SWP-Studie Stiftung Wissenschaft und Politik Deutsches Institut für Internationale Politik und Sicherheit Christian Schaller Internationale Sicherheit und Völkerrecht im Cyberspace Für klarere Regeln und mehr Verantwortung S 18 Oktober 2014 Berlin Alle Rechte vorbehalten. Abdruck oder vergleichbare Verwendung von Arbeiten der Stiftung Wissenschaft und Politik ist auch in Aus- zügen nur mit vorheriger schriftlicher Genehmigung gestattet. SWP-Studien unterliegen einem Begutachtungsverfah- ren durch Fachkolleginnen und -kollegen und durch die Institutsleitung (peer review). Sie geben ausschließlich die persönliche Auffassung der Autoren und Autorinnen wieder. © Stiftung Wissenschaft und Politik, Berlin, 2014 SWP Stiftung Wissenschaft und Politik Deutsches Institut für Internationale Politik und Sicherheit Ludwigkirchplatz 3­4 10719 Berlin Telefon +49 30 880 07-0 Fax +49 30 880 07-100 www.swp-berlin.org [email protected] ISSN 1611-6372 Inhalt 5 Problemstellung und Empfehlungen 7 Der Cyberspace als völkerrechtlich erfassbarer Raum 9 Ein Beispiel für internationale Kooperation: Die Bekämpfung von Cyberkriminalität 11 Im Völkerrecht totgeschwiegen: Cyberspionage 13 Eine neue Dimension: Das systematische Ausspähen privater Daten 15 Politische Einflussnahme mit Hilfe von Cybertechnologie 16 Cyberattacken zwischen Provokation und bewaffnetem Angriff 18 Der Ernstfall: Cyberattacken gegen kritische Infrastrukturen 20 Militärische Selbstverteidigung gegen Cyberattacken 21 Das Grundproblem: Nachweis und Zurechnung der Urheberschaft von Cyberattacken 23 Was bleibt? – Völkerrechtliche Due-Diligence- Pflichten im Umgang mit Cybertechnologie 25 Verantwortlichkeit und Gegenmaßnahmen bei Due-Diligence-Pflichtverletzungen 26 Völkerrechtspolitischer Ausblick: Spielräume für eine gezielte Normsetzung 31 Abkürzungsverzeichnis Dr. iur. Christian Schaller ist stellvertretender Leiter der Forschungsgruppe Globale Fragen Problemstellung und Empfehlungen Internationale Sicherheit und Völkerrecht im Cyberspace Für klarere Regeln und mehr Verantwortung Der Cyberspace ist ein virtueller Raum, in dem mit Hilfe digitaler Informations- und Kommunikations- technologien über vernetzte Systeme Daten generiert, gespeichert, modifiziert und ausgetauscht werden. Teil der Cyberinfrastruktur ist das Internet. Die fort- schreitende globale Vernetzung und wachsende Ab- hängigkeit von komplexen Technologien führt zu einer neuen Verwundbarkeit, von der alle Bereiche des staatlichen, wirtschaftlichen und gesellschaftlichen Lebens betroffen sind. Die Bandbreite möglicher Be- drohungen reicht von einfacher Cyberkriminalität und terroristischen Aktivitäten im Internet über das systematische Ausspähen privater Daten und Cyber- spionage bis hin zur Sabotage kritischer Infrastruk- turen mit unter Umständen katastrophalen Folgen für die Sicherheit eines Staates. Verstärkt wird das Be- drohungspotential dadurch, dass immer mehr Staaten Fähigkeiten in der Cyberkriegführung entwickeln und sich auf diese Weise neue Wege eröffnen, um geostrategische Interessen durchzusetzen. Die Gewährleistung von Sicherheit im Cyberspace erfordert in erster Linie, dass öffentliche und private IT-Systeme und vor allem kritische Informationsinfra- strukturen besser vor Angriffen geschützt werden. Darüber hinaus gilt es zu verhindern, dass feindselige Akte im Cyberspace zwischenstaatliche Konflikte eskalieren lassen. Denn zum einen können Staaten und nichtstaatliche Akteure durch Cyberattacken mit geringem Aufwand großen Schaden anrichten, ohne dass ihnen eine Urheberschaft zweifelsfrei nachzuwei- sen ist. Zum anderen besteht die Gefahr, dass Staaten auf Cyberangriffe militärisch