Die Perspektive eines Opfers auf das Völkerrecht im Cyberspace

Herausgegeben vom Lawfare Institute in Zusammenarbeit mit

Im Frühjahr 2022 richteten sich zwei große Ransomware-Operationen gegen 27 Regierungsbehörden in Costa Rica sowie gegen das Gesundheitssystem des Landes. Die Regierung Costa Ricas weigerte sich, das geforderte Lösegeld zu zahlen. Angesichts der Drohungen der Hacker, sensible Informationen aus den von ihnen verschlüsselten Daten preiszugeben, mussten viele staatliche Systeme offline genommen werden (einschließlich derjenigen im Zusammenhang mit Steuererhebung, Medizin und Sozialversicherung). Der Präsident Costa Ricas, Rodrigo Chaves, erklärte, Costa Rica befinde sich „im Krieg“ mit den Angreifern (die zwei russischsprachigen Gruppen, bekannt als Conti und Hive, angehörten). Die costa-ricanische Regierung hat im letzten Jahr mit technischer Unterstützung der Regierungen der Bundesstaaten (nämlich der Vereinigten Staaten und Spaniens) und der Industrie an der Wiederherstellung und Sanierung gearbeitet.

Angesichts dieser Ereignisse überrascht es nicht, dass Costa Rica gerade eines der überzeugendsten Positionspapiere zur Anwendbarkeit des Völkerrechts im Cyberspace veröffentlicht hat. Damit ist es (nach unserer Zählung) der 36. Staat, der eine offizielle nationale Stellungnahme zu diesem Thema abgibt. Damit schließt sich Costa Rica einem – wenn auch noch nicht großen – Trend an, bei dem Staaten zunehmend daran interessiert zu sein scheinen, die Transparenz ihrer jeweiligen Rechtsauffassungen zu verbessern und einen Rahmen für den künftigen Dialog (und möglicherweise eine Einigung) zu schaffen.

Costa Ricas Erklärung schließt sich der großen Mehrheit seiner Vorgänger an und erkennt die Anwendbarkeit des Völkerrechts „in seiner Gesamtheit“ auf Informations- und Kommunikationstechnologien (IKT) an, einschließlich des Verbots der Anwendung von Gewalt und des humanitären Völkerrechts (IHL). Es behandelt viele der gleichen Themen, die auch in den nationalen Erklärungen anderer Staaten behandelt werden – etwa Nichteinmischung, Souveränität, Gegenmaßnahmen und Sorgfaltspflicht – und spricht gleichzeitig andere an, die nicht so viel Aufmerksamkeit erhalten haben – darunter Menschenrechte, friedliche Beilegung von Streitigkeiten und Neutralität. Costa Rica hat offensichtlich viel Zeit damit verbracht, die Stellungnahmen anderer Staaten und insbesondere „akademische Projekte zur Anwendung des Völkerrechts auf Cyberoperationen“ zu prüfen, darunter den Oxford-Prozess (bei dem einer von uns Mitveranstalter ist), die Tallinn Manuals, und das Cyberlaw Toolkit.

Das Institut für Recht, Innovation und Technologie der Temple University Law School, bekannt als iLIT, hat in Zusammenarbeit mit dem Tech, Law, and Security-Programm der American University daran gearbeitet, die drei Dutzend bestehenden nationalen Stellungnahmen zur Anwendung des Völkerrechts zu katalogisieren und zu analysieren. Daher freuten wir uns über die ausführliche Stellungnahme Costa Ricas. Es bietet nicht nur die Gelegenheit, sich mit den neuartigen Beiträgen Costa Ricas auseinanderzusetzen, sondern auch den Gesamtstand der Anwendung des Völkerrechts im Cyberspace zu bewerten.

Souveränität

Costa Rica schließt sich der Mehrheit der Staaten an, die sich mit dem Thema Souveränität befasst haben (darunter Brasilien, Kanada, Japan und zuletzt Irland), indem es es als eine Regel einstuft, die durch Cyberoperationen anderer Staaten verletzt werden kann. Damit isoliert Costa Ricas Erklärung das Vereinigte Königreich noch weiter – das die Idee vertritt, dass Souveränität besser als ein Hintergrundprinzip betrachtet werden sollte, das andere Regeln beeinflusst, und stellt fest, dass es „dies nicht als das allgemeine Konzept der Souveränität an sich betrachtet“. bietet eine ausreichende oder klare Grundlage für die Ableitung einer spezifischen Regel oder eines zusätzlichen Verbots für Cyber-Verhalten.“

