Politik der Cybersicherheit: Staatliche Hacker, kritische Infrastrukturen und das Völkerrecht im Netz
- Benjamin Metzig
- vor 4 Stunden
- 7 Min. Lesezeit
Wer über Cybersicherheit spricht, landet erstaunlich schnell bei den falschen Bildern. Viele denken an gestohlene Passwörter, Phishing-Mails oder an junge Männer im Hoodie vor dunklen Bildschirmen. Das ist nicht völlig falsch, aber es ist politisch zu klein gedacht. Die eigentliche Frage lautet längst anders: Was passiert mit einer Gesellschaft, wenn ihre Stromnetze, Krankenhäuser, Wasserwerke, Häfen, Mobilfunknetze und Verwaltungssysteme nicht mehr nur technische Infrastruktur sind, sondern potenzielle Ziele geopolitischer Machtspiele?
Cybersicherheit ist heute kein Spezialthema der IT mehr. Sie ist Energiepolitik, Gesundheitsschutz, Außenpolitik, Krisenvorsorge und Rechtsentwicklung zugleich. Dass Regierungen und Behörden das inzwischen ähnlich sehen, zeigt sich ziemlich deutlich. Die NIS2-Richtlinie der EU macht Cybersicherheit für zentrale Sektoren zu einer regulierten Pflicht. Die CER-Richtlinie denkt den Schutz kritischer Einrichtungen ausdrücklich als Frage gesamtgesellschaftlicher Resilienz. Und das BSI-Lagebild 2024 beschreibt die IT-Sicherheitslage in Deutschland als besorgniserregend, auch wenn die Widerstandsfähigkeit vieler Organisationen wächst.
Der Grund für diese Verschiebung ist einfach: Digitale Systeme steuern heute nicht nur Kommunikation, sondern Versorgung. Wer Netze stört, greift nicht bloß Daten an. Er greift Zeitpläne, Lieferketten, Diagnosegeräte, Notfallabläufe, Zahlungssysteme und damit den Alltag selbst an.
Definition: Was kritische Infrastruktur hier bedeutet
Kritische Infrastruktur sind Systeme und Einrichtungen, deren Ausfall die Versorgung, Sicherheit oder öffentliche Ordnung spürbar beschädigen würde. Dazu gehören etwa Energie, Wasser, Gesundheit, Verkehr, Finanzen, digitale Netze und Teile der Verwaltung.
Warum staatliche Hacker etwas anderes sind als gewöhnliche Kriminelle
Cyberkriminalität und staatliche Cyberoperationen sehen technisch oft ähnlich aus. Beide nutzen Schwachstellen, tarnen sich, bewegen sich seitlich durch Netzwerke und versuchen Entdeckung zu vermeiden. Politisch sind sie trotzdem nicht dasselbe.
Kriminelle wollen in der Regel Geld. Staaten wollen mehr. Sie wollen Informationen, Einfluss, Abschreckung, strategische Unruhe oder die Fähigkeit, im Ernstfall schnell stören zu können. Genau diese Logik beschreibt eine CISA-Advisory zu Volt Typhoon vom 7. Februar 2024 besonders klar: Die US-Behörden warnen dort vor einer Vorpositionierung in kritischen Infrastrukturen, also vor Zugriffen, die nicht primär für den sofortigen Schlag gedacht sind, sondern für die Option, ihn später führen zu können.
Das ist die eigentliche politische Qualität solcher Operationen. Sie sind oft keine digitale Version eines bereits laufenden Krieges. Sie sind Vorbereitung, Druckmittel und Signal zugleich. Sie zeigen: Wir könnten eure Systeme im Krisenfall treffen, selbst wenn gerade noch keine offene militärische Konfrontation begonnen hat.
Besonders heikel wird das bei Kommunikationsnetzen. Wenn Behörden wie FBI und CISA im Oktober 2024 vor Zugriffen auf Telekommunikationsinfrastruktur warnen, geht es nicht nur um Wirtschaftsspionage. Es geht um das Nervensystem moderner Staaten. Wer Kommunikation abhört, manipuliert oder im Ernstfall unterbricht, gewinnt nicht bloß Daten, sondern Handlungsmacht.
