Drs. 18/4654, S. 21. 124  BT-Drs. 18/4654, aaO. 125  BT-Drs. 18/4654, aaO. 126  Gesetz v. 17.11.2015 – Bundesgesetzblatt Teil I 2015 Nr. 45 20.11.2015 S. 1938.



A. Der zivile Arm der Sicherheitsarchitektur 119

der in § 3 G-10 geregelten Individualmaßnahmen durch Hinzufügung des § 3 Abs. 1 Nr. 8 G-10 zum einen die Möglichkeit der vorbezeichnete Fernmeldeaufklärung auf den Bereich der Computerstraftaten erweitert, mit der Einschränkung, dass sich eine solche Straftat gegen die innere oder äußere Sicherheit der Bundesrepublik Deutschland, insbesondere gegen sicherheitsempfindliche Stellen von lebenswichtigen Einrichtungen zu richten habe. Gleichzeitig betont die Gesetzesbegründung, dass weder auf Opfer- noch auf Täterseite eine Begrenzung auf staatliche Stellen geboten ist, sondern führt explizit Unternehmen (der Rüstungs- und Raumfahrtindustrie), Betreiber von kritischer Infrastruktur und Telekommunikationsunternehmen an, bevor sie als letztes auf sicherheitsrelevante Behörden und Einrichtungen des Staates eingeht.127 2. Bundesnachrichtendienst (BND) Der BND ist mit Blick auf Haushaltsvolumen und Personenstärke der größte der deutschen Nachrichtendienste.128 Er unterscheidet sich von den übrigen maßgeblich darin, dass er grundsätzlich der einzige im Ausland wirkende Geheimdienst ist, was auch die militärische Aufklärung einschließt.129 Die Aufklärung im Inland ist nur insofern erfasst, als sie der Auslandsaufklärung dient.130 Bis zur Einführung des § 14 MADG war er der einzige im Ausland wirkende Geheimdienst. Dies gilt nunmehr jedenfalls für die Fälle nicht mehr, in denen § 14 MADG dem MAD ein auf den Bereich militärischer Liegenschaften (z. B. Hauptquartiere, Feldlager, Operationsbasen) beschränktes Tätigwerden ermöglicht.131 Der BND ressortiert als Bundesoberbehörde nach § 1 Abs. 1 BNDG im Geschäftsbereich des Bundeskanzleramts.132 Seine Angliederung an eine 127  BT-Drs.

18/4654, S. 40. in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, BNDG, Vorbem. Rn.  1 ff. 129  Bergemann, in: Denninger/Rachor, Handbuch des Polizeirechts, S. 945 Rn. 76; Roewer, § 1 PKKG, Rn. 12; Siems, 425 (431); Singer, S. 45 Rn. 90 der auf S. 49 Rn. 113 darauf hinweist, dass der BND im Bereich der militärischen Aufklärung eine „beeindruckende“ Expertise vorhalte; siehe zur Aufgabenwahrnehmung in Abgrenzung zum MAD auch weiter unten beim MAD. 130  Gusy, in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, BNDG, § 1 Rn. 24 u. 43. 131  Hierzu Siems, Aufgaben eines militärischen Nachrichtenwesens, DÖV 2012, 425 (430); Siems, in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, MADG § 14, Rn. 19. 132  Gleichwohl ist umstritten, ob der Chef des BKAmtes oder der Bundeskanzler Behördenleiter ist, zum Streit siehe Gusy, in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, BNDG, § 1 Rn. 8 f.; Roewer, § 1 PKKG, Rn. 24 f. 128  Gusy,

120

Kap. 2: Status quo der Sicherheitsarchitektur

Polizeibehörde ist gemäß § 1 Abs. 1 S. 2 BNDG untersagt. In Ansehung seines Auslandsmonopols133 begründet sich die Gesetzgebungskompetenz für den BND konsequent auf Art. 73 Abs. 1 Nr. 1 GG.134 a) Umfassender Beobachtungsauftrag nach außen Die Aufgabe des BND besteht gemäß § 1 Abs. 2 BNDG ebenfalls darin, Informationen zu sammeln. Im Unterschied zu den Verfassungsschutzbehörden aber allein solche über das Ausland, die von außen- und sicherheitspolitischer Bedeutung sind.135 Polizeiliche Exekutivbefugnisse hat er dagegen nicht. Das Verständnis von außen- und sicherheitspolitischer Bedeutung schließt über den für den Verfassungsschutz introvertierten Anknüpfungspunkt zum „Schutze der freiheitlichen demokratischen Grundordnung, [des] Bestand[es] und [der] Sicherheit des Bundes und der Länder“ aus Art. 73 Abs. 1 Nr. 10b) hinaus auch Bestrebungen ein, im Zuge derer äußerer Zwang mit dem Ziel ausgeübt wird, beispielsweise demokratischen Verfahren wie eine nach Art. 79, 146 GG durchzuführende Verfassungsänderung zu beeinträchtigen.136 Der Schutzauftrag ist damit umfassender zu begreifen als der des Verfassungsschutzes.137 Die Aufklärung ist nicht auf den klassisch hoheitlichen Bereich beschränkt, sondern schließt auch nichtstaatliche Organisationen sowie Private ein. Maßgeblich ist allein, dass ein Bezug zur deutschen Außen- und Sicherheitspolitik vorliegt.138 Auch die Natur der hierzu seitens Dritter eingesetzten Mittel sowie Umfang und Intensität ihres Einsatzes sind hierbei unbeachtlich, weil das Gesetz 133  diese Bezeichnung hat Gusy verwendet, in: Schenke/Graulich/Ruthig, BNDG, Vorbem. Rn. 2. 134  Gusy, in: Schenke/Graulich/Ruthig, § 1 BNDG Rn. 26. 135  die apodiktische Kürze der Aufgabenzuweisung mag verwundern, findet sich aber auch in der Gesetzesbegründung nicht umfangreicher. So ist in der BT-Drs. 11/ 4306 (S. 70) bzgl. des Aufgabenumfangs in § 1 Abs. 2 sogar nur von klarstellender Bedeutung dahingehend die Rede, dass innerstaatliches politisches Geschehen nicht vom Aufgabenumfang des BND erfasst ist. Gusy begründet dies damit, dass über die auslandsbezogenen Aufgaben und Aktivitäten des Dienstes nicht mehr als zwingend nötig offengelegt werden sollte, in: Schenke/Graulich/Ruthig, BNDG, Vorbem. Rn. 10. 136  Gusy, in: Schenke/Graulich/Ruthig, § 1 BNDG Rn. 27. 137  Gusy, aaO; siehe zur Legitimation des grundgesetzlichen Verfassungsschutzes durch die freiheitlich demokratische Grundordnung Gusy, in: Die „freiheitliche demokratische Grundordnung“ in der Rechtsprechung des Bundesverfassungsgerichts, AöR 1980, 280 (283 ff.). 138  Gusy, in: Schenke/Graulich/Ruthig, § 1 BNDG Rn. 29.



A. Der zivile Arm der Sicherheitsarchitektur 121

das Tätigwerden des BND nicht von der Art und Weise der Durchführung abhängig macht. Es macht demzufolge weder einen Unterschied, ob die Beeinträchtigung rein über den Cyberraum erfolgt, noch ob hierbei grundsätzlich zulässige Medien, z. B. der Einsatz von sozialen Netzwerken verwandt werden oder etwa Datenabfluss bzw. -manipulation betrieben wird. Demzufolge sind die zuvor anhand von Beispielen vergegenwärtigten Versuche, Einfluss auf Wahlen und Abstimmungen zu nehmen, grundsätzlich ebenfalls Gegenstand des Aufklärungsauftrages des BND. So führt die Tatsache, dass die inhaltliche Konkretisierung dessen was speziell unter der freiheitlich demokratischen Grundordnung verstanden wird in der verfassungsgerichtlichen Rechtsprechung maßgeblich im Zusammenhang mit ihrer Bedeutung als Tatbestandsmerkmal in Art. 21 Abs. 2 GG erfolgt ist, zu einer Nähe der Aussage der freiheitlich demokratischen Grundordnung zur Gewährleistung der Teilhabe am politischen Meinungsbildungsprozess und damit der politischen Mitbestimmung, sowohl der Selbstorganisation der Bürger in Parteien wie auch der durch sie legitimierten Volksvertreter.139 Gibt es also Bestrebungen fremder Mächte, Einfluss auf Beteiligungs- und Mitwirkungsrechte (z. B. an Wahlen und Abstimmungen) bis zur Beeinträchtigung freier Willensäußerungen der deutschen Staatsorgane zu üben, dürfen und müssen derartige Aktivitäten aufgeklärt werden und zwar ohne Rücksicht darauf, ob sie nach ausländischem Recht oder gar nach Völkerrecht zulässig sind.140 b) Gesetzgeberische Reaktion auf die doppelte Entgrenzung Seit den Anschlägen vom 11. September 2001 liegt der Schwerpunkt der Aufklärungstätigkeit des BND im Bereich des internationalen Terrorismus und damit vermehrt auf nichtstaatlichen Strukturen.141 Daneben ist diese grundsätzlich nicht auf den analogen Raum beschränkt, sondern umfasst in den Grenzen des gesetzlichen Auftrages (§ 1 Abs. 2 BNDG) gleichermaßen die Aufklärung (ziviler) Aktivitäten im Cyberraum.142 Dies unterstreicht auch die aktuelle Cyber-Sicherheitsstrategie, indem sie darauf hinweist, dass sich Cyber-Spionage und sonstige Cyber-Angriffe gleichermaßen gegen staatliche 139  siehe als eine der konkretisierenden Entscheidungen mitunter das KPD-Verbot, BVerfGE 5, 85 (197); siehe zur verfassungsgerichtlichen Definition der freiheitlichen demokratischen Grundordnung auch Papier/Durner, Streitbare Demokratie, AöR 2003, 340 (355 ff.). 140  Gusy, in: Schenke/Graulich/Ruthig, § 1 BNDG Rn. 28. 141  Singer, S. 48 Rn. 111. 142  so auch Hölscheidt, Das neue Recht des Bundesnachrichtendienstes, JURA 2017, 148 (149) mit Verweis auf Singer, § 1 Rn. 112 ff.

122

Kap. 2: Status quo der Sicherheitsarchitektur

Einrichtungen wie auch gegen (nichtstaatliche) kritische Infrastrukturen richten können.143 Es hat damit eine doppelte Entgrenzung stattgefunden. Einerseits mit Blick auf die Adressaten etwaiger Aufklärungsmaßnahmen, andererseits in Gestalt der Gefahrenbereiche mit Blick auf das, was nunmehr gefährdend und damit als Aufklärung legitimierend angesehen wird. Der Gesetzgeber hat hierauf reagiert, indem er im Gesetz zur Beschränkung des Brief-, Post- und Fernmeldeverkehrs Änderungen vorgenommen hat. So wurden im Bereich der in § 5 G-10 geregelten und allein für den BND relevanten strategischen Beschränkungsmaßnahmen die in Abs. 1 normierten Gefahrenbereiche als defizitär erachtet und im Rahmen der vorbezeichneten Gesetzesänderung um die Nr. 8 ergänzt.144 Im Zuge dessen sind Beschränkungsmaßnahmen nunmehr auch dann zulässig, wenn eine Gefährdung in Gestalt eines internationalen kriminellen, terroristischen oder staatlichen Angriffs mittels Schadprogrammen oder vergleichbaren schädlich wirkenden informationstechnischen Mitteln auf die Vertraulichkeit, Integrität oder Verfügbarkeit von IT-Systemen in Fällen von erheblicher Bedeutung mit Bezug zur Bundesrepublik Deutschland im Raum steht. Auf Grundlage solcher Informationsgewinnung sollen laut der Sicherheitsstrategie sodann Warnhinweise zur Einleitung von Abwehrmaßnahmen an potentiell Betroffene erteilt werden.145 Auch die Gesetzesbegründung bezeichnet die Erweiterung der Beschränkungsbefugnis des internationalen Kommunikationsverkehrs auf die Sammlung von Informationen über Sachverhalte zu einer Cyberbedrohung der vorbezeichneten Art als eine Reaktion auf die einleitende Schilderung, dass es sich bei Cyberbedrohungen eben um keine rein „nationalen Phänomene“, sondern vielfach um international verzweigte Strukturen handelt.146 Klarstellend ist zu betonen, dass mit der Gesetzesänderung kein neuer technischer Aufklärungsansatz einhergeht, im Sinne des Einsatzes neuer Medien handelt.147 Es wurde einzig auf eine veränderte Bedrohungslage im entsprechenden Bereich reagiert.

143  Cyber-Sicherheitsstrategie für Deutschland 2016, S. 17; siehe auch die BTDrs. 18/4654, S. 40 f. zur Änderung des G-10, in der im Hinblick auf kritische Infrastrukturen mit den Beispielen Energieversorger oder Flughafen explizit Beispiele gewählt werden, die sich nicht zwingend bzw. i. d. R. nicht in (gesamt-)staatlicher Hand befinden. 144  Gesetz v. 17.11.2015 – Bundesgesetzblatt Teil I 2015 Nr. 45 20.11.2015 S. 1938. 145  Cyber-Sicherheitsstrategie für Deutschland 2016, S. 32; diese spricht insofern von einem Frühwarnsystem, namentlich bezeichnet als Signals Intelligence Support to Cyber Defense (SSCD). 146  BT-Drs. 18/4654, S. 40 f. 147  dies klarstellend BT-Drs. 18/4654, S. 41.



A. Der zivile Arm der Sicherheitsarchitektur 123

III. Bundesamt für Sicherheit in der Informationstechnologie Bei dem BSI handelt es sich um die zentrale Meldestelle für die Sicherheit in der Informationstechnik, die der umfassenden Information aller Akteure über die aktuelle Cybergefährdungslage dient.148 Das BSI versteht sich als Dienstleister des Bundes im Bereich IT-Sicherheit. Die rechtliche Grundlage wurde 1991 mit dem BSI-Errichtungsgesetz gelegt. Die aktuelle Rechtsgrundlage findet sich im jüngst aufgrund der Netz- und Informationssicherheits-Richtlinie (NIS) modifizierten BSI-Gesetz.149 Unmittelbar hervorgegangen ist das BSI aus der Zentralstelle für Sicherheit in der Informationstechnik (ZSI), die wiederum aus der Zentralstelle für das Chiffrierwesen (ZfCH) hervorging und zusammen mit diesem dem BND zugeordnet war.150 Mit seiner Gründung wurde es aus dem Geheimdienstbereich herausgenommen und untersteht seither dem BMI. Im Gegensatz zu Organisationsformen in den USA sollte das Bundesamt von Anfang an weder eine militärische noch eine nachrichtendienstliche Behörde werden, sondern eine zivile Behörde mit bundesweiter Zuständigkeit.151 Die zivile Konnotation wird an seinen Aufgaben sichtbar: Information, Beratung, Entwicklung, Zertifizierung/Zulassung und Überwachung.152 Eigene Computernetzwerkoperationen führt das BSI weder durch, noch lässt sich seine gesetzliche Grundlage und die aus dieser hervorgehenden Befugnisse auch nur ansatzweise in eine solche Richtung verstehen oder interpretieren. Daneben fungiert das Bundesamt als zentrale Meldestelle des Bundes für andere Bundesstellen (§ 4 BSIG), neuerdings für Betreiber kritischer Infrastrukturen (§ 8b BSIG) sowie Betreiber digitaler Dienste (§ 8c BSIG). Gegenstand der Meldungen sind Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme.153 Ferner fungiert das BSI auch zur Unterstützung von Landesbehörden, soweit diese mit der Bewältigung von CyberSicherheitsvorfällen befasst sind.154 148  BT-Drs.

18/4654, S. 42. S. 1885. 150  Graulich, in: Schenke/Graulich/Ruthig, § 1 BSIG, Rn. 1. 151  Neusel, Aktivitäten der Bundesregierung zur IT-Sicherheit, RDV 1990, 161 (165). 152  https://www.bsi.bund.de/DE/DasBSI/Leitbild/leitbild_node.html; Bräutigam/ Wilmer, Big Brother is watching you? – Meldepflichten im geplanten IT-Sicherheitsgesetz, ZRP 2015, 38 (39 ff.); Illies/Lochter/Stein, in: Kilian/Heussen, Computerrechts-Handbuch, Rn. 57; Cyber-Sicherheitsstrategie 2016, S. 17. 153  Dazu Eckhardt, in: Auer-Reinsdorf/Conrad, IT- und Datenschutzrecht, § 33, Rn. 236; Kipker, Der BMI-Referentenentwurf zur Umsetzung der NIS-RL. Was dürfen Betreiber von Kritischen Infrastrukturen und Anbieter von digitalen Diensten erwarten?, MMR 2017, 143 (145). 154  § 3 Nr. 13a) BSIG; Cyber-Sicherheitsstrategie 2016, S. 29 und 36. 149  BGBl. I

124

Kap. 2: Status quo der Sicherheitsarchitektur

1. Mobile Incident Response Teams (MIRTs) Daneben werden beim BSI sogenannte „Mobile Incident Response Teams“ (MIRTs) eingerichtet. Diese haben zur Aufgabe, Cyber-Vorfälle in solchen staatlichen oder privaten Einrichtungen (insbesondere solche der Kritischen Infrastruktur) zu analysieren und zu bereinigen, die für das Gemeinwesen besonders bedeutend sind.155 Die Gesetzesbegründung zur Novellierung des BSI-Gesetzes im Zuge der NIS-Richtlinie156 nennt die – im Gesetz nicht namentlich erwähnten – MIRTs in Zusammenhang mit dem neugeschaffenen § 5a (Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes) und begründet deren Einrichtung mit der Qualität der heutigen Bedrohungslage, angesichts derer „präventive Schutz- und Abwehrmaßnahmen alleine nicht mehr ausreichend [seien]“, sondern durch „reaktive Maßnahmen ergänzt werden [müssten]“.157 Als solche werden, insoweit konsequent, jedoch keine Gegenmaßnahmen in Gestalt von Computernetzwerkoperationen begriffen, sondern allein solche, die auf „eine möglichst schnelle und sachkundige Zurückführung angegriffener Systeme und Netze in einen „sauberen“ Zustand [gerichtet sind], um die weitere Nutzbarkeit und Sicherheit der betroffenen Systeme und Netze sicherzustellen“.158 2. Computer Emergency Response Teams (CERT) Bei CERTs handelt es sich um zentrale staatliche sowie nichtstaatliche Anlaufstellen für präventive und im zuvor genannte Sinne reaktive technische Maßnahmen im IT-Sicherheitsbereich, die jedoch bis dato rein informativer Natur sind.159 In Deutschland nimmt das BSI mit dem CERT-Bund die Rolle des nationalen CERTs wahr für die öffentliche Hand in Gestalt der Verwaltung, die (privaten) Betreiber Kritischer Infrastrukturen, den Wirtschaftssektor als solchen sowie die Bevölkerung.160 Daneben fungiert es als zentrale Ansprechstelle für ausländische und internationale CERTs.161 Wei155  BT-Drs. 18/11242, S. 30; Cyber-Sicherheitsstrategie für Deutschland des BMI 2016, S. 29. 156  (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19. Juli 2016, S. 1; im Folgenden: NIS-Richtlinie. 157  BT-Drs. 18/11242, S. 30; Cyber-Sicherheitsstrategie für Deutschland des BMI 2016, S. 29. 158  BT-Drs. 18/11242, S. 30. 159  Cyber-Sicherheitsstrategie für Deutschland des BMI 2016, S. 34. 160  Cyber-Sicherheitsstrategie für Deutschland des BMI 2016, aaO. 161  Cyber-Sicherheitsstrategie für Deutschland des BMI 2016, aaO.



A. Der zivile Arm der Sicherheitsarchitektur 125

tere eigenständige CERTs existieren zudem bei anderen Bundesbehörden sowie in den Länderverwaltungen, in einzelnen Unternehmen und in wissenschaftlichen Einrichtungen. Es ist beabsichtigt, auf dem Boden des Interesses gesamtgesellschaftlicher Cyber-Sicherheit diese Strukturen weiter auszubauen und zu vernetzen.162 Ein praktisches Anwendungsbeispiel zur Verdeutlichung der informativen Tätigkeit des CERT-Bund ist seine Funktion, Netzbetreiber über potentielle Schadprogramm-Infektionen in Kenntnis zu setzen.163 Hier fungiert es als staatlicher Mittler zwischen den sogenannten Sinkhole-Betreibern164, also denjenigen die mit Schadprogrammen infizierte Systeme identifizieren und den Netzbetreibern.

IV. Sonstige Einrichtungen mit thematischem Bezug 1. Bundesebene Die leitende Absicht bei der Etablierung der nachfolgenden Einrichtungen war und ist es, verschiedene Bundesbehörden und teilweise auch die Privatwirtschaft zu verzahnen, dadurch Informationsaustausch zu begünstigen und insgesamt die jeweilige Aufgabenwahrnehmung effizienter zu gestalten.165 a) Nationales Cyber-Abwehrzentrum (NCAZ) In Reaktion auf den Stuxnet-Angriff beschloss das Bundeskabinett im Jahr 2011 die Cyber-Sicherheitsstrategie, die im Jahr 2016 erstmals novelliert wurde.166 Bestandteil dieser Strategie war die Einrichtung eines Nationalen 162  Cyber-Sicherheitsstrategie

für Deutschland des BMI 2016, aaO. https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Aktivitaeten/CERTBund/CERT-Reports/Reports/Schadprogramminfektionen/schadprogramminfektionen_ node.html. 164  Gegenstand der Sinkhole-Methode ist die Umleitung schädlicher Domainnamen (die im Interesse des Angreifers vom Nutzer angesteuert werden sollen, um vom Kontrollserver weitere Instruktionen zu empfangen, bzw. ausgespähte Informationen an diesen zu übermitteln) auf sogenannte Sinkholes. Ausfindig gemacht werden die schädlichen Domainnamen durch die Analyse von Schadprogrammen in Zusammenarbeit mit den zuständigen Domain-Registrierungsstellen. Die Sinkhole-Betreiber protokollieren die Zugriffe und Quell-IP-Adressen, https://www.bsi.bund.de/DE/ Themen/Cyber-Sicherheit/Aktivitaeten/CERT-Bund/CERT-Reports/Reports/ Schadprogramminfektionen/schadprogramminfektionen_node.html. 165  Cyber-Sicherheitsstrategie für Deutschland 2016, S. 27. 166  Dies geht hervor aus Antworten der Bundesregierung auf zwei Abgeordnetenanfragen, BT-Drs. 17/6793, S. 7 und BT-Drs. 17/5694, S. 1. 163 

126

Kap. 2: Status quo der Sicherheitsarchitektur

Cyber-Abwehrzentrums.167 Dieses stellt eine behördenübergreifende Kooperation mehrerer Bundesbehörden dar, ohne die allgemein zuständigen Stellen zu verdrängen oder Kompetenzen neu zu bestimmen.168 Ausschlaggebend für die Vernetzungsinitiative war die Erkenntnis, dass sich hochkomplexe Angriffe wie Stuxnet nicht an Behördenzuständigkeiten orientierten.169 Kernbehörden dieses Verbunds sind neben dem im Rahmen der Gründung federführenden BSI das Bundesamt für Bevölkerungsschutz sowie das Bundesamt für Verfassungsschutz.170 Daneben gehören mit BKA, BPol, BND, Zollkriminalamt und Bundeswehr eine Reihe von Behörden als assoziierte Mitglieder dazu.171 Konzeptionell folgt das NCAZ dem Muster der im Jahr 2004 eingerichteten Extremismus- und Terrorismusabwehrzentren.172 Grundlage der Zusammenarbeit ist die behördliche Kooperationsvereinbarung.173 Ausweislich der aktuellen Cyber-Sicherheitsstrategie soll das NCAZ unter Federführung des BMI zur zentralen Kooperations- und Koordinationsplattform des Bundes fortentwickelt werden und in dieser Eigenschaft Lagebilder über die Cyber-Sicherheitslage erstellen.174 Im Falle das Cyber-Sicherheitsvorfälle bundesweit zahlreiche Institutionen betreffen, wächst das Cyber-AZ zu einem Krisenreaktionszentrum auf.175 Die Abwehrfunktion des NCAZ erschöpft sich unter der alten wie neuen Cyber-Sicherheitsstrategie jedoch in der Abgabe von Warnungen und Handlungsempfehlungen auf der Basis eines behördenübergreifenden Informationsaustauschs zu IT-Vorfällen176

167  Cyber-Sicherheitsstrategie

für Deutschland 2011, S. 8. Rechtsfragen der Einrichtung und des Betriebs eines Nationalen CyberAbwehrzentrums als informelle institutionalisierte Sicherheitskooperation, DÖV 2015, 128 (129). 169  BT-Drs. 17/5694, S. 2. 170  BT-Drs. 17/5694, S. 1. 171  BT-Drs. 17/8800, S. 5; BT-Drs. 17/5694, S. 1. 172  BT-Drs. 17/5694, S. 2; Linke, DÖV 2015, 128 (129). 173  Laut Antwort der Bundesregierung hat das NCAZ keine Behördenqualität im einfach- oder verfassungsrechtlichen Sinne, sodass die Gesetzesvorbehalte des Art. 87 GG nicht greifen und eine gesetzliche Grundlage entbehrlich ist (BT-Drs. 17/5694, S. 2); so auch Linke, DÖV 2015, 128 (134). 174  Cyber-Sicherheitsstrategie für Deutschland 2016, S. 28. 175  Cyber-Sicherheitsstrategie für Deutschland 2016, aaO. 176  Cyber-Sicherheitsstrategie für Deutschland 2011, S. 8; Roos/Schumacher, Botnetze als Herausforderung für Recht und Gesellschaft Zombies außer Kontrolle?, MMR 2014, 337 (382); siehe die ähnliche Diskussion über die Behördeneigenschaft des GTAZ bei Weisser, Das Gemeinsame Terrorismusabwehrzentrum (GTAZ) – Rechtsprobleme, Rechtsform und Rechtsgrundlage, NVwZ 2011, 142 (146). 168  Linke,



A. Der zivile Arm der Sicherheitsarchitektur 127

b) Nationaler Cyber-Sicherheitsrat Ferner wurde auf Grundlage der Cyber-Sicherheitsstrategie 2011 ein Nationaler Cyber-Sicherheitsrat eingerichtet, der als strategischem Ratgeber der Bundesregierung für Cyber-Sicherheit dient.177 Er dient neben der Aufdeckung struktureller Krisenursachen vorwiegend der Setzung strategischer Impulse durch die Entwicklung übergreifender Politikansätze durch enge kooperative Zusammenarbeit zwischen Politik und Privatwirtschaft.178 Vertreten sind neben dem BKAmt die Ressorts AA, BMI, BMVg, BMWI, BMJ, BMF, BMBF sowie Vertreter der Länder.179 Der Teilnehmerkreis kann anlassbezogen um weitere Ressorts erweitert werden.180 Daneben werden im Sinne des Leitgedankens Wirtschaftsvertreter als assoziierte Mitglieder eingeladen.181 Darüber hinaus werden Vertreter der Wissenschaft bei Bedarf hinzugezogen.182 Über seine erzielten Ergebnisse wird der Nationale CyberSicherheitsrat das Bundeskabinett regelmäßig in Form eines schriftlichen Berichtes unterrichten.183 c) Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) Im Geschäftsbereich des BMI wurde daneben eine zentrale Stelle für die technische Unterstützung der Sicherheits- und Fachbehörden des Bundes einschließlich der Nachrichtendienste eingerichtet. Eigenen operativen Befugnissen erhält diese dagegen nicht.184 Die Aufgaben umfassen schwerpunktmäßig die Entwicklung technischer Lösungen und Werkzeuge mit Cyberbezug für die Sicherheitsbehörden sowie die Unterstützung und Beratung bei der Implementierung derselben.185 Das ZITiS versteht sich damit nach eigener Aussage ausschließlich als „Dienstleister für die deutschen Sicherheitsbehörden“186 in den entsprechenden Sektoren. 177  Cyber-Sicherheitsstrategie für Deutschland 2011, S. 9 sowie Cyber-Sicherheitsstrategie für Deutschland 2016, S. 45. 178  Cyber-Sicherheitsstrategie für Deutschland 2016, S. 4. 179  Cyber-Sicherheitsstrategie für Deutschland 2011, S. 9; Cyber-Sicherheitsstrategie für Deutschland 2016, S. 45. 180  Cyber-Sicherheitsstrategie für Deutschland 2016, aaO. 181  Cyber-Sicherheitsstrategie für Deutschland 2016, aaO. 182  Cyber-Sicherheitsstrategie für Deutschland 2016, aaO. 183  Cyber-Sicherheitsstrategie für Deutschland 2016, aaO. 184  Cyber-Sicherheitsstrategie für Deutschland 2016, S. 32. 185  https://www.zitis.bund.de/DE/Arbeitsfelder/Ueberwachung/ueberwachung_ node.html; Cyber-Sicherheitsstrategie für Deutschland 2016, aaO. 186  https://www.zitis.bund.de/DE/Service/FAQ/faq_node.html.

128

Kap. 2: Status quo der Sicherheitsarchitektur

d) Agentur für Innovation in der Cybersicherheit Darüber hinaus hat die Bundesregierung im August 2018 eine Vereinbarung aus dem Koalitionsvertrag187 umgesetzt und die Agentur für Innovation in der Cybersicherheit gegründet, die ihre Arbeit Anfang 2019 aufnehmen soll.188 Die Hauptaufgabe der unter gemeinsamer Federführung des BMI und des BMVg entstehenden Einrichtung besteht darin, Grundlagenforschung zu betreiben um langfristig erstens einen technologischen Fortschritt im Bereich der Schlüsselindustrie Cybersicherheit zu erzielen und zweitens im Zusammenwirken mit anderen europäischen Staaten unabhängiger von den USA im entsprechenden Bereich zu werden.189 2. Landesebene Auch in den Ländern gibt es institutionelle Ansätze im Bereich der Cybersicherheit. Am weitesten umgesetzt ist diese Absicht in Bayern, wo im Zuge der Bayerischen Cybersicherheitsstrategie das Cyber-Allianz-Zentrum Bayern (CAZ) eingerichtet wurde.190 Aber auch in Baden-Württemberg sind Ansätze auszumachen.191 Auffallend ist, dass das bayerische Cyber-AllianzZentrum explizit dem Bayerischen Landesamt für Verfassungsschutz zugeordnet wurde und damit nur mittelbar, nämlich über dieses, dem Innenressort unterstellt und daher von diesem auch räumlich getrennt ist.192 Es unterstützt in Bayern ansässige Unternehmen, Hochschulen und Betreiber kritischer Infrastrukturen bei der Prävention und Abwehr von Cyber-Angriffen.193 Seine Aufgaben beschränken sich, vergleichbar seiner dargestellten Pendants auf Bundesebene, auf den informationellen Bereich.194 Die Analyse Elektroni187  Koalitionsvertrag zwischen CDU, CSU und SPD v. 12. März 2018, in dem die Einrichtung noch unter der Begrifflichkeit Agentur für Disruptive Innovationen in der Cybersicherheit und Schlüsseltechnologien geführt wird, S. 159. 188  https://www.bundesregierung.de/Content/DE/Artikel/2018/08/2018-08-29cybersicherheit.html;jsessionid=0F7872A928235E7B473E7385C4F607C9.s2t1. 189  So Verteidigungsministerin von der Leyen bei der Vorstellung der Einrichtung, abrufbar unter: https://www.heise.de/newsticker/meldung/Bundesregierung-schafftAgentur-fuer-Cybersicherheit-4150079.html. 190  Die bayerische Cybersicherheitsstrategie, 22. Mai 2014. 191  http://www.swp.de/ulm/nachrichten/wirtschaft/land-baut-cyber-abwehr-fuermittelstand-auf-15439128.html. 192  http://www.verfassungsschutz.bayern.de/spionageabwehr/cyber_allianz_ zentrum/index.html; Die bayerische Cybersicherheitsstrategie, 22. Mai 2014, S. 12. 193  http://www.verfassungsschutz.bayern.de/spionageabwehr/cyber_allianz_ zentrum/index.html. 194  http://www.verfassungsschutz.bayern.de/spionageabwehr/cyber_allianz_ zentrum/aufgaben/index.html.



A. Der zivile Arm der Sicherheitsarchitektur 129

scher Angriffe und deren Bewertung im nachrichtendienstlichen Kontext erfolgt dabei, dem Plädoyer der Cyber-Sicherheitsstrategie des Bundes folgend, in enger Abstimmung mit dem BfV und dem BSI.195

V. Gemeinsame Erkenntnisse aus den Zuständigkeiten der zivilen Sicherheitsbehörden Die Ausführungen über die nichtmilitärischen Sicherheitsbehörden und -einrichtungen haben zum Teil ganz grundsätzliche, mit Blick auf den digitalen Raum aber auch spezifische Erkenntnisse geliefert, die mit Blick auf den Fortlauf der zugrundeliegenden Untersuchung von Bedeutung sind. 1. Mit Blick auf die Zuständigkeitsverteilung: Verlagerung auf den Bund, im Kern jedoch Ländersache Zunächst ist festzuhalten, dass es mit der Polizei des Deutschen Bundestages bzw. der Bundespolizei Polizeien des Bundes und nicht des jeweiligen Landes sind, die (originär bzw. auf Ersuchen) für den Schutz der vorbezeichneten Verfassungsorgane (mit-)verantwortlich sind. Umgekehrt bedeutet dies aber auch, dass der Bund mit Blick auf diese Schutzobjekte – zumindest polizeilich – dann nicht zuständig ist, wenn es sich nicht um seine Verfassungsorgane bzw. im Falle des § 4 BKAG um Behörden oder Einrichtungen des Bundes handelt. In diesem Falle verbleibt es beim Grundsatz der alleinigen Zuständigkeit der Länder. Im Bereich des internationalen Terrorismus und (teilweise als Ausfluss dessen bzw. originär) im Bereich der Cyberkriminalität ist eine Verlagerung auf den Bund auszumachen, im Rahmen derer das BKA nunmehr auf Grundlage des § 4a BKAG nicht nur als Strafverfolgungsbehörde, sondern auch zur Gefahrenabwehr tätig werden darf. Der Umstand, dass die nationale Stelle von Europol ebenfalls beim BKA angegliedert ist, zeichnet dieses Bild im Bereich der internationalen Zusammenarbeit fort. Eine ähnliche Tendenz, zumal explizit im Hinblick auf Cybergefahren, ist beim Verfassungsschutz auszumachen, dessen Zentralstellenfunktion im Wege der angesprochenen Änderung des § 5 BVerfSchG auch für die digitalen Bedrohungen manifestiert wurde. Der Umstand, dass das BSI in seinem Aufgabenspektrum nicht auf die Unterstützung von Bundesbehörden beschränkt ist, sondern auch Landesbehörden bei der Bewältigung von Cyber-Sicherheitsvorfällen unterstützt, so195  http://www.verfassungsschutz.bayern.de/spionageabwehr/cyber_allianz_ zentrum/index.html; Cyber-Sicherheitsstrategie für Deutschland 2016, S. 23 und 34.

130

Kap. 2: Status quo der Sicherheitsarchitektur

wie die Tatsache, dass es mittlerweile auch als zentrale Meldestelle für Betreiber Kritischer Infrastrukturen und digitaler Dienste fungiert, belegen eine Tendenz zur Konzentration auf den Bund auch außerhalb der operativen Sicherheitsbehörden. Die Tatsache, dass es zudem keine Entsprechung des BSI auf Landesebene gibt, bestärkt diesen Eindruck. So ist das BSI Meldestelle für jegliche Betreiber der zuvor genannten Sparten, unabhängig davon wo sie in Deutschland lokalisiert sind, bzw. wem sie dienen. 2. Mit Blick auf die Bundesbehörden: Eingeschränkt einsatzfähig im digitalen Raum Ferner haben die vorherigen Auslegungen gezeigt, dass sich die Kompetenzen der Polizeien des Bundes mit Ausnahme der Polizei des Deutschen Bundestages auf die Abwehr physisch-gegenständlicher Beeinträchtigungen beschränkt und damit die umfassende Gefahrenabwehr im digitalen Raum – gleich dem analogen – in der Zuständigkeit der Landespolizeien verbleibt. Themenspezifische Bereichsausnahmen sind zum einen der zuvor geschilderte § 4a BKAG, nach dem das BKA im geschilderten begrenzten Anwendungsfeld auch für die Gefahrenabwehr zuständig werden kann. Als weitere Ausnahme ist die umfassende Kompetenz der Polizei des Deutschen Bundestages zur Gefahrenabwehr anzuführen, die jedoch auch nur deswegen besteht, weil hier die polizeiliche Generalklausel in das Bundesrecht rezipiert wurde und somit die grundsätzlich den Landespolizeien vorbehaltene umfassende Kompetenz die logische Folge darstellt.196 3. Mit Blick auf den Einsatzraum: Beschränkung auf das Staatsgebiet der Bundesrepublik Deutschland Die vorangegangenen Ausführungen haben gezeigt, dass sich die Zuständigkeiten der aufgeführten Sicherheitsbehörden und damit einhergehend ihre Ausübung von Exekutivmaßnahmen zur Gefahrenabwehr, Straftatenverhütung und Strafverfolgung mit Ausnahme des BND auf das Staatsgebiet der Bundesrepublik Deutschland beschränken. Auch mit den beschränkten Zuständigkeiten der Bundespolizei nach den §§ 6 und 8 BPolG sowie etwaiger Zuständigkeitserweiterungen der Polizeien auf der Grundlage völkerrechtlicher Verträge sind auch die Ausnahmen hierzu überschaubar.197 Der polizeirechtliche Effektivitätsgedanke erfährt daher insoweit eine wortwörtliche Grenze, als es grundsätzlich nur um die Effektivität der Ab196  So

bezeichnet von Drews/Wacke/Vogel/Martens, Gefahrenabwehr, S. 72. die BPol explizit in § 65 Abs. 2 BPolG aufgeführt.

197  Für



B. Die Streitkräfte 131

wehr einer in das Inland hineinwirkenden Gefahr gehen kann. Ob die jeweiligen Gefahrenabwehrmaßnahmen, z. B. in Gestalt von IT-Sicherungsmaßnahmen absolut gesehen effektiv oder nicht vielmehr ineffektiv sind, ist unbeachtlich, weil sie ohnehin die Grenze des rechtlich Möglichen darstellt. So mag eine Computernetzwerkoperation gegen einen im Ausland lokalisierten Server zwar grundsätzlich die effektivste Form der Gefahrenabwehr sein, sie ist es jedoch in Ansehung des rechtlich Zulässigen nicht mit der Folge, dass sich möglicherweise auf Sicherungsmaßnahmen zu beschränken ist. Dasselbe gilt insoweit auch für die nachrichtendienstliche Warte und speziell dem BND, als dieser in seiner Eigenschaft als Auslandsnachrichtendienst zwar im Ausland operiert, in diesem Zusammenhang aber keinerlei polizeiliche Exekutivbefugnisse hat.

B. Die Streitkräfte Im Folgenden werden die gesetzlichen Grundlagen und maßgeblichen Parameter für die unterschiedlichen Verwendungen der Streitkräfte behandelt. Daneben wird ein Einblick in die thematisch relevanten Komponenten der Streitkräfte verschafft.

I. Der Einsatz als die zentrale Begrifflichkeit zur Verwendung der Streitkräfte Der Begriff des Einsatzes stellt die zentrale Begrifflichkeit für die Verwendung der Streitkräfte im In- und Ausland dar. Während sich seine begriffliche Grundlage in Art. 87 a Abs. 2 GG findet, reicht seine Bedeutung aber weit über diese Vorschrift hinaus. So hat der Einsatzbegriff grundsätzlich zwei Dimensionen, die beide umfangreich Gegenstand von höchstrichterlicher und verfassungsgerichtlicher Rechtsprechung waren. Zum einen spielt er eine Rolle bei der Verwendung der Streitkräfte im Innern, konkret im Zusammenhang mit der Vorschrift des Art. 87a Abs. 2 GG und der in ihm zum Ausdruck kommenden Begrenzungsfunktion.198 Zum anderen bei der Frage der Erforderlichkeit parlamentarischer Zustimmung für die Verwendung der Streitkräfte im Ausland. Beide Dimensionen des Einsatzbegriffs sind für die vorliegende Bearbeitung an unterschiedlichen Stellen von Relevanz und werden im Folgenden vorgestellt.

198  BVerfGE

90, 286 (356 f.); 115, 118 (142); BVerwGE 127, 1 (12 f.).

132

Kap. 2: Status quo der Sicherheitsarchitektur

1. Der Einsatz als Auslöser des Parlamentsvorbehalts Im Urteil von 1994 verpflichtete das BVerfG die Bundesregierung für einen Auslandseinsatz bewaffneter Streitkräfte die – grundsätzlich vorherige – konstitutive Zustimmung des Bundestages einzuholen.199 Entsprechend der Forderung des BVerfG200 wurde das Parlamentsbeteiligungsgesetz201 geschaffen, welches in § 2 Abs. 1 PBG eine Definition vorsieht, was unter einem Einsatz zu verstehen ist. Zentrales Tatbestandsmerkmal ist hier das Vorliegen bzw. die Aussicht auf die Einbeziehung der Soldaten in eine bewaffnete Unternehmung.202 Gleichwohl hat das BVerfG bestimmt, dass die Konkretisierung dessen, was unter einem Einsatz zu verstehen ist, sich nicht verbindlich durch § 2 PBG und damit einem unterhalb der Verfassung angesiedelten Gesetz vorschreiben lässt.203 Dies ist aus zwei Gründen konsequent: Einerseits vor dem Hintergrund, dass es sich beim „Einsatz bewaffneter Streitkräfte“ nach dem BVerfG um einen (unbestimmten) Verfassungsbegriff handele.204 Zudem und anknüpfend daran, dass sich der Parlamentsvorbehalt nach Auffassung des BVerfG ohnehin unmittelbar aus der Verfassung ergebe.205 2. Der Einsatzbegriff als Begrenzung der inländischen Verwendung der Streitkräfte Eine unterschiedliche Betrachtungsweise ist dagegen anzulegen, wenn sich mit der Verwendung der Streitkräfte im Inland auseinandergesetzt wird und der Frage, welchen Stellenwert der Einsatzqualität in diesem Zusammenhang 199  BVerfGE 90, 286 ff. Leitsatz 3a; siehe in jüngerer Zeit zur Zustimmungspflicht ergangen: BVerfGE 140, 160 (188). 200  Leitsatz 3b. 201  vom 18. März 2005 (BGBl. I S. 775). 202  So bereits Klein, Rechtsprobleme einer deutschen Beteiligung an der Aufstellung von Streitkräften der Vereinten Nationen, ZaöRV 1974, S. 429 (435 f.); umfangreich dazu Wiefelspütz, Das Parlamentsherr, S. 421 ff.; zum Abstellen auf die Bewaffnung kritisch, Reiter, Der konstitutive Parlamentsvorbehalt und die Verwendung der Bundeswehr im Lichte des Wandels internationaler Sicherheitssysteme, S.  78; BVerfGE 90, 286 (387) „Gegenstand der Parlamentsbeteiligung sind die Einsätze bewaffneter Streitkräfte“; BVerfGE 140, 160 (188); kritisch zum Kriterium der Bewaffnung bereits vor der Streitkräfteentscheidung Jahn/Riedel, Streitkräfteeinsatz im Wege der Amtshilfe, DÖV 1988, 957 (959). 203  BVerfGE 121, 135 (156). 204  BVerfGE 90, 286 (390); in diesem Sinne auch Marxsen, JZ 2017, 543 (546 f.), der das zuvor genannte Kriterium der „Bewaffnung“ für ein verfassungsrechtlich nicht notwendiges Kriterium hält. 205  BVerfGE 90, 286 (390), 121, 135 (156), 140, 160 (188).



B. Die Streitkräfte 133

zukommt. Dies ist zum einen darin begründet, dass die Streitkräfte im Inland gegenüber der inländischen Bevölkerung als Hoheitsträger auftreten, d. h. an Grundrechte gebunden sind,206 und zum anderen dadurch, dass sich die Streitkräfte im Inland einer zuvor beleuchteten, ausdifferenzierten Sicherheitsarchitektur gegenübergestellt sehen, deren jeweiliges Verwendungsspektrum stark von dem föderalen Charakter der Bundesrepublik Deutschland in Ausprägung des Bundesstaatsprinzips gezeichnet ist. Die Streitkräfte können nach dem Grundgesetz zu verschiedenen Zwecken verwendet werden. Das Grundgesetz selbst unterscheidet in diesem Zusammenhang zwischen dem Begriff des Einsatzes einerseits sowie der bloßen Unterstützungsleistung der Streitkräfte andererseits.207 Daneben gibt es noch eine Reihe weiterer Verwendungen der Streitkräfte, etwa zu repräsentativen Zwecken, die nicht gesetzlich geregelt sind und hier keine weitere Rolle spielen sollen. Erschwerend und damit eine inhaltliche Auseinandersetzung fordernd kommt hinzu, dass nach allgemeiner Ansicht die Einsatzkriterien nicht immer nur dann Anwendung finden, wenn das Grundgesetz ausdrücklich von einem Einsatz spricht, sondern auch darüber hinaus.208 Die zentrale Norm des Einsatzbegriffs ist Art. 87a Abs. 2 GG.209 Dieser beschränkt den Einsatz der Streitkräfte in den Fällen, die nicht der „Verteidigung“ dienen, auf die im Grundgesetz ausdrücklich geregelten Fälle. Art. 87a Abs. 2 GG stellt damit die entscheidende Stellschraube für die Gewährleistung des gesetzgeberischen Leitgedankens dar. Mit Einführung der Norm sollte nämlich insbesondere keinen „ungeschriebenen Zuständigkeiten [der Streitkräfte] aus der Natur der Sache“ Vorschub geleistet werden.210 In Abkehr dazu könnte über einen engen Einsatzbegriff der Normbefehl des 206  Die

ben.

Frage der Grundrechtsbindung im Ausland soll hier außer Betracht blei-

207  Für Ersteres siehe z. B. Art. 35 Abs. 3 S. 1, für letzteres Art. 35 Abs. 2 S. 2 GG; Gegenüberstellung bei Dietz, Die Kompetenzverteilung des Grundgesetzes für Amtshilfe- und Unterstützungsmaßnahmen sowie Einsätze der Bundeswehr, DÖV 2012, 952 (953). 208  Dies lässt sich mitunter anhand BVerfGE 132, 1 ff. feststellen, in der sich das BVerfG zum Einsatzbegriff u. a. unter Bezug auf Art. 35 Abs. 2 S. 2 äußert, der die Formulierung „Einsatz“ gar nicht enthält; auch Dietz, Die Kompetenzverteilung des Grundgesetzes für Amtshilfe- und Unterstützungsmaßnahmen sowie Einsätze der Bundeswehr, DÖV 2012, 952 (953). 209  Trotz der engen Verwobenheit des Einsatzbegriffs mit dem Inneneinsatz der Streitkräfte bleibt letzterer hier vorerst außer Betracht, wenngleich die Argumentation mitunter eine ähnliche Stoßrichtung hat. 210  Bericht des Rechtsausschusses, BT-Drs. V/2873, S. 13 sowie die Bezugnahme des BVerwG hierauf in 132, 110 (118). Gleichsam betonte der Rechtsausschuss auch, dass ebenso wenig Befugnisse beschnitten werden sollten, die sich aus einem „Wortzusammenhang mit der Verteidigungskompetenz“ ergäben.

134

Kap. 2: Status quo der Sicherheitsarchitektur

Art. 87a GG unterlaufen und den Streitkräften ein weitreichendes Verwendungspotenzial zuerkannt werden, schlicht mit dem Argument, es handele sich nicht um einen Einsatz.211 Die wiederholt zum Eingriffsbegriff ergangene höchstrichterlicher sowie verfassungsgerichtlicher Rechtsprechung212 hat maßgeblich dazu beigetragen, dass ein Einsatzbegriff entstanden ist, der sich auf zwei Elemente stützen lässt: Einem eingriffsrechtlichen und einem föderalen Element.213 a) Das eingriffsrechtliche Element – Grundrechtsbetroffenheit durch das spezifisch „Militärische“ Die mittlerweile gefestigte Rechtsprechung verlangt als Qualifikationsmerkmal für einen Einsatz die Inanspruchnahme der Streitkräfte in einem Eingriffszusammenhang.214 Ein solcher liegt dann vor, wenn sie als Teil der „vollziehenden Gewalt“ zum Zwecke der Gefahrenabwehr unter „Androhung oder Inanspruchnahme hoheitlichen Zwangs“ verwendet werden.215 Charakterisierend für den hoheitlichen Zwang ist die „Grundrechtsrelevanz“ des Handelns.216 Der hoheitliche Zwang lässt sich hierbei in Gestalt des „militärischen Apparat[s] der Bundeswehr“ konkretisieren,217 dessen spezifische Ausprägung konkret in den Befehlsstrukturen und dem den Streitkräften eigentümlichen „Macht- und Drohpotential“ begründet liegt.218 Charakterisierend für die Bejahung eines Einsatzes ist also ein Tätigwerden unter Nutzung der den Streitkräften im Unterschied zu anderen Teilen der Staatsgewalt zu-

211  BVerfGE 132, 1 (19 f.) „Aus Art. 87a Abs. 2 ergeben sich Grenzen hinsichtlich der Abwehr von Gefahren, die von einem als Angriffsmittel genutzten Flugzeug ausgehen, nur, soweit es sich um einen Einsatz handelt.“ 212  BVerfGE 132, 1 (20); BVerwGE 132, 110 (119 f.). 213  diese Sichtweise vertritt auch Linke, Innere Sicherheit durch Bundeswehr? Zur Möglichkeit und Grenzen der Inlandsverwendung der Streitkräfte, AöR 2004, 490 (496); ohne explizit das Wort Zweigliedrigkeit zu gebrauchen, Marxsen, JZ 2017, 543 (545). 214  in jüngerer Vergangenheit dazu BVerfGE 133, 241 (269). 215  BVerwGE 132, 110 (119); hierauf sowie auf den Bericht des Rechtsausschusses, BT-Drs. V/2873, S. 13 bezieht sich auch das BVerfGE 132, 1 (20). 216  Brenneisen/Schwarzer/Wein, Hilfeleistung durch die Bundeswehr im Innern – Einsatz oder Amtshilfe, in: Brenneisen/Staack/Kischewski (Hrsg.), 60 Jahre Grundgesetz, 2010, 485 (488). 217  BVerwGE 132, 110 (120). 218  BVerwGE 132, aaO; so hat das BVerwG in vorbenannter Entscheidung, durch die Eingliederung eines Soldaten in den Geschäftsbereich des BND den militärischen Zusammenhang im Zuge der Herauslösung aus den Befehlsstrukturen als unterbrochen angesehen (S. 120 Rn. 69).



B. Die Streitkräfte 135

stehenden militärischen Mittel und Organisationsstrukturen.219 Bei Vorliegen der vorgenannten Kriterien, verengt sich die Verwendungsmöglichkeit der Streitkräfte auf die im Grundgesetz explizit genannten Einsätze.220 Auffallend ist, dass das im Rahmen des zuerst behandelten Einsatzbegriffs in Rechtsprechung und Parlamentsbeteiligungsgesetz maßgebliche Kriterium der „Bewaffnung“ für die vorliegende Charakterisierung keine explizite Rolle spielt. Ein Blick in Art. 35 Abs. 3 S. 1 GG zeigt ferner, dass das Grundgesetz auch die unbewaffneten Einsätze zum Einsatzbegriff zählt.221 b) Das föderale Element – Wahrung der Länderhoheit Ein zweiter Aspekt spielt bei der Fassung des Einsatzbegriffs eine Rolle: Die Gewährleistung der innenpolitischen Neutralität der Streitkräfte.222 Dies hat zweifelsohne einen bundesstaatlichen Aspekt dergestalt, als die Länder potentiell in ihrer Polizeihoheit beeinträchtigt werden, wenn sich die Streitkräfte – als uneingeschränkte Bundesbehörde – im Wege eines weiten Verständnisses von „Einsatz“ im Innern verwenden ließen.223 Das BVerwG spricht insofern wörtlich von der Begrenzung von 87a Abs. 2 GG, dessen Bestrebung es sei, eine eventuelle Gefahr der „Herausbildung eines neuen Machtfaktors im Inneren“ zu verhindern.224 Dieser droht sich jenseits der schlichten Verwendung der Streitkräfte daneben insbesondere im Zuge der überlegenen Ausstattung und Organisationsstruktur der Streitkräfte zu poten219  Baldus, in: Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art. 87a Rn. 38; Depenheuer, in: Maunz/Dürig (Hrsg), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 102, 169. 220  Brenneisen/Schwarzer/Wein, aaO. 221  Jahn/Riedel, aaO; Brenneisen/Schwarzer/Wein, 485 (488). 222  BVerwGE 132, 110 (118), Rn. 63 (obgleich nicht wie der Verfasser als 2. Aspekt deklariert); dazu auch Jahn/Riedel, DÖV 1988, 957 (959); Ihnen zufolge entsprang das Erfordernis der innenpolitischen Neutralität ihrer Verwendung der Furcht vor einer militärischen Eigendynamik; siehe Krieger, in: Schmidt-Bleibtreu/Hofmann/ Henneke, GG, Art. 87a Rn. 39, die es als Schutzzweck der Norm (87a Abs. 2) ansieht, die innenpolitische Neutralität der Streitkräfte zu gewährleisten. Diese sei gewährleistet z. B. bei der Bereitstellung von technischen Hilfsleistungen (z. B. Sanitätsfahrzeugen) oder bei der Beseitigung von chemischen Kampfstoffen oder der Suche nach vermissten Personen; nicht aber (und da Hernekamp: in v. Münch/Kunig Grundgesetz-Kommentar, Art. 87a Rn. 12 S. 423 folgend) bei einem Streikeinsatz, was vor dem Hintergrund des Art. 9 Abs. 3 S. 3 GG konsequent ist. 223  Dieser Aspekt wird meist im Lichte des Inneneinsatzes beleuchtet (exemplarisch Marxsen, JZ 2017, 543 (545)), spielt gleichwohl aber auch hier eine Rolle. Ferner ist die Thematik der Beschränkung des Inneneinsatzes als Ausfluss ebenfalls des Art. 87a Abs. 2 GG normativ ohnehin mit der Diskussion über die Reichweite des Einsatzbegriffs verwandt. 224  BVerwGE 132, 110 (121) Rn. 71.

136

Kap. 2: Status quo der Sicherheitsarchitektur

zieren, was zudem aufzeigt, dass sich die beiden Elemente des Einsatzbegriffs nicht gänzlich isoliert voneinander betrachten lassen. 3. Der Cyberangriff als Herausforderung für beide Dimensionen des Einsatzbegriffs Die Subsumtion der Einsatzqualität eines Tätigwerdens der Streitkräfte gegen Cyberangriffe der geschilderten Art ist mit Blick auf jedwedes Verständnis des Eingriffsbegriffs an dieser Stelle noch nicht Gegenstand der Bearbeitung. Dies lässt sich damit begründen, dass der Diskussion über die Qualifikation als Einsatz gedanklich vorgelagert die Frage zu beantworten ist, ob und in welchem Maße sich das grundgesetzliche Angriffs- und Verteidigungsverständnis auf den Cyberraum übertragen lässt. Ohne vorzugreifen wird bereits an dieser Stelle deutlich, dass die unterschiedlichen Dimensionen des Einsatzbegriffs geeignet sind, im Lichte der vorangestellten Cyber-Bedrohungsszenarien eine konfliktträchtige Rolle zu spielen. Die Herausforderungen an die Parlamentsbeteiligung sind inhaltlicher wie auch prozeduraler Natur. Inhaltlich ist der (nach BVerfG verfassungsrechtliche) Begriff der Bewaffnung auf die Mittel des Cyberraums anzuwenden und nach Möglichkeit im Wege der Auslegung zu konkretisieren. Prozedural dient die dem Cyberraum eigentümliche Alltäglichkeit bestimmter Angriffe als Anlass für die Prüfung, inwiefern sich das gegenwärtige Vorgehen bei der Parlamentsbeteiligung aufrechterhalten lässt.225 Mit Blick auf die Spontanität der Angriffe erscheint bereits das Abwarten eines Kabinettsbeschlusses für jeden einzelnen Einsatz als verfahrenstechnische Herausforderung, sodass die Überlegung anzustellen ist, hier gegebenenfalls mit konkret generellen Sammelbeschlüssen zu arbeiten. Das Einsatzverständnis zur Begrenzung der inländischen Verwendung der Streitkräfte ist ebenfalls problemträchtig. Die Tatsache, dass sich Cyberangriffe bisweilen in örtlicher Hinsicht nämlich weder als rein äußere, d. h. von außen auf das Inland einwirkende Gefahren, noch als solche, deren Gefahrenherd auch regional abgrenzbar (für beides z. B. DDoS-Angriff) klassifizieren lassen, rückt neben der territorialen Abgrenzung den föderalen Aspekt in den Fokus. So wird die Frage zu beantworten sein, wie mit dem Phänomen umzugehen ist, dass die Streitkräfte wegen ihrer bundesweiten Zuständigkeit (ihre materielle, noch zu prüfende Zuständigkeit unterstellt) in Ansehung der Ubiquität der Bedrohung zwangsläufig zu einer nicht zu unterschätzenden Inlandsbehörde aufwachsen würden. Das für den Einsatz mitcharakterisierende Qualifikationsmerkmal des Eingriffscharakters ist angesichts des ver225  dazu

zuletzt BVerfGE 140, 160 (190 ff.).



B. Die Streitkräfte 137

gleichsweise neuen IT-Grundrechts226, die Relevanz des Bestimmtheitsgebots bei Eingriffen in selbiges227 sowie der jüngeren Rechtsprechung zum Fernmeldegeheimnis grundrechtlichen Herausforderungen ausgesetzt, wenn man bedenkt, dass inländische Privatsystemen als Teil von Botnetzen eine nicht unwesentliche Rolle bei zahlreichen Angriffen spielen und insofern auch ein potentielles Verteidigungsziel darstellen.228

II. Die einzelnen Verwendungsmöglichkeiten der Streitkräfte Die Differenzierung der Verwendungsmöglichkeiten der Streitkräfte erfolgt im Folgenden danach, ob diese im In- oder Ausland bzw. sowohl im In- als auch im Ausland eingesetzt werden. Die Tatsache, dass sich Cyberangriffe regelmäßig nicht trennscharf einer der Kategorien In- oder Ausland einordnen lassen, weil sich neben ihrem Urheber auch ihr örtlicher Ursprung (d. h. das Territorium in dem der Angriff seinen Ausgangspunkt hatte) nur erschwert, wenn überhaupt, ermittelt lässt, erschwert eine klare Einteilung in In- und Auslandsverwendung. Trotz dieser Schwierigkeit im Cyberraum müssen traditionelle Abgrenzungen teilweise zumindest mit Blick auf die Wahrung der Übersichtlichkeit aufrechterhalten werden und sind damit auch Leitlinien in den folgenden Ausführungen. 1. Die Verwendung der Streitkräfte zur Verteidigung im Aus- und Inland Die umfassendste Verwendungsmöglichkeit der Streitkräfte ist in Art. 87a GG geregelt, deren Zweck „zur Verteidigung“229 in Abs. 1 und 2 ausdrück226  grundlegend dazu BVerfGE 120, 274 ff.; Spies-Otto, Die verfassungsrechtliche Dimension staatlichen Verhaltens im Cyber-Raum, NZWehrr 2016, 133 (139 ff.). 227  hierauf weist Ladiges hin, in NZWehrr 2017, 221 (237). 228  Ladiges, NZWehrr 2017, 221 (229) schlägt vor, den Eingriffsbegriff bei Cybermaßnahmen enger zu ziehen und nicht jegliches grundrechtsrelevantes Verhalten, sondern nur punktuelles Eingreifen als einen Einsatz zu verstehen. Er begründet dies insbesondere damit, dass ein Einschüchterungseffekt nicht vergleichbar dem analogen Raum gegeben sei. 229  zum Streit, ob sich die Einsatzermächtigung zum Zwecke der Verteidigung aus Abs. 1 oder Abs. 2 folgt, siehe Wiefelspütz, Das Parlamentsheer, Der Einsatz bewaffneter deutscher Streitkräfte im Ausland, der konstitutive Parlamentsvorbehalt und das Parlamentsbeteiligungsgesetz, S. 52 ff. Er weist darauf hin, dass wenn man erst in dem „neuen“ Art. 87a Abs. 2 GG (der im Rahmen des 17. Gesetzes zur Ergänzung des GG vom 24. Juni 1968 dazugekommen ist) die Befugnisnorm zum Einsatz der Streitkräfte erkennt, man zu dem abwegigen Ergebnis komme, dass der Einsatz bewaffneter Streitkräfte vorher nicht zulässig gewesen wäre; Schultz definiert in, Die

138

Kap. 2: Status quo der Sicherheitsarchitektur

lich genannt wird.230 Daneben trifft die Vorschrift in ihren Absätzen eins und zwei weitere Aussagen. Zunächst enthält Abs. 1 S. 1 ein verfassungsrechtliches Bekenntnis zur Funktionsfähigkeit, Einsatzbereitschaft und Schlagkraft der Streitkräfte.231 Ferner ist in Ergänzung zu Art. 73 Abs. 1 Nr. 1 GG kodifiziert, dass es sich beim Aufstellen der Streitkräfte um eine Bundeskompetenz handelt.232 Nach Abs. 2 hängt der Einsatz der Streitkräfte im Übrigen, d. h. außer zur Verteidigung davon ab, ob und soweit ihn das Grundgesetz ausdrücklich zulässt. Die Formulierung „ausdrücklich“ gewährleistet, dass eine Begründung ungeschriebener Zuständigkeiten allein aus der Natur der Sache verhindert wird und verdeutlicht den Begrenzungscharakter der Vorschrift für ein Tätigwerden nach innen.233 Mit den jeweiligen Einsatz- und Verwendungsformen wird sich im Anschluss an diesen Absatz auseinandergesetzt. Dass es sich beim Zweck der Verteidigung um die umfassendste Verwendungsmöglichkeit der Streitkräfte handelt, ergibt sich daraus, dass die Streitkräfte insofern die einzig zuständige Behörde sind, sowie daraus, dass der Inhalt von „Verteidigung“ im Grundgesetz nicht konkretisiert oder eingeschränkt wird und damit grundsätzlich die Verteidigung im Aus- und Inland umfasst. Eine davon getrennt zu behandelnde Frage ist, ob sich ein allein aus dem Inland herrührender Angriff, unter den Verteidigungsauftrag fassen lässt, oder ob es nicht vielmehr stets eines Auslandsbezugs bedarf.234 Diese Frage Auslandsentsendung von Bundeswehr und Bundesgrenzschutz zum Zwecke der Friedenswahrung und Verteidigung, S. 180 ff. „Verteidigung“ dagegen ohne Begründung anhand von Art. 87a Abs. 2; Für Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 82 f., ist die Frage der Subsumtion des Verteidigungsrechts unter Abs. 1 oder Abs. 2 gänzlich ohne Bedeutung, weil nach seiner Auffassung Art. 87a gar keine Ermächtigungs- oder Befugnisnorm enthalte und das Recht zur Selbstverteidigung dem Staatsbegriff entspringe; so auch jüngst Bäumerich/Schneider, Terrorismusbekämpfung durch Bundeswehr im Innern: Eine neue alte Diskussion, NVwZ 2017, 189 (190). 230  Dies konkret auch als Zweck bezeichnend, Grubert, S. 267. 231  Brunkow, Rechtliche Probleme des Einsatzes der Bundeswehr auf dem Territorium der Bundesrepublik Deutschland nach Art. 87a GG, S. 30. 232  So bezeichnet im schriftlichen Bericht des Rechtsausschusses, BT-Drs. V/2873, S. 12 f.; an dieser Stelle wird darauf hingewiesen, dass die folgenden Ausführungen nicht die Kompetenzzuweisungen (also maßgeblich Art. 73 Abs. 1 Nr. 1 Alt. 2 GG) zum Gegenstand haben, sondern die Kompetenzausübung; zur Differenzierung Hein­ tzen, in: v. Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art. 73 Abs. 1 Nr. 1 sowie Broscheit, Gesetzgebungsbefugnis des Bundes für Inlandseinsätze der Bundeswehr zu anderen als Verteidigungszwecken, DÖV 2013, 802 (805). 233  schriftlicher Bericht des Rechtsausschusses, BT-Drs. V/2873, S. 13. 234  Ablehnend diesbezüglich Ladiges, NZWehrr 2017, 221 (235); a.  A. Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 29, 30, 92.



B. Die Streitkräfte 139

gehört jedoch in den Kontext der Untersuchung, was das Verteidigungsspektrum umfasst und wird daher an entsprechender Stelle behandelt. 2. Die Verwendung der Streitkräfte im Ausland im Übrigen Daneben ist der Auslandseinsatz der Streitkräfte nur in Systemen gegenseitiger kollektiver Sicherheit (Art. 24 Abs. 2 GG) erlaubt.235 Wie die Begrifflichkeit „kollektive Sicherheit“ ist in diesem Zusammenhang zu verstehen ist, ist umstritten.236 Die Debatte kreist maßgeblich um die Frage, ob von „kollektiver Sicherheit“ insbesondere in Ansehung des zeitlich später geschaffenen Art. 87a GG auch „kollektive Verteidigung“ erfasst ist und in welchem Verhältnis Art. 24 Abs. 2 GG zu Art. 87a Abs. 2 GG steht.237 Zwar sprechen die besseren Gründe für den Einschluss der Verteidigung. Dafür streitet insbesondere die Tatsache, dass es Regelungsziel des Art. 24 Abs. 2 GG war, Deutschland militärische Sicherheit in einer Zeit zu gewähren, in der das Verteidigungsrecht noch nicht ausdrücklich kodifiziert war und sich nicht erschließt, warum dies die Verteidigung ausschließen solle.238 Ferner sieht auch die UN-Charta als entsprechendes Sicherungssystem die kollektive Verteidigung vor, sodass es fernliegt, Deutschland explizit hiervon auszunehmen.239

235  BVerfGE 123, 267 (360); die vereinzelt vertretene Ansicht, Art. 25 Abs. 2 GG stelle ebenfalls eine ausreichende Rechtsgrundlage für den Auslandseinsatz dar, soll im Folgenden außer Betracht bleiben, dazu Schmahl, Die Bekämpfung der Seepiraterie im Spiegel des Völkerrechts, des Europarechts und der deutschen Rechtsordnung, AöR, 2011, 44 (83). 236  Auf ein eher weites Verständnis hindeutend BVerfGE 90, 286 (249, 255). 237  Siehe dazu Depenheuer, in Maunz/Dürig (Hrsg.), GG Kommentar, (53. EL 2008), § 87a Rn. 78 ff. Die Frage, ob der Verfassungsvorbehalt des Art. 87a Abs. 2 GG nur für Einsätze im Inland oder auch für Auslandseinsätze gilt, ist heillos umstritten (Vgl. Ladiges, NZWehrr 2017, 221 (239)); Im Ergebnis machen die Auffassungen aber keinen großen Unterschied, weil (so Ladiges zutreffend) die Vorschriften des über die Sekundäreinsätze im Inland ohnehin keinen Regelungsgehalt für Auslandseinsätze aufweisen und Auslandseinsätze darüber hinaus mit dem insoweit maßgeblichen und aussagekräftigeren Völkerrecht in Einklang stehen müssen. Neubert, Bundeswehreinsatz im Südsudan, DÖV 2017, 141 (144 f.); Walus Die Verteidigungs- und Zivilschutzkompetenz des Bundes bei auswärtigen Cyber-Angriffen gegen kritische Infrastrukturen, NZWehrr 2014, 1 (4 f.). 238  zum Regelungsziel siehe BVerfGE 90, 286 (348, 356 f.). 239  dazu Classen, in: v. Mangoldt/Klein/Starck, Grundgesetz Kommentar, Art. 24, Rn. 77; BVerfGE 90, 286 (249).

140

Kap. 2: Status quo der Sicherheitsarchitektur

3. Die Verwendung der Streitkräfte im Innern Neben der (zumindest auch) inländischen Verwendung der Streitkräfte zur Verteidigung können die Streitkräfte zu einer Reihe anderer Zwecke im Inland eingesetzt werden, die im Folgenden kurz dargestellt werden. a) Amtshilfe Der Grundgedanke des Art. 35 Abs. 1 GG, wonach alle Behörden des Bundes und der Länder dazu verpflichtet sind, sich gegenseitig Rechts- und Amtshilfe zu leisten, schließt die Streitkräfte als Bundesbehörde ein. Nach Auffassung der letzten Bundesregierung handelt es sich bei einer Amtshilfe der Streitkräfte (im konkreten Fall zur Abwehr von Gefährdungen für zivile Netze)240 nicht um einen Einsatz, sondern um bloße Unterstützungsleistung.241 Eine nachvollziehbare Konsequenz dessen ist, dass das behördliche Zusammenwirken nur ausnahmsweisen und punktuellen Charakter haben darf, d. h. nicht auf Dauer- oder Regelmäßigkeit angelegt ist.242 b) Regionale und überregionale Ausnahmesituation In Art. 35 Abs. 2 S. 2 und Abs. 3 regelt das Grundgesetz die Beteiligung der Streitkräfte bei regionalen und überregionalen Ausnahmesituationen, konkret bei Naturkatastrophen und Unglücksfällen.243 Diese Vorschrift ist in Zusammenspiel mit Art. 87a Abs. 4 GG zu lesen, die eine Spezialregelung für militärische Aufstände und gewaltsame Demonstrationen vorhält und sich demzufolge nicht den Voraussetzungen des Art. 35 GG unterwirft.244 240  Antwort der Bundesregierung auf eine kleine Anfrage von Abgeordneten der Fraktion Die LINKE, BT-Drs. 18/6989, S. 13; die Pauschalität der Antwort überrascht eingedenk der ausdifferenzierten Rechtsprechung zur grundrechtlichen Dimension des Kommunikationsverkehrs. 241  V. Danwitz, in: v. Mangoldt/Klein/Starck, Grundgesetz Kommentar, Art. 35, Rn. 15; BT-Drs. 18/6989, S. 13. 242  BVerfG NVwZ 2011, 1254 (1255), wenngleich dort ein Fall der Amtshilfe ohne Beteiligung der Streitkräfte gegenständlich war; Pieroth, in Jarass/Pieroth Art. 35 Rn. 4; BT-Drs. 18/6989, S. 13 f., wonach im Geschäftsbereich des BMVg Dienstvorschriften ausschlössen, dass im Rahmen von Amtshilfe eine regelmäßige, auf Dauer angelegte, institutionalisierte Zusammenarbeit zwischen Bundeswehr und zivilen Behörden ohne weitere Rechtsgrundlage stattfände. 243  umfangreich dazu Dietz, Die Kompetenzverteilung des Grundgesetzes für Amtshilfe- und Unterstützungsmaßnahmen sowie Einsätze der Bundeswehr, DÖV 2012, 952 (953). 244  BVerfGE 132, 1 (Rn. 45 f.).



B. Die Streitkräfte 141

Der maßgebliche Unterschied zwischen den beiden Ermächtigungsgrundlagen (Abs. 2 S. 2 und Abs. 3) ist die Beteiligung der Länder. Während bei der regionalen Ausnahmesituation das jeweilige Land die Hilfe anfordert und der Bund sich im Zuge dessen bundesgenössisch verhält, interveniert er im Falle des Abs. 3 S. 1.245 Neben dem in Abs. 3 verankerten Kriterium der Subsidiarität des Eingriffs des Bundes ist es nachvollziehbar, dass das Interventionsrecht des Bundes erst dann ausgelöst wird, wenn die Ausnahmesituation ein überregionales Ausmaß annimmt, welches demzufolge bereits rein rechtlich, von einem Land alleine nicht mehr zu beherrschen ist. Im Unterschied zu Abs. 3 S. 1 Hs. 1 wonach der Bund die Landesregierungen anweisen darf, Polizeikräfte zur Verfügung zu stellen, darf er indes nach Hs. 2 die Streitkräfte sowie die Bundespolizei eigeständig einsetzen, mit der Folge, dass sie den Weisungen des jeweiligen Einsatzlandes entzogen sind und fortwährend dem Bund unterstehen.246 Ähnlich der Problematik um den Parlamentsvorbehalt ist auch hier anzumerken, dass das nach der Rechtsprechung des Bundesverfassungsgerichts in formeller Hinsicht ausnahmslos geltende Erfordernis einer Kollegialentscheidung der Bundesregierung247 in Eilfällen eine nicht unwesentliche Schutzlücke bedeuten kann, die, sofern sich ein Cyberangriff als Katastrophen- oder Unglücksfall qualifizieren lässt, aus den zuvor genannten Gründen nur weiter potenziert. c) Qualifizierter innerer Notstand Das Grundgesetz kennt zwei Formen des Inneren Notstandes, von denen nur eine die Verwendung der Streitkräfte legitimiert. Die grundsätzlichen Voraussetzungen für beide finden sich in Art. 91 Abs. 2 GG. Im Zentrum steht hier die Abwehr von Gefahren für den Bestand oder die freiheitliche demokratische Grundordnung des Bundes oder eines Landes, die das Land, in dem die Gefahr droht, zu bekämpfen selbst nicht in der Lage oder nicht bereit ist. Für den Einsatz der Streitkräfte müssen qualifizierend die Voraussetzungen des Art. 87a Abs. 4 GG hinzukommen. Hiernach dürfen die Polizeikräfte sowie die Bundespolizei „nicht ausreichen“, der Einsatz der Streitkräfte ist 245  dieses Begriffspaar verwendet v. Danwitz, in: v. Mangoldt/Klein/Starck, Grundgesetz Kommentar, Art. 35, Rn. 79 f. 246  Robbers, DÖV 1989, 926 (928); Magen, in: Umbach/Clemens, GG, Art. 35 Rn. 39. 247  BVerfGE 132, 1 (21 ff.), 133, 241 (259 f.); diese Problematik ansprechend Ladiges, NZWehrr 2017, 221 (236).

142

Kap. 2: Status quo der Sicherheitsarchitektur

also subsidiär.248 Ferner ist der Einsatz der Streitkräfte auf den Schutz von „zivilen Objekten“ und die „Bekämpfung organisierter und militärisch bewaffneter Aufständischer“ begrenzt.249 Verfassungsrichter Gaier bezeichnete Art. 87a Abs. 4 GG insofern zutreffend als die qualifizierte Form des Inneren Notstandes.250 Überwiegend werden hier Aufruhren oder bürgerkriegsähnliche Lagen als tatbestandsmäßig angesehen,251 jedoch mit der Besonderheit im Falle des Art. 87a Abs. 4 GG, dass nicht jede Form der vorbezeichneten Szenarien den Streitkräfteeinsatz legitimiert, sondern nur dann, wenn die Aufständischen militärgleich bewaffnet sind und eine hierarchische Führung und Gliederung besitzen.252 Gleichzeitig stellt Art. 87a Abs. 4 GG eine Sperrwirkung gegenüber Art. 35 GG dar.253 Es ist ohne weiteres denkbar, dass auch Cyberangriffe grundsätzlich in der Lage sind, in den Händen dieser, sodann „bewaffneten“ Aufständischen, den Streitkräfteeinsatz zu legitimieren.254

III. Thematisch relevante Komponenten der Streitkräfte 1. Bundeswehr und Streitkräfte, zwei synonym zu verwendende Begriffe? Das GG kennt den Begriff Bundeswehr nicht, sondern spricht einerseits von Streitkräften255 und anderseits von der (zivilen) Bundeswehrverwal248  Schmahl, Die Bekämpfung der Seepiraterie im Spiegel des Völkerrechts, des Europarechts und der deutschen Rechtsordnung, AöR 2011, 44 (82 f.). 249  In diesem Sinne auch BVerfGE 132, 1 (9), nach dem für einen Einsatz der Streitkräfte „strenge Anforderungen [gelten], die selbst im Fall des inneren Notstands gemäß Art. 91 GG noch nicht automatisch erreicht sind“. 250  obiter dictum zu BVerfGE 132, 1 (25). 251  Siehe m. w. N. Fischer, Terrorismusbekämpfung durch die Bundeswehr im Inneren Deutschlands?, JZ 2004, 376 (382). 252  Ipsen, Der Einsatz der Bundeswehr zur Verteidigung, im Spannungs- und Verteidigungsfall sowie im internen bewaffneten Konflikt, in: Schwarz, (Hrsg.), Sicherheitspolitik. Analysen zur politischen und militärischen Sicherheit, S. 630 f.; Kirchhoff, in: HStR Bd. IV § 84 Rn. 60; Bericht des Rechtsausschusses, BT-Drs. V/2873, S. 14; v. Götz, in: HStR, Bd. IV, § 85 Rn. 32 bezeichnet diese Form von Notstand als in absehbarer Zeit „unwahrscheinlich“. 253  BVerfGE 132, 1 (17 f.) konkret mit Blick auf Art. 35 GG; zustimmend Pieroth, in Jarass/Pieroth Art. 87a Rn. 9; eher mit Blick auf Art. 35 GG jedoch im Kern auch hier relevant Dreist, Terrorismusbekämpfung als Streitkräfteauftrag – zu den verfassungsrechtlichen Grenzen polizeilichen Handelns der Bundeswehr im Innern, NZWehrr 2004, 89 (102). 254  So auch jüngst Ladiges, NZWehrr 2017, 221 (239). 255  Vgl. Art. 87a sowie Art. 12a, 17a, 35, 65a, 96 und 115b GG.



B. Die Streitkräfte 143

tung256.257 Gemeinsam, einschließlich weiterer, im Geschäftsbereich des Bundesministeriums der Verteidigung liegenden Organisationsbereiche, bilden sie die Bundeswehr.258 Unter Streitkräften versteht das Grundgesetz lediglich das nach dem Prinzip von Befehl und Gehorsam in der Bundeswehr organsierte militärische Instrument der Bundesrepublik Deutschland.259 Die Begrifflichkeit Streitkräfte im Sinne des Art. 87a Abs. 1 und 2 GG bezieht sich dabei nicht nur auf die Gesamtheit des deutschen Militärs, sondern erfasst auch Teile desselben.260 Unbeachtlich für die Subsumtion unter den Begriff Streitkräfte ist ferner, in welchem Organisationsbereich (Teilstreitkraft261, Einheit, Verband) diese auftreten mit der Folge, dass auch einzelne Soldaten Teil des „in der Bundeswehr organsierten militärischen Instruments der Bundesrepublik“262 und damit Teil der Streitkräfte sind.263 2. Kommando Cyber- und Informationsraum (CIR) Thematisch relevant ist das bereits einleitend angerissene Kommando Cyber- und Informationsraum, das im April 2017 ins Leben gerufen wurde. Hierbei handelt es sich um einer Teilstreitkraft vergleichbaren Organisationsstruktur, in die seit dem 1. Juli 2017 die Kommandos Informationstechnik der Bundeswehr und Strategische Aufklärung sowie das Zentrum für Geoinformationswesen der Bundeswehr eingegliedert sind. Zu beachten ist, dass es sich bei der Einrichtung des CIR in erster Linie um organisatorische Umgliederungen der betreffenden Einheiten und Dienststellen handelt,264 und nicht um einen Aufwuchs, im Hinblick auf Material, Personal und Fähigkeiten. 256  Vgl.

Art. 87b GG. führt als Beweggrund für die in den vorherigen Verfassungen nicht gebräuchliche Wortwahl „Streitkräfte“ an, dass dieser Begriff ohne politische Vergangenheit ist, S. 12 f. 258  siehe ausführlich bei Gramm, Die Bundeswehr in der neuen Sicherheitsarchitektur, Die Verwaltung 2008, 375. 259  Grubert, S. 197, mit Verweis auf Stern, Staatsrecht II, § 42 III 5, S. 866. 260  Grubert, aaO. 261  An der Spitze der Teilstreitkräfte (TSK) Heer, Luftwaffe, Marine und der Streitkräftebasis sowie dem Zentralen Sanitätsdienst steht jeweils ein Inspekteur, Der Reibert, Das Handbuch für den deutschen Soldaten, S. 15. 262  Ipsen, in BK, Art. 87a Rn. 13. 263  Speth, Rechtsfragen des Einsatzes der Bundeswehr unter besonderer Berücksichtigung sekundärer Verwendungen, S. 143; Riedel, Der Einsatz deutscher Streitkräfte im Ausland – und völkerrechtliche Schranken, S. 230 f.; a. A. Hofer, Die Streitkräfte als ersuchende und ersuchte Behörde im Recht der Amtshilfe, NZWehrr 1973, 2 (5). 264  hierzu gehörden u. a. die Informationstechnikbataillone, die Schule für Informationstechnik der Bundeswehr, das Zentrum für Cyber-Sicherheit sowie die Bataillone für die elektronische Kampfführung. 257  Lepper

144

Kap. 2: Status quo der Sicherheitsarchitektur

Gleichwohl lässt die Tatsache, dass das CIR nicht einer der bestehenden Teilstreitkräfte (Heer, Luftwaffe, Marine, Streitkräftebasis, Sanitätsdienst) angegliedert wurde, Rückschlüsse darauf zu, welche Bedeutung dem Kommando beigemessen wird. Das Aufgabenfeld lässt sich in zwei Bereiche teilen: Ein nach innen bezogenes Aufgabenspektrum und ein nach außen gerichtetes. Ersteres erfasst den Eigenschutz der IT-(Waffen-)Systeme der Bundeswehr, sowohl im Einsatzgebiet als auch in Deutschland im Sinne einer Dauereinsatzaufgabe.265 Letzteres ist vielfältiger und umfasst neben der Erstellung umfassender militärischer Nachrichtenlagen auch die Erkennung von Propaganda und Desinformationen in Krisengebieten.266 Der Abschlussbericht des Aufbaustabes weist aber auch auf den Aufgabenbereich der Durchführung von Computernetzwerkoperationen im Cyberraum hin sowie auf Maßnahmen des elektronischen Kampfes, gleichwohl ohne diese zu spezifizieren.267 An anderer Stelle wurde letzterer Aspekt auch als „Beitrag zur gesamtstaatlichen Cybersicher­ heit/-verteidigung“ bezeichnet.268 Jüngst, im April 2018, wurde das Zentrum für Cyber-Operationen in den Dienst gestellt und dem CIR unterstellt. Laut der Webpräsenz des BMVg sind in diesem künftig die offensiven CyberKräfte der Bundeswehr organisiert.269 Die Angehörigen des Zentrums planen laut BMVg militärische Computernetzwerkoperationen für u. a. den Verteidigungsfall.270

265  Abschlussbericht des Aufbaustabs für die neue Teilstreitkraft Cyber- und Informationsraum (CIR), der Bezug auf den Tagesbefehl der Bundesministerin für Verteidigung vom 17. September 2015 nimmt, S. 13. 266  Abschlussbericht des Aufbaustabs, aaO. 267  Abschlussbericht des Aufbaustabs, aaO. 268  So lautete ein Punkt auf der Folienpräsentation des Kdr. des CIR Generalleutnant Leinhos bezeichnet, die dieser auf der Koblenzer IT-Tagung zum Thema „Das neue digitale Gefechtsfeld – Auswirkungen auf Sicherheit und Souveränität“ am 07.09.2017 vorstellte, an der auch der Autor teilnahm. 269  siehe hierzu: https://www.bundeswehr.de/de/organisation/cyber-und-informa tionsraum/kommando-und-organisation-cir/kommando-strategische-aufklaerung/daszentrum-cyber-operationen. 270  siehe aaO.