überreagieren, ohne genau zu wissen, wer für den Angriff verantwortlich ist. Umso wichtiger sind vertrauensbildende Maß- nahmen und die Schaffung von Rechtssicherheit bei der Abwehr von Cyberbedrohungen. In ihrer Cyberaußenpolitik setzt sich die Bundes- republik Deutschland unter anderem für die Stärkung internationaler Normen ein, die ein verantwortungs- volles Miteinander der Staaten im Cyberspace gewähr- leisten sollen. Ziel ist es, einen Kanon von Verhaltens- regeln zu entwickeln, der von möglichst vielen Regie- rungen mitgetragen wird. In dieser Studie wird der Frage nachgegangen, welche Vorgaben sich hierfür SWP Berlin Internationale Sicherheit und Völkerrecht im Cyberspace Oktober 2014 5 Problemstellung und Empfehlungen aus dem Völkerrecht ableiten lassen. Allgemein an- die Inanspruchnahme des Selbstverteidigungsrechts erkannt ist, dass die Wahrung von Frieden, inter- in der Staatenpraxis nicht auf Dauer aufgeweicht nationaler Sicherheit und Stabilität im Cyberkontext werden –, verbieten sich gewaltsame Gegenschläge, grundsätzlich jenen völkerrechtlichen Normen und durch die andere Staaten in ihrer geschützten Rechts- Prinzipien unterliegt, die bereits 1945 in der Charta sphäre betroffen sind. Dieses Verbot gilt auch für der Vereinten Nationen niedergelegt wurden. Eine Reaktionen in Form von Cyberoperationen, soweit gewisse Unsicherheit herrscht jedoch darüber, wie ihre Wirkung mit derjenigen konventioneller militäri- einzelne Normen und Prinzipien im Lichte der spezifi- scher Maßnahmen vergleichbar ist. Die bloße Ver- schen Herausforderungen des Cyberspace auszulegen mutung, dass ein bestimmter Staat hinter einer Cyber- sind. attacke steht, reicht jedenfalls nicht aus, um derartige Die Bekämpfung transnationaler Cyberkriminalität Eingriffe völkerrechtlich zu legitimieren. wirft aus völkerrechtlicher Sicht keine grundlegenden Kaum ein Staat dürfte in der Lage sein, die Cyber- Probleme auf. Hier geht es vor allem darum, inter- infrastruktur in seinem Hoheitsbereich so abzusichern, national einheitliche Straftatbestände zu definieren dass nicht Teile dieser Einrichtungen manipuliert und eine möglichst lückenlose Verfolgung der Taten und für kriminelle Handlungen oder feindselige Akte über Staatsgrenzen hinweg sicherzustellen. Schwieri- gegen andere Staaten genutzt werden können. Mög- gere Rechtsfragen stellen sich im Zusammenhang mit licherweise ist ein Staat, in dessen Hoheitsbereich eine nachrichtendienstlichen Aktivitäten im Cyberspace. Attacke ihren Ursprung hat, sogar völkerrechtlich Die systematische Überwachung der Korrespondenz verantwortlich für Versäumnisse bei der Absicherung von Privatpersonen stellt prinzipiell einen Eingriff in und Überwachung seiner Infrastruktur, für ein pflicht- das Recht auf Privatsphäre dar. Unklar ist hingegen, widrig unterlassenes Einschreiten oder für mangelnde in welchem Umfang die internationalen Menschen- Kooperation bei der Abwehr und Aufklärung des An- rechtsnormen Geheimdienste daran hindern, Angehö- griffs. Aus dem Völkerrecht lassen sich nämlich be- rige anderer Staaten im Ausland auszuspähen. Gestrit- stimmte Due-Diligence-Verpflichtungen ableiten, die ten wird auch darüber, ob das heimliche Eindringen daran anknüpfen, dass ein Staat Einrichtungen der in geschützte IT-Systeme und Netzwerke zu Spionage- Cyberinfrastruktur unterhält und Cybertechnologien zwecken gegen das zwischenstaatliche Interventions- nutzt. Obgleich darüber im Kern kein Dissens zwischen verbot verstößt. Traditionell üben die Staaten nämlich den Staaten besteht, ist es bislang nicht gelungen, größte Zurückhaltung hinsichtlich der völkerrecht- Inhalt und Umfang der Verpflichtungen