Die stille Verwundbarkeit kritischer Infrastrukturen
Die gefährlichste Eigenschaft digitaler Infrastrukturen ist nicht ihre Sichtbarkeit, sondern ihre Unsichtbarkeit. Ein zerstörter Transformator, eine brennende Raffinerie oder ein bombardiertes Umspannwerk erzeugen sofort politische Reaktionen. Eine kompromittierte Leitwarte, ein heimlich platzierter Zugang in einer Wasseranlage oder ein unbemerkter Zugriff auf Verwaltungsnetze tut das oft nicht. Zumindest nicht sofort.
Gerade deshalb ist die Versuchung groß, unterhalb der klassischen Eskalationsschwelle zu operieren. Solche Eingriffe produzieren zunächst Ambiguität. War es ein Unfall? Ein Lieferkettenproblem? Ein interner Konfigurationsfehler? Ein krimineller Angriff? Oder eine staatliche Operation mit strategischer Absicht?
Diese Unklarheit ist kein Nebeneffekt. Sie ist oft Teil des Effekts. Denn politische Abschreckung funktioniert im Cyberraum anders als bei Raketen oder Panzern. Sie beruht nicht nur auf Zerstörungspotenzial, sondern auch auf Unsicherheit: auf der Möglichkeit, dass eine Gesellschaft im Krisenfall nicht mehr genau weiß, welchen Systemen sie noch trauen kann.
Das macht kritische Infrastruktur zum Zentrum der Debatte. Strom, Wasser, Verkehr, Kliniken und digitale Netze sind so eng miteinander verwoben, dass kleine Störungen große Kettenreaktionen auslösen können. Wer das Prinzip hinter solchen Abhängigkeiten besser verstehen will, findet im Beitrag Fehlertoleranz verstehen einen technischen Blick darauf, warum robuste Systeme nicht von Perfektion leben, sondern davon, Ausfälle mit einzuplanen.
Das Völkerrecht gilt, aber es beantwortet noch nicht alles
Eine der hartnäckigsten Fehlannahmen über Cyberkonflikte lautet, das Netz sei ein rechtsfreier Raum. Das ist so nicht haltbar. Die internationale Debatte dreht sich inzwischen nicht mehr ernsthaft um die Frage, ob Recht gilt, sondern darum, wie genau bestehendes Recht auf digitale Konflikte anzuwenden ist.
Das IKRK betont seit Jahren, dass humanitäres Völkerrecht auch für Cyberoperationen in bewaffneten Konflikten gilt. Die Grundprinzipien sind vertraut: Zivilpersonen und zivile Objekte dürfen nicht angegriffen werden, Angriffe müssen verhältnismäßig sein, medizinische Dienste stehen unter besonderem Schutz, und wahllose Wirkungen sind unzulässig. Diese Regeln verschwinden nicht, nur weil eine Operation über Code statt über Sprengstoff läuft.
Gleichzeitig bleiben entscheidende Fragen offen. Wann ist eine rein digitale Störung ohne physische Zerstörung bereits ein "Angriff" im völkerrechtlich strengen Sinn? Wie ist zivile Dateninfrastruktur zu behandeln? Wann überschreitet eine Cyberoperation die Schwelle, die Gegenmaßnahmen oder sogar Selbstverteidigung rechtfertigt? Und wie belastbar ist eine rechtliche Reaktion, wenn Attribution technisch und politisch umkämpft bleibt?
Kontext: Der eigentliche Streitpunkt
Nicht die Geltung des Rechts ist heute das Hauptproblem, sondern die Zuordnung, Schwellenbestimmung und Durchsetzung. Im Cyberraum weiß man oft später als im klassischen Konflikt, wer gehandelt hat, wie tief der Zugriff reichte und welche Wirkung eigentlich beabsichtigt war.
Außerhalb bewaffneter Konflikte wird die Lage noch komplizierter. Dann greifen nicht automatisch die Regeln des humanitären Völkerrechts, sondern Fragen von Souveränität, Nichteinmischung, Staatenverantwortlichkeit und menschenrechtlichen Schutzpflichten. Genau deshalb sind Cyberoperationen für Staaten attraktiv: Sie erlauben Einflussnahme in einem Bereich, in dem die politische Wirkung hoch und die juristische Schwelle oft unscharf ist.