Welche Cyberoperationen werden die Souveränität verletzen? Auch hier reicht die Aussage Costa Ricas weit und umfasst nicht nur physische Angriffe, sondern auch Cyber-Operationen, die einen „Funktionsverlust der Cyber-Infrastruktur im Opferstaat“ auslösen. Diese Position ist angesichts des nichtphysischen (aber umfangreichen) wirtschaftlichen Schadens, den Costa Rica durch die Ransomware-Angriffe im Jahr 2022 erlitten hat, sinnvoll. In ähnlicher Weise stellt Costa Rica eine „Usurpation inhärent staatlicher Funktionen“ als Verletzung der Souveränität dar, verfolgt das Tallinn-Handbuch 2.0 und schließt Operationen ein, „die in die demokratischen Prozesse eines Staates eingreifen, wie etwa Wahlen, Reaktionen auf einen nationalen Sicherheits- oder Gesundheitsnotstand, wie z wie die COVID-19-Pandemie und ihre Wahl der Außenpolitik.“ Die Position Costa Ricas unterscheidet sich von der unmittelbar vorangegangenen Stellungnahme (aus Irland), in der die Usurpation staatlicher Funktionen nicht als souveränitätsverletzende Bedingung anerkannt wurde.

Was Costa Rica wirklich von anderen Staaten unterscheidet, ist seine Bereitschaft, Verletzungen der staatlichen Souveränität durch Cyberspionage in Betracht zu ziehen. Um es deutlich zu sagen: Costa Rica erkennt an, dass „es technisch oft schwierig ist, zwischen einer bloßen Datenerfassungsoperation und einer Operation zu unterscheiden, die in ein Regierungssystem eindringt, um in die souveränen Funktionen eines Staates einzugreifen.“ Beispiele aus der Praxis zeigen, dass eine Malware, die einmal erfolgreich in ein System oder Netzwerk eingedrungen ist, eine latente Bedrohung für dessen Integrität bleibt.“ Angesichts der Schwierigkeit, solche Unterscheidungen zu treffen, geht Costa Ricas Aussage jedoch nicht auf eine Position zurück, die Spionage zulässt, sondern geht in die andere Richtung und legt nahe, dass zumindest einige Überwachungsoperationen und Cyberspionage auf eine Weise durchgeführt werden können, die gegen die Souveränität des Staates und andere Regeln verstößt des Völkerrechts. Damit unterscheidet sich Costa Rica von vielen anderen Staaten – Deutschland, Japan, Polen und Israel, um nur einige zu nennen –, die es abgelehnt haben, Überwachungsmaßnahmen ausdrücklich mit möglichen Verletzungen der staatlichen Souveränität in Verbindung zu bringen. Tatsächlich ist Costa Rica der erste Staat, der diese Position so klar und unmissverständlich vertritt.

Nichteinmischung

Die Position Costa Ricas stützt sich, wie die meisten anderen nationalen Stellungnahmen, auf den Fall Nicaragua gegen die Vereinigten Staaten des Internationalen Gerichtshofs von 1986 und die Erklärung der UN-Generalversammlung zu freundschaftlichen Beziehungen, um ein Interventionsverbot festzulegen, das Verhalten unterhalb der Anwendung von Gewalt einschließt Schwellenwert, der eine Zwangseinmischung in die inneren Angelegenheiten eines anderen Staates beinhaltet (die domaine réservé). Wie bei der Souveränität legt Costa Rica auch hier eine weitreichende Interpretation davon vor, welches Verhalten gegen diese Verpflichtung verstößt, einschließlich „Ransomware-Angriffen, die die Fähigkeit eines Staates, öffentliche Dienstleistungen wie Finanzen, Bildung und soziale Sicherheit zu erbringen, lahmlegen oder einfach beeinträchtigen.“ Unter Berufung auf das Tallinn Manual 2.0 schlägt Costa Rica vor, dass eine Intervention auch erfolgen kann, „wenn [ein Staat] subversive oder feindselige Propaganda oder die Verbreitung falscher Nachrichten betreibt oder unterstützt, die in die inneren oder äußeren Angelegenheiten eines anderen Staates eingreifen“ und (beitritt). Neuseeland, Australien, Brasilien und andere) „ausländische Wahleinmischung“. Damit liegt Costa Rica ganz vorne, wenn es darum geht, das Prinzip der Nichteinmischung als Instrument zur Reaktion auf staatlich geförderte Fehl- und Desinformationskampagnen anzuwenden. Darüber hinaus muss nach Ansicht Costa Ricas der versuchte Cyber-Eingriff nicht erfolgreich sein, um gegen diesen Grundsatz zu verstoßen – die Absicht, Nötigung zu erzwingen, reicht aus.