B. Die Streitkräfte 145

3. Militärischer Abschirmdienst (MAD) Der MAD wurde mit der Bundeswehr im Jahre 1956 gegründet271 und ist der jüngste und kleinste Nachrichtendienst des Bundes272. Seine verfassungsrechtliche Grundlage ist aus der Konsequenz seiner Zugehörigkeit zu den Streitkräften in Art. 87a Abs. 1 S. 1 GG zu finden.273 Der MAD wurde durch einen Organisationsakt des Bundesministers der Verteidigung eingerichtet.274 Folgerichtig waren Aufgaben und Kompetenzen des MAD zunächst nur in Gestalt von innerdienstlichen Weisungen, nicht aber in förmlichen Gesetzen niedergelegt.275 Insbesondere unter dem Eindruck des Volkszählungsurteils des Bundesverfassungsgerichts aus dem Jahr 1983 und der damit verbundenen Anerkennung des Grundrechts auf informationelle Selbstbestimmung wurde die Initiative eines MAD-Gesetzes ergriffen, das jedoch erst 1990 in Kraft trat.276 Trotz der mittlerweile bestehenden gesetzlichen Grundlage wird ihm ein selbstständiger Behördencharakter nach § 1 Abs. 4 VwVfG allgemein abgesprochen.277 Grund hierfür ist seine in organisatorischer und funktionaler Hinsicht vollständige Integration in die Bundeswehr und hier konkret in eine Dienststelle des Organisationsbereichs der Streitkräftebasis.278 Der MAD untersteht dem Bundesminister der Verteidigung, dessen Ministerial271  Gusy,

Die Rechtsstellung der Nachrichtendienste, JURA 1986, 296 (297). sehr hilfreich: Singer, Praxiskommentar zum Gesetz über die parlamentarische Kontrolle nachrichtendienstlicher Tätigkeit des Bundes, S. 44 Rn. 84. 273  Baldus/Müller-Franken, in: v. Mangoldt/Klein/Starck, Grundgesetz Kommentar, Art. 87a, Rn. 36; Brissa, Militärischer Abschirmdienst der Bundeswehr? – Grundlagen und Grenzen des „Militärischen Nachrichtenwesens“ –, DÖV 2011, 391 (393). 274  Art. 65a GG ist Teil der 1956 in das GG eingefügten Wehrverfassung; Singer, Praxiskommentar zum Gesetz über die parlamentarische Kontrolle nachrichtendienstlicher Tätigkeit des Bundes, S. 44 Rn. 84. 275  umfassend Siems, Aufgaben eines militärischen Nachrichtendienstes, DÖV 2012, 425 f.; vgl. zur Debatte über die Notwendigkeit einer gesetzlichen Grundlage Großmann, Bundeswehrsicherheitsrecht, S. 122 Rn. 290 f. 276  Dem als Auslöser zu bezeichnenden Volkszählungsurteil waren eine Reihe von rechtswidrigen Abhöreinsätzen in den 70er Jahren und die unzureichende Ermittlungsarbeit des MAD im Rahmen der sog. Kießling-Affäre im Jahr 1984 vorausgegangen; siehe auch Deutsch, Die heimliche Erhebung von Informationen und deren Aufbewahrung durch die Polizei, S. 1 ff., der den Bogen spannt zur Informationsbeschaffung durch die Polizei. 277  hierzu Singer, S. 44 Rn. 85 mit Verweis auf Roewer, aaO und Singer aaO. Konkret mangelt es am Tatbestandsmerkmal „Stelle“ des § 1 Abs. 4 VwVfG unter der ein Organ im Sinne einer organisatorischen Einheit, d. h. einer auf Dauer angelegten Zusammenfassung von Personen und Sachmitteln zu verstehen ist. 278  Singer, aaO; daneben Internetauftritt des Organisationsbereichs der Streitkräftebasis https://www.bundeswehr.de/de/organisation/streitkraeftebasis/organisation/kom mando-streitkraeftebasis#Z7_B8LTL2922DPE20I3HV5RBO0MR1. 272  Hierzu

146

Kap. 2: Status quo der Sicherheitsarchitektur

verantwortlichkeit sich hier ebenfalls aus dem Ressortprinzip ergibt, niedergelegt in Art. 65 S. 2 GG.279 Die Aufgaben des MAD sind gesetzlich klar auf den personellen und sachlichen Bereich der Bundeswehr begrenzt und grenzen ihn so vom Betätigungsfeld der zivilen Nachrichtendienste ab.280 Sein Abschirmauftrag bezieht sich erstens auf Bundeswehrangehörige, Material, Informationen und Verschlusssachen. § 1 Abs. 1 MADG konkretisiert dies mit dem Abwehrauftrag, nach dem innere, d. h. dem Geschäftsbereich des BMVg angehörige Feinde, demselben ferngehalten werden sollen.281 Das Gesetz nennt als Gefährdungsobjekt wie § 3 Abs. 1 BVerfSchG insbesondere die freiheitliche demokratische Grundordnung und den Bestand oder die Sicherheit des Bundes oder eines Landes.282 Darüber hinaus erfasst der Abschirmauftrag zweitens die Beurteilung der Sicherheitslage nach Abs. 2 (Abschirmlage) sowie Drittens Mitwirkungsaufgaben nach Abs. 3 (personeller und materieller Geheim­ schutz).283 Vor dem Hintergrund seines mit dem BfV vergleichbaren Aufgabenbereichs wird im Zusammenhang mit dem MAD auch vom Verfassungsschutz der Bundeswehr gesprochen.284 Weil es sich beim MAD auf dem Boden seines Aufgabenspektrums damit um keinen militärischen Geheimdienst im klassischen Sinne handelt, ist er für den weiteren Verlauf von untergeordneter Bedeutung.285

279  Roewer,

§ 2 BVerfSchG Rn. 16. 425 (431). 281  Roewer, § 1 PKKG Rn. 31; Siems, 425 (427). 282  Bezüglich der hier wortgleich mit § 3 Abs. 1 Nr. 2 BVerfSchG gebrauchten Formulierung „sicherheitsgefährdende (…) Tätigkeit“ führt Siems, 425 (428) den Umstand, dass diese ihren Weg auch in das MADG gefunden hat, gleichsam auf ein Versehen im Gesetzgebungsverfahren zurück. 283  Droste, Handbuch des Verfassungsschutzrechts, S. 649. 284  So formuliert von Singer, S. 45; Graulich bezeichnet den MAD als bereichsspezifisches Amt für Verfassungsschutz. 285  Vgl. Singer, S. 45, Rn. 90. 280  Siems,

Kapitel 3

Die Verwendung der Streitkräfte zur Verteidigung im digitalen Raum Die Verwendung der Streitkräfte zur Verteidigung stellt gegenüber allen weiteren Verwendungsmöglichkeiten die umfassendste Verwendungsmöglichkeit der Streitkräfte dar.1 Hierfür lassen sich zwei Erwägungen anführen: Erstens, dass das Grundgesetz die Verteidigung unmissverständlich klar und explizit den Streitkräften zuspricht, im Umkehrschluss also andere Behörden, gleich ob solche des Bundes oder der Länder davon ausschließt. Dies ist insofern auffallend, als das Grundgesetz hinsichtlich der operativen Zuständigkeiten anderer Sicherheitsbehörden keine konkreten Aufgaben namentlich benennt. Zweitens definieren weder das Grundgesetz noch das einfache Recht den Begriff der Verteidigung legal,2 schränken ihn damit wörtlich auch nicht ein, was in der Gesamtbetrachtung den Schluss zulässt, dass es sich bei der Verteidigung um die umfassendste Verwendung der Streitkräfte handelt. Daneben mag man anführen, dass es sich bei der Verteidigung auch um die ureigen den Streitkräften obliegende Aufgabe handelt und sich bereits hieraus deren umfassende Zuständigkeit in besagtem Segment ergibt. Letzteres rekurriert freilich auf ein ganz bestimmtes Angriffsverständnis, auf das im Folgenden erst einmal einzugehen ist. Während das Grundgesetz, abgesichert durch Art. 87a Abs. 2 GG, explizit aufführt, wann die Streitkräfte außerhalb der Verteidigung eingesetzt werden dürfen, haben seine Väter sowie der verfassungsändernde Gesetzgeber davon abgesehen, das, was das Verteidigungsrecht auslöst, näher zu beschreiben, und das, obwohl die Begrifflichkeit „Verteidigung“ nicht nur in Art. 87a GG, 1  In diesem Sinne auch Epping, Die Evakuierung deutscher Staatsbürger im Ausland als neues Kapitel der Bundeswehrgeschichte ohne rechtliche Grundlage? AöR, Band 124 (1999), 423 (437) der dem Begriff der Verteidigung eine „Weite und Fülle“ beimisst und ihn deshalb als „offen und entwicklungsfähig“ ansieht. Kirchhoff, in HStR Bd. IV § 84 Rn. 50; Lutze, NZWehrr 2003, 101 (112); siehe auch Bericht des Rechtsausschusses, BT-Drs. V/2873, S. 13. 2  So weist Maunz, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 17. EL August 1979, Art. 91 Rn. 10 zutreffend darauf hin, dass es im Hinblick auf die Einsetzbarkeit der Streitkräfte – im Unterschied zu anderen Verfassungsnormenkeine Ausführungsgesetze gibt, in denen der Inhalt der Verfassungsvorschrift konkretisiert wird.

148 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

sondern auch in einer Reihe anderer Vorschriften Erwähnung findet.3 Dies setzt sich im einfachen Recht fort und auch die Exekutive in Gestalt einzelner Bundes- und Landesbehörden formuliert in keinem der von ihr herausgegebenen Dokumente (z. B. die Weißbücher der Bundeswehr) auch nur ansatzweise konkret, was unter Verteidigung im analogen, geschweige denn im digitalen Bereich zu begreifen ist und wie sie sich konkret vom Aufgabenbereich anderer Sicherheitsbehörden unterscheidet. Es kommt der Eindruck auf, wenn es nirgendwo eine Konkretisierung gibt, bedürfte es womöglich keiner, weil bereits offenkundig sei, was gemeint ist. Das mag für den analogen Raum zutreffen, ist im digitalen aber verfehlt, wie im Folgenden verdeutlicht wird.

A. Das historische Angriffsverständnis Denklogisch bedarf es zur Verteidigung eines andauernden bzw. sich unmittelbar ankündigenden Angriffs.4 Erschwerend ist hierbei, dass im Grundgesetz neben der Begrifflichkeit Verteidigung auch das Wort Angriff nur genannt wird (Art. 26 und 115 GG), nicht jedoch legal definiert wurde. Diese mangelnde normative Rückkopplung und Ausgestaltung ist dann (und insofern) unschädlich, wenn keine Abgrenzungsschwierigkeiten zum Aufgabenbereich anderer Behörden entstehen. Das ist wiederum dann der Fall, wenn die Natur des Angriffs in seinen Grundzügen ohnehin offenkundig ist.

I. Wesen des Angriffs als Ausgangspunkt In Kapitel (1) wurde sich bereits mit themenbezogenen Angriffen unterschiedlicher Art auseinandergesetzt, allesamt solche aus dem digitalen Raum, durchgeführt von unterschiedlichen Akteuren, gesteuert aus dem In- und Ausland. Hierbei handelt es sich aber nicht um diejenigen Angriffe, die die Väter des Grundgesetzes bzw. der Wehrverfassung weder bei Schaffung noch bei Änderungen derselben im Blick hatten. Im Rahmen der folgenden Unter3  Siehe Art. 12 Abs. 3, Art. 17a Abs. 2, Art. 45a Abs. 1, Art. 65a, Art. 73 Abs. 1 Nr. 1, Art. 79 Abs. 1, Art. 80a Abs. 1 und Art. 87b Abs. 2 GG; gleichwohl ist zu beachten, dass die Begrifflichkeit in den einzelnen Normen unterschiedlich aufzufassen ist; dazu Broscheit, Gesetzgebungsbefugnis des Bundes für Inlandseinsätze der Bundeswehr zu anderen als Verteidigungszwecken, DÖV 2013, 802 (805); Schultz, S.  287 f. 4  Baldus, in: v. Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art 87a Rn. 16; so auch jüngst aufgefasst von Marxsen, Verfassungsrechtliche Regeln für Cyberoperationen der Bundeswehr. Aktuelle Herausforderungen für Einsatzbegriff und Parlamentsvorbehalt, JZ 2017, 543 (547); siehe auch bereits Schultz, S.  287 f.



A. Das historische Angriffsverständnis 149

suchung ist sich fraglos mit beidem auseinanderzusetzen, einerseits der Natur des Angriffs, andererseits mit dem Gegenstand der Verteidigung. Angesichts der Tatsache, dass beide Elemente voneinander abhängen, daher also nicht gänzlich losgelöst voneinander betrachtet werden können, lässt sich trefflich darüber streiten, mit welchem der beiden Elemente zu beginnen ist.5 Dafür, dass der Ausgangspunkt im Verständnis über den Angriff zu finden ist, sprechen zwei Argumente. So ist die Wehrverfassung nicht etwa aus sich selbst heraus entstanden. Es handelt sich bei ihr vielmehr um eine Reaktion auf eine konkrete Bedrohungslage, deren ganz bestimmtes Angriffsverständnis die Interpretation der Verfassung entscheidend geprägt hat.6 Dies wird nachfolgend verdeutlicht. Ferner wird mit dem Cyberraum im weiteren Fortgang eine Thematik an der Verfassung reflektiert, die weder von den Vätern des Grundgesetzes noch vom die Wehrverfassung schaffenden bzw. ändernden Gesetzgeber in dessen Blickfeld aufgenommen wurde. Wenn dem Grundgesetz aber ein ganz bestimmtes Angriffsverständnis zugrunde liegt, besteht die Möglichkeit, dass sich neue Angriffsszenarien in neuen Umgebungen wie dem Cyberraum grundgesetzlich nicht erfassen lassen. Auch um dieses zu ergründen, ist der notwendige Ausgangspunkt die Thematisierung des Angriffsverständnisses zur entsprechenden Zeit.

II. Der Ost-West-Konflikt als Keimzelle der Wehrverfassung Die Gründung der Bundesrepublik Deutschland wurde begleitet von innen- und außenpolitischen Debatten über die deutsche Wiederbewaffnung, angefangen beim deutschen Wehrbeitrag im Rahmen einer Europäischen Verteidigungsgemeinschaft (EVG), deren Scheitern in der französischen Nationalversammlung, bis hin zur eigentlichen Wiederbewaffnung im Rahmen des NATO-Beitritts und der Gründung der Bundeswehr im Jahre 1955. Die sogenannte Himmeroder Denkschrift aus dem Jahr 1950 ist eines der ersten Dokumente, das sich mit einem deutschen Verteidigungsbeitrag auseinandersetzt. Das Wort Beitrag ist hier nicht zufällig gewählt. Konkret ging es um den personellen und materiellen deutschen Beitrag zur Schaffung der vorbe5  Dies erkannte auch Carl v. Clausewitz (Vom Kriege, 7. Buch, 1. Kapitel, 1. Satz) wenn er sagt, dass es sich um zwei Begriffe handele, „die wahre logische Gegensätze bilden, der eine also das Komplement des anderen wird [und] im Grunde aus dem einen (…) der andere hervor[geht]“. 6  Vgl. Isensee, „Recht und Freiheit des deutschen Volkes“-Legitimation und Schutzgut der Bundeswehr, in: Wellershof (Hrsg.), Frieden ohne Macht? Sicherheitspolitik und Streitkräfte im Wandel, S. 61 (66), nach dem sich die Legitimation der Bundeswehr aus der konkreten Bedrohung aus dem Ostblock ergab.

150 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

zeichneten Europäischen Verteidigungsgemeinschaft. Der sicherheitspolitische Hintergrund dieser (wenn auch gescheiterten) Einrichtung sowie des geplanten deutschen Beitrags zur selben, wie auch der schlussendlichen Widerbewaffnung selbst, war mit unterschiedlichen Ausprägungen stets derselbe: Der aufziehende Kalte Krieg. 1. Die Bedrohungslage quo ante Dass die EVG Bestrebungen ihren Ausgangspunkt im Jahr 1950 haben, ist insofern nicht zufällig, als in jenem Jahr der Beginn des Koreakrieges nicht nur die unmittelbar Beteiligten, sondern auch den Westen als Ganzes in tiefe Sorge stürzte. Nachdem Millionen von Flüchtlingen die Eroberungen der Sowjets östlich der Elbe mit ihren grausamen Begleiterscheinungen selbst erlebt hatten, die Bewohner Westberlins Opfer einer elfmonatigen sowjetischen Blockade wurden, entfesselte sich mit dem Koreakrieg das erste Mal eine sowjetische Aggression über die bei Kriegsende in Europa und Asien erreichten Grenzen hinaus.7 Isensee bezeichnet es als ein „historisches Faktum“, dass es die Gefahr aus dem Ostblock war, die den „politischen Anstoß zur Entstehung der Bundeswehr“ gegeben [hat]“.8 Dies wird auch nicht bestritten.9 Man mag zwar einwenden, dass sich die zuvor genannten sicherheitspolitischen Umstände im Grundgesetz in seiner Fassung von 1949 gar nicht wiederfinden und ausgehend davon den Einfluss des OstwestKonflikts für ein grundgesetzliches Angriffsdogma in Zweifel ziehen. Dies ist aber nur teilweise richtig. So hat der Parlamentarische Rat ein Grundgesetz ohne Streitkräfte und ohne Wehrverfassung verabschiedet.10 Der Grund hierfür bestand aber nicht darin, dass man sich der aufziehenden Gefahr nicht bewusst war, sondern lag vielmehr darin begründet, dass wegen der alliierten Demilitarisierungsbeschlüsse der parlamentarische Rat eine eigenständige deutsche Verteidigung nicht ernstlich diskutierte.11 Ferner enthielt bereits die Ursprungsversion des Grundgesetzes konkrete Anhaltspunkte, die 7  De Maizière, Streitkräfte und Bedrohung. Zur Legitimation der Bundeswehr von ihrer Gründung bis zum Ende der Breschnew Ära – aus der Sicht eines Zeitzeugen –, in: Wellershof (Hrsg.), Frieden ohne Macht? Sicherheitspolitik und Streitkräfte im Wandel, 20 (21). 8  Isensee, 61 (66). 9  Siehe auch Rautenberg/Wiggershaus, Die „Himmeroder Denkschrift“ vom Oktober 1950. Politische und militärische Überlegungen für einen Beitrag der Bundesrepublik Deutschland zur westeuropäischen Verteidigung, Militärgeschichtliche Zeitschrift, Band 21 (1977), Heft 1, S. 135 ff.; Baumgartner, Freiheit und Menschenwürde als Staatsziel, in: Wellershof (Hrsg.), Frieden ohne Macht? Sicherheitspolitik und Streitkräfte im Wandel, 51 (52). 10  Hierauf weist Welz pointiert hin, 104 (105). 11  Siehe hierzu Erler, Soll Deutschland rüsten? Die SPD zum Wehrbeitrag, S. 37.



A. Das historische Angriffsverständnis 151

auf eine zukünftige Wiederbewaffnung schließen ließen: Hierauf deutet zum einen das in Art. 4 Abs. 3 GG verankerte Recht auf Kriegsdienstverweigerung hin, zum anderen Art. 24 Abs. 2 GG, der es dem Bund eröffnet, sich in ein System gegenseitiger kollektiver Sicherheit einzuordnen.12 Aber nicht nur die Entstehung der Bundeswehr, wie von Isensee zutreffend festgestellt, auch die etappenweise Inkorporation der Wehrverfassung durch die erste und zweite Wehrrechtsnovelle13 erfolgte parallel und stets in Reaktion auf den schwelenden Ost-West-Konflikt.14 a) Territoriale Bedrohung Die Gefahr bestand einerseits in einer territorialen Bedrohung, im Rahmen derer Deutschland in seiner Frontposition der Gefahr klassischer Landnahme ausgesetzt war.15 Diese wurde insbesondere durch die Vorkommnisse in Korea befeuert.16 In Europa fragte man sich, ob auch Westeuropa ähnlich wie Südkorea überrollt werden könnte und sowjetische Panzer möglicherweise innerhalb weniger Tage am Rhein stünden.17 b) Ideologische Bedrohung Andererseits war die Gefährdung aber auch eine solche, die auf die Organisation des Gemeinwesens gerichtet war. So sah sich die freiheitliche Gesellschaftsordnung der Bundesrepublik und ihrer Verbündeten einem diametral gegensätzlichen, ideologiebasierten Totalitarismus gegenübergestellt,18 in dem nicht ansatzweise die Freiheit des Einzelnen, sondern formal das Kollektiv, faktisch aber die Interessen einiger weniger zum Maßstab des Hanauch Welz, 104 (105). Gesetz zur Änderung des Grundgesetzes vom 26.03.1954 bzw. 7. Gesetz zur Änderung des Grundgesetzes vom 19.03.1956. 14  Baldus, in: v. Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art 87a Rn. 18, der auf das Jahr 1968 rekurriert, in dem die Vorschrift des Art. 87a GG novelliert wurde und ihre derzeitige Fassung erhielt; Depenheuer, Der verfassungsrechtliche Verteidigungsauftrag der Bundeswehr, DVBl. 1997, 685; auch die zitierten BVerfGEntscheidungen fielen in diese Zeit. 15  Poeppel, Operative Konsequenzen der Veränderung in Europa für die Landesverteidigung, in: Wellershof (Hrsg.), Frieden ohne Macht? Sicherheitspolitik und Streitkräfte im Wandel, 142 (147); v. Bredow, Die Geschichte der Bundeswehr, S.  72 f. 16  De Maizière, aaO vergleicht die Wirkungen, die vom Koreakrieg auf Westeuropa ausgingen mit denen eines „Katalysators“. 17  De Maizière, aaO. 18  Isensee, 61 (66); Schwickert, Sicherheitspolitik und Friedensbewegung in der Bundesrepublik Deutschland, S. 50, 54; de Maizière, aaO. 12  So 13  4.

152 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

delns gemacht wurden, jedoch stets auf Kosten der Gemeinschaft.19 Den Gegensatz dieser diametral entgegengesetzten Weltordnungskonzeptionen brachte der damalige US-Präsident Harry S. Truman in seiner Rede vor dem US-Kongress am 12. März 1947 auf den Punkt, in der er die außen- und sicherheitspolitische Ausrichtung der USA darlegte, die als sogenannte Truman-Doktrin in die Geschichte einging. Truman sprach vor dem Kongress: „At the present moment in world history nearly every nation must choose between alternative ways of life. The choice is too often not a free one. One way of life is based upon the will of the majority, and is distinguished by free institutions, representative government, free elections, guarantees of individual liberty, freedom of speech and religion, and freedom from political oppression. The second way of life is based upon the will of a minority forcibly imposed upon the majority. It relies upon terror and oppression, a controlled press and radio; fixed elections, and the suppression of personal freedoms.“20 2. Die Bedrohungslage im Spiegel der bundesverfassungsgerichtlichen Rechtsprechung Dieses Angriffsverständnis spiegelt sich auch in Entscheidungen des Bundesverfassungsgerichts, konkret zur Wehrpflicht wieder, die zur Zeit des Kalten Krieges getroffen wurden. Zwar bezieht sich das Verfassungsgericht mit keinem Wort auf den potentiellen und in der sicherheitspolitischen Debatte allgegenwärtigen sowjetischen Gegner. Auch hat es sich weder explizit zum Verteidigungsobjekt geäußert noch eine normative Verortung vorgenommen. Gleichwohl lassen sich Rückschlüsse auf die genannten Komponenten des Angriffsverständnisses ziehen: So spricht das Gericht auf der einen Seite von „Landesverteidigung“ auf der anderen Seite aber auch von der „Sicherung staatlicher Existenz“. Diese Komponenten setzt es in Beziehung zueinander: Der Zweck der „Landesverteidigung“ sei die „Sicherung der staatlichen Existenz“.21 Ohne an dieser Stelle über die Maßen vorzugreifen, sind es maßgeblich diese beiden Bezugspunkte, auf dem Boden derer nachvollziehbar wird, warum nicht nur die Begrifflichkeit Verteidigung, sondern auch das Verteidi19  Diesen

aaO.

Aspekt neben der Landnahme betonen auch Rautenberg/Wiggershaus,

20  abrufbar auf: http://avalon.law.yale.edu/20th_century/trudoc.asp; ins Deutsche übersetzt zu finden bei Schwickert, S. 54. 21  BVerfGE 48, 127 (163); 69, 1 (23); siehe auch Schwickert, S. 45, der das Sinnund Handlungsmuster der damaligen deutschen Politik in „auswärtiger Selbstbehauptung“ sieht.



A. Das historische Angriffsverständnis 153

gungsspektrum nicht normiert wurden und gar die bloße Aufnahme des Wortes Verteidigung vereinzelt nur als deklaratorischer Akt verstanden wurde.22 So bestand im Kern ein Konsens darüber, von wem ein Angriff ausgehen würde, wie ein solcher der Sowjetunion ablaufen und wogegen er sich richten würde und genau dieser prägte das Verständnis vor, während und nach den Wehrrechtsnovellen bis zur Wiedervereinigung.23 3. Fortbestand trotz sich verändernder Sicherheitslage Dass die Orientierung an sicherheitspolitischen Umständen kein Phänomen allein der Vergangenheit ist, zeigt sich darin, dass seit dem Fall des Eisernen Vorhangs und der fortwährenden Schaffung eines vereinten Europas in Ost und West die Territorialverteidigung weithin aus dem Fokus verschwand.24 Man ging davon aus, dass die europäischen Grenzen forthin Bestand haben würden. Sie ist erst wieder Gegenstand der Betrachtung geworden, als bestehende Grenzen in Kontinentaleuropa verändert wurden, konkret in Ansehung der Ereignisse um die Halbinsel Krim im Jahr 2014 und der nachfolgenden Auseinandersetzungen zwischen der Ukraine und der russischen Föderation. Der Vollständigkeit halber ist darauf hinzuweisen, dass die anhaltende Friedensperiode nach dem Kalten Krieg (zumindest was das der NATO bzw. der heutigen EU zugehörige Europa angeht) gleichwohl keine verfassungsrechtlichen Veränderungen nach sich zog, sondern schwerpunktmäßig auf außergesetzlicher Ebene seine Spuren hinterließ, was sich neben der Abschaffung der Wehrpflicht insbesondere in personeller und materieller Reduktion und Vernachlässigung wiederspiegelt.

III. Die konkrete Fassung des historischen Angriffsverständnisses Das historische Angriffsverständnis lässt sich auf einzelne Tatbestandsmerkmale, wenn nicht gar ein einziges Tatbestandsmerkmal konkretisieren: Fremde Streitkräfte (überschreiten die Bundesgrenze). Instruktiv ist in die22  So etwa bei Hernekamp, in: v. Münch/Kunig Grundgesetz-Kommentar, Art. 87a Rn. 4. 23  Einschränkend hierzu Jaspers, Wohin treibt die Bundesrepublik, S. 158, der die Auffassung vertritt, dass jedenfalls für die in den ausgehenden 50er Jahren beginnende Diskussion über die Notstandsgesetzgebung die Gefahr des Kommunismus mittlerweile ein „Phantom“ sei und als Begründung nicht mehr anzuführen sei, weil sich diese auf die ausgehenden 40er Jahre beschränke. 24  Hierzu Münkler, Der Wandel des Krieges. Von der Symmetrie zur Asymmetrie, S.  137 f.

154 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

sem Zusammenhang der Bericht des Rechtsausschusses zur Einführung der Notstandsverfassung. Zwar hat dieser selbstredend keine normative Kraft, gleichwohl steht er sinnbildlich nicht nur für das klassische Angriffsverständnis, sondern auch für die Abgrenzung zu anderen Sicherheitsbehörden. Dort heißt es: „Der Schutz gegen Angriffe der Angehörigen fremder Streitkräfte ist die Aufgabe der Bundeswehr, gleichgültig, ob das Ziel eines solchen Angriffes ein militärisches oder ziviles Objekt ist. Die Abwehr gegnerischer Streitkräfte ist niemals die Aufgabe der Polizei.“25 Entlang dieses Verständnisses vollzieht sich klassischerweise die Abgrenzung dessen, was in das Aufgabenfeld der Streitkräfte zur Verteidigung fällt und was nicht. Die gebrauchte Verwendung „fremde Streitkräfte“ impliziert mehrerlei: Erstens, dass es sich beim Gegner um einen anderen Staat handelt, weil nur Staaten über Streitkräfte verfügen. Zweitens, dass als denklogische Folge zu Erstens der Ursprung auch in einem anderen Staat liegt, es sich mithin um eine auswärtige Gefahr handelt und Drittens, dass, weil es sich um Streitkräfte handelt, diese typischerweise über gegenüber den anderen Sicherheitsbehörden exklusive Waffen verfügen, sodass sich die Abgrenzung zur Polizei bereits visuell bewerkstelligen lässt. Ohne an dieser Stelle auf das Verhältnis von Verteidigung und Verteidigungsfall vorzugreifen, spiegelt sich dieses Verständnis am Ehesten in der derzeitigen Fassung des Art. 115a Abs. 1 GG wieder, da dort der Verteidigungsfall als der (drohende) Angriff des Bundesgebiets mit Waffengewalt definiert wird. Gleichwohl ist diese Norm anderen Ursprungs und hat insofern nicht maßgeblich aufgrund der omnipräsenten Gefährdung durch die UdSSR Einzug in das Grundgesetz erhalten. Die Maßgeblichkeit der Bewaffnung als Differenzierungsmerkmal zur polizeilichen Zuständigkeit lässt sich zum einen anhand von Art. 87a Abs. 4 i. V. m. 91 Abs. 2 GG belegen. Dieser löst die Abwehr von Gefahren erst dann aus dem Zuständigkeitsbereich der Polizei heraus und legt sie in den Verantwortungsbereich der Streitkräfte, wenn es sich um militärisch bewaffnete Aufständische handelt.26 Als zweites spricht auch die Existenz des Apparats „Streitkräfte“ als solches für dieses Verständnis, da es hier um Tätigkeiten geht, die nach herkömmlichem Verständnis von anderen Sicherheitsbehörden nicht wahrgenommen werden können.27 Allein auf diesem Verständnis gründet auch die Abgrenzung zur Zuständigkeit anderer Sicherheitsbehörden. Diese Abgrenzung gewährleistet die 25  BT-Drs.

V/2873, S. 13. Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 89, der nach „zur Kriegsführung bestimmten Waffen“ abgrenzt. 27  Baldus, in: v. Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art. 87a Rn. 17. 26  Siehe



B. Das klassische Angriffsverständnis im Lichte des Cyberraums 155

Kompetenz- und Zuständigkeitsnormen aus Art. 73 Nr. 1 Nr. 1 und 87 Abs. 2 GG nur scheinbar, weil sie keine Aussage darüber treffen, was unter Angriff, also dem, Verteidigung auslösenden Element zu verstehen ist. Entscheidend für die Abgrenzung ist allein das hier angeführte praktische Verständnis. Man könnte noch einen Schritt weitergehen und sagen, dass eine juristische Debatte über die Abgrenzung zu anderen Sicherheitsbehörden geradezu redundant erscheint, wenn man das o. g. Angriffsverständnis zugrunde legt, weil dieses – in Ansehung des Zitats des Rechtsausschusses – so plakativ und somit eingängig ist, dass es keiner Diskussion bedürfe. Die Abgrenzung von Polizei und Streitkräften könnte geradezu laienhaft vorgenommen werden. Das klassische Angriffsverständnis und die sich hiervon ableitende Abgrenzbarkeit des Einsatzes der Streitkräfte zur Verteidigung gegenüber dem Einsatz anderer Behörden setzt allerdings stillschweigend etwas voraus, was im Cyberraum höchst problematisch zu ergründen ist: Die positive Kenntnis über die Streitkräftequalität und damit einhergehend die Urheberschaft und Herkunft des Angriffs.

B. Das klassische Angriffsverständnis im Lichte des Cyberraums Gegenstand der folgenden Ausführungen ist die Auseinandersetzung mit der Frage, ob das klassische Angriffsverständnis im Cyberraum gleichermaßen Geltung beanspruchen kann. Dies hängt im Wesentlichen davon ab, ob sich erstens Urheber und Ursprungsort des Angriffs zurückverfolgen lassen sowie zweitens, ob sich (unabhängig von der Frage der Rückverfolgbarkeit) auch im Cyberraum abgrenzungsstark formulieren lässt, was unter militärisch zu verstehen ist und was nicht.

I. Der Mythos der Rückverfolgbarkeit im Cyberraum 1. Begriffliche Einführung und klassische Relevanz Das Kriterium der Zurechnung ist weniger aus der verfassungsrechtlichen als aus der völkerrechtlichen Rechtsprechung und Literatur bekannt, wo es meist unter der Begrifflichkeit Attribution firmiert.28 Im Zentrum steht dort, genauso wie im klassischen Angriffsverständnis, der Staat in seiner Eigenschaft als Akteur des Völkerrechts. Im Kern geht es um die Frage, unter welchen Voraussetzungen ein tatsächliches Geschehen einem Staat zurechen28  Vgl.

v. Arnauld, Völkerrecht, Rn. 1034.

156 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

bar ist.29 Dies bemisst sich grundsätzlich danach, in welcher Beziehung der jeweils Handelnde zum Staat steht und ob das tastsächliche Handeln des Einzelnen oder seiner Organisationsstruktur in rechtlicher Hinsicht ein Handeln des jeweiligen Organs und damit des Staates darstellt, diesem also zugerechnet werden kann.30 Diejenigen Merkmale, die für eine positive staatliche Zurechnung conditio sine qua non sind, sind die Kenntnis über Ursprung und Urheberschaft. Anzumerken ist, dass sich die Problematik der Rückverfolgung bzw. der Zurechnung nicht exklusiv auf den Cyberraum beschränkt. Dies gilt zwar weniger für die territoriale Zurechnung als viel mehr für die Unsicherheit bei der Identifizierung des Angreifers als staatlichen oder nichtstaatlichen Akteur, die im Zuge von Chemiewaffeneinätzen oder im Bereich der sogenannten hybriden Kriegsführung auch in der analogen Welt eine Herausforderung darstellt. Nach dem weiter vorne erläuterten Verständnis vom hybriden Krieg handelt es sich um einen solchen mitunter dann, wenn die Grenze zwischen Krieg und Frieden, bzw. zwischen dem Normal- und Ausnahmezustand verwischt wird.31 Diese Verwischung lässt sich insbesondere dadurch erzielen, dass Kräfte eingesetzt werden, die sich entweder überhaupt nicht oder zumindest nicht ohne weiteres einer staatlichen Militäroperation zurechnen lassen. Hierfür eignet sich in der analogen Welt zuvörderst das Entfernen von Hoheitsabzeichen an den Uniformen.32 Bereits dann ist eine Zurechnung schwierig und konnte im entsprechenden Lebensbeispiel aus der jüngeren Vergangenheit nur dadurch einer Zurechnung zugeführt werden, indem sich der betreffende Staatspräsident öffentlich zu seinen Soldaten bekannte.33 Im Cyberraum ist die Rückverfolgung nach Herkunft und Urheberschaft dagegen jedoch nahezu ausgeschlossen.34 29  Wegweisend hierfür IGH, Urt. V. 27.6.1986, Case concerning Military and Para­ military Activities in and against Nicaragua (Nicaragua v. USA), Merits, ICJ Rep. 1986, S. 93, Rn. 193, 195 und S. 109, Rn. 228, bei dem die Abgrenzung von Gewalt und bewaffnetem Angriff im Kern in die Frage der Zurechnung fremder, insbesondere privater Handlungen zum Unterstützerstaat eingekleidet war; siehe zur Zurechnung grundlegend Ipsen, § 29 Rn. 2. 30  Ipsen, § 29 Rn. 2 und 3. 31  Verweis auf S. 59 ff. 32  Seit der Annexion der Krim durch Russland stehen hierfür sinnbildlich die sogenannten „kleinen grünen Männchen“, bei denen es sich augenscheinlich um Soldaten handelte, deren Einsatz jedoch mangels Hoheitsabzeichens nicht belastbar einem Staat zugerechnet werden konnte, dazu Hector, 513 (517); http://www.bbc.com/news/ world-europe-31796226. 33  Siehe Interview „Direct Line with Vladimir Putin“ v. 17.4.2014, abrufbar unter: http://en.kremlin.ru/events/president/news/20796. 34  betonend, dass die Zurechnung äußerst schwer bis praktisch ausgeschlossen ist: Dinniss, Cyber Warfare and the Laws of War, S. 99 ff.; siehe auch das Interview mit



B. Das klassische Angriffsverständnis im Lichte des Cyberraums 157

2. Zwecke der Rückverfolgbarkeit Eine Rückverfolgung ist aus zweierlei Gründen erheblich. Zum einen ist sie aus rein technisch-praktischen Gründen zwingend. Kurz gesagt: Ohne Kenntnis darüber, wo ein Angriff herkommt ist ein wie auch immer geartete Verteidigungsmaßnahme denklogisch nicht möglich.35 Ferner hat sie aber auch einen rechtlichen, konkret akzeptanzschaffenden Faktor, obgleich dieser im Unterschied zu ersterem davon abhängt, welche Beschaffenheit dem Angreifer abverlangt wird: die eines Staates oder nicht. Bei ersterem Verständnis, das auch der IGH in seinem Nicaragua-Urteil zugrunde legte, ist die offenkundige bzw. nachvollziehbare Zurechnung in völkerrechtlicher Hinsicht die Basis dafür, dass die Völkergemeinschaft im Rahmen eines zwischenstaatlichen Sachverhalts die Ausübung eines wie auch immer im Einzelnen exekutiertes Verteidigungsrechts durch den betroffenen Staat gegenüber dem identifizierten anderen Staat dem Grunde nach akzeptiert.36 Für beide Komponenten stellt der Cyberraum eine Herausforderung dar.

Dreo-Rodosek von der Uni-BW München, in dem sie äußert, den Angreifer könne man nicht zurückverfolgen, abrufbar unter: https://www.heise.de/tp/features/ Bundeswehrhochschule-Muenchen-richtet-groesstes-Forschungszentrum-fuer-Cyber sicherheit-ein-3287684.html; Gaycken, The Necessity of (Some) Certainty – A Critical Remark Concerning Matthew Sklerov’s Concept of „Active Defense“, Journal of Military and Strategic Studies, Vol. 12, Issue 2, 2010, S. 6, widerlegt Sklerov, Solving the Dilemma of State Responses to Cyberattacks: A Justification for the Use of Active Defenses against States who neglect their Duty to prevent, Military Law Review 201 (2009), der auf S. 73 f. statuiert, dass „automated or administrator-operated trace programs can trace attacks back to their point of origin“ und seinerseits auf Wheeler/ Larsen, Techniques for Cyber Attack Attribution, S. 22 f. verweist, die dieselbe – nach Gaycken – fälschliche Auffassung vertreten; ebenfalls Sklerov kritisierend: Bianco (Chefingenieur Cybersicherheit beim Konzern Target Corp. und Berater bei sqrrl Inc.), der ins einem Review zu Sklerovs Aufsatz die Existenz der nicht nur den Erfolg der von Sklerov angeführten „trace programs“ (S. 70) bestreitet, sondern deren Existenz, abrufbar unter: http://blog.vorant.com; siehe auch Pihelgas, Back-Tracing and Anonymity in Cyberspace, in: Ziolkowski (Hrsg.), Peacetime Regime for State Activities in Cyberspace. International Law, International Relations and Diplomacy, 31 (58); siehe zu der Problematik auch Schulze, 192 ff. und 224 ff.; Schaller, Internationale Sicherheit und Völkerrecht im Cyberspace, Für klarere Regeln und mehr Verantwortung, S. 22; Dies als Herausforderung für die traditionelle Form der Abgrenzung nach äußerer und innerer Herkunft deklarierend, jüngst Ladiges, NZWehrr 2017, 221 (235). 35  Fanelli/Conti, A Methodology for Operations Targeting and Control of Collateral Damage in the Context of Lawful Armed Conflict: Czossek/Ottis/Ziolkowki (Hrsg.), 4th International Conference on Cyber Conflict, 2012, 319 (324). 36  Vgl. IGH, Urt. v. 27.6.1986, Case concerning Military and Paramilitary Activities in and against Nicaragua (Nicaragua v. USA), Merits, ICJ Rep. 1986, S. 39 f., Rn. 34 f., S. 41, Rn. 87 f., S. 94, Rn. 195 und S. 108 f., Rn. 228.

158 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

3. Die (Un-)Möglichkeit der Rückverfolgung im Cyberraum Die Schwierigkeit der Zurechnung eines Cyberangriffs resultiert zum einen aus der institutionalisierten Dezentralität des Cyberraums und zum anderen aus der hieraus entspringenden Möglichkeit der Anonymität und Verschleierung.37 Das Resultat ist eine in technischer Hinsicht unzureichende, wenn nicht gar unmögliche Rückverfolgbarkeit („back-tracing“)38. Exemplarisch für die Dezentralität ist das World Wide Web als der wohl bekannteste Teil des Cyberraums. Dieses ist als Netzwerk von Netzwerken geradezu darauf angelegt, dezentral aufgestellt zu sein.39 Im Falle der Anforderung von Daten von einem topologisch weit entfernten Server werden Datenpakete meist in kleineren Paketen unabhängig voneinander über zahlreiche Teilnetze geleitet, um an ihrem Bestimmungsort anzukommen.40 Diese Dezentralität ist untrennbar mit der spezifischen Absicht verwoben, die der Schaffung des Internets zugrunde lag. Diese bestand darin, die Kommunikationsfähigkeit aufrechtzuerhalten. Damit im Zuge eines Angriffs die Kommunikationsinfrastruktur nicht mit einem Schlag gänzlich lahmgelegt worden wäre, ging es den USA darum, diese zu dezentralisieren.41 Die explizit dem Cyberraum eigenwillige Zurechnungsproblematik manifestiert sich eher in der ungleich schwereren Rückverfolgbarkeit der Örtlichkeit des auslösenden Systems als in der Frage, ob ein staatlicher oder nichtstaatlicher Akteur verantwortlich ist. Letzteres ist im analogen und digitalen Raum gleichermaßen schwierig und lässt sich, wenn überhaupt, nur über die territoriale Komponente, vereinzelt über die Art der Bewaffnung zuordnen.42 Der territoriale Ursprung ist dagegen ungleich schwerer zu ermitteln im Cy37  Wissenschaftlicher Dienst des Bundestages Fachbereich WD 2-3000-038/15, Anwendbarkeit des humanitären Völkerrechts auf Computernetzwerkoperationen und digitale Kriegsführung, S. 10 f.; siehe auch das Interview von Dirk Müller (DLF) mit Sandro Gaycken v. 1.3.2018, in dem letzterer die einfache Verfälschung von Spuren anmerkt; abrufbar unter: http://www.deutschlandfunk.de/hacker-angriff-it-experte-impotenzial-aequivalent-zu-einem.694.de.html?dram:article_id=411978. 38  Pihelgas, 31 (50); Wheeler/Larsen, S. 17. 39  Verweis auf S. 31 f. 40  Der Aufbau des Internets, abrufbar unter: https://www.nethinks.com/news/ netzwerktechnik-der-aufbau-des-internets.html; Hollis, An e-SOS for Cyberspace, Harvard International Law Journal, Vol. 52, No. 2, 2011, 374 (397 f.). 41  Hollis, aaO. 42  so zum Teil auch Heintschel von Heinegg, in: Schmidt-Radefeldt/Meissler (Hrsg.), Automatisierung und Digitalisierung des Krieges. Drohnenkrieg und Cyberwar als Herausforderungen für Ethik, Völkerrecht und Sicherheitspolitik, 159 (172), der die Ermittlung der Identität des Angreifers als die größte Hürde identifiziert, gleichwohl die Herausforderung der Ermittlung des territorialen Ursprungs – insoweit anders als der Verfasser – stark relativiert.



B. Das klassische Angriffsverständnis im Lichte des Cyberraums 159

berraum.43 Das hängt nicht etwas damit zusammen, dass der Cyberraum keinen physisch-realen Grenzen unterworfen ist bzw. sich nicht territorial verorten lässt. Wie die Ausführungen in Kapitel (1) veranschaulicht haben, ist die Cyber-Infrastruktur nämlich sehr wohl in der analogen Welt in Gestalt von Servern und Endgeräten verschiedener Art stationär rückgekoppelt.44 Dennoch ist der territoriale Ursprung beispielsweise eines Raketenbeschusses dagegen ungleich leichter im analogen Raum aufzuklären, da das Angriffsmittel – so banal es klingen mag – real sichtbar ist, es keine Zwischenstationen einlegt und somit seine Herkunft nicht verschleiert werden kann. Aufgrund der Tatsache, dass die positive örtliche Rückverfolgbarkeit geeignet ist, eine wesentliche Hilfestellung bei der Rückverfolgung des Urhebers darzustellen, führt die gegenüber dem analogen Raum schwerere territoriale Zurechenbarkeit ferner dazu, dass die Zurechnung insgesamt schwerer wird. Die dem Cyberraum eigentümliche Hürde besteht maßgeblich darin, dass zwischen Auslöser und Ziel eines Angriffs regelmäßig weitere Zwischenpunkte (Intermediäre) eingesetzt werden,45 die alternativ oder kumulativ entweder nur zur Verschleierung, teilweise aber auch, wie im Falle des Botnetzes als Ausführungsorgane (Zombies) dienen, ohne dass der einzelne Nutzer hierüber positive Kenntnis hat.46 Im Falle des Botnetzes wird diese Ahnungslosigkeit der eigenen Partizipation dadurch bewerkstelligt, dass wie weiter vorne geschildert Schadsoftware, etwa getarnt als Trojaner, eingeschleust wird.47 Die Verschleierung über die eigene Urheberschaft findet hier also sowohl gegenüber den Werkzeugen (Zombies) statt, wie auch gegenüber dem anvisierten Opfer. Auch die ebenfalls Teil des Repertoires darstellende Kaperung fremder Server (sog. server hopping)48 geschieht alleine mit dem Ziel der Verschleierung der Urheberschaft.49 Eine weitere Möglichkeit der Verschleierung besteht darin, die IP-Adresse zu anonymisieren bzw. fremde IP-Adressen vorzutäuschen (sog. IP-spoofing).50 Gleichsam 43  Forst, Technische Aspekte des völkerrechtskonformen Einsatzes von Schadsoftware in der virtuellen Kriegsführung: Forst/Vugrin/Wessendorff (Hrsg.), Das Zeitalter der Einsatzarmee, 2014, 85 (93 ff.). 44  S. 12; dazu umfangreich Fanelli/Conti, 319 (324 f.), die neben Hardware insbesondere auch das GPS-Signal verschiedener Geräte ansprechen im Rahmen der territorialen Verortung ansprechen, hierauf auch bezugnehmend: Forst, aaO. 45  Dinniss, S. 100; Gaycken, S. 2. 46  Verweis auf S. 66. 47  Verweis auf S. 70 f. 48  Gaycken, S. 2. 49  Wissenschaftlicher Dienst des Bundestages Fachbereich WD 2-3000-038/15, Anwendbarkeit des humanitären Völkerrechts auf Computernetzwerkoperationen und digitale Kriegsführung, S. 11. 50  Gaycken, S. 3; Wheeler/Larsen, S. 3.

160 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

im Wege des spoofings wird regelmäßig von nichtstaatlichen Akteuren versucht, den Angriff nach außen hin aussehen zu lassen, als handele es sich um einen staatlichen Urheber. Hierfür ist es besonders erfolgsträchtig, wenn unberechtigt staatliche Cyber-Infrastruktur genutzt wird.51 Auch ein sogenannter Catalytic Conflicts lässt sich maßgeblich deshalb bewerkstelligen, weil der Cyberraum die Möglichkeit zur Verschleierung bietet.52 Hierbei initiiert ein beobachtender Dritter einen Konflikt zwischen zwei anderen Parteien. Bei den Parteien kann es sich gleichermaßen um Staaten wie Nichtstaaten handeln. Die Absicht des Dritten besteht hierbei nicht nur darin, unerkannt zu bleiben, sondern darüber hinaus darin, den Angriff als einen aussehen zu lassen, den eine der Parteien auf die andere ausgeübt hat, bzw. im Falle des Angriffs beider durch den Dritten, als einen, der wechselseitig verursacht hat.53 Die Verschleierung ist regelmäßig erfolgreich. Das liegt daran, dass sich mit Gewissheit einzig und allein die Örtlichkeit des Computers aufklären lässt, der das letzte Glied in der Kette war.54 Erschwerend kommt hinzu, dass die für Internetnutzung zugewiesene IP-Adresse in der Regel nicht gespeichert wird (etwa im Wege der Verkehrsdatenspeicherung)55, in jedem Falle aber eine ununterbrochene Speicherkette erforderlich wäre,56 was in Ansehung der Kontroversen, die jedenfalls in Deutschland um diese Thema51  Banks, State Responsibility and Attribution of Cyber Intrusions After Tallinn 2.0, Texas Law Review, Vol. 95, 2017, 1487 (1510); Dinniss, S.  99 ff. 52  hierzu umfangreich Owens/Dam/Lin, Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities, S. 9-7; auch Lin, Cyber Conflict and International Humanitarian Law; International Review of the Red Cross Cross 94 (2012), 515 (521); siehe grundsätzlich dazu auch Kobe, A theory of catalytic war, Conflict Resolution Vol. VI, No. 2, Department of Physics and Astronomy, The Ohio State University, S. 1 ff. und 139. 53  Owens/Dam/Lin, aaO. 54  Gaycken, S. 2; Gaycken/Karger, Entnetzung statt Vernetzung, Paradigmenwechsel bei der IT-Sicherheit, MMR 2011, 4; Lin, aaO., der potentielle Intermediäre nennt. 55  Vgl. §§ 113a und 113b Abs. 3 TKG (BGBl. 2015 Teil I Nr. 51, S. 2218  ff.); beachte in diesem Zusammenhang aber das Urteil des EuGH zur Vorratsspeicherung elektronischer Kommunikationsdaten vom 21.12.2016 sowie die Außerkraftsetzung der Vorratsdatenspeicherung durch die BNetzA v. 28.06.2017 unter Berufung auf einen Beschluss des OVG Münster v. 22.06.2017, siehe dazu: Priebe, Strenge Anforderungen des EuGH an nationale Regelungen, EuZW 2017, 136 (137). 56  Gaycken, S. 3; siehe dazu auch Hartmann/Giles, UAV Exploitation A New Domain for Cyber Power, in: Pissanidis/Rõigas/Veenendaal (Hrsg.), 8th International Conference on Cyber Conflict, 2016, 205 (215 f.), die für den Bereich der weiter vorne angesprochenen unbemannten Luftfahrzeuge die Problematik der fehlenden statischen Verbindung aufzeigen bzw. das technische Unvermögen derselben diese zu speichern.



B. Das klassische Angriffsverständnis im Lichte des Cyberraums 161

tik bestehen, als ambitioniert erscheint. Ohnehin dürfte der Angreifer tunlichst solche Länder als Intermediäre vermeiden,57 die eine Speicherung vornehmen. Hier offenbart sich zudem die Unentbehrlichkeit staatenübergreifender Kooperation.58 So ist die Speicherung nur insofern zweckförderlich, als die anderen Intermediäre, die (wissentlich oder unwissentlich) Teilnehmer eines Cyberangriffs sind, in technischer Hinsicht Rechtsordnungen unterworfen sind, die ihre Verkehrsdaten speichern, ohne die sich das Band der Rückverfolgbarkeit nicht knüpfen lässt bzw. bei deren Fehlen die Rückverfolgung in Gänze scheitern.59 Ferner werden die Verbindungsdaten über kurz oder lang wegen sich auftürmender Datenmengen gelöscht.60 Dies ist aus verschiedenen Gründen problematisch: So ist die Zurechnung aus den genannten Gründen regelmäßig sehr zeitintensiv.61 Daneben ist zu beachten, dass wenn sich eine Cyberattacke nun erst nach einiger Zeit offenbart, etwa weil der Systemeinbruch nicht vorher bemerkt wurde (siehe weiter vorne zur CyberIntrusion), kann eine Rückverfolgung an der bereits erfolgten Löschung scheitern. Selbst im Falle idealer Voraussetzungen und gegebener Rückverfolgbarkeit wäre der Rückverfolgende auf behördliche Unterstützung der einzelnen als Intermediäre genutzten Staaten angewiesen.62 Es lässt sich also festhalten, dass es theoretisch technisch zwar möglich ist, die ursprüngliche Herkunft sowie den Urheber eines Cyberangriffs auszumachen, dies praktisch in Anbetracht der aufgezeigten Hürden aber äußerst unwahrscheinlich ist und sich einzelne Methoden der Rückverfolgbarkeit erst recht nicht im Wege einer Blaupause auf neue Angriffe oder gar neue Angriffsformen übertragen lassen, insofern also eine hohe Einzelfallabhängigkeit gegeben ist.63 4. Akzeptanzdefizit des Wehrenden Neben und mitunter unabhängig von den Herausforderungen auf der technischen Ebene ist das Akzeptanzdefizit zu beleuchten, dem sich der angegriffene Staat gegenüber der Völkergemeinschaft ausgesetzt sieht, wenn er in 57  Gaycken,

S. 3. S. 219 und 222 f. 59  Hollis, 374 (398 f.). 60  In Deutschland nach § 113b TKG zwischen vier und zehn Wochen; Wheeler/ Larsen, S.  12 f., dies. werfen auf S. 13 die Problematik auf, dass selbst die Speichermedien nicht sicher vor Angreifern sind; siehe auch Hollis, aaO, der exemplarisch an Twitter auf die begrenzten Speicherressourcen aufmerksam macht. 61  Banks, aaO; Jensen, 207 (232 f. und 239). 62  Gaycken, S. 3. 63  So auch Schulze, S. 222. 58  Schulze,

162 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

Erwägung zieht, sich gegen den Angriff zu verteidigen.64 Das akzeptanzschaffende Element, welches im Zuge einer positiven Zurechnung entsteht, wird im analogen Raum nicht eigeständig thematisiert. Sein Zweck besteht darin, die Ausübung etwaiger Verteidigungsrechte für Drittstaaten nachvollziehbar zu machen. Das schöpferische Element dieser Akzeptanzschaffung ist grundsätzlich der jeweilige Schaden, der infolge eines Angriffs eintritt. Dieser ist im analogen Raum in der Regel nach außen visuell wahrnehmbar. Ein Transfer in den Cyberraum ist insbesondere bei solchen Cyberangriffen problembehaftet, deren Schäden nicht visuell identifizierbar, d. h. nicht physisch-realer Natur sind und damit extern nicht ohne weiteres nachvollzogen werden können. Auf dem Boden der eingangs vorgenommenen Bedrohungsanalyse kommt erschwerend hinzu, dass gerade diese Auswirkungen gegenüber solchen, die auf das Systeminnere beschränkt sind, bzw. die Systeme gar nicht beeinträchtigen, deutlich in der Minderheit sind.65 Auch ist davon auszugehen, dass für staatliche wie private Einrichtungen im Falle der nicht offenkundigen Betroffenheit ein verhaltenes Interesse bestehen dürfte, diese gegenüber Dritten offenzulegen, weil eine solche neben der eigenen Anfälligkeit Zeugnis über einen offenkundig unzureichenden Sicherheitsstandard ablegt.66 Insofern ist es nachvollziehbar, dass insbesondere die in § 8b Abs. 4 BSIG kodifizierte Meldepflicht seitens Betreiber kritischer Infrastruktur nur gegenüber dem Bundesamt für Sicherheit in der Informationstechnologie verlangt wird und nicht gegenüber der Öffentlichkeit sowie dass diese auf Vorfälle mit erheblicher Beeinträchtigung beschränkt sind. Gleichsam in einem Akzeptanzdefizit mündet die folgende Problematik: Unterstellt, die Zurechnung ist technisch möglich und geglückt, so lässt sich die Verantwortlichkeit seitens des positiv nachvollzogenen Angreifers mit dem Argument abstreiten, selbst einem Cyberangriff zum Opfer gefallen zu sein, im Zuge dessen die eigenen – den Cyberangriff initiierenden Systeme – kompromittiert wurden, der Angriff mithin ohne Wissen und Wollen ausgelöst wurde.67 Entlang dieses Musters argumentierte die russische Regierung nach 64  Damit die Völkergemeinschaft überhaupt Kenntnis nimmt, ist hier zu unterstellen, dass sich der angegriffene Staat in einer Weise wehrt, die Dritten gegenüber nicht verschlossen bleibt. 65  Verweis auf S. 90 ff. 66  Hierzu auch Schulze, der sich auf S. 207 ff. mit der von Hollis (417 ff.) begründeten Idee des „e-SOS“ auseinandersetzt, deren Gegenstand eine Beistandspflicht im Cyberspace ist. Nachvollziehbar erwähnt Schulze den potentiellen „Technologietransfer“ zu Gunsten eines unbekannten Adressatenkreises (S. 211). 67  Dinniss bezeichnet dieses Phänomen – sprachlich nur bedingt nachvollziehbar – als „wissentliche Urheberschaft“, S. 100.



B. Das klassische Angriffsverständnis im Lichte des Cyberraums 163

den Angriffen auf Estland im Jahr 2007.68 Trotz positiver Rückverfolgung auf offizielle IP-Adressen russischer Behörden leugnete die russische Regierung die Urheberschaft mit dem Argument, die auslösenden Computer seien von außerhalb des Kremls manipuliert worden.69 Wegen der mittlerweile bestehenden Alltäglichkeit von Hacker-Aktivitäten, insbesondere gegen staatliche Einrichtungen ist es ein leichtes, im Rahmen einer Vernebelungstaktik wie im Falle des geschilderten Sachverhalts zu behaupten, man sei selbst Opfer eines Hacker-Angriffs geworden und dies sei der Grund für die – insoweit unbestrittene – Rückverfolgung auf staatliche IP-Adressen. Zur Veranschaulichung der Exklusivität dieser Argumentation für den Cyberraum sei darauf hingewiesen, wie aussichtslos die Leugnung der Zurechnung eines kinetischen Angriffs wäre mit dem Argument des bezichtigten Staates, die für den Angriff verwendeten Waffen seien ihm abhanden gekommen. In der analogen Welt lässt sich eine Rakete aufgrund ihrer Bauart, ihrer Verfügbarkeit und ihrer Flugbahn für jedermann nachvollziehbar, quasi im Sinne eines unerschütterlichen prima facie Beweises dem Urheber zuordnen. In einem Kontext, in dem das Angriffsmittel in Gestalt des internetfähigen Rechners nicht nur von nahezu jedermann besessen wird, sondern sich auch – wie im Falle der Botnetze – nahezu beliebig viele weitere „Soldaten“ rekrutieren lassen, rückt ein solcher Beweis des ersten Anscheins in weite Ferne. 5. Unzureichende Lösungsansätze Die Problematik der Rückverfolgbarkeit von Cyberoperationen ist in erster Linie eine technische, die es zu verstehen und anzuerkennen gilt, um rechtlich drauf reagieren zu können.70 Die rechtwissenschaftliche Literatur, die sich mit der technischen Problematik der Zurechenbarkeit auseinandersetzt ist überschaubar und überwiegend im angloamerikanischen Raum vertreten.71 68  Hierzu Dinniss, aaO.; Schaller, Internationale Sicherheit und Völkerrecht im Cyberspace, Für klarere Regeln und mehr Verantwortung, S. 22. 69  Dinniss, aaO; in diesem Zusammenhang ist auch die Angabe des Politik-Professors und damaligen Duma-Abgeordneten Sergei Markov als Beleg anzuführen, der in einem Interview vom 3. März 2009 zwischen US-amerikanischen und russischen Experten zum Informationskrieg sagte: „About the cyberattack on Estonia. (…) don’t worry, that attack was carried out by my assistent (…)“, abrufbar unter: https://www. rferl.org/a/Behind_The_Estonia_Cyberattacks/1505613.html. 70  Dies erkennt auch Koh, International Law in Cyberspace, Harvard International Law Journal Online 54, (2012), 1 (8). 71  vereinzelt wird die Zurechenbarkeit als Problem auch relativiert, so z. B. von Dinstein, Computer Network Attacks and Self-Defense, in: Schmitt/O’Donnell (Hrsg.), Computer Network Attack and International Law, Naval War College 2002, S. 99 (111 f.), der unter anderem argumentiert, dass der Gegner u. U. gar nicht beabsichtigt, unerkannt zu bleiben (112); mit Blick auf kritische Infrastrukturen auch

164 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

Zwar wird die Schwierigkeit einer erfolgreichen Zurechnung durchweg anerkannt. Gleichwohl wird die Tragweite dieser Tatsache bei der Erarbeitung rechtlicher Konstruktionen zur Handhabung der Zurechnungsproblematik nicht hinreichend berücksichtigt. Entweder wird eine positive Zurechenbarkeit eines Cyberangriffs schlicht unterstellt,72 oder aber es wird der Tragweite der technischen Hürde nicht hinreichend Rechnung getragen, als die Ansätze allesamt auf der Prämisse fußen, dass sich eine Zurechnung positiv bewerkstelligen lässt. Dies ist insofern nachvollziehbar als das Unvermögen einer belastbaren Identifizierung sich in einer Rechtsordnung als „neuralgisch“ erweist, deren Steuerungsfähigkeit maßgeblich auf Zurechnungs- und Beweisregeln beruht.73 a) Vermutungsregelung Vereinzelt wird vorgeschlagen, eine Vermutung zu formulieren, nach der schädigendes Verhalten, das sich auf staatliche Computer zurückverfolgen lässt, grundsätzlich auch dem positiv rückverfolgten Staat zugerechnet werden müsse.74 Ausgehend davon solle eine Form von Beweislastumkehr gelten von der sich der bezichtigte Staat nur insoweit exkulpieren können solle als er darlegt, selbst Ziel eines Angriffs gewesen zu sein.75 Im Zweifel gilt der, gegebenenfalls nur „beherbergende“, Staat damit als verantwortlich. Dieser Ansatz steht und fällt mit einer erfolgreichen Rückverfolgung, zumindest bis zu Einrichtungen des „beherbergenden“ Staates. Die offenkundige Tatsache, dass überwiegend verschiedene Intermediäre in einen Angriff zwischengeschaltet sind (von denen sich regelmäßig maximal nur der letzte in der Kette ausmachen lässt), lässt die Akzeptanz für eine Vermutung zu Lasten des letzten in der Kette als unrealistisch erscheinen. Gänzlich zum Condron, 403 (415 f.); Creekman, A Helpless America? An Examination of the Legal Options Available to the United States in Response to Varying Types of Cyber-Attacks from China, American University International Law Review Vol. 17, Iss. 3, 2002, 641 (661 f.); Jensen, 207 (232 f.). 72  So im Ergebnis Schmahl, Cybersecurity, in: Berichte der Deutschen Gesellschaft für Internationales Recht, Band 47 (Dethloff/Nolte/Reinisch) 2016, 159 (187 f.). 73  Schmahl, Herausforderungen der Regulierung im Cyberspace, ZöR 2017, 3 (18). 74  Walter, Cyber Security als Herausforderung für das Völkerrecht, JZ 2015, 685 (690); ähnlich von Heinegg, Cyberspace – Ein völkerrechtliches Niemandsland, in: Schmidt-Radefeldt/Meissler (Hrsg.), Automatisierung und Digitalisierung des Krieges. Drohnenkrieg und Cyberwar als Herausforderungen für Ethik, Völkerrecht und Sicherheitspolitik, 159 (172). 75  Walter, aaO; a. A. Schmahl, Cybersecurity, in: Berichte der Deutschen Gesellschaft für Internationales Recht, Band 47 (Dethloff/Nolte/Reinisch) 2016, 159 (188), die sich gegen eine Abweichung vom Erfordernis reasonable certainty stellt.



B. Das klassische Angriffsverständnis im Lichte des Cyberraums 165

Scheitern verurteilt ist der Ansatz ohnehin, sofern nicht einmal dieser letzte Intermediär ausfindig gemacht werden kann. Daneben dürften die bezichtigten Staaten eine institutionelle Zurückhaltung an den Tag legen, eigene Vulnerabilität offenzulegen. Abgesehen davon spielen weitere Faktoren eine Rolle, die sich beide als dem Ansatz nicht zuträglich erweisen. So ist es, wie die jüngere Vergangenheit gezeigt hat und der weitere Verlauf der Ausführungen zeigen wird, grundsätzlich schwierig, sich auf einheitliche Regeln im zwischenstaatlichen Bereich zu verständigen. Dies gilt insbesondere dann, wenn mit ihrer (unterstellt gangbaren) Implementierung einhergeht, das von dem für den konventionellen Bereich geltenden Prinzip der „reasonable certainty“76 zugunsten einer bloßen Vermutung abgewichen wird.77 b) Vorsorgeprinzip Andere setzten sich für die Anwendung eines aus dem Umwelt- und Technikrecht bekannten Vorsorgeprinzips ein.78 Dieses verlagert den „Sanktionsgrund“ weg von der eigentlichen Durchführung auf das Nichtergreifen von präventiven Vorsorgemaßnahmen.79 Der Anknüpfungspunkt ist also in erster Linie nicht ein Tun, sondern ein Unterlassen. Hierfür bedarf es in einem ersten Schritt allerdings einer Verständigung über staatenübergreifende, gemeinsame Verhaltenspflichten, die sich in erster Linie in Sicherheitsstandards, aber auch der Pflicht zur Information nach außen und behördlicher Meldepflicht nach innen80 niederschlagen dürften.81 Initiativen dieser soge76  diesen Maßstab legen verschiedene Schiedsgerichte sowie der IGH an, vgl. Trail Smelter Arbitration Case (USA v. Canada), Schiedsspruch v. 11.3.1941, RIAA Vol. III (1941), S. 1938 (1965); Kenneth P. Yeager v. Islamic Republik of Iran, IranU.S. Claims Tribunal 17 (1987), S. 92 (101 f.), auch das Nicaragua-Urteil, Rn. 29, 57. 77  Vgl. Schmahl, Herausforderungen der Regulierung im Cyberspace, ZöR 2017, 3 (18), die darauf hinweist, dass dies weder im Gewohnheits- noch im Vertragsrecht eine Stütze findet. 78  Krieger, Krieg gegen anonymous, Völkerrechtliche Regelungsmöglichkeiten bei unsicherer Zurechnung im Cyberwar, AVR 2012, 1 (4 f.); siehe auch Geiß/Lahmann, Freedom and Security in Cyberspace: Shifting the Focus away from Military Responses towards Non-forcible Countermeasures and Collective Threat-Prevention, in: Ziolkowski (Hrsg.), Peacetime Regime for State Activities in Cyberspace, 623 (656), die das Prinzip als „precaution“ bezeichnen; kritisch hierzu Walter, JZ 2015, 685 (690). 79  Geiß/Lahmann, aaO, die dies als „due diligence obligations“ bezeichnen. 80  Siehe die bereits verschiedentlich erwähnte Meldepflicht des Betreibers kritischer Infrastrukturen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik nach § 8b Abs. 4 BSIG. 81  Vgl. hierzu auch Schmahl, ZöR 2017, 3 (18 f.).

166 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

nannten softlaw-Maßnahmen hat es auf UN-Ebene bereits gegeben.82 Neben der omnipräsenten Durchsetzungsschwierigkeit solcher Regeln steht und fällt ihre Effizienz mit der zwischenstaatlichen Kooperation. Das gilt insbesondere für diejenigen, die als potentielle Angreifer in Betracht kommen. Da die Perzeption von nationaler sowie innerer und äußerer Sicherheit sich aber gerade in denjenigen Staaten unterscheidet, die als potentielle Angreifer gelten, scheinen sich die softlaw-Maßnahmen nur für diejenigen Staaten zu eignen, die sich ohnehin nicht attackieren, was wiederum die Eignung als solches infrage stellt. Abgesehen davon macht das Vorsorgeprinzip eine erfolgreiche Rückverfolgung auf den Urheber nicht entbehrlich.83 Diese ist Voraussetzung dafür, dass der für nichtstaatliche Angreifer als sicheren Hafen dienenden Staat bzw. bei Durchführung durch staatliche Stellen der Staat selbst, wegen etwaiger Unterlassungen im Bereich der Vorsorge verantwortlich gemacht werden kann. So verlagert das Vorsorgeprinzip lediglich den „Sanktionsgrund“ weg von der eigentlichen Durchführung auf das Nichtergreifen von Vorsorgemaßnahmen, krankt aber ebenfalls am Problem der Zurechenbarkeit, das ihm gleichsam zum Verhängnis wird und es damit wertlos macht. Unterstellt, es gäbe eine völkerrechtliche Vereinbarung über zu leistende Vorsorge und Staat A wird von einer Computernetzwerkoperation heimgesucht, die er auf das Territorium von Staat B (als den letzten in der potentiellen Kette) zurückverfolgen kann und Staat B hat zusätzlich die ihn bindende Vorsorgemaßnahme nicht eingehalten, gleichwohl bestreitet er aber, dass ein Angriff von seinem Territorium ausgegangen und er selbst unmittelbar oder mittelbar Urheber ist. Zwar lässt sich die Nichteinhaltung von Vorsorgemaßnahmen zu seinen Lasten nachweisen. Letzteres jedoch nicht. Ersteres wird insbesondere in Ansehung des zu den Intermediären Gesagten wohl kaum als Grundlage für eine wie auch immer ausgestaltete Verteidigungsmaßnahme herhalten können, letzteres zwar schon, es mangelt aber wiederum an der Nachweisbarkeit. Insofern löst der Denkansatz kein bestehendes Problem. Diesem Ansatz lässt sich ferner der Eindruck entnehmen, der Angriff gehe regelmäßig von einem nichtstaatlichen, sich unter dem Schutzschirm eines Staates wähnenden Akteur aus, nicht jedoch von Seiten eines anderen Staates.84 82  siehe hierzu insbesondere die Berichte, die die GGE-Gruppe veröffentlicht hat, UN Dok A/65/201, UN Dok A/68/98 und UN Dok A/70/174; siehe auch UNGA Res 70/237 (Development in the field of information and telecommunication in the context of international security). 83  So selbst Krieger, AVR 2012, 1 (5); siehe auch Geiß/Lahmann, aaO, die die Zurechnungsproblematik sogar als Grund für ihren Präventionsansatz anführen, gleichwohl sich von einer erfolgreichen Rückverfolgung nicht lösen können. 84  sowohl bei Geiß/Lahmann, 623 ff., Krieger, AVR 2012, 1 (4 ff.) und Schaller, S. 23 f. wird dieser Eindruck erweckt.



B. Das klassische Angriffsverständnis im Lichte des Cyberraums 167

Dafür spricht, dass es, im Falle einer staatlichen Urheberschaft zum einen abwegig wäre, wie vorgeschlagen an die Nichtwahrung von Vorsorgemaßnahmen anzuknüpfen, zum anderen es gleichermaßen abwegig wäre, von dem Angreifer zu erwarten, dass er sich um Vorsorgemaßnahmen bemüht, wo es ihm doch gerade auf den Angriff ankommt. 6. Zwischenergebnis Eine erfolgreiche Zurechnung von Herkunft und Urheberschaft im Cyberraum erweist sich auf dem Boden der Erkenntnisse in Ansehung aller Elemente und Absichten, die dem Kriterium zugrunde liegen und die mit ihm verfolgt werden, als nicht, bzw. nicht gänzlich zu bewerkstelligen.

II. Das spezifisch „Militärische“ – Kein Differenzierungskriterium im Cyberraum Die vorherigen Ausführungen zur Frage, ob das klassische Angriffsverständnis im Cyberraum aufrechterhalten werden kann, legten den Fokus auf die Rückverfolgbarkeit von Ursprung und Urheberschaft. Im Folgenden wird dies nun flankiert von Ausführungen darüber, was typischerweise unter militärisch verstanden wird, und ob das Verständnis darüber im Cyberraum fortgelten kann. In letzterem ist die Beurteilung darüber nicht dem analogen Raum vergleichbar plakativ auszumachen, was in der Konsequenz dazu führt, dass sich auch aus diesem Grund das zuvor dargelegte Angriffsverständnis nicht aufrechterhalten lässt. 1. Grundlegendes Es handelt sich bei der Begrifflichkeit militärisch um eine solche, die vereinzelt Einzug in Rechtsnormen gefunden hat, freilich ohne dass eine Definition vorgehalten wurde. Im Rahmen des als innerer Notstand geführten Art. 87a Abs. 4 GG bedarf es auf Seiten der Aufständischen solcher, die eine militärische Bewaffnung aufweisen. Ferner ist die Begrifflichkeit in dem zuvor erörterten § 8 BPolG angeklungen, der den Einsatz der Bundespolizei im Ausland zum Gegenstand hat und diesen u. a. dann legitimiert, wenn dieser polizeilicher und nicht militärischer Natur ist. Zwar wird diese Vorschrift vereinzelt als Begründung für die Trennung von militärischen und zivilen Aufgaben herangezogen,85 sie stellt inhaltlich jedoch keine Hilfestellung dar, dasjenige zu bestimmten, was das spezifisch Militärische im Kern ausmacht. 85  So z. B. Fischer-Lescano, Verfassungsrechtliche Fragen der Auslandsentsendung des BGS, AöR 2003, 52 (67 ff.).

168 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

Gleichwohl spricht § 8 BPolG dafür, dass es rein tatsächlich möglich zu sein scheint, auch Polizeikräfte militärisch einzusetzen, mit anderen Worten militärisch funktional zu verstehen ist und sich dieser damit nicht anhand formaler Kriterien wie zum Beispiel nach der Zugehörigkeit auf die Streitkräfte beschränken lässt. Schlössen sich polizeiliche und militärische Verwendungen kategorisch aus, hätte es des Tatbestandsmerkmals „nichtmilitäri­ sche[n] Aufgaben“ in § 8 BPolG nämlich nicht bedurft, weil sich dies bereits aus dem Regelungsort Bundespolizeigesetz ergeben hätte. 2. Traditionelles Verständnis Zur Veranschaulichung der Abgrenzung des militärischen vom nichtmilitärischen soll in den folgenden Zeilen zunächst davon ausgegangen werden, dass die Streitkräfte im Gegensatz zu den Polizeikräften über das spezifisch Militärische verfügen. Von untergeordneter Bedeutung für die Einordnung des spezifisch Militärischen dürfte die Organisationsstruktur von Polizeibehörden auf der einen und den Streitkräften auf der anderen Seite sein.86 Zwar handelt es sich um voneinander unabhängige behördliche Strukturen. Diese weisen in ihrem Aufbau jedoch kein Differenzierungskriterium auf, das eine Begrenzung wie der in § 8 BPolG auf „nichtmilitärische Aufgaben“ rechtfertigt. a) Status Soldat nicht maßgebend Ähnlich unzureichend für eine Differenzierung des militärischen vom nichtmilitärischen sind die Ausgestaltungen der Dienstverhältnisse. Wie Beamte und Richter befinden sich auch Soldaten in einem öffentlich-rechtlichen Dienst- und Treueverhältnis.87 Insbesondere die hierarchische Struktur unterscheidet sich bei den Streitkräften nicht von anderen Beamten mit Ausnahme der Richter.88 Zwar unterscheidet sich die Ausgestaltung des Dienstverhältnisses teils erheblich von Beamten. Während ein Beamter Weisungen unterworfen und für die Rechtmäßigkeit seines Handelns bis zur erfolglosen Remonstration verantwortlich bleibt,89 unterliegt der Soldat gegenüber sei86  a. A., wenn auch ohne nähere Begründung Grubert, S. 207; dazu auch Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 95. 87  Kirchhoff, HStR Bd. IV § 84 S. 662. 88  a. A. offenbar Lepper, S. 26, der eine „hierarchische Befehlsstruktur“ und die „ständige Einsatzbereitschaft“ als charakterisierend für den Begriff des Militärischen auffasst, im Übrigen aber allein auf den Zweck zur Landesverteidigung verweist, der vorliegend nicht zielführend ist. 89  § 63 Abs. 1 BBG.



B. Das klassische Angriffsverständnis im Lichte des Cyberraums 169

nem militärischen Vorgesetzten der Pflichtenbindung von Befehl und Gehorsam.90 Er hat den „Anspruch auf Gehorsam“ begründenden Befehl91 unverzüglich auszuführen, sofern er nicht die Menschenwürde verletzt oder einen Straftatbestand erfüllt.92 Ein Remonstrationsrecht hat er nicht, dafür trägt grundsätzlich allein sein Vorgesetzter die Verantwortung für den Befehl.93 Für Soldaten gibt es ferner neben dem Disziplinarrecht ein eigenes Regelungsregime in Gestalt des Wehrstrafgesetzes, das Verhaltensweisen, die, wenn sie von einem Beamten begangen werden, wenn überhaupt eine disziplinarrechtliche Würdigung zur Folge haben können, als Straftaten qualifizieren.94 Gleichwohl handelt es sich hierbei in Gänze um statusrechtliche Unterschiede. So gelten das Wehrstrafgesetz sowie das Soldatengesetz nur für Angehörige der Bundeswehr bzw. Soldaten, um die es sich, um beim Beispiel des § 8 BPolG zu bleiben, bei den Angehörigen der Bundespolizei gerade nicht handelt. Wenn letztere in Ansehung des Wortlauts rein tatsächlich aber gleichwohl in der Lage zu sein scheinen, militärische Aufgaben zu erfüllen, kann der Status aber nicht entscheidend für die Qualifizierung des „Militärischen“ sein. Aus diesem Grund ist auch ein Hinweis auf den Polizeikräften fehlenden Kombattantenstatus nicht zielführend. b) Kein wesentlicher Unterschied beim Führungs- und Entscheidungsprozess Gleichsam unergiebig für die Abgrenzung ist die Gegenüberstellung der Entscheidungsfindungsprozesse. So sind der Planungs- und Entscheidungsprozess95 bei der Polizei sowie der Führungsprozess96 bei den Streitkräften neben vereinzelter sprachlicher Unterschiede inhaltlich identisch. Hierbei ist anzumerken, dass auch der polizeiliche Entscheidungsprozess in einen – so 90  Kirchhoff, HStR Bd. IV § 84 S. 662; beachte, dass diese Pflichtenbindung nur gegenüber dem militärischen Vorgesetzten besteht. So gelten im Verhältnis zu Personen, die befugt sind, dienstliche Anordnungen zu erteilen, die keinen Befehl darstellen, § 62 Absatz 1 und § 63 BBG entsprechend. 91  Nach 2 Nr. 2 WStG legaldefiniert und danach „Eine Anweisung zu einem bestimmten Verhalten, die ein militärischer Vorgesetzter (§ 1 Abs. 3 des Soldatengesetzes) einem Untergebenen schriftlich, mündlich oder in anderer Weise, allgemein oder für den Einzelfall und mit dem Anspruch auf Gehorsam erteilt.“; zum Gehorsam § 11 SG. 92  Siehe § 11 SG. 93  BVerwGE 46, 108 (115). 94  Kirchhoff, HStR Bd. IV § 84 S. 662. 95  So in der Polizeidienstvorschrift-100 (PDV) bezeichnet. 96  Formulierung in der maßgeblichen Heeresdienstvorschrift (HDv 100/100).

170 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

bezeichneten – Befehl mündet, dem es – wenn auch nicht im Rechtssinne – immanent ist, von einem bestimmten Personenkreis entsprechende Befolgung zu beanspruchen.97 c) Die Ausrüstung als Differenzierungskriterium Im Lichte der vorherigen unzureichenden Differenzierungsansätze verbleibt zur Qualifikation des spezifisch Militärischen alleine der sich von allen anderen Sicherheitskräften unterscheidende Umfang der Bewaffnung der Streitkräfte. In diesem Zusammenhang ist die Tatsache, dass es sich bei den Streitkräften um eine eigene, von den anderen Sicherheitsbehörden abgekoppelte Struktur handelt, die gleichzeitig in physischer Hinsicht das größte Machtpotential aufweist, nicht gänzlich unbeachtlich. Dieses Spezifikum erstreckt sich freilich über das bloße Vorhalten der Waffen auch auf die entsprechende und den Angehörigen der Streitkräfte großteils vorbehaltene Ausbildung an den Waffen. Hieraus begründet sich auch die grund- wie auch einfachgesetzlich deutlich höhere Regelungsdichte der Streitkräfte. Gleichwohl ist auch die Bewaffnung als Differenzierungskriterium nur eingeschränkt für die Aufklärung über das spezifisch Militärische geeignet. So ist eine Unterscheidbarkeit sehr wohl im Bereich der Mittel des Luft- und Seekrieges und sicherlich auch in Ansehung von Kampfpanzern und deren Bewaffnung auszumachen, als sie alle gleichermaßen geeignet sind, mit vergleichsweise geringem Einsatz ein erhebliches Maß an gegenständlicher Zerstörung zu erzielen. Nur bedingt eignet sich das Differenzierungskriterium jedoch unter Berücksichtigung von Handfeuerwaffen. In diesem Bereich unterscheidet sich die Bewaffnung beispielsweise der Angehörigen der GSG 9 der Bundespolizei nicht bzw. nicht wesentlich von der des Kommando Spezialkräfte der Bundeswehr. Wenn man dann noch berücksichtigt, dass Angehörige beider Spezialkräfte stellenweise zusammen ausgebildet werden und zudem Angehörige des KSK vereinzelt Einsätze der GSG 9 begleiten haben sollen, weicht die Eignung der Bewaffnung als Differenzierungskriterium weiter auf.98 Im Kern lässt sich eine stichhaltige Erklärung nur insoweit gewinnen, als man die der Polizei nicht zur Verfügung stehende Ausrüstung als militärische Mittel bezeichnet.99 Genau diese sind es auch, die die Verwendungsrestrik97  So

in der Polizeidienstvorschrift-100 (PDV) bezeichnet. Bsp. führt Duthel, Kommando Spezialkräfte, 2015 die Operation Desert Fox im Jahr 2008 an, im Rahmen der Geiseln aus der oberägyptischen Wüste befreit wurden. 99  Abgesehen von spezifischer Bewaffnung sind in diesem Zusammenhang auch Vorrichtungen zur Luftbildaufklärung an Kampfflugzeugen vom Typ Tornado zu nen98  Als



B. Das klassische Angriffsverständnis im Lichte des Cyberraums 171

tion der Streitkräfte rechtfertigen. Diese Beurteilung ist ferner auch sinnstiftend in Bezug auf § 8 BPolG und Art. 87a Abs. 4 GG. Im Unterschied zum Status lässt sich die Bewaffnung ändern und ist nicht, zumindest auf absehbare Zeit, in einer Weise untrennbar mit dem Einzelnen verbunden, die eine Variabilität wie sie insbesondere § 8 BPolG suggeriert, erlaubt. Gleichzeitig offenbart sich auf dem Boden dieser Erkenntnis die enorme Steuerungsmöglichkeit, die in die eine oder andere Richtung besteht und mit Blick auf den Cyberraum noch relevant sein wird. 3. In Ansehung des Cyberraums Die aufgezeigten Schwierigkeiten, auf Grundlage der Bewaffnung militärische von nichtmilitärischen Aufgaben zu trennen, manifestieren sich im Cyberbereich. Mit Verweis auf Kapitel (1) gibt es schlicht keine Cyberwaffe, die als Prototyp einer militärischen Bewaffnung des Cyberraums anzuführen ist. Auch der Versuch, Kenntnisse über das Arsenal deutscher Cyberwaffen sowie deren Angriffsmuster zum Ausgangspunkt zu machen und ausgehend hiervon die Waffen des Angreifers nach militärischen und nichtmilitärischen zu kategorisieren, verfängt nicht.100 So sind offizielle Dokumente der beteiligten Akteure nur wenig aufschlussreich. Der Abschlussbericht des Aufbaustabs für die neue Teilstreitkraft Cyber- und Informationsraum (CIR) weist lediglich darauf hin, im Zuge der Einrichtung „die militärischen Fähigkeiten (…) [im] Org-Element Cyber/IT zu stärken“ sowie die Förderung „militärisch nutzbare[r] Technologien“ zu beschleunigen.101 Eine Vertiefung um welche Technologien es sich handelt bleibt dagegen aus. Diese Restriktion mag zwar auch damit zusammenhängen, dass die Digitalwaffe nach Benutzung gewissermaßen „verbraucht“ ist, weil der Gegner im Unterschied zu einem herkömmlichen Waffeneinsatz, bei dem die verwendete Rakete selbst zerstört wird, (zumindest theoretisch) in der Lage ist, die Infiltration nachzuvollziehen und für die Zukunft seine Abwehrfähigkeit anzupassen.102 nen, die beispielsweise anlässlich des G-8 Gipfels für den 05. Juni 2007 seitens der Landesregierung von Mecklenburg-Vorpommern angefordert wurden, BVerwG 6 C 45.16 – Urteil v. 25. Oktober 2017 (Pressemitteilung abrufbar unter: https://www. bverwg.de/pm/2017/72). 100  Verweis auf Ausführungen zum Stuxnet-Wurm auf S. 21; Gaycken, Cyberwar, Das Internet als Kriegsschauplatz, S. 193. 101  Abschlussbericht des Aufbaustabs für die neue Teilstreitkraft Cyber- und Informationsraum (CIR), der Bezug auf den Tagesbefehl der Bundesministerin für Verteidigung vom 17. September 2015 nimmt, S. 7 f. und 17. 102  Kurz, Auf den Schlachtfeldern der Zukunft, FAZ-Ausgabe vom 11.12.2017, S. 14.

172 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

Gleichwohl sind die gängigen, in Kapitel (1) dargestellten Formen der Computernetzwerkoperationen ohnehin bekannt, sodass vorbenanntem Argument nur eingeschränkte Schlagkraft beizumessen ist. Im Übrigen liegen bisher keine belastbaren Erkenntnisse über eine erfolgte Verwendung durch deutsche Streitkräfte vor,103 was es zusätzlich erschwert, Referenzen für eine Kategorisierung in militärische und nichtmilitärische Cyberfähigkeiten zu bilden. Es lässt sich somit feststellen, dass die aus dem analogen Bereich zumindest begrenzt mögliche Differenzierung im Cyberraum schlicht nicht möglich ist und dem spezifisch Militärischen in der Cyberdimension kein vergleichbarer Stellenwert zukommt.

III. Ergebnis zum klassischen Angriffsverständnis im Lichte des Cyberraums Weil sich der Angriff nicht zurückverfolgen lässt bzw. als offenkundig militärisch deklariert werden kann, lässt sich der Faktor gegnerische Streitkräfte im digitalen Raum also auch nicht als Voraussetzung für den Einsatz der Streitkräfte zur Verteidigung heranziehen, infolgedessen das klassische Angriffsverständnis als Grundlage für den Einsatz der Streitkräfte zur Verteidigung scheitert.