in einem offi- lichen Bewertung von Spionageaktivitäten. Sofern ziellen internationalen Rahmen zu präzisieren. An Cyberattacken jedoch darauf ausgelegt sind, Einrich- diesem Punkt müssten multilaterale Initiativen vor- tungen der Infrastruktur eines Staates lahmzulegen rangig ansetzen, um mehr Klarheit zu schaffen. Zur oder weitergehende Schäden zu verursachen, kann Konkretisierung der Pflichten bedarf es keines völker- neben dem Interventionsverbot auch das Gewaltverbot rechtlich verbindlichen Abkommens. Ein formaler nach Artikel 2 (4) der UN-Charta verletzt sein. Die USA Rechtsetzungsprozess wäre äußerst langwierig und nehmen für sich das Recht in Anspruch, notfalls mit müsste hohe politische Hürden überwinden. Mehr konventioneller militärischer Gewalt auf Cyberatta- Erfolg verspricht der von der Bundesregierung ein- cken zu reagieren. Diese Ankündigung hat eine inten- geschlagene Weg, gemeinsam mit anderen Staaten sive Debatte darüber ausgelöst, wann Staaten im Falle einen Kodex für verantwortungsvolles Verhalten im von Cyberangriffen das Recht auf Selbstverteidigung Cyberspace zu entwickeln. Langfristig können solche nach Artikel 51 der UN-Charta zusteht. Das Augen- Initiativen dazu beitragen, dass sich neue völker- merk ist vor allem auf Szenarien gerichtet, in denen gewohnheitsrechtliche Regeln herauskristallisieren. Steuerungssysteme kritischer Infrastrukturen an- gegriffen werden. In der Praxis dürfte es allerdings selbst für die USA äußerst schwierig sein, die Urheber einer professionell ausgeführten Cyberattacke rasch und verlässlich zu lokalisieren und zu identifizieren. Ein solcher Nachweis ist aber Grundvoraussetzung für eine völkerrechtliche Zurechnung des Angriffs. Sofern sich die Verantwortlichkeit im Einzelfall nicht ein- deutig klären lässt – und die Nachweispflichten für SWP Berlin Internationale Sicherheit und Völkerrecht im Cyberspace Oktober 2014 6 Der Cyberspace als völkerrechtlich erfassbarer Raum Der Cyberspace als völkerrechtlich erfassbarer Raum Die Bundesregierung betrachtet den Cyberspace als wann sie zum geschützten Hoheitsbereich der Staaten öffentlichen Raum und öffentliches Gut.1 Dieses Ver- zählen. ständnis entspricht der allgemeinen Auffassung, dass Bei der Ausübung ihrer Jurisdiktion6 über Einrich- es sich beim Cyberspace um einen souveränitätsfreien tungen der Cyberinfrastruktur und deren Nutzer Raum handelt, der allen Staaten gleichermaßen zur haben die Staaten bestimmte völkerrechtliche Rechte Nutzung offensteht. Kein Staat hat demnach das Recht, und Pflichten. Staatliche Souveränität, territoriale sich Teile dieses Raumes anzueignen oder andere Integrität und politische Unabhängigkeit sowie das Staaten von der Nutzung auszuschließen.2 Obwohl Interventionsverbot, das Gewaltverbot und andere in der nichtgegenständliche und allgegenwärtige Cha- der Charta der Vereinten Nationen verankerte Prinzi- rakter des Cyberspace das traditionell geographisch- pien sind nämlich auch im Cyberkontext von großer raumbezogene Völkerrechtsdenken vor besondere Bedeutung. Im Verhältnis zwischen Staaten und Bür- Herausforderungen stellt,3 besteht kein Zweifel daran, gern kommen zudem die internationalen Menschen- dass das geltende Völkerrecht auf Sachverhalte im rechtsnormen zum Tragen. Sie dienen unter anderem Cyberspace Anwendung findet.4 dem Schutz der Informationsfreiheit und der Privat- Als virtueller und souveränitätsfreier Raum wird sphäre. der Cyberspace grundsätzlich von der physisch lokali- Soweit Cyberoperationen als Mittel der Kriegfüh- sierbaren Cyberinfrastruktur (Computer, Kabelnetze, rung genutzt werden, bestimmt sich der Rahmen des Sendeanlagen und andere