Gegenmaßnahmen

Gegenmaßnahmen umfassen ansonsten international rechtswidriges Verhalten, dessen Rechtswidrigkeit ausgeschlossen ist, wenn es als Reaktion auf eine frühere international rechtswidrige Handlung erfolgt (und verschiedene andere materielle und prozessuale Bedingungen erfüllt sind). Die Erklärung Costa Ricas erkennt die von der UN-Völkerrechtskommission formulierten inhaltlichen und verfahrenstechnischen Einschränkungen an (z. B. dass Gegenmaßnahmen nicht strafend sein dürfen, verhältnismäßig sein müssen und die grundlegenden Menschenrechte nicht beeinträchtigen dürfen). Gleichzeitig erkennt die Position Costa Ricas an, dass die Verfahrensanforderungen – nämlich (a) die Zusammenfassung (Aufforderung an den Staat, seine rechtswidrigen Handlungen einzustellen), (b) die Mitteilung an diesen Staat über die Absicht, Gegenmaßnahmen zu ergreifen, und (c) die Verhandlungsangebot – „müssen nicht eingehalten werden, wenn ihre Einhaltung den Zweck der beabsichtigten Gegenmaßnahmen zunichte machen würde.“ Andere Staaten äußerten sich zu Ausnahmen von den Verfahrensanforderungen, wenn auch mit leicht unterschiedlichen Begriffen (z. B. Italien, Frankreich, Niederlande und Norwegen).

Noch wichtiger ist, dass Costa Ricas Erklärung (positiv) die Möglichkeit berücksichtigt, dass Staaten gemeinsam Gegenmaßnahmen ergreifen, eine Position, die ursprünglich von Estland vertreten und in jüngerer Zeit von Irland unterstützt wurde. Die Erklärung Costa Ricas signalisiert Unterstützung für die Idee kollektiver Gegenmaßnahmen nicht nur bei Pflichtverletzungen erga omnes, sondern auch auf Wunsch eines Opferstaates. Im Gegensatz dazu haben Staaten wie Frankreich und Kanada vorgeschlagen, dass kollektive Gegenmaßnahmen derzeit nach internationalem Recht nicht zulässig sind, während Brasilien die Idee von Gegenmaßnahmen im Allgemeinen mit kaltem Wasser überschüttet.

Due Diligence

Die USA haben es insbesondere abgelehnt, die Idee der Sorgfaltspflicht als völkerrechtliche Regel für den Cyberspace zu unterstützen und sie stattdessen im einflussreichen Bericht der UN-Gruppe von Regierungsexperten aus dem Jahr 2015 als „freiwillige“ Norm zu unterstützen. Im Gegensatz dazu befürwortet Costa Rica nachdrücklich die Sorgfaltspflicht als einen Standard, der sich in mindestens vier verschiedenen Bereichen des Völkerrechts manifestiert. So zitiert Costa Rica die Sorgfaltspflicht, die den Corfu-Channel-Standard einschließt (ein Staat darf nicht zulassen, dass sein Territorium wissentlich für Handlungen genutzt wird, die den Rechten anderer Staaten zuwiderlaufen), wobei eine konstruktive Mitteilung möglich ist, wenn ein Staat „weiß oder …“ hätte wissen müssen“, dass die Handlung, die gegen die Rechte anderer Staaten verstößt, „von ihrem Hoheitsgebiet ausgeht oder dieses durchquert“. Darüber hinaus vertritt Costa Rica den Standpunkt, dass die Staaten „ein angemessenes Maß an Wachsamkeit gegenüber ihren Netzwerken ausüben“ und „auch bestimmte grundlegende Schutzmaßnahmen“ gegenüber ihrer Cyber-Infrastruktur ergreifen müssen.