IV. Konsequenz für die Abgrenzung der Streitkräfte zu den (Bundes-)Polizeien Das zuvor ermittelte Ergebnis wirkt sich auf die Abgrenzung zu anderen Sicherheitsbehörden, in erster Linie den Polizeibehörden aus, weil diese auf dem Boden des zuvor geschilderten klassischen Angriffsverständnisses erfolgt. 103  So gibt die Bundesregierung in BT-Drs. 18/6989, S. 8 lediglich an, dass sich die Bundeswehr an der durch das NATO Cooperative Defence Center of Excellence durchgeführten Übung Locked Shields beteiligt habe sowie das die Abteilung Computer Network Operations des Kommandos Strategische Aufklärung der Bundeswehr das Wirken gegen und in gegnerischen bewaffneten Konflikten anhand fiktiver Szenarien übe, ohne aber auf die gestellte Frage, welche offensiven und defensiven Szenarien bereits geübt wurden, einzugehen; eine konkrete Antwort auf die Frage, ob es bislang Aktivitäten der Bundeswehr oder sonstiger deutscher Stellen gab, bei denen mit Cyber-Fähigkeiten in fremde oder gegnerische Netze bzw. IT-Systeme eingegriffen wurde, vermeidet die Bundesregierung unter Hinweis auf einen potentiellen Schaden für die Bundesrepublik Deutschland. Weder bestätigt sie damit den Bericht von Spiegel Online v. 22.09.2016, wonach die Bundeswehr bereits 2015 einen offensiven Cyberangriff in Gestalt des Hacks eines afghanischen Mobilfunkbetreibers zur Erlangung von Informationen über eine entführte Entwicklungshelferin durchgeführt habe, noch dementiert sie ihn; abrufbar unter: http://www.spiegel.de/politik/ausland/cybereinheit-bundeswehr-hackte-afghanisches-mobilfunknetz-a-1113560.html.



B. Das klassische Angriffsverständnis im Lichte des Cyberraums 173

1. Historische Abgrenzungsschwäche: Der Bundesgrenzschutz – Polizeieinheit oder militärischer Verbund? Instruktiv ist in diesem Zusammenhang das Zusammenspiel der Entstehungsgeschichten von Bundesgrenzschutz und Bundeswehr. Der Vorgänger der Bundespolizei ist im Jahre 1951 und damit vor der Bundeswehr (1955) und der Wehrverfassung (1956) ins Leben gerufen worden. Die Tatsache, dass dieser einerseits personell zum Aufbau der Streitkräfte herangezogen wurde,104 gleichzeitig aber nach Begründung derselben fortbestand, wird bisweilen als Beleg für eine Abgrenzungsschwäche zwischen Polizei und Militär angeführt.105 Nicht nur angesichts des personellen Übergangs sahen sich zwangsläufig diejenigen bestätigt, die den BGS von Anbeginn als (para-)militärische Formation beurteilt hatten.106 In selbige Richtung deutete, dass der Großteil des Personals geschlossen kasernierten Verbänden angehörte (§ 59 Abs. 1, Abs. 2 BGSG),107 die Ausbildung- und Führungsgrundsätze große Ähnlichkeiten mit denen der Streitkräfte aufwiesen,108 bis hin dazu, dass die Ausrüstung über die polizeitypische Bewaffnung hinausging109 und sogar militärische Dienstgradbezeichnung110 und Bekleidung111 Einzug hielten. Zu beachten ist ferner, dass den Angehörigen des BGS auch der Kombattantenstatus zuteilwurde (§ 64 Abs. 1 BGSG)112, der BGS sich insoweit also nicht nur materiell und organisatorisch, sondern auch rechtlich von den Landespolizeien ekla104  Siehe hierzu § 1 Abs. 2 BGSG vom 30.05.1956 nach dem der Bundesminister der Verteidigung ermächtigt wurde, aus den bestehenden Verbänden des Bundesgrenzschutzes Verbände der Bundeswehr aufzustellen (BGBl. Teil I Nr. 24 v. 31.05. 1956, S. 436). 105  Willich, Historische und aktuelle Probleme der Rechtsstellung des Bundesgrenzschutzes, seiner Aufgaben und Befugnisse, S. 90. 106  Willich, S. 91. 107  Dierske, Der Bundesgrenzschutz, S. 61 ff.; Winkeler, S.  27 f. 108  Dierske, S.  80 ff., 270 ff. 109  Dierske, S.  324 ff. 110  Götz, in: Deutsche Verwaltungsgeschichte, Bd. 5., S. 434. 111  Götz, in: Deutsche Verwaltungsgeschichte, Bd. 5., aaO und S. 442; Dierske, S.  198 ff. 112  §§ 62 bis 74 sind gem. Art. 3 Abs. 1 G v. 19.10.1994 (BGBl. I S. 2978) m.W.v. 1.11.1994 außer Kraft getreten; die Begründung für den Kombattantenstatus ist im Gesetzentwurf zur Neuregelung über den Bundesgrenzschutz vom 12.05.1994 (BTDrs. 12/7562) angeführt: Ziel war es demnach, die Verbände des BGS im Fall eines bewaffneten Konfliktes völkerrechtlich vor einer Behandlung als „Freischärler“ zu schützen (S. 33); Einwag/Schoen, Bundesgrenzschutzgesetz, § 64 Rn. 18 f. weisen darauf hin, dass der BGS auch im Falle eines bewaffneten Konflikts Polizei geblieben wäre.

174 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

tant, wenngleich von dem was später die Streitkräfte sein sollten nahezu nur noch begrifflich unterschied.113 Diese (para-)militärische Eigenschaft wird von zeitgeschichtliche Quellen aus dem BMI flankiert, aus denen hervorgeht, dass bereits zum Zeitpunkt der Formierung der Grenztruppe die Absicht bestand, diese nach anfänglichem Einsatz als militärisches „Surrogat“114 für die Sicherung der deutsch-deutschen Grenze, später in einer operativen Armee aufgehen zu lassen.115 2. Kein stichhaltiges Exklusivitätsverhältnis auf dem Boden des gesetzlichen Auftrags Dem Verhältnis zwischen Streit- und Polizeikräften wird meist ein Exklusivitätsverhältnis dergestalt entnommen, dass die Zuständigkeit der (Landes-) Polizeien als Gefahrenabwehr- und Strafverfolgungsbehörden bzw. des BKA (in den in Kapitel (2) behandelten Ausnahmen sowie der begrenzten Zuständigkeit für Gefahrenabwehr nach § 4a BKAG) die Zuständigkeit der Streitkräfte ausschließe und umgekehrt. a) Untaugliche Abgrenzung anhand des Auftrags zur Gefahrenabwehr Das ist nur insoweit richtig, als die Streitkräfte keine Strafverfolgungsbehörde darstellen, verwässert jedoch bereits in Ansehung der Gefahrenabwehr als zweite Eigenschaft der Polizeibehörden. So ergibt sich, unabhängig vom noch darzulegenden inhaltlichen Verständnis von Verteidigungsobjekten, bereits auf dem Boden des Wortsinns, dass auch Verteidigung eine Maßnahme der Gefahrenabwehr darstellt. b) Untaugliche Abgrenzung anhand der strafrechtlichen Tatbestandsmäßigkeit Ein Exklusivitätsverhältnis zwischen Streitkräften und Polizeikräften lässt sich aber bereits im analogen Raum, selbst bei bekannter ausländischer Urheberschaft, ohne den sichtbaren Einsatz militärischen Geräts nicht bewerkstelligen. So scheitert eine Abgrenzung etwa anhand der Straf- und Verfolgbarkeit einer Handlung sowohl in materieller als auch in formeller Hinsicht. hierzu auch Winkeler, S.  27 f. Ausdruck verwendet Winkeler, S. 27. 115  Dierske, Geschichte des Bundesgrenzschutzes, S.  155 (nichtveröffentlicht), siehe Verweis hierauf bei Willich, S. 93. 113  Vgl.

114  Diesen



B. Das klassische Angriffsverständnis im Lichte des Cyberraums 175

Dem klassisch-militärischen Repertoire zuzuzählende Angriffshandlungen lassen sich nämlich strafrechtlich durchaus einordnen, wie sich exemplarisch anhand des § 308 StGB (Herbeiführung einer Sprengstoffexplosion) belegen lässt. Damit sind die Angriffshandlungen rein dogmatisch betrachtet nicht nur Gegenstand militärischen Aufgabenbereichs, sondern auch Gegenstand des Schutzgutes öffentlicher Sicherheit und Ordnung. Eine Abgrenzung anhand der bloßen Tatbestandsmäßigkeit einer Handlung scheitert damit. Hinzu kommt, dass selbst das positive Wissen über die ausländische Herkunft des Angriffs nicht dazu geeignet ist, eine Exklusivität – dann auf formeller Basis – herzustellen. Der Grund hierfür liegt in den §§ 5 und speziell 6 StGB begründet. Beide erklären bestimmte Tatbestände auch dann als strafwürdig, wenn sie im Ausland begangen werden. Bei letzterem handelt es sich ferner um eine Ausprägung des Weltrechtsprinzips, nach dem das deutsche Strafrecht auf internationale, in allen Kulturstaaten anerkannte Rechtsgüter erstreckt wird.116 Beide Normen stellen Ausnahmen vom grundsätzlich geltenden Territorialprinzip (§§ 3, 4 StGB) dar. Beispielhaft lässt sich dessen Anwendbarkeit an einem Angriff mit einem nicht näher spezifizierten Lenkflugkörper darstellen. Dieser Einsatz stellt eine gemeingefährliche Straftat in Gestalt der vorgenannten Herbeiführung einer Sprengstoffexplosion (§ 308 StGB) dar, die auch behördlich verfolgt wird, wie § 6 Nr. 2 StGB darlegt.117 Die Redundanz der ausländischen Herkunft und Urheberschaft für die Zuständigkeit der Gefahrenabwehr- und Strafverfolgungsbehörden zeichnet sich darüber hinaus auch an § 13 VStGB ab, der den Angriffskrieg oder eine sonstige Angriffshandlung unter Strafe stellt und zwar unabhängig davon, wo und von wem diese geplant wurde.118 c) Zwischenergebnis Im analogen Raum dürfte sich die Abgrenzung von Streitkräften zu Polizeikräften aus einem Zusammenspiel aus mehreren Faktoren bewerkstelligen lassen. Der Mangel an Literatur in diesem Segment deutet darauf hin, dass diese Frage offenkundig nur vereinzelt für relevant erachtet wird, weil in Ansehung des eingesetzten „militärischen“ Mittels alle weiteren Abgrenzungsbemühungen redundant erscheinen. Hinzu kommt, dass es vorwiegend 116  Fischer,

StGB vor § 3, Rn. 3. ist zu beachten, dass der Katalog des § 6 StGB im hier thematisch interessanten Bereich auf solche Straftaten beschränkt ist, deren Tatmittel Kernenergie, Sprengstoff oder ionisierende Strahlung darstellt, es sich also bei dem § 6 zugrundeliegenden Weltrechtsprinzip um eine enge Ausnahme handelt, die jedoch gerade für die hier in Rede stehende Abgrenzung von Relevanz ist. 118  Ambos, in: MünchKomm StGB, § 6 Rn. 1. 117  Jedoch

176 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

den Streitkräften obliegt, Gefahrenabwehr über die Staatsgrenze hinaus vorzunehmen, wohingegen die klassische Gefahrenabwehr durch die Polizei grundsätzlich (außer es bestehen völkerrechtliche Abkommen) an der Staatsgrenze endet und insoweit nur auf die Eindämmung der Auswirkungen auf das Inland beschränkt ist, nicht jedoch zur Bekämpfung der Ursache.119 Dies spiegelt sich auch in der polizeilichen Ausrüstung wieder. In dem angeführten Beispiel des Raketenangriffs könnte sie die Abwehr bereits mangels des erforderlichen Materials nicht bewerkstelligen. 3. Reflexion auf den Cyberraum Im Cyberraum ist die Situation nicht nur in Ansehung der vorherigen Ausführungen, sondern auch mit Blick auf die Anwendbarkeit des Strafrechts eine andere. So sind die §§ 5 und 6 StGB nicht anwendbar, weil die Normenkataloge keine der weiter vorne behandelten Computerstraftaten (§§ 202a (Ausspähen von Daten), 202b (Abfangen von Daten), 202c (Vorhaben des Ausspähens und Abfangens von Daten), 303a (Datenveränderung) und 303b (Computersabotage)) nennen. Ferner umfasst § 6 StGB allein solche Straftaten, deren Tatmittel gemeingefährlicher Natur (Kernenergie etc.) sind, der digitale Raum tatbestandlich also gänzlich nicht erfasst ist. Insofern scheint für den Bereich der Strafverfolgung bzw. Gefahrenabwehr eine Trennlinie dahingehend zu bestehen, dass die Polizei bei ausländischem Ursprung nicht bzw. nicht über die Abwehr von Auswirkungen derselben auf deutsches Staatsgebiet hinaus zuständig ist, was die Differenzierung vermeintlich erleichtern sollte. Das Problem ist jedoch wiederum, dass es weder positive Kenntnis über die Herkunft gibt (der Angriff könnte also auch von innerhalb kommen und damit die Zuständigkeit der Polizei begründen), noch eine Zuordnung anhand des Einsatzmittels erfolgen kann. Veranschaulichen lässt sich dies anhand der Tatsache, dass eine Computersabotage in Gestalt eines DDoS-Angriffs nach § 303b Abs. 1 Nr. 2 StGB des in Deutschland lokalisierten Netzwerks aus dem Nachbarhaus betrieben werden könnte aber auch vom anderen Ende der Welt. Die Problematik der fehlenden Kenntnis über den Urheber lässt sich anhand des § 4a BKAG verdeutlichen, nach dem das BKA für den Bereich des internationalen Terrorismus auch zur Gefahrenabwehr im Cyberraum zuständig sein kann.120 Um Terrorismus handelt es sich aber nur dann, wenn dieser von einer kriminellen Vereinigung i. S. d. § 129 StGB ausgeht, mithin 119  Verweis

auf S. 97 ff. Rahmen des § 4a Abs. 1 S. 2 BKAG i. V. m. §§ 129a StGB, der auf 303b StGB verweist. 120  im

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 177

es sich um einen nichtstaatlichen Akteur handelt.121 Gerade hierüber besteht aber Unsicherheit bei gänzlich scheiternder bzw. nicht ganzheitlicher Rückverfolgbarkeit zum Urheber. Die Abgrenzung zur Zuständigkeit anderer Sicherheitsbehörden ist vor diesem Hintergrund eine problemträchtige Thematik im digitalen Raum, die in den folgenden Ausführungen stets begleitend eine Rolle spielen wird. Insofern gibt die Antwort auf die Frage, von welchen Faktoren der Einsatz der Streitkräfte zur Verteidigung im digitalen Raum abhängt, im Gegenschluss auch Aufschluss darüber, wann eben nicht die Streitkräfte, sondern die Polizeibehörden zuständig sind.

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik Aus der der Problematik der Rückverfolgbarkeit entspringenden Abgrenzungsschwäche resultiert das Bedürfnis der Entwicklung unterschiedlicher Parameter zur Orientierung für den verfassungskonformen Einsatz der Streitkräfte zur Verteidigung. Hierzu bedarf es der Auseinandersetzung mit verteidigungswürdigen Schutzgütern. Im weiteren Verlauf wird dann das Kriterium der Intensität der Betroffenheit dieser Schutzgüter in den Fokus genommen. Konkret geht es um das Maß, das erforderlich ist, damit sich die teils allgemeinen Schutzgüter im Einzelfall als konkret verteidigungswürdig bezeichnen lassen. Dies wird darüber hinaus veranschaulicht, im Wege einer Subsumtion unter die Szenarien aus Kapitel (1).

I. Parameter für den Einsatz zur Verteidigung Zunächst ist zu klären, ob es für die abstrakte Qualifikation als Verteidigungsobjekt gerade auf die im Cyberraum als nicht bzw. nicht abschließend ermittelbaren Faktoren Ursprung außerhalb der Bundesrepublik Deutschland und staatliche Urheberschaft ankommt. Mit anderen Worten: Kann mit den Tatsachen, dass die Herkunft und die Urheberschaft des Angriffs (wenn überhaupt) nur eingeschränkt rückverfolgen lassen bzw. unbekannt sind, verfassungsrechtlich umgegangen werden?

121  Siehe insgesamt dazu Art. 1 Abs. 1 des EU-Rahmenbeschlusses vom 13. Juni 2002 (Abl. EU Nr. L 164).

178 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

1. Die (Un-)Beachtlichkeit der Herkunft – Verteidigung auch im Innern? Zunächst ist die Problematik zu spezifizieren und abzugrenzen. Unproblematisch ist es, wenn der Ursprung des Angriffs im Ausland liegt und nur in das Inland hineinwirkt. So deutet die Betrachtung aus dem historischen Blickwinkel zwar darauf hin, dass die Landesverteidigung als Reaktion auf die Beeinträchtigung der territorialen Integrität eines Staates typischerweise gegen Kräfte stattfindet, die von außen in dieses einfallen und bei der das Überschreiten der Grenze mit Panzern, Flugzeugen oder Raketen typischerweise das auslösende Element des Angriffs darstellt. Besagter Inlandsbezug ist denklogisch, weil er bereits aus dem Grenzübertritt resultiert. So war es für alle Beteiligten der politischen Führung und der westlichen Verbündeten offenkundig, dass im Falle eines Ausbruchs des Kalten Krieges weite Teile Deutschlands Orte und Zeugen von umfangreichen Kampfhandlungen würden.122 Gegenstand der Betrachtung ist, wie die Tatsache verfassungsrechtlich zu bewerten ist, dass nicht positiv festgestellt werden kann, ob ein Angriff einen inländischen Ursprung hat, sondern regelmäßig maximal nur der letzte Ort eines mitunter mehrfach umgeleiteten Angriffs ausgemacht werden kann. Es fragt sich also, ob der ausländische Ursprung und die positive Kenntnis hierüber verfassungsrechtlich zwingend sind.123 Dabei ist zu beachten, dass der Frage über die Notwendigkeit der positiven Kenntnis über die Herkunft nur dann Bedeutung zukommt, wenn zu dem Ergebnis gelangt wird, dass der Ursprung zwingend im Ausland zu liegen hat, da die positive Kenntnis (jedenfalls in rechtlicher Hinsicht) ansonsten redundant ist.124 Im Folgenden wird sich daher mit der verfassungsrechtlichen Verträglichkeit eines hypothetischen (weil regelmäßig nicht abschließend nachvollziehbaren) Gefahrenursprungs im Innern auseinandergesetzt. a) Grundgesetzlicher Ausgangspunkt des Inlandseinsatzes Der grundgesetzliche Ausgangspunkt für den Inlandseinsatz der Streitkräfte findet sich in Art. 87a Abs. 2 GG. Dieser statuiert, dass die Streitkräfte außer zur Verteidigung nur eingesetzt werden dürfen, soweit das Grundgesetz dies ausdrücklich zulässt. Bezüglich der Frage, welche Verwendungen der Streitkräfte unter den Einsatzbegriff fallen und welche nicht, wird auf die Ausführungen in Kapitel (2) verwiesen. Dieser spielt vorliegend keine Rolle. 122  Verweis

auf S. 151. diese Richtung deutet Ladiges, NZWehrr 2017, 221 (235). 124  Jedenfalls hat das Zurechnungskriterium bzw. das Erfordernis einer positiven Zurechnung keine explizite Erwähnung in der Verfassung gefunden. 123  In

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 179

Die weiteren Einsätze, die das Grundgesetz benennt, stellen mit Ausnahme des hier unbeachtlichen Art. 24 Abs. 2 GG125 ausschließlich Inneneinsätze dar, deren Gefahrenursprung ebenfalls im Innern begründet liegt.126 Hieraus könnte der Schluss gezogen werden, dass, gerade weil die Einsätze gegen Gefahren mit Ursprung im Inland enumerativ vom Grundgesetz aufgeführt werden, sich dies auf den Einsatz zur Verteidigung insoweit auswirkt und den Rahmen steckt, dass dieser ebenfalls nicht gegen einen inländischen Gefahrenursprung erfolgen dürfe.127 Eine solch apodiktische Sichtweise ist jedoch bereits im analogen Raum verkürzt, weil die Frage aufgeworfen werden kann, ob physischer und planerischer Ursprung gleichzusetzen sind, ob beides kumulativ zu verlangen ist oder eines das Andere überwiegt. Für einen generellen Ausschluss innerstaatlich entspringenden Aufbegehrens vom Verteidigungsrecht spricht die Aussage des Art. 87a Abs. 4 GG. Als einer der enumerativ aufgeführten Inneneinsätze erlaubt dieser den Einsatz der Streitkräfte gegen bürgerkriegsähnliche Zustände. Dies soll im Grundsatz auch nicht angezweifelt werden. Lediglich über die Konsequenz herrscht Disput. So schließt die Gefahrenverortung im Inland für Depenheuer nicht zwingend aus, dass es sich um eine Kompetenz zur Verteidigung handele, im Gegenteil: Er ist der Ansicht, bei Art. 87a Abs. 4 GG handele es sich vielmehr um eine „originäre Handlungskompetenz“128 der Streitkräfte „zur Verteidigung“129 im Innern. Ohnehin stößt ein Einsatz zur Verteidigung im Innern in der Literatur keineswegs kategorisch auf Ablehnung, wenngleich in diese Richtung 125  BVerfGE 90, 286 (355 ff.); Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 123, der darauf eingeht, dass das BVerfG mit der Begründung seiner Überlegungen auf Art. 24 Abs. 2 GG die heftig umstrittene Frage der Bedeutung des Begriffs „Verteidigung“ umging; so auch Blumewitz, Der Einsatz deutscher Streitkräfte nach der Entscheidung des BVerfG vom 12. Juli 1994, BayVBl. 1994, 641 (645), der die Begründung des militärischen Beistandes auf Art. 24 Abs. 2 neben dem weiter einschlägigen Art. 87a Abs. 1 als „zweites Standbein“ bezeichnet; ebenso Schultz, S. 210; Siehe auch das Lissabon-Urteil BVerfGE 123, 267 „Der Auslandseinsatz der Streitkräfte ist außer im Verteidigungsfall nur in Systemen der gegenseitigen kollektiven Sicherheit erlaubt“; zu beachten ist, dass das BVerfG erst seit der Entscheidung v. 1994 die NATO als System kollektiver Sicherheit betrachtet; zuvor hat es diese Frage offen gelassen (BVerfGE 68, 1 (95 f.). 126  Gleichwohl lässt das BVerfG ausweislich 90, 286 (356) ausdrücklich offen, ob es sich bei Art. 87a Abs. 2 GG um eine Vorschrift handelt, „die nur den Einsatz der Streitkräfte „nach innen“ regelt“. Ob sie auch darüber hinaus den Einsatz regelt, ist vorliegend unbeachtlich. Für die vorliegende Bearbeitung ist der Teil der Aussage wichtig, dass Art. 87a Abs. 2 GG jedenfalls den Inneneinsatz regelt. 127  im Ergebnis so auch Ladiges, NZWehrr 2017, 221 (235). 128  Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 30. 129  Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 175.

180 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

weisende Sympathien regelmäßig nicht entsprechend betitelt werden, sondern im Rahmen der Thematisierung des Verteidigungsobjekts behandelt werden, in der Konsequenz aber die Zulässigkeit eines Inlandseinsatzes bedeuten.130 b) Bundesverfassungsgerichtliche Maßgaben Die Rechtsprechung des BVerfG hat sich mit der gegenständlichen Frage, weder im analogen noch digitalen Raum bisher explizit auseinandergesetzt, schon gar nicht mit der Bewertung der unsicheren Herkunft und Urheberschaft. Gleichwohl zeigen zwei Entscheidungen vereinzelt Aspekte auf, die darauf hindeuten, dass das Gericht den Einsatz der Streitkräfte im Inland über die im Grundgesetz aufgeführten Inlandsverwendungen hinaus nicht kategorisch ausschließt, erst recht nicht, wenn dies der Verteidigung dient. aa) Inneneinsatz bei Angriff auf die „staatliche Rechts- und Freiheitsordnung“? Zum einen lässt sich das Urteil des BVerfG zum Luftsicherheitsgesetz anführen.131 Im Zuge dieses Urteils erklärte der erkennende Senat § 14 Abs. 3 LuftSiG wegen der Unvereinbarkeit mit dem Recht auf Leben aus Art. 2 Abs. 2 S. 1 GG i. V. m. Art. 1 Abs. 1 GG für nichtig. Die Norm hatte folgenden Inhalt: „Der Bundesminister der Verteidigung kann den Inspekteur der Luftwaffe generell ermächtigen, [Zur Verhinderung des Eintritts eines besonders schweren Unglücksfalles] Maßnahmen nach Absatz 1 [namentlich Luftfahrzeuge abdrängen, zur Landung zwingen, den Einsatz von Waffengewalt androhen oder Warnschüsse abgeben] anzuordnen.“ Zwar geht es im Urteil überwiegend um die verfassungsrechtliche Zulässigkeit einer gesetzgeberischen Abwägung von Leben gegen Leben und damit im Kern um eine grundrechtliche Fragestellung.132 Gleichwohl ist es aber auch für die hier gegenständliche Fragestellung aufschlussreich. 130  Siehe hierzu: Kirchhof, HStR Bd. IV § 84 Rn. 50, nach dem das Grundgesetz nicht den geographischen Einsatzraum, sondern nur den politischen Einsatzzweck begrenze. Überdies wiederum Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 29, 92, nach dem die Herkunft der Gefahr lediglich einen „Sekundärindikator“ darstelle, maßgeblich aber die Intensität der Beeinträchtigung durch den Angriff sei. Zwar vertieft er die Indikatoren nicht weiter, gleichwohl lässt sich seine Auffassung in der Konsequenz nicht mit einem kategorischen Ausschluss des reinen Inneneinsatzes vereinen. Ferner weist er darauf hin, dass der Zweck der landläufigen Unterscheidung in innere und äußere Sicherheit allein eine „Orientierung stiftenden Funktion“ habe, die angesichts einer „sicherheitspolitischen Globalisierung“ mittlerweile aber ohnehin „obsolet“ sei (Rn. 30). 131  BVerfGE 115, 118 ff. 132  BVerfGE 115, 118 (157).

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 181

Zum Anwendungsbereich des dort streitgegenständlichen § 14 Abs. 3 LuftSiG statuierte der Senat nämlich, dass dieser nicht für die Abwehr von Angriffen dient, die auf die „Beseitigung des Gemeinwesens und die Vernichtung der staatlichen Rechts- und Freiheitsordnung gerichtet sind“, sondern auf solche, die nach § 14 Abs. 1 LuftSiG der Verhütung eines besonders schweren Unglücksfalles dienen.133 Auf dieser Grundlage lässt sich eine Überlegung ins Feld führen, wonach – unterstellt Ziel des Angriffs ist die „staatliche Rechts- und Freiheitsordnung“ – der Einsatz der Streitkräfte im Innern nicht kategorisch für ausgeschlossen, sondern vielmehr vom Angriffsziel abhängig ist. Eine vergleichbare Ableitung hat schon Einzug in die Literatur gehalten, wenn auch nicht im Zusammenhang mit dem Verteidigungsspektrum und einem potentiellen Einsatz zur Verteidigung im Innern.134 Vielmehr firmiert sie unter der Rubrik eines ungeschriebenen Rechts des Staatsnotstandes.135 Dieser solle zwar nicht bereits bei einem dem 11. September 2001 vergleichbaren und dem LuftSiG zugrunde gelegenen Sachverhalt in Erwägung gezogen werden, sondern beispielsweise erst bei einem gezielten Angriff auf ein Atomkraftwerk.136 Der Ausgangspunkt liegt in beiden Fällen in der auffallend vagen Äußerung des BVerfG mit dem Unterschied, dass sich bei der hier gegenständlichen Thematik nicht im übergesetzlichen Raum bewegt wird. Jedoch gilt es auf der anderen Seite auch zu berücksichtigen, dass Gegenstand des Urteils explizit das LuftSiG und damit gerade nicht das grundgesetzliche Recht auf Verteidigung war und sich zu letzterem auch nicht explizit geäußert wurde. Mit Blick auf das Verteidigungsrecht gewinnt die Aussage des BVerfG gleichwohl an Stichhaltigkeit, wenn bereits an dieser Stelle vorweggenommen wird, dass Elemente der staatlichen Rechts- und Freiheitsordnung ganz unumstritten als Gegenstand des Verteidigungsspektrums erachtet werden.137 Kategorisch schließt das BVerfG den Streitkräfteeinsatz im Innern jedenfalls nicht aus.138

133  BVerfGE

115, 118 (159). Die Bundeswehr in der neuen Sicherheitsarchitektur, Die Verwaltung 2008, 375, 401. 135  Gramm, aaO. 136  Gramm, 375 (392 und 401). 137  Verweis auf S. 215 ff. 138  So auch Spies-Otto, Wieviel erlaubt das Grundgesetz? Bundeswehreinsatz im Innern, Politische Studien, 468/2016, 23 (25). 134  Gramm,

182 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

bb) Gebot der „strikten Texttreue“ – auch für Verteidigung? Die Entscheidung des BVerfG139 zu den sogenannten out-of-area-Einsätzen war in mehrerlei Hinsicht wegweisend für den Einsatz der Bundeswehr im Ausland. So verpflichtete das BVerfG in seinem Urteil die Bundesregierung für einen Auslandseinsatz bewaffneter Streitkräfte die – grundsätzlich vorherige – konstitutive Zustimmung des Bundestages einzuholen, in dessen Nachgang dann das zuvor erwähnte Parlamentsbeteiligungsgesetz entstand.140 Daneben ging es um die Frage, wie die Art. 87a Abs. 1 und 2 GG auf der einen und Art. 24 Abs. 2 GG auf der anderen Seite zueinanderstehen. Indem es den Art. 24 Abs. 2 GG als „zweites Standbein“141 für den Fall der Bündnisverteidigung ins Feld führte,142 vermied es das BVerfG zwar, sich mit der Bedeutung der Begrifflichkeit Verteidigung in Art. 87a GG auseinanderzusetzen. Auch eine Auseinandersetzung mit dem Einsatz der Streitkräfte im Innern gleich zu welchem Zweck war bereits deshalb nicht geboten, weil sie nicht streitgegenständlich war. Gleichwohl musste das Gericht sein Verständnis von Art. 24 Abs. 2 GG als eigenständige Ermächtigungsnorm für die Bündnisverteidigung wehrverfassungsrechtlich einbetten und thematisierte in diesem Zusammenhang notwendigerweise das Verhältnis des Einsatzes der Streitkräfte zum Zwecke der Verteidigung zu sonstigen Zwecken, wozu auch der Art. 87a Abs. 2 GG gehört. Die Äußerungen des Gerichts hierzu werden bisweilen aus dem Kontext heraus als genereller Beleg gegen den Inlandseinsatz der Streitkräfte, auch den zur Verteidigung angeführt,143 obgleich dies dem Urteil nicht zu entnehmen ist, wie im Folgenden gezeigt wird. So rezipiert das Gericht den Bericht des Rechtsausschusses zur Sicherung der rechtsstaatlichen Ordnung im Verteidigungsfall, der sich zur grundgesetzlichen Verortung derjenigen Bestimmungen äußerte, die den Einsatz der Streitkräfte – außerhalb des Katastropheneinsatzes – erlauben.144 Gegenstand der Verfassungsänderung war die Erweiterung und (Neu-)Ordnung des 139  BVerfGE

90, 286 ff. 90, 286, Leitsatz 3a. 141  so bezeichnet von Blumewitz, Der Einsatz deutscher Streitkräfte nach der Entscheidung des BVerfG vom 12. Juli 1994, BayVBl. 1994, 641 (645); ebenso Schultz, S. 210. 142  Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 123, der die dogmatische Verortung in Art. 24 Abs. 2 GG seinerzeit als einen „geschickten Schachzug“ des Gerichts wertet, mit dem es das wiedervereinigte Deutschland vor einer „drohenden außenpolitischen Handlungsunfähigkeit“ bewahrt habe. 143  Wiefelspütz, Die Bundeswehr in Libyen – Operation Pegasus aus Sicht des Völker- und Staatsrechts, HuV-I 2012, 56 (63). 144  Bericht des Rechtsausschusses, BT-Drs. V/2873, S. 12  f.; BVerfGE 90, 286 (356 f.). 140  BVerfGE

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 183

Art. 87a GG durch Gesetz vom 24. Juni 1968 in seine derzeit gültige Fassung.145 In diesem Zusammenhang wurde auch Art. 87a Abs. 2 GG geschaffen, dessen Funktion der Ausschuss darin sieht, „eine Ableitung ungeschriebener Zuständigkeiten aus der Natur der Sache [auszuschließen], nicht dagegen [solche] Befugnisse die sich aus einem Wortzusammenhang mit der Verteidigungskompetenz ergeben.“146 Das Verfassungsgericht griff diese Ausführung auf und fasste sie in dem vielzitierten Zitat des „Gebot[s] strikter Texttreue“ zusammen, das den Einsatz der Streitkräfte im Innern begrenze. Das Verfassungsgericht schloss für seinen Streitgegenstand daraus, dass Art. 87a Abs. 2 GG nur den Inlandseinsatz einer strikten grundgesetzlichen Texttreue unterzieht, dieser die Mitgliedschaft in einem System gegenseitiger kollektiver Sicherheit und die damit mögliche Teilnahme in Rahmen eines solchen aber nicht einschränke.147 Aus dem Gebot grundgesetzlicher Texttreue lässt sich gleichermaßen auch für die hier behandelte Frage der Verteidigung in Form der Selbstverteidigung, eine parallellaufende Erkenntnis ziehen, die da lautet: Die vom BVerfG148 als „Gebot strikter Texttreue“ bezeichnete Richtschnur für den Inneneinsatz ist allein auf solche Inneneinsätze beschränkt, die gerade nicht in einem „Wortzusammenhang mit der Verteidigungskompetenz“ erfolgen.149 Gerade um letztere geht es hier aber. Das Urteil hält für die hier thematisierte Frage daher weder eine positive Antwort dergestalt bereit, dass es Inlandseinsätze zur Verteidigung in der hier zugespitzten Form mit einem Ursprung im Inland ausdrücklich zulässt. Ihm ist aber auch nicht – wie vielfach verkürzt dargestellt – eine Positionierung allein zu Gunsten des Auslandseinsatzes zur Verteidigung zu entnehmen. Vielmehr deutet die gerichtliche Interpretation der Stellungnahme des Rechtsausschusses darauf hin, dass es den Einsatz der Bundeswehr zur Verteidigung in Gänze, d. h. nicht im Rahmen der Teilnahme in Systemen kollektiver Sicherheit, sondern auch solche zur Selbstverteidigung, losgelöst von denjenigen Verwendungsmöglichkeiten der Bundeswehr betrachtet, die von Art. 87a Abs. 2 abschließend deklariert werden. Hieraus lässt sich für den Inneneinsatz folgern, dass es diesen gerade nicht als starr bzw. als Teil eines grundgesetzlichen Normenkorsetts betrachtet, sondern vielmehr dynamisch und damit in Abhängigkeit von einer Bedrohungslage. 145  So schlug der Rechtsausschuss vor, die Bestimmungen zum Einsatz der Streitkräfte, mit Ausnahme dem zur Katastrophenhilfe, in einem Artikel zusammenzufassen, BT-Drs. V/2873, S. 12. 146  Bericht des Rechtsausschusses, BT-Drs. V/2873, S. 13; darauf Bezug genommen BVerfGE 90, 286 (357). 147  BVerfGE 90, 286 (357). 148  BVerfGE 90, 286 (357). 149  Vgl. auch Lutze, NZWehrr 2003, 101 (104, 113).

184 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

Insofern ist über den Inneneinsatz bei weitem nicht abschließend entschieden, es hat lediglich eine Verlagerung der Frage stattgefunden, die ergebnisoffen ist. Die Frage ist verortet beim „Wortzusammenhang mit der Verteidigungskompetenz“, wie es der Rechtsausschuss bezeichnet hatte sich das BVerfG zu eigen machte. Dieser Zusammenhang und das Verständnis darüber ist Gegenstand der nachfolgenden Ausführungen.150 An dieser Stelle bleibt festzuhalten, dass sich die Rechtsprechung des BVerfG nicht grundsätzlich ablehnend gegenüber einem reinen Inlandseinsatz zur Verteidigung, d. h. außerhalb der von Art. 87a Abs. 2 gesteckten Grenzen interpretieren lässt. c) Umkehrschluss aus § 8 BPolG Aus der Tatsache, dass auch die Polizei, zumal ohne grenzüberschreitendes Element, im Ausland agieren darf wofür das BPolG hierfür in § 8 sogar eine eigene Rechtsgrundlage vorhält, lässt sich der Versuch eines Umkehrschlusses zu Gunsten einer reinen Inlandsverwendung der Streitkräfte unternehmen. Allerdings vermag dieser nicht zu überzeugen, weil der Verteidigungsauftrag der Streitkräfte, anders als der Rettungseinsatz im Ausland, unbestritten eine ausschließliche Kompetenz der Streitkräfte darstellt.151 Zudem ist es normhierarchisch unzulässig bei einer Frage, die nicht einmal verfassungsrechtlich geklärt ist, vom einfachen Recht auf das Verfassungsrecht zu schließen. d) Art. 87a Abs. 4 GG abschließend für den militärischen Inneneinsatz zur (Cyber-)Gefahrenabwehr? Mit Blick auf die Frage des Verhältnisses der Verteidigungskompetenz zum Inneneinsatz ist auch Art. 87a Abs. 4 GG heranzuziehen. Es lässt sich argumentieren, dass die Frage des militärischen Inneneinsatzes in Gestalt der (Cyber-)Gefahrenabwehr schon abschließend beantwortet sei und diese Antwort in Art. 87a Abs. 4 GG Ausdruck gefunden habe. Dieser Argumentation 150  Wollte man in dem Gebot strikter Texttreue ein generelles Postulat auch für den Verteidigungssektor erkennen (In diese Richtung deutet die Ansicht von Schultz, S. 288, wenn er sagt, dass ein Einsatz der „Streitkräfte im Staatsinnern [auch zur Verteidigung] solange ausgeschlossen [ist], wie die von außen herrührenden Gefahren mit polizeilichen Mitteln bekämpft werden können“), so wird ein solches doch gerade befolgt, wenn sich bezüglich der Ermittlung dessen was das Verteidigungsrecht inhaltlich ausmacht, wie im Folgenden aufgezeigt wird, an Normen des Grundgesetzes orientiert wird und nicht schlicht an der weiten Begrifflichkeit Verteidigung, die gänzlich der Konkretisierung jenseits eines wortlautgetreuen Anknüpfungspunktes vorbehalten bleibt. 151  Zur Diskussion siehe Fischer-Lescano, Rechtsrahmen der Maßnahmen gegen die Seepiraterie, NJW 2009, S. 1243 ff.; Wiefelspütz, Die Bundeswehr in Libyen – Operation Pegasus aus Sicht des Völker- und Staatsrechts, HuV-I 2012, 56 ff.

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 185

ist nur teilweise zu folgen. Richtig ist, dass Art. 87a Abs. 4 GG eine besondere Form des Inneneinsatzes regelt, weil aus der tatbestandlichen Gefahrenlage hervorgeht, dass die Streitkräfte hier unter Verwendung ihrer spezifisch militärischen Mittel eingesetzt werden dürfen.152 Ferner deutet insbesondere der Wortlaut nicht darauf hin, dass sich ihre Anwendbarkeit auf den analogen Raum beschränkt.153 Gleichwohl darf nicht von der Hand gewiesen werden, dass es sich bei Art. 87a Abs. 4 GG um eine Eskalationsstufe des Inneren Notstandes handelt und damit um die Kodifikation zu ergreifender Maßnahmen im Rahmen eines Zustandes, der von der Normallage abweicht. Es macht einen rechtsmethodischen Unterschied, ob eine Behörde im Rahmen ihrer originären Zuständigkeit eingesetzt wird, oder aber auf dem Boden einer Grundlage, die sie nur ausnahmsweise berechtigt und der damit lediglich zuständigkeitserweiternde Wirkung zukommt. Ersteres ist im Rahmen der Verteidigung, letzteres bei Art. 87a Abs. 4 GG der Fall. Letzteres hat zur Folge, dass der Ausnahmezustand nicht mehr auf die Ausnahme begrenzt ist, sondern zur Regel avanciert. Di Fabio hat hiervor mit Verweis auf Carl Schmitt sehr pointiert gewarnt: „Man sollte nicht – und dies betrifft auch eine im guten Sinne ‚kreative‘ Rechtswissenschaft – den Versuch unternehmen, das Recht in einen Ausnahmezustand hinein zu veralltäglichen oder vom Ausnahmezustand her konzeptionell zu denken.“154 Genau diese Veralltäglichung würde aber vorgenommen, wenn man – (regelmäßig) auftretende – Cyberangriffe (ohne hier auf die Subsumtionstauglichkeit unter die in Kapitel (1) geschilderten Bedrohungen vorzugreifen) in normativer Hinsicht der Unregelmäßigkeit zuordnet, indem man sie einem Ausnahmezustand zuweist. Gerade weil es sich beim Einsatz der Streitkräfte zur Verteidigung um ihren originären Auftrag handelt, darf dieser nicht Gefahr laufen, von Verfassung wegen zu einer zweitrangigen Größe der Sicher152  Dass Art. 87 Abs. 4 GG für den Einsatz militärischer Waffen eine Sonderstellung hat, bestätigt das BVerfG in BVerfGE 132, 1 (Leitsatz 2), als es sich im Jahr 2012 zur Zulässigkeit der Verwendung militärischer Waffen im Rahmen der vom GG aufgeführten Inlandseinsätze äußerte. Gegenstand war mitunter die Frage, ob im Rahmen von Art. 35 Abs. 2 S. 2 und Abs. 3 GG eine Verwendung spezifisch militärischer Waffen bei einem Einsatz der Streitkräfte nach diesen Vorschriften ausgeschlossen sei. Dies verneinte das BVerfG zwar, wies aber gleichzeitig darauf hin, dass der Einsatz solcher Waffen nur unter „engen Voraussetzungen [zulässig ist], die sicherstellen, dass nicht die strikten Begrenzungen unterlaufen werden, die einem bewaffneten Einsatz der Streitkräfte im Inneren durch Art. 87a Absatz 4 GG gesetzt sind“ und hebt insofern die herausragende Stellung des Art. 87a Abs. 4 GG im Rahmen des Einsatzgefüges hervor. 153  in diesem Sinne auch Ladiges, NZWehrr 2017, 221 (239). 154  Di Fabio, Sicherheit in Freiheit, NJW 2008, 421 (425) mit Verweis auf Schmitt, Politische Theologie, S. 11.

186 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

heitspolitik degradiert zu werden.155 Vor diesem Hintergrund steht Art. 87a Abs. 4 GG einem Inneneinsatz zur Verteidigung nicht entgegen. e) Bundesstaatsprinzip Die vorliegende Untersuchung über die Zulässigkeit der Verteidigung im Rahmen eines reinen Inneneinsatzes, der mitunter – mangels Kenntnis – keinen Auslandsbezug hat, ist auch eine solche, die unter bundestaatlichen Gesichtspunkten zu beleuchten ist.156 In diesem Zusammenhang ist es sachdienlich, die Streitkräfte einmal schlicht als Behörde, und zwar als Bundesbehörde, und damit grundsätzlicher zu betrachten, als dies bedingt durch ihre spezifischen Aufgaben regelmäßig getan wird. aa) Die grundsätzliche Eigenstaatlichkeit der Länder Das Bundesstaatsprinzip aus Art. 20 Abs. 1 GG sichert die Eigenstaatlichkeit der Länder in den von Art. 30, 70 ff., 92 ff. GG erfassten Bereichen ab. Hierzu gehört entsprechend zuvor erläuterten Staatsverständnis die Wahrung der Staatsgewalt der Länder. In diesen Kontext sind die Sicherheitsbehörden einzubetten, mit der Folge, dass sich die Wahrung der Staatsgewalt auch darin ausdrückt, den Ländern die Hoheit über die Sicherheitsbehörden zu belassen. Das Grundgesetz verfolgte diesen Grundsatz ursprünglich konsequent, wie sich an einer Reihe von bereits thematisierten Stellen offenbart.157 So wird der Eigenstaatlichkeit der Länder mit Blick auf das Polizeiwesen da155  So Gramm, Die Bundeswehr in der neuen Sicherheitsarchitektur, Die Verwaltung 2008, 375 (383). 156  So lag der Kern der zuvor erwähnten Diskussion über den Bundesgrenzschutz weniger darin begründet, ob und inwiefern sich der BGS von Streitkräften im klassischen Sinne abgrenzen lasse als vielmehr darin, ob im Zuge seiner Einrichtung die grundgesetzlich verbriefte Polizeihoheit der Länder angetastet würde (Diese Debatte war bereits Gegenstand von Diskussionen im Parlamentarischen Rat zu Art. 87 Abs. 1 S. 2 GG, wie sich unter Berufung auf den Abgeordneten Dr. Menzel (SPD) ermitteln lässt, der in der 114. Sitzung des 1. Deutschen Bundestages vom 25.01.1951 aus der Entstehungsgeschichte zitiert (S. 4276 C/D)). Nur so lässt sich auch die Diskussion darüber erklären, ob in Art. 87 Abs. 1 S. 2 GG die Formulierung „Polizei“ Einzug halten solle oder nicht (Dazu umfangreich Willich, S.  3 f.). 157  Dazu auch Uhle, Zur Bundesgesetzgebungskompetenz für die Abwehr von Gefahren des internationalen Terrorismus, DÖV 2010, 989 (993, 997), der die Beschränkung der GG-Änderung in Art. 73 Nr. 9a GG auf nur drei Fälle und somit die Nichteinführung einer Eilkompetenz des Bundes, wie noch im Rahmen der Beratungen zur Föderalismusreform 2006 erwogen, auf die Wertigkeit des Bundesstaatsprinzips zurückführt; in diesem Zusammenhang ist auch auf die vorbezeichnete Debatte im Rahmen der Schaffung des Art. 87 Abs. 1 S. 2 GG sowie des BGS hinzuweisen, dazu Willich, S. 41 ff. und 90 ff. 70 ff., 77 ff., diese Zögerlichkeit ist insofern interessant,

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 187

durch Rechnung getragen, dass sich die zentralen Aufgaben der wenigen Polizeieinheiten des Bundes, wie beispielsweise der Bundespolizei bzw. vormals des Bundesgrenzschutzes, entweder schon aus dem Namen ergeben (Grenzschutz), jedenfalls aber gesetzlich dergestalt gefasst sind, dass die Polizeihoheit gewahrt bleibt. So ist es beispielsweise nur konsequent, dass das Bundespolizeigesetz keine Befugnisgeneralklausel enthält, weil dies insoweit ein Angriff auf die Eigenstaatlichkeit wäre. Diese Linie zeichnet sich in Ansehung des Bundeskriminalamts und Verfassungsschutzes im Grundsatz fort, die primär mit Koordinierungsfunktionen betraut sind, auch wenn dies in den vergangenen Jahren zunehmend aufgeweicht wurde.158 bb) Exot: Verteidigungsauftrag Nicht in eine Linie mit dem Grundsatz der Eigenstaatlichkeit Länder lässt sich der Einsatz der Streitkräfte zur Verteidigung bringen.159 So gehört die Verteidigung gemäß Art. 73 Abs. 1 Nr. 1 GG nicht nur zur ausschließlichen Gesetzgebungskompetenz des Bundes. Gleichsam ausschließlich dem Bund obliegt gemäß Art. 87a GG auch die Wahrnehmung derselben. cc) Lösung vom Grundsatz bei Cyberbezug Wie bereits in Kapitel (2) angeführt, weicht der Grundsatz der Länderhoheit interessanterweise jedoch zunehmend dort der Zentralisierung, wo der digitale Raum betroffen ist. Beispielsweise bestehen hier für das BKA mittlerweile sogar originäre Zuständigkeiten der Gefahrenabwehr (§ 4a BKAG). Daneben wurde die Zentralstellenfunktion des Bundesamtes für Verfassungsschutz auch im digitalen Raum manifestiert (vgl. § 5 BVerfSchG). Im Einzelnen wird hier auf die dazu umfangreichen Ausführungen in Kapitel (2) verwiesen, die aufgezeigt haben, wie sich diesbezüglich über die vergangenen Jahre eine Tendenz abzeichnet, zu Gunsten von Kompetenz- und Aufgabenerweiterungen des Bundes. Es kann nur schwerlich gegen einen Inneneinsatz der Bundeswehr unter Bezugnahme auf die bundesstaatliche Strukturwahrung argumentiert werden, wenn zum einen Verteidigung ungeachtet ihrer Reichweite im Einzelfall (eingedenk der bundesverfassungsgerichtlichen Rechtsprechung) eine bundesbehördliche Aufgabe ist und zum anderen, insbesondere mit Fokus auf den weil sie auf ein generelles Unbehagen hindeutet, Bundesbehörden zu schaffen bzw. ihnen Kompetenzen zu geben. 158  Verweis auf S. 101 ff. 159  Denninger/Rachor, in: Denninger/Rachor, Handbuch des Polizeirechts, S. 114 Rn. 143 mit Fn. 232.

188 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

Cyberraum, nicht nur Kompetenzen und Aufgaben auf bestehende Bundesbehörden verlagert werden, sondern (außerhalb der operativen Sicherheitsbehörden) sogar Organisationseinheiten geschaffen werden, die allesamt dem BMI und damit einer Bundesbehörde nachgeordnet sind (u. a. BSI etc.). Gleichwohl ist eine solche eher quantitative Betrachtungsweise allein zu eindimensional, um den verteidigungsbedingten Inneneinsatz der Bundeswehr zu begründen. dd) Technisch-praxisbezogene Betrachtung Sowohl die Bedrohungsarten im Cyberraum wie und auch ihre Abwehr sind nur sehr begrenzt mit einer konsequenten Eigenstaatlichkeit der Länder im Sicherheitssektor vereinbar, wie sich bei einem praxisorientierten Fokus feststellen lässt. Die „Beweglichkeit“ des Angreifers sowie seine regelmäßig fehlende Rückführbarkeit, machen es geradezu erforderlich, die Verantwortlichkeit hierfür stärker zu bündeln. Das Argument zur Verhinderung hoheitlicher Machtprojektion des Bundes in die Eigenstaatlichkeit der Länder wird angesichts dieser technischen Erforderlichkeit relativiert. Gleichwohl ist mit der Beantwortung der Frage des ob einer bundesbehördlichen Bündelung nicht beantwortet, in wessen Verantwortungsbereich diese zu liegen hat. Vor dem Hintergrund, dass sich im Cyberraum, wie verschiedentlich angeführt, die Angriffs- und Verteidigungsmittel nicht entlang klassischer Parameter den Streitkräften auf der einen, und den sonstigen Sicherheitsbehörden auf der anderen Seite zuordnen lassen, kann das Für und Wider des Einsatzes der Streitkräfte im Ergebnis zudem weniger auf dem Boden einer technischen als einer rechtlichen Bewertung erfolgen. f) Relativierung des „Droh- und Einschüchterungspotentials“ durch die Streitkräfte im Cyberraum Die vorangegangenen Ausführungen zum Einsatzbegriff bzw. zu dem, was das spezifisch „Militärische“ ausmacht, lassen sich nicht unreflektiert auf den Cyberraum übertragen. Sie bedürfen insoweit der Relativierung, als das, neben der Bundesstaatlichkeit, für die klare Begrenzung der Streitkräfte im Innern zentral angeführte Argument der Begrenzung des den Streitkräften eigentümlichen „Macht- und Drohpotential[s]“160 im Cyberraum nicht aufrechterhalten werden kann. So speist sich dieses Argument im Kern aus der 160  BVerwGE 132, aaO; so hat das BVerwG in vorbenannter Entscheidung, im Zuge der Eingliederung des Soldaten in den Geschäftsbereich des BND, den militärischen Zusammenhang durch die Herauslösung aus den Befehlsstrukturen als unterbrochen angesehen (S. 120 Rn. 69).

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 189

den Streitkräften vorbehaltenen Ausrüstung, insbesondere deren spezifischen Bewaffnung, die sich nicht nur in ihrer Letalität, sondern auch ihrer Breitenwirkung erheblich von der, anderer Sicherheitsbehörde unterscheidet.161 Dies lässt sich im digitalen Konflikt aber gerade nicht aufrechterhalten. Wie zuvor bereits angeführt wurde, relativiert sich im Cyberraum genau das, was klassischerweise unter „Militärisch“ verstanden wird.162 Dies lässt sich bereits anhand der schieren Anzahl derer verifizieren, die als Akteure im Cyberraum zugegen sind und nicht ansatzweise mit dem assoziiert werden können, was klassischerweise unter einem militärischen Machtinstrument verstanden wird. Etwaige Befürchtungen eines insofern begünstigten Machtmissbrauchs bis hin zu einem „Staat im Staate“, lassen sich vor diesem Hintergrund nicht aufrechterhalten. Hinzu kommt, dass der Einsatz der Streitkräfte im Innern zum Zwecke der Cyberabwehr überdies im Regelfall noch nicht einmal gemeinhin wahrgenommen werden dürfte und sich deshalb zumindest visuell ein Droh- und Einschüchterungseffekt nicht begründen lässt. Gleichwohl birgt diese Unkenntnis andere Risiken, auf die im weiteren Verlauf einzugehen sein wird. g) Zwischenergebnis Das BVerfG hat die Beantwortung der Frage über die Möglichkeit eines Inlandseinsatzes zur Verteidigung – einmal mehr weitsichtig – offengelassen. Offengelassen, indem es dem Inlandseinsatz nur bezüglich solcher Einsätze Schranken setzt, die nicht in einem „Wortzusammenhang mit der Verteidigungskompetenz“ erfolgen.163 Damit ist der, potentiell, reine Inneneinsatz zur Verteidigung nicht kategorisch unmöglich, hängt aber davon ab, ob Verteidigungswürdigkeit besteht. Das Verteidigungsspektrum wurde noch nicht beleuchtet, das Angriffsverständnis dagegen schon, sowohl in seiner Dimension vor Einführung und im Zuge der Änderung des Grundgesetzes, wie auch im Lichte der digitalen Bedrohungslage. Interpretiert man den Wortzusammenhang allein auf dem Boden des klassischen Angriffs bedeutet das: Verteidigung und möglicher Ursprung im Inland schließen sich aus. Übertragen auf den Cyberraum bedeutet das ferner: Erhebt man den Anspruch, der 161  Siehe hierzu Grubert, S. 217 f., der die Einschränkung des innerstaatlichen (in seinen Worten „polizeilichen“) Einsatzes des Militärs als Lehre aus Kaiserreich und Weimarer Republik versteht, um der Gefahr des Machtzuwachses und Politisierung des Militärs im Interesse der Regierung vorzubeugen; Fischer-Lescano, AöR 2003, 52 (68), der als Vertreter der Trennung polizeilich-militärischen Tätigkeit diese mit der Verhinderung multifunktionaler, paramilitärischer bewaffneter Verbände begründet. 162  S.  103 ff. 163  Bericht des Rechtsausschusses, BT-Drs. V/2873, S. 13; darauf Bezug genommen BVerfGE 90, 286 (357); vgl. auch Lutze, NZWehrr 2003, 101 (104 und 113).

190 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

Angriff benötigt eine ausländische Urheberschaft als unabdingbares Kriterium für die Auslösung des Verteidigungsrechts, führt dies angesichts der erheblichen Schwierigkeiten der Zurechnung zu einer gravierenden Beschneidung des Verteidigungsrechts im Cyberraum, sodass dieses versinnbildlicht als Hülle ohne Frucht zurückbleibt.164 Um nochmals darauf hinzuweisen: Das Problem ist nicht, dass sich Aus- und Inland nicht unterscheiden ließen, wovon der Aufbaustab Cyber- und Informationsraum des BMVg fälschlicherweise ausgeht, wenn es dort heißt, der Cyberraum „[kenne] keine nationalen Grenzen“165. Den Staatsgrenzen kommt sehr wohl Relevanz zu, wie in Kapitel (1) aufgezeigt wurde. Das Problem ist die unzureichende Rückverfolgbarkeit. Das BVerfG auf der einen und die angesprochenen Verfassungsänderungen zu Gunsten von Bundeskompetenzen auf der anderen Seite machen deutlich, dass nicht nur der Verfassungstext, sondern auch seine Interpretation wandelbar ist, sich damit gegenüber neuen Bedrohungslagen nicht versperrt und somit insgesamt „das Recht der inneren und äußeren Sicherheit (…) nicht sakrosankt für sachliche Anpassungen [ist]“166. 2. Die (Un-)Beachtlichkeit des Urhebers – Verteidigung gegen jeden? Die Unwissenheit über den Ursprung erstreckt sich neben der Unwissenheit über die rein physische Herkunft auch auf die konkrete Urheberschaft des Angriffs. Insofern ist zu ermitteln, wie mit dieser Problematik verfassungsrechtlich umzugehen ist, konkret also, ob es darauf ankommt, dass es sich um einen staatlichen Urheber handelt. Weil diese Frage stark völkerrechtlich dominiert ist, ist zunächst das – auch für den weiteren Verlauf nicht unerhebliche – Verhältnis des Verfassungsrechts zum Völkerrecht zu erläutern. a) Exkurs: Verhältnis nationales Recht/Völkerrecht Das Verhältnis des Völkerrechts zum nationalen Recht lässt sich nicht allgemein beantworten, sondern allein in der Gesamtschau mit der jeweiligen Rechtsordnung.167 Vorliegend steht das Verhältnis zum Grundgesetz im Fo164  Vgl. Hernekamp, in: v. Münch/Kunig Art. 87a Rn. 4, der sich dafür ausspricht, den Verteidigungsbegriff von seiner traditionellen Fixierung auf militärische Angriffe im Staatenkrieg zu lösen. 165  Abschlussbericht des Aufbaustabs für die Teilstreitkraft Cyber- und Informa­ tionsraum (CIR), S. 4. 166  Di Fabio, Sicherheit in Freiheit, NJW 2008, 421 (425). 167  Will, Völkerrecht und nationales Recht. Dogmatische Grundlagen und konkrete Ausgestaltung am Beispiel der deutschen Verfassungsordnung, JA 2015, 1164 (1168).

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 191

kus. In einem zweiten Schritt wird sodann explizit auf den Verteidigungssektor eingegangen. aa) Gegenstand des Völkerrechts Das Völkerrecht regelt die Rechtsbeziehungen zwischen – hier im Vordergrund stehenden – Staaten sowie zwischen Staaten und internationalen Organisationen.168 Die zentralen Rechtsquellen des Völkerrechts sind das Völkervertragsrecht, das Völkergewohnheitsrecht sowie allgemeine Rechtsgrundsätze.169 Sofern es an einem zwischenstaatlichen Bezug fehlt, gibt es konsequent kein Einfalltor für diejenigen völkerrechtlichen Vorschriften, die einen zwischenstaatlichen Bezug verlangen. Dies ist vorliegend im Hinblick auf die Zurechnung von Cyberangriffen relevant. Wenn der Angriff sowohl einen innerstaatlichen Ursprung als auch ein innerstaatliches Ziel hat, bleibt das Völkerrecht außen vor. bb) Allgemeines Rangverhältnis Im Hinblick auf ein allgemeines Rangverhältnis zwischen Völkerrecht und Verfassungsrecht ist zunächst einmal festzuhalten, dass das Völkerrecht diesbezüglich zurückhaltend ist. Lediglich für das Völkervertragsrecht enthält Art. 27 der Wiener Vertragsrechtskonvention (WRV) eine konkretisierende Regel, wonach es einer Vertragspartei verwehrt ist, sich auf ihr innerstaatliches Recht zu berufen, um die Nichterfüllung eines Vertrages zu rechtfertigen. Im Laufe der Zeit haben sich zwei Strömungen entwickelt: Der Monismus und der Dualismus.170 Während der Monismus davon ausgeht, dass es sich bei Völkerrecht und nationalem Recht um Teile einer einheitlichen (monistischen) Gesamtrechtsordnung handele, gehen die Vertreter des Dualismus von der Autonomie der jeweiligen Rechtsordnungen aus.171 Heutzutage dominieren Mischformen dieser beiden Theorien.172 Gleichwohl sind die Theorien allein wenig aussagekräftig, wenn es um das konkrete Verhält168  Raap, in: Schöbener (Hrsg.), Völkerrecht, S. 535; Hinzu kommen u. U. potentiell noch Individuen bzw. Gruppen von Individuen sowie transnationale Unternehmen. 169  Siehe Art. 38 I lit. b und c IGH-Statut; Ipsen, § 1 Rn. 15; Schorkopf, Staatsrecht der internationalen Beziehungen, S. 152 f. 170  Instruktiv hierzu Rudolf, Völkerrecht und deutsches Recht, S. 128 ff. 171  Will, JA 2015, 1164 (1166). 172  Rudolf, S. 141; in diese Richtung deutet auch BVerfGE 111, 307 (318), wenn hinsichtlich des Verhältnisses von nationalem Recht von „einem Verhältnis zweier unterschiedlicher Rechtskreise“ gesprochen wird.

192 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

nis zwischen dem Völkerrecht und dem nationalen Recht geht, weil sich dies im Kern nach dem jeweiligen Verfassungsrecht selbst bestimmt.173 Mit Blick auf das Grundgesetz ist neben Art. 59 Abs. 2 insbesondere Art. 25 GG relevant, nach dem die allgemeinen Regeln des Völkerrechts Bestandteil des Bundesrechts sind und den Gesetzen vorgehen. Der Wortlaut des Art. 25 GG ist mehrdeutig. So besteht nach ihm zum einen die Möglichkeit, dass das Völkerrecht als Bundesrecht unterhalb der Verfassung einzuordnen ist. Dagegen lässt S. 2 den Schluss zu, dass es anderen Rechtsnormen vorgehe und somit generell an erster Stelle der Rechtsordnung einzuordnen ist. Daneben wird dem Grundgesetz eine Völkerrechtsfreundlichkeit beigemessen, die an verschiedenen Stellen zutage tritt und der ebenfalls Rechnung zu tragen ist.174 In der Literatur wurde aus den Formulierungen in Art. 25 GG teilweise auf einen Verfassungsrang175 des Völkerrechts geschlossen, was sowohl von der Rechtsprechung wie auch seitens der überwiegenden Literatur abgelehnt wird.176 Dies beginnt schon mit dem Wortlaut. So schließt die Formulierung in Art. 25 GG, wonach die allgemeinen Regeln des Völkerrechts „den Gesetzen“ vorgehen, jedenfalls nicht notwendig das Grundgesetz selbst ein.177 Ferner wäre kaum zu begründen, dass der Verfassungsgeber Normen mit einem höheren Rang als die Verfassung selbst ausstatten kann.178 173  Sauer,

Staatsrecht III, S. 86. 111, 307 (317 ff.); Ipsen, § 55 Rn. 75; schon die Präambel spricht von einer Verpflichtung „dem Frieden der Welt zu dienen“. Daneben bekennt sich das Grundgesetz in Art. 1 Abs. 2 zu „Menschenrechten als Grundlage jeder menschlichen Gemeinschaft, des Friedens und der Gerechtigkeit in der Welt“ und weist in Art. 9 Abs. 2 auf die „Völkerverständigung“ im Zusammenhang mit Vereinigungsverboten hin. Auch aus der Zielbestimmung der europäischen Einigung und der in diesem Kontext bestehenden Möglichkeit der Übertragung von Hoheitsrechten in Art. 23 f. spricht klar der Geist der Völkerrechtsfreundlichkeit. 175  Siehe dazu Doehring, Die allgemeinen Regeln des völkerrechtlichen Fremdenrechts und das deutsche Verfassungsrecht, S. 183 ff. 176  Ablehnend bereits Curtius, Völkerrechtliche Schranken der Änderung des Grundgesetzes, DÖV 1955, 145 (146); gegen einen Überverfassungsrang des Völkerrechts spricht sich explizit Wollenschläger, in: Dreier, GG-Kommentar, Art. 25 Rn. 30 aus obgleich er darauf hinweist, dass die gebotene völkerrechtsfreundliche Auslegung des Grundgesetzes das Völkerrecht in die Nähe eines Verfassungsrangs führe; Herdegen, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 05/2016, Art. 25 Rn. 8 stimmt im Grundsatz zu, wendet sich jedoch gegen eine inflationäre Nutzung des Begriffs der Völkerrechtsfreundlichkeit und weist darauf hin, dass dieses nicht geeignet sei, den innerstaatlichen Geltungsrang von Völkerrechtsgrundsätzen zu bestimmen. 177  BVerfGE 6, 32 (38), 24, 184 (195 f.); Hofmann, in: Umbach/Clemens, Das Grundgesetz, Art. 25 Rn. 23; Rojahn, in: v. Münch/Kunig Art. 25 Rn. 55. 178  Rojahn, in: v. Münch/Kunig Art. 25 aaO.; Rudolf, S.  264 f. 174  BVerfGE

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 193

Das BVerfG betonte, dass das Völkerrecht „nicht mit dem Rang des Verfassungsrechts ausgestattet [ist]“.179 Hierfür spricht vor allem, dass eine Gleichstellung zu einer Durchbrechung der von Art. 79 Abs. 1 GG dargelegten Anforderungen an die Verfassungsänderung führen würde.180 So könnte bei Einräumung von Verfassungsrang das hier normierte Gebot der Textänderung unterlaufen werden, wenn das Grundgesetz selbst, in Ansehung von Art. 25 GG einen „Verfassungswandel durch ungeschriebenes Völkerrecht“ ermöglichte.181 Insofern hebt Art. 25 GG zwar die allgemeinen Regeln des Völkerrechts über die einfachen Gesetze, tastet den Vorrang der Verfassung jedoch nicht an.182 Auch die Völkerrechtsfreundlichkeit des Grundgesetzes darf nicht in eine Aufwertung des Völkerrechts gegenüber dem Verfassungsrecht fehlgedeutet werden.183 So besteht zwar Völkerrechtsfreundlichkeit der deutschen Rechtsordnung gegenüber dem Völkerrecht, jedoch nicht mit der Folge, dass sich ersteres dem Völkerrecht unterwirft. Das Völkerrecht ist damit auch für einen verfassungsrechtlichen Begriff nicht wesensbestimmend.184 Dem Postulat der Völkerrechtsfreundlichkeit wird dadurch Rechnung getragen, dass das nationale Recht einschließlich des Verfassungsrechts völkerrechtsfreundlich ausgelegt wird.185 Mittlerweile besteht zwischen der h. M. im Schrifttum und der Rechtsprechung ein Konsens hinsichtlich des Ranges dahingehend, dass die allgemeinen Regeln des Völkerrechts in der innerstaatlichen Rechtsordnung den Rang zwischen Verfassungsrecht und (formellem) Gesetzesrecht einnehmen.186 cc) Besonderes, auf Verteidigung bezogenes Rangverhältnis Im Rahmen der folgenden Ausführungen zum Verhältnis von Verfassungsrecht und Völkerrecht zueinander liegt der Fokus nunmehr konkret auf dem Verteidigungsrecht. Dieses folgt wie dargestellt unmittelbar aus dem Grund179  BVerfGE

111, 307 (318 f.); 112, 1 (25 f.). JZ 2013, 12 (15). 181  Rojahn, in: v. Münch/Kunig Art. 25 Rn. 56. 182  Talmon, aaO. 183  BVerfGE 111, 307 (318). 184  Schultz, S. 232. 185  BVerfGE 111, 307 (317 f.); BVerfG EuZW 2018, 637 (641); Sauer, Staatsrecht III, S.  86 f.; Will, JA 2015, 1164 (1168). 186  „Treaty Override Entscheidung“ des BVerfG 141, 1 (17); Hofmann, in: Umbach/Clemens, Das Grundgesetz, Art. 25 aaO.; Talmon, aaO. verwendete bereits zuvor die Begrifflichkeit „Zwischenrang“; Rojahn, in: v. Münch/Kunig Art. 25 aaO.; Wollenschläger, in: Dreier, GG-Kommentar, Art. 25 aaO. 180  Talmon,

194 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

gesetz und ist einfachgesetzlich nicht spezifiziert. Eingedenk dieser Tatsache sowie die vorherigen Ausführungen zum grundsätzlichen Rangverhältnis zugrunde gelegt, scheint sich das Verhältnis zwischen dem Verteidigungsrecht und der jeweiligen völkerrechtlichen Regelungen entsprechend der zuvor genannten Grundsätze zu verhalten, wonach das Verfassungsrecht dem Völkerrecht vorgeht. Gleichwohl ist diese Begründung verkürzt. So gibt es Stimmen, nach denen das Grundgesetz der Sache nach zwei Verteidigungsbegriffe kenne: Einen völkerrechtlichen und einen verfassungsrechtlichen.187 Diese Sichtweise bekam durch die Streitkräfteentscheidung des BVerfG neuen Auftrieb, in der das Gericht – wie bereits dargestellt – Art. 24 Abs. 2 GG neben Art. 87a Abs. 1 GG eine eigenständige Ermächtigungsnorm für die (Bündnis-)Verteidigung beimaß.188 Konsequent fortgedacht stellt sich insofern die Frage, ob der Verteidigungsbegriff des Art. 87a Abs. 1 GG dann noch einen völkerrechtlichen Bezug aufweisen kann. Überwiegend wird ein solcher Bezug jedoch nicht nur bejaht, sondern – quasi als Extremauffassung zum doppelten Verteidigungsbegriff – auch davon ausgegangen, dass das verfassungsrechtliche und das völkerrechtliche Verteidigungsrecht völlig gleichliefen, mit der Folge, dass Verteidigung im Sinne des Art. 87a Abs. 1 GG die ausdrückliche Festlegung auf eine ausschließlich völkerrechtskonforme Verwendung deutscher Streitkräfte sei.189 So streng sieht es das BVerfG nicht, wenn es betont, dass der „Einsatz bewaffneter Streitkräfte“ ein verfassungsrechtlicher Begriff sei, „dessen Konkretisierung von der völkerrechtlichen Grundlage des konkreten Einsatzes nicht unmittelbar abhängt“190. Mössner, in: FS Schlochauer, 97 (102). 90, 286 (355 ff.); hierauf hinweisend Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 123. 189  Herdegen, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 05/2015, Art. 26 Rn. 4; Hernekamp, in: v. Münch/Kunig Art. 87a Rn. 4; Hernekamp führt an, dass nur in Ausnahmefällen – infolge eines schleichenden Systemwandels – dem Verteidigungsbegriff eine verfassungsimmanente Beschränkung zuteilwerden könne, im Übrigen sei jedoch das Völkerrecht die Richtschnur für die Begründung eines Zustandes als verteidigungswürdig; siehe auch Fischer-Lescano, Rechtsrahmen der Maßnahmen gegen die Seepiraterie, NJW 2009, 1243, 1245, der sich aus der anderen Warte zum Verhältnis des Einsatzes der Streitkräfte einerseits auf dem Boden verfassungsrechtlicher und andererseits völkerrechtlicher Grundlagen äußert. Er behauptet, „dass Art. 25 GG wegen der Prozesshaftigkeit der Entstehung von Völkergewohnheitsrecht und der eingeschränkten Einflussmöglichkeit des deutschen (Verfassungs-)Gesetzgebers nicht per se dem Ausdrücklichkeitserfordernis des Art. 87a Abs. 2 GG genügen kann“; Condron, Getting it right: Protecting American Critical Infrastructure in Cyberspace, Harvard Journal of Law & Technology, Vol. 20, No. 2, 2007, 403 (415), der sich gegen einen Gleichlauf von nationalem Recht und Verfassungsrecht ausspricht im Hinblick auf das Verteidigungsrecht. 190  BVerfG 121, 135 (156). 187  So

188  BVerfGE

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 195

Auf dem Boden des grundsätzlichen Rangverhältnisses und dem Bezug des BVerfG auf das Wehrverfassungsrecht wäre es damit methodisch inkonsequent, den verfassungsrechtlichen Verteidigungsbegriff einseitig am Völkerrecht oder (sofern man der Auffassung nach der doppelten Begrifflichkeit folgt) an einem völkerrechtlichen Verteidigungsbegriff zu messen.191 Dies soll nicht darüber hinwegtäuschen, dass auch der Verteidigungsbegriff völkerrechtsfreundlich auszulegen ist und dies angesichts ihres grenzüberschreitenden Elements gerade die Verteidigungshandlungen erfasst. Das Postulat der Völkerrechtsfreundlichkeit ergibt sich jedoch indirekt aus Art. 26 Abs. 1 GG und damit auch aus der Verfassung selbst, sodass sich der grundsätzliche normhierarchische Vorrang des Grundgesetzes auch nicht im Zuge einer völkerrechtsfreundlichen Auslegung des Verteidigungsbegriffs unterwandern lässt.192 dd) Auswirkung mangelnder Rückverfolgbarkeit Unbeschadet der vorbeantworteten Ausführungen zu den Fragen, wie sich das Rangverhältnis zwischen Völkerrecht und Verfassungsrecht allgemein und mit Blick auf das Verteidigungsrecht darstellt, ist vermeintlich banal anzumerken, dass sich beides nicht stets in ein Rangverhältnis setzen lässt. Dies ist dann der Fall, wenn das Völkerrecht gar nicht tangiert ist. Das ist beispielsweise der Fall, wenn es an einem zwischenstaatlichen Bezug fehlt. In diesem Zusammenhang rückt die Problematik der unsicheren Zurechnung wieder in den Fokus. Wegen der Ungewissheit über die Urheberschaft im Zuge der vielfachen Umleitung eines Angriffs über mehrere Punkte kann ein völkerrechtlicher Bezug nur dann positiv festgestellt werden, wenn der zuletzt rückverfolgbare Intermediär aus dem Ausland herrührt. b) Die (Un-)Beachtlichkeit staatlicher Urheberschaft Nach dem Exkurs über das Verhältnis von Völkerrecht und Verfassungsrecht zueinander kann sich nun dem zweiten Teil der Ausgangsfrage gewidmet werden, deren Gegenstand die (Un-)Beachtlichkeit staatlicher Urheberschaft ist, nachdem zuvor bereits die (Un-)Beachtlichkeit der Herkunft im Zusammenhang mit dem Inneneinsatz behandelt wurde. Die Bundesregierung hält sich zur Eignung nichtstaatlicher Urheberschaft für die Auslösung des Verteidigungsrechts bisher bedeckt.193 Auf Seiten der 191  Schultz,

S. 232. hierzu auch Gramm, Die Bundeswehr in der neuen Sicherheitsarchitektur, Die Verwaltung 2008, 375, 391. 193  Siehe dazu BT-Drs. 18/6989, S. 13 Frage 38, in der sich bei der Bundesregierung danach erkundigt wird, ob die Bundeswehr oder Stellen der Bundeswehrverwal192  Vgl.

196 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

Literatur194 ist dagegen eine Trendwende dahingehend auszumachen, dass die Verwendbarkeit der Streitkräfte gegen nichtstaatliche Akteure im analogen wie digitalen Bereich zunehmend Anklang findet.195 aa) Qualitative und quantitative Zunahme nichtstaatlicher Akteure Diese Wende ist maßgeblich auf zwei synergetisch wirkende Faktoren zurückzuführen. Einerseits die quantitative Zunahme terroristischer Anschläge gegenüber klassisch kriegerischen Auseinandersetzungen. Zweitens ist eine qualitative Annäherung auszumachen im Hinblick auf den Grad der Beeinträchtigung zwischen nichtstaatlich gesteuerten Operationen und solchen, deren Urheberschaft staatlichen Ursprungs ist.196 Exemplarisch für letzteres sind die Anschläge vom 11. September 2001, deren physische Zerstörung zweifelsohne mit der einer Detonation klassischer militärischer Mittel vergleichbar ist.197 Dies erkannte auch der UN-Sicherheitsrat, der in den Resolutionen zum 11. September198 erstmals darauf verzichtete, eine tatsächliche Friedens- bzw. Sicherheitsbedrohung erst festzustellen, nachdem ein Staat seiner, auf einer vorherigen Sicherheitsratsresolution beruhende, Pflicht zur Bekämpfung des internationalen Terrorismus nicht nachgekommen ist.199 Die tung auch Zuständigkeiten bezüglich „Gefährdungen“ für zivile Infrastrukturen erhalten sollen, die von nicht-militärischen Akteuren ausgehen und die Bundesregierung lediglich auf § 3 Abs. 1 S. 2 Nr. 17 BSIG verweist, der zur inhaltlichen Klärung nur bedingt beiträgt und die Frage im Kern unbeantwortet lässt. 194  Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 26, 30 und 95; siehe auch Bruha, Gewaltverbot und humanitäres Völkerrecht nach dem 11. September 2001, AVR, Bd. 40, (2002), 383 (394), der im Nachgang der Terroranschläge vom 11. September 2001 sich positiv zu der Frage äußert, ob nichtstaatliche Akteure das Selbstverteidigungsrecht nach Art. 51 UNC auslösen können; siehe auch Krajewski, Selbstverteidigung gegen bewaffnete Angriffe nicht-staatlicher Organisationen – Der 11. September 2001 und seine Folgen, AVR, Bd. 40, (2002), 183 (197 f.). 195  explizit mit Blick auf den Cyberraum Banks, State Responsibility and Attribution of Cyber Intrusions After Tallinn 2.0, Texas Law Review, Vol. 95, 2017, 1487 (1513). 196  Diese argumentative Grundlage wählt auch Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a, Rn. 30, nach dessen Auffassung die „Abwehr eines terroristischen Angriffs im Inland (…) ebenso Verteidigung sein [kann] wie Auslandseinsätze etwa in Afghanistan“. 197  siehe Hernekamp, in: v. Münch/Kunig Art. 87a aaO, der die Anschläge vom 11. September 2001 als Anlass für eine Weiterentwicklung des Verteidigungsbegriffs nimmt; dazu auch Krajewski, aaO. 198  SR-Res. 1368 (2001) vom 12.9.2001 und SR-Res. 1373 (2001) vom 28.9.2001. 199  Stuby, Internationaler Terrorismus und Völkerrecht, Blätter für deutsche und internationale Politik, 2001, 1130 (1339); zur völkerrechtlichen Praxis siehe Krajewski, AVR, Bd. 40, (2002), 183 (368 f.).

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 197

Resolutionen lassen sich in der Konsequenz als praktischer Beleg dafür anführen, dass die herkömmlich Staaten vorbehaltene Eigenschaft, potentiell eine Friedens- und Sicherheitsbedrohung darzustellen, offenbar auch nichtstaatlichen Akteuren zugetraut wird und diese damit Adressaten völkerrechtlicher Pflichten sein können.200 bb) Vorhalten einer „militärähnlichen Struktur“? Was die Qualifikation eines nichtstaatlichen Angriffs als verteidigungswürdig angeht, lassen sich die Stimmen in der Literatur dabei in zwei Lager teilen. Während die einen solche bedingungslos anerkennen,201 verlangen andere202 für eine entsprechende Öffnung des Verteidigungsbegriffs, dass der Angreifer eine „militärähnliche Struktur“203 aufweist, bzw. der Angriff „von außen gesteuert“204 wird und nehmen damit Elemente des Herkunftskriteriums als Bedingung in Anspruch. Dabei ist anzumerken, dass die Maßgabe der militärähnlichen Strukturen indes keine Bestimmtheit erzielt, wie die Ausführungen hierzu zum spezifisch Militärischen insbesondere im Lichte des Cyberraums an früherer Stelle offenbart haben.205 Selbst das Argument, mit dem an früherer Stelle das Militärische qualifiziert wurde, namentlich die spezifische Form der Bewaffnung, lässt sich nicht einmal für den analogen Raum aufrechterhalten. So verfügen nichtstaatliche Akteure heutzutage über ein Waffenarsenal, das in qualitativer Hinsicht dem von Staaten zunehmend näherkommt.206

200  Krajewski, AVR, Bd. 40, (2002), aaO; ebenso Bruha/Bortfeld, Terrorismus und Selbstverteidigung, VN 2001, S. 161 ff. 201  Krings/Burkiczak, Bedingt abwehrbereit? – Verfassungs- und völkerrechtliche Aspekte des Einsatzes der Bundeswehr zur Bekämpfung neuer terroristischer Gefahren im In- und Ausland, DÖV 2002, 501 (505), für die das Vorgehen gegen „Privatterrorismus“, der nicht von einem anderen Staat unterstützt wird aus dem „Gebot einer effektiven Landes- und Bündnisverteidigung“ resultiert; Walus, Die Verteidigungs- und Zivilschutzkompetenz des Bundes bei auswärtigen Cyber-Angriffen gegen kritische Infrastrukturen, NZWehrr 2014, 1 (7), der sich diesbezüglich maßgeblich auf Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 26, 30 und 95 bezieht. 202  Lutze, NZWehrr 2003, 101 (112). 203  Lutze, NZWehrr 2003, 101 (113). 204  so explizit Lutze, NZWehrr 2003, 101 (115); siehe auch Wiefelspütz, Bewaffnete Einsätze der Bundeswehr auf See, NZWehrr 2005, 146 (150), nach dem keine positive Zurechenbarkeit gegenüber einem Staat bestehen muss, der Angriff aber „von außen kommen“ muss. 205  Verweis auf S. 167 ff. 206  Münkler, Der Wandel des Krieges. Von der Symmetrie zur Asymmetrie, S. 225.

198 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

cc) Verlagerung vom „Ob“ auf das „Wie“ der Verteidigung Weder das Grundgesetz positioniert sich zur Urheberschaft ausdrücklich, noch lässt das Völkerrecht eine Interpretation dahingehend zu, dass die staatliche Urheberschaft zwingend ist. Ganz zu Schweigen von der Tatsache, dass auch letzteres – abgesehen von seinen kodifizierten Quellen – anpassungsfähig ist und in diesem Zusammenhang nicht losgelöst von einer sich verändernden Bedrohungslage betrachtet werden darf. Die weiter vorne angeführten Vorschläge, im Wege der Vermutungsregelung und des Vorsorgeprinzips der staatlichen Urheberschaft habhaft zu werden,207 sind äußerst vage und – wie angeführt – mit Blick auf den Cyberraum unzureichend. Gleichwohl ist zu berücksichtigen, dass sich eine Gegenmaßnahme unabhängig von ihrer konkreten Natur, zwingend auf einem Staatsgebiet auswirken wird, unabhängig davon, ob die vorausgehende Angriffshandlung staatlich initiiert, gedeckt oder in Unkenntnis desselben geschah. Diesem Konflikt lässt sich aber eher auf der Ebene der konkreten Gegenmaßnahme, also des „wie“ beikommen, als bereits grundsätzlich das „ob“ infrage zu stellen. Wie bereits zuvor dargestellt und keineswegs beschränkt auf den Cyberraum stellt sich die Frage, welche Daseinsberechtigung die Streitkräfte als solche, erst recht aber in ihrer zahlenmäßigen Stärke haben, wenn man die Bereitschaft diese einzusetzen von der sicherheitspolitischen Entwicklung abkoppelt. In dieselbe Richtung geht das zuvor im Rahmen der Herkunft angeführte praktische Argument, dass an die Schwierig- wenn nicht gar Aussichtslosigkeit anknüpft, Cyberangriffe nicht nur einem Ursprung, sondern auch einem Urheber zuzurechnen.208 Diese Umstände, gepaart mit der sich verändernden sicherheitspolitischen Lage, stellten die Effektivität der Streitkräfte nicht nur im Cyberraum (die Verfügbarkeit der adäquaten Ausrüstung unterstellt) massiv in Frage.

207  Verweis

auf S. 164 ff. Getting it right: Protecting American Critical Infrastructure in Cyberspace, Harvard Journal of Law & Technology, Vol. 20, No. 2, 2007, 403 (414); Dinniss, Cyber Warfare and the Laws of War, S. 99 ff., Gaycken S.  2 ff.; Jensen, Computer Attacks on Critical National Infrastructure: A Use of Force Invoking the Right of Self-Defense, Stanford Journal of International Law, 207, 2002, 207 (232, 239); ­Pihelgas, 31 (58); Schaller, Internationale Sicherheit und Völkerrecht im Cyberspace, Für klarere Regeln und mehr Verantwortung, S. 22; Schulze, S. 192 ff. und 224 ff.; Verweis auf S. 178. 208  Condron,

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 199

3. Zwischenergebnis Auf dem Boden der Ausführungen zum Inneneinsatz und zur Urheberschaft kann festgehalten werden, dass es für die abstrakte Qualifikation als Verteidigungsobjekt nicht zwingend auf die im Cyberraum nicht abschließend ermittelbaren Faktoren Ursprung außerhalb der Bundesrepublik Deutschland und staatliche Urheberschaft ankommt. Wie mit der Konsequenz dieser progressiven Haltung umgegangen wird, bleibt Kapitel (4) vorbehalten.