Einrichtungen) unterschie- Zulässigen nach dem für bewaffnete Konflikte gelten- den, die staatlicher Souveränität unterliegt.5 Aller- den humanitären Völkerrecht. Dieses schreibt vor, dings drängt sich die Frage auf, bis zu welchem Punkt welche Objekte vor Angriffen geschützt sind und wel- die im Cyberspace vorhandenen Daten noch dem che Vorsichtsmaßnahmen getroffen werden müssen, öffentlichen virtuellen Raum zuzuordnen sind und um die Zivilbevölkerung zu schonen. Obgleich die Regeln des humanitären Völkerrechts prinzipiell fle- xibel genug sind, um den Besonderheiten der Cyber- 1 Vgl. die Stellungnahme Deutschlands, veröffentlicht im kriegführung Rechnung zu tragen, besteht erheb- Bericht des UN-Generalsekretärs, Developments in the Field of licher Klärungsbedarf, wie einzelne Vorschriften in Information and Telecommunications in the Context of International solchen Situationen auszulegen sind.7 Brisant ist etwa Security, Report of the Secretary-General, UN-Dok. A/68/156/ Add.1, 9.9.2013, S. 7. die Frage, ob und unter welchen Voraussetzungen 2 Wolff Heintschel von Heinegg, »Legal Implications of Einrichtungen der zivilen Kommunikationsinfrastruk- Territorial Sovereignty in Cyberspace«, in: Christian Czosseck/ tur zu einem legitimen Angriffsziel werden können. Rain Ottis/Katharina Ziolkowski (Hg.), 2012 4th International Im alltäglichen Leben weitaus greifbarer ist die Be- Conference on Cyber Conflict, Tallinn: NATO CCDCOE, 2012, drohung durch unterschiedliche Formen der Cyber- S. 7–19 (9). kriminalität. Mit der Budapester Konvention von 2001 3 Andreas von Arnauld, Völkerrecht, Heidelberg u.a. 2012, S. 335. existiert bereits ein spezielles völkerrechtliches Regel- 4 Vgl. Report of the Group of Governmental Experts on Developments werk für die Bekämpfung von Straftaten im Cyber- in the Field of Information and Telecommunications in the Context of space. Die Konvention sieht vor, dass bestimmte Taten International Security, UN-Dok. A/68/98*, 24.6.2013, Absatz 19ff. in den Vertragsstaaten einheitlich unter Strafe zu 5 Die Souveränität eines Staates erstreckt sich auch auf den stellen und zu verfolgen sind. staatlichen Luftraum und das Küstenmeer einschließlich des darunter liegenden Meeresbodens. Unter dem Schutz staat- licher Souveränität stehen zudem Schiffe, Luftfahrzeuge und 6 Jurisdiktion bedeutet, dass ein Staat in Bezug auf bestimm- Weltraumobjekte, die souveräne Immunität genießen. Träger te Sachverhalte Gesetze erlassen und vollziehen darf und dass souveräner Immunität sind Plattformen (unabhängig von seine Gerichte über Rechtsfragen entscheiden können. Juris- ihrem Aufenthaltsort), die ausschließlich staatlich und nicht diktion bezieht sich auf alle Bereiche des privaten Rechtsver- zu Handelszwecken genutzt werden. Darunter fallen insbe- kehrs, des Strafrechts und des Verwaltungsrechts. sondere Kriegsschiffe und militärische Luftfahrzeuge sowie 7 Zu Rolle des humanitären Völkerrechts im Falle von Cyber- nicht kommerziell genutzte Satelliten. konflikten siehe unten, S. 31. SWP Berlin Internationale Sicherheit und Völkerrecht im Cyberspace Oktober 2014 7 Der Cyberspace als völkerrechtlich erfassbarer Raum In welchem Umfang Staaten die Aktivitäten im Abwehr von Cyberbedrohungen eine besonders Cyberspace regulieren und sanktionieren dürfen, wichtige Rolle. hängt von der Reichweite ihrer Jurisdiktion ab. Die Jurisdiktion eines Staates erstreckt sich zunächst auf alle natürlichen und juristischen Personen sowie auf Objekte innerhalb seines Territoriums (Territoriali- tätsprinzip).8 So kann jeder Staat in seinem Hoheits- bereich beispielsweise Zugangs- und Nutzungsbe- schränkungen für Einrichtungen der