Gleichzeitig blickt Costa Rica über Korfu hinaus und verknüpft seine Vision der Sorgfaltspflicht damit, „geeignete Maßnahmen zu ergreifen, um erheblichen grenzüberschreitenden Schaden zu verhindern“ (unabhängig davon, ob dieser Schaden die Rechte anderer Staaten verletzt). Bisher wurde diese Auslegung der Sorgfaltspflicht vor allem auf das internationale Umweltrecht im Zusammenhang mit Umweltverschmutzung angewendet (z. B. im Fall Trail Smelter, wo ein Schiedsgericht zugunsten der Ansprüche der USA entschied, dass Kanada die Verantwortung für die durch Rauch verursachte Verschmutzung tragen sollte). auf der kanadischen Seite der Grenze, die windabwärts in den Bundesstaat Washington gelangte und dort Ernten und Wälder schädigte). Hier führt Costa Rica an, dass die Anwendung der Sorgfaltspflicht im Cyberspace-Kontext „nicht-physische Schäden … einschließlich solcher, die durch oder durch IKT verursacht werden“ abdeckt, wie etwa „Anstiftung zu Gewalt, Feindseligkeit oder Diskriminierung im Internet und Desinformationskampagnen, die Einzelpersonen Schaden zufügen“. ”

Das humanitäre Völkerrecht

Die Position Costa Ricas zur Anwendbarkeit des humanitären Völkerrechts im Cyberspace ist eine der detailliertesten, differenziertesten und umfassendsten, die bisher verbreitet wurde. In der Erklärung wird detailliert beschrieben, wie das humanitäre Völkerrecht auf Cyber-Operationen als Teil laufender bewaffneter Konflikte anzuwenden ist und wo eine Cyber-Operation die Möglichkeit hat, selbst einen bewaffneten Konflikt auszulösen. Darüber hinaus braucht es Zeit, die Anwendung der Kernprinzipien des humanitären Völkerrechts durchzugehen. In Bezug auf das Unterscheidungsprinzip vertritt Costa Rica beispielsweise die Position, dass „[im Hinblick auf die Cyber-Infrastruktur] die Beurteilung, ob ein Objekt als militärisches Ziel gilt, auf der niedrigsten praktisch möglichen Ebene erfolgen muss“, womit es bedeutet „auf der Ebene jedes einzelnen Computers, Kabels, Routers oder anderen spezifischen Geräts, das von einem Netzwerk oder einem System als Ganzes getrennt werden kann.“ Bei Cyberangriffen (im Sinne des Verbots von Angriffen auf Zivilisten oder zivile Objekte) handelt es sich um Verhaltensweisen, „die dazu bestimmt sind oder vernünftigerweise erwartet werden können, dass sie Personen verletzen oder töten oder Objekte beschädigen oder zerstören“, außerdem:

Die Auswirkungen dieser Position sind erheblich. Eine Reihe anderer Staaten zögerten, den Verlust der Funktionalität allein als Angriff zu behandeln (einige Staaten, wie etwa Polen, zählen den Verlust der Funktionalität einfach nicht als Angriff, während andere Staaten, wie Kanada, Deutschland und Israel, sind viel qualifizierter in ihrer Sprache). Diese Kriterien sind wichtig, da nur „Angriffe“ Grundprinzipien des humanitären Völkerrechts wie Unterscheidung und Verhältnismäßigkeit auslösen. Wenn es sich bei einer Operation nicht um einen Angriff handele, so das Argument, bestehe keine Notwendigkeit, zwischen zivilen und militärischen Objekten zu unterscheiden. Wenn jedoch ein Verlust der Funktionalität, wie Costa Rica vorträgt, einen Angriff darstellen kann, erweitert dies die Unklarheit darüber, welche Cyberoperationen Angriffe sind, die den Grundsatz der Unterscheidung auslösen, erheblich. Von dieser Position aus kehrt Costa Rica zu seiner eigenen Situation zurück und behauptet, dass die Art von Ransomware-Angriff, der es im Jahr 2022 ausgesetzt war, „als Angriff im Rahmen des humanitären Völkerrechts angesehen würde und sich daher nicht gegen zivile Systeme richten dürfe“.

Schließlich vertritt Costa Rica eine Position, die das Internationale Komitee vom Roten Kreuz seit langem vertritt, die jedoch bisher nur wenige (wenn überhaupt) Staaten befürwortet haben: die Idee von Daten als Objekt. Costa Rica vertritt die Ansicht, dass „zivile Daten zivile Objekte im Sinne des humanitären Völkerrechts darstellen“, und argumentiert damit, dass „[b]vor der digitalen Revolution solche Daten in Form von Papierakten gespeichert wurden, die im humanitären Völkerrecht geschützt waren.“ Aus Sicht Costa Ricas erstreckt sich der Schutz ziviler Objekte im Rahmen des humanitären Völkerrechts daher auch auf zivile Daten.“ Das bedeutet, dass „[zi]vile Datensätze, darunter medizinische Daten, Sozialversicherungsdaten, Steuerunterlagen, Unternehmens- und Finanzdaten oder Wählerlisten“, allesamt als rechtswidrige Ziele im Sinne des humanitären Völkerrechts gelten, die nicht angegriffen werden können, ohne den Grundsatz der Unterscheidung zu verletzen.