II. Die Fassung des Verteidigungsobjekts Das Verteidigungsobjekt wird vom Grundgesetz ebenfalls nicht definiert – jedenfalls nicht in seiner Gesamtheit im Sinne einer feststehenden Legaldefinition, die konkrete Bezugsobjekte benennt.209 Das ist aus zwei Gründen nachvollziehbar. Erstens stellt sich die Frage in Ansehung des zuvor genannten klassischen Angriffsverständnisses nur bedingt. Die instruktive Pointierung der Ausführungen des Rechtsausschusses, wonach „Die Abwehr gegnerischer Streitkräfte (…) niemals die Aufgabe der Polizei [ist]“210 bedeutet übertragen auf das Verteidigungsobjekt, dass dieses grundsätzlich alles erfasst, solange es mit gegnerischen Streitkräften angegriffen wurde. Da dies herkömmlich verhältnismäßig leicht festzustellen war, ist es insofern nachvollziehbar, dass sich das Grundgesetz nicht dezidiert hierzu einlässt. Zweitens, und dies ist gerade thematisch von Relevanz, wäre einer abschließenden enumerativen Festlegung auf bestimmte Verteidigungsobjekte die Gefahr immanent, dass insbesondere neuartigen Angriffsszenarien nicht hinreichend begegnet werden könnte und somit die Reaktionsfähigkeit, kurzum die Handlungsfähigkeit des Staates eingeschränkt würde.211 Diese Anpassungsfähigkeit des Grundgesetzes findet darüber hinaus Zustimmung in der Literatur.212 So ist beispielsweise Isensee der Auffassung, dass dem Grundgesetz kein „Feindbild“ zugrundeliege und in der Konsequenz die Verfassung von der „konkreten militärpolitischen Situation ihrer Entstehung [und Änderung] abstrahiert“, diese also „nicht normativ [festschreibt]“.213 209  siehe dazu auch Epping, AöR, Band 124 (1999), 423 (437); Depenheuer, Der verfassungsrechtliche Verteidigungsauftrag der Bundeswehr, DVBl. 1997, 685 (686 f.). 210  Bericht des Rechtsausschusses, BT-Drs. V/2873, S. 13. 211  In diesem Sinne auch Hernekamp, in: v. Münch/Kunig Art. 87a Rn. 4; Schultz S. 195 und 288 f. 212  Siehe u. a. Isensee, 61 (68); Schultz, S. 288. 213  Isensee, 61 (68).

200 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

In den folgenden Ausführungen soll der Versuch unternommen werden, das Verteidigungsobjekt bzw. die Verteidigungsobjekte, mithin also das oder die Institut(e), das/die verteidigungswürdig ist/sind, normativ zu fassen, sodass in Ansehung einer Bedrohungslage, die anders als früher nicht vergleichbar plakativ zugeordnet werden kann, hinreichend zwischen Behördenkompetenzen abgegrenzt werden kann. Dass die Nominierung von Verteidigungsobjekten (selbst im analogen Raum) nicht abwegig ist, legt Kirchhof nahe, der zur Formulierung dessen was unter das Verteidigungsrecht fällt, das Begriffspaar „Verteidigungsobjekt“ und „Verteidigungsziel“ aufstellte.214 Er verlangt zur Begriffsbestimmung von Verteidigung als unbestimmten Rechtsbegriff ein finales und ein gegenständliches Element, mithin jenes Verteidigungsziel und Verteidigungsobjekt.215 Freilich ist die Formulierung von Verteidigungsobjekten wie sich zeigen wird an und für sich nicht hinreichend mit der Folge, dass sich im weiteren Verlauf auch zum Maß der jeweiligen Beeinträchtigung zu äußern ist. Dieses ist den Ausführungen zum Verteidigungsobjekt jedoch denklogisch nachgelagert, weil es dazu eines Bezugsobjekts bedarf. 1. Verständnis in Literatur und Rechtsprechung In Literatur und Rechtsprechung findet sich nur äußerst eingeschränkt eine normative Rückkopplung. So hat sich das BVerfG weder explizit zum Verteidigungsobjekt geäußert noch eine normative Verortung vorgenommen. Gleichwohl lassen sich anhand seiner vorbezeichneten Entscheidungen zur Wehrpflicht216 erste Rückschlüsse auf das Verteidigungsobjekt ziehen. So gebraucht das Gericht die Worte „Landesverteidigung“ und „Sicherung staatlicher Existenz“. Diese setzt es dergestalt in Beziehung zueinander, als die Landesverteidigung auf die Sicherung der staatlichen Existenz abziele.217 Die Formulierung „Landes-“ lässt jedoch allein auf einen territorialen Bezug schließen,218 trägt dagegen aber nicht zum Erkenntnisgewinn über das inhaltliche Verständnis des Objekts der Verteidigung bei. Diesbezüglich ist der Bezug auf die staatliche Existenz ergiebiger, jedoch bezieht das Gericht hierzu nicht vertieft Stellung. 214  Kirchhof, in: HStR, Bd. IV § 84 Rn. 50 und 52; in dieselbe Richtung weist Isensee, 61 (69) indem er sagt: „Die raison d’être der Bundeswehr wird nicht negativ bestimmt durch die Bedrohung, sondern positiv durch das Schutzgut“. 215  Kirchhof, aaO. 216  BVerfGE 48, 127 (163); 69, 1 (23). 217  BVerfGE 48, 127 (163). 218  Vgl. das inhaltliche Verständnis des nachfolgend erörterten Art. 115a Abs. 1 GG.

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 201

In der Literatur wird das Verteidigungsobjekt nur vereinzelt vertiefter thematisiert. Dabei wird es ebenfalls überwiegend losgelöst von grundgesetzlichen Begrifflichkeiten bestimmt. Depenheuer sieht den Zweck der Aufstellung von Streitkräften darin, dass die Bundesrepublik hierdurch effektiv ihr „Recht auf Selbstbehauptung“219 wahrnehmen könne. Bei dem, was dies genau umfasst, rekurriert er zunächst auf die vom BVerfG angeführten Kriterien in Gestalt der Landesverteidigung und staatlicher Existenz.220 Ersteres spezifiziert er, indem er das Land als das „Bundes- bzw. das Bündnisgebiet“ konkretisiert. Letzteres, indem er statuiert, dass Verteidigung dem „Recht und der Freiheit des deutschen Volkes“ diene.221 Nach seiner Überzeugung ist Verteidigung also mehr als Territorialverteidigung. So führt er gleichberechtigt neben dieser die „Personalverteidigung“ sowie „Souveränitäts- und Verfassungsverteidigung“ auf.222 Im Rahmen der Verfassungsverteidigung rekurriert er explizit auf die Verteidigung der „freiheitliche[n] Verfassung“ in Gestalt der freiheitlichen demokratischen Grundordnung.223 Auch Baldus verankert das Verteidigungsobjekt nicht normativ. Er schließt sich insoweit dem territorialen Verständnis des BVerfG an, als er ebenfalls auf das Land rekurriert. Hierunter versteht er das Bundesgebiet und verweist in diesem Zusammenhang auf Art. 115a GG.224 Gleichzeitig versteht er, entsprechend der vorherigen Gegenüberstellung von Art. 87a Abs. 1 GG und Art. 115a Abs. 1 GG, das Verteidigungsobjekt umfangreicher, als es Art. 115a Abs. 1 GG isoliert suggeriert.225 Eine Konsistenz mit dem BVerfG zeichnet sich auch hier insofern ab, als er gleichermaßen die Sicherung der staatlichen Existenz vorgibt. Diesbezüglich scheint Baldus’ Verständnis jedoch weiter als das von Depenheuer, da er nicht nur auf die vom Grundgesetz verfasste und legitimierte Ordnung226, sondern auf die deutsche Rechtsordnung227 in Gänze verweist sowie die Menschen, Güter und Institutionen228 die von ihr erfasst werden. 219  Depenheuer, Der verfassungsrechtliche Verteidigungsauftrag der Bundeswehr – Grundfragen des Außeneinsatzes deutscher Streitkräfte –, DVBl. 1997, 685 (687). 220  Depenheuer, aaO. 221  Depenheuer, aaO.; ähnlich auch Isensee, 61 (68 f. und 71). 222  Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 35 ff. 223  Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 42. 224  Baldus, in: v. Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art 87a Rn. 42. 225  Baldus, in: v. Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art 87a Rn. 46; so auch Depenheuer aaO. 226  Baldus, Rn. 18. 227  Baldus, Rn. 46. 228  Baldus, Rn. 46.

202 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

Isensee rekurriert auf eine im Grundgesetz gebräuchliche Begrifflichkeit, indem er konkret den Bestand des Staates als Verteidigungsobjekt benennt.229 Einen normativen, wenngleich nicht grundgesetzlichen Bezug stellt er daneben insofern her, als er auf die im Soldatengesetz niedergelegte Formel der Soldaten verweist, die diese im Rahmen ihrer Vereidigung sprechen und in der er das Schutzgut verbalisiert sieht.230 Hier schwören bzw. geloben die Soldaten, das Recht und die Freiheit des deutschen Volkes tapfer zu vertei­ digen.231 2. Verteidigung als staatliche Schutzpflicht? Gegenstand der folgenden Ausführungen ist eine grundrechtsbezogene Betrachtung, konkret ob und inwiefern der Staat aus einer Schutzpflicht gegenüber dem Bürger heraus verpflichtet ist, diesen vor Zugriffen Dritter in seine elementaren Rechte, zu schützen und dies die Verteidigung derselben miteinschließt. In diesem Zusammenhang stellt sich die Frage, ob die grundrechtlichen Schutzpflichten auch zum Schutze vor äußerer, d. h. nicht deutscher Staatsgewalt entspringenden Zugriffen verpflichten. Gleichzeitig ist mit Blick auf das beim Staat liegende Gewaltmonopol zu klären, ob die gegenständlichen Schutzpflichten auslagerungsfähig sind oder als originär staatliche Verpflichtungen eine solche nicht zulassen. a) Herleitung der Schutzpflichten Die Grundrechte, genauer die Freiheitsrechte, enthalten nicht alleine Abwehrrechte des einzelnen gegen die öffentliche Gewalt, sondern stellen zugleich „objektivrechtliche Wertentscheidungen der Verfassung dar, die für alle Bereiche der Rechtsordnung gelten und Richtlinien für Gesetzgebung, Verwaltung und Rechtsprechung geben“.232 Die grundrechtliche Schutzpflicht lässt sich damit als das „Pendant zum Abwehrrecht“233 auffassen. Diese Wert­ entscheidungsgehalte messen den Freiheitsgrundrechten neben ihrer primär abwehrrechtlichen Dimension einen „sekundären Grundrechtsgehalt“ bei, dem neben Leistungs- insbesondere Schutzgehalte zu entnehmen sind.234 229  Isensee,

61 (71). 61 (69). 231  § 9 Abs. 1 und 2 Soldatengesetz. 232  BVerfGE 49, 89 (141 f.); siehe dazu auch BVerfGE 39, 1 (41), in der das BVerfG die Figur der grundrechtlichen Schutzpflichten entwickelt hat; 46, 160 (164); 56, 54 (73); 117, 202 (227). 233  Isensee, in: HStR, Bd. IX, § 191 Rn. 192. 234  Jarass, in: Jarass/Pieroth Grundgesetz Kommentar Vorb. Art. 1 Rn. 6. 230  Isensee,

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 203

Im Hinblick auf den Inhalt und das Ausmaß dieser schutzrechtlichen Funktion schweigt die Verfassung jedoch. So gibt sie allein den Schutz als Ziel zwar vor, nicht aber seine Ausgestaltung im Einzelnen.235 Eine „bestimmte Handlungsvorgabe“ kann dem Verfassungsrecht daher nicht entnommen werden mit der Folge, dass dem Staat ein weiter Einschätzungs-, Wertungs- und Gestaltungsspielraum zukommt, dessen Grenze durch das – ebenso wenig klar umrissene – Untermaßverbot gesteckt ist.236 b) Erstreckung der Schutzpflicht auf den Verteidigungssektor Das BVerfG erkennt eine objektiv-rechtliche Schutzverpflichtung des Staates auch im Verteidigungssektor an.237 Dies lässt sich dem Urteil zur Nachrüstung in Gestalt der Aufstellung von Raketen (Pershing II) und Marschflugkörpern (Cruise Missile) auf dem Bundesgebiet vergleichsweise deutlich entnehmen, indem es die Pflicht des Staates zum Schutze unmittelbar im Kontext der Außen- und Sicherheitspolitik erwähnte.238 Im Rahmen einer Entscheidung zur Wehrpflicht verknüpft es ferner das Schutzobjekt in Gestalt von Menschenwürde, Leben, Freiheit und Eigentum der Bürger als Gegenstand verfassungsrechtliche Schutzverpflichtung des Staates thematisch mit dem Auftrag der Streitkräfte zur Verteidigung.239 Der praktische 235  BVerfGE

117, 202 (227). 125, 39 (78); Voßkuhle/Kaiser, Grundwissen – Öffentliches Recht: Funktionen der Grundrechte, JuS 2011, 411 (412), die darauf hinweisen, dass selten eine Situation bestehe, in der lediglich eine bestimmte Maßnahme den Anforderungen der Schutzpflicht genügt; siehe umfangreich zum Untermaßverbot in Zusammenhang mit staatlichen Schutzpflichten: Klein, Das Untermaßverbot – Über die Justiziabilität grundrechtlicher Schutzpflichterfüllung, JuS 2006, 960 (963 f.). 237  Vgl. auch Stern, Staatsrecht II, § 42 III 2, S. 862 f., nach dem die „indikativische Formulierung“ in Art. 87a Abs. 1 Satz 1 GG über die Aufstellung von Streitkräften nicht nur als Kompetenzregelung zu Gunsten des Bundes, sondern auch als „Verpflichtung“ zu verstehen ist. 238  Siehe BVerfGE 66, 39 (61), indem das Gericht statuierte, dass „dies [hiermit bezog sich das Gericht darauf, dass es grundsätzlich den politischen Entscheidungsträgern und nicht dem BVerfG obliegt, darüber zu befinden, wie der Schutzpflicht nachgekommen wird] auch für die Frage [gelte], in welcher Weise der objektivrechtlichen Schutzpflicht des Staates in Bezug auf Grundrechte im Bereich der Außenund Sicherheitspolitik gegenüber fremden Staaten genügt wird; hierauf verweisend Jarass, in: Jarass/Pieroth Grundgesetz Kommentar Vorb. Art. 1 Rn. 8 sowie Art. 16 Rn. 7; auch Müller-Franken, in: Schmidt-Bleibtreu/Hofmann/Henneke, GG, Vorb. Art. 1 Rn. 24 m.w.A.; siehe auch Kokott, in: Sachs, Grundgesetz-Kommentar, Art. 87a Rn. 26, der das Eingreifen deutscher Streitkräfte im Ausland zum Schutze deutscher Staatsangehöriger explizit als „Verteidigung“ im Sinne des Art. 87a auffasst. 239  BVerfGE 48, 127 (161), in der das BVerfG die Wehrpflicht damit rechtfertigt, dass der Menschenwürde, Leben, Freiheit und Eigentum als Grundrechte anerkennende und schützende Staat, dieser verfassungsrechtlichen Schutzverpflichtung ge236  BVerfGE

204 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

Hintergrund liegt nahe: So sind die erwähnten Schutzgüter geeignet, gleichsam auch durch auswärtige Gewalt, im Übrigen unabhängig von der Eigenschaft des Urhebers als staatlicher oder nichtstaatlicher Akteur, gefährdet zu werden.240 Die staatliche Schutzpflicht derart umfangreich zu verstehen, ist nicht frei von Widerspruch.241 Ausgangspunkt des Widerspruchs ist Art. 1 Abs. 3 GG, nach dem die Grundrechte Gesetzgebung, vollziehende Gewalt und Rechtsprechung als unmittelbar geltendes Recht binden. Gebunden ist also allein die inländische öffentliche Gewalt.242 Abgeleitet aus der fehlenden Grundrechtsbindung des nicht innerstaatlichen Angreifers wird nun vereinzelt der Schluss gezogen, dass deswegen auch keine Schutzverpflichtung des deutschen Staates gegenüber diesem Angreifer begründet werden könne.243 So wird argumentiert, dass der Angreifer „Dritter“ sei, wie der private Störer, ersterer aber anders als der private Störer gegenüber dem deutschen Staat nicht in einem Verhältnis der „Subordination“ stehe, sondern in einem der „völkerrechtlichen Koordination“, was im Ergebnis eine Bemühung zur Bewahrung bzw. Wiederherstellung der grundrechtlichen Freiheit erfolglos mache.244 Nicht in Abrede gestellt wird dagegen, dass die aus dem Ausland herrührenden Gefahren für grundrechtlich geschützte Güter sehr wohl relevant seien.245 Wegen ihrer „Mannigfaltigkeit“ ließen sie sich jedoch nicht mit einem einzigen Tatbestand – dem der Schutzpflicht – umschreiben, obgleich sie im Ergebnis aber dennoch Gegenstand staatlicher Schutzpflicht seien.246 Diese Sichtweise ermöglicht die Freizeichnung der inländischen Staatsgewalt von allem, was außerhalb ihres unmittelbaren Einflussbereichs geschieht. Auch wird sie dem Charakter der Grundrechte als objektive Wertentscheidung nicht gerecht. Die in den Grundrechten enthaltenen Wertentscheidungen wären keine solchen, wenn ihr Geltungsgehalt nur durch inländische staatliche Eingriffe erschüttert werden könnte. Ferner gilt es zu berücksichtigen, dass der inländische Eingriff – gerade wegen der Bindung der staatlichen genüber seinen Bürgern nur mit Hilfe eben dieser Diensttuenden Bürger nachkommen könne. 240  Isensee, in: HStR, Bd. IX, § 191 Rn. 208. 241  Isensee, aaO.; siehe auch Baldus, in: v. Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art 87a Rn. 15, der darauf hinweist, dass es keinen individualrechtlichen Leistungsanspruch auf die unentgeltliche Zurverfügungstellung der Streitkräfte gäbe. 242  lässt sich BVerfGE 128, 226 (244) entnehmen; Vgl. Papier, Rechtsstaatlichkeit und Grundrechtsschutz in der digitalen Gesellschaft, NJW 2017, 3025 (3029). 243  Isensee, aaO. 244  Isensee, aaO. 245  Isensee, aaO. 246  Isensee, aaO.

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 205

Gewalt an die Grundrechte nach Art. 1 Abs. 3 GG – regelmäßig um ein Vielfaches milder oder zumindest berechenbarer ist als derjenige, der von außerhalb durch den nicht an die Grundrechte gebundenen Akteur erfolgt. Wollte man die Beeinträchtigung durch diesen als eine solche auffassen, die grundrechtliche Schutzpflichten nicht auslöst, so würde eine wesentliche Flanke der individuellen Freiheit keiner staatlichen Schutzverpflichtung unterliegen. Der Grundrechtsträger wäre angehalten, dieses Vakuum individuell zu füllen, namentlich selbst für diesen Schutz zu sorgen, was regelmäßig nicht möglich sein dürfte. Ein Legitimationsverlust des Staates wäre die Konsequenz. Schließlich verkennt die Auffassung, dass sich aus der verfassungsrechtlichen Begründung der Schutzpflichten wie angeführt, ohnehin keine konkreten Handlungsbefehle ableiten lassen, sondern diese nur das Ziel „Schutz“ festlegt, im Hinblick auf die Erreichung dieses Ziels (etwa im Wege der normativen Umsetzung) den zuständigen staatlichen Organen aber vergleichsweise freie Hand lässt.247 Damit gehört es sehr wohl zu den Pflichten des Staates, seine Bürger vor Zugriffen ausländischer Mächte, aber auch ausländischer Privater zu schützen.248 Nichtsdestotrotz kann er nur zu etwas verpflichtet sein, das er insbesondere tatsächlich zu leisten im Stande ist: „Wo die Unmöglichkeit anfängt, endet die Schutzpflicht.“249 c) Erstreckung der Schutzpflicht auf den digitalen Raum Nicht zuletzt aus der zuvor erfolgten Bedrohungsanalyse ergibt sich, dass die grundrechtlich verbürgten Freiheiten auch im digitalen Raum Beeinträchtigungen ausgesetzt sind. Konsequent ist es daher, die den Grundrechten innewohnenden objektivrechtlichen Wertentscheidungen auch in diesen auszuweiten mit der Folge, dass die Freiheitsrechte nicht nur zur Abwehr nicht zu rechtfertigender staatlicher Eingriffe in den individuell-digitalen Raum dienen, sondern darüber hinaus zum Schutze vor solchen Angriffen, die seitens Dritter ausgeübt werden.250 247  BVerfGE

125, 39 (78). mit Hans-Jürgen Papier in der WELT v. 05. August 2013, abrufbar unter: https://www.welt.de/politik/deutschland/article118684465/Die-Freiheitsrechteduerfen-nicht-geopfert-werden.html; Papier verweist in NJW 2017, 3025 (3030) darauf hin, dass sich diese Schutzplicht auch den Schutz vor global operierenden Unternehmen umfasse. 249  Papier, aaO., der darauf hinweist, dass die Steuerungsfähigkeit des Nationalstaats in einer globalisierten Welt zwar begrenzt sei, gleichwohl der Staat das „rechtlich und tatsächlich Mögliche und Geeignete“ zum Schutz seiner Bürger auch tun müsse. 250  Siehe auch Schmahl, Cybersecurity, in: Berichte der Deutschen Gesellschaft für Internationales Recht, Band 47 (hrsg. von Dethloff/Nolte/Reinisch), Heidelberg 248  Interview

206 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

Mit Blick auf den digitalen Raum rückt neben dem Telekommunikationsgeheimnis (Art. 10 Abs. 1 GG) insbesondere das Grundrecht der „Vertraulichkeit und Integrität informationstechnischer Systeme“251 als Gegenstand staatlicher Schutzpflichten in den Fokus.252 Das letztere, auch als sogenanntes IT-Grundrecht bekannt, ist eine Ausprägung des allgemeinen Persönlichkeitsrechts und erfasst Eingriffe in informationstechnische Systeme, soweit der Schutz nicht durch die Grundrechte aus Art. 10 und 13 GG sowie dem allgemeinen Persönlichkeitsrecht gewährleistet ist.253 Ein Eingriff in das Grundrecht liegt dann vor, wenn das geschützte informationstechnische System heimlich, insbesondere im Zuge der Installation einer Spähsoftware infiltriert wird.254 Laut BVerfG wird die Integrität des geschützten Systems 2016, S. 159 (211), die explizit sagt, dass es staatliche Schutzpflichten zur Gewährleistung von IT-Sicherheit nach innen und außen gäbe. 251  BVerfGE 120, 274, Leitsatz (1). 252  In diesem Sinne lässt sich auch BVerfGE 120, 274 (319) verstehen, wenn es dort heißt: „Der Staat kommt seinen verfassungsrechtlichen Aufgaben nach, indem er Gefahren durch terroristische oder andere Bestrebungen entgegentritt. (…) Auch ex­ tremistischen und terroristischen Bestrebungen bietet die moderne Informationstechnik zahlreiche Möglichkeiten zur Anbahnung und Pflege von Kontakten sowie zur Planung und Vorbereitung, aber auch Durchführung von Straftaten“; vgl. auch BVerfGE 115, 118 (152); auch Papier bezeichnet das IT-Grundrecht als Gegenstand staatlicher Schutzpflicht, in Gutachterliche Stellungnahme, Beweisbeschluss SV-2 des ersten Untersuchungsausschusses des Deutschen Bundestages der 18. Wahlperiode, Mai 2014, S. 11; siehe auch Roßnagel, Das IT-Sicherheitsgesetz, DVBl. 2015, 1206 (1207), der im Zuge der BSIG-Reform im Lichte der Erstreckung der staatlichen Schutzpflicht auf den IT-Sektor anmerkt, dass es hier um mehr gehen muss als das „absolute Mindestmaß an Bürgersicherheit“ zu erreichen; Schliesky, Verfassung für den digitalen Staat?, ZRP 2015, 56 (57); ebenso Spindler, IT-Sicherheitsgesetz und zivilrechtliche Haftung, CR 5/2016, S. 297. 253  BVerfGE 120, 274 (306, 319); siehe kritisch hierzu Volkmann, Anmerkung zum Urteil des BVerfG vom 27.2.2008, 1 BvR 270/07 und 1 BvR 595/07, DVBl. 2008, 590 (592), der dem IT-Grundrecht nur insoweit einen eigenen Anwendungsbereich zuschreibt, als sich der externe Zugriff auf unpersönliche Daten erstreckt und im Übrigen allein die Betroffenheit des Rechts auf informationelle Selbstbestimmung erkennt; Mit Blick auf das IT-Grundrecht fordert Papier, dass auf verfassungsrechtlicher Ebene eine ausdrückliche Verankerung desselben als Gegenstand staatlicher Aufgabenwahrnehmung erfolgt, vergleichbar der Gewährleistungsverantwortung in Art. 87 f. Abs. 1 GG für eine flächendeckende, ausreichende und angemessene Telekommunikation (Gutachterliche Stellungnahme, Beweisbeschluss SV-2 des ersten Untersuchungsausschusses des Deutschen Bundestages der 18. Wahlperiode, Mai 2014, S. 11; siehe dazu auch Hoffmann-Riem, Grundrechts- und Funktionsschutz für elektronisch vernetzte Kommunikation, AöR Band 134 (2009), 513 (538 f.) der als Schutzgut konkret die informationstechnische Infrastruktur sowie Kommunikationsdienste in den Fokus rückt). 254  BVerfGE 120, 274 (308); siehe dazu umfassend auch Spies-Otto, Die verfassungsrechtliche Dimension staatlichen Verhaltens im Cyber-Raum, NZWehrr 2016, 133 (140 f.).

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 207

angetastet, indem in einer Weise auf das System zugegriffen wird, „dass dessen Leistungen, Funktionen und Speicherhinhalte durch Dritte genutzt werden können“.255 Die Infiltration wird beispielsweise durch die Implementierung eines Trojaners bewerkstelligt. Dessen entscheidendes Wesensmerkmal ist gerade die Heimlichkeit. Dieses wird dadurch erzielt, dass die implementierte Ist-Funktionalität nicht mit der etikettierten Soll-Funktionalität korrespondiert und im Zuge dessen die wahre Absicht des oder der Infiltranten verschleiert wird.256 Die begriffliche Fassung des IT-Grundrechts durch das BVerfG, nach der der sachliche Schutzbereich neben dem Kriterium der Vertraulichkeit auch die Integrität des informationstechnischen Systems erfasst, deutet ferner darauf hin, dass neben den von der Vertraulichkeit erfassten und auf dem System abgelegten persönlichen Daten auch Hardware sowie Programme geschützt sind, die der Aufrechterhaltung der äußeren Funktion des Systems dienen.257 Gleichwohl lässt sich ein solcher Funktionsschutz bei näherer Betrachtung nur begrenzt unter das grundrechtliche Ausgangsspektrum des IT-Grundrechts fassen, weil er kaum persönlichkeitsrelevanten Bezug hat und entsprechender Schutz bereits über Art. 14 Abs. 1 GG vermittelt wird.258 Insofern ist dem Integritätsschutz im Rahmen des IT-Rechts dort eine Grenze gesetzt, wo der Bezug zum allgemeinen Persönlichkeitsrecht verlassen wird. Im Zuge dieser Argumentation lässt sich daher keine Verpflichtung begründen, gegen die Einrichtung und Nutzung von Botnetzen oder vergleichbaren Institutionen vorzugehen, die sich der Ressourcen privater Endgeräte bedienen, um mit der gebündelten Stärke dieser einen Dritten anzugreifen. Etwaige systeminterne oder -externe Auswirkungen, die jenseits des Schutzbereichs des allgemeinen Persönlichkeitsrechts liegen, sind schlicht nicht erfasst. Der Zugriff auf den privaten Rechner dient gerade nicht der Informationsgewinnung, sondern stellt eine rein technische Vorbereitungshandlung dar. Überdies fehlt es auch an der Intention, einen spezifischen Rechner in das System einzuschalten. Die Eignung wird vielmehr von allgemeinen Merkmalen abhängig gemacht (insb. Schutzgrad des Routers). Einzige Gemeinsamkeit mit dem vom BVerfG intendierten Schutzzweck ist der Umstand, dass die Nutzung heimlich erfolgt, was jedoch mit Blick auf die fehlende Ausspähung der vom Allgemeinen Persönlichkeitsrecht geschützten und durch das neue Grundrecht erweiterten Güter nicht ins Gewicht fällt. 255  BVerfGE

120, 274 (314). Rechtlicher Schutz vor Staatstrojanern, ZD 2012, 3 f. 257  Hierauf weist Volkmann, DVBl. 2008, aaO hin, der als Beispiel das Betriebssystem und etwaige Anwendungssoftware anführt. 258  So auch Volkmann, DVBl. 2008, aaO. 256  Skistims/Roßnagel,

208 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

d) Der Staat in Ausübung seiner Schutzplicht Der Staat hat bereits begonnen, sich seines Gestaltungsspielraums zur Erfüllung seiner Schutzpflichten im hier gegenständlichen Bereich zu betätigen. Da sich dem Verfassungsrecht eine „bestimmte Handlungsvorgabe“, wie es das BVerfG259 betont, nicht ableiten lässt, kann jedoch keine zwingende Verknüpfung zwischen Erfüllung der Schutzpflichten und Einbeziehung der Streitkräfte erfolgen. So hat sich der Staat kürzlich insoweit betätigt, als er eine gesetzliche Änderung in § 5 des Artikel 10-Gesetzes zugunsten der Nachrichtendienste vorgenommen hat. Die dort erfassten Gefahrenbereiche für Beschränkungsmaßnahmen des Brief-, Post- und Fernmeldegeheimnisses hat der Gesetzgeber für defizitär erachtet und im Rahmen der vorbezeichneten Gesetzesänderung um die Nr. 8 ergänzt.260 Nach dieser Vorschrift sind Beschränkungsmaßnahmen nunmehr auch dann zulässig, wenn eine Gefährdung in Gestalt eines internationalen kriminellen, terroristischen oder staatlichen Angriffs mittels Schadprogrammen oder vergleichbaren schädlich wirkenden informationstechnischen Mitteln auf die Vertraulichkeit, Integrität oder Verfügbarkeit von IT-Systemen in Fällen von erheblicher Bedeutung mit Bezug zur Bundesrepublik Deutschland im Raum steht. Der Tatsache, dass diese Handlungserweiterung im Artikel 10-Gesetz und damit zugunsten der Nachrichtendienste vorgenommen wurde, lässt sich zwar entnehmen, dass der Schutz im digitalen Raum (zumindest auch) den Geheimdiensten zugewiesen ist. Hieraus im Gegenschluss eine Verkürzung zu Ungunsten der Streitkräfte zu folgern, führte jedoch zu weit. Die angeführte Gesetzesänderung dient lediglich als exemplarischer Beleg dafür, wie der Staat seine Schutzpflicht wahrnimmt. e) Grund und Grenze eigenverantwortlichen Schutzes Die vorangestellte herrschende Auffassung261, wonach die Verfassung den Schutz als Ziel zwar vorgibt, nicht aber die Pflichten zur Übernahme konkreter Einzelaufgaben bestimmt, wirft in thematischer Sicht die zuvor angerissene Frage auf, ob und wenn ja inwiefern auch Private in die konkrete Aufgabenerfüllung einbezogen werden dürfen. Diese Frage fällt thematisch insoweit auf fruchtbaren Boden, als gegen Cyber-Angriffe im Unterschied zu konventionellen militärischen Angriffen grundsätzlich mehr individuelle Schutzmöglichkeiten existieren. Ausgehend davon kann die Überlegung an259  BVerfGE 260  Gesetz

125, 39 (78). v. 17.11.2015 – Bundesgesetzblatt Teil I 2015 Nr. 45 20.11.2015

S. 1938. 261  BVerfGE 117, 202 (227).

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 209

gestellt werden, ob nicht der Bürger selbst in die Verantwortung genommen werden darf Vorkehrungen zu treffen, um sich zu schützen und erst dann bzw. gänzlich nur dort, wo diese nicht hinreichend bzw. von vorneherein nicht darstellbar sind (vgl. einem Angriff mit Umfang von Stuxnet) der Staat in die Stellung des alleinig Verpflichteten rückt. Dass eine solche Einbeziehung grundsätzlich möglich ist, hat das BVerfG im Hinblick auf die Verwirklichung des in Art. 20 Abs. 1 GG normierten Sozialstaatsgebots bejaht, indem es ausführte, „zur Erreichung des Ziels [einer gerechten Sozialordnung] auch die Mithilfe privater (sic) (…) vorzusehen“262. Mit Blick auf den Bereich der inneren und äußeren Sicherheit ist jedoch die Lehre des staatlichen Gewaltmonopols zu beachten. Dieses, im Rechtsstaatsprinzip verankerte Gebot besagt, dass das Mittel der physischen Gewalt grundsätzlich dem Staat vorbehalten ist, solange er keine Ausnahmen zulässt.263 Aus dem staatlichen Gewaltmonopol folgt indes kein staatliches Sicherheitsmonopol,264 sodass der Einzelne grundsätzlich sehr wohl Eigenvorsorge vornehmen bzw. auch dazu verpflichtet werden darf, z. B. in Gestalt von Aufgaben(teil-)Privatisierungen (sogenannte Police bzw. Public Private Partnerships265). Mit Blick auf die in jüngerer Vergangenheit geführten Diskussionen zur Zulässigkeit von Bürgerwehren ist hinzuzufügen, dass auch deren Betätigung dort ihre Grenze findet, wo es nicht mehr um die Ausübung grundgesetzlicher Freiheiten sowie von Jedermannsrechten geht, sondern die Ausübung unmittelbaren Zwangs.266 Gleichwohl ist eine Beteiligung Privater einschränkend nur insoweit denkbar, als das betroffene öffentliche Interesse kein zwingend eigenhändiges Tätigwerden des Staates verlangt, es sich also um keine obligatorische Staatsaufgabe handelt.267 Letzteres ist der Fall, wenn die zu verlangernde 262  BVerfGE

22, 180 (204). in: HStR, Bd. IV, § 75 Rn. 19, als Ausnahmen führt er insbesondere die zivil- und strafrechtlichen Notstandsbefugnisse an. 264  Stober, Staatliches Gewaltmonopol und privates Sicherheitsgewerbe – Plädoyer für eine Police-Private-Partnership, NJW 1997, 889 (893); siehe auch BrauserJung, in: Stober/Olschok (Hrsg.) Handbuch des Sicherheitsgewerberechts, S. 147 f. 265  Stober, NJW 1997, 889 (895 f.); siehe umfangreich zur Begrifflichkeit Jungk, Police Private Partnership, S. 3 ff. 266  Vgl. StM Lewentz (Innenministerium Rheinland-Pfalz) auf eine Kleine Abgeordnetenanfrage (Drs. 16/6148); siehe auch Ebert, Entwicklungen und Tendenzen im Recht der Gefahrenabwehr, LKV 2017, 10 (14); Volkmann, Broken Windows, Zero Tolerance und das deutsche Ordnungsrecht, NVwZ 1999, 225 (232). 267  Burgi, in: HStR, Bd. IV, § 75 Rn. 17; Anlass war hier das Ergebnis der CyberSicherheitsumfrage des BSI aus dem Jahr 2014, deren Frage 2b) zum Gegenstand hatte, auf was der Erfolg des jeweiligen Angriffs zurückzuführen war. Hier wurden unter 99 Teilnehmern (Mehrfachnennung möglich), insgesamt 50 Mal Softwareschwachstellen genannt und 35 Mal Fehlkonfiguration durch die eigene Organisation. 263  Burgi,

210 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

Tätigkeit den typusprägenden Charakter einer staatlichen Institution ausmacht.268 Dies ist für den Fall der Verteidigung, als ureigene Funktion der Streitkräfte der Fall und gewinnt für den Verteidigungssektor an Überzeugungskraft, wenn man einen Bezug in die analoge Welt herstellt.269 Auch hier ist das Individuum nicht angehalten, Maßnahmen zum Schutz vor militärischen Angriffen vorzuhalten. f) Zwischenergebnis Aus den staatlichen Schutzpflichten heraus lassen sich, wie das BVerfG270 betont, keine „bestimmte[n] Handlungsvorgabe[n]“ ableiten, weshalb in der Konsequenz ihnen weder zu entnehmen lässt, welche staatliche Institution nun explizit zuständig ist für die Wahrnehmung dieser Schutzpflichten, mit anderen Worten, ob dies gerade eine Aufgabe der Streitkräfte ist, noch was genau ihr Bezugspunkt ist.271 Festhalten lässt sich auf dem Boden der vorangegangenen Ausführungen aber nichtsdestoweniger erstens, dass die staatlichen Schutzpflichten nicht auf den analogen Raum begrenzt sind und zweitens, dass die den Grundrechten entspringende objektiv-rechtliche Schutzverpflichtung des Staates auch in den Verteidigungssektor hineinwirkt und dieser damit auch eine grundrechtliche Dimension aufweist.272 Drittens, dass eine Aufgabenprivatisierung zwar grundsätzlich möglich ist, nicht jedoch bei originär staatlichen Aufgaben wie der zur Verteidigung. 268  Burgi,

in: HStR, Bd. IV, aaO. diese Richtung deutet wiederum BVerfGE 66, 61, wo es heißt: „(…) es ist nicht Aufgabe des BVerfG (…) seine Einschätzungen an Stelle der Einschätzungen und Erwägungen der zuständigen politischen Organe des Bundes zu setzen, was auch dafür gilt, „in welcher Weise der objektivrechtlichen Schutzpflicht des Staates in bezug auf Grundrechte im Bereich der Außen- und Verteidigungspolitik gegenüber fremden Staaten genügt wird.“ 270  BVerfGE 125, 39 (78). 271  So kann das Nachkommen der Schutzpflicht auch darin bestehen, auf zwischenstaatlicher Ebene explizit mit Blick auf den Cyberraum hier auf die Übereinkunft völkerrechtlicher Regelungen zu drängen. 272  Existenz einer solchen Pflicht vorausgesetzt: BVerfGE 66, 39 (61): „Dies gilt auch für die Frage, in welcher Weise der objektivrechtlichen Schutzpflicht des Staates in Bezug auf Grundrechte im Bereich der Außen- und Sicherheitspolitik gegenüber fremden Staaten genügt wird“; hierauf verweisend Jarass, in: Jarass/Pieroth Grundgesetz Kommentar Vorb. Art. 1 Rn. 8 sowie Art. 16 Rn. 7; auch Müller-Franken, in: Schmidt-Bleibtreu/Hofmann/Henneke, GG, Vorb. Art. 1 Rn. 24 m.w.A.; siehe auch Kokott, in: Sachs, Grundgesetz-Kommentar, Art. 87a Rn. 26, der das Eingreifen deutscher Streitkräfte im Ausland zum Schutze deutscher Staatsangehöriger explizit als „Verteidigung“ im Sinne des Art. 87a auffasst; siehe generell mit Blick auf die IT-Sicherheit auch Siehe auch Schmahl, Cybersecurity, in: Berichte der Deutschen Gesellschaft für Internationales Recht, Band 47 (hrsg. von Dethloff/Nolte/Reinisch), aaO. 269  In

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 211

3. Art. 87a GG als normativer Ausgangspunkt In Art. 115a GG ist der Verteidigungsfall legal definiert. Dieser liegt in materieller Hinsicht dann vor, wenn ein Angriff auf das Bundesgebiet mit Waffengewalt erfolgt ist oder unmittelbar droht. Das Ergebnis lässt sich an dieser Stelle vorwegnehmen: Die grundgesetzliche Definition des Verteidigungsfalls aus Art. 115a ist nicht deckungsgleich mit den, Verteidigung legitimierenden Umständen und konsequent nicht zur umfassenden Bestimmung dessen was das Verteidigungsrecht auslöst, geeignet.273 a) Art. 115a GG Bestandteil der Notstandsverfassung Art. 115a GG ist Teil einer ganzen Reihe von Änderungen in der Verfassung, die insgesamt als die Notstandsverfassung bezeichnet wird und an verschiedenen Stellen des Grundgesetzes Ausdruck findet. Diese war maßgeblich innenpolitisch motiviert gewesen. Nachdem 1956 der Verteidigungsfall in Art. 59a GG erstmalig eine grundgesetzliche Erwähnung fand, wurde dieser im Rahmen der Notstandsverfassung im Jahre 1968 in der fortan gültigen Fassung definiert. Entscheidende Ursache der Notstandsverfassung war das Streben der Bundesrepublik Deutschland nach innerer Souveränität. Der 1954 in abgeänderter Form als Teil der Pariser Verträge geschlossene Vertrag über die Beziehungen zwischen der Bundesrepublik Deutschland und den Drei Mächten (Deutschlandvertrag) belegt dies. Dieser bestimmt in Art. 5 Abs. 2 sinngemäß, dass die Alliierten solange den Schutz ihrer Streitkräfte in der Bundesrepublik ausüben werden, wie die Bundesrepublik den Notstand nicht gesetzlich geregelt hat. Die Formulierung in Abs. 2, wonach dies auch die Begegnung einer „ernstlichen Störung der öffentlichen Sicherheit und Ordnung“ umfasse, verdeutlicht ferner, dass es den Alliierten hier maßgeblich um einen Schutz ihrer Streitkräfte vor inneren und eben nicht vor äußeren Gefahren ging.

273  H. M. Grubert, S.  220 f.; Hillgruber, in: Umbach/Clement, Das Grundgesetz, Kommentar, Art. 87a Rn. 15 „Die Gleichsetzung von Verteidigung und Verteidigungsfall ist verfehlt. Die Feststellung des [Verteidigungsfalls] ist (…) umgekehrt nicht Voraussetzung für jeden Verteidigungseinsatz der Bundeswehr.“ Er führt die Systematik des Art. 87a dagegen an; Mössner, in: FS Schlochauer, 97 (103); Pieroth, in: Jarass/Pieroth Art. 87a Rn. 9, bezeichnet die Definition des Verteidigungsfalls aus Art. 115a nur als Unterfall eines weiteren Verteidigungsbegriffs; Schultz, S. 201 setzt die beiden Begriffe dergestalt in Bezug zueinander, dass er den Verteidigungsfall als Fall der Verteidigung, nicht aber jeden Fall der Verteidigung als Verteidigungsfall deklariert; Im Ergebnis zustimmend Riedel, S.  64 ff.

212 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

b) Keine Deckungsgleichheit von Verteidigung und Verteidigungsfall Nach Auffassung des BVerfG ist die Feststellung des Verteidigungsfalls keine grundsätzliche Voraussetzung für die Verwendung der Streitkräfte zur Verteidigung.274 Hieraus lässt sich wiederum folgern, dass „Verteidigung“ nicht abschließend auf das Bundesgebiet bezogen ist.275 Zwar stand in der insofern maßgeblichen Streitkräfteentscheidung der Auslandseinsatz im Fokus, konkret in Gestalt der Einbindung Deutschlands in ein System kollektiver Sicherheit.276 Dabei hat das Gericht aber auch das Verhältnis des Art. 115a GG zu anderen grundgesetzlichen Ermächtigungsgrundlagen beleuchtet und in diesem Zusammenhang unmissverständlich statuiert, dass der Übergang von der Normal- zur Notstandsverfassung keine zwingende Voraussetzung für den Einsatz zur Verteidigung ist.277 Gegen eine Deckungsgleichheit sprechen auch die Wortlaute der Normen. Während Verteidigung in Art. 87a GG auf eine Handlung hinweist, deutet die Begrifflichkeit Verteidigungsfall eher auf eine Lage oder einen Zustand hin. Dieser Befund findet Unterstützung durch die innertatbestandliche Systematik des Art. 87a, konkret seines Abs. 3, der nämlich beide Begrifflichkeiten verwendet.278 Auch eine Betrachtung des Regelungsumfelds von Art. 87a 274  So das BVerfGE 90, 286 (386): „Die Feststellung des Verteidigungsfalls nach Art. 115a Abs. 1 GG bewirkt zwar unmittelbar nur den Übergang von der Normalzur Notstandsverfassung und paßt insbesondere das Staatsorganisationsrecht den Anforderungen eines durch einen bewaffneten Angriff auf das Bundesgebiet hervorgerufenen äußeren Notstand an. Sie ist also nicht Voraussetzung für jeden Verteidigungseinsatz der Bundeswehr.“ Die Diskussion über das inhaltliche Verhältnis der beiden Begrifflichkeiten zueinander wurde bereits in den ausgehenden 70er bis Mitte der 80er Jahre geführt (u. a. von Ipsen, Der Einsatz der Bundeswehr zur Verteidigung, im Spannungs- und Verteidigungsfall sowie im internen bewaffneten Konflikt, in: Schwarz, (Hrsg.), Sicherheitspolitik. Analysen zur politischen und militärischen Sicherheit, S. 619 und Coridaß, Der Auslandseinsatz der Bundeswehr und ­Nationalen Volksarmee, S. 17 f.); Der Fokus lag damals wie auch in der Streitkräfteentscheidung auf der Frage, ob der Einsatz der Streitkräfte auf die Landesverteidigung beschränkt ist oder sich auch auf die Bündnisverpflichtungen erstreckt. Die überwiegenden Stimmen in der Literatur haben sich schon damals gegen die Deckungsgleichheit von Art. 115a und Art. 87a GG ausgesprochen. 275  Für eine inhaltliche Beschränkung des Verteidigungsbegriffs auf die Lan­ desverteidigung wurde einst der „Matthöfer-Antrag“ angeführt. Im Rahmen der Be­ ratungen zur Notstandsverfassung im Jahre 1968 hat der Abgeordnete Matthöfer einen Antrag gestellt, nach dem das Wort Verteidigung in der derzeit gültigen Fassung des Art. 87a Abs. 2 „Landesverteidigung“ heißen sollte; dazu ausführlich, Schultz, S. 191. 276  BVerfGE 90, 286 (345). 277  BVerfGE 90, 286 (386). 278  darauf hinweisend Riedel, S. 65; ebenso Wiefelspütz, Das Parlamentsheer, S. 77.

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 213

Abs. 1 und 2 auf der einen und Art. 115a Abs. 1 GG auf der anderen Seite kann nur zu dem Schluss führen, dass beide einen unterschiedlichen Regelungsgehalt aufweisen. So weist die Notstandsverfassung, deren Bestandteil Art. 115a GG in Abschnitt Xa ist, nicht nur eine rein militärische Konnotation auf. Vielmehr ist seine Feststellung die Grundlage für eine schwerwiegende Änderung der innerstaatlichen Rechtsordnung279, die sich insbesondere auf die Gesetzgebungskompetenz und das Gesetzgebungsverfahren erstreckt und deren Zielsetzung gleichsam introvertiert die Aufrechterhaltung der innerstaatlichen Ordnung im Zuge einer äußeren Notlage darstellt.280 Die Feststellung des Verteidigungsfalls (wie auch des Spannungsfalls281) ist damit in erster Linie von staatsorganisationsrechtlicher Bedeutung.282 Untermauern lässt sich die inhaltliche Verschiedenheit in Ansehung eines weiteren Aspekts, den das BVerfG in seiner vorbenannten Streitkräfteentscheidung herausstellte: Den konstitutiven Parlamentsvorbehalt für den Einsatz der Streitkräfte im Ausland.283 Spätestens seit dieser Entscheidung geraten die von Deckungsgleichheit ausgehenden Vertreter in Bedrängnis, da das Gericht bereits durch die Entwicklung des Parlamentsvorbehalts als solches klarmacht, dass die Begriffe nicht untrennbar miteinander verbunden sind. Gleichzeitig wurde im Zuge dieser Entscheidung denjenigen Pragmatikern die Grundlage entzogen, die eine Verklammerung der Begriffe maßgeblich deshalb propagierten, weil sie nur so eine hinreichende parlamentarische Mitwirkung zum Einsatz der Streitkräfte gewährleistet sahen.284 Insofern wegweisend war folgende Formulierung des BVerfG: „Die Feststellung des Verteidigungsfalls nach Art. 115a Abs. 1 GG bewirkt zwar unmittelbar nur den Übergang von der Normal- zur Notstandsverfassung und paßt insbesondere das Staatsorganisationsrecht den Anforderungen eines durch einen bewaffneten Angriff auf das Bundesgebiet hervorgerufenen äußeren Notstand an. Sie ist also nicht Voraussetzung für jeden Verteidigungseinsatz der Bundeswehr“.285 Aus der grundgesetzlichen Begriffshistorie lassen sich kaum Anhaltspunkte für die Stützung bzw. die Widerlegung der Deckungsgleichheit gewinnen. Ausschlaggebend hierfür ist vor allem der Umstand, dass beide Begrifflich279  Schultz,

S. 202. S. 69. 281  dieser wurde ebenfalls i. R. d. 17. Gesetzes zur Änderung des GG vom 24.06.1968 mit Wirkung zum 28.06.1968 eingefügt, zusammen mit u. a. der Änderung des Art. 80a GG, in der er ebenfalls Erwähnung findet. 282  Grubert, S. 221; Ipsen, S. 619. 283  BVerfGE 90, 286 ff. 284  Schultz, S.  207 f. 285  BVerfGE 90, 286 (386). 280  Riedel,

214 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

keiten – wenngleich im Laufe der Zeit an wechselnden Stellen im Grundgesetz verortet – nahezu zeitgleich Einzug in selbiges erhielten. Im Jahre 1968 ging in Art. 115a GG der Art. 59a GG auf, der seit seiner Einführung im Jahre 1956 bereits den Verteidigungsfall benannte, freilich ohne ihn zu definieren. c) Einzug des Verteidigungsbegriffs in das Grundgesetz Die Begrifflichkeit Verteidigung hat zwar zunächst augenscheinlich nur kompetenzrechtlich Einzug in die Verfassung erhalten, als im Jahre 1954 Art. 73 Abs. 1 Nr. 1 GG um die alleinige Gesetzgebungskompetenz des Bundes auf Angelegenheiten zur Verteidigung erweitert wurde. Gleichwohl wird dieser Einführung auch ein materieller Gehalt und damit die Ermächtigung für die Aufstellung von Streitkräften und der Auftrag derselben zur Verteidigung beigemessen.286 Im Zuge der angeführten Gesetzesänderung aus dem Jahr 1956 entstand neben dem vorbezeichneten, damals im Gewande des Art. 59a GG eingeführten Verteidigungsfalls auch Art. 87a, der die Aufstellung von Streitkräften zur Verteidigung erstmals in dieser Klarheit formulierte,287 bevor dann im Jahre 1968288 einerseits Art. 59a in Art. 115a aufging und zum anderen Art. 87a seine derzeitige Fassung erhielt. d) Ergebnis und Ausblick Dass der grundgesetzliche Ausgangspunkt nicht in Art. 115a GG, sondern in Art. 87a GG zu finden ist, bedeutet nicht, dass Art. 115a GG im Rahmen von Art. 87a GG keine Rolle spielt bzw. von diesem verdrängt wird. Formelhaft lässt sich das Verhältnis so zusammenfassen, dass der Verteidigungsfall einen Fall der Verteidigung, nicht aber jeder Fall der Verteidigung einen Verteidigungsfall darstellt.289 286  Das lässt sich insbesondere vor dem Hintergrund statuieren, als im Zuge der Debatte um den deutschen Beitrag zur letztlich gescheiterten Europäischen Verteidigungsgemeinschaft (EVG) ein heftiger Streit zwischen der Bundesregierung unter Adenauer und der SPD-Opposition über die Notwendigkeit einer Wehrverfassung andauerte. Beide Lager sahen die Abwesenheit einer solchen als Bestätigung ihrer jeweiligen Auffassung, sodass sich mit der o. g. Änderung des Art. 73 Abs. 1 Nr. 1 GG quasi auf einen Kompromiss verglichen wurde, dazu umfangreich Welz, 104 (109 f.). 287  Klarheit gegenüber der Formulierung in Art. 73 Abs. 1 Nr. 1. 288  17. Gesetz zur Änderung des GG vom 24. Juni 1968 mit Wirkung vom 28. Juni 1968. 289  Schultz, S. 201.

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 215

Die im Rahmen von Art. 87a Abs. 1 GG geführte Diskussion, ob es sich bei diesem um eine bloße Aufgabennorm oder eine Ermächtigungs- und Befugnisnorm handelt bzw. ob die Formulierung des Begriffs Verteidigung nur deklaratorischer oder konstitutiver Natur ist,290 bedarf in Ansehung der vorherigen Ausführungen zum traditionellen Angriffsverständnis keiner näheren Auseinandersetzung mehr.291 Mangels vertieften Aussagegehalts der Norm ist sich mit dem inhaltlichen Verständnis des Verteidigungsspektrums nämlich ohnehin jenseits des Wortlauts des Art. 87a GG auseinanderzusetzen.292 4. Normbezogene Konkretisierung des Verteidigungsobjekts a) Konkretisierung anhand von Art. 115a Abs. 1 GG Der bereits angeführte Art. 115a Abs. 1 GG definiert den Verteidigungsfall als die Feststellung, dass das Bundesgebiet mit Waffengewalt angegriffen wurde bzw. ein Angriff unmittelbar droht. aa) Kein Widerspruch mit dem Verhältnis zwischen Art. 87a und Art. 115a GG Die Heranziehung des Art. 115a GG zur Konkretisierung des Verteidigungsobjekts steht nicht im Widerspruch zu den vorherigen Ausführungen zum Verhältnis des – das Notstandsverfassungsrecht begründenden – Art. 115a zu Art. 87a GG. So war Gegenstand jener Ausführungen, an welcher Stelle der Ausgangspunkt des Verteidigungsrechts im Grundgesetz zu finden ist. Dabei ging es darum zu ermitteln, ob sich das Verteidigungsspektrum auf die die Definition des Verteidigungsfalls aus Art. 115a Abs. 1 GG reduziert, mithin Deckungsgleichheit besteht und somit die Legaldefinition des Art. 115a GG nicht nur Ausgangspunkt, sondern auch Grenze für die Konkretisierung des Verteidigungsspektrums ist. bb) Konkretisierung anhand des Bundesgebiets Die Präambel nimmt in S. 2 auf das Bundesgebiet Bezug, indem es dort heißt, dass sich die Bundesrepublik aus den dort aufgeführten 16 Ländern 290  So

Rn. 4.

nur Hernekamp, in: v. Münch/Kunig Grundgesetz-Kommentar, Art. 87a

291  Siehe dazu Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 82. 292  Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 83.

216 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

zusammensetzt. Indirekt lässt sich daraus auf das Staatsgebiet der Bundesrepublik Deutschland schließen, welches neben den Gebieten aller Bundesländer auch das Erdinnere und den Luftraum, sowie das Küstenmeer umfasst, soweit letzteres von der Bundesrepublik im Rahmen des Völkerrechts in Anspruch genommen wird.293 Wegen der eindeutigen Formulierung in der Präambel bestehen mit Blick auf das Verständnis des hieraus abzuleitenden Bundesgebiets keine Auslegungsschwierigkeiten.294 Was genau jedoch Gegenstand der Verteidigung auf dem Bundesgebiet ist, lässt sich weder Art. 115a GG noch der Begrifflichkeit selbst entnehmen. Die Aussagekraft beschränkt sich alleine auf eine territoriale Absteckung dessen, was vom Verteidigungsfall – so er denn ausgelöst wird – erfasst sein kann, ist daneben in qualitativer Hinsicht aber inhaltsleer. Als Grund hierfür lässt sich der Normzweck des Art. 115a GG in Stellung bringen. Dieser besteht primär in der Umstellung der innerstaatlichen Rechtsordnung auf die Anforderungen des äußeren Notstandes, für den es eines räumlichen Bezugspunktes bedarf.295 b) Konkretisierung anhand von Art. 87a Abs. 3 GG Die Normsystematik spricht ferner klar für den Einschluss des Art. 87a Abs. 3 GG als Gegenstand des Verteidigungsspektrums.296 Nach Art. 87a Abs. 3 GG können die Streitkräfte im Spannungsfall (Art. 80a Abs. 1 GG) oder im Verteidigungsfall (Art. 115a Abs. 1 GG) zum Schutz ziviler Objekte in eigener Verantwortung sowie zur Unterstützung polizeilicher Maßnahmen herangezogen werden. Die hier aufgeführten Verteidigungsobjekte sind also solche ziviler Natur.297 Hierin ist ein Ausfluss der zuvor thematisierten staatlichen Schutzpflicht zu erkennen, deren Manifestierung in diesem Zusammenhang konkret im Eigentumsschutz zu erkennen ist.

293  Ipsen, § 5 Rn. 3; Jarass, in: Jarass/Pieroth Grundgesetz Kommentar Präambel Rn. 10. 294  So auch Jahn, Das Strafrecht des Staatsnotstandes, 2004, S. 50; siehe kritisch dazu Häberle, Das Grundgesetz zwischen Verfassungsrecht und Verfassungspolitik, S.  535 ff. 295  Grote, in: Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art. 115a, Rn. 8. 296  Anders dagegen offenbar Marxsen, JZ 2011, 543 (548) der den Art. 87a Abs. 3 GG ohne nähere Begründung vom Verteidigungsspektrum ausschließt. 297  Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 17 erkennt in Art. 87a Abs. 3 eine „Kompetenz kraft Sachzusammenhang“ mit dem sich aus Art. 87a Abs. 1 GG ergebenden Verteidigungsauftrag.

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 217

aa) Verteidigungsobjekt nur unter Vorbehalt? Die Einordnung als Schutzobjekt hängt nach Art. 115a Abs. 1 GG von der Zustimmung des Bundestages und des Bundesrates ab. Dies deckt sich mit der einhelligen Meinung in der Literatur, nach der die Feststellung des Verteidigungs- oder Spannungsfalls zwingend ist für die Wahrnehmung der Befugnisse aus Art. 87a Abs. 3 GG.298 Zwar mag es auf den ersten Blick seltsam anmuten, dass der Status als Verteidigungsobjekt von einer formellen Beschlussfassung abhängt und nicht unabhängig von dieser besteht. Gleichwohl ist dies insofern nachvollziehbar, als man den Schutz ziviler Objekte grundsätzlich dem Aufgabenspektrum der Polizeikräfte zuordnen kann und insofern durch das formelle Kriterium ein Abgrenzungskonflikt vermieden wird.299 bb) Inhaltliches Verständnis Inhaltlich geht es entsprechend dem Wortlaut beim Objektschutz alleine um den Schutz ziviler Objekte. Hierbei handelt es sich um solche, die in Ansehung des Spannungs- und Verteidigungsfalls nicht zum Geschäftsbereich des BMVg gehören.300 Zwar ist der Wortlaut insofern unzweifelhaft abschließend, jedoch weist der schriftliche Bericht des Rechtsausschusses zur Notstandsverfassung im Rahmen der Stellungnahme zu Art. 87a Abs. 3 GG darauf hin, dass auch der „Schutz militärischer Objekte gegen Angriffe Dritter, gleichgültig, ob diese Angehörige der gegnerischen Streitkräfte oder sonstige Störer sind, (…) zum Verteidigungsauftrag der Streitkräfte [gehöre].“301 Rekurriert wird hier auf den Eigenschutz der Streitkräfte, wenngleich sich ein Bezug zum Regelungsgegenstand der Norm, im engeren Sinne nicht herstellen lässt. Indes wird der Eigenschutz der Streitkräfte gemeinhin entweder gar nicht normativ hergeleitet oder als Teil des Verteidigungsauftrages direkt Art. 87a Abs. 1 GG entnommen.302 Unabhängig davon, ob eine Herleitung nun aus Art. 87a Abs. 1 oder Abs. 3 i. V. m. Art. 115a GG erfolgt, sind die Streitkräfte selbst auch als Verteidigungsobjekt zu deklarieren, was jedoch der Verwendungsfähigkeit derselben immanent erscheint.

298  Baldus, in: Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art. 87a Rn. 113 f.; Hernekamp, in: v. Münch/Kunig Grundgesetz-Kommentar, Art. 87a Rn. 16. 299  Hernekamp, in: v. Münch/Kunig Grundgesetz-Kommentar, Art. 87a Rn. 18. 300  Hernekamp, in: v. Münch/Kunig Grundgesetz-Kommentar, Art. 87a Rn. 17. 301  Bericht des Rechtsausschusses, BT-Drs. V/2873, S. 13. 302  Ladiges, NZWehrr 2017, 221 (235).

218 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

5. Konkretisierung anhand grundgesetzlicher Kollektivschutzgüter Als weitere rechtsbegriffliche Ausgangspunkte dienen die Begrifflichkeiten Bestand des Bundes oder eines Landes einerseits und die freiheitliche demokratische Grundordnung andererseits. Hierbei handelt es sich um unbestimmte Rechtsbegriffe, die im Grundgesetz an verschiedenen Stellen303 Erwähnung finden und dabei stets im Begriffspaar genannt werden. Daneben finden sie sich, entweder mit identischem Wortlaut bzw. im Falle der freiheitlichen demokratischen Grundordnung mit dem inhaltlichen Verständnis, das ihr vom BVerfG beigemessen wurde, auch im einfachen Recht304 wieder bzw. in den gesetzlichen Zuweisungen und Ermächtigungen für einzelne Sicherheitsbehörden.305 a) Grundlegendes und Zweck aa) Bedürfnis nach Konkretisierung Das Bestreben nach grundgesetzlicher Rückkopplung der Verteidigungsobjekte speist sich entscheidend aus der Tatsache, dass die Zuordnung im digitalen Raum nicht vergleichbar dem analogen Raum möglich ist. Das herkömmliche konventionell-analoge Verständnis, das sowohl die Zuordnung zum Verteidigungssektor als auch die behördliche Abgrenzung aus dem Angriffsverständnis herleitet, lässt sich aus den behandelten Aspekten im digitalen Raum nicht aufrechterhalten. Insofern entsteht ein Bedürfnis nach Konkretisierung. Es sei aber bereits darauf hingewiesen, dass die Rückkopplung alleine nicht hinreichend ist, da das hier gegenständliche Begriffspaar auch im Zusammenhang mit Aufgabenzuweisungen anderer Behörden, namentlich der Geheimdienste einfachgesetzlich (§ 1 Abs. 1 Nr. 1 Artikel 10-Gesetz) Niederschlag gefunden hat.

303  konkret in Art. 10 Abs. 2, 11 Abs. 2, 21 Abs. 2 und 3, 73 Abs. 1 Nr. 10b) sowie Art. 87a Abs. 4 und 91 Abs. 2 GG. 304  Als Verfassungsgrundsätze deklariert in § 92 Abs. 2 StGB. 305  Siehe in diesem Zusammenhang § 3 Abs. 1 Nr. 1 BVerfSchG, Art. 25 Abs. 1 BayVSG exemplarisch für die Verfassungsschutzgesetze der Länder, § 1 Abs. 1 Nr. 1 MADG sowie § 1 Abs. 1 Nr. 1 Artikel 10-Gesetz, der explizit zur Abwehr von drohenden Gefahren für die freiheitliche demokratische Grundordnung oder den Bestand oder die Sicherheit des Bundes oder eines Landes die Geheimdienste zur Überwachung des Brief-, Post-, und Fernmeldeverkehrs ermächtigt.

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 219

bb) Art. 87a Abs. 4 GG als Ausschlussgrund? Das Begriffspaar ist auch nicht per se von der Eignung als Verteidigungsobjekt ausgeschlossen, nur weil es im Grundgesetz Einzug in Art. 87a Abs. 4 GG gefunden hat.306 Hiernach ist der Streitkräfteeinsatz im Innern für den Fall legitimiert, dass die nach Art. 91 Abs. 2 GG im Falle des inneren Notstandes vorgesehenen Polizeikräfte der Bundespolizei nicht ausreichen. Das Verhältnis von Abs. 1/2 auf der einen und Abs. 4 auf der anderen Seite wird nicht einheitlich beurteilt und kreist im Kern darum, was unter innerer und äußerer Sicherheit bzw. innerem und äußerem Notstand zu verstehen ist und wo hier die Abgrenzungslinien verlaufen.307 Gänzlich unumstritten ist dabei aber, dass es sich bei Art. 87a Abs. 4 GG um eine Norm handelt, die den inneren Notstand regelt. Allein die Konsequenz dessen ist streitig, konkret, ob daraus folgt, dass der Tatbestand des Art. 87a Abs. 4 GG wegen der Beschränkung auf den Inneren Notstand zwangsläufig nicht Gegenstand des Verteidigungsspektrums sein könne.308 Weder Für noch Wider lassen sich dem Grundgesetz entnehmen. Gleichwohl erscheint es wenig nachvollziehbar, dass der Gesetzgeber im Zuge der durch die Schaffung des Art. 87a Abs. 4 erzielten Rechtskreiserweiterung, gleichzeitig limitierend auf das potentiell von Art. 87a GG erfasste Spektrum einwirken wollte. b) Bestand des Bundes oder eines Landes Zunächst ist der Bestand des Bundes bzw. der Länder Gegenstand der Betrachtung.309 Vorauszuschicken ist, dass im Kern Einigkeit darüber besteht, dass sich das Verteidigungsrecht auf weite Teile dessen erstreckt, was unter das inhaltliche Verständnis des Begriffs gefasst wird.310 Der Grund hierfür ist maßgeblich im starken Abstraktionsgrad zu finden, der die Begrifflichkeit

306  So auch Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 30. 307  Lutze, NZWehrr 2003, 101 (104, 113 f.). 308  Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a ist der Ansicht, bei Art. 87a Abs. 4 handele es sich um eine „originäre Handlungskompetenz“ (Rn. 30) der Streitkräfte „zur Verteidigung“ (Rn. 175). 309  So auch ohne nähere Begründung Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 35 u. 85; Kirchhoff aaO. 310  Vgl. Baldus, in: Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art. 87a Rn. 141, der konkret die auswärtige Gewalt des Bundes, die Gesetzgebung, seine Verwaltung, Rechtsprechung, Territorium und Volk als umfasst ansieht; Depenheuer, DVBl. 1997, 685 (686 f.); Kirchhoff, in: HStR Bd. IV § 84 Rn. 52, nach dem Staatsgebiet, Staatsvolk und Gemeinwesen verteidigungswürdig sind; Reiter, S. 83.

220 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

auszeichnet, mit der Folge, dass sich Differenzen weniger an dem Begriff als solches, als vielmehr an seinen einzelnen Ausprägungen entzünden.311 Eine Näherung an das inhaltliche Spektrum der aus sich selbst heraus ebenfalls wenig aussagekräftigen Formulierung „Bestand des Bundes oder eines Landes“ lässt sich über die Jellinek’sche Drei-Elemente Lehre312 bewerkstelligen.313 Dieser zufolge sind drei Elemente für einen Staat konstitutiv: Das Staatsgebiet, das Staatsvolk und die Staatsgewalt. Auch das Bundesverfassungsgericht hat sich, wenn auch ohne ihren Begründer namentlich zu nennen, dieser Trias angeschlossen.314 Die inhaltlichen Aussagen der im Folgenden aufgefächerten Theorie legen es ferner nahe, die Begriffe Bund und Staat synonym zu verwenden.315 Mit Blick auf den vorliegenden Untersuchungsgegenstand ist es ferner entbehrlich, zwischen Bund und Land zu differenzieren.316 aa) Staatsgebiet Das Verständnis zum Staatsgebiet deckt sich mit den vorherigen Ausführungen zum Bundesgebiet. Ebensowenig gibt es daher inhaltlichen Aufschluss darüber, was konkret Gegenstand der Verteidigung ist. So ermöglicht das durch Grenzen nachvollziehbare Staatsgebiet in erster Linie, dass überhaupt ein Verteidigungsobjekt benannt werden kann. So stellt das Staatsgebiet einen Differenzierungsfaktor dar, der den Ausgangspunkt dafür darstellt, ver311  Epping,

AöR, Band 124 (1999), aaO. Allgemeine Staatslehre. 313  So auch Jahn, Das Strafrecht des Staatsnotstandes, 2004, S. 49; Kirchhoff, in: HStR Bd. IV § 84 Rn. 52; Volkmann, in: v. Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art. 91 Rn. 14 ff. 314  BVerfGE 2, 266, 277. 315  In diesem Sinne ist auch BVerfGE 2, 266, 277 zu verstehen, in der das BVerfGE zur Auslegung des Art. 11 GG, der ebenfalls das Wort „Bund“ enthält, gleichsam den Inhalt der Drei-Elemente Lehre heranzieht; ohne die Drei-Elemente Lehre beim Namen zu nennen so auch Baldus, in: Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art. 87a Rn. 141. 316  Nach Ipsen, in: BK-GG, Losebl. (Stand: Jan. 1969), Art. 87a Rn. 140 unterfällt der Bestand eines Landes zwar nicht uneingeschränkt der Inhaltsbestimmung, Bestand des Bundes. Gleichwohl weist er darauf hin, dass es sich bei der Aufnahme Bestand eines Landes lediglich um eine „Reverenz des Grundgesetzgebers gegenüber dem Föderalismus“ gehandelt habe, weil eine etwaige – als maßgebliches Anwendungsbeispiel von ihm aufgeführte – Sezessionsbestrebung eines Landes auch die territoriale Integrität und somit den Bestand des Bundes betreffen würde. Daher sei die sachliche Aussage des Länderbestands bereits im Bestand des Bundes enthalten; siehe konkret mit Blick auf den digitalen Raum, wenn auch aus völkerrechtlicher Sicht, Tallinn-Manual, Rule 10, S. 45. 312  Jellinek,

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 221

teidigungswürdige von nichtverteidigungswürdigen Umständen zu differenzieren. Wenn also im Zusammenhang mit dem Staatsgebiet vom Schutzgegenstand der territorialen Integrität des Staates gesprochen wird,317 dann ist die räumliche Umgrenzung des Territoriums Grund hierfür und Grenze hiervon zugleich. Das Staatsgebiet als solches kann damit kein Verteidigungsobjekt sein.318 bb) Staatsvolk Das Staatsvolk als personales Staatselement und zweite Säule der vorbezeichneten Drei-Elemente Lehre besteht aus der Gesamtheit der Staatsangehörigen.319 Vermittelt wird die Zugehörigkeit zum Staatsvolk durch die Staatsangehörigkeit, welche die Staatsangehörigen zugleich der Personalhoheit des Staates unterstellt.320 Beim Staatsvolk handelt es sich um die Gesamtbezeichnung der mit individuellen Grundrechten ausgestatten Bürger. Vor diesem Hintergrund besteht insofern eine Überschneidung mit den zuvor ausdifferenzierten staatlichen Schutzpflichten, als deren grundgesetzlicher Anknüpfungspunkt im Kern ebenfalls personenbezogener Natur ist. Jedenfalls in seiner Gesamtheit ist das Staatsvolk als Gegenstand des Schutzobjekts Bestand des Staates zu bezeichnen.

317  Ipsen, in: BK-GG, Losebl. (Stand: Jan. 1969), Art. 87a Rn. 139; Linke, Innere Sicherheit durch Bundeswehr? Zur Möglichkeit und Grenzen der Inlandsverwendung der Streitkräfte, AöR 2004, 490 (527); für Maunz, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 17. EL August 1979, Art. 91 Rn. 9 handelt es sich hierbei um den Kern des Bestandes des Staates; das Staatsgebiet als Verteidigungsobjekt ausdrücklich anerkennend: Depenheuer, Der verfassungsrechtliche Verteidigungsauftrag der Bundeswehr, DVBl. 1997, 685 (687); Bäumerich/Schneider, Terrorismusbekämpfung durch Bundeswehr im Innern: Eine neue alte Diskussion, NVwZ 2017, 189 (192). 318  siehe in diesem Zusammenhang die – zwar in einem anderen Kontext erfolgte, gleichwohl die territoriale Integrität betreffende – Formulierung des OLG Karlsruhe (Beschluss v. 16.9.2014 2 Ws 334/14), wonach die „Androhung der Ausübung hoheitlicher Gewalt auf dem Gebiet eines fremden Staates (…) entsprechend dem Territo­ rialitätsprinzip unzulässig ist“; vgl. auch Hartwig, Bericht zur völkerrechtlichen Praxis der Bundesrepublik Deutschlandim Jahr 2014, ZaörV 2018, 189 (196). 319  Giegerich, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 81. EL September 2017, Art. 16 Rn. 42; siehe auch Depenheuer, Der verfassungsrechtliche Verteidigungsauftrag der Bundeswehr, DVBl. 1997, 685 (687), der auch das Staatsvolk als Gegenstand der „Personalverteidigung“ im Rahmen des Verteidigungsobjekts ausdrücklich anerkennt. 320  Ipsen, § 5 Rn. 78.

222 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

cc) Staatsgewalt Die Staatsgewalt ist das Verbindungselement von Staatsgebiet und Staatsvolk und ist damit conditio sine qua non für die staatliche Berechtigung im Jellinek’schen Sinne.321 Ausgerichtet ist sie auf die Herstellung innerer und äußerer Souveränität, deren Wesensmerkmale die Fähigkeiten sind, eine „Ordnung auf dem Staatsgebiet zu organisieren (innere Souveränität) und nach außen selbstständig und von anderen Staaten rechtlich unabhängig im Rahmen und nach Maßgabe des Völkerrechts zu handeln (äußere Souveränität)“.322 Dabei ist zu beachten, dass weder die konkrete Art der Ausgestaltung des jeweils herrschenden Verfassungsmodels, noch die jeweiligen Träger dieser Staatsgewalt, bestimmende Faktoren für die vorbezeichneten, ihr zugrundeliegenden Wesensmerkmale sind.323 dd) Funktionsfähigkeit des Staates Neben den vorgenannten Kriterien ist auch die Funktionsfähigkeit des Staates zu thematisieren. Diesbezüglich ist umstritten, ob diese Gegenstand des Bestandes des Staates ist, oder nicht vielmehr der nachfolgend behandelten freiheitlichen demokratischen Grundordnung zuzuordnen ist. Während letzterer überwiegend nur Form und Inhalt der staatlichen Ordnung, sein „tatsächliches Funktionieren“324 aber sehr wohl dem Bestand des Staates zugeordnet wird,325 fasst Maunz326 unter den Bestand des Bundes grundsätzlich nur seine Handlungsfähigkeit nach außen und subsumiert interne Belange unter die freiheitliche demokratische Grundordnung.327 Ersterer Ansicht folgend ist auch die tatsächliche Arbeitsfähigkeit des Staates als Ordnungsmacht in Gestalt seiner einzelnen Staatsgewalten, namentlich Verwal321  Vgl. Ipsen, § 5 Rn. 137; so auch Volkmann, in: v. Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art. 91 Rn. 15, der die Staatsgewalt als das entscheidende Bindeglied auffasst, wo sie fehle kein Staat mehr existiere. 322  Ipsen, § 5 aaO. 323  Evers, in: BK-GG, Losebl. (Stand: Jan. 1969), Art. 91 Rn. 20. 324  Volkmann, in: v. Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art. 91 Rn. 15. 325  So Volkmann, aaO.; ebenfalls Heun, in: Dreier, GG-Kommentar, Art. 91 Rn. 8, wobei dieser klarstellt, dass er die umfassende Einbeziehung der in Art. 20 GG aufgeführten Grundsätze nicht vom Bestand des Staates, sondern von der freiheitlichen demokratischen Grundordnung erfasst sieht. 326  Maunz, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 17. EL August 1979, Art. 91 Rn. 9. 327  Ipsen greift diese Sichtweise auf und spricht sich, in: BK-GG, Losebl. (Stand: Jan. 1969), Art. 87a Rn. 139 klar dagegen aus und stellt einen Bezug vom Bestand des Staates zu Art. 20 GG her.

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 223

tung, Rechtsprechung und Regierung konsequent vom Bestand des Staates erfasst,328 nichtsdestoweniger aber auch seine Handlungsfähigkeit nach außen. Beine Aspekte lassen sich dabei nicht trennscharf vom Kriterium der Staatsgewalt abgrenzen und können insofern auch als Teilaspekt derselben verstanden werden.329 Gleichzeitig ist die tatsächliche Fortexistenz staatlicher Einrichtungen einerseits, wie auch die von Institutionen der Daseinsvorsorge und Infrastruktureinrichtungen anderseits nicht garantiert, ohne dass die wirtschaftlichen Existenzgrundlagen des Staates gesichert werden. In der Konsequenz sind auch wirtschaftlichen Existenzgrundlagen der staatlichen Funktionsfähigkeit zuzuordnen.330 Die Aufrechterhaltung derselben ist unabdingbar für die Aufrechterhaltung des Gemeinwesens, sodass sie zur Funktionsfähigkeit des Staates als Teil des Bestandes desselben hinzuzuzählen sind. Dies wird freilich nicht einheitlich beurteilt. Wenn aber, wie von einem Teil der Literatur, die Tatbestandsmäßigkeit für das Wirtschafts- und Sozialgefüge essentieller Faktoren mit dem Einwand abgesprochen wird,331 gegen ökonomische Krisen helfe weder die Polizei noch eigneten sich die Streitkräfte,332 findet eine Vermischung des ob und des wie statt, konkret der Verteidigungswürdigkeit mit der individuellen Verteidigungsfähigkeit. De facto sind die deutschen Streitkräfte ohne Unterstützung derzeit gänzlich nicht in der Lage ihren Verteidigungsauftrag – selbst im Hinblick auf die klassischerweise zum Spektrum zählenden Elemente – zu erfüllen, was jedoch niemand ernsthaft zum Anlass nimmt, einem klassischen Szenario in dem Panzer und Kampflugzeuge fremder Streitkräfte mit Kombattantenstatus und feindlicher Absicht die deutsche Staatsgrenze überschreiten, die Verteidigungswürdigkeit abzusprechen. Differenzierungskriterium darf in diesem Zusammenhang auch nicht sein, ob Auflösungserscheinungen der inneren Ordnung hinzutreten, etwa im Zuge bürgerkriegsähnlicher Lagen.333 Dies verkennt nämlich, dass das Hinzutreten von bewaffneten Aufständischen explizit als Voraussetzung 328  In diesem Sinne ist auch Baldus, in: v. Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art 87a Rn. 141 zu verstehen; Evers, in: BK-GG, Losebl. (Stand: Jan. 1969), Art. 91 Rn. 18, der von den „für die Aktionsfähigkeit des Bundes notwendigen Organe[n]“ spricht; Ipsen, in: BK-GG aaO; Linke, AöR 2004, 490 (527). 329  So auch Ipsen, Völkerrecht § 5 Rn. 137; Evers, in: BK-GG, Losebl. (Stand: Jan. 1969), Art. 91 Rn. 18; dagegen nimmt wiederum Ipsen, in: BK-GG, Losebl. (Stand: Jan. 1969), Art. 87a Rn. 139 die außenpolitische Handlungsfähigkeit mit dem Argument aus, dass diese auf ein Minimum reduziert sein könnte, ohne dass der Bundesrepublik ihre Existenz als Staat bestritten würde. 330  A. A. Evers, in: BK-GG, Losebl. (Stand: Jan. 1969), Art. 91 Rn. 20. 331  Pieroth, in: Jarass/Pieroth Art. 91 Rn. 1; Volkmann, in: v. Mangoldt/Klein/ Starck, Das Bonner Grundgesetz, Art. 91 Rn. 16. 332  Volkmann, aaO. 333  So aber Volkmann, aaO.

