Conrad Prince ist Distinguished Fellow und Senior Cyber Advisor bei RUSI. Er ist der ehemalige Generaldirektor für Operationen und stellvertretender Leiter der Signalaufklärungs- und Cybersicherheitsbehörde der britischen Regierung, GCHQ.
Im letzten Jahrzehnt hat die Offenheit und das Engagement der Geheimdienste des Vereinigten Königreichs deutlich zugenommen – insbesondere im Gegensatz zu den Tagen vor nicht allzu langer Zeit, als die Regierung ihre Existenz nicht einmal offiziell zugab. Aber heute haben wir Reden und Medienauftritte von Agenturchefs, umfangreiche Websites und sogar eine Präsenz in den sozialen Medien.
Jetzt ist dieser Prozess mit einer Veröffentlichung von einem der neuesten Zugänge zu dieser geheimen Welt – der National Cyber Force (NCF) – einen bedeutenden Schritt weiter gegangen. Die NCF hat ein Dokument veröffentlicht, das die Funktionsprinzipien hinter der Verwendung von etwas, das manchmal als „offensives Cyber“ bezeichnet wird, in Großbritannien darlegt. Das heißt, Operationen im Cyberspace, um die Fähigkeit eines Gegners zu stören, das Internet und digitale Technologie zu nutzen, um seine Ziele zu erreichen.
Der Leitfaden ist der erste seiner Art und gibt uns einen beispiellosen Einblick in die Denkweise Großbritanniens zu Cyberoperationen.
Das NCF wurde 2020 aus Elementen des Government Communications Headquarters – seiner Cyber-Intelligence- und Sicherheitsagentur – des Verteidigungsministeriums und des Secret Intelligence Service gegründet. Und obwohl seine Gründung eine deutliche Fokussierung auf diesen Bereich darstellt, ist das Vereinigte Königreich nicht neu in der Welt der offensiven Cyber-Operationen – nach eigenen Angaben der Regierung führt es sie seit über 20 Jahren durch. Aber bisher wurde in der Öffentlichkeit sehr wenig über den britischen Ansatz zu dieser Fähigkeit gesprochen.
Das öffentliche Verständnis von Cyberoperationen wird manchmal durch die übertriebene Sprache behindert, die zu ihrer Beschreibung verwendet wird. Begriffe wie „Cyber 9/11“ oder „Cyber-Pearl Harbor“ verstärken die ernsthaft irreführende Vorstellung, dass ein Cyberangriff etwas Analoges zu einem nuklearen ist und es hauptsächlich um die weit verbreitete und katastrophale Zerstörung von Teilen kritischer Infrastruktur geht.
Aber Nuklearenergie ist so ziemlich die denkbar schlechteste Analogie für Cyber. Cyber-Operationen sind viel näher an verdeckten Aktionen, an klandestine Operationen unterhalb der Schwelle eines schießenden Krieges, die darauf abzielen, eine bestimmte Wirkung gezielt zu erzielen.
Der neue Leitfaden der NCF erkennt an, dass Cyberoperationen allein wahrscheinlich nicht strategisch entscheidend sind. Sie können jedoch einen wertvollen zielgerichteten Effekt erzielen – wie beispielsweise das Verhindern der Kommunikation einer Terrorgruppe in einem kritischen Moment oder das Unterbrechen des Zugriffs eines Gegners auf Situationsbewusstseinsinformationen – was besonders effektiv sein kann, wenn es mit anderen Aktionen in der physischen Welt kombiniert wird.
Da unsere Gegner – seien es Terroristen, Kriminelle oder feindliche Staaten – zunehmend auf digitale Technologie angewiesen sind, um ihre Ziele zu erreichen, ist es wichtig, diese Abhängigkeit zu durchbrechen. Und laut dem Leitfaden führt die NCF solche Operationen täglich durch.
Unter den aufgedeckten Details sind vielleicht die auffälligsten die des Denkprozesses hinter den Cyberoperationen des Vereinigten Königreichs, insbesondere das, was als „Doktrin der kognitiven Wirkung“ bezeichnet wird. Dieser Ansatz konzentriert sich darauf, wie Cyberoperationen, die die einem Gegner zur Verfügung stehenden Informationen einschränken oder beeinflussen und sein Vertrauen in seine Technologie und die von ihr bereitgestellten Informationen untergraben, seine Fähigkeit schwächen können, Aktivitäten mit Zuversicht zu planen und durchzuführen. Es zeigt die Absicht, Cyber-Operationen für einen subtileren und durchdringenderen Effekt einzusetzen, der über die einfache taktische kurzfristige Störung der Technologie hinausgeht.