Warum die UN-Debatte wichtiger ist, als sie auf den ersten Blick wirkt
Auf den ersten Blick wirkt die internationale Cyberdiplomatie oft zäh. Berichte, Arbeitsgruppen, Konsultationen, Normen, Vertrauensbildung, Capacity Building: Das klingt nicht nach Schlagzeile. In Wirklichkeit entscheidet sich genau dort, ob Cybersicherheit langfristig nur ein Feld verdeckter Macht bleibt oder schrittweise verregelter wird.
Der Abschlussbericht der UN Open-ended Working Group von Juli 2025 ist deshalb politisch relevant. Er zeigt, dass Staaten trotz aller Rivalität an einem fortlaufenden Rahmen für verantwortliches Verhalten im Cyberraum arbeiten. Das ist keine Weltregierung für das Internet. Aber es ist auch nicht nichts. Es ist der Versuch, Standards, Kontaktpunkte, Vertrauensbildung und gemeinsame Erwartungen so weit zu institutionalisieren, dass Krisen nicht völlig ungebremst eskalieren.
Diese Entwicklung erinnert an andere Felder internationaler Sicherheitspolitik. Auch dort kam die Regelbildung selten zuerst, sondern meist erst, nachdem Verwundbarkeit sichtbar geworden war. Der Beitrag Rüstungskontrolle verstehen zeigt sehr anschaulich, dass Stabilität fast nie aus gutem Willen entsteht, sondern aus dem Versuch, gefährliche Handlungsräume wenigstens teilweise berechenbar zu machen.
Europa reagiert: von IT-Hygiene zu Resilienzpolitik
Die europäische Antwort auf Cyberrisiken ist in den letzten Jahren deutlich erwachsener geworden. Früher stand oft die Idee im Vordergrund, Organisationen müssten eben "bessere IT" machen. Das ist nicht falsch, aber für kritische Sektoren zu schlicht. Wenn Krankenhäuser, Netzbetreiber, Logistikunternehmen oder Wasserversorger angegriffen werden, geht es nicht nur um Firewalls, sondern um Ausfallsicherheit, Meldeketten, Führungsfähigkeit und sektorübergreifende Krisenkoordination.
Genau hier setzt die NIS2-Richtlinie an: mit Risikomanagement, Meldepflichten, Aufsicht und einer viel breiteren Definition relevanter Einrichtungen. Die CER-Richtlinie ergänzt diese Sicht, indem sie den physischen und digitalen Schutz kritischer Einrichtungen zusammendenkt. Die Botschaft dahinter ist klar: Eine Gesellschaft ist nicht resilient, wenn ihre Server sicher sind, aber ihre Notfallorganisation versagt. Und sie ist auch nicht resilient, wenn sie gute Pläne hat, aber die Netze selbst nicht versteht.
Dass diese Unterschiede real sind, zeigt auch ENISA mit dem NIS360-Bericht. Die Agentur vergleicht Reifegrade und Kritikalität zwischen Sektoren. Daraus folgt ein unbequemer, aber notwendiger Satz: Nicht alles kann gleichzeitig maximal geschützt werden. Resilienz ist immer auch Priorisierung unter knappen Ressourcen.
Deutschland steht vor einem nüchternen Problem
Deutschland ist eine hochvernetzte Industrie- und Verwaltungsökonomie. Genau das ist Stärke und Risiko zugleich. Die BSI-Bewertung für 2024 macht deutlich, dass die Bedrohungslage hoch bleibt und Resilienz deshalb nicht nur aus technischer Modernisierung entstehen kann. Sie braucht Meldefähigkeit, Übungen, Redundanzen, Lieferkettenwissen, klare Verantwortlichkeiten und eine politische Kultur, die digitale Ausfälle nicht erst dann ernst nimmt, wenn sie bereits flächig sichtbar werden.
Hinzu kommt ein klassisches Problem moderner Demokratien: Die wichtigsten Systeme sind oft nicht vollständig staatlich. Telekommunikation, Logistik, Energie, Cloud-Infrastruktur, Krankenhaus-IT, industrielle Leittechnik und zahlreiche Plattformdienste liegen im Alltag in gemischten oder privaten Händen. Das bedeutet, dass Cybersicherheit immer auch Koordinationspolitik ist. Der Staat kann Schutzpflichten formulieren, Standards setzen und Informationen bündeln. Er betreibt aber nicht alle Systeme selbst.