224 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

für den Streitkräfteeinsatz in Art. 87a Abs. 4 GG gilt und daher nicht als per se geltender, bestandsgefährdender Indikator verstanden werden darf. c) Freiheitliche demokratische Grundordnung Im Folgenden ist die Eignung der freiheitlichen demokratischen Grundordnung als Verteidigungsobjekt Gegenstand der Untersuchung. aa) Inhaltliches Verständnis Der an verschiedenen Stellen des Grundgesetzes Niederschlag gefundene Begriff der freiheitlichen demokratischen Grundordnung334 wird inhaltlich fast ausnahmslos in Anlehnung an eine Entscheidung des Bundesverfassungsgerichts aus dem Jahr 1952 als Ordnung bestimmt, „die unter Ausschluss jeglicher Gewalt- und Willkürherrschaft eine rechtsstaatliche Herrschaftsordnung auf der Grundlage der Selbstbestimmung des Volkes nach dem Willen der jeweiligen Mehrheit und der Freiheit und Gleichheit darstellt“.335 Folgende Prinzipien erachtet das BVerfG als grundlegend für diese Ordnung: „Die Achtung der im Grundgesetz konkretisierten Menschenrechte, vor allem vor dem Recht der Persönlichkeit auf Leben und freie Entfaltung, die Volkssouveränität, die Gewaltenteilung, die Verantwortlichkeit der Regierung, die Gesetzmäßigkeit der Verwaltung, die Unabhängigkeit der Gerichte, das Mehrheitsprinzip und die Chancengleichheit für alle politischen Parteien mit dem Recht auf verfassungsmäßige Bildung und Ausübung einer Opposition.“336 In den §§ 92 Abs. 2 StGB sowie 4 Abs. 2 BVerfSchG sind diese Kriterien ebenfalls enumerativ aufgeführt,337 wobei letzterer – sprachlich abgewandelt zum verfassungsgerichtlichen Leitbild – konkret auf den Inhalt der Art. 20 Abs. 2 und 3 GG sowie der Wahlrechtsgrundsätze aus Art. 38 Abs. 1 S. 1 GG 334  in

Art. 10, 11, 18, 21, 73, 87a und 91. 2, 1 (12 f.). 336  BVerfGE 2, 1 (12 f.); 5, 85 (140); siehe dazu auch zuletzt Pressemitteilung zum Urteil des BVerfG v. 17. Januar 2017, 2 BvB 1/13 zum NPD-Verbot, in dem das BVerfG die zentralen Grundprinzipien, als von ihr umfasst ansieht, die „für den freiheitlichen Verfassungsstaat schlechthin unentbehrlich“ sind, abrufbar unter: https:// www.bundesverfassungsgericht.de/SharedDocs/Pressemitteilungen/DE/2017/bvg17004.html. 337  Die Aufzählung in § 4 Abs. 2 BVerfSchG ist mit Ausnahme der in § 4 Abs. 2 Buchst. g zusätzlich aufgeführten Menschenrechte, wortlautgleich mit der in § 92 Abs. 2 StGB enthaltenen Aufzählung. In beiden Normen firmieren die vom BVerfG aufgestellten Grundsätze indes unter der Bezeichnung Verfassungsprinzipien. 335  BVerfGE

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 225

Bezug nimmt.338 Die Kernprinzipien der freiheitlichen demokratischen Grundordnung sind allesamt nicht abstrakt-genereller Natur, sondern beziehen sich auf die Vorgaben des Grundgesetzes für die innere Ordnung dieses Staates, der Bundesrepublik Deutschland, und seines Gemeinwesens. Zusammengefasst handelt es sich bei den Prinzipien insofern einerseits um Organisationsprinzipien des Staates, andererseits um solche, die das Verhältnis desselben zu seinen Bürgern zum Gegenstand haben.339 bb) Abgrenzung zum Bestand des Staates Während der Bestand des Staates Gewähr dafür bietet, dass ein in Anlehnung an die Drei-Elemente-Lehre aus Staatsgebiet, Staatsvolk und Staatsgewalt bestehendes staatliches Ordnungsgefüge besteht und dies mit den gekennzeichneten Normen abzusichern sucht, betrifft die freiheitliche demokratische Grundordnung die Ausgestaltung dieser Ordnung explizit im Lichte des Grundgesetzes. Der Bestand des Staates erfasst demnach die Essentialia eines – nicht notwendig des bundesrepublikanischen – staatlichen Gefüges, mit der Folge, dass sich derjenige, der sich dagegen auflehnt, eher gegen das „ob“ bzw. das Gefüge als solches auflehnt, während derjenige, der sich gegen die freiheitliche demokratische Grundordnung wendet, sich eher gegen die konkrete Ausprägung im grundgesetzlichen Gewande auflehnt.340 Unterstützend lässt sich die bundesverfassungsgerichtliche Ausformulierung der freiheitlichen demokratischen Grundordnung selbst anführen: So wird nicht irgendeine demokratische Grundordnung geschützt, sondern explizit die auf den Freiheitsrechten des Grundgesetzes fußende freiheitliche. Hierdurch wird deutlich der Bezug zur grundgesetzlichen Ordnung hergestellt. Gleichwohl lässt sich die Abgrenzung der beiden Begrifflichkeiten nicht in allen Bereichen hinreichend konsequent aufrechterhalten, sodass Überschneidungen durchaus möglich sind.341 Die Gesamtheit dessen, was den Bestand des Staates auf der einen und die freiheitliche demokratische Grundordnung auf der anderen Seite ausmacht, lässt sich versuchsweise unter die einheitliche Formel fassen: „Das Vermögen, die Staatsgewalt durch die zuständigen Organe verfassungsgemäß auszuüben.“342 338  Siehe

zu beidem auch BT-Drs. 11/4306 S. 60. Begriffspaar wird auch verwendet von Volkmann, in: v. Mangoldt/Klein/ Starck, Das Bonner Grundgesetz, Art. 87 Rn. 143; siehe auch Linke, AöR 2004, 490 (528). 340  In diesem Sinne ist auch Isensee, 61 (70) zu verstehen, wenn er die freiheitliche demokratische Grundordnung als die „Chiffre des Grundgesetzes“ bezeichnet. 341  So auch Volkmann, in: v. Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art. 87 Rn. 143. 342  Vgl. ähnlich Ipsen, in: BK-GG, Losebl. (Stand: Jan. 1969), Art. 87a Rn. 143. 339  Dieses

226 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

cc) Verteidigungsobjekt oder reines Organisationsprinzip? Die Frage, ob sich die auch als „Grundgerüst“343 aufgefasste freiheitliche demokratische Grundordnung auch als Objekt der Verteidigung eignet, hängt entscheidend von ihrem qualitativen Gehalt ab. Dies impliziert die Auseinandersetzung darüber, ob sie überhaupt Gegenstand einer militärischen Auflehnung sein kann und ob diese Auflehnung herkunftsgebunden ist, d. h. allein von innen oder auch von außen herrühren darf. (1) Verteidigung als Ausprägung streitbarer Demokratie? Die freiheitliche demokratische Grundordnung steht in engem Zusammenhang mit dem Verständnis von der streitbaren Demokratie344.345 So enthält das Grundgesetz eine Reihe von – teils bereits behandelten – Normen, die für den Fall der Gefährdung der freiheitlichen demokratischen Grundordnung Maßnahmen zum Erhalt derselben vorsehen. Hierzu gehören neben den bereits angeführten Art. 18 und 21 auch die Art. 9 Abs. 2346, Art. 10 Abs. 2 S. 2347 und 20 Abs. 4 sowie der thematisch relevantere Art. 87a Abs. 4 GG348. Der Kern der streitbaren Demokratie fußt auf dem Gedanken, dass jede Verfassung „grundlegende Prinzipien“ kennt, die als ein „unveränderliches Verfassungssystem“ nicht legal beseitigt werden können.349 Eine vergleichs343  So bezeichnet von Dürig/Klein, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 09/2017, Art. 18 Rn. 26. 344  Der Begriff geht auf den Wissenssoziologen Karl Mannheimer zurück, der durch sein Werk „Diagnosis of our Time“ im Jahr 1943 dem Übergreifen der Diktatur auf andere Staaten entgegenwirken und zum Erhalt der Demokratie beitragen wollte, wurde seither aber vom BVerfG geprägt, siehe BVerfGE 28, 36 (48 f.); 80, 244 (253). 345  Gusy, Die „freiheitliche demokratische Grundordnung“ in der Rechtsprechung des Bundesverfassungsgerichts, AöR, Band 105 (1980), 279 bezeichnet die streitbare Demokratie als die „Kehrseite“ der freiheitlichen Demokratie. 346  Hier spricht das Grundgesetz zwar nicht von freiheitlicher demokratischer Grundordnung, sondern von der „verfassungsgemäßen Ordnung“, diese Begrifflichkeiten lassen sich jedoch mit Dürig/Klein, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 09/2017, Art. 18 Rn. 57 in diesem Zusammenhang als inhaltlich deckungsgleich verstehen. 347  Auf allesamt in diesem Zusammenhang Bezug genommen in BVerfGE 30, 1 (19 f.). 348  Auf die letzten beiden haben Papier/Durner, AöR 2003, 340 (353 bzw. 354) Bezug genommen. 349  Schmitt, Legalität und Legitimität, 1932, S. 49 f. und 61; siehe auch die Anmerkung von Papier/Durner, Streitbare Demokratie, AöR 2003, 340 (345), dass die in diesem Zusammenhang vom umstrittenen Staatsrechtler Carl Schmitt gemachten Er-

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 227

weise deutliche Ausprägung dieses Prinzips im Grundgesetz enthält Art. 79 Abs. 3 GG. Hier bekennt sich der Verfassungsgeber zu unabänderlichen Werten und entzieht diese konsequent der Möglichkeit der Grundgesetzänderung, ungeachtet, ob eine solche mehrheitsfähig wäre.350 Das Grundgesetz selbst ist also auf „Selbstverteidigung“351 gegen diejenigen in Stellung gebracht, die unter dem Deckmantel der grundgesetzlich gewährten Freiheiten versuchen, diese zu beseitigen. Niemand soll bildlich gesprochen die Axt an den Baum anlegen, dessen Blätterdach ihm selbst Schatten spendet. Ein solches – offenkundig widersprüchliches – Verhalten lehnt die Verfassung ab. Die freiheitliche demokratische Grundordnung stellt dabei eine Teilmenge dieser von Art. 79 Abs. 3 GG geschützten Verfassungssubstanz dar.352 Das Grundgesetz betraut neben der Legislative (Art. 10 GG) und Judikative (Art. 18 und 21 GG) auch die Exekutive damit, die Wehrhaftigkeit des Staates in den geregelten Fällen mit Leben zu füllen. Letzteres drückt sich maßgeblich anhand von Art. 87a Abs. 4 GG aus, der auch den Einsatz der Streitkräfte legitimiert. (2) Taugliches Angriffsobjekt? Es fragt sich, ob die freiheitliche demokratische Grundordnung überhaupt geeignet ist, Gegenstand eines Angriffs zu werden oder es sich bei den Gefährdungen, denen sie sich ausgesetzt sieht, eher um solche geistiger Natur handelt. In diesem Zusammenhang ist erneut nach dem jeweiligen Angriffsverständnis zu differenzieren. (a) Rein geistige Auflehnung gegen die bestehende Ordnung tatbestandlich für die FDGO? Bei Zugrundelegung des herkömmlichen Angriffsverständnisses, als ein von außen einwirkendes Ereignis mit physisch-letaler Wirkung im Zuge der Entfaltung kinetischer Energie mag man der Auffassung zuneigen, dass dies wägungen erheblichen Einfluss auf das Bekenntnis des Grundgesetzes zu unabänderlichen Werten nahmen. 350  Siehe dazu Papier/Durner, AöR 2003, 340 (344 f.) mit Verweis auf Kelsen, Verteidigung der Demokratie (1932), in: Demokratie und Sozialismus, der dagegen die Auffassung bekundet, „Ein Staat könne sich selbst zur Rettung der Demokratie nicht gegen den Mehrheitswillen behaupten ohne aufzuhören, Demokratie zu sein.“ 351  So bezeichnet von Jarass, in: Jarass/Pieroth, Grundgesetz Kommentar, Art. 18 Rn. 1. 352  Herdegen, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 09/2017, Art. 79 Rn. 87.

228 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

die einzelnen Ausprägungen der freiheitlichen demokratischen Grundordnung unbeeindruckt lässt.353 Hierfür spricht vor allem ihre Ausprägung in Art. 21 Abs. 2 und 3 GG verstärkt durch die Tatsache, dass sich das BVerfG inhaltlich mit ihr maßgeblich im Zusammenhang mit Parteiverbotsverfahren auseinandersetzte.354 In den Verfahren ging es maßgeblich um das Streben nach staatlichen Organisationsformen, deren Einrichtung der grundgesetzlichen Ordnung fundamental entgegenstünde. Auf dem Weg dorthin wurde als Zwischenziel die politische Überwindung der bestehenden Ordnung angestrebt.355 Dieses Zwischenziel sollte dabei jedoch nicht im Wege einer gewaltsamen Mobilmachung erreicht werden. Eine solche war demzufolge auch nicht Gegenstand der Verfahren. Vielmehr ging es allein um die geistige Auflehnung gegen die bestehende Ordnung. Nichtsdestotrotz dürfte es hinreichend wahrscheinlich sein, dass sich bestimmte, für die Überwindung der bestehenden Ordnung unabdingbaren Veränderungen, nicht gänzlich widerstandslos erreichen lassen. Letzteres lässt sich zwar weder dem BVerfG noch dem Wortlaut des Art. 21 GG entnehmen. Jedoch lassen sich die überwiegenden verfassungs- sowie einfachgesetzlichen Ausprägungen der freiheitlichen demokratischen Grundordnung als Beleg dafür anführen, dass eine physische Auflehnung gegen dieselbe möglich ist. In erster Linie der vorbezeichnete Art. 87a Abs. 4 GG legt nahe, dass sie offenbar sehr wohl geeignet ist, in klassisch militärischer Weise bekämpft zu werden.356 Isensee hat sich als einer der wenigen mit der Qualifikation der freiheitlichen demokratischen Grundordnung als Verteidigungsobjekt auseinandergesetzt und sich im Ergebnis skeptisch gezeigt.357 Ausgangspunkt und Anker seiner Überlegungen ist das klassische Angriffsverständnis, woraus er den 353  So Isensee, 61 (77 f.), der die eingängige Formel aufstellt: „[Die Bundeswehr] schützt die Unversehrtheit der Verpackung, ohne Rücksicht auf den Inhalt und ohne Verantwortung für den Inhalt“. 354  Das BVerfG hat die Prinzipien der freiheitlichen demokratischen Grundordnung im Rahmen von Parteiverbotsverfahren auf Grundlage des Art. 21 GG aufgestellt BVerfGE 2, 1 (12 f.); 5, 85 (140) und sich seitdem überwiegend im Lichte dieser Vorschrift zu ihr geäußert, siehe dazu zuletzt Pressemitteilung zum Urteil v. 17. Januar 2017, 2 BvB 1/13, abrufbar unter: https://www.bundesverfassungsgericht.de/ SharedDocs/Pressemitteilungen/DE/2017/bvg17-004.html. 355  Siehe beispielsweise BVerfGE 2, 1 (59 f.), in dem das BVerfG der SRP ein Streben zur Diktatur attestiert oder BVerfGE 5, 85, 147, in dem das BVerfG die KPD der Propagierung der proletarischen Revolution und gleichsam der Diktatur (des Proletariats) bezichtigt und dies als direkte Beeinträchtigung der freiheitlichen demokratischen Grundordnung deutet. 356  Siehe auch § 4 Abs. 1 Buchst. c) BVerfSchG, der die Art der Bestrebungen gegen die freiheitliche demokratische Grundordnung als solche nicht definiert, sondern nur das damit verfolgte Ziel, das da lautet, diese zu „beseitigen oder außer Geltung zu setzen“. 357  Isensee, 61 (70 f.).

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 229

Verteidigungsauftrag ableitet. Hierunter versteht er den militärischen Angriff von außen. Weil dieser von außen komme, richte er sich in der Folge in erster Linie auch gegen den äußeren Bestand des Staates, nicht aber unmittelbar gegen die innere Verfassung der Bundesrepublik, auf die sich die freiheitliche demokratische Grundordnung aber abschließend beziehe.358 Diese Sichtweise stößt indes bereits im Rahmen des klassischen Angriffsverständnisses auf Bedenken, sofern man die Worte des Bundesverfassungsgerichts zugrunde legt. So fällt auf, dass er allein auf das Kriterium der äußeren Herkunft der Gefährdung rekurriert und dieses zum Maßstab der Eignung als Verteidigungsobjekt macht. Gerade nach klassischem Angriffsverständnis war die Gefährdung aber immer eine zweifache: Einerseits eine territoriale, in Gestalt der Landnahme und andererseits eine ideologische, die auf die Organisation des Staates und seines Gemeinwesens, mit den Worten des BVerfG, seiner Existenz, abzielte.359 Es macht den Anschein, als sähe Isensee die Verfassungsgefährdung immer nur dann als verteidigungswürdig an, wenn sie kumulativ mit Bestrebungen nach einer territorialen Grenzverschiebung erfolge, die typischerweise aus dem Ausland motiviert ist. Diese Sichtweise sieht sich spätestens dann massiven Schwierigkeiten ausgesetzt, wenn, wie im Cyberraum, die Kenntnis über die Herkunft der Unkenntnis weicht und sich damit das Abgrenzungsmerkmal der äußeren Herkunft aus natürlich-technischen Gegebenheiten relativiert. (b) Bekämpfung der FDGO auch von außen möglich? Während das Grundgesetz hinsichtlich der Herkunft der Gefahr für die freiheitliche demokratische Grundordnung schweigt und es dem Rechtsanwender diesbezüglich auch nicht ermöglicht, im Zuge systematischer Erwägungen, Argumente für die eine oder die andere Sichtweise zu gewinnen, gelingt dies jedoch bei Betrachtung des potentiell in Betracht kommenden Adressatenkreises. So ist auffallend, dass die überwiegende Anzahl der grundgesetzlichen Normen, die sich auf die freiheitliche demokratische Grundordnung beziehen, nicht etwa darauf hindeutet, dass entsprechende Auflehnungen stets durch deutsche Staatsbürger im Sinne des Art. 116 Abs. 1 358  Isensee,

aaO. auf S. 151 f.; siehe in diesem Zusammenhang auch die Rede von Dr. Bruno Kahl (Präsident des BND) bei der Hanns-Seidel-Stiftung am 13.11.2017, in der er darauf hinwies, dass auch die in der Bundesrepublik Deutschland gewählte „politische Lebensform“ Gegenstand der Verteidigung sei, abrufbar unter: http:// www.bnd.bund.de/DE/Organisation/Leitung%20des%20Hauses/Reden_der_Leitung/ Texte/171113_Hanns-Seidel-Stiftung.pdf?__blob=publicationFile&v=3 (S. 3). 359  Verweis

230 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

GG zu geschehen haben.360 So handelt es bei den im StGB unter dem Titel Gefährdung des demokratischen Rechtsstaats geführten Straftatbestände361, die Bestrebungen gegen die freiheitliche demokratische Grundordnung362 unter Strafe stellen, nicht etwa um Sonderdelikte, sondern um Allgemeindelikte. In dieselbe Richtung deutet auch Art. 18 GG, der die Verwirkung einzelner Grundrechte regelt und zu dessen Tatbestandsmäßigkeit jemand die Grundrechte zum Kampf gegen die freiheitliche demokratische Grundordnung missbrauchen muss. Insofern richtet sich Art. 18 GG gegen jede natürliche Person, gleichgültig ob Deutscher oder Ausländer.363 Diese Ausführungen sind zwar nicht in der Lage, die territoriale Zuordnung gänzlich zu negieren, relativieren diese indes. Nach Auffassung des Bundesverfassungsgerichts handelt es sich bei der Demokratie der Bundesrepublik Deutschland um eine solche, „die von ihren Bürgern eine Verteidigung der freiheitlichen demokratischen Grundordnung erwartet“.364 Reziprok muss diese damit auch taugliches Angriffsobjekt sein. Davon ausgehend ist es nur konsequent, die Verteidigung mit den Streitkräften als komplementär zum facettenreichen Selbstverteidigungsspektrum der wehrhaften Demokratie zu begreifen. 5. Zwischenergebnis zur Fassung des Verteidigungsobjekts Die vorangegangenen Ausführungen haben Aufschluss über das Verteidigungsrecht, die Verteidigungsobjekte und deren normative Verortung gegeben. Die konkrete Nennung von Bezugsobjekten, die Gegenstand der Verteidigungshandlung sind, ist gleichzeitig der erste Schritt zur Abgrenzung gegenüber dem Aufgabenbereich anderer Sicherheitsbehörden. Wegen der in360  In diese Richtung deutet zumindest § 2 Abs. 3 Nr. 1 PartG, in dem es heißt, dass es sich um keine politische Partei im Sinne des Art. 21 GG handelt, wenn ihre Mitglieder oder die Mitglieder des Vorstandes in der Mehrheit Ausländer sind, was darauf hindeutet, dass die freiheitliche demokratische Grundordnung nur von Deutschen bekämpft werden kann. 361  Siehe hier insbesondere § 88 (verfassungsfeindliche Sabotage), § 89 (verfassungsfeindliche Einwirkung auf Bundeswehr und öffentliche Sicherheitsorgane) sowie § 89a StGB (Vorbereitung einer schweren staatsgefährdenden Gewalttat). 362  Das StGB spricht nicht von freiheitlicher demokratischer Grundordnung, sondern von Verfassungsgrundsätzen, die in § 92 StGB aber nahezu vollumfänglich wortgleich mit der Definition der freiheitlichen demokratischen Grundordnung durch das BVerfG sind. 363  Dürig/Klein, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 09/2017, Art. 18 Rn. 24, 26. 364  BVerfGE 28, 36 (Leitsatz zwei sowie 48 f.); siehe auch Depenheuer, in: Maunz/ Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 42, der die Auffassung vertritt: „Verfassungsverteidigung ist legitimer Auftrag der Streitkräfte“.

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 231

haltlichen Weite der entsprechenden Bezugsobjekte einerseits, ihrer mitunter mannigfach eingebetteten gesetzlichen Erwähnungen andererseits sowie der fehlenden Eignung von Herkunft und Urheberschaft zur Abgrenzungshilfe im digitalen Raum bedarf es indes weiterer Konkretisierung.

III. Die Intensität der Schutzgutbetroffenheit Das Bedürfnis, sich mit der Intensität der Betroffenheit der einzelnen Schutzobjekte auseinanderzusetzen, resultiert daraus, dass es mehrere Akteure gibt, die für die Erfüllung der vorgenannten Aufgaben potentiell in Betracht kommen. Neben den Streitkräften sind das im Wesentlichen die Polizeibehörden. So wurde vielfach darauf hingewiesen, dass die vorgenannten Schutzobjekte Bestand des Staates und freiheitliche demokratische Grundordnung nicht exklusiv die Streitkräfte in die Pflicht nehmen, wie deren verschiedentliche einfachgesetzliche Erwähnung gezeigt hat. Für den Komplex der staatlichen Schutzpflichten gilt insofern dasselbe, als diese auch keine exklusive Zuweisung an das Militär vorsehen. Im Hinblick auf jene konnte allein festgestellt werden, dass sie auch im digitalen Raum Bestand haben und in diesem Zusammenhang auch Gegenstand von Verteidigungshandlungen sein können. Auch das auf den ersten Blick für die Streitkräfte ins Feld zu führende Argument, wonach nur diese in das Ausland hineinwirkten, ist bei näherer Betrachtung nicht durchschlagend. So haben bereits die Ausführungen in Kapitel (2) gezeigt, dass sowohl die Landes- wie auch die Bundespolizei auf Grundlage völkerrechtlicher, zwischenstaatlicher Abkommen in das Ausland hineinwirken dürfen.365 Für die Bundespolizei ist das in § 8 BPolG sogar kodifiziert. So lässt sich hier grundlegend sagen, dass, sobald ein Staat mit staatlichen Mitteln in das Ausland hineinwirkt, dies stets von völkerrechtlicher Relevanz ist, unabhängig davon, ob es sich um die Streitkräfte handelt oder nicht, diese aber jedenfalls nicht gegenüber anderen Behörden als „privilegiert“ anzusehen sind. Gepaart mit den Problematiken der thematisierten Zurechnungsschwierigkeiten zeigt sich, dass dem Kriterium der Intensität unter Abgrenzungsgesichtspunkten, insbesondere hinsichtlich der Frage, ab wann ein Sachverhalt, der die zuvor erläuterten Schutzgüter erfasst, Gegenstand des Verteidigungsspektrums wird und wann eben noch nicht, besondere Bedeutung zukommt. Dies gilt insbesondere eingedenk der erläuterten Tatsache, dass sich die Abgrenzung nicht mehr nach der vergleichbar simplen Formel bewerkstelligen 365  Verweis

auf S. 110 ff.

232 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

lässt: Wenn Handlungen mit Streitkräften vorgenommen werden, begründet dies die reziproke Verteidigung mit Streitkräften. 1. Grundgesetzliche Herleitung In der Literatur wird das Kriterium der Intensität im Zusammenhang mit der Einordnung verteidigungswürdiger Sachverhalte durchaus hervorgehoben.366 Gleichwohl bedarf es gerade dann der verfassungsrechtlichen Verankerung, wenn, wie vorliegend, das klassische Angriffs- und Verteidigungsverständnisses Ausgangspunkt der Bearbeitung ist. Es geht also um die Frage, ob dem Grundgesetz ein Verständnis zu entnehmen ist, dass es das „ob“ des Einsatzes der Streitkräfte bzw. die Staffelung des Einsatzes einzelner Sicherheitsbehörden, von der Intensität bzw. vom konkreten Ausmaßes der Betroffenheit eines Schutzgutes abhängig macht. Ein solches Verständnis lässt sich Art. 35 und 87a Abs. 4 GG entnehmen, die den Einsatz der Streitkräfte davon abhängig machen, dass Polizeikräfte nicht ausreichen. Zwar haben sie den inneren Notstand zum Regelungsgegenstand und stehen mit dem Einsatz der Streitkräfte zur Verteidigung damit grundsätzlich nicht in Verbindung. Gleichwohl sind die Vorschriften ein Beleg dafür, dass die Verfassung die Staffelung nach dem Grad der Beeinträchtigung kennt und als Abgrenzungskriterium heranzieht. Explizit mit Blick auf die Schutzgüter Bestand des Staates und freiheitliche demokratische Grundordnung legt die systematische Gesamtbetrachtung insbesondere der Art. 87a Abs. 4 und 91 Abs. 2 GG nahe, dass diese offenbar auf zweierlei Weisen betroffen sein können, die einmal die Verwendung der Streitkräfte legitimieren und einmal nicht. 2. Die einzelnen Verteidigungsobjekte im Fokus Gegenstand der folgenden Ausführungen ist die vertiefte Auseinandersetzung mit der Frage, welchen Grad die Beeinträchtigung der einzelnen Vertei366  Siehe in diesem Zusammenhang Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 31, der im Hinblick auf die Abgrenzung von Polizei und Militär klar auf die Intensität rekurriert; Hernekamp, in: v. Münch/Kunig Grundgesetz-Kommentar, Art. 87a Rn. 13; Wiefelspütz, Das Parlamentsheer: Der Einsatz bewaffneter deutscher Streitkräfte im Ausland, der konstitutive Parlamentsvorbehalt und das Parlamentsbeteiligungsgesetz, S.  117, 121  f.; Hopfauf, in: v. Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art. 115a Rn. 16; Wiefelspütz, Sicherheit vor den Gefahren des internationalen Terrorismus durch den Einsatz der Streitkräfte?, NZWehrr 2003, 45 (55); a. A. Gramm, Militärische Routine oder bewaffneter Einsatz?, NZWehrr 2003, 89 (91).

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 233

digungsobjekte erzielen muss, um eine Verwendung der Streitkräfte zu legitimieren. a) Bestandsgefährdung Zunächst geht es darum, Aufschluss darüber zu gewinnen, welcher Intensität es bedarf, um eine Bestandsgefährdung des Staates zu begründen. Dabei hat die Würdigung des verfassungsrechtlichen Meinungsspektrums hierzu insofern kritisch zu erfolgen, als sich mit dem Bestand des Staates wie auch der freiheitlichen demokratischen Grundordnung überwiegend im Lichte des Inneren Notstandes auseinandersetzt wurde, wohingegen sich vorliegend mit den vorbezeichneten Begrifflichkeiten aus der Warte des Verteidigungsspektrums auseinandergesetzt wird.367 Ferner ist die Entwicklung einer generalisierenden Leitlinie ohnehin schwierig, weshalb sich eine fallweise Beurteilung als sachdienlich erweist, die mit Blick auf die Bedrohungen aus dem digitalen Raum im Anschluss auch vorgenommen wird.368 aa) Die Perspektive des inneren Notstandes Im notstandsrechtlichen Kontext wird vertreten, dass die Schwelle zur Bestandsgefährdung erst dann überschritten sei, wenn das staatliche Gewaltmonopol insgesamt in Frage gestellt ist.369 Im Hinblick auf das Staatsvolk reiche es dagegen aus, wenn das Leben und die Existenz eines „großen Teils“ auf dem Spiel stünden, etwa im Zuge der Bedrohung der ökologischen Voraussetzungen menschlichen Lebens durch den Anschlag auf ein Kernkraftwerk.370 Stellt man diese Sichtweise der vergleichsweise einfach gelagerten, klassischen Auffassungsgabe zur Begründung des Einsatzes der Streitkräfte zur Verteidigung gegenüber, wonach jedweder Angriff als intensiv genug 367  Nur so ist es zu erklären, dass bspw. Dreist, in Terrorismusbekämpfung als Streitkräfteauftrag – zu den verfassungsrechtlichen Grenzen polizeilichen Handelns der Bundeswehr im Innern, NZWehrr 2004, S. 89 (101) einem Terroranschlag pauschal die Eignung abspricht, eine Gefahr für den Bestand des Bundes oder die freiheitliche demokratische Grundordnung darzustellen. 368  Dafür spricht sich auch Volkmann aus, in: v. Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art. 91 Rn. 16; siehe auch Depenheuer, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 10/2008, Art. 87a Rn. 3, der dafür plädiert, dass „die Verfassung den Streitkräfteeinsatz vor allem nach der Intensität bemesse“. 369  Volkmann, in: v. Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art. 91 Rn. 15, der dies von ausgeübter Selbstjustiz einzelner Bürger abgrenzt, die zwar zweifelsohne auch das Gewaltmonopol infrage stellten, jedoch nicht insgesamt. 370  Volkmann, in: v. Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art. 91 Rn. 15, 16; mit Blick auf die Existenzgrundlage ebenso Maunz, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 17. EL August 1979, Art. 91 Rn. 9.

234 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

bewertet wird, solange dies unter Einsatz militärischer Mittel erfolge,371 erschließt sich nicht, aus welchem Grund im Bereich der den Bestand gefährdenden Unternehmungen dann die Betroffenheit eines Großteils des Staatsvolks erforderlich sei, bzw. warum es hier erst des Angriffs auf beispielsweise einen Kernreaktor bedürfe, wohingegen im Übrigen einzelne Raketen ausreichten. Diese Auffassung ist alleine mit der grundsätzlichen Restriktion zu erklären, die gegenüber dem Einsatz der Streitkräfte im Innern besteht, lässt sich auf die Verteidigung aber nicht übertragen. bb) Das Maß der Bestandsgefährdung im einfachen Recht In den bereits in anderem Zusammenhang behandelten einfachgesetzlichen Grundlagen zum Verfassungsschutz372 wird auf den auch dort als Schutzobjekt fungierenden Bestand des Bundes oder eines Landes (§ 3 Abs. 1 Nr. 1 BVerfSchG) dergestalt Bezug genommen, als der Gesetzeswortlaut Bestrebungen, die sich gegen den Bestand des Bundes richten, definiert. Diese umfassen „solche politisch bestimmten, ziel- und zweckgerichteten Verhaltensweisen in einem oder für einen Personenzusammenschluß, der darauf gerichtet ist, die Freiheit des Bundes oder eines Landes von fremder Herrschaft aufzuheben, ihre staatliche Einheit zu beseitigen oder ein zu ihm gehörendes Gebiet abzutrennen“. Zwar lässt sich über diese konkretisierte Art der Bestrebung Aufschluss darüber erzielen, welche Intensität vom Gesetzgeber als bestandsgefährdend verstanden wird. Auch das StGB definiert in § 92 im Abschnitt „Friedensverrat, Hochverrat und Gefährdung des demokratischen Rechtsstaats“ den Bestand des Bundes als dann beeinträchtigt, wenn „Freiheit von fremder Botmäßigkeit auf[gehoben], ihre staatliche Einheit beseitigt oder ein zu ihr gehörendes Gebiet ab[getrennt wird]“. Diese Konkretisierungen geschehen jedoch ausdrücklich jeweils „im Sinne dieses Gesetzes“, d. h. nur im Lichte des BVerfSchG bzw. des StGB, beanspruchen folglich keine universelle Geltung.373 Abgesehen davon ergibt sich das Verständnis über den Einsatz der Streitkräfte alleine aus dem Grundgesetz, da in diesem Zusammenhang keine Ausführungsgesetze vorgesehen sind.374 Es Lepper, S. 25. Abs. 1 Nr. a) BVerfSchG. 373  Gleichwohl ist auffallend, dass in § 92 StGB von „fremder Botmäßigkeit“ gesprochen wird, was nach einhelliger Kommentierung die Beseitigung der Handlungsfreiheit bzw. Entscheidungsgewalt der Bundesrepublik zugunsten außerdeutscher Mächte beinhaltet (Fischer, StGB § 92 Rn. 2) und somit einen Umstand beleuchtet, der – anders als beim inneren Notstand – eine potentielle Gefährdung von außen in den Fokus nimmt. 374  Hierauf weist Maunz, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 17. EL August 1979, Art. 91 Rn. 10 zutreffend hin. 371  Vgl. 372  § 4

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 235

wäre demnach normhierarchisch unzulässig, wenn das einfache Recht, zumal eines mit einem anderen Regelungsgegenstand, den Rahmen für das verfassungsrechtliche Intensitätsverständnis zum Einsatz der Streitkräfte zur Verteidigung abstecken könnte. b) Gefährdung der freiheitlichen demokratischen Grundordnung Im Rahmen der freiheitlichen demokratischen Grundordnung stellt sich gleichsam die Frage, mit welchem Grad bzw. welcher Intensität diese beeinträchtigt sein muss, um eine Verwendung der Streitkräfte zu legitimieren. Dabei steht vor allem im Fokus, ob es hinreichend ist, dass einzelne der sie ausmachenden Prinzipien bekämpft werden, oder es stets einer Auflehnung gegen die Grundordnung in ihrer Gesamtheit bedarf. Der Wortlaut sowie die Systematik des Art. 87a Abs. 4 GG sprechen gegen letzteres, weil gerade nicht vom Bestand der freiheitlichen demokratischen Grundordnung gesprochen wird.375 Volkmann weist – wenn auch wiederum aus der Perspektive des inneren Notstandes – auf den Zweck des Rechtsinstituts innerer Notstand hin, konkret darauf, dass dieser nicht einzelne „Krisensymptome“, sondern die „Krise schlechthin“ für den Umschlag von Normal- in Notstandslage im Auge habe. Vor diesem Hintergrund sei die Debatte über die Gefährdung der Prinzipien in ihrer Gesamtheit redundant. Dieser Argumentation ist insoweit zu folgen, als sie sich auf die Funktion des Art. 87a Abs. 4 GG im Rahmen des inneren Notstandes bezieht. Im Bereich des Notstands als Ausnahme von der Regel sollte nachvollziehbar tunlichst darauf geachtet werden, das Recht nicht „in einen Ausnahmezustand hinein zu veralltäglichen oder vom Ausnahmezustand her konzeptionell zu denken“.376 Bei der Darlegung dessen, was als verteidigungswürdig erachtet wird, geht es aber um den inhaltlichen Anwendungsbereich der Regel, namentlich dessen was als Verteidigung ureigene und völlig unbestrittene Kompetenz der Streitkräfte ist und gerade nicht um die Absteckung der Ausnahme. Aber selbst bei Zugrundelegung der Parameter des Notstandsrechts, also der Ausnahme, ist darauf hinzuweisen, dass dieses nicht unisono auf die Sachlage reduziert wird, auf der es historisch fußt. So fasst Linke377 die Reduzierung der Gefährdungen der freiheitlichen demokratischen Grundordnung auf „separatistische“ und „umstürzlerische 375  hierauf weist Volkmann, in: v. Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art. 91 Rn. 18 zutreffend hin. 376  Di Fabio, Sicherheit in Freiheit, NJW 2008, 421 (425), der seinerseits auf Schmitt, Politische Theologie, S. 11 verweist; siehe auch Schröder, Staatsrecht an den Grenzen des Rechtsstaates, AöR Band 103 (1978), 121 (147 f.). 377  Linke, AöR 2004, 490 (528).

236 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

Bestrebungen“ bzw. „bürgerkriegsähnliche Großzerstörungslagen nach dem Muster der Weimarer Krisenjahre bis 1924“ als zu kurz auf und sieht auch „kriminelle Akte die auf den freiheitlichen Nerv der bundesrepublikanischen Ordnung zielen“, als vom Notstandsrecht mitumfasst an. In diesem Zusammenhang ist für ihn auch das Ereignis einer „großtechnischen Katastrophe“ denkbar, wie er explizit aufführt. Auch das Notstandsrecht wird also für anpassungsfähig gehalten. Böckenförde378 nahm die hohen tatbestandlichen Hürden des inneren Notstands zum Anlass, Überlegungen nach einer Differenzierung in einen großen und kleinen Ausnahmezustand ins Feld zu führen. Er weist nachvollziehbar darauf hin, dass es Lagen gibt, die den Militäreinsatz erfordern, auch wenn die „große Krise“ nicht eintritt und deutet damit auf die Betroffenheit „lediglich“ einzelner Teilelemente der Grundordnung hin.379 Eine solche Sichtweise ließe sich auf den hier in Rede stehenden Einsatz zur Verteidigung insofern übertragen, als dieser bei einer Gefährdung einzelner Teilprinzipien der freiheitlichen demokratischen Grundordnung dann erst Recht zulässig sein müsse, weil es sich bei ihm eben um die originäre Kompetenz der Streitkräfte, mit anderen Worten um den Regel- und nicht den Ausnahmefall handelt. Auch der Bericht des Rechtsausschusses zur Einführung von Art. 87a Abs. 4 GG380 lässt nicht zwingend darauf schließen, dass es stets einer Betroffenheit der Gesamtheit dessen bedarf, was die freiheitliche demokratische Grundordnung ausmacht. Diesem lässt sich entnehmen, dass bei der Einführung des Art. 87a Abs. 4 GG ohnehin die Qualität der Bewaffnung sowie das Vorhandensein einer militärischen Organisationsstruktur zum Einsatz der Streitkräfte gegen die dort genannten Aufständischen ausschlaggebend gewesen sei.381 So wurde der Regierungsentwurf auf Drängen des Rechtsausschusses insofern verschärft, als der zunächst für ausreichend befundene bewaffnete Aufstand restriktiver gefasst wurde, indem die im Tatbestand erwähnten Aufständischen nunmehr organisiert und militärisch bewaffnet sei müssten.382 Dies deutet darauf hin, dass es dem Gesetzgeber insgesamt weniger darum ging, den Einsatz der Streitkräfte von einer checklistenhaften Prüfung der vom BVerfG aufgestellten Kriterien der freiheitlichen demokratischen Grundordnung abhängig zu machen, bzw. diesen zu unterlassen, wenn diese nicht in ihrer Gesamtheit gefährdet wäre, als vielmehr um die Durchsetzungskraft des Vorgehens. 378  Böckenförde, Der verdrängte Ausnahmezustand. Zum Handeln der Staatsgewalt in außergewöhnlichen Lagen, NJW 1978, 1881 (1890). 379  Böckenförde, NJW 1978, aaO. 380  Bericht des Rechtsausschusses, BT-Drs. V/2873. 381  Bericht des Rechtsausschusses, BT-Drs. V/2873, S. 14. 382  Bericht des Rechtsausschusses, aaO.

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 237

3. Bewertung der Intensität im digitalen Raum a) Analogie zur Typizität analoger Angriffe Die Betroffenheit im digitalen Raum kann vielschichtiger sein als im analogen Raum. Das ergibt sich bereits vor dem Hintergrund der in Kapitel (1) aufgeführten Bedrohungen, wird aber verstärkt durch die unterschiedlichen hier thematisierten potenziellen Verteidigungsobjekte. So bietet es sich an, zunächst einmal entlang der Wirkungen in der Außenwelt zu differenzieren: Gibt es überhaupt (schon) externe Wirkungen oder zeitigt der Angriff nur systeminternen Wirkungen? Bezogen auf die systemexternen Auswirkungen fällt das Augenmerk zunächst auf solche Ereignisse, die im analogen Raum durch herkömmliche Waffensysteme bewerkstelligt werden können, sodass der Schluss naheliegt, die Intensität dann für hinreichend zu erachten, wenn eine vergleichbare Auswirkung eintritt. Diese drückt sich im analogen Raum regelmäßig durch einen physischen Sachschaden oder den Tod von Menschen aus. Dies ist aber vor dem Hintergrund inkonsequent, dass die Qualifikation als verteidigungswürdiger Umstand herkömmlicherweise eben nicht in erster Linie an den physischen Auswirkungen festgemacht wurde, sondern maßgeblich an der offensichtlich militärischen Urheberschaft bzw. der Art der eingesetzten Mittel. So wäre man bei einem offenkundig durch eine Privatperson verübten Sprengstoffanschlag mit letaler Wirkung traditionell nicht geneigt gewesen, diesen als verteidigungswürdigen Umstand zu deklarieren. Insofern lässt sich festhalten, dass das alleinige Abstellen auf die vergleichbare Wirkung in Abwesenheit jeglicher Kenntnisse zu Mittel, Ursprung und Urheber nicht hinreichend erscheint. Wenn dies bereits für solche digitalen Angriffe gilt, deren Auswirkungen extern sind, muss dies konsequent erst recht für die gelten, deren Auswirkungen sich lediglich im jeweiligen System niederschlagen. Eine vermittelnde Lösung, jedenfalls für den Bereich der systemexternen Auswirkungen die zu physischen Schäden führen, könnte sein, dass man nach der Typizität der Auswirkungen abgrenzt. Sofern es sich um Auswirkungen handelt, die im analogen Raum typischerweise nur durch eine militärische Operation erzielt werden können, begründet dies die Aufgabenwahrnehmung durch die Streitkräfte. Für den Bereich der systeminternen Auswirkungen bzw. dort, wo über den Systemeinbruch hinaus noch keine Auswirkungen zu verzeichnen sind, sowie für diejenigen Unternehmungen, die zwar externe Auswirkungen haben, jedoch keine, die vergleichbar einem herkömmlichen Angriff messbar sind, ist das vorgenannte Abgrenzungskriterium dagegen nicht sachdienlich, weil es an dem analogen Äquivalent fehlt.

238 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

b) Allokation der Mittel und Ort der Zuständigkeit Während die Bewertung der erforderlichen Intensität im Zuge des Abstellens auf den Angriff eher reaktiv orientiert ist, lässt sich diese aber auch auf dem Boden der behördlichen Eignung und Ausstattung bewerten und sogar variabel steuern. Ausgangspunkt dieser Betrachtung ist die Annahme, dass Verteidigung den äußersten Grad in einer Eskalationsskala zur Reaktion auf eine Lage darstellt, der sich anders nicht mehr Herr werden lässt.383 Krings weist in diesem Zusammenhang beschwichtigend darauf hin, dass eine dem Argument des Machtmissbrauchs entspringende formale Trennung der Zuständigkeiten nur dort erfolgen müsse, wo die Gefahr besteht, dass das Militär polizeiliche Aufgaben an sich zieht.384 Dort, wo die Polizei aber schlechthin nicht zur Erfüllung bestimmter Aufgaben geeignet ist, bedürfe es auch nicht der Verhinderung der Aufgabenwahrnehmung durch die Streitkräfte.385 Die Eignung einer Behörde kann dabei im Zuge tatsächlicher und rechtlicher Stellschrauben begründet und gesteuert werden.386 aa) Tatsächliche Eignung (Haushaltsallokation) Das tatsächliche Element legt den Fokus auf die Ausrüstung und Ausstattung. Hierdurch wird eine Variabilität der Zuständigkeiten ermöglicht: Sofern sich die digitalen Mittel der Behördenstrukturen signifikant zu Gunsten der Streitkräfte unterscheiden, ist eher damit zu rechnen, dass sich die Sachlage zu einem Einsatz der Streitkräfte verdichtet. Vor dem Hintergrund, dass, anders als im analogen Raum, eigenständige, spezifisch militärische Ausrüstungsgegenstände im digitalen Raum aber nicht vergleichbar existieren, lässt sich argumentieren, dass es im Ergebnis auch eine Frage der Haushaltsallokation und damit eine auf politischer Ebene zu entscheidenden Frage ist, wie die Streitkräfte, namentlich die Teilstreitkraft Cyber- und Informationsraum gegenüber anderen Sicherheitsbehörden finanziell ausgerüstet werden.387 383  Schultz, S. 288 erachtet den Streitkräfteeinsatz im Staatsinnern solange für ausgeschlossen, „wie von außen herrührende Gefahren mit polizeilichen Mitteln bekämpft werden können“. Erst nach Erschöpfung deren Möglichkeiten in technischer bzw. personeller Hinsicht, sei der Verteidigungseinsatz als „ultima ratio“ zulässig. 384  Krings/Burkiczak, Bedingt abwehrbereit? – Verfassungs- und völkerrechtliche Aspekte des Einsatzes der Bundeswehr zur Bekämpfung neuer terroristischer Gefahren im In- und Ausland, DÖV 2002, 501 (511). 385  Krings/Burkiczak, DÖV 2002, aaO. 386  Vgl. hierzu Krings/Burkiczak, DÖV 2002, 501 (510 f.). 387  Vgl. hierzu, eingebettet in die übergeordnete Fragestellung der Abhängigkeit staatlicher Rüstungsbeschaffung von nationalen und außenpolitischen Sicherheitsinteressen, Hesse, Die Neuausrichtung der Bundeswehr, S. 118 ff.

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 239

bb) Rechtliche Eignung (örtliche Zuständigkeit) In rechtlicher, konkret struktureller Hinsicht ist der Ausgangspunkt in der Tatsache zu finden, dass die Streitkräfte eingedenk der Ausführungen in Kapitel (2), gegenwärtig die einzige Organisationsstruktur sind, die sich (im Bereich der Verteidigung) generalklauselartig388 einsetzen lässt. Dies ist gerade in Ansehung einer Bedrohungslage von Bedeutung, die zwar grundsätzlich – wie aufgezeigt – durchaus verortbar ist, jedoch mit Blick auf die föderale Struktur, typischerweise dezentrale bzw. bundeslandübergreifende Effekte zeitigt. Wenn sich Angriffe regelmäßig entweder auf Netzwerke des Bundes und damit solche erstrecken, die über eine Bundeslandgrenze hinausgehen, oder sich dergestalt über die Landesgrenzen hinaus erstrecken, dass sich die mit ihnen beabsichtigten Auswirkungen auf das gesamte Bundesgebiet niederschlagen, ist dies eine Herausforderung für die föderale Grundstruktur. Auch diesbezüglich besteht eine – wenn auch voraussetzungsreiche – Möglichkeit, die im Ergebnis geeignet ist, das normative, aus der Absorptionskraft des Art. 87a Abs. 1 GG entspringende Argument für den Einsatz der Streitkräfte und gegen den Einsatz der Polizei, zu schwächen. Dies gelingt, indem Art. 87a Abs. 1 GG seine Absorptionskraft entzogen wird. Neben einer mit Folgeproblemen behafteten Konkretisierung des Wortlauts lässt sich dies auch dadurch bewerkstelligen, dass den Polizeien des Bundes und hier speziell der Bundespolizei mehr Kompetenzen eingeräumt werden. So ließe sich der in Kapitel (2) aufgezeigte Trend zugunsten der Schaffung von Bundeskompetenzen und -zuständigkeiten, gerade auch für die Gefahrenabwehr im digitalen Raum dahingehend fortführen, dass zusätzliche Bundesbehörden geschaffen werden, bzw. vorhandene in Gestalt des BKA eine generalklauselartige Zuständigkeit erhalten, um in dem hier in Rede stehenden Bereich tätig werden zu dürfen, sodass sich die Alleinstellungsmerkmale für den Einsatz der Streitkräfte entsprechend reduzieren. Die Variabilität des Ansatzes rührt daher, dass er sich im Zuge der kompetenzrechtlichen oder mittelbezogenen Aufwertung anderer Behörden nicht nur als anpassungsfähig erweist, sondern sich gleichzeitig auch der aufgezeigten, vergleichsweise schwierigen Analogie mit dem analogen Raum entledigt.

388  In diesem Sinne auch Schultz, S. 288, der die Formulierung verwendet: „Verteidigung ist das nach außen gerichtete Pendant für die im Innenbereich geltende öffentliche Sicherheit und Ordnung“.

240 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

4. Völkerrechtlicher Einfluss auf die Bewertung der Intensität Das Völkerrecht war bisher nur untergeordnet Gegenstand der Bearbeitung. Das hängt damit zusammen, dass es in einer seiner wesentlichen positivrechtlichen Rechtsquellen, der UN-Charta, im Hinblick auf die Bestimmung der Verteidigungsobjekte über die in Art. 2 Abs. 4 UNC erwähnte territoriale Unversehrtheit und politische Unabhängigkeit eines Staates sowie das in der Charta nicht explizit geregelte zwischenstaatliche Interventionsverbot hinaus, weder einen nennenswert divergierenden noch konkretisierenden Beitrag zu der vorangestellten Debatte leistet. Anders verhält es sich mit Blick auf das hier in Rede stehende Kriterium der Intensität. Die sich aus der Völkerrechtsfreundlichkeit des Grundgesetzes ergebende Pflicht, das Völkerrecht zu respektieren,389 verlangt in der Konsequenz auch, sich mit dem Völkerrecht dort auseinanderzusetzen, wo das Verfassungsrecht keine Aussage trifft. Das ist bei der Intensität der Fall. Diesbezüglich lassen sich mit dem in Art. 2 Abs. 4 HS. 2 UNC kodifizierten Verbot der Gewaltanwendung und dem in Art. 51 UNC normierten Selbstverteidigungsrecht im Zuge eines bewaffneten Angriffs, dem Zusammenspiel der beiden sowie dem nicht explizit kodifizierten Interventionsverbot Anknüpfungspunkte ausmachen, die für die inhaltliche Ausgestaltung der Intensität von Relevanz sein können. a) Der Cyberraum – Regelungsgegenstand im Völkerrecht? Gegenstand der folgenden Ausführungen ist die Untersuchung, ob und inwiefern das Völkerrecht den Cyberraum in den Fokus nimmt. Die Annäherung erfolgt vom besonderen zum allgemeinen. Dabei werden zunächst diejenigen Bestrebungen in den Fokus genommen, die explizit auf eine Regelung von Bestandteilen des Cyberraums zielen, bevor sich dann allgemein mit der UN-Charta und den vielfachen Versuchen ihrer Tauglichkeit im Cyberraum auseinandergesetzt wird. Diese Vorgehensweise erscheint eingedenk der grundsätzlichen Exekutionsschwäche des Völkerrechts sachdienlich. So ist auf dem Boden eines Übereinkommens, das verbotene Tätigkeiten in ihren Einzelheiten benennt, nämlich mehr rechtskonformes Verhalten zu erwarten als auf dem Boden einer Charta, die von den einzelnen Akteuren jeweils in ihrem Sinne interpretiert werden kann.390 389  BVerfGE

112, 1 (26). spricht die später noch näher beleuchtete Verständigung der Obama Administration mit dem chinesischen Staatspräsidenten aus dem Jahr 2015 über die Eindämmung der Firmen- und Industriespionage. Im Zuge dieser Übereinkunft ging die Spionage in den betreffenden Feldern spürbar zurück, https://obamawhitehouse. archives.gov/the-press-office/2015/09/25/fact-sheet-president-xi-jinpings-state-visitunited-states. 390  Hierfür

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 241

b) Konsens im Cyberraum? – Bisher überschaubarer Erfolg Der status quo lässt sich vergleichsweise knapp festhalten: Cyber-Operationen sind völkerrechtlich weder als Mittel der Kriegsführung noch im Übrigen explizit verboten.391 Dies hängt schlicht damit zusammen, dass es keinen geschriebenen Rechtssatz gibt und sich bis dato keine gewohnheitsrechtliche Überzeugung herausgebildet hat, nach dem/der diese verboten sind.392 Weder gibt es gegenwärtig konkrete Verhaltenspflichten im Blick auf Cyberoperationen,393 noch hat sich der UN-Sicherheitsrat mit einer konkreten Cyberoperation und ihren Folgen bislang befasst.394 Insofern gibt es auch für die Kernfrage, ob ein Cyberangriff in der Lage ist, das Verteidigungsrecht nach Art. 51 UNC auszulösen und wenn ja, wann dies der Fall ist, keinen Konsens.395 Ausgangspunkt völkerrechtlicher Bemühungen war ein russischer Resolutionsentwurf aus dem Jahr 1998 zur Informationssicherheit, der jedoch von der UN-Generalversammlung nicht angenommen wurde.396 Auffallend ist, dass die russische Seite zwar nicht auf die naheliegende Thematik des Hackens von Computernetzwerken einging, dagegen aber auf drohende Informationskriege Bezug nahm und im direkten Zusammenhang zu diesen auf das Ausmaß der öffentlichen Verfügbarkeit von Informationen durch das Internet hinwies.397 Der Fokus hierauf wird auch von China geteilt, mit der Folge, dass bereits in diesem frühen Stadium unterschiedliche Sichtweisen über die Spannbreite des Cyberraums bei den in diesem Zusammenhang be391  Siehe in diesem Zusammenhang das sog. Lotus-Prinzip des Ständigen Internationalen Gerichtshofs (Fall der S. S. „Lotus“, France v. Turkey, PCIJ Ser. A, Nr. 10 (1927), Rn. 53). Der PCIJ entschied im Kern, dass das internationale Recht den Staaten jede nicht explizit verbotene Handlung gestatte; siehe dazu auch Gauseweg, Computerwürmer und Cyberwarfare – Moderne Herausforderungen an das humanitäre Völkerrecht, in: Forster/Vugrin/Wessendorff (Hrsg.), Das Zeitalter der Einsatzarmee, 2014, 69 (74). 392  Schmahl, Cybersecurity, in: Berichte der Deutschen Gesellschaft für Internationales Recht, Band 47 (hrsg. von Dethloff/Nolte/Reinisch), S. 159 (206). 393  Schmahl, 159 (207). 394  Schaller, Internationale Sicherheit und Völkerrecht im Cyberspace, Für klarere Regeln und mehr Verantwortung, S. 19; Schmahl, 159 (212). 395  Ebenso Geiß, Cyberwar: Kriegsführung im Graubereich des Rechts. ZöR 2018, 39 (41). 396  UN Dok. A/C.1/53/3. 397  UN Dok. A/C.1/53/3, S. 2; dies stellt auch Maurer, stellv. Direktor am Carnegie Endowment for Peace. Global Public Policy Institute fest, der diesen Eindruck im Rahmen eines „Lunch Briefing“ im Gespräch mit Stefan Neumann von der Stiftung Neue Verantwortung am 15.12.2017 geäußert hat. Das Transkript ist abrufbar unter: https://www.stiftung-nv.de/de/publikation/transkript-internationale-verhandlungen-zucyber-normen, S. 10.

242 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

deutenden Akteuren der Völkergemeinschaft zutage traten.398 Aufschlussreich ist auch die Tragweite, welche die russische Seite den potentiellen Auswirkungen von Informationsoperationen beimaß. So verglich sie im Entwurf die Auswirkungen eines solchen mit denen des Einsatzes herkömmlicher Massenvernichtungswaffen.399 Von der Aufforderung der Russen, internationale Regeln zum Verbot der Herstellung und Verbreitung sogenannter Informationswaffen zu verfassen sowie ein internationales Zentrum zur Beobachtung von Bedrohungen für internationale Kommunikations- und Telekommunikationssysteme einzurichten, blieb in der verabschiedeten Resolution aus dem Jahr 1999 kaum etwas übrig.400 So wurden die Staaten hier lediglich dazu aufgerufen, die Thematik als relevant anzuerkennen und ihre Standpunkte kundzutun.401 Beginnend mit dem Jahr 2004 trat eine UN-mandatierte Arbeitsgruppe zusammen, der Regierungsvertreter einzelner Staaten angehören (Group of Governmental Experts, kurz: GGE). Dieser Institution, deren Teilnehmerkreis über die Jahre gewachsen ist, gehören neben Deutschland u. a. auch die thematisch relevanten Länder USA, China und Russland an.402 Bisher konnte man sich auf drei Abschlussberichte verständigen, die jeweils auch im Nachgang in den einzelnen Ländern teils heftig kritisiert wurden, was grundsätzlich darauf hindeutet, dass die Vertreter der übereingekommenen Staaten dieser die Grundlage für eine Selbstverpflichtung beimaßen.403 Im Jahr 2013 einigte man sich im Rahmen der GGE darauf, dass der Cyberraum kein rechtsfreier Raum sei, sondern das Völkerrecht und hier vor allem die UN398  Maurer, aaO; diese unterschiedliche Sichtweise setzt sich bis heute fort, betrifft aber nicht nur Russland und China. So haben Russland und China gemeinsam mit Tadschikistan und Usbekistan am 12. September 2011 einen International Code of Conduct for Information Security vorgeschlagen (vgl. Letter dated 12 September 2011 from the Permanent Representatives of China, the Russian Federation, Tajikistan and Uzbekistan to the United Nations addressed to the Secretary-General, UN Dok. A/66/359), in dem eine Regulierung nicht nur solcher „Informationswaffen“ vorgeschlagen wird, deren Bestandteil ein Computersystem ist, sondern das Kommunikationstechnologie in Gänze erfasst („including networks“), S. 4; hierzu auch Schmahl, 159 (181), die darauf hinweist, dass hier die aus dem Kalten Krieg bekannte Grundsatzdebatte der Reichweite von Meinungs- und Informationsfreiheit wieder aufflamme. 399  UN Dok. A/C.1/53/3, S. 2. 400  zustimmend Krieger, Krieg gegen anonymous, Völkerrechtliche Regelungsmöglichkeiten bei unsicherer Zurechnung im Cyberwar, AVR 2012, 1 (7, Fn. 34). 401  UN Dok. A/RES/53/70, S. 2. 402  siehe zur Anzahl der Zusammenkünfte pro Jahr und weiterer Details https:// dig.watch/processes/ungge#Members. 403  Näher zu den Diskussionen siehe Maurer, S. 9.

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 243

Charta auch im Cyberraum Anwendung finde.404 Im Jahr 2015 wurde ausweislich eines weiteren Bericht eine Einigung zum Angriff auf kritische Infrastrukturen erzielt.405 Hier wurde festgehalten, dass sich die Staaten verpflichten, nicht wissentlich kritische Infrastrukturen anzugreifen.406 Für den Bericht konnte sich dagegen nicht dazu durchgerungen werden, das Selbstverteidigungsrecht nach Art. 51 UNC aufzunehmen, auch wenn der Bericht sprachlich die Essenz von Art. 51 UNC enthält.407 Die auffällige Auslassung von Art. 51 UNC wird bisweilen auf die Sorge einiger GGEPartner – explizit Chinas – zurückgeführt, der Cyberraum könne militarisiert werden.408 Die Formulierung offenbart in jedem Fall eine Zögerlichkeit, den Cyberbereich verbindlich in das von Art. 51 UNC erfasste Spektrum zu inkorporieren. Gleichzeitig deutet die Zögerlichkeit stillschweigend auf die unterschwellige Besorgnis hin, im Zuge dessen würde die breite Palette von militärischer Betätigung – also auch letaler – in Gang gesetzt werden.409 Nachdem zwischenzeitlich der NATO-Generalsekretär Stoltenberg noch einmal die Sichtweise der NATO bestätigte, dass im Verteidigungsbündnis Einigkeit darüber bestehe, dass ein Cyberangriff grundsätzlich geeignet sei, die Beistandsklausel des NATO-Vertrages auszulösen,410 mündete diese Frage 404  UN Dok. A/68/98, S. 8, auf der es explizit heißt: „International law, and in particular the Charter of the United Nations, is applicable and is essential to maintaining peace and stability and promoting an open, secure, peaceful and accessible ICT environment.“ 405  Auf eine Definition wurde sich dagegen nicht geeinigt. 406  UN Dok. A/70/174, S. 8 Buchst. f., in dem es explizit heißt: „A State should not conduct or knowingly support ICT activity contrary to its obligations under international law that intentionally damages critical infrastructure or otherwise impairs the use and operation of critical infrastructure to provide services to the public.“ 407  UN Dok. A/70/174, Nr. 28 Buchst. c, S. 12 „(…) the Group noted the inherent right of States to take measures consistent with international law and as recognized in the Charter. The Group recognized the need for further study on this matter (…)“. 408  https://ccdcoe.org/2015-un-gge-report-major-players-recommending-normsbehaviour-highlighting-aspects-international-l-0.html; nach Aussage von CSIS-Vizepräsident Lewis habe die USA auf die Aufnahme von Art. 51 gedrängt sowie die Ermächtigung zu militärischer Reaktion auf einen Cyber-Angriff der „death and destruction“ zur Folge habe, sei aber an dem Widerstand Chinas gescheitert, abrufbar: http:// www.politico.com/story/2015/07/un-body-agrees-to-us-norms-in-cyberspace-119900. 409  Czosseck, State Actors and their Proxies in Cyberspace, in: Ziolkowski (Hrsg.), Peacetime Regime for State Activities in Cyberspace. International Law, International Relations and Diplomacy 1 (16) ist der Auffassung, dass einige entscheidende Staaten die Nichtregulierung des Cyberraums favorisieren. 410  NATO Generalsekretär Jens Stoltenberg am 13.12.2016 anlässlich des 60. Jahrestages des „Three Wise Men Reports“ im norwegischen Haus in Brüssel. So heißt es auf S. 9 f.: „Article 5 is already updated because NATO is a modern alliance and we have agreed that a cyber-attack can trigger our collected defense.“, abrufbar unter: https://www.nato.int/cps/en/natohq/opinions_139357.htm; erstmals wies das Kommu-

244 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

im GGE-Rahmen dann darin, dass sich im Jahr 2017 nicht einmal mehr auf einen Report geeinigt werden konnte. Während kolportiert wird, dass sich die Amerikaner fortwährend für eine Aufnahme des Art. 51 UNC ausgesprochen hätten,411 ist als einzig offen zugängliches Dokument seitens der (mutmaßlichen) Zögerer das der kubanischen Verhandlungsseite verfügbar, die sich vehement gegen die Aufnahme von Art. 51 UNC wendeten.412 Es gilt jedoch als sicher, dass China und Russland diese Sichtweise teilten, weil es ansonsten wohl kaum zu einem Scheitern gekommen wäre. Eine weitere Initiative, wenn auch mit anderen Zielrichtung ergriff die USRegierung im Jahr 2015. Gegenstand war eine Vereinbarung mit der chinesischen Führung über die Handhabung streitiger Themenfelder im Cyberbereich, zuvörderst betreffend Firmen- und Industriespionage.413 Dabei ist zu beachten, dass der Anspruch dieser Vereinbarung nicht etwa war, die regelmäßig stattfindenden gegenseitigen Cyber-Aktivitäten gänzlich zu unterlassen. Vielmehr sollte die Vereinbarung einen Beitrag zur Mäßigung leisten.414 Kernbestandteil war ein regelmäßiger Austausch zu potentiell gefahrträchtigem Ausmaß.415 Im Hinblick auf die hier übergeordnete Frage nach dem Grade der Beeinträchtigung zur Auslösung eines verteidigungswürdigen Sachverhalts lässt sich somit folgendes festhalten: Abgesehen von der Anerkennung der Gelniqué des NATO-Gipfels in Wales im Jahr 2014 hierauf hin, abrufbar unter: https:// www.nato.int/cps/ic/natohq/official_texts_112964.htm, S. 17 f. in der pdf-Version; die Bestätigung erfolgte beim NATO-Gipfel in Warschau im Jahr 2016, abrufbar unter: https://www.nato.int/cps/en/natohq/official_texts_133169.htm, S. 17 f. in der pdf-Version. 411  Maurer, S. 9; siehe dazu auch Korzak, UN GGE on Cybersecurity: The End of an Era?, abrufbar unter: https://thediplomat.com/2017/07/un-gge-on-cybersecurityhave-china-and-russia-just-made-cyberspace-less-safe/. 412  So heißt es in dem Dokument (Declaration by Miguel Rodríguez, representative of Cuba, at the final session of group of governmental experts on developments in the field of information and telecommunications in the context of international security. New York, June 23, 2017, S. 2): „We consider unacceptable the formulations contained in the draft, aimed to establish equivalence between the malicious use of ICTs and the concept of „armed attack“, as provided for in Article 51 of the Charter, which attempts to justify the alleged applicability in this context of the right to selfdefense.“ 413  https://obamawhitehouse.archives.gov/the-press-office/2015/09/25/fact-sheetpresident-xi-jinpings-state-visit-united-states. 414  http://cyberlaw.stanford.edu/publications/trump’s-plan-work-putin-cyber security-makes-no-sense-here’s-why. 415  Zum Ende seiner Amtszeit wurde postitiv resümiert, dass im Zuge des Abkommens die Industriespionage zurückgegangen sei; siehe dazu: http://thediplomat. com/2017/01/evaluating-the-us-china-cybersecurity-agreement-part-3/; dies bestätigt auch Maurer, S. 16.

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 245

tung der UN-Charta im Cyberraum, sind die Ergebnisse auf internationaler Ebene bisher überschaubar. Jedenfalls bietet diese grundsätzliche Anerkennung aber die Grundlage, im Wege von Subsumtionsversuchen zu ermitteln, wie die UN-Charta zu Cyberangriffen der hier beschriebenen Art steht. Gleichwohl ist anzumerken, dass dies angesichts des offenen Dissenses über die Übertragbarkeit des Art. 51 UNC in den Cyberraum einen – zumindest gegenwärtig – eher akademischen Diskurs darstellt. c) Auslegung der UN-Charta Angesichts der thematisierten mäßigen Erfolge im Hinblick auf Einigungen über Verhaltensweisen und Rahmenbedingungen im Cyberraum ist nunmehr die UN-Charta selbst Gegenstand der Bearbeitung. Hierbei ist erstmal festzuhalten, dass neben den Haager Friedenskonferenzen und dem Völkerbund auch die Vereinten Nationen und damit die UN-Charta selbst, geistige Kinder traditioneller Kriegsführung sind. So verweist letztere in der Präambel selbst auf den ersten und zweiten Weltkrieg, vor deren „Geißel“ es künftige Generationen zu bewahren gelte. Damit einher geht auch ein ganz bestimmtes Angriffsverständnis, das sich von demjenigen der Wehrverfassung im Hinblick auf Mittel und Auswirkungen nicht unterscheidet. Dies gilt auch für das Leitbild der staatlichen Urheberschaft, da militärische Auseinandersetzungen traditionell zwischen Staaten geführt wurden. Die Tatsache, dass der Gegner, den der verfassungsändernde Gesetzgeber bzw. das Verfassungsgericht bei Schaffung, Änderung und Auslegung der Wehrverfassung vor Augen hatte, ein bestimmter war, während die UN-Charta diesbezüglich neutral ist, fällt in Ansehung identischer Parameter nicht ins Gewicht. Der Wortlaut der UN-Charta ist aber auch im Hinblick auf die Art der Mittel und deren Wirkung neutral, sodass sie mit Blick auf sich ändernde Bedrohungsszenarien grundsätzlich auslegungsfähig ist. aa) Gewaltverbot und bewaffneter Angriff im digitalen Raum Das zunächst zentrale Element der UN-Charta ist das individuelle bzw. kollektive Selbstverteidigungsrecht in Art. 51 UNC, im Zuge eines bewaffneten Angriffs.

246 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

(1) Verhältnis der Vorschriften zueinander Aus der unterschiedlichen Formulierung des Gewaltverbots einerseits und des bewaffneten Angriffs andererseits lässt sich ohne Weiteres erst einmal schließen, dass offenkundig nicht jedes (wie auch immer genau ausgestaltete) gewalttätige Verhalten das Verteidigungsrecht auslöst, sondern es sich explizit um einen bewaffneten Angriff handeln muss. Dies hat der IGH mit seinem Nicaragua-Urteil416 und später im Rahmen der Oil-Platform-Entscheidung417 bestätigt, sodass sich die eingängige Formel aufstellen lässt, wonach zwar jegliche Formen bewaffneter Angriffe auch Gewaltanwendungen darstellen, nicht aber umgekehrt.418 (2) Inhaltliches Verständnis Dem bewaffneten Angriff wie auch dem Gewaltverbot liegt aus ihrer Schaffenszeit heraus begründet ein traditionelles Gewaltverständnis im Sinne der Entfaltung kinetischer Energie zugrunde.419 Gleichzeitig geben aber weder die einschlägigen Resolutionen der Generalversammlung noch die UNCharta selbst einen bestimmten Waffen- oder Gewaltbegriff vor, was grund416  Vgl. IGH, Urt. v. 27.6.1986, Case concerning Military and Paramilitary Activities in and against Nicaragua (Nicaragua v. USA), Merits, ICJ Rep. 1986, S. 93 Rn. 195, hier macht das Gericht deutlich, dass die Unterstützung der Contras durch die Vereinigten Staaten zwar eine illegale Gewaltanwendung darstellt, jedoch keinen bewaffneten Angriff; zustimmend: Benatar, The Use of Force, Goettingen Journal of International Law 1 (2009), 375 (393). 417  Case concerning Oli Platforms (Islamic Republic of Iran v. United States of America), ICJ Rep. 2003, Rn. 51, 63, 72. 418  So als Schlussfolgerung der Nicaragua-Rechtsprechung des IGH aufgefasst von Yoo, Cyber Espionage or Cyberwar?: International Law, Domestic Law, and SelfProtective Measures, in: Ohlin/Govern/Finkelstein, Cyber War Law and Ethics for Virtual Conflicts, 175 (180) mit Fn. 26; Keber/Roguski, 399 (432); Randelholzer/ Nolte, in: Simma/Khan/Nolte/Paulus (Hrsg.), The Charter of the United Nations, A Commentary, 2012, Art. 51 Rn. 48; insofern lässt sich auch der UN-Charta entnehmen, dass die Intensität bzw. die Auswirkungen die ein Angriff zeitigt, einen Einfluss auf die zu ergreifenden Gegenmaßnahmen haben und sich das Völkerrecht damit konsistent mit der hier vertretenen intensitätsbasierten Angrenzung hinsichtlich der Zuständigkeit der Streitkräfte verhält. 419  Dies wird in der Literatur teilweise normativ unterstrichen, indem auf die Art. 41 bis 43 der UNC i. V. m. der Präambel verwiesen wird, vgl. dazu Schmahl, 159 (168); Randelzhofer/Dörr, in: Simma/Khan/Nolte/Paulus (Hrsg.), The Charter of the United Nations, A Commentary, 2012, Art. 2 Abs. 4 Rn. 16 ff. Die angeführten Normen lassen aber klar den Schluss zu, dass im Ergebnis schlicht das Gewaltverständnis zugrunde gelegt wurde, das zum Zeitpunkt der Entstehung der Charta im Bereich des Vorstellbaren war, weil auch die angeführten Normen qualitativ gleichsam keine Aussage treffen.

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 247

sätzlich für eine Entwicklungsoffenheit spricht.420 Dies hat auch der IGH in seinem Nuklearwaffen-Gutachten zum Ausdruck gebracht, indem er klarstellte, dass Gewaltanwendung nicht voraussetzt bzw., dass Selbstverteidigung nicht davon abhängt, dass der Angriff mit kinetischen Waffen durchgeführt wird.421 Dies eröffnet wenigstens grundsätzlich einmal die Möglichkeit, dass sich auch elektronische Mittel zur Durchführung eines das Selbstverteidigungsrecht auslösenden Angriffs eignen, was im Übrigen auch der herrschenden Meinung in der Literatur entspricht.422 (3) Das Prinzip der Wirkungsäquivalenz Nach Beantwortung der Frage nach dem „Ob“ der Tauglichkeit von Cyberangriffen als Gegenstand von Gewalt und Verteidigung im Sinne der UNCharta ist sich nun explizit der Frage zu widmen, wann dies der Fall ist. Diesbezüglich wendet die herrschende Meinung das Prinzip der Wirkungsäquivalenz an.423 Als Referenz dient maßgeblich das traditionelle Gewalt-/ Angriffsverständnis. So wird überwiegend die Auffassung vertreten, dass ein verteidigungswürdiger Zustand dann erreicht ist, wenn der Angriff zumindest mittelbar physische Auswirkungen zeichnet,424 die vergleichbar mit denjeni420  Vgl. die Declaration on Principles of International Law concerning Friendly Relations and Co-operation among States in accordance with the Charter of the United Nations, kurz „Friendly-Relations-Declaration“ (UNGA Res. 2625 [XXV] vom 24.10.1970) und die Aggressionsdefinition der Generalversammlung (UNGA Res. 3314 [XXIX] vom 14.12.1974, Annex). 421  IGH, Gutachten v. 8.7.1996, Legalty of the Threat or Use of Nuclear Weapons, ICJ Rep. 1996, S. 244, Rn. 39, wo es heißt: „These provisions [Bezug auf die vorangegangene Randnummer, in der Art. 2 Abs. 4, 42 und 51 angesprochen werden] do not refer to specific weapons. They apply to any use of force, regardless of the weapons employed.“ 422  Zustimmend Dinstein, Computer Network Attacks and Self-Defense, in: Schmitt/O’Donnell (Hrsg.), Computer Network Attack and International Law, 99 (103); Dittmar, S. 155; Joyner/Lotrionte, Information Warfare as International Coercion: Elements of a Legal Framework, EJIL 2001, Vol. 12 No. 5, 825 (855 f.); Randelholzer/Nolte, Art. 51 Rn. 42 f.; Roscini, S. 115; eher ablehnend Benatar, 375 (394 f.), der es dem zwischenstaatlichen Diskurs überlassen möchte. 423  So explizit bezeichnet von Schmahl, 159 (169). 424  Zurückzuführen ist der Vergleichsmaßstab auf das Nicaragua-Urteil des IGH, in dem dieser vor dem Problem stand, konkret anhand der Entsendung von bewaffneten Gruppen in einen anderen Staat bzw. der Unterstützung solcher auf dem Gebiet eines anderen Staates zu bewerten, ob dies einen bewaffneten Angriff darstellte. Dies beurteilte der IGH, indem er „scale-and-effect“ mit einem herkömmlichen Angriff verglich (S. 93); Tallinn-Manual, Rule 11, S. 47, das den „scale and effect“ Maßstab konkret auf den Cyberraum anwendet; auch umfassend Dittmar, S. 157 f., der als Beispiel für eine mittelbare Zerstörung von Sachwerten den Angriff auf Elektrizitätsnetzwerke anführt, deren Funktionalität beispielsweise für die Trinkwasserversorgung

248 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

gen sind, die kinetische, atomare, chemische oder biologische Waffen typischerweise hervorrufen.425 Kurzgefasst: Sachbeschädigungen bzw. die körperliche Beeinträchtigung bis hin zum Tod von Menschen. Eingedenk der Potenzierung zwischen der Schwelle, die es zur Gewalt im Sinne von Art. 2 Abs. 4 UNC, und der zur Auslösung des Selbstverteidigungsrechts nach Art. 51 UNC zu passieren gilt, erstreckt sich die herrschende Meinung gleichermaßen auf die Auslösung des Selbstverteidigungsrechts aus Art. 51 UNC.426 Vereinzelt wird dies für den Bereich der kritischen Infrastrukturen insofern anders gesehen, als es nicht zwingend auf die Beschädigung derselben ankommen soll, sondern auch die Störung ausreiche.427 Die Rede ist insofern von einem „cyberangriffsspezifischen Schweregrad“428. Sofern dieser einer physischen Zerstörung gleichkomme, liege ein bewaffneter Angriff auch ohne physische Zerstörung vor.429 Diese Auffassung wird mit einem Extremvergleich der potentiellen Auswirkungen eines herkömmlichen Angriffs mit denen eines Cyberangriffs begründet, typischerweise unter Bezugnahme auf kritische Infrastrukturen.430 So wird argumentiert, dass es nicht nachvollziehbar sei, wenn eine mittels einer Bombe herbeigeführte geringe Beschädigung, beispielsweise einer lokalen Stromtrasse, grundsätzlich geeignet sein solle, einen gewaltsamen Angriff zu begründen, die flächendeckende Lahmlegung eines Stromnetzes aber nicht.431 Mitunter wird dieser Ansicht mit einem sysunentbehrlich ist und eine Verknappung bzw. ein Ausfall letzterer geeignet ist, Leben zu gefährden. 425  Dittmar, S. 156; Ipsen, § 51 Rn. 19; Schmitt, Tallinn Manual on the International Law Applicable to Cyber Warfare, Rule 13, Rn. 6 f.; Roscini, S.  47 f.; Stein, Völkerrechtliche Aspekte von Informationsoperationen, ZaöRV 2000, 1 (7). Koh, International Law in Cyberspace, Harvard International Law Journal Online 54, (2012), 1 (7) scheint eine andere Ansicht zu verfolgen, obgleich er keine Leitlinien zur Differenzierung anbietet; so auch die Auffassung der Bundesregierung (Kabinett Merkel III) ausweislich der Antwort derselben auf eine kleine Anfrage (BT-Drs. 18/6989, S. 10). 426  So explizit Stein, ZaöRV 2000, aaO; Randelholzer/Nolte, Art. 51 Rn. 42 f. 427  Angesprochen von Ziolkowski, Computernetzwerkoperationen und die Zusatzprotokolle zu den Genfer Abkommen, HuV-I 2008, 202 (208 f.); ähnlich auch bei Stein, 1 (8). 428  So formuliert von Keber/Roguski, 399 (432). 429  Ziolkowski, aaO. 430  so Stein, 1 (8). 431  So Stein, 1 (8), der jedoch anders als Ziolkowski keine Computernetzwerkoperation als Ursache für eine Störung heranzieht, sondern eine traditionelle Waffe in Gestalt eines nuklearen Sprengkörpers, der über dem Boden gezündet wird, damit keine unmittelbar physischen Auswirkungen zeichnet, sondern im Zuge eines elektromagnetischen Schocks Systeme ausschaltet.

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 249

tematischen Argument aus Art. 41 UNC begegnet.432 Hiernach ist der Sicherheitsrat ermächtigt, Sanktionen zu erlassen, die mitunter die vollständige oder teilweise Unterbrechung der Wirtschaftsbeziehungen verschiedener Art einschließen. Die Norm wird als Argument herangezogen, weil sich ihr entnehmen lässt, dass die vorbezeichneten Maßnahmen explizit als Maßnahmen ohne Waffengewalt zu verstehen sind. Infolgedessen sei auch die Störung von Infrastruktur konsequent nicht geeignet, Gewalt bzw. gar einen bewaffneten Angriff darzustellen.433 Eine vermittelnde Ansicht stellt im Bereich der nicht unmittelbaren Schädigung auf die Nähe und Wahrscheinlichkeit des physischen Schadeneintritts ab. Ist dieser geradezu zwingend, reiche eine nur mittelbare Herbeiführung aus.434 (4) Zwischenergebnis Bei dem Wirkungsäquivalenz-Prinzip handelt es sich um keinen Rechtssatz, sodass ihm keine Allgemeinverbindlichkeit zukommt. Auch im analogen Raum wird ihm kein gewohnheitsrechtlicher Status beigemessen. Das Prinzip wurde vom IGH im Nicaragua-Urteil zwar angedeutet, freilich in einem unterschiedlich gelagerten Sachverhalt, der mit dem Cyberraum nicht ansatzweise zu tun hatte.435 Im Cyberraum dürfte eine Aufwertung zum Gewohnheitsrecht wegen des Dissenses der Staaten hinsichtlich der dortigen Anwendbarkeit des Selbstverteidigungsrechts ohnehin in weitere Ferne rücken, wenn nicht, angesichts der offenkundigen Uneinigkeit gänzlich scheitern.436 bb) Gewalt-/Angriffsverständnis im Lichte der Zurechenbarkeit Obwohl dem dargestellten Wirkungsäquivalenz-Prinzip keine Verbindlichkeit zukommt, gewinnt es erheblich an Verdrängungskraft, wenn man es im Zusammenspiel mit der Zurechnungsproblematik betrachtet. Relevant ist konkret der in diesem Zusammenhang entwickelte Aspekt der akzeptanzschaffenden Funktion der Zurechnung. Diesem kann nur dann entsprochen werden, wenn die Auswirkungen des Angriffs sichtbar sind, mit anderen 432  Hierauf hinweisend, jedoch ohne die Auffassung zu teilen, Ziolkowski, 202 (208); Lin, Cyber Conflict and International Humanitarian Law; International Review of the Red Cross Cross 94 (2012), 515 (524); Schmitt, Computer Network Attack and the Use of Force in International Law: Thoughts on a Normative Framework, Columbia Journal of Transnational Law 37 (1999), 885 (912). 433  Lin, aaO. 434  So etwa Geiß, ZöR 2018, 39 (48), der dies am Beispiel des Ausfalls des Verkehrsleitsystems in einer Großstadt deutlich macht. 435  Nicaragua-Urteil des IGH, S. 93. 436  Vgl. hierzu bereits, Keber/Roguski, 399 (433).

250 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

Worten: Wenn offenkundig ist, welches Ereignis als Anlass der Verteidigungshandlung herhalten soll. Ohne eine sichtbare, mit physischen Schäden vergleichbare Auswirkung lässt sich das Selbstverteidigungsrecht nämlich nicht verständig ausüben. Genau hieran scheitert auch die – zwar nachvollziehbare – Argumentation derjenigen Vertreter, die unter Umständen solche Computernetzwerkoperationen ausreichen lassen wollen, die nicht im Zusammenspiel mit dem Einsatz einer traditionellen Waffe erfolgen und keine physische Wirkung zeichnen.437 cc) Gesamtschau von Angriffs- und Verteidigungshandlung Die vorherigen Ausführungen um das Wirkungsäquivalenz-Prinzip bedürfen der Vertiefung um einen zusätzlichen Aspekt, der im Rahmen einer Gesamtschau von Angriffs- und Verteidigungshandlung verdeutlicht wird. Als Ausgangspunkt dient das Verständnis darüber, dass die Urheber der UNCharta den Inhalt dessen, wozu Art. 51 UNC ermächtigt, namentlich das Wesen der Verteidigungshandlung, denklogisch reziprok entsprechend dem Angriffsverständnis verstanden. Konkret bedeutet das, dass die Schaffung der Ausnahme in Art. 51 UNC offenkundig in dem Wissen geschah, dass die etwaige Verteidigungshandlung ebenfalls eine (dann ausnahmsweise zulässige) Gewalthandlung zum Gegenstand haben würde. Wenn man nun das Vorgesagte zum akzeptanzschaffenden Element der Zurechnung im Lichte einer potentiellen Gegenwehr betrachtet, lässt sich die Überlegung formulieren, dass sich eine Einschränkung in Gestalt des Wirkungsäquivalenz-Prinzips nur insoweit rechtfertigen lässt, als es auf Seiten des Verteidigers um den Einsatz solcher Verteidigungsmittel geht, die in ihrem Wirkungsgrad dem Angriff entsprechen.438 Eingedenk dieser Ausführungen und angesichts der Tatsache, dass Cyberwaffen (beabsichtigt) nicht zwingend traditionelle Auswirkungen herbeifüh437  Insofern bietet Stein, 1 (8) mit seinem Szenario keinen gänzlich neuen Ansatz, weil er mit der Explosion einer Atombombe (die nur keine zerstörerischen Auswirkungen hat) im Kern auch an eine traditionelle Waffe anknüpft, deren Existenz und Explosion nicht geleugnet werden kann und damit gegenüber den beteiligten Parteien offenkundig ist. 438  Diese naheliegende Verknüpfung von Angriffs- und Verteidigungsmittel wird kaum hergestellt. Siehe exemplarisch dazu Jensen, Computer Attacks on Critical National Infrastructure: A Use of Force Invoking the Right of Self-Defense, Stanford Journal of International Law, 207, 2002, S. 207 (237 u. 240), der als einer der wenigen Verteidigung auch unterhalb der Schwelle der armed attack befürwortet, sich aber nicht im Ansatz zu der Art der Verteidigungshandlung äußert. Lediglich offen formuliert wird, dass die Überschreitung der Schwelle zur „armed attack“ die Gegenwehr mit kinetischen Waffen rechtfertigt, dazu: Dinstein, S. 108.

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 251

ren, lässt sich dem für die Bewertung des Angriffs geltenden Wirkungsäquivalenz-Prinzips keineswegs ableiten, dass Cyberwaffen generell nicht zur Verteidigung eingesetzt werden dürften, sobald die Klassifizierung des Angreifers als bewaffneter Angriff fehlschlägt, nur weil der Angriff hinter dem Maßstab des Wirkungsäquivalenz-Prinzips zurückbleibt. Angesichts der Beziehung von Angriffs- und Verteidigungshandlung zueinander ist lediglich eine Aussage über die Art der Verteidigungshandlung getroffen, also das „Wie“, nicht jedoch das „Ob“ der Gegenwehr. Dass das Völkerrecht auch auf einer anderen Ebene Handlungen missbilligt, verdeutlicht das anerkannte Interventionsverbot. dd) Interventionsverbot Das zwischenstaatliche Interventionsverbot ist in der UN-Charta nicht explizit geregelt. Teilweise wird es als ansatzweise in Art. 1 Abs. 2 bzw. Art. 2 Abs. 1 und 7 UNC verortet angesehen.439 Es findet nur bei Einmischungen unterhalb der Gewaltschwelle eigenständige Bedeutung und ist von zulässiger politischer Kritik in Gestalt von Stellungnahmen zu den Verhältnissen in anderen Staaten abzugrenzen.440 Schutzobjekt des Interventionsverbots ist entsprechend der u. a. in der „Friendly-Relations“-Deklaration gebrauchten Formulierung „das unveräußerliche Recht [eines jeden Staates], sein politisches, wirtschaftliches, soziales und kulturelles System ohne Einmischung irgendwelcher Art durch einen anderen Staat zu wählen“.441 Dies jedoch nur insoweit, als diese Angelegenheiten nicht durch Verträge oder Gewohnheitsrecht aus dem „domaine réservé“ ausgeschieden sind.442 Der genaue Umfang der 439  so Ipsen, § 6 Rn. 113 sowie § 51 Rn. 41; dagegen Stein, 1 (23), der Art. 2 Abs. 7 UNC als eine Bestimmung auffasst, die sich allein an die Organisation selbst richtet; siehe auch IGH, Urt. v. 27.6.1986, Case concerning Military and Paramilitary Activities in and against Nicaragua (Nicaragua v. USA), Merits, ICJ Rep. 1986, S. 106, Rn. 202. 440  V. Arnauld, S. 153. 441  Res. 2625 (XXV) vom 24.10.1970; daneben heißt es in Abs. 9 der Präambel:“ (…) jeden gegen die politische Unabhängigkeit oder die territoriale Unversehrtheit eines Staates gerichteten militärischen, politischen, wirtschaftlichen oder sonstigen Zwang zu unterlassen (…)“; auch bereits Res. A/RES/20/2131 vom 21. Dezember 1965; siehe auch IGH Nicaragua-Urteil Rn. 205, wo explizit auf die politische, ökonomische, soziale kulturelle und außenpolitische Wahlfreiheit eines jeden Staates im Zusammenhang mit dem Interventionsverbot hingewiesen wird; Hector, Hybride Kriegsführung: Eine neue Herausforderung? ZaöRV 2016, 513 (523 f.), der anführt, dass auch staatlich gelenkte Desinformationskampagnen möglicherweise gegen das Interventionsverbot verstoßen können. 442  Stein, ZaöRV 2000, 1 (23); Odendahl, Regimewechsel und Interventionsverbot: die Elfenbeinküste und Libyen als Fallstudien, AVR (50) 2012, 318 (331 ff.).