Menschenrechte

Wie andere Staaten behauptet auch Costa Rica, dass die Menschenrechte online genauso gelten wie offline. Es wird auch wiederholt auf die geschlechtsspezifischen Auswirkungen von Cyber-Schäden hingewiesen und darauf hingewiesen, dass Frauen überproportional unter Cyber-Schäden gelitten haben (von elektronischer Überwachung über Hassreden und Doxxing bis hin zu Cyber-Mobbing und Belästigung). Die meisten Kontroversen wird die Aussage wahrscheinlich in der Frage hervorrufen, wo diese Verpflichtungen gelten. Die USA behaupten beispielsweise seit langem, dass ihre Menschenrechtsverpflichtungen im Rahmen des Internationalen Pakts über bürgerliche und politische Rechte (ICCPR) nur innerhalb des US-Territoriums gelten – das heißt, sie sind nicht verpflichtet, die Menschenrechte außerhalb ihres Territoriums zu respektieren. Man kann sagen, dass die Position Costa Ricas den entgegengesetzten Pol einnimmt. Darin wird behauptet, dass die Verpflichtungen eines Staates zur Achtung, zum Schutz und zur Gewährleistung der Menschenrechte im Rahmen des ICCPR und der Amerikanischen Menschenrechtskonvention über Folgendes hinausgehen:

[A] Staatsgebiet, Gebiete oder Personen unter seiner physischen Kontrolle. Es erstreckt sich auf alle Menschenrechte, über deren Ausübung der Staat Macht oder wirksame Kontrolle ausübt, unabhängig von der physischen Nähe. Das bedeutet, dass die Staaten im Rahmen dieser Verträge die Menschenrechte respektieren, schützen und gewährleisten müssen, die online oder über IKT ausgeübt werden und über deren Ausübung ein Staat eine wirksame Kontrolle ausübt.

Diese Position mag mit der des Interamerikanischen Gerichtshofs für Menschenrechte übereinstimmen, aber nicht viele Staaten haben sich dieser Position angeschlossen. Daher wird es interessant sein, die Reaktionen anderer Staaten auf die Position Costa Ricas zu beurteilen, in der Online-Staaten den Schutz der Menschenrechte gewährleisten müssen.

Abschluss

Die Erklärung Costa Ricas scheint die bislang längste und ausgefeilteste nationale Erklärung zur Anwendung des Völkerrechts im Cyberspace zu sein. Obwohl Costa Rica traditionell weder im militärischen noch im industriellen Sinne als Cybermacht anerkannt wird, könnten die Erfahrungen Costa Ricas mit Ransomware seine Stimme unter den Dutzenden von Staaten erheben, die sich jetzt darüber äußern, wie eine globale Governance für das Online-Verhalten der Staaten erreicht werden kann. Dies ist natürlich keine Garantie dafür, dass die Positionen Costa Ricas einen neuen Standard für andere setzen werden, sei es, indem sie Staaten, die sich bereits geäußert haben, dazu verpflichten, ihre oberflächlicheren bestehenden Erklärungen zu aktualisieren, oder indem sie anderen Staaten, die noch keine Stellungnahme abgegeben haben, einen Konzeptnachweis liefern irgendwelche Aussagen.

Das Positionspapier von Costa Rica macht jedoch deutlich, wie viel Priorität viele Staaten der Rolle des Völkerrechts im Internet mittlerweile beimessen. Auch die Frage, was mit diesen Aussagen selbst zu tun ist, verdient mehr Aufmerksamkeit. In welcher Beziehung stehen diese nationalen Aussagen zum Völkerrecht – welche rechtliche Relevanz haben sie, wenn, wie Staaten allgemein behaupten, bereits bestehende Regeln gelten? Handelt es sich lediglich um Interpretations- und Anwendungsbemühungen oder gehen sie darüber hinaus, indem sie als Beweismittel für eine neue opinio juris dienen und dabei den Inhalt des Gesetzes weiterentwickeln? Da Russland und andere ein Cybersicherheitsabkommen fordern, kann es besonders wichtig sein, diese Erklärungen als Signal für die Bereiche zu sehen, in denen ein Konsens am wahrscheinlichsten erscheint, und für diejenigen, in denen die Standpunkte (oftmals erheblich) auseinandergehen, was darauf hindeutet, dass weitere Klarstellungen und Dialoge erforderlich sind dringend nötig.