Cyberinfrastruk- tur erlassen, Sicherheitsstandards für Unternehmen vorschreiben oder bestimmte Handlungen unter Strafe stellen. Aus dem Territorialitätsprinzip folgt unter anderem, dass ein Staat seine Straf- gerichtsbarkeit auch dann ausüben kann, wenn die Folgen einer strafbaren Handlung, die auf seinem Hoheitsgebiet begangen wird, einen anderen Staat betreffen (subjektive Territorialität) oder wenn eine Tat, die im Ausland ihren Ursprung hat, substantielle Auswirkungen auf das Inland hat (objektive Territoria- lität). Ähnlich weitreichend ist das Schutzprinzip, das es den Staaten gestattet, Auslandstaten zu verfolgen, die sich gegen ihre nationale Sicherheit richten, etwa bei Cyberangriffen auf Verteidigungseinrichtungen.9 Ein weiterer wichtiger Anknüpfungspunkt ist die Staatsangehörigkeit. In der Praxis kann die gleichzei- tige Anwendung dieser Prinzipien durch verschiedene Staaten zu gravierenden Jurisdiktionskonflikten führen. Gelöst werden müssen diese auf zwischen- staatlicher Ebene nach Maßgabe der bestehenden Kollisionsregeln.10 Grundsätzlich gilt jedoch, dass ein Staat seine Gesetze nicht eigenmächtig im Hoheitsbe- reich anderer Staaten vollziehen darf, selbst wenn der sachliche Anwendungsbereich eines Gesetzes an Vorgänge im Ausland anknüpft. Aus diesem Grund spielen spezielle Kooperationsabkommen bei der 8 Vorrichtungen der Cyberinfrastruktur an Bord von Schif- fen, Luftfahrzeugen und Weltraumobjekten unterliegen grundsätzlich der Jurisdiktion des Flaggenstaates bzw. des- jenigen Staates, in dem das Fahrzeug oder Objekt registriert ist. Soweit eine solche Plattform keine souveräne Immunität genießt, kann sie unter bestimmten Voraussetzungen auch dem Zugriff anderer Staaten unterliegen. Dies betrifft insbe- sondere Fälle, in denen sich ein Schiff oder Luftfahrzeug im territorialen Hoheitsbereich eines anderen Staates befindet. 9 Bernard H. Oxman, »Jurisdiction of States«, in: Rüdiger Wolfrum (Hg.), Max Planck Encyclopedia of Public International Law, Online Edition, Oxford u.a. 2014, Rn. 22ff, <http://opil. ouplaw.com/home/EPIL>. 10 Benedikt Pirker, »Territorial Sovereignty and Integrity and the Challenges of Cyberspace«, in: Katharina Ziolkowski (Hg.), Peacetime Regime for State Activities in Cyberspace. International Law, International Relations and Diplomacy, Tallinn: NATO CCDCOE, 2013, S. 189–216 (196ff). SWP Berlin Internationale Sicherheit und Völkerrecht im Cyberspace Oktober 2014 8 Ein Beispiel für internationale Kooperation: Die Bekämpfung von Cyberkriminalität Ein Beispiel für internationale Kooperation: Die Bekämpfung von Cyberkriminalität Im Bereich der Cyberkriminalität ist grundsätzlich päische Agentur für Netz- und Informationssicherheit zwischen zwei Kategorien von Delikten zu unterschei- (European Union Agency for Network and Information den: Zur ersten Kategorie zählen Straftaten, die einen Security, ENISA) in ihren jährlichen Analysen. Nach unerlaubten Eingriff in öffentliche oder private IT- Einschätzung der ENISA besteht die größte Gefahr Systeme, Computernetzwerke, Datenbanken oder derzeit in sogenannten Drive-by Downloads (dem un- Webseiten darstellen und die Integrität der betreffen- erwünschten Herunterladen von Schadsoftware durch den Systeme sowie die Vertraulichkeit von Daten das Anschauen präparierter Webseiten). Weitere typi- beeinträchtigen. Solche Angriffe können etwa darin sche Phänomene sind das Einschleusen von Würmern, bestehen, dass sich eine Person mit Hilfe spezieller Trojanern und anderen Codes sowie die Nutzung von Programme unbefugt Zugang zu einem System ver- Botnetzen (Netzwerke manipulierter Computer, die schafft, Datenübermittlungen abfängt und