252 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

domaine réservé ist dabei umstritten.443 Im Kern geht es darum, den Staaten ihre als Ausfluss ihrer Souveränität ureigenen Zuständigkeiten zu erhalten. Grundsätzlich bedarf es zur Verletzung des Interventionsverbots des Hinzutretens eines Zwangselements, das aber nicht zwingend physischer Natur sein muss.444 Charakteristisch für die Zwangswirkung ist, dass es sich um eine gezielte Einwirkung auf einen anderen Staat handeln muss, nicht dagegen um bloße Auswirkungen, die sich aus der an sich zulässigen Nutzung eigener Ressourcen ergeben.445 Vielfach zitierte wenn auch umstrittene Beispiele sind in diesem Zusammenhang das Hinwirken auf einen Regimewechsel durch einen Staat in einem anderen Staat, die Unterstützung von Aufständischen oder oppositioneller Bewegungen, die angemaßte Gebietsho­heit,446 etwa im Zuge der Verhaftung einer Person im Ausland, die verfrühte Anerkennung neuer Staaten sowie Boykotte oder Embargos.447 Zu beachten ist für den Bereich der Cyber-Angriffe unterhalb der Gewaltschwelle dagegen, dass diese vorzugsweise gegenüber westlichen Staaten mit gefestigten demokratischen und rechtsstaatlichen Strukturen verübt werden. Insofern lässt sich nur schwer eine Analogie zu den angeführten Beispielen um „regime change-Bewe­gun­ gen“448 bzw. die Unterstützung nichtstaatlicher Gruppierungen wie im Nicaragua-Urteil ziehen, mit deren Hilfe Aufschluss über die Eignung von Cyber­ angriffen als unzulässige Intervention gewonnen werden kann. Darüber, dass Cyberangriffe gegen das Interventionsverbot verstoßen können, besteht weitgehend Einigkeit.449 So soll die Durchführung von Compu443  Odendahl,

aaO. hierzu das Nicaragua-Urteil, in dem der IGH dieses Tatbestandsmerkmal explizit aufstellt (Rn. 205); v. Arnauld, S. 154; Roscini, S. 65; Schmahl, 159 (171), die das Zwangselement konkret im Zusammenhang mit einer Defacement- oder Denial of Service-Attacke erwähnt; auch jüngst bestätigt im Tallinn-Manual 2.0, S. 317. 445  Stein, 2 (22); Fehlt ein solches Element, kann es sich um ein vom Interventionsverbot zu unterscheidende Einmischung handeln; hierzu Trautner, Die Einmischung in innere Angelegenheiten und die Intervention als eigenständige Verbotstatbestände im Völkerrecht, S. 34 f. Er differenziert die Einmischung von der Intervention anhand der Ausformung mit der die Souveränität eines Staates betroffen ist. Während die Intervention die positive Souveränität betreffe, erfasse die Einmischung die Negative, d. h. „der Freiheitsraum, der einem Staat gegenüber Einwirkungen anderer Staaten zusteht“ (S. 35). 446  so explizit im Nicaragua-Urteil, in dem der IGH die fehlende Definition des Prinzips anspricht, in Ansehung der Tatsache, dass er sich jeweils nur mit dem streitgegenständlichen Sachverhalt beschäftigt, Rn. 205. 447  v. Arnauld, S.  154 ff.; Odendahl, 318 (333); Stein, 1 (6). 448  So zieht etwa Odendahl in ihrer Fallstudie den Regimewechsel in der Elfenbeinkünste und Libyen heran. 449  Banks, State Responsibility and Attribution of Cyber Intrusions After Tallinn 2.0, Texas Law Review, Vol. 95, 2017, 1487 (1500); Buchan, Cyber Attacks: Unlawful Uses of Force or Prohibited Interventions?, Journal of Conflict and Security Law, 444  siehe

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 253

ternetzwerkoperationen einen Verstoß gegen dieses begründen, sofern der Einsatz darauf abzielt, Entscheidungsprozesse in einem anderen Staat zu beeinflussen.450 Maßgeblich ist auch hier das Zwangselement, mit der Folge, dass es grundsätzlich unbeachtlich ist, ob die Folgen einer Computernetzwerkoperation netzintern bleiben oder nicht.451 Im Zuge des Zwangs ist die Herbeiführung eines Zustands zu erwarten, dem sich nicht entzogen werden kann. Im Hinblick auf die in Kapitel (1) verschiedentlich thematisierte vermutete Wahlbeeinflussung unter Einsatz von Informationskampagnen lässt sich in diesem Zusammenhang daher die Trennlinie dort ziehen, wo die Beeinflussung den Bereich des Aufstachelns verlässt und direkt auf die Zusammensetzung eines Ergebnisses Einfluss nimmt, sie also nicht nur ein anstiftungsähnliches Element, sondern den unmittelbaren Ausführungsakt darstellt.452 Einen solchen stellt beispielsweise die Einflussnahme auf elektronische Wahlmaschinen dar, nicht jedoch der bloße Versuch, das Vertrauen in die Unabhängigkeit und damit die demokratischen Grundstrukturen des Ablaufs zu erschüttern.453 d) Zwischenergebnis zum völkerrechtlichen Einfluss auf die Intensität Die vorhergehenden Ausführungen machen deutlich, dass sich dem Völkerrecht zwar Rückschlüsse auf die Relevanz der Intensität einer Handlung entnehmen lassen, es jedoch keine allgemeinverbindlichen Rahmenbedingungen für die Beurteilung derselben formuliert und konkret mit Blick auf den Cyberraum auf zwischenstaatlicher Ebene auch keine Einigungen erzielt wurden. Überwiegend herrscht die Auffassung, die unter Einfluss des Zurechnungskriteriums geradezu zwingend ist, wonach die Gegenwehr mit herkömmlichen militärischen Mitteln auf der Angriffsseite voraussetzt, dass hier nach dem Wirkungsäquivalenz-Prinzip eine physische Auswirkung erVol. 17, Issue 2, 2012, S. 212 (217); Dittmar, S.  72 f.; Gill, Non-Intervention in The Cyber Context: Ziolkowski (Hrsg.), Peacetime Regime for State Activities in Cyberspace. International Law, International Relations and Diplomacy, 217 (235 f. und 238), der explizit auf den Stuxnet-Wurm verweist und diesen als Intervention deklariert, was jedoch umstritten ist, weil dieser vereinzelt als bewaffneter Angriff bewertet wird; Keber/Roguski, 399 (432); Schmahl, 159 (170 f.); Roscini, S. 49, 62 f.; Tallinn Manual, S. 46 Rule 10; Ziolkowski, HuV-I 2008, 202 (206 ff.) legt sich nicht eindeutig fest, nennt aber jedenfalls die Begrifflichkeit nicht. 450  Walter, JZ 2015, 685 (687), der dies aber nicht weiter konkretisiert; im Grundsatz zustimmend v. Arnauld, S. 154. 451  Hiernach differenziert aber v. Arnauld, S. 460 und führt als Beispiel für die fehlende Eignung explizit die Blockade von Webseiten sowie den Absturz von Servern an. 452  Siehe hierzu Banks, 1487 (1501). 453  Banks, aaO.

254 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

zielt wird, die äquivalent zu den physischen Folgen ist, die als Folge traditionell bewaffneter Angriffe zutage treten.

IV. Subsumtion Im Rahmen der folgenden Ausführungen wird nun der Versuch unternommen, einzelne Ereignisse der verschiedenen Kategorien von Computernetzwerkoperationen aus Kapitel (1) unter die vorgenannten Ausführungen des Kapitels (3) zu subsumieren, um eine tragfähige Auskunft darüber zu erhalten, inwiefern die geschilderte Bedrohungslage in das Aufgabenspektrum der Streitkräfte zur Verteidigung fällt. Diesbezüglich wird anhand der zuvor ermittelten maßgeblichen Kriterien Verteidigungsobjekt und Intensität vorgegangen. 1. Kategorie der Beschädigung und Zerstörung Ausweislich des Gesamtbildes der Bedrohungslage in Kapitel (1) handelt es sich bei der Wirkungsweise Beschädigung und Zerstörung um die bislang seltensten Auswirkungen von Computernetzwerkoperationen. Hiervon sind neben netzwerkinternen Beschädigungen (z. B. Löschung von Programmen) auch solche erfasst, deren Auswirkungen über das Netzwerk hinausgehen und in der Außenwelt wahrnehmbare, physische Beschädigungen hervorrufen. Bezüglich beider ist die Betroffenheit eines Verteidigungsobjekts erforderlich. a) Netzwerkexterne Schäden Im Rahmen der netzwerkexternen Schäden bedarf es insofern einer Einschränkung, als sich für diese Kategorie lediglich bestimmte Sachwerte eignen. Das hängt damit zusammen, dass nach dem Wirkungsäquivalenz-Prinzip als Vergleichsmaßstab der traditionelle Angriff mit physischer Wirkung dient. Dieser Vergleich lässt sich aber nur dort positiv bewerkstelligen, wo das Angriffsobjekt im Zuge des Angriffs entweder selbst entsprechend beschädigt wird oder es unmittelbar im Zuge des Angriffs zu Beschädigungen an Sachwerten oder Personen kommt. In Betracht kommen hier in erster Linie die sogenannten kritischen Infrastrukturen, da diese mitunter ein physisches Schädigungspotential aufweisen (z. B. Kraftwerke, Staudämme, Stromtrassen). Zu kritischen Infrastrukturen existieren in verschiedenen Rechtsordnungen verschiedene Definitionen,454 deren einzelne Behandlung dem 454  So legte bspw. eine Presidential Policy Directive (PPD-21) von Barack Oba­ma 16 Bereiche als Teil kritischer Infrastruktur fest (https://obamawhitehouse.archives. gov/the-press-office/2013/02/12/presidential-policy-directive-critical-infrastructure-

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 255

Ansatz zuwiderliefe, hier einen nationalen Ansatz zu entwickeln. Nach § 2 Abs. 10 Nr. 2 BSIG gehören hierzu Anlagen u. a. der Sektoren Energie, Transport und Verkehr sowie Wasser, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Bezogen auf das bisher in Deutschland einzig zugängliche Beispiel eines Cyberangriffs der vorbezeichneten Form, bei dem ein einzelner Hochofen massive Beschädigungen davontrug, weil er im Zuge eines Cyberangriffs nicht geregelt heruntergefahren werden konnte,455 scheitert eine erfolgreiche Subsumtion daran, dass es sich hierbei um kein Verteidigungssobjekt handelt. Die Beschädigung dieser Anlage ist nicht ansatzweise geeignet, den Bestand des Staates derart intensiv zu gefährden, dass seine Funktionsfähigkeit gefährdet ist. Letztere schließt zwar nach der hier vertretenen Ansicht auch die wirtschaftlichen Existenzgrundlagen desselben ein, gleichwohl sind Angriffe der vorbezeichneten Art zu unerheblich, um in eine entsprechende Gefährdung zu münden. b) Exkurs: Kritische Infrastrukturen im Sinne des BSIG Mit Blick auf die Angriffe auf sogenannte kritische Infrastrukturen statuiert das aktuelle Weißbuch zur Sicherheitspolitik zwar, dass die Wahrung der Cybersicherheit und -verteidigung eine gemeinsam zu bewältigende gesamtstaatliche Aufgabe sei und betont hierbei auch den gemeinsamen Schutz der kritischen Infrastrukturen (KRITIS).456 Was die Schutzkompetenz angeht, deutet der Gesetzgeber aber in eine andere Richtung, wofür jedenfalls der Wortlaut des Gesetzes spricht. So qualifiziert § 2 Abs. 10 Nr. 2 BSIG, der auf Grundlage des Art. 1 Nr. 2 des IT-SicherheitsG hinzugefügt wurde und kritischen Infrastrukturen im Sinne des BSIG definiert, diese mitunter dann als kritisch, wenn ihr Ausfall oder ihre Beeinträchtigung die „öffentliche Sichersecurity-and-resil.). Diese ist aber sehr weit. So ordnet das Department of Homeland Security dem Bereich commercial facilities auch professional sports leagues, casinos, campgrounds und motion picture studios zu (https://www.dhs.gov/commercialfacilities-sector). Eichensehr weist in diesem Zusammenhang auf die Kuriosität hin, dass Folge dieser extensive Auslegung ist, dass der iranische Hack der Las Vegas Sands Corporation (https://www.bloomberg.com/news/articles/2015-02-26/iranbehind-cyber-attack-on-adelson-s-sands-corp-clapper-says) und der nordkoreanische Hack von Sony Pictures (https://www.nytimes.com/2015/01/08/business/chief-saysfbi-has-no-doubt-that-north-korea-attacked-sony.html?_r=0) somit als Angriff der kritischen Infrastruktur gewertet würde (https://www.justsecurity.org/32276/cybersecu rity-elections-critical-infrastructure-home/). 455  Verweis auf S. 74. 456  Weißbuch 2016, S. 38.

256 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

heit“ gefährden würde.457 Selbige Formulierung findet sich auch in § 2 Nr. 3 (Begriffsbestimmungen) der BSI-KritisV (Ermächtigungsnorm für die VO ist § 10 Abs. 1 BSIG). Hiernach ist eine Dienstleistung (u. a. in den Sektoren Energie, Wasser, Ernährung) dann als kritisch zu verstehen, wenn ihr Ausfall oder ihre Beeinträchtigung die öffentliche Sicherheit gefährden würde. Der Gesetzgeber verwendet also das Schutzobjekt der allgemeinen polizeilichen Befugnisgeneralklausel. Es drängt sich insofern die Frage auf, ob der Schutz kritischer Infrastrukturen grundsätzlich der Polizei obliegt. Ein Blick in die sachbezogenen Dokumente in Gestalt der Cyber-Sicherheitsstrategie 2016458, das vorbenannte Weißbuch459 sowie den vorbezeichneten Abschlussbericht des Aufbaustabs Cyber- und Informationsraum460 weisen den Schutz der kritischen Infrastrukturen aber als gemeinsame staatliche Aufgabe aus, ohne diese näher zu spezifizieren. Ohnehin lässt sich der vorbezeichneten Formulierungen kein Umkehrschluss dahingehend entnehmen, dass die Streitkräfte grundsätzlich nicht für den Schutz kritischer Infrastrukturen zuständig sind. Dafür spricht zum einen die Tatsache, dass Verteidigung im Ergebnis auch den Schutz der öffentlichen Sicherheit bezweckt.461 Ferner hat die bloße Klassifizierung von Gegenständen als kritisch ohnehin keine Fernwirkung über die Verteidigungswürdigkeit derselben. Die Folgen der Einordnung als kritische Infrastruktur erschöpfen sich auf das BSIG selbst, das im Zuge dessen bestimmte Rechtsfolgen anordnet, wie die Meldepflicht bei Störungen der von ihnen betriebenen informationstechnischen Systeme nach § 8b Abs. 4 BSIG. c) Netzwerkinterne Schäden Ein netzwerkinterner Schaden liegt insbesondere bei der Löschung von Daten vor, nicht bereits bei Entwendung derselben. Die USA haben sich im Rahmen des mittlerweile gescheiterten GGE-Prozesses dafür eingesetzt, die so bezeichnete „election infrastructure“ zu den Einrichtungen kritischer Infrastruktur hinzuzuzählen, damit sie völkerrechtlichen Schutz genieße, ohne diese jedoch genauer zu spezifizieren.462 In Betracht kommt eine Einfluss457  § 2 BSIG a. F. (vor dem 25.07.2015 geltenden Fassung) enthielt eine solche Definition noch nicht. 458  S. 25. 459  S. 38. 460  S. 13. 461  Schultz, S. 288, der die Formulierung verwendet: „Verteidigung ist das nach außen gerichtete Pendant für die im Innenbereich geltende öffentliche Sicherheit und Ordnung“. 462  erstmals drauf gekommen durch Artikel, abrufbar: http://cyberlaw.stanford. edu/publications/political-parties-critical-infrastructure, der sich auf das GGE Papier

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 257

nahme auf die Infrastruktur von und im Zusammenhang mit Wahlen durch einen Angriff auf technische Gerätschaften zur elektronischen Stimmabgabe. Letztere werden in der Bundesrepublik Deutschland derzeit aber nicht eingesetzt,463 sodass dies derzeit nicht näher zu beleuchten ist. Daneben besteht die Möglichkeit eines Zugriffs auf die Software, mit der die Wahlergebnisse bei der Bundestagswahl durch die Kommunen und Länder an den Bundeswahlleiter übertragen werden.464 Auf dem Boden der vorangegangenen Ausführungen käme hierbei die Betroffenheit eines Verteidigungsobjekts in Betracht. So schließt die freiheitliche demokratische Grundordnung nach der inhaltlichen Reichweite des Verständnisses des BVerfG auch die Chancengleichheit politischer Parteien sowie das Mehrheitsprinzip ein.465 Jedenfalls erstere wäre im Zuge gezielter Einflussnahmen beim vorbenannten Übermittlungsvorgang tangiert. 2. Kategorie der Nichtverfügbarkeit von Diensten und Anlagen Auch die „bloße“ Nichtverfügbarkeit eines Dienstes oder einer Anlage kann Gegenstand des Verteidigungsrechts sein und dies – wie dargestellt – unabhängig vom eingesetzten Mittel. Diese Nichtverfügbarkeit kann auf dem Boden der Erkenntnisse zur Intensität in völkerrechtlicher Hinsicht einen bewaffneten Angriff oder aber eine rechtswidrige Intervention darstellen, je nach dem ob der Angriff zumindest mittelbar physische Auswirkungen zeichnet, die vergleichbar mit denen sind, die kinetische, atomare, chemische oder biologische Waffen typischerweise hervorrufen. Unabhängig von der Einordnung ist anzumerken, dass ein negatives Ergebnis nach dem Prinzip der von 2015 bezieht; dazu auch, Eichensehr, Cybersecurity, Elections and Critical Infrastructure at Home and Abroad, abrufbar unter: https://www.justsecurity.org/32276/ cybersecurity-elections-critical-infrastructure-home/. 463  Siehe grundlegend hierzu BVerfGE 123, 39 ff. 464  Siehe in diesem Zusammenhang ein Interview mit dem BSI-Präsidenten Schönbohm anlässlich der Bundestagswahl 2017 mit der Rheinischen Post v. 6.6.2017, abrufbar unter: http://www.rp-online.de/politik/deutschland/bsi-chef-arne-schoenbohmzur-bundestagswahl-wir-muessen-die-ergebnisse-vor-manipulation-schuetzen-aid1.6865562 sowie dem Handelsblatt v. 11.9.2017, abrufbar unter: http://www. handelsblatt.com/my/politik/deutschland/bundestagswahl/alle-schlagzeilen/bsi-chefarne-schoenbohm-die-angriffspunkte-fuer-eine-wahlmanipulation-sind-vielfaeltig/ 20312626.html?ticket=ST-11254772-GNXydgoc993GXH67zfM7-ap2. 465  BVerfGE 2, 1 (12 f.); 5, 85 (140); siehe in diesem Zusammenhang – wenn auch einfachgesetzlich – zusätzlich die Ausformulierung der freiheitlichen demokratischen Grundordnung in § 4 Abs. 2 BVerfSchG, in dem in Buchst. a) „das Recht des Volkes, die Staatsgewalt in Wahlen und Abstimmungen und durch besondere Organe der Gesetzgebung, der vollziehenden Gewalt und der Rechtsprechung auszuüben und die Volksvertretung in allgemeiner, unmittelbarer, freier, gleicher und geheimer Wahl zu wählen“, als eines ihrer Schutzgüter formuliert wird.

258 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

Wirkungsäquivalenz und die damit einhergehende Folge der fehlenden Eignung als bewaffneter Angriff, mit dem das Verbot der Bekämpfung mit traditionellen militärischen Mitteln einhergeht nicht bedeutet, dass das Ereignis hinzunehmen ist.466 a) Belästigend für die Bevölkerung oder funktionsbeeinträchtigend für den Staat? In der Literatur wird gemeinhin das Beispiel des Stromausfalls angeführt, im Zuge dessen eine Reihe von Einrichtungen nicht mehr oder zumindest nicht bestimmungsgemäß betrieben werden können.467 Vornehmlich werden in diesem Zusammenhang Verkehrsleitsysteme und Krankenhäuser angeführt, da deren Ausfall typischerweise in die gesundheitliche Beeinträchtigung von Menschen mündet.468 Wenn wie in der völkerrechtlichen Literatur jegliche Nichtverfügbarkeiten eher bagatellisiert werden, indem in Anlehnung an die englische Begrifflichkeit weapons of mass destruction die Formulierung „weapons of mass annoyance“469 gebraucht wird, nach der Cyberangriffe unterhalb der Gewaltschwelle, wenn überhaupt, nur störende Wirkung entfalten, wird gleichzeitig aber auch die Tatsache bagatellisiert, dass insbesondere Einwirkungen auf Anlagen aus dem Energiesektor ein zunehmendes Phänomen darstellen.470 Wendet man den Blick von der hypothetischen, kinetisch konnotierten Folgenbetrachtung ab, verbleibt die Frage, ob die Nichtverfügbarkeit als solche und die mit ihr nicht nur potentiell, sondern unmittelbar eintretenden 466  Lin, Responding to Sub-Threshold Cyber Intrusions: A Fertile Topic for Research and Discussion, Georgetown Journal of International Affairs 2011, 127 (133). 467  Siehe auch Weißbuch zur Sicherheitspolitik und Zukunft der Bundeswehr v. 2016, das im Zusammenhang mit kritischen Infrastrukturen einzig auf die Energieversorgung verweist, S. 39. 468  Dittmar, S.  108 f.; Stein, 1 (5), Schmitt, 885 (913); Ziolkowski, HuV-I 2008, 202 (208 f.). 469  So gebraucht von Lewis, Assessing the Risks of Cyber Terrorism, Cyber War and Other Cyber Threats, Center for Strategic and International Studies, 2002, S. 4, der bzgl. des ursprünglichen Gebrauchs der Formulierung seinerseits auf Stewart Baker verweist. 470  in den USA hat die beim US Department of Homeland Security angesiedelte Behörde ICS-CERT im Jahr 2015 insgesamt 46 Cyberangriffe auf den Energiesektor verzeichnet, was diesen als am zweitstärksten betroffen ausweist (nach dem Critical Manufacturing Sector mit 97 Zwischenfällen), Bericht abrufbar: https://ics-cert.uscert.gov/sites/default/files/Annual_Reports/Year_in_Review_FY2015_Final_S508C. pdf, S. 17), im Jahr 2016 war das Verhältnis schon bei 59:62, Bericht abrufbar unter: https://ics-cert.us-cert.gov/sites/default/files/Annual_Reports/Year_in_Review_ FY2016_Final_S508C.pdf, S. 4.

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 259

Folgen den Bestand des Staates tangieren können. Hierbei verbietet sich eine Generalisierung in beide Richtungen. So ist es verfehlt, ein Ereignis (unabhängig von Dauer und Reichweite) bzw. mehrere Einzelereignisse (die lediglich Gegenstand kurzer Unterbrechungen sind)471 per se als nicht bestandsgefährdend zu deklarieren, nur weil keine physischen Schäden zu verzeichnen sind. Dies gilt insbesondere in Ansehung der hier vertretenen Auffassung, dass Gegenstand des Bestandes des Staates auch die Funktionsfähigkeit desselben ist.472 So ist es Aufgabe des Rechts, nach Möglichkeit und unter Einhaltung der Wortlautgrenze anpassungsfähig zu sein. In concreto bedeutet dies, die Tatsache zunächst einmal anzuerkennen, dass der Einsatz von Informationstechnologie ein Wirkungsspektrum offeriert, welches nicht zwingend mit dem herkömmlicher Waffen vergleichbar ist und sich damit nicht per se anhand derselben Maßstäbe beurteilen lässt. Gleichzeitig gilt es anzuerkennen, dass die Informationstechnologie für die Privatwirtschaft, die öffentliche Verwaltung sowie die Interaktion beider miteinander eine immer wesentlichere Rolle spielt und es die Leugung der Realität darstellte, nicht anzuerkennen, dass die Bestands- bzw. die Funktionsfähigkeit des Staates spätestens dann auch eine digitale Dimension hat, wenn analoge Prozesse ersetzt werden.473 Der im BSI-Bericht von 2016 erwähnte und im Kapitel (1) exemplarisch aufgegriffene Stromausfall in der Ukraine betraf 225.000 Stromkunden. 471  Nicht zu verwechseln mit der unter der Begrifflichkeit Nadelstichtaktik verstandenen Vorgehensweise, bei der es um die Einordung solcher Angriffe zum bewaffneten Angriff geht, die isoliert nicht die erforderliche Schwelle erreichen, dazu: Kaupan, Völkerrechtliche Bewertung gezielter Tötungen nicht-staatlicher Akteure, S. 127; auch Stein 1 (4). 472  Verweis auf S. 222 f. 473  So weist das 2013 verabschiedete E-Government-Gesetz (BGBl. I S. 2749) in § 2 Abs. 1 jede Behörde an, auch einen elektronischen Zugang vorzuhalten. Die Bundesverwaltung ist sogar verpflichtet, einen De-Mail-Zugang zu schaffen (§ 2 Abs. 2 EGovG). Hierdurch steigt die Gefährdung, Opfer potentiell schädlicher E-Mail-Anhänge zu werden. Zudem lassen sich in Deutschland bereits 50 % der Verwaltungsleistungen auch online nutzen, S. 15 f. (abrufbar unter: https://www.bertelsmannstiftung.de/fileadmin/files/Projekte/Smart_Country/DigiTransVerw_2017_final.pdf). Vorreiter in diesem Zusammenhang ist Estland, dass nach offiziellen Angaben bereits 99 % staatlicher Leistungen digitalisiert hat. Insbesondere in Ansehung der Vulnerabilität ist hier die sog. X-Road von thematischem Interesse. Hierbei handelt es sich um die elektronische Verbindung zwischen allen öffentlichen Datenbanken, die nach öffentlichen Angaben den Esten jährlich bis zu 800 Jahre Arbeitszeit ersparen, was eine gewisse Aussagekraft über die Nutzungsintensität gibt (abrufbar unter: https://e-estonia. com/solutions/interoperability-services/x-road/). In ihrer Regierungserklärung v. 21.3.2018 wies die Bundeskanzlerin auf eine ähnliche Ausgestaltung für Deutschland hin, ohne das estnische Vorbild direkt zu benennen, abrufbar unter: https://www. bundestag.de/dokumente/textarchiv/2018/kw12-de-regierungserklaerung-merkel/ 547656.

260 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

Hierbei steht nicht im Vordergrund, dass im Zuge solcher Ereignisse einige Privathaushalte vorrübergehend in der Führung desselben eingeschränkt werden (ganz zu Schweigen, was auch in diesem Zusammenhang mit Blick auf die zuvor erwähnten physischen Folgen etwa im Winter für Konsequenzen drohen können). Das ist zugegebenermaßen der Kategorie „mass annoyance“ zuzuweisen. Vielmehr geht es darum, dass staatliche und private Leistungsträger in ihrer Aufgabenwahrnehmung wesentlich eingeschränkt sind und sich dies neben dem täglichen Leben auf zahlreiche Facetten des Wirtschaftskreislaufs und der staatlichen Daseinsvorsorge auswirken kann.474 Dies erkennt auch das aktuelle Weißbuch zur Sicherheitspolitik und zur Zukunft der Bundeswehr, indem es die Aufrechterhaltung der Energiezufuhr mit der Funktionsfähigkeit des Staates verknüpft.475 Völkerrechtlich eignen sich Unternehmungen, die in Stromausfälle der exemplarisch angeführten Art münden, grundsätzlich als Verstöße gegen das Interventionsverbot,476 wobei wiederholt darauf hinzuweisen ist, dass eine entsprechende Einordnung höchst einzelfallabhängig ist und sich keine Allgemeingültigkeit ableiten lässt.477 Es kommt also stets auf das Ausmaß der Betroffenheit an. Für eine konstruktive Bewertung ist es insofern sachdienlich, dass die Kategorisierung auf dem Boden von Ausfällen geschieht, die sich in technisch-tatsächlicher Hinsicht real bewerkstelligen lassen bzw. idealerweise bereits stattgefunden haben (Beispiel Ukraine), damit die Bewertung nicht alleine anhand hypothetischer Szenarien erfolgt.478 Zwar ist Wesensmerkmal einer geschriebenen Rechtsordnung, dass sie Sachverhalte anhand typischer Qualifizierungsmerkmale kategorisiert und dann abstrahiert, gleichwohl ist es hierbei wesentlich, dass Klarheit darüber besteht, was überhaupt möglich ist. Nur aus diesem Betrachtungswinkel fällt auch die Tatsache auf fruchtbaren Boden, dass Systeme – gerade im Energiesektor – vermehrt entweder von vorneherein offline, d. h. losgelöst vom Internet betrieben werden bzw. über private d. h. nichtöffentliche Netze angesteuert 474  Dieser Aspekt ist in der Literatur insofern unterrepräsentiert, als im Zusammenhang mit Stromausfällen überwiegend deren potentielle Auswirkung auf die Gesundheit von Menschen thematisiert wird; vgl. Dinstein, 99 (105); Dittmar, S.  108 f., Koh, 1 (5); siehe auch das Interview von Dirk Müller (DLF) mit Sandro Gaycken v. 1.3.2018, in dem letzterer die Folgen von Cyberangriffen als äquivalent mit einem atomaren Schlag vergleicht; abrufbar unter: http://www.deutschlandfunk.de/hackerangriff-it-experte-im-potenzial-aequivalent-zu-einem.694.de.html?dram:article_ id=411978. 475  Weißbuch v. 2016, S. 41. 476  Vgl. Schmahl, 159 (170); Stein, 1 (14); Tallinn-Manual, S. 92. 477  So auch Dittmar, S.  108 f. 478  so werden vielfach auch die Übergriffe auf Finanzdaten- und Börsensysteme angeführt, denen ein Verstoß gegen das Interventionsverbot attestiert wird, vgl. Dittmar, S. 73; Schmahl, 159 (170); Tallinn-Manual, S. 48.

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 261

werden.479 Gerade dieser Aspekt ist wichtig, um die Diskussion vor einer tendenziellen Schieflage zu bewahren, die vorschnell hin zum flächendeckenden Einsatz des Militärs im vorbenannten Segment tendiert. b) Wahrung des rechtlichen Regel-Ausnahme-Verhältnisses Ferner ist darauf hinzuweisen, dass es im Falle eines bundeslandübergreifenden Ausmaßes abseits des Art. 87a GG (derzeit) keine Rechtsgrundlage gibt, die einer anderen Behörde hier flächendeckende Zuständigkeit verleiht. Dieses Argument ist zwar einer gewissen Zirkelschlüssigkeit ausgesetzt, weil es das Ergebnis der hier erst gegenständlichen Frage vorwegnimmt, indem es Nichtverfügbarkeiten der geschilderten Art per se als nicht notstandstauglich deklariert und wenn überhaupt im Bereich der Verteidigungsobjekte ansiedelt. Gleichwohl lässt sich für diese Sichtweise die Dogmatik des Grundgesetzes in Stellung bringen, der es zuwiderliefe, ein in den Grundzügen qualitativ und quantitativ kategorisierbares Phänomen wie das der Nichtverfügbarkeiten kategorisch als notstands- und damit ausnahmebegründend aufzufassen. Zwar lässt sich argumentieren, dass auch ein verteidigungswürdiger Angriff nicht die Regel darstellt. Dies ist jedoch verkürzt, weil es die tatsächliche und rechtliche Regelmäßigkeit vermischt. So kommt es nicht auf die Regelmäßigkeit des tatsächlichen Ereignisses an, sondern darauf, dass die vom Staat im Zuge des Ereignisses eingesetzte Behörde im Rahmen ihrer Regelzuständigkeit tätig wird. Das ist beim Einsatz der Streitkräfte zur Verteidigung unstreitig der Fall. 3. Kategorie der Informationsunterdrückung, -verbreitung und Falschinformation Die gezielte Verbreitung von Falschmeldungen, die durch gekaperte ITSysteme, aber auch schlicht durch den nicht weiter auffälligen Einsatz sozialer Netzwerke oder der Versendung von E-Mails ermöglicht wird, ist zur allgemeinen Desinformation und konkreten Manipulation der Meinungsbildung geeignet. Die Tatsache, dass besonders der Verbreitung von Falschinformationen eine zunehmende Rolle zuwächst, wie die Ausführungen in Kapitel (1) offengelegt haben, darf aber nicht dazu verleiten, diesem Phänomen vorschnell staatsgefährdendes Gefährdungspotential im Sinne einer Gefahr für die freiheitliche demokratische Grundordnung oder den Bestand des Staates beizumessen. Auch das aktuelle Weißbuch der Bundeswehr weist 479  hierauf hinweisend Kee, Why haven’t We Seen a Disastrous Electric Power Grid Attack Yet?, abrufbar unter: https://www.globalsign.com/en/blog/large-scaleelectric-power-grid-attack/.

262 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

zwar verschiedentlich auf die ungehinderte Nutzung von Informationslinien hin, formuliert in diesem Zusammenhang aber gleichwohl keinen expliziten Auftrag an die Streitkräfte.480 Ohne den Eindruck erwecken zu wollen, die Aufgabe der Streitkräfte mit den Strafverfolgungsbehörden zu vermischen, zwingt die Tatsache der Rückverfolgungsproblematik dazu, die Thematik der Informationskampagnen ganzheitlich und damit nicht nur aus zwischenstaatlicher Perspektive gleichgeordneter Akteure zu betrachten, sondern auch aus der das Verhältnis zwischen Staat und Individuum prägenden subordinativen Warte. So ist insbesondere mit Blick auf Wahlen und Abstimmungen darauf hinzuweisen, dass hier neben Geheimdiensten oder anderen staatsnahen Akteuren aus dem Ausland auch andere politisch motivierte Akteure aus dem Innern auftreten, etwa um im Zuge der Programmierung von Social Bots politische Einflussnahme zu üben.481 a) Potentielle Strafbarkeit auf subordinativer Ebene Zunächst ist klarzustellen, dass das Verbreiten von Falschinformationen außerhalb des strafrechtlich relevanten Bereichs (§§ 186 ff. StGB) nicht verboten ist. Der strafrechtlich relevante Bereich ist Gegenstand der allgemeinen Gesetze im Sinne des Art. 5 Abs. 2 GG, in denen die Meinungsfreiheit ihre gesetzlichen Schranken findet. Gegenstand ihres Schutzbereichs sind auch Tatsachenbehauptungen, sofern diese Voraussetzung für die Bildung von Meinungen sind.482 Auch lassen sich Tatsachenbehauptungen und Werturteile nicht immer klar voneinander lösen, weil bereits die suggestive, zuspitzende oder tendenziöse Behauptung von Tatsachen Gegenstand eines Meinungsbildungsprozesses oder der Kundgabe eines solchen sein kann.483 Erst dort, wo bewusst unwahre Tatsachen behauptet werden, endet der Schutzbereich von Art. 5 Abs. 1 GG.484 Weil die Trennlinien bisweilen schmal sein können, verfährt das BVerfG im Zweifel zu Gunsten der Meinungsfreiheit.485 So großzügig das BVerfG aber gegenüber der Auslegung als Meinung ist, so streng ist es mit Blick auf unwahre Tatsachenbehauptungen. Bezüglich jener scheint es der Auffassung zu sein, dass diese dem Meinungsbildungsprozess nicht zuträglich seien.486 Für die grundgesetzliche Betrachtungsweise macht 480  Weißbuch

v. 2016, S. 41, 50 und 56. Social Bots im Wahlkampf, ZRP 2017, 101 (103). 482  BVerfGE 94, 1 (7), 61, 1 (8 f.). 483  Steinbach, aaO. 484  BVerfGE 99, 185 (197); 90, 1 (15); 90, 241 (254); BGHZ 139, 95 (101). 485  BVerfGE 85, 1 (15 f.). 486  BVerfGE 61, 1 (8); 85, (15); 90, 1 (15); 90, 241 (254), 99, 185 (197); dagegen Schulze-Fielitz, in: Dreier, GG, Art. 5 Rn. 65, der auch die auf grobe Fahrlässigkeit 481  Steinbach,

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 263

es dabei keinen Unterschied, ob die jeweilige Betätigung unmittelbar oder nur mittelbar durch natürliche oder juristische Personen, bzw. unmittelbar im Zuge des Einsatzes der in Kapitel (1) näher ausgeführten Social Bots erfolgt. Zwar genießen Maschinen selbst keinen Grundrechtsschutz.487 Allerdings ist ihrer Entäußerung gegenüber der Außenwelt stets ein menschlicher Entscheidungsprozess vorausgegangen, der in abstrakte Kriterien übersetzt wurde.488 Konkret mit Blick auf die Beeinflussung von Wahlen stellt sich die Lage nicht wesentlich anders dar. So bezeichnete das BVerfG im Lüth-Urteil die Meinungsäußerungsfreiheit als „für eine freiheitlich-demokratische Staatsordnung schlechthin konstituierend“489. Entsprechend hohe Hürden werden an die Tatbestandsmäßigkeit der in diesem Zusammenhang allgemeinen Gesetzen, konkret der §§ 108 und 108a StGB gelegt, bei denen es das BVerfG nicht ausreichen lässt, wenn die Beeinflussung „lediglich“ im Wege von „Täuschungen und Lügen“ erfolgt ist.490 Bereits das Gesetz verlangt in diesem Zusammenhang die Ausübung wirtschaftlichen Drucks. b) Intervention auf der koordinativen Ebene? Wendet man den Blick ab von dem, das Verhältnis zwischen Staat und Individuum bzw. umgekehrt prägenden Subordinationsverhältnis, hin zum gleichgeordneten zwischenstaatlichen Verhältnis, offenbart sich, dass die systemische Formung öffentlicher Meinungen und Sichtweisen, etwa im Zuge von Erkenntnismanipulationen und potemkinschen Täuschungen, gemeinhin als Propaganda verstanden,491 weder ein neues Phänomen ist, noch eine pauschale Einteilung in Täter und Opfer zulässt. So handelt es sich bei beruhende Nichtüberprüfung des Wahrheitsgehalts in den Schutzbereich einschließen will. 487  Milker, „Social-Bots“ im Meinungskampf. Wie Maschinen die öffentliche Meinung beeinflussen und was wir dagegen unternehmen können, ZUM 2017, 216 (217). 488  Milker, aaO; Steinbach, ZRP 2017, 101 (105), der darauf hinweist, dass für den Schutz unerheblich ist, ob die vervielfältigte Meinung des Programmierers mit einer Identitätstäuschung einhergeht. 489  BVerfGE 7, 198 (208); siehe auch das Urteil zum KPD-Verbot, in dem das BVerfG sogar die Verfassungswidrigkeit des Art. 21 Abs. 2 GG vor dem Hintergrund in Erwägung zieht, dieser könne die politische Meinungsvielfalt in erheblichem Maße beschränken und so in „Selbstwiderspruch“ verfallen (BVerfGE 5, 85 (137)). 490  BVerfG NJW 2001, 1048, 1050, in der es um die Gültigkeit der Wahl zum Hessischen Landtag ging; so auch Milker, ZUM 2017, 216 (220). 491  Definition aus dem englischen, siehe dazu Jowett/O’Donnell, Propaganda and Persuasion, S. 6 ff.: „Propaganda is the deliberate, systematic attempt to shape perceptions, manipulate cognitions, and direct behavior to achieve a response that furthers the desired intent of the propagandist“.

264 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

den unbestätigten Vorwürfen der Einflussnahme Russlands auf die US-Präsidentschaftswahlen nur um eine exemplarische Cyber-Version einer langjährigen amerikanischen Praxis, aus der im Übrigen von amerikanischer Seite auch kein Hehl gemacht wird.492 Der Unterschied besteht lediglich darin, dass die Erreichbarkeit im Zuge des Einsatzes digitaler Medien eine andere ist, als unter Zuhilfenahme von Plakaten, Transparenten und Pamphleten bzw. dem Absetzen von Falschmeldungen in ausländischen Zeitungen.493 In der völkerrechtlichen Literatur wird die Überlegung angeführt, ob staatlich gelenkte Desinformationskampagnen möglicherweise gegen das Interventionsverbot verstoßen können.494 Dies lässt sich pauschal nicht beantworten. Einen Eindruck für die Perzeption auf zwischenstaatlicher Ebene lässt sich auf dem Boden einer – wenn auch länger zurückliegenden – UNResolution aus dem Jahr 1981 gewinnen, die jedoch lediglich bei den damals blockfreien Staaten Zustimmung fand.495 Deren Gegenstand war die Unzulässigkeit der Intervention und Einmischung in die inneren Angelegenheiten der Staaten. In diesem Zusammenhang wurde explizit die Verbreitung von falschen und verzerrten Nachrichten als mögliche Einmischung in die internen Angelegenheiten eines Staates aufgeführt.496 Bei der Klassifizierung als Intervention ist zweierlei zu beachten: So ist das grundsätzlich für die Intervention charakteristische Zwangselement nicht offenkundig. Dies lässt sich bereits daran erkennen, dass sich verbreiteten Meldungen sehr wohl entziehen lässt. Daneben wurde das völkerrechtliche Interventionsverbot in der jüngeren Vergangenheit vermehrt im Lichte soge492  Siehe dazu Johnson (Professor an der Universität Georgia und vormaliges Mitglied des Aufsichtsgremiums der US-Geheimdienste), der darauf hinweist, dass die USA Wahlbeeinflussung seit Gründung des Auslandsgeheimdienstes C.I.A. im Jahre 1947 betreiben, abrufbar unter: https://www.nytimes.com/2018/02/17/sundayreview/russia-isnt-the-only-one-meddling-in-elections-we-do-it-too.html. 493  Diese Vorgehensweisen wurden von drei früheren Mitarbeitern des US-Außenministeriums, des Pentagons und des Nationalen Sicherheitsrates gegenüber der NZZ bestätigt, abrufbar, in: https://nzzas.nzz.ch/international/wie-amerika-diewahlen-manipuliert-ld.1362571, siehe in diesem Zusammenhang auch das Hintergrundgespräch zum Thema: „Russland, Die Hacking-Supermacht?“, mit dem russ. Geheimdienstexperten Andrei Soldatov, mit Stefan Neumann von der Stiftung Neue Verantwortung am 01.06.2017, der die Aktivität des russischen Geheimdienstes im Cyberraum mitunter auf die Maidan-Proteste in der Ukraine ab November 2013 zurückführt, die der russische Staat auf westlichen Einfluss zurückführt, abrufbar unter: https://www.stiftung-nv.de/de/veranstaltung/hintergrundgespräch-russland-die-hackingsupermacht. 494  Hector, Hybride Kriegsführung: Eine neue Herausforderung? ZaöRV 2016, 513 (523 f.). 495  Hierzu Stein, 1 (23). 496  UN Res. 38/103, Abschnitt III d).

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 265

nannter Regimewechsel-Bestrebungen thematisiert und mit Bezug zu diesen kontextualisiert. Die Bezugspunkte waren insbesondere die Staaten Libyen und Elfenbeinküste497 zu Zeiten, in denen sich beide jeweils inmitten gewaltsamer innerstaatlicher Auseinandersetzungen befanden.498 Dabei ist darauf hinzuweisen, dass es diesen Staaten nicht nur an staatlichen Strukturen mangelte (und mangelt), die denen der Bundesrepublik Deutschland institutionell und mit Blick auf die Stabilität vergleichbar sind. Dies ist dazu auch noch mit dem Umstand gepaart, dass die vorbezeichneten Eingriffe wesentlich finaler waren, als dies bei einer Informationsoperation der Fall ist. So griffen im Falle der Elfenbeinküste Anfang April 2011 UNOCI-Soldaten und französische Soldaten militärisch in das Geschehen ein, im Falle Libyens waren es Mitte März 2011 Truppen der NATO. In beiden Fällen führte das militärische Eingreifen zuerst zu einem Wendepunkt im Kampfgeschehen und anschließend zum Sturz des Machthabers.499 Das eingesetzte Mittel sowie das erzielte Ergebnis waren also wesentlich finaler, als dies im Zuge einer Informationskampagne auf einen westlichen Staat und seine organisch gewachsenen Strukturen der Fall sein kann. In diesem Lichte stumpft ein Argument, wonach im Zuge einer auf Wahlen und Abstimmungen gerichteten Desinformationskampagne bisweilen auch ein Führungswechsel politischer Natur angestrebt werde und insofern eine Vergleichbarkeit zu den Regimewechsel-Bestrebungen bestehe, doch erheblich ab. Insgesamt ist es daher als verfehlt zu erachten, bei Informationsoperationen von einem Verstoß gegen das Interventionsverbot auszugehen. c) Informationskampagnen als Verteidigungsobjekt In Art. 38 Abs. 1 GG ist der Grundsatz der mitunter freien Wahl verbrieft. Dieser verlangt, dass der Wähler frei von Zwang und sonstiger unzulässiger Beeinflussung ausüben kann.500 Zwar verpflichten die Wahlrechtsgrundsätze als sogenannte grundrechtsgleichen Rechte in erster Linie den Staat. Jedoch rekurriert das BVerfG in seiner Konkretisierung zur freiheitlichen demokratischen Grundordnung explizit auf den Willen „der jeweiligen Mehrheit“501, für dessen Bildungsprozess im grundgesetzlichen Sinne auch die freie Wahl conditio sine qua non ist. Das Büro für Technikfolgen-Abschätzung beim 497  Odendahl,

AVR (50) 2012, 318 (331). http://www.dw.com/en/is-libya-a-failed-state/a-38976280, mit Zitat von Martin Kobler, dem UN-Sondergesandten in Libyen (2015–2017), der sich aber diesbezüglich nicht klar positioniert. 499  Vgl. Odendahl, aaO. 500  BVerfGE 95, 335 (350); vgl. auch BVerfGE 7, 63 (69); 47, 253 (283). 501  BVerfGE 2, 1 (12 f.). 498  hierzu

266 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

Deutschen Bundestag kam jüngst zu dem Ergebnis, dass eine massenhafte Verbreitung von (Falsch-)Nachrichten, insbesondere durch Social Bots zu einer „Klimavergiftung“ des öffentlichen Diskurses führe, die geeignet sei, das „Vertrauen in die Demokratie zu unterlaufen“.502 Unabhängig davon, ob man die Wahlrechtsgrundsätze nun gänzlich in den Kreis der von der freiheitlichen demokratischen Grundordnung erfassten Verteidigungsobjekte aufnimmt oder nicht, bestehen jedenfalls insofern Zweifel, ob entsprechende Informationskampagnen die Intensität erreichen, die erforderlich ist, um in ein Verteidigungsobjekt zu erwachsen. So darf die Eignung von Online-Plattformen zur verhältnismäßig leichten und kostengünstigen Informationsverbreitung nicht überbewertet werden. In Ländern wie der Bundesrepublik Deutschland herrscht im Rahmen der Meinungs- und Pressefreiheit ein Informations- und Meinungspluralismus, der es nicht unwesentlich erschwert, unwahre Tatsachen insofern effizient einzusetzen, dass sie schlussendlich monokausal für ein Meinungsbild sind, das sich in Gestalt einer Wahlentscheidung oder Ähnlichem manifestiert.503 So stellt das World Wide Web nur eine Informationsquelle dar, die sich immer noch in Gesellschaft von Radio und Fernsehen sowie den Printmedien befindet,504 obgleich letztere in der öffentlichen Wahrnehmung aber zunehmend als nicht unabhängig aufgefasst werden,505 was eine Verlagerung ins Netz begünstigen 502  Thesenpapier zum öffentlichen Fachgespräch „Social Bots – Diskussion und Validierung von Zwischenergebnissen“ am 26. Januar 2017 im Deutschen Bundestag, S. 9. 503  Siehe hierzu Nyan, der diese Sichtweise teilt – wenn auch aus der Perspektive der Vereinigten Staaten. Er setzte sich anlässlich des US-Wahlkampfes 2016 sowohl mit dem Anteil der Tweets durch Bots an der Gesamtzahl aller wahlkonnotierten Tweets (0,5 Prozent) auseinander, wie auch mit dem Anteil den die Besuche von Fake-News-Seiten ggü. anderen Seiten ausmachten, die von Anhängern des Kandidaten Trump besucht wurden (6 Prozent), abrufbar unter: https://www.nytimes. com/2018/02/13/upshot/fake-news-and-bots-may-be-worrisome-but-their-politicalpower-is-overblown.html. 504  hierauf hinweisend Holznagel, Phänomen „Fake News“ – Was ist zu tun? Ausmaß und Durchschlagskraft von Desinformationskampagnen, MMR 2018, 18 (21); warnend vor den sozialen Netzwerken als Instrument der politischen Kommunikation dagegen Ford/Dubois/Puschmann, Keeping Ottawa Honest – One Tweet at a Time? Politicans, Journalists, Wikipedians, and Their Twitter Bots, International Journal of Communications 10, S. 4891 (4982 f.); auch BVerfGE 90, 1 (20), das davon ausgeht, dass sich auf dem Boden der offenen Auseinandersetzung ein Bild ergebe, „dem gegenüber sich einseitige, auf Verfälschung von Tatsachen beruhende Auffassungen im allgemeinen (sic) nicht durchsetzen können“. 505  Siehe hierzu die Studie des Bayerischen Rundfunks zum Vertrauen in die Medien vom Mai 2016, nach der nur ein Drittel der Befragten die Berichterstattung der deutschen Nachrichtenmedien für wirklich unabhängig befindet. 84 Prozent sind der Auffassung, die Regierung und andere staatliche Stellen machten Vorgaben, abrufbar: https://www.br.de/presse/inhalt/pressemitteilungen/glaubwuerdigkeitsstudie-pdf-100. html, S. 40.

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 267

dürfte. Nichtsdestotrotz ist eine staatsgefährdende Tendenz in Ansehung dieser Parameter weder derzeit noch in absehbarer Zukunft auch nur ansatzweise zu erwarten und würde überdies den Selbstheilungskräften der freiheitlichen Ordnung sowie Instrumentarien in Gestalt von Gegendarstellungen und Meinungsvielfalt nicht gerecht werden. d) Gegenstand staatlicher Schutzpflicht Eine staatliche Schutzpflicht, wenn auch nicht die militärische Zuständigkeit begründend, kann gleichwohl bestehen, wenn die öffentliche Meinungsbildung unzumutbar beeinträchtigt bzw. ernsthaft bedroht ist. So hat der Staat keine Verpflichtung, seine Bürger vor sämtlichen Unwahrheiten zu bewahren.506 Gleichwohl ist es seine Aufgabe, den Rahmen zu stecken, in dem jedermann seine Meinung diskriminierungsfrei äußern kann.507 Dieser Schutzanspruch ist aber eher individualrechtlich die individuelle Meinungsfreiheit betreffend konnotiert und erlangt erst dann das Kollektiv betreffende Relevanz, wenn die Meinungsbildung flächendeckend marginalisiert und dadurch die demokratische Ordnung ernsthaft bedroht wird.508 Ohne auf die Art und Weise der Verteidigung im digitalen Raum vorwegzugreifen wäre ohnehin unklar, wie die Streitkräfte – ihre Zuständigkeit unterstellt – hier die Wahrnehmung staatlicher Schutzpflicht exekutieren könnten. Die Löschung entsprechender Inhalte in sozialen Netzwerken kann nur der Betreiber selbst vornehmen.509 Hierzu kann dieser beispielsweise staatlicherseits verpflichtet werden, wie jüngst im Zuge des NetzDG geschehen. Dieses greift jedoch nicht explizit für den Bereich der unwahren Tatsachen, sondern allgemein für rechtswidrige Inhalte,510 im Zuge dessen dem NetzDG insge506  Grabenwarter, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 01/2013, Art. 5 Rn. 110. 507  Milker, ZUM 2017, 216 (220). 508  BVerfGE 90, 1 (20 f.); Steinbach, Social Bots im Wahlkampf, ZRP 2017, 101 (104). 509  Zwar heißt es in Ziff. 3 Nr. 9 der AGB von Facebook: „Du wirst Facebook nicht verwenden, um irgendwelche rechtswidrigen, irreführenden, bösartigen oder diskriminierenden Handlungen durchzuführen“, abrufbar unter: https://www.facebook. com/terms.php. Dies wurde in Ansehung der Ereignisse der Vergangenheit aber regelmäßig ignoriert. 510  in § 1 Abs. 3 NetzDG werden zur Konkretisierung des rechtswidrigen Inhalts 22 Straftatbestände aufgeführt. Die Sachverständigen im Rahmen einer öffentlichen Anhörung im Rechtsausschuss des Bundestages am 19.6.2017 bewerteten das NetzDG sehr konträr und attestierten ihm teilweise die Verfassungswidrigkeit, abrufbar unter: https://www.bundestag.de/dokumente/textarchiv/2017/kw25-pa-recht-rechtsdurch setzung/510328; siehe auch den Antrag „Transparenz und Recht im Netz – Maßnahmen gegen Hasskommentare, ‚Fake News‘ und Missbrauch von ‚Social Bots‘ “ von

268 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

samt nur ein geringer Ertrag im Hinblick auf ein Vorgehen gegen Falschnachrichten beizumessen ist.511 Gleichwohl ist es eine Ausprägung staatlicher Schutzpflicht, in Form legislativer Betätigung. Unabhängig davon erscheint ein präventives Vorgehen gegen Informationskampagnen in Ansehung der kurzen Vorbereitungsphase der Publikationen wenig erfolgsaussichtig. 4. Kategorie der Informationsbeschaffung Gegenstand der Subsumtion unter die Ergebnisse aus Kapitel (3) ist nunmehr die aus Kapitel (1) bekannte Kategorie der Informationsbeschaffung. Das Ziel besteht wie zuvor darin, eine tragfähige Auskunft darüber zu erhalten, inwiefern die Bedrohungkategorie in das Aufgabenspektrum der Streitkräfte zur Verteidigung fällt. a) Kein zwischenstaatliches Spionageverbot Sofern die Computernetzwerkoperation der Beschaffung wirtschaftlich relevanter oder vertraulichen Regierungsinformationen dient, handelt es sich um Spionage bzw., sofern sie vom Militär vorgenommen wird, um militärische Aufklärung, ganz unabhängig davon, ob diese mit oder gegen computergestützte Informationsstrukturen vorgenommen wird oder nicht. Spionage ist völkerrechtlich nicht grundsätzlich verboten.512 So enthalten das Diplomaten- und Konsularrecht513 sowie das Recht internationaler bewaffneter KonFraktionsmitgliedern der Bundestagsfraktion Bündnis/90 Die Grünen, in dem die Regierung aufgefordert wird, breitgefächerte Maßnahmen zu unternehmen, die überwiegend aufklärerische Schwerpunkte sowie Sanktionsmöglichkeiten gegen Betreiber von Webauftritten aufweisen, abrufbar unter: http://dip21.bundestag.de/dip21/ btd/18/118/1811856.pdf. 511  So auch Holznagel, MMR 2018, 18 (22); siehe auch Nolte, Hate-Speech, Fake-News, das „Netzwerkdurchsetzungsgesetz“ und Vielfaltsicherung durch Suchmaschinen, 552 (555), der das Gesetz im Hinblick auf Fake-News als „Etikettenschwindel“ bezeichnet; siehe auch Staffler, Gesetzesinitiative gegen Fake News made in Italy, MMR-Aktuell 2017, 387090, der die Initiatoren eines Gesetzesvorschlags in Italien rezipiert, nach dem eine neue Vorschrift die Verbreitung solcher Fake-News einschränken soll, „die unbegründete Besorgnis innerhalb der Bevölkerung hervorrufen können“. 512  Banks, 1487 (1512); Dinstein, 99 (105); Schmahl, 159 (180), die der Tatsache, dass sie nicht grundsätzlich verboten ist insofern etwas Positives abgewinnt, als im Wege der Cyberspionage ein gewisses Machtgleichgewicht zwischen den Staaten hergestellt werden könne, das der Abschreckung dienlich sei; Stein, 1 (32); TallinnManual, Rule 6 Rn. 4; Ziolkowski, HuV-I 2008, 202 (208 f.). 513  Siehe z.  B. Art. 41 Abs. 1 des Wiener Übereinkommens über diplomatische Beziehungen, wonach sich Diplomaten nicht in die inneren Angelegenheiten des Empfangsstaates einmischen dürfen; dazu auch Ipsen, § 24 Rn. 11.

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 269

flikte514 vereinzelt Regelungen, die auf die Informationsgewinnung rekurrieren. Gleichwohl beschränken sie sich auf die jeweilige Regelungsmaterie, sodass sich keine Aussage dahingehend abgewinnen lässt, nach der Spionage grundsätzlich pönalisiert ist. Darüber hinaus gehende Anstrengungen, bilaterale Regelungen zu schaffen, trugen bisher keine Früchte.515 So wird argumentiert, dass es Spionage ohnehin immer gab und diese sogar zuträglich sei, das Machtgleichgewicht zwischen den Staaten zu bewahren.516 Angesichts dessen konnte sich bisher auch kein völkerrechtliches Gewohnheitsrecht ausbilden, wonach Spionage generell verboten ist.517 Gleichwohl ist sie nach nationalen Rechtsordnungen rechtswidrig und unter Strafe gestellt.518 b) Spionage als Intervention Weil Spionage zumindest in der Lage ist, die territoriale Integrität und politische Unabhängigkeit eines Staates zu beeinträchtigen, gibt es Stimmen, die ihr die Eignung zur völkerrechtswidrigen Intervention zuschreiben.519 Explizit Bedeutung gewinnt Spionage in diesem Zusammenhang derzeit aber nur, wenn sie in Zusammenhang mit dem unerlaubten Eintritt in den See- oder Luftraum erfolgt, weil es diesbezüglich bestehende Abkommen über den unerlaubten Eintritt gibt.520 Über den Cyberraum gibt es solche nicht. Zaghafter Erfolg war bisher einzig das vorbezeichnete Abkommen zwischen den USA

514  Art. 46

Abs. 1 ZP I, der Spionen die Behandlung als Kriegsgefangene versagt. Deutschlandbezug ist hier aus jüngerer Vergangenheit das gescheiterte „No-Spy-Abkommen“ mit den USA zu erwähnen, hierzu: https://www.bundestag.de/ dokumente/textarchiv/2014/48636406_kw03_de_aktstd_no_spy/214942. 516  Rauch, Espionage, in: Bernhardt (Hrsg.), Encyclopedia of Public International Law, Vol. II, 1995, S. 114 (116); Max Planck Encyclopedia of Public International Law, 2015, (Online Zugriff), Rn. 2. 517  Schaller, Internationale Sicherheit und Völkerrecht im Cyberspace, Für klarere Regeln und mehr Verantwortung, S. 11. 518  siehe hierzu insb. § 99 StGB, der die geheimdienstliche Agententätigkeit unter Strafe stellt; Grant/Barker, Encyclopedic Dictionary of International Law, S. 571; Ipsen, § 24, Rn. 522; siehe auch Egan, International Law and Stability in Cyberspace Berkeley Journal of International Law 2017, Vol. 35, Iss. 1, 169 (174), der die Differenzierung zwischen nationalem Recht und Völkerrecht aus US-amerikanischer Perspektive verdeutlicht. 519  Keber/Roguski, 399 (411); Rauch, aaO. 520  Keber/Roguski, aaO; siehe in diesem Zusammenhang Art. 19 Nr. 2 Buchst. c) des Seerechtsübereinkommens der Vereinten Nationen, in dem die Durchfahrt eines fremden Schiffes als Beeinträchtigung des Friedens gilt, wenn eine Handlung vorgenommen wird, die auf das Sammeln von Informationen zum Schaden der Verteidigung oder Sicherung des Küstenstaats gerichtet ist; Max Plack Encyclopedia of Public International Law, Rn. 13; Tallinn Manual, Rule 6 und 84. 515  mit

270 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

und China über die Mäßigung der Firmen- und Industriespionage.521 Die Interventionseignung wird Cyberoperationen zudem regelmäßig mit dem Argument abgesprochen, es fehle ihnen an der interventionstypischen Zwangswirkung.522 Insofern ist es konsequent, dass die USA es im Nachgang des Einbruchs in Server und E-Mail-Konten von Angehörigen des Democratic National Congress im Jahr 2016 bei verhaltenen bis gar keinen – zumindest offiziell bekannten – Reaktionen beließen.523 In der US-amerikanischen Literatur wurde im Zusammenhang mit Cyber-Spionage vereinzelt die Figur der „Transboundary Cyberharm“ ins Gespräch gebracht, die insbesondere Industriespionage benennt und für wehrfähig deklariert.524 Gegen diese solle sich von privater Seite grundsätzlich erwehrt werden dürfen, weswegen die Figur nicht in Zusammenhang mit staatlicher Gegenwehr erwähnt wird.525 c) Spionage als bestandsgefährdend? Mit Blick auf das Verteidigungsobjekt Bestand des Staates und dessen Funktionsfähigkeit ist nicht davon auszugehen, dass durch Cyberoperationen derart signifikante Beeinträchtigungen erfolgen, die sich zu einem verteidigungswürdigen Sachverhalt verdichten. Dies gilt weder mit Blick auf die auf den privaten Sektor abzielende Wirtschaftsspionage noch hinsichtlich der Informationsgewinnung in und gegenüber staatlichen Einrichtungen. So richtet sich Industriespionage gegen die Netzwerke und Server einzelner Unternehmen, deren individuelle Betroffenheit regelmäßig keine Auswirkung auf die wirtschaftlichen Existenzgrundlagen des Staates als Ganzes haben, anders als beispielsweise die vorbenannten energetischen Grundlagen. Mit Blick auf die Spionage bei staatlichen Behörden und Einrichtungen wie den Einbrüchen in das interne Netzwerk des Bundestages in den Jahren 2015 und 2016 sowie das Kommunikationsnetz der Bundesregierung, bekanntgeworden im Februar 2018, ist darauf hinzuweisen, dass sensible Dokumente, insbesondere solche die einer Geheimstufe unterliegen nach wie verschriftlicht sind und werden.526 521  https://obamawhitehouse.archives.gov/the-press-office/2015/09/25/fact-sheetpresident-xi-jinpings-state-visit-united-states. 522  Dinstein, aaO.; Tallinn Manual, aaO. 523  explizit hierzu Banks, 1487 (1512). 524  siehe dazu Messerschmidt, Hackback: Permitting Retaliatory Hacking by NonState Actors as Proportionate Countermeasure to Transboundary Cyberharm, Columbia Journal of Transnational Law, Vol. 52, 2013, 275 (279); siehe auch Firewalls and Firefights im Economist v. 10.08.2013, abrufbar unter: https://www.economist.com/ news/business/21583251-new-breed-internet-security-firms-are-encouragingcompanies-fight-back-against-computer. 525  Messerschmidt, 275 (277). 526  So wies ein Ministeriumssprecher im Zuge des attackierten Informationsverbundes des Regierungsnetzes im März 2018 darauf hin, dass in diesem keine als

C. Der verfassungsrechtliche Umgang mit der Rückverfolgungsproblematik 271

Auch aus diesem Grund erweist sich eine Entwendung bzw. eine unbefugte Einsicht als grundsätzlich nicht bestandsgefährdend.

V. Kapitelabschließende Bemerkungen Das folgende Resümee soll neben den aufgezeigten rechtlichen auch zwei Aspekte politischer Natur aufzeigen und vertiefen. In rechtlicher Hinsicht hat sich gezeigt, dass das Grundgesetz zur Zeit seiner Schaffung und seiner thematisch relevanten Änderungen zwar von einem bestimmten Angriffsmuster ausging, dieses jedoch nicht kodifiziert wurde, mit der Folge, dass es mit sich verändernden Bedrohungslagen sehr wohl umgehen kann. Dies wird belegt anhand der hier herausgearbeiteten Kriterien: Betroffenheit eines Verteidigungsobjekts und entsprechende Intensität des Angriffs. Dabei wurde aufgezeigt, dass sich die Streitkräfte im Rahmen ihres Einsatzes zur Verteidigung in ihrer Regelzuständigkeit bewegen und nicht etwa, wie bei den verschiedenen Einsatzoptionen im Inland, nachgelagert bzw. im Rahmen von ausnahmenbegründenden Notständen. Die grundgesetzliche Anpassungsfähigkeit hat aber auch eine politische Dimension. Diesbezüglich ist für die hier gegenständliche Thematik auf die Motivlage zu verweisen, die zur Gründung des Bundesgrenzschutzes geführt hat. So wurde es damals offenkundig als vertretbar erachtet, auf eine sicherheitspolitische Entwicklung in Gestalt des beginnenden Ost-West-Konflikts dergestalt zu reagieren, dass in Abwesenheit einer Wehrverfassung und damit der Kodifikation eines Verteidigungsrechts, eine – nicht originär militärische – Bundebehörde tatsächlich (im Wege von Ausrüstung und Material) und rechtlich (im Wege des Kombattantenstatus) aufgerüstet wird, um dieser Entwicklung zu begegnen. Auf dem Boden der Abgrenzung im digitalen Raum hinsichtlich der Faktoren Herkunft, Urheber, Gegenstand und Intensität der Betroffenheit sowie der Tatsache, dass sich die Streitkräfte die ausgearbeiteten Verteidigungsobjekte mit anderen Behörden „teilen“, kommt auch der Haushaltsallokation eine entscheidende Rolle zu. In diesem nur bedingt trennscharfen Bereich lässt sich über die Ausstattung der Behörden als Voraussetzung für die tatsächliche Eignung behördlicherseits mit Angriffen verschiedener Intensität umzugehen, eingedenk der Abwesenheit einer inhaltsklaren gesetzlichen Kompetenzverteilung deutlich mehr steuern als dies im analogen Raum der „geheim“ eingestuften Dokumente transportiert oder gespeichert würden, sondern nur solche mit der Kennzeichnung „VS-nfD“ (Verschlusssache – nur für den Dienstgebrauch), abrufbar unter: http://www.spiegel.de/netzwelt/netzpolitik/hackerangriffbundesregierung-sucht-informanten-und-prueft-anzeige-a-1196239.html.

272 Kap. 3: Verwendung der Streitkräfte zur Verteidigung im digitalen Raum

Fall war und ist.527 Dabei gilt es aber zu beachten, dass die Aufgabenwahrnehmungen der Sicherheitsbehörden auf einem grundgesetzlich verankerten System von Bund-Länder-Zuständigkeiten fußen. So sähe sich eine veränderte Allokation der Haushaltsmittel zu Gunsten der (Bundes-)Polizeien möglicherweise dem Vorwurf ausgesetzt, hier würden in tatsächlicher Hinsicht Fakten geschaffen, die dann nur noch im Wege einer allgemeinen Gefahrenabwehrklausel zu Gunsten des Bundes rechtlich nachvollzogen werden müssten. Dieser Vorwurf lässt sich zwar auch nicht gänzlich zu Fall bringen, indem man Aufgabenwahrnehmungen schwerpunktmäßig bei Art. 87a GG ansiedelt und somit als Gegenstand der Verteidigung deklariert. Ein maßgeblicher Unterschied zu den Polizeien besteht jedoch darin, dass es sich bei Art. 87a GG erstens um eine originäre Zuständigkeit des Bundes handelt, die zweitens keine Einschränkungen hinsichtlich des „Aggregatzustands“ etwaiger Bedrohungen macht. Ferner ist darauf hinzuweisen, dass das vorliegende Kapitel weder in der Theorie noch auf dem Boden der Subsumtion unter die Bedrohungslage den Schluss nahelegt, es erfolge eine Militarisierung der deutschen Sicherheitsarchitektur. Dies belegen auch die in Kapitel (2) aufgezeigten Schutzlücken im digitalen Bereich, die sich auf dem Boden der Ausführungen in Kapitel (3) auch militärisch derzeit nicht schließen lassen. Er beschreibt allein die Lage unter Anwendung geltenden Rechts eingedenk einer auf tatsächliche wie rechtliche Strukturen herausfordernden Bedrohungslage.

527  Vgl. hierzu Krings/Burkiczak, DÖV 2002, 501 (511), die darauf hinweisen, dass eine aus dem Argument des Machtmissbrauchs entspringende Trennung nur dort erfolgen muss, wo die Gefahr besteht, dass das Militär polizeiliche Aufgaben an sich zieht. Wo die Polizei aber schlechthin nicht zur Erfüllung bestimmter Aufgaben geeignet ist, bedürfe es auch nicht der Verhinderung der Aufgabenwahrnehmung durch die Streitkräfte.

Kapitel 4

Inhalt und Ablauf der Verteidigung Das vorangegangene Kapitel hat den folgenden Ausführungen insofern den Boden bereitet, als es in den Fokus rückt, entlang welcher Parameter bestimmt wird, ob ein Sachverhalt verteidigungswürdig ist oder nicht. Es dient den nun folgenden Ausführungen damit als Ausgangspunkt. Dabei wird insoweit der grundgesetzliche Fokus gewahrt, als sich auf solche Aspekte beschränkt wird, die die Verfassung oder das BVerfG entweder selbst zur Sprache bringen oder aber, die sich unmittelbar im Zusammenhang mit grundgesetzlichen Vorgaben ergeben.

A. Inhalt und Grenzen der Verteidigung Ähnlich der in Kapitel (3) thematisierten Frage nach dem Verteidigungsrecht enthält das Grundgesetz auch bezüglich der inhaltlichen Ausgestaltung einer Verteidigungshandlung jenseits von Art. 26 GG weder abstrakte noch konkrete Vorgaben oder Leitlinien. Laut der aktuellen Cyber-Sicherheitsstrategie prüft die Bundesregierung, unter welchen rechtlichen Rahmenbedingungen und mit welchen technischen Möglichkeiten in Fällen „schwerwiegende[r] Cyber-Angriffe“ durch „staatliche Stellen Netzwerkoperationen durchgeführt werden könnten“, freilich ohne sich näher zur Qualität des schwerwiegenden Angriffs einzulassen bzw. Netzwerkoperationen zu spezifizieren.1 Dabei gilt es zu beachten, dass die Verteidigung gegen Cyberangriffe nicht zwingend auf digitale Waffen beschränkt ist. Vielmehr steht grundsätzlich das gesamte militärische Spektrum bereit, sodass neben dem Fokus auf den Cyberbereich auch die Frage beantwortet werden muss, ob und wann ein einem digitaler Angriff mit analogen Mitteln begegnet werden darf.

I. Offensive und defensive Verteidigung im Cyberraum Ein gebräuchliches Begriffspaar der hier gegenständlichen Thematik ist die Differenzierung in offensive und defensive Cyberfähigkeiten. Ausweislich des Weißbuchs zur Sicherheitspolitik und zur Zukunft der Bundeswehr sieht 1  Cyber-Sicherheitsstrategie

2016, S. 29.

274

Kap. 4: Inhalt und Ablauf der Verteidigung

die Bundesregierung gleichermaßen defensive wie offensive Hochwertfähigkeiten als Bestandteile von Verteidigungsmaßnahmen an.2 Dass es sich hierbei nicht bloß um eine abstrakte Differenzierung handelt, belegen jüngere Aussagen einzelner NATO-Mitglieder unter Einschluss Deutschlands,3 dass man gegenüber der seit 2012 in der NATO-Übung Locked Shields geübten defensiven Reaktionsweise,4 eine Wendung dergestalt vollziehe, dass man zukünftig staatlich assoziierte Hacker auch „konfrontieren“ wolle.5 In diesem Rahmen wurde seitens der NATO darauf hingewiesen, dass Computer, genauso wie Schiffe und Flugzeuge, auch über offensive Kapazitäten verfügten.6 1. Die Kategorie der defensiven Cyberfähigkeiten Nach dem vorbezeichneten Abschlussbericht des Aufbaustabs für die neue Teilstreitkraft Cyber- und Informationsraum (CIR) sind zur Durchführung wirkungsvoller Cyber-Maßnahmen „immer defensive und offensive Fähigkeiten erforderlich“.7 Eine Differenzierung in offensive und defensive Fähig2  Weißbuch der Bundeswehr von 2016, S. 93; siehe daneben auch den bereits angeführten Abschlussbericht des Aufbaustabs für die neue Teilstreitkraft Cyber-und Informationsraum (CIR), in dem die Erforderlichkeit des Vorhaltens von defensiven und offensiven beschrieben wird (S. 5 und 47); siehe auch die von Netzpolitik dokumentierten „Strategischen Leitlinie Cyber-Verteidigung“ aus dem Jahr 2015, aus dem hervorgeht, dass die Bundeswehr über offensive Cyberfähigkeiten verfügt, abrufbar unter: https://netzpolitik.org/2015/geheime-cyber-leitlinie-verteidigungsministeriumerlaubt-bundeswehr-cyberwar-und-offensive-digitale-angriffe/ (S. 27 der pdf-Version). 3  Abrufbar unter: https://www.reuters.com/article/us-nato-cyber/nato-mulls-offen sive-defense-with-cyber-warfare-rules-idUSKBN1DU1G4 sowie http://www.newsweek. com/nato-may-target-russia-cyber-weapons-marking-huge-policy-change-747697. 4  Siehe zu der Übung https://www.bmvg.de/de/themen/cybersicherheit/partnerschaf ten-zur-cybersicherheit/nato-cooperative-cyber-defense-centre-of-excellence sowie https://ccdcoe.org/new-research-red-teaming-technical-capabilities-and-cyber-defenceexercises.html; siehe den defensiven Charakter der Übung 2017 belegend den Bericht von Tom Schimmeck (Deutschlandfunk), der der Übung als Journalist beigewohnt hat, abrufbar unter: http://www.deutschlandfunk.de/mein-erster-cyberkrieg-die-natoprobt-den-ernstfall-pdf.media.1964e8973cd6fc7c558cb450b377d721.pdf, S. 5). 5  abrufbar unter: https://www.reuters.com/article/us-nato-cyber/nato-mulls-offen sive-defense-with-cyber-warfare-rules-idUSKBN1DU1G4. 6  So der US-Marine Kommandeur Michael Widmann beim NATO Cooperative Cyber Defence Centre of Excellence, zitiert, in: https://www.reuters.com/article/usnato-cyber/nato-mulls-offensive-defense-with-cyber-warfare-rules-idUSKBN1DU 1G4. 7  Abschlussbericht des Aufbaustabs für die neue Teilstreitkraft Cyber- und Informationsraum (CIR), S. 5 und 47; siehe auch die von Netzpolitik dokumentierten „Strategischen Leitlinie Cyber-Verteidigung“ aus dem Jahr 2015, aus dem hervorgeht, dass die Bundeswehr über offensive Cyberfähigkeiten verfügt (S. 27 der pdf-Version),



A. Inhalt und Grenzen der Verteidigung 275

keiten ist erläuterungsbedürftig. Sie wird aus dem Umstand heraus gerechtfertigt, dass sich offensive und defensive Komponenten im Cyberraum wesentlich unterscheiden, weil der defensiven Komponente ein eigenes Anwendungsfeld zufällt. Letzteres beginnt beim Schutz im engeren Sinne, durch die Implementierung von Anti-Schadsoftwaresystemen und/oder Firewalls für die zunehmend automatisierten Waffensysteme8 selbst, bis hin zum Schutz im weiteren Sinne, in Gestalt der Sicherung der eigenen IT-Strukturen und Kommunikationssysteme.9 Insgesamt beschränken sich die defensiven Fähigkeiten auf den Eigenschutz der Streitkräfte. Vorliegend soll der Fokus dagegen auf den offensiven Mitteln liegen. 2. Schwerpunkt: Gegenstand offensiver Cybermaßnahmen Die Bandbreite der offensiven Cybermaßnahmen deckt im Kern diejenigen ab, die im Kapitel (1) Gegenstand der Bearbeitung waren. Unabhängig von der konkreten Ausgestaltung einer Netzwerkoperation lässt sich bei diesen eine Gemeinsamkeit regelmäßig insofern ausmachen, als es der Einwirkung auf das gegnerische System bedarf. Ein in der Bundesrepublik Deutschland insbesondere medial Beachtung gefundene Begrifflichkeit ist die des sogenannten Hack-Backs,10 der jedoch über sein Wortlautverständnis hinaus keinen inhaltlichen Aufschluss bietet.11 Eine offensive Cybermaßnahme kann zudem wird in Fn. 14 in diesem Zusammenhang konkret auf die Bereiche militä­ rischen Nachrichtenwesen (MilNW), GeoInfoWesen, Führungsunterstützung in der IT-Sicherheit sowie Zivil-Militärische Zusammenarbeit (ZMZ) verwiesen, abrufbar unter: https://netzpolitik.org/2015/geheime-cyber-leitlinie-verteidigungsministerium-er laubt-bundeswehr-cyberwar-und-offensive-digitale-angriffe/. 8  Vgl. hierzu die vernetzte Flugabwehr am Beispiel der Waffensysteme MANTIS (https://www.afcea.de/fileadmin/user_upload/News/Dokumente/Vortrag_KO_ITTagung_Albrecht_MANTIS.pdf), Oerlikon Revolver/Laser Gun bzw. im Zuge der Implementierung sogenannter Skyshields (https://www.rheinmetall-defence.com/de/ rheinmetall_defence/systems_and_products/air_defence_systems/vernetzte_flugabwehr/ index.php). 9  Siehe hierzu die Antwort der Bundesregierung auf eine kleine Anfrage (BTDrs. 18/6989), in der explizit der Schutz von Cyberfähigkeiten zum Schutz eigener Kräfte angesprochen wird (S. 4). 10  Laut NDR, WDR und Süddeutscher Zeitung erteilte der Bundessicherheitsrat unter dem Vorsitz von Bundeskanzlerin Angela Merkel im März 2017 den Auftrag, zwei Analysen zu dieser Thematik und ihrer technischen und rechtlichen Bewertung anzufertigen, abrufbar unter: https://www.tagesschau.de/inland/bundesregierung-gegen angriffe-internet-101.html. 11  Während die Diskussion über die sog. Hack-Backs in Deutschland vergleichsweise neu ist und zaghaft voranschreitet, existiert sie in den USA schon länger. Dort setzt man sich in diesem Zusammenhang aber schwerpunktmäßig damit auseinander, ob generell und unter welchen Voraussetzungen Private zum Gegenschlag ausholen

276

Kap. 4: Inhalt und Ablauf der Verteidigung

mitunter in Gestalt der Einschleusung von Schadsoftware in ein fremdes System bewerkstelligt werden,12 die auch im Rahmen der folgenden Ausführungen im Vordergrund steht.

II. Die Art und Weise der Verteidigungsmaßnahme im engeren Sinne Im Folgenden geht es darum zu klären, auf welche Weise einem Cyberangriff begegnet werden kann und welche Grenzen hier zu beachten sind, bzw. den rechtlichen Rahmen stecken. Im Einklang mit den Ausführungen in Kapitel (1) und weil Cyberwaffen als solche nicht verboten sind, wird auch im Folgenden anhand der Wirkung der jeweiligen Maßnahmen differenziert. Der Grund hierfür ist, dass gleiche Mittel mitunter unterschiedliche (physische) Wirkungen zeichnen, je nachdem wie das Zielsystem beschaffen ist. Die Infiltration fremder Systems bzw. die infiltrierenden Maßnahmen zur Aufklärung derselben werden als vorbereitende Maßnahmen, sog. Verteidigungsmaßnahme im weiteren Sinne, verstanden. Insgesamt hat die nachfolgende Thematik, insbesondere der Themenbereich zur Gegenmaßnahme gegen Angriffe unterhalb der Schwelle des bewaffneten Angriffs bisher nur untergeordnet Beachtung gefunden.13 1. Maßnahmen mit physischer Wirkung Eine Maßnahme mit physischer Wirkung lässt sich sowohl durch den Einsatz der in Kapitel (1) thematisierten Cybermittel, als auch den Einsatz herkömmlicher Waffen durchführen. Entsprechend der vorangegangenen Ausführungen ist hierbei jedoch die grundsätzliche Voraussetzung, dass der vordürfen. Siehe dazu, West, Young Fella, if you’re looking for trouble I’ll accommodate you: Deputizing Private Companies for the use of hackback, Syracuse Law Review Vol. 63, 2012, 119 (135 f., 145), der die Ausübung der Hack-Backs durch Private aber auch nur deshalb zur Diskussion stellt, weil die US-Regierung und damit der Staat, als der aus seiner Sicht eigentlich Verpflichtete nur unzureichend handelt; siehe auch Messerschmidt, Hackback: Permitting Retaliatory Hacking by Non-State Actors as Proportionate Countermeasure to Transboundary Cyberharm, Columbia Journal of Transnational Law, Vol. 52, 2013, 275 ff. 12  Forst, Technische Aspekte des völkerrechtskonformen Einsatzes von Schadsoftware in der virtuellen Kriegsführung: Forst/Vugrin/Wessendorff (Hrsg.), Das Zeitalter der Einsatzarmee, 2014, 85 (88 f.). 13  Siehe zur Abwehr von Angriffen unterhalb der armed-attack-Schwelle nur äußerst vage Pirker, Territorial Sovereignty and Integrity and the Challenges of Cyberspace, in: Ziolkowski (Hrsg.), Peacetime Regime for State Activities in Cyberspace, 189 (214).



A. Inhalt und Grenzen der Verteidigung 277

ausgegangene Angriff im Wege des Prinzips der Wirkungsäquivalenz, zumindest was seine mittelbaren Folgen angeht, einem kinetischen Angriff gleichkommt. Weil es auf dem Boden von Kapitel (3) maßgeblich auf das Ziel und die Wirkung im selben ankommt, ist auch das Mittel der Gegenmaßnahme von untergeordneter Relevanz, solange dieses keinem Verbot unterliegt. In der Folge muss es konsequenterweise grundsätzlich zulässig sein, einen Angriff, der ein qualifiziertes Verteidigungsobjekt mit der für den bewaffneten Angriff erforderlichen Intensitätsschwelle trifft, auch mit kinetischen Mitteln zu beantworten.14 a) Konflikt mit Rückverfolgungsproblematik und dem Prinzip der Unterscheidung Bezugnehmend auf die zuvor thematisierte Rückverfolgungsproblematik erscheint es fragwürdig, ob eine Gegenmaßnahme mit physischen Folgen (unabhängig vom Mittel der Durchführung) auch dann durchgeführt werden darf, wenn eine Rückverfolgung zum Ursprung gerade nicht möglich war bzw. sich niemand öffentlich zu dem jeweiligen Angriff bekannt hat und insofern dem geschilderten akzeptanzschaffenden Element der Zurechnung nicht ansatzweise Rechnung getragen werden kann. Denn völlig unabhängig davon, wie progressiv man gegenüber der Bekämpfung von nichtstaatlichen Akteuren eingestellt ist, behält ein Faktum fortlaufende Gültigkeit: Die anvisierten Anlagen befinden sich stets auf dem Territorium eines Staates, völlig unabhängig davon, ob die jeweilige Staatsgewalt über die Tätigkeit in positiver Kenntnis oder fahrlässiger Unkenntnis ist. Die Rückverfolgbarkeit steht wiederum im engen Kontakt mit dem Prinzip der Unterscheidung, mit dem im Rahmen der Ausführung der Abwehrmaßnahme ein Konflikt droht.15 Dieses Prinzip postuliert nämlich die grundsätzliche Differenzierung zwischen militärischen und nichtmilitärischen Zielen, aus der die Illegitimität solcher Mittel abgeleitet wird, die zwischen militärischen und nichtmilitärischen Zielen nicht unterscheiden (können).16 Das 14  siehe allerdings Pirker, der ohne nähere Begründung statuiert, dass „countermeasures“ nicht die Gewaltschwelle erreichen dürften. 15  Siehe hierzu bereits die St. Petersburg Declaration von 1868, wo es heißt: „(…) the only legitimate object which States should endeavour to accomplish during war is to weaken the military forces of the enemy“; siehe zudem auch Art. 48, 51 u. 52 ZP I sowie das IGH, Gutachten v. 8.7.1996, Legalty of the Threat or Use of Nuclear Weapons, ICJ Rep. 1996, Rn. 78, 92 und insb. 95; Vgl. dazu auch Forst, 85 (88 f.), der aber keinen direkten Zusammenhang mit der Rückverfolgbarkeit herstellt; Melzer, Cyberwarfare and International Law, 2011, S. 30. 16  Ausführlich dazu, wenn auch im Lichte von Drohnen Arendt, Der Einsatz autonomer Waffensysteme im Lichte des Verhältnismäßigkeits- und des Unterschei-

278

Kap. 4: Inhalt und Ablauf der Verteidigung

Prinzip findet grundsätzlich auch im Cyberraum Anwendung,17 obgleich es hier ungleich schwereren Herausforderungen institutioneller Natur ausgesetzt ist. So handelt es sich bei weiten Teilen der globalen Infrastruktur des Cyberund Informationsraums und sog. Dual-Use-Objekte, die entweder bereits militärisch genutzt werden oder aber einer militärischen Verwendung zugeführt werden können, etwa im Rahmen eines bewaffneten Konflikts.18 Vorliegend ist das Prinzip der Unterscheidbarkeit speziell deshalb von Relevanz, weil die generelle Klassifizierung eines Ziels und konkret die Einordnung eines solchen als militärisch, denklogisch eine geglückte Rückverfolgung voraussetzt. Kurz: Die Bewertung eines potentiellen Ziels als tauglich oder untauglich steht unter der aufschiebenden Bedingung der omnipräsenten Rückverfolgung, also der Identifikation des Ziels. Dies ist im Rahmen der vielfachen Umleitung eines Angriffs, wie angeführt, wenn überhaupt nur mit Blick auf den letzten Intermediär möglich. In der Literatur wird dies zwar erkannt, jedoch mit bloßem Verweis auf Art. 2 Buchst. a) des nicht bindenden Artikelentwurfs über die Verantwortlichkeit von Staaten für völkerrechtswidriges Handeln19 zu pauschal behandelt.20 Nur weil der Urheber nicht identifizierbar ist, bedeutet dies im Einklang mit den vorherigen Ausführungen21 nämlich nicht, dass sich der potentiell mehr- bzw. vielaktige Angriff nicht iterativ zurückverfolgen lässt. Das kann er bisweilen sehr wohl, sodass jedenfalls gegen den letzten Intermediär vorgegangen werden darf, die Frage ist nur auf welche Weise genau.

dungsgrundsatzes, in: Frau (Hrsg.), Drohnen und das Recht, 19 (23 ff.); Forst, aaO; Tallinn-Manual, Rule 61, S. 95 ff. 17  Vgl. Tallinn-Manual, aaO; Arendt, aaO. 18  Geiß, ZöR 2018, 39 (53, 54 f.), der auch darauf hinweist, dass die relevanten Datenpakete nicht an einen Kommunikationskanal oder Knotenpunkt gebunden sind, sondern über andere Kanäle an ihr bestimmtes Ziel geleitet werden, sodass die Zerstörung einzelner Kanäle nicht notwendigerweise zielführend ist, womit er in der Konsequenz Teilen der Cyber-Infrastruktur die Tauglichkeit als militärisches Ziel abspricht; dagegen spricht das Tallin Manual 2.0 von der theoretischen Möglichkeit, das gesamte Internet als Angriffsziel zu qualifizieren (S. 446); Forst, 85 (89). 19  verabschiedet von der International Law Commission (ILC) auf ihrer 53. Sitzung und am 12.12.2001 von der UN-Generalversammlung zur Kenntnis genommen (Dok. A/RES/56/83). 20  Vgl. Schmitt, Cyber Activities and the Law of Countermeasures, in: Ziolkowski (Hrsg.), Peacetime Regime for State Activities in Cyberspace, 659 (668); vgl. auch Gill, Non-Intervention in The Cyber Context: Ziolkowski (Hrsg.), Peacetime Regime for State Activities in Cyberspace. International Law, International Relations and Diplomacy, 217 (227, 237 f.). 21  Verweis auf S. 164.