Dies offenbart einiges an innovativem Denken – aber der Nachweis der Auswirkungen dieser Operationen bleibt schwierig. Der NCF ist klar, dass wir nicht erwarten sollten, Einzelheiten zu bestimmten Operationen zu sehen, und es gibt eindeutig schwierige Sicherheitsprobleme, wenn man offener ist – die Aufrechterhaltung der Unklarheit über Operationen ist auch ein zentraler Bestandteil des britischen Ansatzes. Aber im Geiste der Transparenz wäre es gut, wenn die NCF Wege finden könnte, der Öffentlichkeit ein Gefühl für ihre Wirksamkeit zu vermitteln.
Fraglich ist auch, ob die Veröffentlichung dieser Erklärung zur Abschreckung beiträgt. Über Cyber-Abschreckung ist viel geschrieben worden, und vieles davon leidet unter falschen Analogien zur nuklearen Umgebung. In der Praxis gibt es jedoch kaum Hinweise darauf, dass das Wissen über die Cyberfähigkeiten eines Landes eine wesentliche Rolle bei der Abschreckung von Maßnahmen spielt, sei es in der virtuellen oder in der physischen Welt.
Ein entscheidender Teil des Leitfadens besteht darin, zu argumentieren, dass es möglich ist, Cyberoperationen auf verantwortungsvolle und ethische Weise durchzuführen.
Die britische Regierung hat sich dem Grundsatz eines freien, offenen, friedlichen und sicheren Internets verschrieben und immer wieder betont, dass die Staaten im Cyberspace verantwortungsvoll handeln müssen. Aber wie passt das zusammen, wenn die Regierung gleichzeitig scheinbar erhebliche Ressourcen in eine Organisation investiert, die sich der Durchführung von Cyberangriffen verschrieben hat?
Der Ausgangspunkt ist, dass unsere Gegner das Internet und die digitale Technologie nutzen, um uns Schaden zuzufügen, und es erscheint pervers, uns die Möglichkeit zu verweigern, ihnen das noch schwerer zu machen. Die Schlüsselfragen sind also, wie dies auf legale, ethische und ordnungsgemäß verwaltete Weise geschieht. Und der Leitfaden legt starke Argumente für die Position des Vereinigten Königreichs dar.
Die NCF hat drei Prinzipien für ihre Tätigkeit festgelegt – dass sie rechenschaftspflichtig, präzise und kalibriert sind. Darin heißt es, dass das Vereinigte Königreich unter einem robusten Rechtsrahmen aus innerstaatlichem und internationalem Recht mit unabhängiger Aufsicht, einschließlich durch Richter und Parlament, über seinen Geheimdienst- und Sicherheitsausschuss operiert. Und der Leitfaden beschreibt, wie die Operationen der NCF sorgfältig entworfen werden, um mit Präzision zielgerichtet zu sein, unter Verwendung von Fähigkeiten, die kontrollierbar und vorhersehbar sind und umfangreichen Genehmigungsverfahren unterliegen.
Einiges davon muss natürlich zwangsläufig übernommen werden, und nicht alle sind möglicherweise zufrieden. Aber als Ansatz steht es in krassem Gegensatz zu dem Verhalten von Ländern wie Russland und dem Iran, denen es im Allgemeinen an Legitimität mangelt und die unverhältnismäßig und wahllos sind und häufig diejenigen treffen, die nicht das beabsichtigte Ziel waren.
Daher ist dieser Leitfaden ein wertvoller Schritt, um dem, was zu verantwortungsvollen Cyberoperationen gehört, das dringend benötigte Fleisch auf die Knochen zu geben.
Vor nicht allzu langer Zeit wäre es für das Vereinigte Königreich undenkbar gewesen, ein Dokument dieser Art zu veröffentlichen. Dass sie dies getan haben, ist sehr zu begrüßen – ebenso wie die NCF, die ausdrücklich anerkennt, dass sie eine Lizenz benötigt, um von der Öffentlichkeit betrieben zu werden, und dass dies mehr Offenheit und Engagement erfordert.
Der NCF-Leitfaden ist ein wichtiger Schritt, um mehr Transparenz über britische Cyberoperationen zu schaffen. Es muss jedoch der Beginn eines Prozesses sein, nicht der Abschluss eines solchen. Es kann viel gewonnen werden, wenn mehr Licht auf dieses komplexe und oft missverstandene Feld geworfen wird.