Manipula- unter fremder Kontrolle im Verbund operieren) für tionen vornimmt, um andere zu schädigen oder sich Denial-of-Service-Attacken, die auf eine Überlastung selbst Vorteile zu verschaffen. Typische Beispiele sind von Servern abzielen.13 Bereits anhand dieser Beispiele das Lahmlegen von Servern (Denial-of-Service-Attacken), wird klar, dass der Übergang von »einfacher« Cyber- Online-Erpressungen in Verbindung mit Schadsoft- kriminalität zu schwerwiegenderen Cyberattacken ware, der Diebstahl digitaler Identitäten (zum Beispiel fließend ist, denn solche Cybertools lassen sich gegen durch Phishing) sowie Manipulationen zu Betrugs- unterschiedlichste Ziele einsetzen. Im Extremfall zwecken im Zusammenhang mit Online-Banking und können sie sogar als Mittel der Kriegführung dienen. Internethandel.11 Die zweite Kategorie umfasst Delikte, Soweit in späteren Kapiteln von Cyberattacken die bei denen das Internet lediglich als Plattform genutzt Rede ist, geht es meist um Angriffe, deren Bedrohungs- wird, um bestimmte verbotene Inhalte zu verbreiten potential weitaus höher ist als die Gefahr, die von ein- (content-related cybercrime), etwa Kinderpornogra- facher Cyberkriminalität ausgeht. phie oder volksverhetzende Inhalte. Darunter fallen Die Abwehr von Gefahren für die öffentliche Sicher- aber auch Aktivitäten von Terroristen, die auf diesem heit und Ordnung ist ebenso wie die Verfolgung von Wege Anhänger rekrutieren und Anleitungen zum Straftaten eine klassische Domäne nationalen Rechts. Bau von Bomben veröffentlichen.12 Geht es um die Bekämpfung transnationaler Krimina- Einen Überblick über die technischen Entwicklun- lität und terroristischer Akte, spielt auch das Völker- gen im Bereich der Cyberkriminalität gibt die Euro- recht eine wichtige Rolle. Ein bewährter Ansatz be- steht darin, dass sich Staaten in regional oder inter- 11 Nach einer Auflistung des Bundeskriminalamts umfasst national verbindlichen Verträgen darauf verständigen, Cyberkriminalität im engeren Sinne folgende im deutschen bestimmte Straftatbestände in nationales Recht zu Strafgesetzbuch verankerte Tatbestände: Computerbetrug, übernehmen und die Voraussetzungen zu schaffen, um Betrug mit Zugangsberechtigungen zu Kommunikations- solche Taten zu verfolgen. Zu diesem Zweck werden diensten, Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung, Datenveränderung regelmäßig spezielle Informations- und Kooperations- und Computersabotage sowie das Ausspähen und Abfangen pflichten vereinbart. Beispiele sind die UN-Konvention von Daten einschließlich Vorbereitungshandlungen. Das gegen transnationale organisierte Kriminalität, das Bundeskriminalamt umschreibt diese Delikte als Straftaten, Abkommen zur Bekämpfung der Terrorismusfinan- die sich gegen das Internet, weitere Datennetze, informations- zierung und weitere Verträge, die eine einheitliche technische Systeme oder deren Daten richten bzw. mittels solcher Informationstechnik begangen werden. Bundeskrimi- Kriminalisierung spezieller terroristischer Handlun- nalamt, Cybercrime Bundeslagebild 2012, <www.bka.de/nn_205 gen vorsehen. Im Rahmen des Europarats wurde 2001 994/DE/ThemenABisZ/Deliktsbereiche/InternetKriminalitaet/ Lagebilder/lagebilder__node.html?nnn=true>. 