A. Inhalt und Grenzen der Verteidigung 279

b) Praktische Konkordanz mit dem staatlichen Sicherheitsinteresse Das Bedürfnis nach Sicherheit ist eng mit dem staatlichen Gewaltmonopol verbunden. Dieses hat im Cyberraum aus verschiedenen Gründen seine Unantastbarkeit verloren, was an gegebenen Stellen bereits Gegenstand der Bearbeitung war. Man denke nur an die im Grundsatz und im Vergleich zu traditionellen militärischen Operationen finanz- und ressourcenärmere Durchführung von Computernetzwerkoperationen.22 In diesem Zusammenhang steht das staatliche Gewaltmonopol insbesondere dann unter Druck, wenn die Monopolisierung der Gegenwehr infrage gestellt ist.23 Dies kann auf zwei Arten geschehen: Einmal dadurch, dass der Staat technisch-qualitativ nicht oder nicht hinreichend in der Lage ist, zu handeln. Daneben dann, wenn er Untätigkeit walten lässt, wo Handeln geboten ist. Im Zuge der angeführten Faktoren ist eine Verlagerung der Gegenwehr in den privaten Sektor denkbar. Aufgrund dessen sind das staatliche Sicherheitsinteresse mit den thematisierten Postulaten der schwierigen Unterscheidung als Resultat der mangelnden Rückverfolgbarkeit in Ausgleich zu bringen. Um einen solchen handelte es sich nicht, wenn eine Gegenreaktion pauschal versagt würde. Im Übrigen wäre dies nicht nur generell realitätsfern, sondern insbesondere auch gerade dann unrealistisch, wenn jedenfalls der letzte Anknüpfungspunkt eines (andauernden) Angriffs bekannt ist.24 Auch lässt sich die Frage des grundsätzlichen „Ob“ einer Verteidigungsmaßnahme mit einem Erst-Recht-Schluss bejahen. So besteht weitgehend Einigkeit darüber, dass Gegenmaßnahmen im Zuge einer Einwirkung unterhalb der Schwelle des bewaffneten Angriffs nicht grundsätzlich unzulässig sind.25 Dies muss dann erst recht gelten, wenn der Angriff in punkto Intensität ein Ausmaß erreicht, das in Ansehung der grundsätzlichen Reziprozität von Angriffs- und Verteidigungsmaßnahme eine kinetische Gegenmaßnahme legitimiert. 22  Verweis

auf S. 67, 89. hierzu Schmitt, Cyber Activities and the Law of Countermeasures, 659 (689); siehe dazu auch mit Bezug auf den Hack-Back durch Private Messerschmidt und West, aaO. 24  Vgl. dazu auch Tallinn-Manual, Rule 15, Rn. 6, in dem das Sicherheitsinteresse des Staates u. a. der Angemessenheit der Gegenmaßnahme gegenübergestellt wird; siehe allgemein zur Verhältnismäßigkeit im Kontext von Informationsoperationen auch Stein, 1 (13). 25  Vgl. Messerschmidt, 275 ff., der auf S. 278 f. statuiert, dass es sich bei länder­ übergreifenden Angriffen unterhalb der Gewaltschwelle um sog. „transboundary ­Cyberharm“ handele, der sich erwehrt werden dürfte, der gleichwohl aber ein wenig zu optimistisch an die Zurechenbarkeit herangeht bzw. die diesbezüglich bestehende Problematik nicht hinreichend würdigt (279). 23  explizit

280

Kap. 4: Inhalt und Ablauf der Verteidigung

Insgesamt ist daher zu konstatieren, dass eine Gegenwehr mit physischletaler Wirkung nicht per se auszuschließen ist. Sie ist jedoch eng an die Rückverfolgbarkeit zu knüpfen. Damit lässt sich zum Ausgleich des Sicherheitsinteresses auf der einen und des Unterscheidungsprinzips auf der anderen Seite folgende Formel aufstellen: Je belastbarer die Rückverfolgung zum Ursprung des Angriffs glückt, desto wirkungsvoller kann diesem begegnet werden (stets gedeckelt von der Wirkung, die der Angriff beim Verteidiger erzielt hat). Umgekehrt: Je begrenzter die Rückverfolgung gelingt, desto weniger sind Maßnahmen zulässig, die entsprechend dem Wirkungsäquivalenz-Prinzip einen physischen Schaden hervorrufen (das gilt zuvörderst für den analog-kinetischen Angriff). Vielmehr ist eine Beschränkung auf rein systemintern wirkende Gegenmaßnahmen angezeigt. Damit unterliegt das Maß der Gegenwehr dem technischen Fortschritt zur Rückverfolgung. Der hier vorgeschlagene Ausgleich nimmt für sich in Anspruch, ein gangbares Mittel zu sein, das staatliche Sicherheitsinteresse auf der einen und das Bedürfnis an Unterscheidbarkeit auf der anderen Seite eingedenk der Rückverfolgungsproblematik in einen praktischen Ausgleich zu bringen. 2. Sonstige Maßnahmen und Grenzen derselben a) Das Gebot der Verhältnismäßigkeit Im Hinblick auf sonstige Gegenmaßnahmen, d. h. solche, die nach dem Wirkungsäquivalenz-Prinzip nicht einem herkömmlichen Schlag vergleichbar sind, verbleibt, über die vorangegangenen Ausführungen hinaus, auf das Gebot der Verhältnismäßigkeit hinzuweisen. Dieses aus Art. 20 GG abgeleitete Prinzip ist Richtschnur jeglichen staatlichen Handelns und beansprucht daher auch im Verteidigungssektor Geltung.26 So lässt sich die Verhältnismäßigkeit dergestalt konkretisieren, dass im Bereich außerhalb der physisch-letalen Wirkung im Wege der direkten Beeinflussung danach differenziert wird, ob Potential zur (dann mittelbaren) physischen Zerstörung besteht (sog. sekundäre Effekte) oder aber weder direkte noch indirekte physische Auswirkungen zu erwarten sind, sich die Gegenmaßnahme also rein virtuell niederschlägt (implizite Effekte).27 Gleichwohl wird das Gebot der Verhältnismä26  Kapaun, Völkerrechtliche Bewertung gezielter Tötungen nicht-staatlicher Akteure, S. 134; Schultz, S. 230, 288; vgl. in diesem Zusammenhang auch Stein, 1 (13), der das Prinzip insofern konkretisiert, dass der Einsatz konventioneller militärischer Gewalt wohl nur verhältnismäßig sei, wenn der vorausgegangene Informationsangriff erhebliche physische Folgeschäden zeitigte oder mit an Sicherheit grenzender Wahrscheinlichkeit einem unmittelbar bevorstehenden konventionellen Angriff den Weg ebnen solle. 27  Vgl. hierzu Forst, (S. 90) und Fanelli/Conti, A Methodology for Cyber Operations Targeting and Control of Collateral Damage in the Context of Lawful Armed



A. Inhalt und Grenzen der Verteidigung 281

ßigkeit stark vom Unterscheidungsprinzip dominiert mit der Folge, dass es in diesem nahezu aufgeht bzw. seine Kategorien Eignung, Erforderlichkeit und Angemessenheit ohne Einbezug desselben kaum zu konkretisieren sind. b) Herausforderungen an das Unterscheidungsprinzip Über die vorangegangenen Äußerungen hinaus ist konkret mit Blick auf die Auswahl der Gegenmaßnahmen erneut auf das Unterscheidungsprinzip einzugehen. Zwar ist dieser Grundsatz nicht unwesentlich vordeterminiert, wenn Opfer und Täter, Zivilisten oder Militärs, bisweilen unabdingbar, dieselbe Cyberinfrastruktur nutzen. Gleichwohl bedürfen insbesondere sich selbstverbreitende Schadprogrammen im Lichte des Unterscheidungsprinzips der vertieften Auseinandersetzung. Deren Völkerrechtskonformität wird mit dem Argument in Zweifel gezogen, diese seien analog der Verwendung biologischer und chemischer Waffen zu behandeln und damit ohnehin verboten.28 Dies mag im Hinblick auf die unkontrollierte Verbreitung zwar zutreffen, geht mit Blick auf die nicht unmittelbare Letalität eines Schadprogramms aber fehl.29 Letzteres ist aber ein wesentliches Kriterium im Rahmen der Maßstäbe, die man an die Unterscheidbarkeit anlegt und damit im Rahmen der Bewertung derselben von erheblicher Relevanz. Insofern lässt sich der Maßstab aufstellen: Je weniger physische Schadenswirkung mit einer Gegenmaßnahme einhergeht, desto geringere Anforderungen sind an die Unterscheidung zu stellen. Mit Blick auf den Einsatz von Schadprogrammen könnte sich, die technische Machbarkeit unterstellt, überdies solcher Mittel bedient werden, die lediglich temporäre Effekte hervorrufen, wie den Absturz eines Servers.30 Dieser könnte ohne bleibende Schäden davonzutragen wieder in den Ausgangszustand versetzt werden. Ferner besteht die Möglichkeit, Schadsoftware programmiertechnisch dergestalt zu beschränken, dass nach Zeitablauf eine Deaktivierung des Schadcodes erfolgt.31 Gepaart mit lediglich temporären Beeinträchtigungen ist der Schadcode-Entwickler auf diese Weise in die Conflict, in: Czosseck/Ottis/Ziolkowski (Hrsg.), 4th International Conference on ­Cyber Conflict, 2012, 319 (326), die hiernach im Rahmen der Verhältnismäßigkeit differenzieren. 28  Dazu Forst, 85 (88); siehe in diesem Zusammenhang das Chemiewaffenübereinkommen (CWÜ) der VN, in Kraft seit dem 29.4.1997 sowie die Biowaffenkonvention, in Kraft seit dem 26.3.1975. 29  So auch Rowe, The Ethics of Cyber War Attacks, in: Colarik/Janczewski, C ­ yber War and Terrorism, S. 105 ff. 30  Forst, 85 (91). 31  Fanelli/Conti, aaO.

282

Kap. 4: Inhalt und Ablauf der Verteidigung

Lage versetzt, unnötige Verbreitungswege auszuschließen, ohne gleichzeitig die Zugriffsmöglichkeit auf das Zielsystem einzuschränken.32 Insgesamt kann die Unterscheidung von Schadsoftware in der Theorie also grundsätzlich gewährleistet werden. Unabhängig davon gilt aber, dass die Eigenschaft der eigenständigen Verbreitung mit der latenten Gefahr einhergeht, nicht intendierte Systeme zu befallen. Insofern ist einerseits das im Rahmen der Rückverfolgbarkeit Mögliche zu tun, was in erster Linie mit einer umfangreichen Infiltration des potentiellen Zielsystems einhergeht. Ferner gilt der Grundsatz: Je spezifischer die im Zielsystem eingesetzte Payload konzipiert ist, desto geringer ist die Chance einer Breitenwirkung, weil es schlicht an der abstrakt-generellen Infektiosität der eingesetzten Payload mangelt.33 Die Möglichkeit der eigenständigen Verbreitung indiziert damit ein Stück weit die Unterschiedslosigkeit des Mittels.34 c) Verbot des Angriffskrieges Eine grundgesetzlich ausdrücklich normierte Grenze stellt Art. 26 GG dar. Dieser erklärt in Abs. 1 solche Handlungen, die geeignet sind und in der Absicht vorgenommen werden, das friedliche Zusammenleben der Völker zu stören, insbesondere die Führung eines Angriffskrieges vorzubereiten, für verfassungswidrig. Auffallend ist gerade im Vergleich zu anderen grundgesetzlichen Bestimmungen, dass das Grundgesetz ein tatbestandliche Verhalten hier selbst für verfassungswidrig erklärt. Neben der Begrifflichkeit als solches, kommt hierdurch ein besonders starkes Unwerturteil zum Ausdruck.35 Die Frage, welches Verhalten geeignet ist, den Verbotstatbestand des Art. 26 GG auszulösen ist, obwohl es sich um eine Verfassungsnorm handelt, wegen des völkerrechtlichen Bezugspunktes, maßgeblich aus völkerrechtlicher Sicht zu beantworten.36 Nicht ganz unbeachtlich ist indes, was der his32  Forst, 85 (99); siehe auch Guarino, Autonomous Intelligent Agents in Cyber Offence, in: Podins/Stinissen/Maybaum (Hrsg.), 5th International Conference on Cyber Conflict, 2013, 377 ff., der die Fehlerquote beim Einsatz von künstlicher Intelligenz für senkbar hält; a. A., Gauseweg, Computerwürmer und Cyberwarfare – Moderne Herausforderungen an das humanitäre Völkerrecht, in: Forster/Vugrin/Wessendorff (Hrsg.), Das Zeitalter der Einsatzarmee, 69 (84). 33  Gauseweg, 69 (78  f.), der diesen Grundsatz aber insofern relativiert, als er darauf hinweist, dass selbst hochspezialisierte Waffensysteme zuweilen mit herkömmlichen Systemen für Verbraucher betrieben werden. 34  Gausweg, 69 (84). 35  Siehe Parlamentarischer Rat, Hauptausschuss, 29. Sitzung v. 5.1.1949, Sten. Protokoll, S. 347 ff. (insb. Äußerung des Abg. Schmid); siehe hierzu auch Stern, Das Staatsrecht der Bundesrepublik Deutschland, Bd. I, S. 509 f. 36  BVerwGE 139, 272 (293) und 127, 302 (314); so auch Herdegen, in: Maunz/ Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 05/2015, Art. 26 Rn. 4.



A. Inhalt und Grenzen der Verteidigung 283

torische Gesetzgeber mit der Normierung des Verbots verfolgte. Verboten werden sollte nämlich nicht jegliches Druckmittel, sondern nur solches Verhalten, dass dem Interesse zuwiderläuft, das Gebiet der Bundesrepublik Deutschland wiederum zum Ausgangspunkt eines bewaffneten Konflikts werden zu lassen.37 Zweifelhaft ist aber – gerade mit Blick auf die Schwere der Störung – welche völkerrechtliche Begrifflichkeit geeignet ist, die Zielrichtung einer nach Art. 26 GG verbotenen Handlung zu konkretisieren. Der Formulierung „insbesondere“ lässt sich zudem entnehmen, dass der Angriffskrieg als Beispiel und damit als Unterfall des ebenfalls tatbestandlich erwähnten friedlichen Zusammenlebens der Völker verstanden wird, was in Gänze wiederum darauf hindeutet, dass sich am geschriebenen Völkerrecht zu orientieren ist.38 Da dieses sowohl im Grundsatz als auch in seiner Anwendbarkeit auf den Cyberraum bereits Gegenstand der Bearbeitung war, kann insofern auf die entsprechenden Passagen verwiesen werden.39 Festhalten lässt sich, dass der Angriffskrieg auch im digitalen Raum möglich ist und durch das Grundgesetz gleichermaßen geächtet wird.

37  Vgl. Stern, Das Staatsrecht der Bundesrepublik Deutschland, Bd. I, § 14 IV 6 der davon spricht, dass es um die Verhinderung völkerrechtswidriger Gewalt ging und nicht um Friedlichkeit im Sinne der Vermeidung jeglichen Streits. 38  Das hat zur Konsequenz, dass eine Reihe von Normen des geschriebenen Völkerrechts, namentlich der UN-Charta, in Betracht kommen, das verbotene Handeln zu konkretisieren. Neben dem Verbot der Gewaltanwendung aus Art. 2 Abs. 4 und der in Kapitel 7 niedergelegten „armed-attack“ (Art. 51 UNC) und dem „act of aggression“ (Art. 39 UNC) kommen nämlich auch die Grundsätze des Selbstbestimmungsrechts der Völker aus Art. 1 Ziff. 2 UN-Charta, des Menschenrechtsschutzes aus Art. 1 Ziff. 3, der Souveränität der Staaten aus Art. 2 Ziff. 1 sowie des Einmischungsverbots aus Art. 2 Ziff. 7 in Betracht. Wegen der Ähnlichkeit der Begrifflichkeiten „Angriffskrieg“ und „Angriffshandlung“ aus Art. 39 UNC liegt eine Näherung über Art. 39 UN-Charta nahe. Der Vorteil hierbei besteht zudem darin, dass die (unverbindliche) Definition für die völkerrechtlich relevante Aggression herangezogen werden kann. Nach Art. 1 ebendieser handelt es sich um eine Aggression, wenn der Gebrauch von bewaffneter Gewalt durch einen Staat gegen die Souveränität, territoriale Integrität oder politische Unabhängigkeit eines anderen Staates gerichtet ist, oder in jedweder anderen Weise, die nicht mit der Charta der Vereinten Nationen übereinstimmt (UNRes. 3314 (XXIX)), insgesamt zur Abgrenzung siehe Gusy, Selbstbestimmung im Wandel, AVR 1992, 385 ff., Murswiek, Die Problematik eines Rechts auf Sezession – neu betrachtet, AVR 1993, 307 ff. sowie Hartwig, in: Umbach/Clement, Das Grundgesetz, Kommentar, Art. 26 Rn. 14. 39  Verweis auf S. 240 ff.

284

Kap. 4: Inhalt und Ablauf der Verteidigung

B. Die Streitkräfte im digitalen Raum im Lichte des Parlamentsvorbehalts Gegenstand der folgenden Ausführungen ist der für den Einsatz der Streitkräfte im Ausland existierende Parlamentsvorbehalt. Dieser stellt nicht nur bezogen auf die Sicherheitsbehörden, sondern auch ganz grundsätzlich eine Besonderheit dar, als er sich ganz wesentlich auf das hier relevante Verhältnis der Legislative und Exekutive zueinander auswirkt.

I. Einführung und Abgrenzung Mit dem in diesem Zusammenhang relevanten Einsatzbegriff wurde sich bereits im Rahmen der verschiedenen Verwendungsmöglichkeiten der Streitkräfte in Kapitel (2) auseinandergesetzt. Dabei wurde darauf aufmerksam gemacht, dass zwischen dem, die inländische Verwendung der Streitkräfte betreffenden Einsatzbegriff, der maßgeblich zur Begrenzung inländischen Tätigwerdens herhält40 und dem, die ausländische Verwendung betreffenden Begriff, zu unterschieden ist. Nur der letzte ist vorliegend relevant. Zwar ergibt sich dieser Parlamentsvorbehalt laut dem BVerfG aus dem Grundgesetz selbst.41 Das Grundgesetz spezifiziert ihn jedoch nicht, was auch das BVerfG erkannte und dem Gesetzgeber eine entsprechende Regelung anheimstellte.42 Daher wird sich im Rahmen der folgenden Ausführungen auf die jeweiligen Normen im Parlamentsbeteiligungsgesetz bezogen. Diese sind im Wesentlichen deckungsgleich mit den Vorgaben, die das BVerfG aus dem Grundgesetz ableitet und in seinem Streitkräfteurteil benennt. Aus Klarstellungsgründen ist ferner darauf hinzuweisen, dass der hier gegenständliche Parlamentsvorbehalt nichts zu tun hat, mit der Zustimmungspflicht des Bundestages (und des Bundesrates) zur Begründung des Verteidigungsfalls nach Art. 115a GG, worauf auch das ParlBG in § 1 Abs. 1 S. 2 hinweist.43

40  in diesem Zusammenhang wurde auf das eingriffsrechtliche Element auf der einen und das föderale Element auf der anderen Seite eingegangen. 41  So explizit BVerfGE 90, 286 (390). 42  BVerfGE aaO; siehe auch BVerfGE 121, 135 (135, 164). 43  Siehe hierzu die Einordnung des Art. 115a GG in den Kontext der Notstandsverfassung, Verweis auf S. 39.



B. Die Streitkräfte im digitalen Raum im Lichte des Parlamentsvorbehalts 285

II. Grundsätzliche Maßgaben nach dem ParlBG 1. Territorialer Maßstab Nach dem ParlBG erfordert jeder Einsatz „bewaffneter deutscher Streitkräfte außerhalb des Geltungsbereichs des Grundgesetzes“ die Zustimmung des Bundestages (§ 1 Abs. 2 ParlBG). Das Gesetz setzt den Auslandseinsatz mit der Verwendung der Streitkräfte außerhalb des Geltungsbereichs des Grundgesetzes gleich, wie sich aus einer Gesamtbetrachtung von § 1 Abs. 1 und 2 ParlBG ergibt. Diese Aussage lässt sich vor dem Hintergrund in Zweifel ziehen, dass mehrheitlich anerkannt ist, dass die deutsche Staatsgewalt an das Grundgesetz gebunden ist, unabhängig davon, wo sie territorial tätig ist.44 Vor diesem Hintergrund kann die Aussage des § 1 Abs. 2 ParlBG nur so zu verstehen sein, dass dieser den Geltungsbereich des Grundgesetztes nicht personal, sondern rein territorial auffasst, folglich auch die Zustimmungspflicht einen rein territorialen Bezugspunkt hat und immer dann ausgelöst wird, wenn der Einsatz nicht im Inland stattfindet.45 2. Weniger Bewaffnung als Zweck des Einsatzes entscheidend Das gesetzgeberische Leitbild für eine Zustimmungspflicht ist die Beteiligung der Streitkräfte an „bewaffneten Unternehmungen“, wie sich aus § 2 Abs. 1 ParlBG ergibt. Die Maßstäbe, die an eine bewaffnete Unternehmung gestellt werden sind vergleichsweise niedrig, wenn man einmal berücksichtigt, dass weder die Bewaffnung als solches noch der tatsächliche Einsatz von bewaffneter Gewalt ausschlaggebend für die Zustimmungspflicht ist. Dies ergibt sich für die Bewaffnung bereits aus dem Gesetz selbst. So eröffnet § 4 ParlBG die Möglichkeit eines vereinfachten Zustimmungsverfahrens, das unter anderem dann tatbestandlich ist, wenn es sich um einen Einsatz „geringer Intensität“ handelt (§ 4 Abs. 1 ParlBG). Diese liegt nach Abs. 3 mitunter dann vor, wenn im Rahmen einer Erkundung Waffen ausschließlich zum Zwecke der Selbstverteidigung geführt werden. Ist dies der 44  Epping, in: Epping/Hillgruber (Hrsg.), Beck’scher Online-Kommentar Grundgesetz, 36. Ed. 2018, Art. 87a Rn. 36; Herdegen, in: Maunz/Dürig (Hrsg.), Grundgesetz, Kommentar, Stand: 44 EL Februar 2005, Art. 1 Rn. 71; Zimmermann, Grundrechteingriffe durch deutsche Streitkräfte im Ausland und das Grundgesetz, ZRP 2012, 116 (119). 45  so im Ergebnis auch Gauseweg, Der konstitutive Parlamentsvorbehalt beim Einsatz bewaffneter Drohnen, in: Frau (Hrsg.), Drohnen und das Recht, 177 (181), der nachvollziehbar darauf hinweist, dass auch solche Räume erfasst werden, die frei von territorialen Machtansprüchen anderer Staaten sind, für die er internationale Gewässer und den Weltraum anführt.

286

Kap. 4: Inhalt und Ablauf der Verteidigung

Fall, bedarf es nur dann der Befassung des Bundestages, wenn dies verlangt wird (§ 4 Abs. 1 S. 3 und 4 ParlBG).46 Entscheidend ist also nicht die Bewaffnung als solche, sondern der Zweck der Bewaffnung. Dass es daneben auch nicht darauf ankommt, dass der Einsatz militärischer Gewalt als sicher anzunehmen ist, hat das BVerfG in seiner AWACS-Entscheidung klargestellt. Entscheidend ist vielmehr, welche „Rolle“ den Streitkräften zufällt bzw. zufallen könnte, mithin ob sie potentiell in einen bewaffneten Konflikt verwickelt sein könnten.47 Insofern lässt sich einerseits schlussfolgern, dass insbesondere das bundesverfassungsgerichtliche Verständnis einer bewaffneten Unternehmung vergleichsweise extensiv ist. Ferner – und das ist für die sich anschließende Frage der Kompatibilität des Parlamentsvorbehalts im digitalen Raum erheblich – wird die Bewaffnung nicht isoliert betrachtet, sondern immer im Kontext ihres jeweiligen Verwendungsbezugs. Insofern verdeutlicht sich bereits an dieser Stelle, dass sich beim Einsatz von Computernetzwerkoperationen nicht mit dem Argument vom Parlamentsvorbehalt freizeichnen lässt, im Rahmen der jeweiligen Operation seien keine Waffen im herkömmlichen Sinne beteiligt, solange das Gesamtgepräge des zur Verteidigung erfolgenden Einsatzes konfrontativer Natur ist. Unabhängig davon, ob eine Cyberwaffe nun eine Bewaffnung im Verständnis des Gesetzes ist, ist der Einsatz einer herkömmlichen Waffe zudem wahrscheinlicher geworden, wenn es erstmal zu einem (wenn auch nur vorgelagerten) Einsatz von Cyberwaffen gekommen ist. Dieses Potential reicht auf dem Boden der AWACS-Entscheidung aber bereits aus, um den Vorbehalt auszulösen. 3. Grundsatz der vorherigen Zustimmung Grundsätzlich ist die vorherige Zustimmung und damit die Einwilligung des Bundestages einzuholen, wie sich aus einem Umkehrschluss der Ausnahme hiervon aus § 5 Abs. 1 ParlBG ergibt. Dieser bestimmt, dass sich bei Gefahr im Verzug, die grundsätzliche vorherige Zustimmungspflicht auf eine Pflicht zur Unterrichtung verkürzt wird und die Zustimmung unverzüglich nachzuholen ist (§ 5 Abs. 3 ParlBG).

46  Ansonsten genügt jedoch die Unterrichtung der Fraktionsvorsitzenden und der Vorsitzenden der Ausschüsse Auswärtiges und Verteidigung sowie der Obleute der jeweils vertretenen Fraktionen. 47  BVerfGE 121, 135 (172 f.). Allerdings ist zu berücksichtigen, dass dem konkreten Bezugspunkt in der Entscheidung eine potentielle Bündnisverpflichtung zugrunde liegt, die vorliegend nicht Gegenstand der Betrachtung ist, was eine extensivere Sichtweise jedoch nicht nahelegt; Gauseweg, 177 (182).



B. Die Streitkräfte im digitalen Raum im Lichte des Parlamentsvorbehalts 287

III. Anwendbarkeit und Zweckmäßigkeit des Parlamentsvorbehalts im digitalen Raum Das bundesverfassungsgerichtliche bzw. gesetzgeberische Leitbild war ohne Frage der Einsatz mit kinetischen Waffen. Das lässt sich neben den Ausführungen zur Intensität in § 4 ParlBG schlicht dem Umstand entnehmen, dass zum Zeitpunkt des, das ParlBG initiierenden, Streitkräfteurteils die militärische Auseinandersetzung im Cyberraum noch nicht hinreichend präsent war und damit denklogisch nicht in die ratio legis aufgenommen werden konnte. Hierfür sprechen auch die Ausführungen des BVerfG zur Begründung des Vorbehalts, in der es auf die „deutsche Verfassungstradition [seit 1918]“ dergestalt rekurriert, „dass bei Kriegserklärungen und Friedenschlüssen die Legislative (…), nicht mehr bloß als zustimmender Teil sondern als Herr des Geschäfts erscheint“.48 Vor diesem Hintergrund ist nun zu prüfen, ob sich die Maßgaben des Parlamentsvorbehalts im Cyberraum gleichsam anwenden lassen, bzw. wenn nicht, de lege ferenda zu betrachten, ob sie änderungsbedürftig sind, was wiederum abhängig ist vom Zweck des Parlamentsvorbehalts. 1. Anwendbarkeit a) Maßstab: Ort der militärischen Erfolgsverwirklichung Festhalten lässt sich im Lichte der Ausführungen in Kapitel (1), dass die globale Cyber-Infrastruktur physisch-real in Staaten rückgekoppelt ist, sich Aus- und Inland also durchaus unterscheiden lassen.49 Angesichts der Tatsache, dass sich die mit der jeweiligen Computernetzwerkoperation betrauten Soldaten nicht im Ausland, sondern im Inland bzw. im Geltungsbereich des Grundgesetzes aufhalten, stellt sich jedoch die Frage, ob es auf die personelle oder materielle (physische) Präsenz im Ausland ankommt. Im Lichte der vorzitierten AWACS-Entscheidung könnte sich für diejenigen Fälle, in denen die Durchführung einer Computernetzwerkoperation nur ein (wesentlicher) Bestandteil einer – auch personell im Ausland präsenten – militärischen Operation darstellt, auf den Standpunkt zurückgezogen werden, dass es auf das Gesamtgepräge ankomme und damit der Auslandsbezug besteht. Für den Fall der ausschließlichen Durchführung einer Computernetzwerkoperation ist dies jedoch ungleich schwerer zu bewerten.

48  BVerfGE 49  Verweis

90, 286 (383). auf S. 34 ff.

288

Kap. 4: Inhalt und Ablauf der Verteidigung

Eine ähnliche Diskussion wurde in der Literatur bereits im Rahmen des Einsatzes bewaffneter Drohnen geführt,50 bei denen sich der Bediener während des Einsatzes auch im Inland befindet bzw. befinden kann.51 Dort wird die Sichtweise vertreten, dass es bei der Bewertung nicht darauf ankomme, wo die Handlung vorgenommen wird, sondern wo sie ihre Wirkung entfaltet und sich der Erfolg verwirklicht.52 Hierfür wird mit dem Schutzzweck des Parlamentsvorbehalts argumentiert. So bestehe der Zweck für die vergleichsweise ungewöhnliche bundestagliche Absicherung einer vorangegangenen Exekutiventscheidung über den Einsatz der Streitkräfte gerade darin, die auswärtigen Beziehungen der Bundesrepublik Deutschland in einem besonderen Maße zu schützen.53 Für diese kommt es denklogisch doch gerade darauf an, welche Wirkung eine Handlung im Ausland erzielt mit der Folge, dass sich dieser Ansatz generalisieren lässt und damit auch auf den hier gegenständlichen Bereich übertragen lässt. b) Unbeachtlichkeit des konkreten Einsatzmittels Die vorgenannte Erkenntnis, wonach der Ort der Erfolgsverwirklichung im Zentrum steht, wirkt sich dergestalt auf das jeweilige Einsatzmittel aus, als es auf die Beschaffenheit desselben im Zuge dieser Erkenntnis konsequenterweise auch nicht ankommen kann. Neben den Ausführungen zum Einsatzweck ist dies damit ein weiterer Beleg dafür, dass es sekundär, wenn nicht gar unbeachtlich ist, ein konkretes Verständnis von Bewaffnung zu entwickeln bzw. die Frage zu erörtern, ob diese gegebenenfalls auf militärisches Großgerät traditioneller Art beschränkt ist.54 Wegen des Schutzes der auswärtigen Beziehungen als die maßgebliche ratio legis des Parlamentsvorbehalts, kommt es entscheidend darauf an, welche Wirkung das jeweilige Einsatzmittel außerhalb des territorialen Geltungsraums des Grundgesetzes er50  Siehe dazu Frau, Drohnen und deutsches Recht, in: Forst/Vugrin/Wessendorff (Hrsg.), Das Zeitalter der Einsatzarmee, 26 ff.; Gauseweg, 177 (186 ff.). 51  Es ist darauf hinzuweisen, dass jene Diskussion in der Bundesrepublik Deutschland derzeit in doppelter Hinsicht rein akademischer Natur ist: So verfügt die Bundeswehr gegenwärtig weder über bewaffnete Drohnen, noch werden die verfügbaren Drohnen aus dem Inland gesteuert. Der zwischen CDU/CSU und SPD geschlossene Koalitionsvertrag macht eine zukünftige Beschaffung von bewaffneten Drohnen davon abhängig, dass zunächst die „konzeptionellen Grundlagen für deren Einsatz“ geschaffen werden (S. 159). 52  So bezogen auf den Einsatz bewaffneter Drohnen auch Gauseweg, 177 (189); Frau, Drohnen und deutsches Recht: Forst/Vugrin/Wessendorff (Hrsg.), Das Zeitalter der Einsatzarmee, 26 (31). 53  Vgl. BVerfGE 90, 384 f.; Frau, 26 (32); Gauseweg, aaO. 54  Vgl. Gauseweg, 177 (182).



B. Die Streitkräfte im digitalen Raum im Lichte des Parlamentsvorbehalts 289

zielt. Damit lässt sich der Parlamentsvorbehalt insgesamt sehr wohl auf den digitalen Raum erstrecken. 2. Zweckdienlichkeit Die grundsätzliche Anwendbarkeit vermag noch keine Aussage darüber zu treffen, ob der Parlamentsvorbehalt in seiner derzeitigen Fassung auch zweckmäßig ist. In diesem Zusammenhang ist nicht nur der Zweck gemeint, der dem Vorbehalt zugrunde liegt, sondern auch der Zweck, den die Ausübung des Verteidigungsrechts zum Gegenstand hat. Beide setzte das BVerfG mit folgenden Worten in Bezug zueinander: „Die verfassungsrechtlich gebotene Mitwirkung des Bundestages bei konkreten Entscheidungen über den Einsatz bewaffneter Streitkräfte darf die militärische Wehrfähigkeit (…) der Bundesrepublik Deutschland nicht beeinträchtigen.“55 Die Beantwortung der Frage, ob die Wehrfähigkeit nicht beeinträchtigt, mit anderen Worten, ob sie gewährleistet ist, hängt dabei von Faktoren rechtlicher und tatsächlicher Natur ab. a) Einsatzbeginn In rechtlicher Hinsicht bedarf es in diesem Zusammenhang zunächst der Auseinandersetzung darüber, zu welchem Zeitpunkt der Einsatz beginnt. Da der Parlamentsvorbehalt seinem Wortlaut und dem zuvor erörterten Verständnis zufolge klar auf das Ausland bzw. den Einsatz außerhalb des Geltungsbereichs des Grundgesetzes rekurriert, ließe sich argumentieren, dass, solange dies nicht der Fall ist, d. h. sich im Inland und damit innerhalb der grundgesetzlichen Grenzen (nach vorherig behandeltem Verständnis) bewegt wird, ein Tätigwerden nicht unter dem Vorbehalt parlamentarischer Zustimmung steht. Im Zuge der Rückverfolgungsproblematik ist insofern zu erwägen, dass es maßgeblich auf den letztmöglich rückverfolgbaren Anknüpfungspunkt ankommt. Ist dieser bzw. seine Serverstruktur im Inland verortet, besteht (noch) kein Auslandsbezug. Denklogisch bedeutet dies aber auch, dass die (militärisch gesprochen) Aufklärung, bzw. (technisch gesprochen) Systeminfiltration nicht vom Parlamentsvorbehalt umfasst ist. Die sich in diesem Zusammenhang ergebenen grundrechtlichen Fragestellungen sind Gegenstand einer eigenen Ausführung. Ein entsprechend differenziertes Verständnis konfligiert auch nicht mit dem extensiven Verständnis des BVerfG über die „bewaffnete Unternehmung“, weil es sich hierbei um verschiedene Tatbestandsmerkmale handelt. 55  BVerfGE

90, 286 (388).

290

Kap. 4: Inhalt und Ablauf der Verteidigung

Unabhängig davon, wie man zu der Qualität einer bewaffneten Unternehmung steht, bzw. wie zeitnah und absehbar die jeweilige Auseinandersetzung erfolgen mag, handelt es sich bei dem Auslandsbezug um ein Merkmal, das hiervon getrennt zu bewerten ist. b) Zeitmoment Die Wehrfähigkeit kann auch im Zuge eines tatsächlichen Faktors beeinträchtigt sein. In erster Linie betrifft dies den Faktor Zeit. Zeit, die es kostet, die Einwilligung des Bundestages einzuholen. Hierbei ist zu berücksichtigen, dass es ja nicht nur um die Zustimmung des Bundestages geht, sondern auch die Bundesregierung zuvor im Kabinett eine Entscheidung getroffen haben muss über den Einsatz und bereits diese Entscheidungsfindung Zeit beansprucht. Hierbei handelt es sich aber um das generelle Verfahren, sodass mit Blick auf den Cyberraum sich die Frage stellt, ob sich hier die Lage so grundlegend anders darstellt, dass das übliche Verfahren im Ergebnis geeignet ist, die Wehrfähigkeit im Cyberraum infrage zu stellen. Unter Berücksichtigung der Herauslösung der vorgelagerten Infiltration gegnerischer Systeme von der Zustimmungspflicht bis zu dem Zeitpunkt wo nachvollziehbar ein Auslandsaspekt berührt ist, besteht jedenfalls keine Handlungsunfähigkeit und damit auch keine Beeinträchtigung der Wehrfähigkeit. Überdies ist auch ein Blick in die Empirie der bisherigen parlamentarischen Praxis jedenfalls nicht geeignet, etwaige Kritik an der absoluten Dauer zwischen Lesung und Schlussabstimmung über Zustimmungs- bzw. Fortsetzungsbeschlüsse zu substantiieren.56 Mit Verweis auf einen Eilfall hat der Gesetzgeber in Gestalt der die Regelung bei Gefahr im Verzug im Übrigen grundsätzlich Abhilfe geschaffen. So ist die Bundesregierung ausweislich § 5 ParlBG bei Gefahr im Verzug ausnahmsweise berechtigt, den Einsatz der Streitkräfte alleine zu beschließen. Diese Eilentscheidung der Bundesregierung entfaltet auch die gleiche Rechtswirkung wie die unter regulären Umständen im Verbund mit dem Bundestag getroffene Entscheidung.57 Selbstredend gilt auch bzgl. der Anwendung von § 5 ParlBG der Grundsatz, dass dieser die Ausnahme von der 56  siehe dazu Wiefelspütz, Das Parlamentsheer, Der Einsatz bewaffneter deutscher Streitkräfte im Ausland, der konstitutive Parlamentsvorbehalt und das Parlamentsbeteiligungsgesetz, 2005, S. 321 ff. u. 327 f., der (zwar nur bis 2005) die Abstimmungsdauer in Tagen tabellarisch aufgeführt hat und zu diesem Ergebnis kommt. 57  Vgl. Urteil des BVerfG 2 BvE 6/11 v. 23.09.2015, Pressemitteilung abrufbar unter: http://www.bundesverfassungsgericht.de/SharedDocs/Pressemitteilungen/DE/ 2015/bvg15-071.html.



B. Die Streitkräfte im digitalen Raum im Lichte des Parlamentsvorbehalts 291

Regel darstellt und damit Änderungsbedarf spätestens dann angezeigt wäre, wenn die Ausnahme droht zur Regel zu avancieren. Hierfür ist aber die tatsächliche Entwicklung maßgebend. 3. De lege ferenda Die Änderungsbedürftigkeit des Parlamentsbeteiligungsgesetztes hängt von tatsächlichen Entwicklungen ab. Auf dem Boden der zuvor in Kapitel (3) erzielten Subsumtionsergebnisse für die in Kapitel (1) geschilderte gegenwärtige Bedrohungslage ist der Anteil der grundsätzlich verteidigungswürdigen Sachverhalte derzeit sehr gering. Sofern dieser zunimmt und sich in einem Maße über die Gefahr im Verzug Regelung des § 5 ParlBG beholfen würde, dass das Regel-Ausnahme-Verhältnis umkehren würde, erschiene eine Modifikation sachdienlich. In diesem Zusammenhang stellte sich dann die Frage, ob eine Bereichsausnahme für die Verteidigung im Cyberraum zu Gunsten einer reinen Exekutiventscheidung mit dem Grundgesetz vereinbar wäre, bzw. wenn nicht, ob und inwiefern sich eine Grundgesetzänderung rechtfertigen ließe. Weil sich der Cyberraum, wie die vorangegangenen Ausführungen gezeigt haben, aber derzeit sehr wohl mit den gegebenen rechtlichen Instrumentarien fassen lässt, dürfte sich eine Bereichsausnahme nicht rechtfertigen lassen. Insofern müsste der Parlamentsvorbehalt schon gänzlich auf den Prüfstand gestellt werden. Bisher ist dies weder generell noch konkret mit Blick auf Cyberaktivitäten von staatlicher Seite in Erwägung gezogen worden.58 So wurden auch die im Wesentlichen übernommenen Vorschläge59 der sog. Rühe-Kommission60 im Bundestag nicht zur Abstimmung gestellt.61 Gleichwohl wurden Äußerungen in diese Richtung bereits lange vor den Realität gewordenen Auseinandersetzungen im Cyberraum verlautbart. So wird vereinzelt vertreten, die Bundesregierung solle die ausdrückliche Kom58  Vgl. Antwort der Bundesregierung auf eine kleine Anfrage v. 10.12.2015, in der die Bundesregierung klarstellt, dass sie keine Überlegungen anstelle, etwaige Cyberaktivitäten ausdrücklich im ParlBG zu berücksichtigen (BT-Drs. 18/6989, S. 13). 59  BT-Drs. 18/7360. 60  Mit der Annahme des Antrags der Fraktionen der CDU/CSU und der SPD v. 11.03.2014 (BT-Drs. 18/766) hat der Deutsche Bundestag in seiner Sitzung v. 20.03.2014 eine „Kommission zur Überprüfung und Sicherung der Parlamentsrechte bei der Mandatierung von Auslandseinsätzen der Bundeswehr“ eingesetzt; Abschlussbericht der Kommission v. 16.06.2015, BT-Drs. 18/5000. 61  Diese beschäftigte sich zwar nicht explizit mit dem digitalen Raum, jedoch mitunter aber mit dem Einsatzbegriff, der Gegenstand einer Konkretisierung sein sollte bzw. um eine gesetzliche Vermutung erweitert werden sollte für diejenigen Fälle, in denen die Verwendung unbewaffneter Streitkräfte erfolgt bzw. Waffen nur zum Zwecke der Selbstverteidigung mitgeführt werden (S. 5).

292

Kap. 4: Inhalt und Ablauf der Verteidigung

petenz erhalten, selbstständig über einen Streitkräfteeinsatz zu befinden, wohingegen das Recht des Bundestages darauf reduziert werden solle, durch Mehrheitsbeschluss die Streitkräfte zurückzurufen.62 Eine solche Modifikation würde sich mit der Beteiligung des Bundestages im Falle des Inlandseinsatzes nach Art. 87a Abs. 4 GG decken, im Rahmen dessen die Mitwirkung desselben nicht die Entsendung erfasst, sondern darauf reduziert ist, die Einstellung des Einsatzes zu verlangen. Dass im Zuge der Einführung des Art. 87a Abs. 4 GG ebenfalls um die Mitwirkung des Bundestages gerungen wurde, belegt insoweit der Bericht des Rechtsausschusses. Dieser paraphrasiert die Diskussion, die zur Frage der vorherigen Zustimmung des Bundestages zu einem bewaffneten Streitkräfteeinsatz nach Art. 87a Abs. 4 GG im Rahmen des Gesetzgebungsverfahrens geführt wurde. Der Rechtsausschuss war diesbezüglich der sich im Ergebnis durchgesetzten Ansicht, wonach bei Vorliegen der Tatbestandsmerkmale des Art. 87a Abs. 4 nur eine „rasche Reaktion“ erfolgsversprechend sei und dieser eine vorherige Konsultation des Bundestages abträglich wäre.63 Er untermauerte seine Ansicht unter Hinweis auf die Gefahr, dass die Aufständischen ansonsten ohnehin versuchen würden, das Parlament handlungsunfähig zu machen.64 Letztere Bedenken lassen sich im Hinblick auf den Cyberraum zwar nicht teilen. So hängt die Konsultation des Bundestages nicht von technischen Gewährleistungen ab mit der Folge, dass ein Cyberangriff – anders als ein auf staatliche Institutionen abzielender Aufstand – das Zusammenkommen der Abgeordneten nicht hindern sollte. Gleichwohl verdeutlicht die Diskussion, dass der Parlamentsvorbehalt nicht frei von Diskussionen ist. Ein weiteres in diesem Zusammenhang sachdienliches Argument lässt sich aus § 8 BPolG gewinnen. Dieser gewährt den Einsatz der Bundespolizei im Ausland auf dem Boden einer Regierungsentscheidung (Abs. 1 S. 3) über die der Bundestag nur zu unterrichten ist (S. 4), bzw. auf dessen Geheiß die Verwendung zu beenden ist (S. 5). Auf dem Boden dieser Norm lassen sich jedenfalls solche Stimmen in Zweifel ziehen, die den Parlamentsvorbehalt entscheidend mit dem Auslandsbezug begründen. Dies gilt es aber im Falle des § 8 insoweit zu relativieren, als der Tatbestand des § 8 in Abs. 1 S. 2 bestimmt, dass die Verwendung der Bundespolizei nicht gegen den Willen des Staates erfolgen darf, auf dessen Hoheitsgebiet die Maßnahme stattfinden soll, was im Rahmen eines Verteidigungseinsatzes keine Entsprechung finden dürfte.

plädierend Krings/Burkiczak, DÖV 2002, 501 (504). des Rechtsausschusses, BT-Drs. V/2873, S. 14. 64  Bericht des Rechtsausschusses, BT-Drs. V/2873, aaO. 62  hierfür

63  Bericht



C. Einsatz zur Verteidigung im Innern 293

C. Einsatz zur Verteidigung im Innern  im Konflikt mit dem „Trennungsgebot“? Mit Blick auf die notwendige Aufklärung bzw. Infiltration zur Identifikation des Urhebers eines Angriffs, zudem in einem Stadium, in dem der letzte Anknüpfungspunkt möglicherweise ein inländischer ist, rückt in abgewandelter Form das sogenannte Trennungsgebot ins Blickfeld. Ein Trennung von Behörden kann in unterschiedlicher Tiefe bewerkstelligt werden.65 Zunächst lässt sich eine organisatorische Trennung vollziehen, die sich gesetzlich in einem Angliederungsverbot der einen mit einer anderen Stelle niederschlägt.66 Eine weitere Stufe stellt die befugnisbezogene Trennung dar.67 Danach dürfen die Stellen weder mit denselben Instrumentarien und Eingriffsbefugnissen ausgestatten werden, noch gegenüber den jeweils anderen Weisungen erteilen.68 Die strengste Stufe des Trennungsgebotes stellt die sogenannte informationelle Trennung dar. Hiernach ist nicht nur eine Vergleichbarkeit der Eingriffsbefugnisse oder ein Zusammenwirken bei Eingriffen unzulässig, sondern darüber hinaus auch den Austausch von Informationen.69 Im Folgenden wird die Trennung von Polizei und Geheimdiensten aufgrund des Trennungsgebots in seinen verschiedenen Ausprägungen untersucht. Sofern dessen verfassungsrechtliche Verankerung nicht besteht, lässt es sich auch nicht als Postulat für eine wie auch immer im Detail gefasste Trennung von Streitkräften und Geheimdiensten herhalten. Anzumerken ist in diesem Zusammenhang, dass die Existenz des MAD nicht dazu führt, dass die Frage des Trennungsgebots für die Streitkräfte redundant ist.70 Die 65  Überblicksartig dazu Wolff/Scheffczyk, Verfassungsrechtliche Fragen der gemeinsamen Antiterrordatei von Polizei und Nachrichtendiensten, JA 2008, 81 (83). 66  Exemplarisch dafür ist § 1 Abs. 1 BNDG, wonach der Bundesnachrichtendienst eine Bundesoberbehörde im Geschäftsbereich des Bundeskanzleramtes ist, der einer polizeilichen Dienststelle nicht angegliedert werden darf. 67  Teilweise auch als „funktionale Trennung“ bezeichnet, so z. B. bei Baumann, Vernetzte Terrorismusbekämpfung oder Trennungsgebot?, DVBl. 2005, 798 (805). 68  Wolff/Scheffczyk, JA 2008, aaO.; so ist z. B. in 11 Abs. 3 S. 2 Verfassung des Landes Brandenburg geregelt, dass dem Verfassungsschutz keine polizeilichen Befugnisse zustehen. 69  Wolff/Scheffczyk, JA 2008, aaO. Bisweilen wird zusätzlich auch noch eine funktionelle Trennung als eigene Ausprägung angeführt. Hiernach wird dafür Sorge getragen, dass es zu keiner geteilten Zuständigkeit einer Abteilung für sowohl polizeiliche wie auch nachrichtendienstliche Belange kommt. Exemplarisch führt Timu, „Das Trennungsgebot zwischen Polizei- und Verfassungsschutz – Verfassungsrang?, Verwaltungsrundschau, 04/2017, 121 (122) u. a. § 2 Abs. 2 VerfSchG des Landes Sachsen-Anhalt an. 70  So ist der BND Bestandteil der Streitkräftebasis, Singer, S. 44 Rn. 85.

294

Kap. 4: Inhalt und Ablauf der Verteidigung

Hauptaufgabe des Militärischen Abschirmdienstes besteht laut MAD-Gesetzes nämlich in der Informationsgewinnung zur militärischen Eigensicherung, nicht in der darüber hinausgehenden Informationsgewinnung vergleichbar dem BND.71 Die Aufgabenzuweisung des MAD-Gesetzes hat insofern eine tatbestandliche Begrenzungsfunktion72 und macht die vorliegende Frage in Ansehung der Streitkräfte damit nicht redundant. Dass es bereits eine Form der Zusammenarbeit von Streitkräften und Geheimdiensten gibt zeigt sich anhand des weiter vorne angesprochenen behördenübergreifenden Nationalen Cyber-Abwehrzentrums.73 Während das Bundesamt für Verfassungsschutz hier eine der Kernbehörden darstellt, gehört ihm auch die Bundeswehr als assoziiertes Mitglied an.74 Beweggrund für die Einrichtung war gerade die Erkenntnis, dass sich Cyber-Angriffe nicht entlang von Behördenstrukturen orientieren und hierauf im Wege der Kooperation entgegengetreten werden solle.

I. Trennung von Nachrichtendiensten und Polizei Ihren Ursprung findet die Diskussion im sogenannten Polizeibrief75 vom 14. April 1949.76 Mit diesem Schreiben ermächtigten die Militärgouverneure der westdeutschen Besatzungszonen, den – mit der Erstellung des wenige Tage später in Kraft getretenen Grundgesetzes betrauten – Parlamentarischen Rat, eine Gesetzgebungskompetenz des Bundes für die Errichtung eines Nachrichtendienstes zu verankern.77 Die wesentliche Passage findet sich in Nr. 2 des Briefes: „Der Bundesregierung wird es ebenfalls gestattet, eine Stelle zur Sammlung und Verbreitung von Auskünften über umstürzlerische, gegen die Bundesregierung gerichtete Tätigkeiten einzurichten. Diese Stelle soll keine Polizeibefugnis haben.“ Hintergrund für die Einschränkung in S. 2 war die Bestrebung der Alliierten, es zu verhindern, dass noch einmal 71  Graulich bezeichnet den MAD als bereichsspezifisches Amt für Verfassungsschutz. 72  Bergemann, in: Denninger/Rachor, Handbuch des Polizeirechts, S. 922; Weisser, NVwZ 2011, 142 (144). 73  Verweis auf S. 125 f. 74  BT-Drs. 17/8800, S. 5; BT-Drs. 17/5694, S. 1. 75  Der „Polizei-Brief“ ist abgedr. bei Werthebach/Droste, in: BK-GG, Losebl. (Stand: Dez. 1998), Art. 73 Nr. 10 Rn. 10. 76  Umfangreich dazu Fremuth, Wächst zusammen, was zusammengehört?, AöR 2014, 32 (43 ff.); siehe auch Gusy in, Das verfassungsrechtliche Gebot der Trennung von Polizei- und Nachrichtendiensten, ZRP 1987, 45 (46), nach dem das Trennungsgebot im Polizeibrief nicht ausdrücklich enthalten ist. 77  Nehm, Das nachrichtendienstrechtliche Trennungsgebot und die neue Sicherheitsarchitektur, NJW 2004, 3289.



C. Einsatz zur Verteidigung im Innern 295

eine mit nahezu grenzenloser Machtfülle ausgestattete Behörde ähnlich der Gestapo oder dem Reichssicherheitshauptamt auf deutschem Boden entsteht.78 Aus dem historischen Blickwinkel heraus betrachtet hat sich das Verbot, Befugnisse und Methoden in der Hand einer Behörde zusammenzuführen aus der Bestrebung heraus begründet, einer Kumulation weitreichender Ermittlungs- und Exekutivbefugnisse jegliche Grundlage zu entziehen.79 Gleichwohl ermächtigten die Alliierten Militärgouverneure den Bund, Bundesorgane und Bundespolizeibehörden für enumerativ aufgeführte Befugnisse einzurichten (Nr. 1 des Polizeibriefs). Der Parlamentarische Rat setzte die Vorgaben des Briefs um, indem er einerseits Art. 73 Nr. 10 GG schuf, der in der mittlerweile geänderten Fassung80 dem Bund die ausschließliche Gesetzgebungskompetenz über die Zusammenarbeit des Bundes und der Länder in den Bereichen in kriminalpolizeilichen und verfassungsschutzrechtlichen Angelegenheiten verlieh. Daneben wurde dem Bund durch Art. 87 Abs. 1 S. 281 die Möglichkeit verschafft, durch Bundesgesetz Bundesgrenzschutzbehörden, Zentralstellen für das polizeiliche Auskunfts- und Nachrichtenwesen, zur Sammlung von Unterlagen für Zwecke des Verfassungsschutzes und für die Kriminalpolizei einzurichten.82 Auf den Inhalt des Polizeibriefes verwiesen die Militärgouverneure der britischen, französischen und amerikanischen Besatzungszone wiederum, als sie mit Schreiben vom 12. Mai 1949 ihre Genehmigung zum Grundgesetz erteilten.83 Dessen ausdrückliche Kodifizierung war dabei keine Bedingung für die Zustimmung zum Grundgesetz.84

78  Albert, Das „Trennungsgebot“ – ein für Polizei und Verfassungsschutz überholtes Entwicklungskonzept?, ZRP 1995, 105 (106). 79  Fremuth, Wächst zusammen, was zusammengehört, AöR 2014, 32 (38) beschreibt die Zielsetzung sehr plastisch als die Bestrebung der Verhinderung einer „allmächtige[n| Geheimbehörde“; Möstl, in: Möstl/Schwabenbauer, Beck-OK zum Polizei- und Sicherheitsrecht Bayern Rn. 58; Albert, ZRP 1995, 105 (106). 80  Durch Gesetz vom 28. Juli 1972 wurde die Nr. 10 mit Wirkung vom 3. August 1972 mittlerweile ergänzt. 81  Ebenfalls durch Gesetz vom 28. Juli 1972 mit Wirkung vom 3. August 1972 wurde Abs. 1 S. 2 mittlerweile ergänzt. 82  Umfangreich dazu Nehm, NJW 2004, 3289 (3290 f.). 83  Amtsblatt der Militärregierung Deutschland (britische Zone), Ausgabe Nr. 35, 19.09.1949, Teil 2B, S. 29 f.: Nr. 3 „In gleicher Weise sollen die übrigen [also nicht die von Art. 91 Abs. 2 GG erfassten] Polizeifunktionen des Bundes im Einklang mit dem in dieser Frage an Sie gerichteten Schreiben vom 14.4.49 ausgeübt werden.“ 84  Hierzu Fremuth, AöR 2014, 32 (44), der sich umfangreich mit der Motivation der Alliierten in Zusammenhang mit dem „Polizei-Brief“ auseinandersetzt und hier die Frage aufwirft, ob diese allein in der Verhinderung der Entstehung eines neuen GeStaPo ähnlichen Instruments lag oder vielmehr schlicht in der Sorge um die Entstehung einer unkontrollierbaren, die Besatzungszonen übergreifenden Zentralgewalt begründet war.

296

Kap. 4: Inhalt und Ablauf der Verteidigung

1. Verfassungsrang des „Trennungsgebots“ In der juristischen Literatur ist das Trennungsgebot in mehrerlei Hinsicht umstritten. Dieser Streit kreist schwerpunktmäßig um die Frage, ob es Verfassungsrang besitzt und wenn ja, ob sich dem Grundgesetz ein befugnisrechtliches, organisatorisches und/oder informationelles Trennungsgebot entnehmen lässt.85 Ebenso ist umstritten, ob dieser Streit überhaupt noch zu führen ist, oder nicht vielmehr im Zuge verfassungsgerichtlicher Rechtsprechung86 einer Klärung zugeführt worden ist87. Zwar wird der verfassungsrechtliche Charakter des Trennungsgebotes vielfach geradezu selbstverständlich betont,88 regelmäßig aber ohne es näher zu begründen.89 Die Frage nach der rechtlichen Qualität des Trennungsgebots ist mit Blick auf Art. 79 GG relevant. Sofern man dem Trennungsgebot nämlich Verfassungsrang zuspricht, hat der Gesetzgeber die strengen Anforderungen des Art. 79 GG zu beachten, wenn er eine Aufhebung oder Änderung anstrebt.90 Spricht man ihm dagegen den Verfassungsrang ab, steht es grundsätzlich zur Disposition des einfachen Gesetzgebers, d. h. die Trennung zwischen Polizei- und Nachrichtendiensten kann – dort wo sie einfachgesetzlich normiert ist – aufgehoben werden.91 Auslöser für Diskussion über die Qualität des Trennungsgebots als Verfassungsprinzip ist die Tatsache, dass es im Grundgesetz nicht explizit formuliert ist.92 Ausdrücklich Einzug gehalten hat es lediglich in einzelnen Landes85  Baumann, Vernetzte Terrorismusbekämpfung oder Trennungsgebot?, DVBl. 2005, 798 (800 f.). 86  Explizit das Urteil zur Antiterrordatei BVerfGE 133, 277 ff. 87  So Siems, in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, §  1 MADG, Rn. 29; a. A. Arzt, Antiterrordatei verfassungsgemäß – Trennungsgebot tot?, NVwZ 2013, 1328 (1332). 88  So z. B. Fischer-Lescano, NJW 2009, 1243, 1246; Gusy, Polizei und Nachrichtendienste im Kampf gegen die Organisierte Kriminalität, KritV 1994, 242 (251). 89  Exemplarisch dafür Schaefer, Strafverfolgung und Verfassungsschutz, NJW 1999, 2572, der ohne nähere Begründung statuiert, das Trennungsgebot habe Verfassungsrang. 90  So auch Baumann, DVBl. 2005, 798 (800), der bei einer Anordnung als verfassungsrechtliches Postulat, das Trennungsgebot sogar vom Schutz der Ewigkeitsgarantie erfasst sieht. 91  So zu finden bei Fremuth, Wächst zusammen, was zusammengehört?, AöR 2014, 32 (52). 92  Diesbezüglich steht das Grundgesetz in verfassungsrechtlicher Tradition mit sowohl der Verfassung Preußens (1850), wie auch der des Deutschen Reiches (1871) und der Weimarer Reichsverfassung (1919), die allesamt ein ausdrückliches Trennungsgebot nicht normierten. Gleichwohl wurde bereits in Preußen, wie auch später im deutschen Reich durchaus zwischen politischer Polizei und Vollzugspolizei unter-



C. Einsatz zur Verteidigung im Innern 297

verfassungen93, sowie im einfachen Bundes-94 und Landesrecht95. Die den Nachrichtendiensten des Bundes zugrundeliegenden Gesetze enthalten sowohl das Verbot der organisatorischen Angliederung der Dienste an eine Polizeidienststelle96 als auch das Verbot, diese mit polizeilichen Befugnissen auszustatten.97 Darüber hinaus besteht der Ausschluss von Weisungsrechten, sowie das Verbot, Polizeibehörden um Amtshilfe zu ersuchen.98 a) Der „Polizei-Brief“ Dem Polizeibrief kann jedenfalls seit dem die Bundesrepublik Deutschland ihre volle Souveränität erlangt hat, keinerlei Verfassungsrang mehr beigemessen werden.99 Daneben ist das Schriftstück auch nicht mehr geeignet, einen Beitrag zur rechtlichen Einordnung des Trennungsgebots zu leisten.100 schieden (Fremuth, AöR 2014, 32 (44 f.) m. w. N.); Paeffgen/Gärditz, Die föderale Seite des „Trennungsgebots“ oder: Art. 87 III, 73 und das G-10-Urteil, KritV 2000, 65 (67). 93  Art. 83 Abs. 3 S. 1 SächsVerf. (Verfassung des Freistaates Sachsen, SächsGVBl. 1992, 243, geändert durch Gesetz vom Juli 2013 (SächsGVBl. S. 502)), Art. 97 S. 2 ThürVerf (Verfassung des Freistaates Thüringen, GVBl. 1993, 625, geändert durch Gesetz vom 11.10.2004 (GVBl. S. 745), Art. 11 Abs. 3 S. 2 BbgVerf (Verfassung des Landes Brandenburg, GVBl. I 1992, 298, geändert durch Gesetz vom 18.03.2015 (GVBl. I Nr. 6)). 94  Vgl. §§ 2 Abs. 1 S. 3, 19 Abs. 1 und 20 Abs. 1 BVerfSchG, § 1 Abs. 1 S. 2 BNDG, § 1 Abs. 4 MADG. 95  So enthalten alle Landesverfassungsschutzgesetze Regelungen zur Befugnisrechtlichen-, Organisatorischen-, Funktionellen-, oder Informationellen Trennung, vgl. umfangreich dazu Timu, Das Trennungsgebot zwischen Polizei- und Verfassungsschutz – Verfassungsrang?, Verwaltungsrundschau, 04/2017, 121 (122). 96  Vgl. § 2 Abs. 1 S. 3 BVerfSchG. 97  Klarstellend, dass das Trennungsgebot jedenfalls unstreitig mit Gesetzesrang gilt, Gusy, Die Verwaltung 1991, 467 (489). 98  Vgl. § 8 Abs. 3 HS. 1 BVerfSchG; siehe auch Fremuth, AöR 2014, 32 (44). 99  Dass der Brief mittlerweile außer Kraft getreten ist, ist die überwiegende Auffassung: Vgl. exemplarisch Brenner, Bundesnachrichtendienst im Rechtsstaat, 1990, S. 46; Gusy, ZRP 1987, 45 (46); Nehm, Das nachrichtendienstrechtliche Trennungsgebot und die neue Sicherheitsarchitektur, NJW 2004, 3289 (3295); unterschiedliche Auffassungen bestehen dagegen darüber, ab wann er seine Geltungskraft verloren hat, siehe dazu König, Trennung und Zusammenarbeit von Polizei- und Nachrichtendiensten, S.  154 ff. 100  So auch Nehm, Das nachrichtendienstrechtliche Trennungsgebot und die neue Sicherheitsarchitektur, NJW 2004, 3289 (3290); van Ooyen, Polizei, Verfassungsschutz und organisierte Kriminalität: Die Entscheidung des Verfassungsgerichtshofs Sachsen zum Trennungsgebot, JBÖS 2006/2007, 365 (370) zieht sogar in Zweifel, dass der „Polizei-Brief“ überhaupt an den Verfassungsgesetzgeber, sondern vielmehr an den einfachen Gesetzgeber gerichtet war.

298

Kap. 4: Inhalt und Ablauf der Verteidigung

Gleichwohl ist es zumindest als Auslegungshilfe von fortwährender Be­ deutung.101 b) Normativer Ursprung im Grundgesetz Die Vertreter, die das Trennungsgebot als normativ im Grundgesetz verankert sehen, berufen sich auf die Vorschriften des Art. 73 Nr. 10 und Art. 87 Abs. 1 S. 2 GG. In Art. 73 Nr. 10 GG eine das Trennungsgebot verkörpernde und als Ausdruck einer bewussten Entscheidung, Informations- und Exekutivfunktionen zu trennen, dienende Vorschrift zu erkennen, ist nicht überzeugend.102 Hierfür spricht bereits der Umstand, dass es sich hierbei um eine Vorschrift über die Gesetzgebungszuständigkeit und nicht die Exekutivkompetenz handelt.103 Den Ursprung in Art. 87 Abs. 1 S. 2 GG zu sehen, ist ebenfalls nicht überzeugend. So ist das Argument, der Plural des Wortes „Zentralstellen“ spreche für die verpflichtende Trennung, wenig aussagekräftig.104 Es lässt sich natürlich anführen, dass dieser Formulierung ein Trennungsbefehl dahingehend entnommen werden kann, dass die im Anschluss angeführten Bereiche in verschiedenen Stellen organisiert sein müssten. Allerdings ist dem gewichtig entgegenzuhalten, dass sich die Formulierung eher darauf begründen lässt, dass dem Bund in Art. 87 Abs. 1 S. 2 Verwaltungskompetenzen nicht nur für eine, sondern mehrere Aufgabenfelder zuerkannt werden. Will er mehr als eine von den genannten wahrnehmen, muss er auch mehrere Zentralstellen schaffen.105 Nimmt er dagegen nur eine war, muss er auch nur eine Zentralstelle schaffen.106 Dies zugrunde gelegt ist es ein Gebot der Grammatik, den Plural von „Zentralstelle“ zu verwenden. Ohnehin ließe sich einer Ableitung aus dem Wort „Zentralstellen“ nur eine organisatorische Trennung entnehmen.107 101  So bereits Gusy, Das verfassungsrechtliche Gebot der Trennung von Polizeiund Nachrichtendiensten, ZRP 1987, 45 (46). 102  Das BVerfG lässt die Frage, ob sich aus den Gesetzgebungskompetenzen ein Trennungsgebot zwischen Polizei und Nachrichtendiensten entnehmen lässt in seinem Urteil vom 14. Juli 1999 – 1 BvR 2226/94 – Rn. 199 dagegen offen mit der Begründung, dass es in der entsprechenden Entscheidung nicht darauf ankomme. 103  Gusy, aaO. 104  Nehm, NJW 2005, 3289 (3291). 105  So auch Gusy, ZRP 1987, 45 (47), der aber im Ergebnis ein Trennungsgebot aus Art. 87 Abs. 1 S. 2 GG folgert, gleichwohl aber mit anderer Begründung. 106  Fremuth, AöR 2014, 32 (49); Gusy, ZRP 1987, aaO. 107  so zutreffend Nehm, NJW 2005, 3289 (3291); Roewer, Trennung von Polizei und Verfassungsschutzbehörden, DVBl. 1986, 205 (205 f.).



C. Einsatz zur Verteidigung im Innern 299

Gegen eine Ableitung aus Art. 87 Abs. 1 S. 2 GG und Art. 73 Nr. 10 GG lassen sich auch die Ausführungen von Roewer108 und Fremuth109 in Stellung bringen, die beide darauf hinweisen, dass bereits der Beratungsprozess, der der Kodifikation voranging, eine Deutung in diese Richtung nicht zulasse. So war die Einsetzung des Wortes „Verfassungsschutz“ in vorbezeichnete Artikel in den Sitzungen des Hauptausschusses nicht etwa Gegenstand kontroverser Diskussionen, sondern wurde vielmehr ohne Begründung angenommen, weil es im Kern um die Effektuierung der Bundeskompetenzen im Bereich der länderübergreifenden Verbrechensbekämpfung ging.110 Eine Abgrenzung der Aufgaben von Verfassungsschutz auf der einen und Geheimdiensten auf der anderen Seite erfolgte dagegen nicht.111 Dies setzte sich im anschließenden Plenum fort, in dem es ebenfalls zu keiner Aussprache kam.112 Damit lässt sich jedenfalls dem Entstehungsprozess der Normen kein Indiz entnehmen, das für eine Verankerung eines Trennungsgebot streitet. Auffallend ist ferner, dass der Gesetzgeber es offenkundig nicht für nötig befunden hat, das Trennungsgebot im Zuge späterer Verfassungsänderungen (u. a. des streitgegenständlichen Satzes selbst)113 aufzunehmen. Gleichwohl ist diese Tatsache wiederum geeignet, in beide Richtungen gedeutet zu werden. Allerdings ist zu beachten, dass in der Zwischenzeit in einigen Landesverfassungen die Trennung von Polizei und Geheimdiensten in verschiedenen Gesichtspunkten unmissverständlich und mit Blick auf das „Ob“ nicht interpretationsbedürftig kodifiziert worden ist. Es hätte sich also die Gelegenheit geboten, vergleichbare Klarheit auch im Grundgesetz herzustellen.114 Insgesamt streiten die systematische Stellung des Art. 87 GG und sein Regelungskontext im Rahmen der Kompetenzverteilung zwischen Bund und Ländern dafür, dass sich der Vorschrift nicht einmal ein organisatorisches Trennungsgebot entnehmen lässt.115 Der ohnehin bestenfalls ambivalente 108  Roewer,

DVBl. 1988, 666 (667). AöR 2014, 32 (44 f.). 110  Deutsch, aaO. 111  Deutsch, aaO. 112  dazu Fremuth, aaO. 113  Durch Gesetz vom 28. Juli 1972 wurde Abs. 1 S. 2 mit Wirkung vom 3. August 1972 erhielt Art. 87 Abs. 1 S. 2 GG die derzeit gültige Fassung. 114  Der SächsVerfGH, NVwZ 2005, 1310 (1311) setzt die Schaffung der Vorschrift auf Landesebene dagegen in Bezug zu entsprechenden historischen Erfahrungen mit dem Staatssicherheitsdienst der DDR, was jedoch kein Widerspruch darstellt. 115  So auch Albert, ZRP 1995, 105 (108); Baumann, DVBl. 2005, 798, 803; Fremuth, AöR 2014, 32 (52); Nehm, NJW 2004, 3289 (3290); Roewer, DVBl. 1986, 205 (208); a. A. Gusy, ZRP 1987, 45 (48), der ein [organisatorisches] Trennungsgebot als die notwendige organisatorische Konsequenz der Aufgaben- und Befugnis109  Fremuth

300

Kap. 4: Inhalt und Ablauf der Verteidigung

Wortlaut des Art. 87 Abs. 1 S. 2 GG ist hiergegen nicht stichhaltig in Stellung zu bringen. Die Aufgabe der Art. 73 und 87 GG ist es damit „lediglich“, u. a. den Verfassungsschutz als Institution abzusichern und dem Bund entgegen der grundsätzlichen Kompetenzzuweisung aus den Art. 30, 70 und 83 GG zuzubilligen, hier tätig zu werden.116 c) Herleitung aus dem Rechtsstaatsprinzip Vereinzelt wird das Trennungsprinzip als Ausfluss des Rechtsstaatsprinzips gesehen.117 Unschädlich ist in diesem Zusammenhang jedenfalls die Tatsache, dass das Trennungsprinzip nicht explizit im Grundgesetz erwähnt ist, da das Rechtsstaatsprinzip mehr erfasst, als die Gesamtheit seiner formellen – ausdrücklich kodifizierten – Grundelemente.118 So beinhaltet der ihm zugrundeliegende Rechtsstaatsgedanke mitunter das Gebot, dass die dem Einzelnen dienende Gesetzesbindung durch staatliche Befugnisbindungen und Aufsichtsmaßnahmen sichergestellt wird.119 Diskussionswürdig ist das Trennungsgebot im Nahbereich des Rechtsstaatsgebots insbesondere vor dem Hintergrund der weiter vorne bereits in anderem Zusammenhang behandelten Bahnpolizei-Entscheidung120 des BVerfG. Nach dieser könne unter anderem aus dem Rechtsstaatsprinzip ein Verbot folgen, bestimmte Behörden zu verschmelzen bzw. mit Aufgaben zu betrauen, die nicht ihrer verfasverteilung des Art. 87 Abs. 1 S. 2 GG sieht und deshalb einen Verfassungsrang zuerkennt. Neben historischen Erwägungen stützt er seine Auffassung maßgeblich auf systematische Erwägungen. Seine Ansicht stellt er jedoch unter die Bedingung, dass die Aufgaben von Nachrichtendiensten und der Polizei tatsächlich getrennt sind. Spätestens hier wird jedoch die Grenze der systematischen Auslegung verlassen, weil diese davon abhängig gemacht wird, was unter polizeilichen und nachrichtendienstlichen Aufgaben zu verstehen ist und damit an einen Umstand geknüpft wird, der außerhalb des über die Systematik erzielbaren liegt und im Übrigen – eingedenk der Tatsache, dass das Grundgesetz hierzu auch keine inhaltliche Aussage trifft – differenziert betrachtet werden kann; Gusy beipflichtend, in: KritV 1994, 232 (240 f.); Hetzer, Polizei und Geheimdienste zwischen Strafverfolgung und Staatsschutz, ZRP 1999, 19 (24); diesem direkt widersprechend: Riegel, Polizei und Geheimdienste, ZRP 1999, 216. 116  Fremuth, AöR 2014, 32 (50). 117  Götz, in: HStR, Bd. 3 (1988), § 79 Rn. 43; Diese Frage aufwerfend: Denninger, Die Trennung von Verfassungsschutz und Polizei und das Grundrecht auf informationelle Selbstbestimmung, ZRP 1981, 231 (232); ebenfalls Denninger, KritV 1994, 232 (241); ablehnend dagegen Albert, ZRP 1995, 105 (108). 118  Hesse, Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, S. 86 bezeichnet ein nur formelles Verständnis als überkommen; Kunig, Rechtsstaatsprinzip, spricht insofern von der „Janusköpfigkeit“ des Rechtsstaatsprinzips (S. 278). 119  Baumann, DVBl. 2005, 798 (802). 120  BVerfGE 97, 198 (217).



C. Einsatz zur Verteidigung im Innern 301

sungsrechtlichen Aufgabenstellung entsprechen.121 Das Gericht bezog sich hierbei auf Nachrichtendienste und Vollzugspolizeibehörden, ließ jedoch offen, welches Element des Rechtsstaatsprinzips betroffen sei. Zwar bedarf es nicht der Kodifizierung sämtlicher Elemente des Rechtsstaatsprinzips, es bedarf jedoch sehr wohl einer Rückkoppelung zu einem im Grundsatz Ausdruck gefundenen Grundsatz, um von einem Ausfluss des Rechtsstaatsprinzips sprechen zu können.122 In Betracht kommt allein das in Art. 20 Abs. 2 S. 2 GG niedergelegte Gewaltenteilungsprinzip.123 Allerdings stößt dies bereits im Ansatz auf Zweifel, da es sich sowohl bei nachrichtendienstlichen, wie auch polizeilichen Aufgabenbereichen um klassische Elemente der Exekutive handelt.124 Ein Konflikt mit dem Grundsatz der Gewaltenteilung ist nicht ersichtlich. d) Recht auf informationelle Selbstbestimmung Das BVerfG leitete in seinem Urteil zur Antiterrordatei im Jahr 2013 ein informationelles Trennungsgebot aus dem Recht auf informationelle Selbstbestimmung ab.125 Es ging hierbei nicht auf die jahrzehntelange Diskussion über das Trennungsgebot als solches ein. Die Tatsache, dass das BVerfG bereits in Entscheidungen in den Jahren 1998 (Bundesgrenzschutz)126 und 1999 (strategische Fernmeldeüberwachung)127 die heftig debattierte Frage aufwarf, 121  BVerfGE

97, aaO; dies bestätigend: BVerfGE 100, 313 ff. auch Hesse: Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, der den Inhalt von Normen denen der Primat des Rechts (als Teil der rechtsstaatlichen Ordnung des GG) zukommt zwar für erheblich erklärt (S. 89), hierfür jedoch nicht die „totale Durchnormierung“ verlangt (S. 87). 123  so aufgefasst von Sachs, in: Sachs, Grundgesetz-Kommentar, Art. 20 Rn. 159. 124  so ist der BND nach § 1 Abs. 1 BNDG als Bundesoberbehörde dem Bundeskanzleramt angegliedert. 125  BVerfGE 133, 277 (329); über eine solche Trennung besteht in der Literatur keineswegs Einigkeit. Siehe exemplarisch hierzu Wolff/Scheffczyk, Verfassungsrechtliche Fragen der gemeinsamen Antiterrordatei von Polizei und Nachrichtendiensten, JA 2008, 81 (84), die argumentieren, dass eine informationelle Trennung der Datenbestände von Polizei- und Nachrichteneinheiten die Nachrichtendienste in ihrer Schutzfunktion weitgehend entwerten würden; siehe auch Arzt, NVwZ 2013, 1328 (1330), der aus der fehlenden Äußerung zur Diskussion über das Trennungsgebot schließt, dass das Gericht dem Trennungsgebot eine Absage erteilte und es in der Folge durch ein informationelles Trennungsgebot ersetze; dagegen Fremuth AöR 2014, 32 (46), der zwar grundsätzlich nicht dem Lager derjenigen angehört, die ein Trennungsgebot der Verfassung entnehmen, erkennt gleichwohl in Herleitung der informationellen Trennung durch das BVerfG eine verfassungsrechtliche Verortung, die einem „Gebot durchaus gleichkommt“. 126  BVerfGE 97, 198 (217). 127  BVerfGE 100, 313 (369). 122  So

302

Kap. 4: Inhalt und Ablauf der Verteidigung

ob Art. 87 Abs. 1 S. 2 GG128 bzw. den Gesetzgebungskompetenzen129 ein Trennungsgebot zu entnehmen sei, eine Verortung desselben gleichwohl für nicht entscheidungserheblich hielt,130 offenbart jedoch zweierlei: Erstens, dass sich das Gericht bei der zeitlich nachfolgenden Entscheidung zur Antiterrordatei im Jahre 2013 (Herleitung eines informationellen Trennungsgebots) der langwährenden Debatte über die verfassungsrechtliche Verwurzelung eines umfassenden Trennungsgebots sehr wohl bewusst war. Zweitens aber auch, dass es hierzu nicht abschließend Stellung nehmen wollte. Das informationelle Trennungsgebot bedeutet, dass ein behördlicher Datenaustausch grundsätzlich verboten ist und nur ausnahmsweise erlaubt sein soll.131 Gleichwohl statuiert das Urteil im Kern nichts, was nicht schon ohnehin galt, sodass sich der Erkenntnisgewinn in Grenzen hält.132 So verbietet das Gericht den Informationsaustausch nicht etwa, sondern lässt einen Eingriff in das betroffene Grundrecht ausdrücklich zu und erklärt diesen insoweit für verfassungsrechtlich gerechtfertigt, als er einem herausragenden öffentlichen Interesse dient.133 Dabei ist anzumerken, dass ein etwaiges Verbot des Informationsaustauschs zwischen den Behörden, d. h. eine starre Trennung der Informationen, die Redundanz der Geheimdienste zur Folge hätte. Deren Aufgabe zur Informationsgewinnung dient ja keinem Selbstzweck, sondern der Zuarbeit anderer Behörden mit Exekutivbefugnissen.134 2. Ergebnis zur verfassungsrechtlichen Verankerung des „Trennungsgebots“ Der historische Einfluss auf die Verfassungsgeber ist natürlicherweise von erheblicher Tragweite. Es ist offenkundig, dass die Väter des Grundgesetzes 128  diesbezüglich in BVerfGE 97, 198 (217), im Urteil heißt es: „Für die in Art. 87 Abs. 1 S. 2 GG vorgesehenen sonderpolizeilichen Behörden des Bundes stellt sich allerdings die Frage eines Trennungsgebotes.“ 129  diesbezüglich in BVerfGE 100, 313 (369), im Urteil heißt es: „Auf die Frage, ob sich aus den Gesetzgebungskompetenzen ein Trennungsgebot zwischen Polizei und Nachrichtendiensten entnehmen läßt (sic), kommt es daher hier nicht an“. 130  BVerfGE 100, 313 ff., Rn. 199. 131  BVerfG 133, 277 (329). 132  Möstl, in: Möstl/Schwabenbauer, Beck-OK zum Polizei- und Sicherheitsrecht Bayern, Rn.  58 f. 133  BVerfG 133, 277 (329); beipflichtend: Gärditz, Entscheidungsanmerkung zu BVerfGE 133, (277 ff.), JZ 2013, 633 (634). 134  Insofern lässt sich in dem Umstand, dass das BVerfG ein informationelles Trennungsgebot betont sogar ein Argument sehen, das für eine generelle Trennung von Polizei und Nachrichtendiensten spricht, weil der Hinweis auf die mögliche Informationsweitergabe ja nur dann notwendig ist, wenn die Verfassung grundsätzlich eine Trennung verlangt.



C. Einsatz zur Verteidigung im Innern 303

die Erfahrungen aus der Weimarer Verfassung und der anschließenden nationalsozialistischen Gewalt- und Willkürherrschaft sowie die Kausalbeziehung zwischen beiden als Grundlage genommen haben, dem Grundgesetz bestimmte Absicherungsmechanismen einzupflanzen sowie es in Ausprägung einzelner Artikel insgesamt als bewussten Gegenentwurf zur Zeit des Nationalsozialismus auszuweisen. Das Trennungsgebot gehört gleichwohl nicht dazu. Die Trennung von Verfassungsschutz und Bundespolizei in einer jenseits der vom BVerfG bestimmten Leitlinien zur informationellen Trennung ließe sich allein mit Besatzungsrechtssätzen begründen. Diese überlagerten das deutsche Verfassungsrecht jedoch nur, solange sie in Kraft waren.135 Da dieses außer Kraft ist, kommt dem Trennungsgebot auf verfassungsrechtlicher Ebene keinerlei normative Wirkung mehr zu.136

II. Konsequenz für etwaige Informationsbeschaffungen durch die Streitkräfte Auf dem Boden der vorangegangenen Argumentation kann jedenfalls kein verfassungsrechtliches Trennungsgebot zwischen Nachrichtendiensten und Streitkräften postuliert werden, das über die informationelle Trennung hinausgeht. Damit ist eine Ausstattung der Streitkräfte (jenseits des MAD) mit geheimdienstlichen Instrumentarien und Eingriffsbefugnissen zumindest verfassungsrechtlich nicht zu beanstanden. Gleichwohl begegnet dies mitunter praktischen und einfachgesetzlichen Hürden. 1. Hinreichende informationelle Trennung im Nationalen Cyber-Abwehrzentrum? Ein konsequenter Gegenentwurf zu einer umfangreichen informationellen Trennung findet sich in Gestalt des Nationalen Cyber-Abwehrzentrums. Dessen „assoziierte“137 Mitglieder sind u. a. Polizeibehörden und Bundeswehr, also solche, die dem vom BVerfG formulierten informationellen Trennungs135  Roewer, Geschichtlicher Nachtrag zur Kontroverse um die Trennung von Polizei und Verfassungsschutzbehörden; DVBl. 1988, 666 (671); ebenso und auf Roewer verweisend Deutsch, S. 32; im Ergebnis so auch Fremuth, AöR 2014, 32 (35), der die finale Entscheidung über das Trennungsgebot dem gesellschaftlichen Diskurs und schließlich dem einfachen Gesetzgeber überlassen möchte; so auch Nehm, NJW 2004, 3289 (3295); König, S. 157, nach dem man die Souveränität der Bundesrepublik Deutschland untergrabe, falls man besatzungsrechtlichen Vorgaben allzu weite Bedeutung beimesse. 136  König, S. 195 f., der sich auch gegen die Geltung als ungeschriebener Verfassungssatz wendet. 137  BT-Drs. 17/5694, S. 2.

304

Kap. 4: Inhalt und Ablauf der Verteidigung

gebot unterliegen. Es soll hier nicht Gegenstand der Bearbeitung sein, ob und inwiefern sich die hohen verfassungsrechtlichen Eingriffshürden in Gestalt des herausragenden öffentlichen Interesses138 praktisch aufrechterhalten lassen für den Fall, dass der Austausch nicht dem Zwecke der Verteidigung dient.139 Ausweislich der zweideutigen Stellungnahme der Bundesregierung hierzu, dass einerseits „keine dauerhaft analytische und keine operative Zusammenarbeit“140 stattfinde, trotzdem aber die Einbindung der assoziierten Behörden „regelmäßig“141 erfolge, ergeben sich jedoch verfassungsrechtliche Bedenken. 2. Hürde bei der Erstellung eines Cyber-Lagebildes Der zuvor bereits erwähnte Abschlussbericht des Aufbaustabs des BMVg zur Gründung der Teilstreitkraft Cyber- und Informationsraum weist darauf hin, dass es eine operationelle Aufgabe desselben sein wird, zukünftig eine umfassende militärische Nachrichtenlage sowie ein übergreifendes CyberLagebild zu erstellen, die beide einen Beitrag zu einem gesamtstaatlichen Lagebild leisten.142 Auch abseits dieser turnusgemäßen Aufgabe ist Ausgangspunkt einer jeden analogen oder digitalen militärischen Operation, die Erstellung eines Lagebildes. Im Zuge der Verwendung der Streitkräfte gegen Cyberangriffe liegt es nahe, dass für die Erstellung der vorbezeichneten Lagebilder auch Private potentiell Gegenstand der Informationsgewinnung sein werden und hier auch solche, die sich innerhalb der Grenzen der Bundesrepublik aufhalten. Dies hat zur Folge, dass eine entsprechende nachrichtendienstliche Tätigkeit der Streitkräfte – die grundgesetzlich wie aufgezeigt nicht verboten ist – insbesondere einen Eingriff in das zuvor im Rahmen der Schutzpflichten behandelte Fernmeldegeheimnis aus Art. 10 GG bzw. das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationsrechtlicher Systeme darstellen würde.143 Ein solcher darf nach Maßgabe des Art. 10 GG aber nur auf Grund eines Gesetzes erfolgen. Das hier sachbezogene G-10 Gesetz ent138  BVerfG 133, 277 (329); beipflichtend: Gärditz, Entscheidungsanmerkung zu BVerfGE 133, (277 ff.), JZ 2013, 633 (634). 139  Auf Anfrage gab die Bundesregierung an, dass die Einbindung der assoziierten Behörden „regelmäßig“ und „anlassbezogen“ erfolge. 140  BT-Drs. 17/5694, S. 3. 141  BT-Drs. 17/5694, S. 2. 142  Abschlussbericht des Aufbaustabs für die neue Teilstreitkraft Cyber- und Informationsraum (CIR), der Bezug auf den Tagesbefehl der Bundesministerin für Verteidigung vom 17. September 2015 nimmt, S. 13. 143  Hierauf verweist auch Marxsen, JZ 2011, 543 (546 f.).