Die schwierigste Frage lautet nicht "Wie verhindern wir jeden Angriff?"
Die schwierigste Frage lautet: Wie bleibt eine offene Gesellschaft handlungsfähig, wenn sie Angriffe nicht vollständig verhindern kann?
Diese Verschiebung ist entscheidend. Absolute Sicherheit gibt es in digital verflochtenen Gesellschaften nicht. Wer etwas anderes verspricht, verkauft Illusionen. Der realistische Maßstab ist deshalb Resilienz: Wie schnell werden Angriffe erkannt? Wie sauber lassen sich Systeme segmentieren? Welche manuellen Fallbacks existieren? Welche Sektoren haben echte Übungserfahrung? Welche Kaskadeneffekte sind bekannt? Wer spricht im Krisenfall mit wem, und zwar bevor politische Panik einsetzt?
Gerade deshalb sollte Cybersicherheit nicht nur als Technikthema, sondern als öffentliche Infrastrukturpolitik verstanden werden. Die Frage ist nicht bloß, ob ein System hackbar ist. Fast alles ist unter bestimmten Bedingungen hackbar. Die Frage ist, ob eine Gesellschaft auf digitale Störungen so vorbereitet ist, dass aus einem Angriff nicht sofort eine Versorgungskrise, Vertrauenskrise oder Eskalationsspirale wird.
Warum das Thema größer ist als Cyberkrieg
Der Begriff Cyberkrieg klingt dramatisch, ist aber oft analytisch zu eng. Ein erheblicher Teil der realen Gefahr liegt gerade in dem Bereich unterhalb offener Kriegshandlungen: Spionage, Vorpositionierung, Sabotageoptionen, Einflussoperationen, Erpressung über Lieferketten, Angriffe auf Gesundheitssysteme oder Telekommunikationsnetze. Viele dieser Operationen sind hochpolitisch, ohne bereits klassischer Krieg zu sein.
Deshalb ist die wichtigste Einsicht vielleicht eine andere: Die Grenze zwischen Innen- und Außenpolitik verwischt. Wer eine Wasseranlage schützt, betreibt auch Sicherheitspolitik. Wer Regeln für Meldeketten, Notbetrieb oder digitale Abhängigkeiten festlegt, betreibt auch Demokratiepolitik. Und wer kritische Systeme chronisch unterfinanziert, betreibt im Zweifel unbeabsichtigte Sicherheitspolitik gegen die eigene Resilienz.
Der Zusammenhang wird besonders klar, wenn man die Debatte mit anderen Ressourcenkonflikten zusammenliest. Im Beitrag Wasserkriege verstehen zeigt sich, dass moderne Konflikte selten nur um Territorium gehen. Sie drehen sich um Netze, Flüsse, Daten, Lieferketten und Funktionsfähigkeit.
Was jetzt nötig ist
Erstens braucht es mehr Ehrlichkeit über Abhängigkeiten. Kritische Infrastrukturen sind keine ruhigen Hintergrundsysteme. Sie sind geopolitische Kontaktflächen.
Zweitens braucht es mehr Verbindlichkeit. Standards, Audits, Meldepflichten und sektorübergreifende Übungen sind keine Bürokratie-Laune, sondern der Versuch, Unsichtbares organisatorisch sichtbar zu machen.
Drittens braucht es eine nüchterne Weiterentwicklung des Völkerrechts und der internationalen Normen. Nicht, weil Regeln Angriffe magisch stoppen würden, sondern weil sie Schwellen, Erwartungen und Reaktionsräume strukturieren.
Viertens braucht es gesellschaftliche Reife. Wer Cybersicherheit nur als Problem anderer betrachtet, unterschätzt den Kern des Themas. Die digitale Verwundbarkeit moderner Gesellschaften ist keine technische Randnotiz. Sie ist längst Teil der politischen Grundfrage, wie verletzlich Freiheit in hochvernetzten Systemen geworden ist.
Am Ende geht es also nicht bloß um Hacker. Es geht darum, ob demokratische Gesellschaften ihre eigenen Lebensadern noch als politische Infrastruktur begreifen. Genau dort entscheidet sich, ob Cybersicherheit reaktive Schadensbegrenzung bleibt oder zu dem wird, was sie längst sein müsste: ein zentrales Projekt moderner Daseinsvorsorge.