13 European Union Agency for Network and Information 12 Vgl. UN Office on Drugs and Crime, Comprehensive Study on Security, ENISA Threat Landscape 2013. Overview of Current and Cybercrime, Draft, New York, Februar 2013, S. 16ff, <www.uno Emerging Cyber-threats, Heraklion, 11.12.2013, <www.enisa. dc.org/documents/organized-crime/UNODC_CCPCJ_EG.4_ europa.eu/activities/risk-management/evolving-threat-environ 2013/CYBERCRIME_STUDY_210213.pdf>. ment/etl2013>. SWP Berlin Internationale Sicherheit und Völkerrecht im Cyberspace Oktober 2014 9 Ein Beispiel für internationale Kooperation: Die Bekämpfung von Cyberkriminalität in Budapest die bereits erwähnte Konvention gegen sechs nichteuropäische Staaten von dieser Möglichkeit Cyberkriminalität verabschiedet, zu deren Vertrags- Gebrauch gemacht.16 parteien auch Deutschland gehört.14 In dieser Konven- Solche völkerrechtlichen Verträge sind ein wichti- tion sind bestimmte Straftaten gegen die Vertraulich- ges Instrument, um ein möglichst einheitliches inter- keit, Unversehrtheit und Verfügbarkeit von Computer- nationales Vorgehen gegen transnational operierende daten und Computersystemen definiert.15 Erfasst kriminelle Akteure zu gewährleisten. Angesichts der werden unter anderem das Eindringen in fremde Tatsache, dass terroristische Organisationen zuneh- Computersysteme, das unbefugte Abfangen von Daten- mend auch im virtuellen Raum aktiv sind, könnte das übermittlungen, die Manipulation von Computer- Budapester Abkommen als Vorbild für künftige Rege- daten, das Sabotieren von Computersystemen sowie lungen dienen, um solche Aktivitäten gezielter zu der Missbrauch (Herstellung, Verbreitung und Besitz) bekämpfen. von Computerprogrammen und Zugangscodes, um solche Straftaten zu begehen. Zudem enthält das Buda- pester Abkommen Vorschriften zur Bekämpfung von Computerbetrug und computerbezogenen Fälschun- gen. Da es bei den genannten Straftatbeständen nicht auf die Motivation der Täter ankommt, lassen sich sowohl wirtschaftlich als auch politisch oder ideolo- gisch motivierte Taten unter diese Bestimmungen fassen, etwa Aktionen sogenannter Hacktivisten oder Taten mit terroristischem Hintergrund. Außerdem enthält die Konvention Vorgaben zur Kriminalisie- rung und Verfolgung einer Reihe von Taten mit Bezug zu Kinderpornographie sowie bestimmter Urheber- rechtsverletzungen. Ein Zusatzprotokoll von 2003 dehnt den Anwendungsbereich der Konvention zudem auf rassistische und fremdenfeindliche Handlungen im Cyberspace aus. Neben den genannten Straftatbeständen finden sich in der Budapester Konvention verfahrensrecht- liche Bestimmungen zur Sicherung, Herausgabe, Durchsuchung, Beschlagnahme und Erhebung straf- rechtlich ermittlungsrelevanter Computerdaten sowie zur Begründung nationaler Gerichtsbarkeit und zur internationalen Zusammenarbeit (insbesondere zur Auslieferung, Rechtshilfe und Einrichtung nationaler Kontaktstellen). Obgleich das Budapester Abkommen prinzipiell auch Staaten zum Beitritt offensteht, die nicht Mitglied des Europarats sind, haben bisher erst 14 Convention on Cybercrime (23.11.2001, in Kraft getreten am 1.7.2004); Additional Protocol to the Convention on Cybercrime, Concerning the Criminalisation of Acts of a Racist and Xenophobic Nature Committed through Computer Systems (28.1.2003, in Kraft getreten am 1.3.2006). 15 Besondere Sensibilität erfordert dabei allerdings der Umgang mit technischen Verfahren, die zur Sicherung von 16 Aktuell haben 42 Staaten die Konvention ratifiziert, Computersystemen erforderlich sind, wie etwa das Suchen darunter auch sechs nichteuropäische Staaten: Australien, nach Sicherheitslücken durch »freundliches Hacken«. Für Dominikanische Republik, Japan, Mauritius, Panama und solche Aktivitäten, die zum Teil im Grenzbereich strafrecht- USA. Zum aktuellen Stand siehe Council of Europe, Convention licher Verbote stattfinden, muss unbedingt die nötige Rechts- on Cybercrime, <http://conventions.coe.int/Treaty/Commun/ sicherheit geschaffen werden. ChercheSig.asp?NT=185&CM=&DF=&CL=ENG>. SWP Berlin Internationale Sicherheit und Völkerrecht im Cyberspace Oktober 2014 10