C. Einsatz zur Verteidigung im Innern 305

hält jedoch keine Regelung für eine etwaige Betätigung der Streitkräfte außerhalb des MAD, der wegen seiner aufgabenbezogenen Begrenzung hier ohnehin nicht tätig werden dürfte.144 Dies hat zur Folge, dass eine derartige Betätigung nach aktuellem Stand verfassungswidrig ist, sofern man nicht für den Zweck der Verteidigung etwas Anderes gelten lässt. 3. Verteidigungsauftrag als Legitimation zur Informationsgewinnung? Für eine Legitimation der Informationsgewinnung als Ausfluss des Verteidigungsauftrages spricht, dass dieser – wie ausgeführt – umfangreich zu verstehen ist. Gleichzeitig ist es den verschiedenen Verwendungsmöglichkeiten der Streitkräfte gerade eigen, dass diese sich ausschließlich aus der Verfassung selbst ergeben.145 Deshalb würde auch die Forderung nach einer einfachgesetzlichen Kodifikation einer Eingriffsbefugnis, etwa im G-10 Gesetz, diesem grundsätzlichen Gefüge widersprechen. Hierfür vertiefend, lässt sich auch das parallel gelagerte Verständnis über den Schutz inländischer ziviler Objekte durch die Streitkräfte nach Art. 87a Abs. 3 im Verteidigungsfall anführen. Diesbezüglich herrscht die übereinstimmende Auffassung, dass die Streitkräfte als Teil der vollziehenden Gewalt jedenfalls im Inland gemäß Art. 1 Abs. 3 GG an die Grundrechte gebunden sind.146 Weil dies im Rahmen des Art. 87a Abs. 3 GG offenkundig sei, wird die Erforderlichkeitsklausel des Art. 87a Abs. 3 GG, wonach zivile Objekte nur durch die Streitkräfte zu schützen sind, soweit dies zur Erfüllung des Verteidigungsauftrages erforderlich ist, für rein deklaratorisch erachtet.147 4. Klarstellende Ergänzung im Wehrverfassungsrecht? Die Aufklärung des Gegners verlangt die Infiltration von Computernetzwerken. Diese Notwendigkeit ergibt sich unabhängig davon, wie man zur vorgenannten Frage des Einsatzes der Streitkräfte zur Verteidigung im Innern steht. Bei einem, im Zuge der Infiltration nachvollzogenen, vom Ausland ausgehenden Angriff geht dieser Erkenntnis nämlich ebenfalls eine Aufklärung voraus.

144  So auch Marxsen, JZ 2011, aaO., der die Ausübung einer entsprechenden Praxis als rechtswidrig bezeichnen würde. 145  Hierzu umfangreich Gruber, S.  207 ff. 146  Baldus, in: Mangoldt/Klein/Starck, Das Bonner Grundgesetz, Art. 87a Rn. 119; Jarass, in: Jarass/Pieroth, Grundgesetz Kommentar, Art. 87a Rn. 12. 147  Baldus, aaO.

306

Kap. 4: Inhalt und Ablauf der Verteidigung

In Ansehung dieser (potentiellen) Infiltration inländischer Systeme mag in Erwägung gezogen werden, Art. 87a Abs. 1 GG um einen Satz drei mit folgendem Inhalt zu ergänzen: Soweit hierdurch [d. h. durch die Verteidigungsmaßnahme] in Grundrechte eingegriffen wird, ist dies nur auf Grund eines Gesetzes zulässig. Die Tatsache, dass sich die Streitkräfte (potentiell) auf innerstaatlichem Territorium betätigen darf die grundgesetzliche Eingriffs- und Rechtfertigungssystematik gleichwohl nicht außer Kraft setzen. Die Streitkräfte als Teil der Exekutive sind in der Folge ohnehin gemäß Art. 1 Abs. 3 GG an die Grundrechte gebunden, sodass eine Änderung nur klarstellenden Charakter hätte und im Ergebnis überflüssig ist.

Schlussbetrachtung Das Grundgesetz in Gestalt seiner Wehrverfassung ist im digitalen Raum grundsätzlich anwendbar. Dasselbe gilt für den grundgesetzlich verankerten Parlamentsvorbehalt sowie die Ausprägung, die er im ParlBG gefunden hat. Ein wesentliches Element der Sicherheitsarchitektur eines Staates ist die Verteidigungsfähigkeit. Traditionell ist das Militär für die schwerwiegendsten Übergriffe auf den Staat, seine Einrichtungen und Bürger zuständig. Diese werden klassischerweise mit kinetischen, letal wirkenden und die Allgemeinheit gefährdenden Waffen bewerkstelligt. Mittel, die grundsätzlich nur einer Institution vorbehalten sind: den Streitkräften. Dass dieser Grundsatz auch bei Bedrohungen aus dem Cyberraum Geltung beansprucht, haben die vorausgehenden Ausführungen zum Intensitätskriterium belegt. So formuliert das Grundgesetz keine Beschränkung des Verteidigungsspektrums auf den analogen Raum. Wenn das Grundgesetz also die Existenz einer Institution wie die der Streitkräfte samt ihrem originären Zweck vorschreibt, kurz, einen Verfassungsauftrag postuliert, darf die Erfüllung dieses Zwecks nicht von vorneherein von einem traditionellen Angriffsverständnis gedeckelt werden, sondern hat mit einer sich ändernden Bedrohungslage Schritt zu halten. Dies darf freilich nicht mit einer Absenkung der hohen Anforderungen für den Einsatz der Streitkräfte einhergehen. Auch geht es nicht darum, die grundsätzliche Differenzierung in innere und äußere Sicherheit aufzuweichen. Es ist jedoch dem Umstand Rechnung zu tragen, dass sich der Gegner nicht ansatzweise dem traditionellen Muster vergleichbar zuordnen lässt. Hieraus die Konsequenz zu ziehen, die Streitkräfte im Zweifel im digitalen Raum nicht einzusetzen, ist in Ansehung der exponierten Stellung des Art. 87a im Grundgesetz in rechtlicher Hinsicht keine haltbare Variante. Die in Ansehung der Unwägbarkeiten des Cyberraums einzig gangbaren Parameter zur Ermittlung der Zuständigkeit der Streitkräfte sind auf dem Boden der zugrundeliegenden Ausarbeitung zum einen die Betroffenheit eines Verteidigungsobjekts und zum anderen die entsprechende Intensität, mit der dieses betroffen ist. Im Hinblick auf die Ausübung der Verteidigung sind Inhalt und Umfang der Verteidigungshandlung in Abhängigkeit vom Grad der Rückverfolgbarkeit des Angriffs unter Beachtung des Gebots der Verhältnismäßigkeit zu stellen. Damit wird ein praktischer Ausgleich zwischen staatlichem Sicherheitsinteresse auf der einen und dem Erfordernis der Unterscheidbarkeit auf der anderen Seite geschaffen. Zudem ist diese Sichtweise

308 Schlussbetrachtung

technischem Fortschritt bei der Rückverfolgung von Cyberangriffen gegenüber aufgeschlossen. Sofern diese zukünftig ergiebiger möglich sein sollte, wirkt sich das nicht nur auf das Maß und schlussendlich die Effektivität der Verteidigung aus, sondern kommt auch dem Unterscheidungsgebot zugute. Der moderne Verfassungsstaat gründet mitunter auf dem Hobbes’schen Prinzip, wonach Sicherheit das Legitimationsprinzip des Staates darstellt. Sicherlich sollte die Bemühung um Sicherheit im digitalen Raum perspektivisch auch auf zwischenstaatliche Kooperation zur Stärkung eigener Resilienz gerichtet sein. Gleichwohl führt die Gegenwart vor Augen, dass kooperative Bestrebungen nur zwischen solchen Staaten erfolgsträchtig zu sein scheinen, die sich ohnehin nicht gegenseitig angreifen. Im Zuge dessen scheint es, als sähe sich der gegenwärtig vielbeschworene multilaterale Ansatz mit geradezu natürlich anmutenden Grenzen konfrontiert. Während die Einschätzung, dass nach dem Zusammenbruch der Sowjetunion die Geschichte ende fehlging, beansprucht der Ausgangspunkt des Neorealisten Kenneth Waltz, demzufolge militärische Macht wesentliche Bedingung für den Fortbestand im internationalen System sei, weiterhin Geltung. Weil das Gewaltmonopol des Staates notwendige Bedingung für den Fortbestand staatlicher Existenz ist, darf insofern nicht einmal der Eindruck entstehen, dass dieses zur Disposition stünde. Hierzu bedarf es auch der Fertigkeit, sich Angreifern zu erwehren und sich gegen Angriffe zu verteidigen, gleich in welchem Raum.

Literaturverzeichnis Achterberg, Norbert, Parlamentsrecht, Tübingen 1984 Akhbar, Babak, Cyber Crime and Cyber Terrorism Investigator’s Handbook, 2014 Albert, Helmut, Das „Trennungsgebot“ – ein für Polizei und Verfassungsschutz überholtes Entwicklungskonzept?, ZRP 1995, S. 105–109 Applegate, Scott D., The Principle of Maneuver in Cyber Operations, in: Czossek/ Ottis/Ziolkowki (Hrsg.), 4th International Conference on Cyber Conflict, 2012, S. 183–196 Arendt, Rieke, Der Einsatz autonomer Waffensysteme im Lichte des Verhältnismäßigkeits- und des Unterscheidungsgrundsatzes, in: Frau (Hrsg.), Drohnen und das Recht, 2014, S. 19–34 v. Arnauld, Andreas, Völkerrecht, 3. Auflage (Heidelberg) 2016 Arndt, F., Zur völkerrechtlichen Kategorisierung von Konflikten, Wissenschaftlicher Dienst des Bundestages Fachbereich WD 2, S. 1–2 Arzt, Clemens, Antiterrordatei verfassungsgemäß – Trennungsgebot tot? NVwZ 2013, S. 1328–1332 Auer-Reinsdorf, Astrid/Conrad, Isabell, Handbuch IT- und Datenschutzrecht, 2. Auflage (München) 2016 Bäcker, Matthias, Terrorismusabwehr durch das Bundeskriminalamt, Berlin 2009 Bäumerich, Maik/Schneider, Maximilian, Terrorismusbekämpfung durch Bundeswehreinsätze im Innern: Eine neue alte Diskussion, NVwZ 2017, S. 189–194 Baltzer, Christoph, Blackout – Stromversorgung wird durch die Umstellung auf erneuerbare Energien anfällig, VW 2/2015, S. 76–77 Banks, William, State Responsibility and Attribution of Cyber Intrusions After Tallinn 2.0, Texas Law Review, Vol. 95, 2017, S. 1487–1513 Barkham, Jason, Information Warfare and International Law on the Use of Force, 34 N.Y.U. J. INT’L L. & POL. 57 (2001), S. 57–113 Barlow, Perry, A Declaration of the Independence of Cyberspace, 8. Februar 1996, abrufbar unter: https://www.eff.org/de/cyberspace-independence Baumann, Karsten, Vernetzte Terrorismusbekämpfung oder Trennungsgebot, DVBl 2005, S. 798–805 Baumgartner, Hans Michael, Freiheit und Menschenwürde als Staatsziel, in: Wellershof (Hrsg.), Frieden ohne Macht? Sicherheitspolitik und Streitkräfte im Wandel, S. 51–60 Bayerisches Staatsministerium des Innern, für Bau und Verkehr, Die bayerische ­Cybersicherheitsstrategie, 22. Mai 2014

310 Literaturverzeichnis Bellia, Patricia L./Schiff Berman, Paul, Cyberlaw Problems of Policy and Jurisprudence in the Information, 4. Auflage 2011 Benater, Marco, The Use Cyber Force, Need for Legal Justification, Goettingen Journal of International Law 2009, S. 375–396 Bernhardt, Rudolf (Hrsg.), Excyclopedia of Public International Law, Vol. II, (Amsterdam), 1995 Bertelsmann-Stiftung, Digitale Transformation der Verwaltung, Empfehlungen für eine gesamtstaatliche Strategie, 1. Auflage (Gütersloh) 2017 Bhattacharyya, Druhba K./Kalita, Jugal K., DDoS Attacks: Evolution, Detection, Prevention, Reaction, and Tolerance, Boca Raton, FL, 2016 Blank, Laurie R., Cyberwar versus Cyber Attack: The Role of Rhetoric in the Application of Law to Activities in Cyberspace, in: Ohlin/Govern/Finkelstein, Cyber War Law and Ethics for Virtual Conflicts, Oxford, 2015, S. 76–101 Blumewitz, Dieter, Der Einsatz deutscher Streitkräfte nach der Entscheidung des BVerfG vom 12. Juli 1994, BayVBl. 1994, S. 641–646 Böckenförde, Ernst-Wolfgang, Der verdrängte Ausnahmezustand. Zum Handeln der Staatsgewalt in außergewöhnlichen Lagen, NJW 1978, S. 1881–1890 Bonacker, Thorsten/Imbusch, Peter, Zentrale Begriffe der Friedens- und Konfliktforschung: Konflikt, Gewalt, Krieg, Frieden, in: Imbusch/Zoll (Hrsg.), Friedens- und Konfliktforschung. Eine Einführung, 5. Auflage (Wiesbaden) 2010, S. 67–143 Boshmaf, Yazan/Muslukhov, Ildar/Ripeanu, Matei, Design and Analysis of a Social Botnet, Department of Electrical and Computer Engineering, The University of British Columbia, 2012 Bräutigam, Peter/Wilmer, Stefan, Big Brother is watching you? – Meldepflichten im geplanten IT-Sicherheitsgesetz, ZRP 2015, S. 38–42 Braitinger, Manfred/Jansen, Wolfgang, Moderne Kriegswaffen: Die technologische Perspektive, in: Gramm/Weingärtner (Hrsg.), Moderne Waffentechnologie. Hält das Recht Schritt?, Baden-Baden 2015, S. 56–61 Brangetto, Pascal/Veenendaal, Matthijs A., Influence Cyber Operations: The Use of Cyberattacks in Support of Influence Operations, in: Pissanidis/Rõigas/Veenendaal (Hrsg.), 8th International Conference on Cyber Conflict, 2016, S. 113–126 v. Bredow, Wilfried, Die Geschichte der Bundeswehr, Berlin 2017 Brenneisen, Hartmut/Schwarzer, Thorsten/Wein, Tim, Hilfeleistung durch die Bundeswehr im Innern – Einsatz oder Amtshilfe, in: Brenneisen/Staack/Kischewski (Hrsg.), 60 Jahre Grundgesetz, 2010, S. 485–499 Brenner, Michael, Bundesnachrichtendienst im Rechtsstaat: zwischen geheimdienstlicher Effizienz und rechtsstaatlicher Kontrolle, Bielefeld 1990 Brenner, Michael/Hahn, Daniel, Bundeswehr und Auslandseinsätze, JuS 2001, S. 729–735 Brettner-Messler, Gerald, Hybride Bedrohungen: eine Reflexion über Ableitungen aus strategischen Dokumenten der EU, in: Dengg/Schurian (Hrsg.), Vernetzte Unsicherheit – Hybride Bedrohungen im 21. Jahrhundert, Wien 2015. S. 151–171

Literaturverzeichnis311 Brissa, Enrico, Militärischer Abschirmdienst der Bundeswehr? – Grundlagen und Grenzen des „Militärischen Nachrichtenwesens“ –, DÖV 2011, S. 391–398 Broscheit, Jannis, Gesetzgebungsbefugnis des Bundes für Inlandseinsätze der Bundeswehr zu anderen als Verteidigungszwecken, DÖV 2013, S. 802–806 Broy, Manfred, Cyber-Physical Systems – Wissenschaftliche Herausforderungen bei der Entwicklung, in: Broy (Hrsg.): Cyber-Physical Systems. Innovation durch softwareintensive eingebettete Systeme, Berlin 2010, S. 17–31 Bruha, Thomas, Gewaltverbot und humanitäres Völkerrecht nach dem 11. September 2001, AVR Bd. 40 (2002), S. 383–421 Bruha, Thomas/Bortfeld, Matthias, Terrorismus und Selbstverteidigung, VN 2001, S. 161–167 Brunello, Anthony R., A Moral Compass and Modern Propaganda? Charting Ethical and Political Discourse, Review of History and Political Science 2014, S. 169–197 Brunkow, Wolfgang, Rechtliche Probleme des Einsatzes der Bundeswehr auf dem Territorium der Bundesrepublik Deutschland nach Art. 87a GG, Bonn, 1971 Brunner, Manuel, Militärische Auslandsrettung, ZRP, 2011, S. 207–209 Buchan, Russel, Cyber Attacks: Unlawful Uses of Force or Prohibited Interventions? Journal of Conflict and Security Law, Vol. 17, Issue 2, 2012, S. 212–227 v. Bülow, Christoph, Der Einsatz der Streitkräfte zur Verteidigung – eine Untersuchung zu Art. 87a Abs. 2 GG, Frankfurt am Main, 1984 Bundesamt für Sicherheit in der Informationstechnik, Schutz Kritischer Infrastrukturen durch IT-Sicherheitsgesetz, Stand: März 2017 Bundesministerium der Verteidigung, Abschlussbericht des Aufbaustabs Cyber- und Informationsraum. Empfehlungen zur Neuorganisation von Verantwortlichkeiten, Kompetenzen und Aufgaben im Cyber- und Informationsraum sowie ergänzende Maßnahmen zur Umsetzung der Strategischen Leitlinie Cyber-Verteidigung, April 2016 Bundesministerium der Verteidigung, Weißbuch zur Sicherheitspolitik und zur Zukunft der Bundeswehr, 2016 Bundesministerium des Innern, Cyber-Sicherheitsstrategie für Deutschland 2011 Bundesministerium des Innern, Verfassungsschutzbericht 2014 Bundesministerium des Innern, Verfassungsschutzbericht 2015 Bundesministerium des Innern, Cyber-Sicherheitsstrategie für Deutschland 2016 Bundesministerium des Innern, Verfassungsschutzbericht 2016 Busche, Angela, Die Zentralisierung polizeilicher Aufgaben auf dem Gebiet der Strafverfolgung beim Bundeskriminalamt, Hamburg 2013 Bussemer, Tymian, Medien als Kriegswaffe. Eine Analyse der amerikanischen Militärpropaganda im Irak-Krieg, Politik und Zeitgeschichte (APuZ) 2003, S. 20–28 Bussolati, Nicolo, The Rise of Non-State Actors in Cyberwarfare, in: Ohlin/Govern/ Finkelstein, Cyber War Law and Ethics for Virtual Conflicts, Oxford, 2015, S. 102–128

312 Literaturverzeichnis Cede, Christoph R., Rechtsanwaltskanzleien als Beispiel hybrider Bedrohung, in: Dengg/Schurian (Hrsg.), Vernetzte Unsicherheit – Hybride Bedrohungen im 21. Jahrhundert, Wien 2015. S. 211–226 Citro, Constance F./Martin, Margaret E./Straf, Miron L., A Military Perspective on Cyberattack Clausewitz, Carl v., Vom Kriege, 1.–3. Theil (sic), 2. Auflage (Berlin) 1857 Cohen-Almagor, Raphael, Internet History, International Journal of Technoethics 2 (2), 2011, S. 45–64 Cole, Eric, Advanced Persistent Threat: Understanding the Danger and How to Protect Your Organization, 2012 Condron, Sean M., Getting it right: Protecting American Critical Infrastructure in Cyberspace, Harvard Journal of Law & Technology, Vol. 20, No. 2, 2007, S. 403– 422 Coridaß, Alexander, Der Auslandseinsatz von Bundeswehr und Nationaler Volksarmee, 1986 Creekman, Daniel M., A Helpless America? An Examination of the Legal Options Available to the United States in Response to Varying Types of Cyber-Attacks from China, American University International Law Review Vol. 17, Iss. 3, 2002, S. 641–681 Cresci, Stefano/Di Pietro, Roberto/Petrocchi, Marinella/Spognardi, Angelo/Tesconi, Maurizio, Fame for sale: Efficient detection of fake Twitter followers, Decision Support Systems 80 (2015) S. 56–71 Cronin, Audrey Kurth, Cyber-Mobilization: The New Levée en Masse, Summer 2006, S. 77–87 Curtius, Carl Friedrich, Völkerrechtliche Schranken der Änderung des Grundgesetzes. Einige Bemerkungen zu Art. 25 GG, DÖV 1955, S. 145–146 Czosseck, Christian, State Actors and their Proxies in Cyberspace in: Ziolkowski (ed.), Peacetime Regime for State Activities in Cyberspace. International Law, International Relations and Diplomacy, S. 1–29 Dengg, Anton/Schurian, Michael, Zum Begriff der Hybriden Bedrohungen, in: Dengg/Schurian (Hrsg.), Vernetzte Unsicherheit – Hybride Bedrohungen, Wien 2015, S. 23–76 Denninger, Erhard, Die Trennung von Verfassungsschutz und Polizei und das Grundrecht auf informationelle Selbstbestimmung, ZRP 1981, S. 231–235 Denninger, Erhard, Verfassungsschutz, Polizei und die Bekämpfung der Organisierten Kriminalität, KritV 1994, S. 232–241 Denninger, Erhard/Lisken, Hans, Handbuch des Polizeirechts, 5. Auflage 2012 Depenheuer, Otto, Der verfassungsrechtliche Verteidigungsauftrag der Bundeswehr – Grundfragen des Außeneinsatzes deutscher Streitkräfte –, DVBl. 1997, S. 685–688 Deutsch, Markus, Die heimliche Erhebung von Informationen und deren Aufbewahrung durch die Polizei, Mannheim 1991 Dierske, Ludwig, Der Bundesgrenzschutz, Bonn, 1967

Literaturverzeichnis313 Dietrich, Jan-Hendrik/Eiffler, Sven R., Handbuch des Rechts der Nachrichtendienste, Stuttgart 2017 Dietz, Andreas, Der Krieg der Zukunft und das Völkerrecht der Vergangenheit?, DÖV 2011, S. 465–472 Dietrich, Jan-Hendrik/Eiffler, Sven R., Die Kompetenzverteilung des Grundgesetzes für Amtshilfe- und Unterstützungsmaßnahmen sowie Einsätze der Bundeswehr, DÖV 2012, S. 952–961 Dinniss, Heather Harrison, Cyber Warfare and the Laws of War, Cambridge 2012 Dinstein, Yoram, Computer Network Attacks and Self-Defense, in: Schmitt/O’Donnell (Hrsg.), Computer Network Attack and International Law, Naval War College, Newport, Rhode Island 2002, S. 99–119 Dinstein, Yoram, War, Aggression and Self-Defense, 5. Auflage (Cambridge) 2011 Dittmar, Falko, Angriffe auf Computernetzwerke. Ius ad bellum und ius in bello, Berlin 2004 Döge, Jenny, Cyber Warfare. Challenges for the Applicability of the Traditional Laws of War Regime, AVR 2010, S. 486–501 Doehring, Karl, Die allgemeinen Regeln des völkerrechtlichen Fremdenrechts und das deutsche Verfassungsrecht, Berlin, 1963 Drechsler, Karl-Heinz/Lünstedt, Gerd/Lacroix, Bernhard, Informations-Operationen, „Cyberterrorismus“ und die Bundeswehr, Sicherheit und Frieden 2000, S. 130– 135 Dreier, Horst, GG-Kommentar, Band III, Art. 83–146 GG, 2. Auflage (Tübingen) 2008 Dreier, Horst, GG-Kommentar, Band II, Art. 20–82 GG, 3. Auflage (Tübingen) 2015 Dreist, Peter, Terrorismusbekämpfung als Streitkräfteauftrag – zu den verfassungsrechtlichen Grenzen polizeilichen Handelns der Bundeswehr im Innern, NZWehrr 2004, S. 89–114 Drewes, Michael/Malmberg, Karl Magnus/Walter, Bernd, Bundespolizeigesetz (BPolG) Zwangsanwendung nach VwVG/UZwG, 5. Auflage (Stuttgart) 2015 Drews, Bill/Wacke, Gerhard/Vogel, Klaus/Martens, Wolfgang, Gefahrenabwehr, 9. Auflage (Köln) 1986 Droste, Bernadette, Handbuch des Verfassungsschutzrechts, Berlin 2007 Duthel, Heinz, Kommando Spezialkräfte, Norderstedt 2015 Ebert, Frank, Entwicklungen und Tendenzen im Recht der Gefahrenabwehr, LKV 2017, S. 10–17 Egan, Brian J., International Law and Stability in Cyberspace Berkeley Journal of International Law 2017, Vol. 35, Iss. 1, S. 169–180 Einwag, Alfred/Schoen, Gerd-Dieter, Bundesgrenzschutzgesetz, München 1973 Epping, Volker, Die Evakuierung deutscher Staatsbürger im Ausland als neues Kapitel der Bundeswehrgeschichte ohne rechtliche Grundlage? – Der Tirana-Einsatz

314 Literaturverzeichnis der Bundeswehr auf dem rechtlichen Prüfstand – AöR, Band 124 (1999), S. 423– 469 Epping, Volker, Beck’scher Online-Kommentar Grundgesetz, 36. Edition, Stand: 15. Februar 2018 Erickson, Jon, Hacking: Die Kunst des Exploits, 2. Auflage (Heidenberg) 2009 Erler, Fritz, Soll Deutschland rüsten? Die SPD zum Wehrbeitrag, Bonn 1952 di Fabio, Udo, Sicherheit in Freiheit, NJW 2008, 421–425 Fanelli, Robert/Conti, Gregory, A Methodology for Operations Targeting and Control of Collateral Damage in the Context of Lawful Armed Conflict: Czossek/Ottis/ Ziolkowki (Hrsg.), 4th International Conference on Cyber Conflict, 2012, S. 319– 331 Fischer, Mattias, Terrorismusbekämpfung durch die Bundeswehr im Inneren Deutschlands? JZ 2004, S. 376–384 Fischer, Thomas, Kommentar zum Strafgesetzbuch, 65. Auflage (München) 2018 Fischer-Lescano, Andreas, Verfassungsrechtliche Fragen der Auslandsentsendung des BGS, AöR, Band 128 (2003), S. 52–90 Fischer-Lescano, Andreas, Rechtsrahmen der Maßnahmen gegen die Seepiraterie, NJW 2009, S. 1243–1247 Ford, H./Dubois, E., Puschmann, C., Keeping Ottawa Honest – One Tweet at a Time? Politicans, Journalists, Wikipedians, and Their Twitter Bots, International Journal of Communications 10, S. 4891–4914 Forst, Christian, Technische Aspekte des völkerrechtskonformen Einsatzes von Schadsoftware in der virtuellen Kriegsführung: Forst/Vugrin/Wessendorff (Hrsg.), Das Zeitalter der Einsatzarmee, 2014, S. 85–103 Franzese, Patrick W., Sovereignty in Cyberspace: Can it Exist?, Air Force Law Review, Vol. 64, 2009, S. 1–42 Frau, Robert, Drohnen und deutsches Recht: Forst/Vugrin/Wessendorff (Hrsg.), Das Zeitalter der Einsatzarmee, 2014, S. 26–36 Fremuth, Michael Lysander, Wächst zusammen, was zusammengehört? Das Trennungsgebot zwischen Polizeibehörden und Nachrichtendiensten im Lichte der Reform der deutschen Sicherheitsarchitektur, AöR 2014, S. 32–79 Gade, Gunther D./Kieler, Marita, Polizei und Föderalismus, Aufgabenfelder der Bundes- und Landespolizeien im verfassungsrechtlichen Gefüge der Bundesrepublik Deutschland, Stuttgart 2008 Gärditz, Ferdinand, Entscheidungsanmerkung zu BVerfGE 133, (277 ff.), JZ 2013, S. 633–636 Gauseweg, Simon, Computerwürmer und Cyberwarfare – Moderne Herausforderungen an das humanitäre Völkerrecht, in: Forster/Vugrin/Wessendorff (Hrsg.), Das Zeitalter der Einsatzarmee, 2014, S. 69–84 Gauseweg, Simon, Der konstitutive Parlamentsvorbehalt beim Einsatz bewaffneter Drohnen, in: Frau (Hrsg.), Drohnen und das Recht, 2014, S. 177–191

Literaturverzeichnis315 Gaycken, Sandro, The Necessity of (Some) Certainty – A Critical Remark Concerning Matthew Sklerov’s Concept of „Active Defense“, Journal of Military and Strategic Studies, Vol. 12, Issue 2, 2010 Gaycken, Sandro, Cyberwar, Das Internet als Kriegsschauplatz, München, 2011 Gaycken, Sandro, Die vielen Plagen des Cyberwar, in: Schmidt-Radefeldt, Roman/ Meissler, Christine (Hrsg.), Automatisierung und Digitalisierung des Krieges. Drohnenkrieg und Cyberwar als Herausforderungen für Ethik, Völkerrecht und Sicherheitspolitik, Baden-Baden 2012, S. 89–116 Gaycken, Sandro/Karger, Michael, Entnetzung statt Vernetzung, Paradigmenwechsel bei der IT-Sicherheit, MMR 2011, S. 3–8 Geiß, Robin/Lahmann, Henning, Cyber Warfare: Applying the Principle of Distinction in an Interconnected Space, Israel Law Review 2012, S. 381–399 Geiß, Robin/Lahmann, Henning, Cyberwar: Kriegsführung im Graubereich des Rechts. ZöR 2018, S. 39–58 Geiß, Robin/Lahmann, Henning, Freedom and Security in Cyberspace: Shifting the Focus away from Military Responses towards Non-forcible Countermeasures and Collective Threat-Prevention, in: Ziolkowski (ed.), Peacetime Regime for State Activities in Cyberspace, S. 621–657 Giannelli, Lou, The Cyber Equalizer: The Quest for Control and Dominance in Cyber Spectrum, 2008 Gill, Terry D., Non-Intervention in the Cyber Context: Ziolkowski (ed.), Peacetime Regime for State Activities in Cyberspace. International Law, International Relations and Diplomacy, S. 217–238 Goldsmith, Jack/Wu, Tim, Who Controls the Internet? Illusions of a Borderless World, Oxford, 2006 Govil, Namand/Agraval, Anand/Tippenhauer, Nils Ole, On Ladder Logic Bombs in Industrial Control Systems, 1 (5), Cornwell University Library, 11 Seiten Grabitz, Eberhard/Hilf, Meinhard/Nettesheim, Martin, Das Recht der Europäischen Union, Kommentar 61. EL (München) April 2017 Gramm, Christof, Bundeswehr als Luftpolizei: Aufgabenzuwachs ohne Verfassungsänderung?, NZWehrr 2003, S. 89–101 Gramm, Christof, Die Bundeswehr in der neuen Sicherheitsarchitektur, Die Verwaltung 2008, S. 375–404 Grant, John P./Barker, Craig, Encyclopedic Dictionary of International Law, Oxford 2009 Großmann, Gerhard, Bundeswehrsicherheitsrecht. Systematische Darstellung und Kommentar zum Gesetz über die Anwendung unmittelbaren Zwanges und die Ausübung besonderer … Bundeswehr und zivile Wachpersonen (UZwGBw), Köln 1981 Grubert, Wolfgang, Verteidigungsfremde Verwendung der Streitkräfte in Deutschland seit dem Kaiserreich außerhalb des inneren Notstandes, 1997

316 Literaturverzeichnis Guarino, Alessandro, Guarino, Autonomous Intelligent Agents in Cyber Offence, in: Podins/Stinissen/Maybaum (Hrsg.), 5th International Conference on Cyber Conflict, 2013, 377–390 Gunitsky, Seva, Corrupting the Cyber-Commons: Social Media as a Tool of Autocratic Stability, Perspectives on Politics, March 2015, S. 42–54 Gusy, Christoph, Die „freiheitliche demokratische Grundordnung“ in der Rechtsprechung des Bundesverfassungsgerichts, AöR, Band 105 (1980), S. 279–310 Gusy, Christoph, Die Rechtsstellung er Nachrichtendienste, JURA 1986, S. 296–300 Gusy, Christoph, Das verfassungsrechtliche Gebot der Trennung von Polizei- und Nachrichtendiensten, ZRP 1987, S. 45–52 Gusy, Christoph, Das gesetzliche Trennungsgebot zwischen Polizei und Verfassungsschutz, Die Verwaltung 1991, S. 467–490 Gusy, Christoph, Selbstbestimmung im Wandel, AVR 1992, S. 385–410 Gusy, Christoph, Polizei und Nachrichtendienste im Kampf gegen die Organisierte Kriminalität, KritV 1994, S. 242–256 Haaster, Jelle van, Assessing Cyber Power, in: Pissanidis/Rõigas/Veenendaal (Hrsg.), 8th International Conference on Cyber Conflict, 2016, S. 23–36 Häberle, Peter, Das Grundgesetz zwischen Verfassungsrecht und Verfassungspolitik, Baden-Baden 1996 Hartmann, Kim/Giles, Keir, UAV Exploitation A New Domain for Cyber Power, in: N. Pissanidis/H. Rõigas/M. Veenendaal (Hrsg.), 8th International Conference on Cyber Conflict, 2016, S. 205–221 Hartwig, Matthias, Bericht zur völkerrechtlichen Praxis der Bundesrepublik Deutschlandim Jahr 2014, ZaörV 2018, S. 189–271 Hathaway, Oona A./Crootof, Revbecca et al., The Law of Cyber-Attack, Faculty Scholarship Series, 2012, Paper 3852, S. 817–886 Hector, Pascal, Hybride Kriegsführung: Eine neue Herausforderung? ZaöRV 2016, S. 513–526 Hegelich, Simon, Invasion der Meinungsroboter, Analysen und Argumente KonradAdenauer-Stiftung, Ausgabe 221, September 2016 Heintschel von Heinegg, Wolff, Cyberspace – Ein völkerrechtliches Niemandsland, in: Schmidt-Radefeldt/Meissler (Hrsg.), Automatisierung und Digitalisierung des Krieges. Drohnenkrieg und Cyberwar als Herausforderungen für Ethik, Völkerrecht und Sicherheitspolitik, Baden-Baden 2012, S. 159–174 Heintschel von Heinegg, Wolff, Humanitäres Völkerrecht und neue Waffentechnologien, in: Gramm/Weingärtner (Hrsg.), Moderne Waffentechnologie. Hält das Recht Schritt?, Baden-Baden 2015, S. 13–31 Herdegen, Matthias, Völkerrecht, 17. Auflage (München) 2018 Hesse, Joachim Jens, Die Neuausrichtung der Bundeswehr. Ansatz, Umsetzung und Ergebnisse im nationalen und internationalen Vergleich, Baden-Baden, 2015

Literaturverzeichnis317 Hesse, Konrad, Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, 20. Auflage (Heidelberg) 1999 Hetzer, Wolfgang, Polizei und Geheimdienste zwischen Strafverfolgung und Staatsschutz, ZRP 1999, S. 19–24 Hölscheidt, Sven, Das neue Recht des Bundesnachrichtendienstes, JURA 2017, S. 148–156 Hofer, H. J., Die Streitkräfte als ersuchende und ersuchte Behörde im Recht der Amtshilfe, NZWehrr 1973, S. 2–13 Hoffman, Frank G., Conflict in the 21st Century: The Rise of Hybrid Wars, Arlington 2007 Hoffmann-Riem, Wolfgang, Grundrechts- und Funktionsschutz für elektronisch vernetzte Kommunikation, AöR Band 134 (2009), S. 513–541 Hollis, Duncan B., Why States Need an International Law for Information, Lewis & Clark Law Review 2007, S. 1023–1061 Hollis, Duncan B., An e-SOS for Cyberspace, Harvard International Law Journal, Vol. 52, No. 2, 2011, S. 374–432 Hollis, Duncan B., Re-Thinking the Boundaries of Law in Cyberspace: A Duty to Hack?, in: Ohlin/Govern/Finkelstein, Cyber War Law and Ethics for Virtual Conflicts, Oxford, 2015, S. 129–176 Holznagel, Bernd, Phänomen „Fake News“ – Was ist zu tun? Ausmaß und Durchschlagskraft von Desinformationskampagnen, MMR 2018, S. 18–22 Huzel, Erhard, Zur rechtlichen Problematik der Verhütung von Straftaten und der Vorsorge für die künftige Verfolgung von Straftaten – unter besondere Berücksichtigung der Aufgaben des Bundesgrenzschutzes, in: Heesen et al., Der Bundesgrenzschutz im Spannungsfeld gesellschaftlicher Entwicklungen, Lübeck 1997, S. 85–91 Ipsen, Knut, Der Einsatz der Bundeswehr zur Verteidigung, im Spannungs- und Verteidigungsfall sowie im internen bewaffneten Konflikt, in: Schwarz, Klaus Dieter (Hrsg.), Sicherheitspolitik. Analysen zur politischen und militärischen Sicherheit 3. Auflage, Bad Honnef-Erpel, 1978 Ipsen, Knut, Völkerrecht, München, 2014 Isensee, Josef, „Recht und Freiheit des deutschen Volkes“-Legitimation und Schutzgut der Bundeswehr, in: Wellershof (Hrsg.), Frieden ohne Macht? Sicherheitspolitik und Streitkräfte im Wandel, S. 61–80 Isensee, Josef/Kirchhof, Paul, Handbuch des Staatsrechts der Bundesrepublik Deutschland (Heidelberg), Bd. III (2005) Isensee, Josef/Kirchhof, Paul, Handbuch des Staatsrechts der Bundesrepublik Deutschland (Heidelberg), Bd. IV (2006) Isensee, Josef/Kirchhof, Paul, Handbuch des Staatsrechts der Bundesrepublik Deutschland (Heidelberg), Bd. IX (2011) Isensee, Josef/Kirchhof, Paul, Handbuch des Staatsrechts der Bundesrepublik Deutschland (Heidelberg), Bd. XI (2013)

318 Literaturverzeichnis Jacobs, Holger, Die Wahrung der parlamentarischen Ordnung – Ordnungsmaßnahmen des Parlamentspräsidenten im Deutschen Bundestag und in den Landtagen-, DÖV 2016, S. 563–569 Jahn, Matthias, Das Strafrecht des Staatsnotstandes, 2004 Jahn, Ralf/Riedel, Norbert K., Streitkräfteeinsatz im Wege der Amtshilfe, DÖV 1988, S. 957–961 Jarass, Hans D./Pieroth, Bodo, Kommentar zum Grundgesetz, 14. Auflage 2016 Jaspers, Karl, Wohin treibt die Bundesrepublik, München, 1966 Jellinek, Georg, Allgemeine Staatslehre, Berlin 1921 Jensen, Eric T., Computer Attacks on Critical National Infrastructure: A Use of Force Invoking the Right of Self-Defense, Stanford Journal of International Law, 207, 2002, S. 207–240 Jeserich, Kurt G. A./Pohl, Hans/v. Unruh, Georg-Christoph, Deutsche Verwaltungsgeschichte, Bd. 5 Die Bundesrepublik Deutschland, Stuttgart 1987 Joecks, Wolfgang/Miebach, Klaus, Münchener Kommentar zum StGB, 3. Auflage München 2017, Band 1 (§§ 1–37) Johannes, Paul C./Roßnagel, Alexander, Der Rechtsrahmen für einen Rechtsrahmen der Grundrechte in der digitalen Welt, Kassel, 2016 Joyner, Christopher C./Lotrionte, Catherine, Information Warfare as International Coercion: Elements of a Legal Framework, European Journal of International Law (EJIL) 2001, Vol. 12 No. 5 S. 825–865 Jowett, Garth S./O’Donnell, Victoria, Propaganda and Persuasion, 5. Auflage (Los Angeles) 2012 Jungk, Fabian, Police Private Partnership, Köln, 2002 Jurich, Jon P., Cyberwar and Customary International Law: The Potential of a „Boom-up“ Approach to an International Law of Information Operations, Chicago Journal of International Law, S. 275–295 Kahl, Wolfgang/Waldhoff, Christian/Walter, Christian, Bonner Kommentar zum Grundgesetz, Loseblattsammlung Kanuck, Sean, Sovereign Discourse on Cyber Conflict, Texas Law Review 2010, S. 1571–1597 Kapaun, Nina, Völkerrechtliche Bewertung gezielter Tötungen nicht-staatlicher Akteure, 2014 Keber, Tobias O./Roguski, Przemyslaw N., Ius ad bellum electronicum? Cyberangriffe im Lichte der UN-Charta und aktueller Staatenpraxis, AVR Vol. 49, 2011, S. 399–434 Kerr, Orin S., The Problem of Perspective in Internet Law, Georgetown Law Journal 2003, S. 359–361 Kilian, Wolfgang/Heussen, Benno, Computerrechts-Handbuch, 33. EL (München) 2017

Literaturverzeichnis319 Kipker, Dennis-Kenji, Der BMI-Referentenentwurf zur Umsetzung der NIS-RL, Was dürfen Betreiber von Kritischen Infrastrukturen und Anbieter von digitalen Diensten erwarten?, MMR 2017, S. 143–147 Kisker, Hans-Werner, Beiträge zur Datensicherheit: Ein gegen Viren immuner PC – eine abhörsichere Datenübertragung, in: Dette (Hrsg.) Computer, Software und Vernetzungen für die Lehre, S. 281–290 Klein, Eckart, Rechtsprobleme einer deutschen Beteiligung an der Aufstellung von Streitkräften der Vereinten Nationen, ZaöRV 1974, S. 429–451 Klein, Oliver, Das Untermaßverbot – Über die Justiziabilität grundrechtlicher Schutzpflichterfüllung, JuS 2006, S. 960–964 Knoll, Stefan, Preußen Ein Beispiel für Führung und Verantwortung, Berlin 2010 Kobe, Donald H., A theory of catalytic war, Conflict Resolution Vol. VI, No. 2, Department of Physics and Astronomy, The Ohio State University Koch, Robert/Dreo Rodosek, Gabi, The Role of COTS Products for High Security Systems, in: Czossek/Ottis/Ziolkowki (Hrsg.), 4th International Conference on ­Cyber Conflict, 2012, S. 413–428 Koch, Robert/Stelte, Björn/Golling, Mario, Attack Trends in Present Computer Networks, in: Czossek, Ottis, Ziolkowki (Hrsg.), 4th International Conference on ­Cyber Conflict, 2012, S. 269–282 Köhler, Michael, Polizeigewalt des Parlamentspräsidenten – eine Darstellung am Beispiel des Präsidenten des Deutschen Bundestages-, DVBl. 1992, S. 1577–1585. König, Marco, Trennung und Zusammenarbeit von Polizei und Nachrichtendiensten, Stuttgart 2005 Koh, Harold Hongju, International Law in Cyberspace, Harvard International Law Journal Online 54, (2012), S. 1–12 Kozlowski, Andrzej, Comparative Analysis of Cyberattacks on Estonia, Georgia and Kyrgyzstan, European Scienzific Journal 2014, S. 237–245 Krajewski, Markus, Selbstverteidigung gegen bewaffnete Angriffe nicht-staatlicher Organisationen – Der 11. September 2001 und seine Folge, AVR, Bd. 40 (2002), S. 183–214 Krieger, Heike, Krieg gegen anonymous, Völkerrechtliche Regelungsmöglichkeiten bei unsicherer Zurechnung im Cyberwar, AVR 2012, S. 1–20 Kriesel, Friedrich Wilhelm/Kriesel, David, Cyberwar – relevant für Sicherheit und Gesellschaft? Eine Problemanalyse, in: Schmidt-Radefeldt/Meissler (Hrsg.), Automatisierung und Digitalisierung des Krieges. Drohnenkrieg und Cyberwar als Herausforderungen für Ethik, Völkerrecht und Sicherheitspolitik, S. 117–129 Krings, Günter/Burkiczak, Christian, Bedingt abwehrbereit? – Verfassungs- und völkerrechtliche Aspekte des Einsatzes der Bundeswehr zur Bekämpfung neuer terroristischer Gefahren im In- und Ausland, DÖV 2002, S. 501–512 Kuehl, D., Information Operations, Information Warfare, and Computer Network Attack: Their Relationship to National Security in the Information Age, in: ­

320 Literaturverzeichnis Schmitt/O’Donnell (Hrsg.), Computer Network Attack and International Law, Naval War College, Newport, Rhode Island 2002, S. 35–58 Kugelmann, Dieter, Polizei- und Ordnungsrecht, 2. Auflage (Heidelberg) 2011 Kullik, Jakob, Vernetzte (Un-)Sicherheit? Eine politisch-rechtliche Analyse der deutschen Cybersicherheitspolitik, Hamburg, 2014 Kunig, Philip, Das Rechtsstaatsprinzip, Tübingen 1986 Ladiges, Manuel, Der Cyberraum – ein (wehr-)verfassungsrechtliches Niemandsland?, NZWehrr 2017, S. 21–245 Laskin, Alexander, The White House U.S. Propaganda after 9/11, 2010

Office

of

Global

Communications,

Lepper, Manfred, Die verfassungsrechtliche Stellung der militärischen Streitkräfte im gewaltengeteilten Rechtsstaat, Bielefeld, 1965 Lewis, James A., Assessing the Risks of Cyber Terrorism, Cyber War and Other Cyber Threats, Center for Strategic and International Studies, 2002 Libicki, Martin C., What is Information Warfare?, 1995 Libicki, Martin C., Cyberdeterrence and Cyberwar, Santa Monica, CA, 2009 Lin, Herbert, Responding to Sub-Threshold Cyber Intrusions: A Fertile Topic for Research and Discussion, Georgetown Journal of International Affairs 2011, S. 127– 135 Lin, Herbert, Cyber Conflict and International Humanitarian Law; International Review of the Red Cross Cross 94 (2012), S. 515–531 Linke, Tobias, Innere Sicherheit durch Bundeswehr? Zur Möglichkeit und Grenzen der Inlandsverwendung der Streitkräfte, AöR 2004, S. 490–541 Linke, Tobias, Rechtsfragen der Einrichtung und des Betriebs eines Nationalen CyberAbwehrzentrums als informelle institutionalisierte Sicherheitskooperation, DÖV 2015, S. 128–139 Lindsay, Jon R., Stuxnet and the Limits of Cyber Warfare, in: Security Studies Vol. 22, Iss. 2013, S. 365–404 Lutze, Christian, Abwehr terroristischer Angriffe als Verteidigungsaufgabe der Bundeswehr, NZWehrr 2003, S. 101–115 de Maizière, Ulrich, Streitkräfte und Bedrohung. Zur Legitimation der Bundeswehr von ihrer Gründung bis zum Ende der Breschnew Ära – aus der Sicht eines Zeitzeugen –, in: Wellershof (Hrsg.), Frieden ohne Macht? Sicherheitspolitik und Streitkräfte im Wandel, S. 20–32 v. Mangoldt, Hermann/Klein, Friedrich/Starck, Christian, Das Bonner Grundgesetz, Kommentar, Band 2: Art. 20–82, 6. Auflage (München) 2010 v. Mangoldt, Hermann/Klein, Friedrich/Starck, Christian, Das Bonner Grundgesetz, Kommentar, Band 3: Artikel 83 bis 146, 7. Auflage (München) 2018 Marxsen, Christian, Verfassungsrechtliche Regeln für Cyberoperationen der Bundeswehr. Aktuelle Herausforderungen für Einsatzbegriff und Parlamentsvorbehalt, JZ 2017, S. 543–552

Literaturverzeichnis321 Maunz, Theodor/Dürig, Günter (Begründer), Grundgesetz-Kommentar May, Larry, The Nature of War and the Ideal of „Cyberwar“, in: Ohlin/Govern/Finkelstein, Cyber War Law and Ethics for Virtual Conflicts, Oxford, 2015, S. 3–15 Maybaum, Markus, Technical Methods, Techniques, Tools and Effects of Cyber Operations in: Ziolkowski (ed.), Peacetime Regime for State Activities in Cyberspace. International Law, International Relations and Diplomacy, S. 103–134 Melzer, Nils, Cyberwarfare and International Law, 2011, abrufbar unter: http://unidir. org/files/publications/pdfs/cyberwarfare-and-international-law-382.pdf Messerschmidt, Jan E., Hackback: Permitting Retaliatory Hacking by Non-State Actors as Proportionate Countermeasure to Transboundary Cyberharm, Columbia Journal of Transnational Law, Vol. 52, 2013, S. 275–324 Meyer-Goßner, Lutz, Kommentar zur Strafprozessordnung, 60. Auflage (München) 2017 Milker, Jens, „Social-Bots“ im Meinungskampf. Wie Maschinen die öffentliche Meinung beeinflussen und was wir dagegen unternehmen können, ZUM 2017, S. 216–222 Möckli, Daniel, Informationsoperationen: Trends und Kontroversen, Center for Strategic Studies (CSS) ETH Zürich, Mai 2008 Möstl, Markus/Kugelmann, Dieter, Beck’scher Online-Kommentar Polizei- und Ordnungsrecht Nordrhein-Westfalen, 6. Edition, Stand: 10. August 2017 Möstl, Markus/Schwabenbauer, Thomas, Beck’scher Online-Kommentar Polizei- und Sicherheitsrecht Bayern, Stand: 01. Januar 2018 Müller, Eckhart/Schlothauer, Reinhold, Münchner Anwaltshandbuch Strafverteidigung, 2. Auflage (München) 2014 v. Münch, Ingo (Hrsg.), Festschrift für Festschrift für Hans-Jürgen Schlochauer zum 75. Geburtstag am 28. März 1981 v. Münch, Ingo/Kunig, Philip, Grundgesetz-Kommentar, Bd. 1 Art. 1–69 (6. Auflage 2012) v. Münch, Ingo/Kunig, Philip, Grundgesetz-Kommentar, Bd. 2 Art. 70–146 (6. Auf­ lage 2012) Münkler, Herfried, Der Wandel des Krieges, Von der Symmetrie zur Asymmetrie, 2. Auflage (Göttingen) 2006 Murray, Williamson/Mansoor, Peter R., Hybrid Warfare. Fighting Complex Opponets from the Ancient World to the Presence, Cambridge 2012 Murswiek, Dietrich, Die Problematik eines Rechts auf Sezession – neu betrachtet, AVR 1993, S. 307–332 Nasu, Hitoshi/Mc Laughlin, Robert, New Technologies and the Law of Armed Conflict, 2014 Nehm, Kay, Das nachrichtendienstrechtliche Trennungsgebot und die neue Sicherheitsarchitektur, NJW 2004, S. 3289–3295

322 Literaturverzeichnis Nemeth, William J., Future war and Chechnya: a case for hybrid warfare, Monterey, CA, 2002, abrufbar unter: http://calhoun.nps.edu/bitstream/handle/10945/5865/ 02Jun_Nemeth.pdf Neubert, Carl-Wendelin, Bundeswehreinsatz im Südsudan -Evakuierungsmissionen deutscher Streitkräfte im Ausland nach Völker- und Verfassunsgrecht- DÖV 2017, S. 141–147 Neusel, Hans, Aktivitäten der Bundesregierung zur IT-Sicherheit, RDV 1990, S. 161– 167 Nguyen, Reese, Navigating Jus Ad Bellum in the Age of Cyber Warfare, California Law Review 2013, S. 1079–1130 Nolte, Georg, Hate-Speech, Fake-News, das „Netzwerkdurchsuchungsgesetz“ und Vielfaltsicherung durch Suchmaschinen. Vortrag auf dem interdisziplinären Symposium „Der Code als Gatekeeper: Vielfaltsicherung in Zeiten von Such- und Entscheidungsalgorithmen, Personalisierung und Fake-News“ des Instituts für Urheber- und Medienrecht am 24.4.2017 in München, ZUM 2017, S. 552–565 Odendahl, Kerstin, Regimewechsel und Interventionsverbot: die Elfenbeinküste und Libyen als Fallstudien, AVR (50) 2012, S. 318–347 Ohlin, Jens David/Govern, Kevin/Finkelstein, Claire, Cyber War Law and Ethics for Virtual Conflicts, Oxford, 2015 van Ooyen, Robert Christian, Polizei, Verfassungsschutz und organisierte Kriminalität: Die Entscheidung des Verfassungsgerichtshofs Sachsen zum Trennungsgebot, JBÖS 2006/2007, S. 365–374 Oprach, Marc, Hybrid Warfare – neue Dimension der terroristischen Bedrohung, Die politische Meinung 2012, S. 59–63 Owens, William A./Dam, Kenneth W./Lin, Herbert S., Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities, Washington D.C., 2009 Paeffgen, Hans-Ullrich/Gärditz, Klaus, Die föderale Seite des „Trennungsgebots“ oder: Art. 87 III, 73 und das G-10-Urteil, KritV 2000, S. 65–75 Papier, Hans-Jürgen, Gutachterliche Stellungnahme, Beweisbeschluss SV-2 des ersten Untersuchungsausschusses des Deutschen Bundestages der 18. Wahlperiode, (München), Mai 2014 Papier, Hans-Jürgen, Rechtsstaatlichkeit und Grundrechtsschutz in der digitalen Gesellschaft, NJW 2017, S. 3025–3031 Papier, Hans-Jürgen/Durner, Wolfgang, Streitbare Demokratie, AöR, Band 128 (2003), S. 340–371 Patterson, Ryan, Silencing the Call to Arms: A Shift Away From Cyber Attacks as Warfare, Loyola of Los Angeles Law Review 2015, S. 969–1016 Paulus, Andreas L., Die Parlamentszustimmung zu Auslandseinsätzen nach dem Parlamentsbeteiligungsgesetz, in: Weingärtner (Hrsg.), Einsatz der Bundeswehr im Ausland, Baden-Baden 2006, S. 81–115

Literaturverzeichnis323 Petrov, Anton O., Mittel der Kriegsführung – Neue Formen der Rechtssetzung?, in: Gramm/Weingärtner (Hrsg.), Moderne Waffentechnologie. Hält das Recht Schritt?, Baden-Baden 2015, S. 200–228 Pewestorf, Adrian/Söllner, Sebastian/Tölle, Oliver, Praxishandbuch Polizei- und Ordnungsrecht, 2. Auflage (Köln) 2016 Pieroth, Bodo, Die präventiven und repressiven Aufgaben des Bundesgrenzschutzes, besonders an den Binnengrenzen, VerwArchiv 1997, S. 568–597 Pihelgas, Mauno, Back-Tracing and Anonymity in Cyberspace, in: Ziolkowski (ed.), Peacetime Regime for State Activities in Cyberspace. International Law, International Relations and Diplomacy, S. 31–57 Pirker, Benedikt, Territorial Sovereignty and Integrity and the Challenges of Cyberspace, in: Ziolkowski (ed.), Peacetime Regime for State Activities in Cyberspace, S. 189–216 Poeppel, Hans, Operative Konsequenzen der Veränderung in Europa für die Landesverteidigung, in: Wellershof (Hrsg.), Frieden ohne Macht? Sicherheitspolitik und Streitkräfte im Wandel, S. 142–152 Poscher, Ralf/Rusteberg, Benjamin, Die Aufgabe des Verfassungsschutzes. Zur funktionalen Trennung von Polizei und Nachrichtendiensten, Kritische Justiz 2014, S. 57–71 Post, Jerrold/Ruby, Kevin G./Shaw, Eric D., From Car Bombst o Logic Bombs: The Growing Threat from Information Terrorism, Terrorism and Political Violence, Vol. 12, No. 2, 2000, S. 97–122 Priebe, Reinhard, Strenge Anforderungen des EuGH an nationale Regelungen, EuZW 2017, S. 136–139 Ramsauer, Ulrich, Kommentar zum Verwaltungsverfahrensgesetz, 18. Auflage (München) 2017 Rautenberg, Hans-Jürgen/Wiggershaus, Norbert, Die „Himmeroder Denkschrift“ vom Oktober 1950. Politische und militärische Überlegungen für einen Beitrag der Bundesrepublik Deutschland zur westeuropäischen Verteidigung, Militärgeschichtliche Zeitschrift, Band 21 (1977), Heft 1, S. 135–206 Reed, Thomas C., At the Abyss: An Insider’s History of the Cold War, San Francisco, 2005 Reidenberg, Joel R., Lex Informatica: The Formulation of Information Policy Rules Through Technology, Texas Law Review 1997, S. 553–593 Reiter, Heiko, Der konstitutive Parlamentsvorbehalt und die Verwendung der Bundeswehr im Lichte des Wandels internationaler Sicherheitssysteme, Hamburg 2015 Riedel, Norbert, Der Einsatz deutscher Streitkräfte im Ausland – und völkerrechtliche Schranken, Frankfurt, 1989 Riegel, Reinhard, Polizei und Geheimdienste, ZRP 1999, S. 216 Robbers, Gerhard, Die Befugnisse der Bundeswehr im Katastrophenfall, DÖV 1989, S. 926–931

324 Literaturverzeichnis Roewer, Helmut, Trennung von Polizei und Verfassungsschutzbehörden, DVBl. 1986, S. 205–208 Roewer, Helmut, Nachrichtendienstrecht der Bundesrepublik Deutschland. Kommentar und Vorschriftensammlung für die Praxis der Verfassungsschutzbehörden, des Bundesnachrichtendienstes und des Militärischen Abschirmdienstes, Berlin 1987 Roewer, Helmut, Geschichtlicher Nachtrag zur Kontroverse um die Trennung von Polizei und Verfassungsschutzbehörden, DVBl. 1988, S. 666–671 Roggan, Fredrik/Kutscha, Martin, Handbuch zum Recht der Inneren Sicherheit, 2. Auflage (Berlin) 2006 Roos, Philipp/Schumacher, Philipp, Botnetze als Herausforderung für Recht und Gesellschaft Zombies außer Kontrolle?, MMR 2014, S. 337–383 Roscini, Marco, Cyber Operations and the Use of Force in International Law, Oxford 2014 Roßnagel, Alexander, Das IT-Sicherheitsgesetz, in: DVBl. 2015, S. 1206–1212 Rowe, Neil C., The Ethics of Cyber War Attacks, in: Colarik/Janczewski, Cyber War and Terrorism, 2007, S. 105–111 Rudolf, Walter, Völkerrecht und deutsches Recht, Tübingen, 1967 Sachs, Michael, Grundgesetz, 8. Auflage (München) 2018 Sauer, Heiko, Staatsrecht III. Auswärtige Gewalt, Bezüge des Grundgesetzes zu Völker- und Europarecht, 4. Auflage (München) 2016 Schaefer, Christoph, Strafverfolgung und Verfassungsschutz, NJW 1999, S. 2572– 2573 Schaller, Christian, Internationale Sicherheit und Völkerrecht im Cyberspace, Für klarere Regeln und mehr Verantwortung, SWP-Studie, S. 1–31 Schaller, Christian, Beyond Self-Defense and Countermeasures: A Critical Assessment of the Tallinn Manual’s Conception of Necessity, Texas Law Review, Vol. 95, 2017, S. 1619–1639 Schenke, Wolf-Rüdiger/Graulich, Kurt/Ruthig, Josef, Sicherheitsrecht des Bundes, München 2014 Schmahl, Stefanie, Cybersecurity, in: Berichte der Deutschen Gesellschaft für Internationales Recht, Band 47 (Dethloff/Nolte/Reinisch) 2016, S. 159–212 Schenke, Wolf-Rüdiger/Graulich, Kurt/Ruthig, Josef, Herausforderungen der Regulierung im Cyberspace, ZöR 2017, S. 3–37 Schmitt, Carl, Legalität und Legitimität, 1932 Schmitt, Carl, Politische Theologie, 5. Auflage (Berlin) 1990 Schmitt, Michael N., Cyber Activities and the Law of Countermeasures, in: Ziolkowski (ed.), Peacetime Regime for State Activities in Cyberspace, S. 659–690 Schmitt, Michael N., Computer Network Attack and the Use of Force in International Law: Thoughts on a Normative Framework, Columbia Journal of Transnational Law 37 (1999), S. 885–937

Literaturverzeichnis325 Schmitt, Michael N., Tallinn Manual on the International Law Applicable to Cyber Warfare, prepared by the International Group of Experts at the Invitation of The NATO Cooperation Cyber Defence Centre of Excellence, Cambridge 2013 Schmitt, Michael N., Tallinn Manual 2.0 on the International Law Applicable to ­Cyber Operations, prepared by the International Group of Experts at the Invitation of The NATO Cooperation Cyber Defence Centre of Excellence, Cambridge 2017 Schneider, Michaela, Der 11. September und die militärischen Reaktionen: Anwendbarkeit des humanitären Völkerrechts?, HuV-I 2001, S. 222–226 Schöbener, Burkhard (Hrsg.), Völkerrecht. Lexikon zentraler Begriffe und Themen, Heidelberg, 2013 Schönke, Adolf/Schröder, Horst, Strafgesetzbuch Kommentar, 29. Auflage München 2014 Schörnig, Niklas, Die Automatisierung des Krieges: Eine kritische Bestandsaufnahme, in: Schmidt-Radefeldt/Meissler (Hrsg.), Automatisierung und Digitalisierung des Krieges. Drohnenkrieg und Cyberwar als Herausforderungen für Ethik, Völkerrecht und Sicherheitspolitik, Baden-Baden 2012, S. 33–59 Schorkopf, Frank, Staatsrecht der internationalen Beziehungen, München 2017 Schröder, Meinhard, Staatsrecht an den Grenzen des Rechtsstaates, AöR Band 103 (1978), S. 121–148 Schultz, Marcus, Die „Auslandsentsendung“ von Bundeswehr und Bundesgrenzschutz zum Zwecke der Friedenswahrung und Verteidigung, Frankfurt am Main, 1994 Schulze, Sven-Hendrik, Cyber-„War“ – Testfall der Staatenverantwortlichkeit Schwickert, Reinhard, Sicherheitspolitik und Friedensbewegung in der Bundesrepublik Deutschland, Frankfurt am Main, 1990 Siedler, Ragnhild E., Hard Power in Cyberspace: CNA as a Political Mean, in: Pissanidis/Rõigas/Veenendaal (Hrsg.), 8th International Conference on Cyber Conflict, 2016, S. 23–36 Siegmund, Gerd, Technik der Netze 2, 7. Auflage (Berlin) 2014 Siems, Thomas, Aufgaben eines militärischen Nachrichtendienstes – Eine rechtliche Betrachtung des MAD gestern – heute – morgen DÖV 2012, S. 425–432 Simma, Bruno/Khan, Daniel-Erasmus/Nolte, Georg/Paulus, Andreas, The Charter of the United Nations, A Commentary, 2012, Oxford, 2012 Singer, Jens, Praxiskommentar zum Gesetz über die parlamentarische Kontrolle nachrichtendienstlicher Tätigkeit des Bundes, 2016 Sklerov, Matthew J., Solving the Dilemma of State Responses to Cyberattacks: A Justification for the Use of Active Defenses against States who neglect their Duty to prevent, Military Law Review 201 (2009), S. 1–85 Skistims, Hendrik/Roßnagel, Alexander, Rechtlicher Schutz vor Staatstrojanern, ZD 2012, S. 3–7 Sodan, Helge, Kommentar zum Grundgesetz, 3. Auflage (München) 2015

326 Literaturverzeichnis Speth, Wolfgang, Rechtsfragen des Einsatzes der Bundeswehr unter besonderer Berücksichtigung sekundärer Verwendungen, München, 1985 Spies-Otto, Sylvia, Die verfassungsrechtliche Dimension staatlichen Verhaltens im Cyber-Raum, NZWehrr 2016, S. 133–155 Spies-Otto, Sylvia, Wieviel erlaubt das Grundgesetz? Bundeswehreinsatz im Innern, Politische Studien, 468/2016, S. 23–30 Spindler, Gerald, IT-Sicherheitsgesetz und zivilrechtliche Haftung, CR 5/2016, S. 297–315 Stadlmeier, Sigmar, Cyber Warfare und Neutralität, ZöR 2018, S. 59–70 Staffler, Lukas, Gesetzesinitiative gegen Fake News made in Italy, MMR-Aktuell 2017, 387090 Stein, Torsten, Völkerrechtliche Aspekte von Informationsoperationen, ZaöRV 2000, S. 1–40 Steinbach, Armin, Social Bots im Wahlkampf, ZRP 2017, S. 101–105 Stern, Klaus, Das Staatsrecht der Bundesrepublik Deutschland, Bd. 2, Staatsorgane, Staatsfunktionen, Finanz- und Haushaltsverfassung, Notstandsverfassung, München 1980 Stern, Klaus, Das Staatsrecht der Bundesrepublik Deutschland, Bd. 1, Grundbegriffe und Grundlagen der Staatsrechtslehre, Strukturprinzipien der Verfassung, 2. Auf­ lage (München) 1984 Stober, Rolf, Staatliches Gewaltmonopol und privates Sicherheitsgewerbe – Plädoyer für eine Police-Private-Partnership, NJW 1997, S. 889–896 Stober, Rolf/Olschok, Harald (Hrsg.), Handbuch des Sicherheitsgewerberechts, München 2004 Stockfisch, Dieter, Der Reibert. Das Handbuch für den deutschen Soldaten, Berlin Streiß, Christoph, Das Trennungsgebot zwischen Polizei und Nachrichtendiensten: Im Lichte aktueller Herausforderungen des Sicherheitsrechts, 2011 Stuby, Gerhard, Internationaler Terrorismus und Völkerrecht, Blätter für deutsche und internationale Politik, 2001, S. 1330–1340 Sunzi, Die Kunst des Krieges, Clavell, James (Hrsg.), deutschsprachige Ausgabe (München) 2001 Talmon, Stefan, Die Grenzen der Anwendung des Völkerrechts im deutschen Recht, JZ 2013, S. 12–21 Tams, Christian J., Die Zuständigkeit des Bundes für die Abwehr terroristischer Gefahren – Anmerkungen zum neuen Art. 73 Abs. 1 Nr. 9a GG –, DÖV 2007, S. 367–375 Tanenbaum, Andrew S./Wetherall, David J., Computernetzwerke, 5. Auflage (München) 2012 Theiler, Olaf, Cyber-Defence als Herausforderung für die NATO: Angemessene Bedrohungsabwehr oder Umgang mit einem „Scheinriesen“, in: Schmidt-Radefeldt, Roman/Meissler, Christine (Hrsg.), Automatisierung und Digitalisierung des Krie-

Literaturverzeichnis327 ges. Drohnenkrieg und Cyberwar als Herausforderungen für Ethik, Völkerrecht und Sicherheitspolitik, Baden-Baden 2012, S. 130–158 Thiel, Markus, Die „Entgrenzung“ der Gefahrenabwehr, Tübingen 2011 Thomas, Kurt/Grier, Chris/Paxson, Vern, Adapting Social Spam Infrastructure for Political Censorship, International Computer Science Institute, University of California, Berkeley Thym, Daniel, Zwischen „Krieg“ und „Frieden“: Rechtsmaßstäbe für operatives Handeln der Bundeswehr im Ausland, DÖV 2010, S. 621–630 Tomuschat, Christian, Der 11. September 2001 und seine rechtlichen Konsequenzen, EUGRZ 2001, S. 535–545 Trautner, Tobias, Die Einmischung in innere Angelegenheiten und die Intervention als eigenständige Verbotstatbestände im Völkerrecht, Bern, 1999 Uhle, Arnd, Zur Bundesgesetzgebungskompetenz für die Abwehr von Gefahren des internationalen Terrorismus – Anmerkungen zu Art. 73 Abs. 1 Nr. 9a GG –, DÖV 2010, S. 989–997 Umbach, Dieter C./Clemens, Thomas, Das Grundgesetz, Kommentar, Band I und II, Heidelberg, 2002 Graf Vitzthum, Wolfgang/Proelß, Alexander (Hrsg.), Völkerrecht, 7. Auflage (Berlin) 2016 Vogelgesang, Stephanie/Möllers, Frederik/Potel, Karin, Strafrechtliche Bewertung von Honeypots bei DoS-Angriffen. Strafbarkeit bei der digitalen Spurensuche, MMR 2017, S. 291–295 Volkmann, Uwe, Broken Windows, Zero Tolerance und das deutsche Ordnungsrecht, NVwZ 1999, S. 225–232 Volkmann, Uwe, Anmerkung zum Urteil des BVerfG vom 27.2.2008, 1 BvR 270/07 und 1 BvR 595/07, DVBl. 2008, S. 590–593 Voßkuhle, Andreas/Kaiser, Anna-Bettina, Grundwissen – Öffentliches Recht: Funk­ tionen der Grundrechte, JuS 2011, S. 411–413 Walter, Bernd, Der Einsatz der Bundeswehr im Inneren zur Gefahrenabwehr im Spannungsfeld zwischen Trennungsgebot und Vernetzung unter Berücksichtigung der aktuellen Migrationskrise, NZWehrr 2016, S. 89–103 Walter, Christian, Cyber Security als Herausforderung für das Völkerrecht, JZ 2015, 685–693 Walus, Andreas, Die Verteidigungs- und Zivilschutzkompetenz des Bundes bei auswärtigen Cyber-Angriffen gegen kritische Infrastrukturen, NZWehrr 2014, S. 1–11 Warner, Michael, Cybersecurity: A Pre-history, Journal on Intelligence and National Security, Vol. 27, 2012 S. 781–799 Waxman, Mathew C., Cyber-Attacks and the Use of Force. Back to the Future of Article 2 Abs. 4, Yales Journal of International Law, Vol. 36, 2011, S. 421–459 Weedon, Jen/Nuland, William/Stamos, Alex, Information Operation and Facebook, Version 1.0, 27. April 2017

328 Literaturverzeichnis Wehr, Matthias, Bundespolizeigesetz, 2. Auflage (Baden-Baden) 2015 Weiße, Günter, Informationsoperationen weltweit. Die Nachrichtendienste und ihre Fähigkeiten zur globalen Kommunikationsüberwachung, digitalen Datenerfassung und elektronischen Kriegsführung, Stuttgart, 2015 Weisser, Niclas-Frederic, Das Gemeinsame Terrorismusabwehrzentrum (GTAZ) – Rechtsprobleme, Rechtsform und Rechtsgrundlage, NVwZ 2011 S. 142–146 Welz, Joachim, 60 Jahre Wehrpflicht – Geschichte der Wehrgesetzgebung in der Bundesrepublik Deutschland, NZWehrr 2017, S. 104–124 West, Zach, Young Fella, if you’re looking for trouble I’ll accommodate you: Deputizing Private Companies for the use of hackback, Syracuse Law Review Vol. 63, 2012, S. 119–146 Wheeler, David A./Larsen, Gregory N., Techniques for Cyber Attack Attribution, Institute for Defense Analyses, Oktober 2003 Wiefelspütz, Dieter, Sicherheit vor den Gefahren des internationalen Terrorismus durch den Einsatz der Streitkräfte?, in NZWehrr 2003, S. 45–65 Wiefelspütz, Dieter, Bewaffnete Einsätze der Bundeswehr auf See, NZWehrr 2005, S. 146–163 Wiefelspütz, Dieter, Das Parlamentsheer, Der Einsatz bewaffneter deutscher Streitkräfte im Ausland, der konstitutive Parlamentsvorbehalt und das Parlamentsbeteiligungsgesetz, 2005 Wiefelspütz, Dieter, Die Bundeswehr in Libyen – Operation Pegasus aus Sicht des Völker- und Staatsrechts, HuV-I 2012, S. 56–68 Wiener, Norbert, Cybernetics: Or Control and Communication in the Animal and the Machine, Cambridge 1948 Will, Martin, Völkerrecht und nationales Recht. Dogmatische Grundlagen und konkrete Ausgestaltung am Beispiel der deutschen Verfassungsordnung, JA 2015, S. 1164–1176 Williams, Howard/Sullivan, David/Matthews, E. Gwynn, Francis Fukuyama and the end of history, Wales, 2016 Willich, Martin, Historische und aktuelle Probleme der Rechtsstellung des Bundesgrenzschutzes, seiner Aufgaben und Befugnisse, Hamburg 1978 Wilrich, Thomas, Der Bundestagspräsident, DÖV 2002, S. 152–158 Wilson, Clay, Congressional Research Report for Congress: Botnets, Cybercrime, and Cyberterrorism: Vulnerabilities and Policy Issues for Congress, 2008, S. 7 f. Winkeler, Michael, Von der Grenzpolizei zur multifunktionalen Polizei des Bundes? Aufgaben und Verwendungen des Bundesgrenzschutzes am Maßstab des Grundgesetzes, Bern 2005 Wolf, Heinrich A./Scheffczyk, Fabian, Verfassungsrechtliche Fragen der gemeinsamen Antiterrordatei von Polizei und Nachrichtendiensten, JA 2008, S. 81–88 Wolff, Hans-Jürgen, Kriegserklärung und Kriegszustand nach klassischem Völkerrecht: mit einem Beitrag zu den Gründen für eine Gleichbehandlung Kriegführender, Berlin, 1990

Literaturverzeichnis329 Woltag, Johann-Christoph, Cyber Warfare, in: Wolfrum (Hrsg.), Max Planck Encyclopedia of Public International Law, Vol. II, Oxford 2012 Woltag, Johann-Christoph, Cyber Warfare, Military Cross-Border Computer Network Operations under International Law, Cambridge 2014 Woolley, Samuel C./Howard, Philip N., Political Communication, Computational Propaganda, and Autonomous Agents, International Journal of Communications 10 (2016), S. 4882–4890 Würtenberger, Thomas, Sicherheitsarchitektur im Wandel, in: Kugelmann, Polizei unter dem Grundgesetz, Baden-Baden 2010, S. 73–90 Yoo, Christopher S., Cyber Espionage or Cyberwar?: International Law, Domestic Law, and Self-Protective Measures, in: Ohlin/Govern/Finkelstein, Cyber War Law and Ethics for Virtual Conflicts, Oxford, 2015, S. 175–194 Yu, Shui, Distributed Denial of Service Attack and Defense, 2014 Zimmermann, Andreas, Grundrechteingriffe durch deutsche Streitkräfte im Ausland und das Grundgesetz, ZRP 2012, S. 116–119 Ziolkowki, Katahrina, Computernetzwerkoperationen und die Zusatzprotokolle zu den Genfer Abkommen, Zum „virtuellen Raum“ des Internet und dem Schutzstandard der vor 30 Jahren in Kraft getretenen Protokolle, HuV-I 2008, S. 202–213 Ziolkowki, Katahrina, Stuxnet – Legal Considerations, HuV-I 2012, S. 139–147 Zuckerman, Ethan/Roberts, Hal/McGrady, Ryan/York, Jillian/Palfrey, John, Distributed Denial of Service Attacks Against Independent Media and Human Rights Sites, The Berkman Center for Internet & Society at Harvard University 2010

Sachverzeichnis 11. September 2001  45, 121, 181, 196 Aggressionsdefinition  247 Akteure  29, 87–89, 189, 196 f., 231, 262 Akzeptanzdefizit  161 f. Angriffsmethoden  28, 82–84 Angriffsverständnis 24 f., 147–155, 167, 172, 189, 215, 218, 227–229, 245, 243 f. Aufklärung  26, 49 f., 85, 115 f., 119–122, 143, 170, 268, 276, 289, 293, 305 Ausgangslage  19 Auslandseinsatz  132, 139, 182, 212, 285 Ausrüstung  170, 173, 176, 189, 198, 238, 274 Ausspähung  23, 58, 114 f., 207 Backdoor  73 Bedrohungslage  21, 28–90, 198, 200, 239, 254, 272, 291, 307 Befehl  143, 169 f. Beschädigung  58, 73 f., 86, 248, 254 f. Bestandsgefährdung  233 f. Botnetz 66 ff., 70, 78, 90, 92, 137, 159 ff., 163, 207 Bundesamt für Sicherheit in der Informationstechnologie  123–126, 129 f., 188, 256 Bundesamt für Verfassungsschutz  116 f., 126, 128 f., 146, 187, 294, 299 f., 303 Bundesgebiet  110, 201, 203, 211–213, 215 f., 220, 239 Bundesgrenze  98, 106, 153 Bundesgrenzschutz  95, 105, 110, 138, 173, 301

Bundeskriminalamt  95, 100 Bundesnachrichtendienst  119 f. Bundespolizei  24, 95 f., 104 f., 107–113, 123 f., 141, 167–170, 173, 187, 219, 239, 292, 303 Bundesstaatsprinzip  24, 94, 133, 186 Bundeswehr  105, 126, 134, 142–151, 154, 170, 173, 182, 213, 294 Bündnisfall  44, 60 Bürgerkrieg  142, 179, 223, 236 China  19, 89, 241 f., 244, 270 Computerkriminalität  98–103 Computernetzwerke  47, 55–57 Computernetzwerkoperation  43, 47, 59, 87, 91, 131, 166, 253, 268, 287 Cyber-Angriff  23, 32, 41, 46 f., 57, 59, 79 f., 84, 90, 103, 128, 252, 273, 294 Cyber-Exploitation  47, 56, 57–58, 82 Cyber-Intrusion  47 f., 59, 70, 91, 161 Cyberfähigkeiten defensiv, offensiv  144, 273–275 Cyber-Kriminalität   45 Cyberraum 87, 90, 100, 118, 121, 136 f., 155 ff.; 188 ff., 197–199, 240 ff., 263, 273 ff. Cyber-Terrorismus  44 Cyber-War  37 f. Defacement  75 f., 252 Denial of Service  65–68, 72, 78 Desinformationskampagne  49, 265 Distributed Denial of Service  65–68, 78, 98 f., 136, 176, 332 Domaine réservé  251 f. Drohne  85, 288 Drohpotential  134, 188

Sachverzeichnis331 Eigenstaatlichkeit  94, 186 ff. Eingebettete Systeme  33 f. Einsatzbegriff  131–135, 178, 188, 284 Einschüchterungseffekt  188 f. Europäische Union  44, 98, 104 Europäische Verteidigungsgemeinschaft  149 f. Exklusivitätsverhältnis  174–176 Falaschinformation  75, 79,81, 87, 261 False Amplifiers  54, 76 Fernmeldegeheimnis  137, 304 Flüchtigkeit des Cyberraums  34 Freiheitliche demokratische Grund­ ordnung  25, 110, 116, 120 f., 141, 146, 201, 218, 222, 224–236, 257, 261, 266 Freiheitsordnung  180 f. Fremdsteuerung  85 Frieden  20, 38, 60, 156 Funktionsfähigkeit  68, 82, 97, 112– 115, 138, 222 f., 255, 259 f., 270 Gefahrenabwehr  98–101, 103, 108 ff., 129–132, 134, 174–176, 184, 187, 239 Gesetzgebungskompetenz  94, 103, 105, 120, 187, 212 ff., 294 f. Gewaltmonopol  19, 202, 209, 233, 279, 308 Gewaltschwelle  251 f., 258 Gewaltverbot  63, 245 f. Group of Governmental Experts (GGE)  242–244, 256 Herkunft  155f, 159, 161, 167, 175 f., 177 f., 180, 190, 195, 198, 229, 231, 271 Hoheitsgebiet  106, 292 Hybride Kriegsführung  59–63 informationelle Selbstbestimmung  145, 224, 301 Informationsbeschaffung  58, 82–84, 87, 117, 268

Informationsoperation  23, 49, 51–59, 62, 79, 84, 242, 265 Informationsunterdrückung  75, 79, 87, 261 Informationsverbreitung  55, 266 Inlandseinsatz  178 f., 182–184, 178–180, 186–189 Intensität  25, 29, 43, 177, 231–240, 253 f., 257, 266, 271, 279, 285, 307 Intermediär  89 f., 159 f., 165, 195, 278 Internet  31, 32–35, 49, 66 f., 79, 82 f., 89 f., 92 Interventionsverbot  240, 251, 260, 264 f. Iran  48, 61, 81, 85 IT-Grundrecht  46, 137, 206 f. Joint Chiefs of Staff  53 Kalter Krieg  19, 150, 152 f., 178 Kombattantenstatus  169, 173, 223, 271 Kommando Cyber- und Informationsraum  143 f., 171, 274 Krieg  20, 37–43, 156 Kritische Infrastruktur  65, 84, 122, 124, 243, 248, 254–256 Länderhoheit  112, 135 f., 187 f. Landesgrenze  23, 110, 239 Landespolizei  95 f. 97, 108 f., 130, 173 Logische Bomben  71 Luftsicherheitsgesetz  180 ff. Menschenwürde  169, 203 Militärischer Abschirmdienst  145 f. Nachrichtendienste  24, 88 f., 94, 115 f., 118 f., 127, 145 f., 208, 301 Nationales Cyber-Abwehrzentrum  24, 125, 303 NATO  23, 44f, 62, 80, 83, 149, 153, 243, 265, 274 Nicaragua-Urteil (IGH)  157, 246, 249, 252 Nichtverfügbarkeit  23, 64 f., 68, 73, 78, 87, 257 f.

332 Sachverzeichnis Notstand  110, 141, 167, 211, 213, 219, 232, 235 Notstandsverfassung  39, 105, 110, 154, 211–213, 217 Nuklearwaffen-Gutachten (IGH)  247 Organisationsprinzip  226 Parlamentsvorbehalt  132, 141, 213, 284, 286, 289, 291 f., 307 Persönlichkeitsrecht  206 f. Phishing  71 f., 83 Polizei beim Deutschen Bundestag  112 f. Polizei-Brief  297 f. Propaganda  51 f., 144, 263 Public Private Partnership  209 Rangverhältnis  191, 193–195 Ransomsoftware 68 f. Ransomsoftware  68 Rechtsordnung  114, 164, 190, 192 f., 202, 216, 260 Rechtsstaatsprinzip  209 f., 300 f. Reziprozität  230, 232, 250, 279 Rückverfolgbarkeit  21, 25 f., 155–166, 172, 177, 190, 195, 261 f., 277–282, 289, 308 Rühe-Kommission  291 Russland  84, 89, 242, 244, 264 Schadprogramme, siehe Schadsoftware Schadsoftware  68 f., 70 f., 74, 79, 83, 159, 276, 281 f. Schutzobjekt  106 f., 203, 217, 234, 251 Schutzpflicht  202–206, 208, 216, 267 f. Sicherheitslage  118, 126, 146, 153 Social Bots  66, 76–78, 262 f., 266 Soldat  168 Soldatengesetz  169, 202 soziale Netzwerke  54, 78 f., 81, 121, 267 Spannungsfall  216 f. spezifisch militärische  134, 167 f., 170, 172, 185, 188, 197, 238

Spionage  47, 58, 82, 84, 115, 117, 268–270 Staatsgebiet  130, 176, 198, 216, 220–222, 225 Staatsgewalt  106, 134, 186, 202, 204, 220, 222 f., 225, 277, 285 Staatsschutzcharakter  101 f. Staatsvolk  220–222, 225, 233f Strafverfolgung  96, 100 ff., 130, 176 streitbare Demokratie  116, 121 Streitkräfteeinsatz  142, 181, 219, 224, 292 Streitkräfteentscheidung (BVerfG)  194, 212 f. Territoriale Integrität  106, 220, 269 Territorium  36, 87, 137, 166, 277, 306 Terrorismus  103 f., 117, 121, 129, 176, 196 Texttreue  182–184 Trennungsgebot  26, 293–303 Trojaner  68, 70, 159 Überlastung  65, 78 Ukraine  23, 59 f., 69, 72 UN-Charta  26, 40, 44, 112, 139, 240, 242 f., 245, 251 Unmanned Aerial Vehicle, siehe Drohne Urheberschaft  82, 87 f., 103, 155 f., 159, 163, 167, 174–177, 190, 196–199, 231, 237, 245, USA  84, 115, 123, 128, 152, 158, 242, 256, 269 f. Vereinte Nationen  245 Verfassungsorgan  107 ff., 129 Verhältnismäßigkeit  280, 307 Vermutungsregelung  164, 198 Verteidigungsauftrag  24, 138, 184, 187, 217, 223, 228 f., 305 Verteidigungsobjekt  152, 177, 199– 202, 217, 219, 220, 221, 224, 226, 228 f., 254, 265 f. Verteidigungsrecht  139, 179, 181, 193–195, 200, 211, 219, 230, 241, 246

Sachverzeichnis333 Viren  69, 83 Völkerbund  245 Völkerrecht  26, 40 f. 111, 121, 190–196, 198, 240–242, 251, 253 Vorsorgeprinzip  165 f., 198

Weißbuch  55, 59 f., 255, 260, 261 f.

Waffenbegriff  246 Wehrverfassung  22 f., 148–151, 173, 195, 245, 271, 305, 307

Zerstörung  23, 29, 48, 64, 73 f., 86, 101, 170, 196, 248, 254, 280

Wirkungsäquivalenz  247 f. Würmer  48, 68–71, 74, 88 Zentralstellenfunktion  118, 129, 187

Zweiter Weltkrieg  40, 245