Eine digitale Waffe ist keine Präzisionswaffe. Sie sucht sich ihr Ziel, gewiss – doch das Ziel ist meist ein Bauteil, das auch in einer ganz anderen Anlage eingebaut sein könnte, einer Anlage, die mitunter gar nicht angegriffen werden sollte. Stuxnet etwa greift eine bestimmte von Siemens gebaute Steuerungsanlage für Industrieanlagen an. Sie ist weltweit in vielen Anlagen im Einsatz, nicht nur in Kernkraftwerken. Die Streuung ist daher immens.

Wie also ist der Erfolg von Stuxnet bei Abwägung all dieser Faktoren zu beurteilen? Darauf wird es keine abschließende Antwort geben, denn wir werden nie mit Bestimmtheit feststellen können, wie groß der Schaden ist, den der Wurm angerichtet hat. Das wirft auch die moralische Frage auf, ob ein Cyberangriff, dessen Kollateralschäden immens sein könnten, überhaupt zulässig ist.

Es gibt die Theorie des gerechten Krieges. Demnach kann man einen Krieg gerecht nennen, wenn er fünf zentrale Kriterien erfüllt – eines davon ist die Verhältnismäßigkeit der Reaktion. Aber ist es angemessen, eine hochsensible Anlage mit potenziell verheerenden Folgen zu attackieren und nebenbei noch weltweit Computer zu infizieren? Der Informatiker Kossakowski bietet dazu ein gar nicht so unrealistisches Gedankenspiel an: »Wäre Stuxnet auf den Weg geschickt worden, während Israels Armee bereits die Bomber bestückt, um sie gegen Iran fliegen zu lassen, dann ist das etwas anders zu beurteilen, als wenn man Stuxnet zu Friedenszeiten auf den Weg bringt.«

Hinter dem immer lauter werdenden politischen Reden über den Krieg im Netz verbirgt sich die Tatsache, dass es auf sehr grundsätzliche Fragen keine klaren Antworten gibt. Was ist das überhaupt: Krieg im Netz? Ab wann sprechen wir davon? Wenn jemand unsere Infrastruktur ausspioniert? Oder erst dann, wenn ein Regierungsserver lahmgelegt wird? Welche sicherheitspolitischen Konsequenzen hat diese Form des Krieges? Was bedeutet es für die Verteidigungspolitik? Was für das Kriegsvölkerrecht? Kurzum: Müssen wir alles neu denken?

Die Antwort lautet: Ja und nein. Die Gesetze des Krieges ändern sich nicht »nur«, weil er jetzt auch im Netz ausgefochten wird. Auch im Cyberspace werden die kriegführenden Parteien sich tarnen, sie werden täuschen, sie werden dem anderen Schaden zufügen, den eigenen minimieren, sie werden angreifen und sich verteidigen, je nach Möglichkeiten. Das Pentagon hat vor einigen Wochen eine Cyberdoktrin ausgearbeitet. Darin drohen die USA, einen digitalen Angriff mit konventionellen Waffen zu beantworten . Einer der mit dem Papier befassten Offiziere ließ sich mit dem Satz zitieren: »Wenn du unsere Hochspannungsleitungen außer Kraft setzt, dann schicken wir eine Rakete durch deinen Schornstein!«

Das ist die klassische Antwort eines Militärs. Doch für einen »klassischen Krieg« fehlt eine wesentliche Voraussetzung: Es ist bisher praktisch unmöglich, den Angreifer zu identifizieren. Der Fachbegriff dafür ist »Attribution«. In asymmetrischen Kriegen, in denen ein militärisch eindeutig Unterlegener auf einen deutlich Stärkeren trifft, wird der Schwächere immer versuchen, sich zu tarnen, nur so hat er Aussicht auf Erfolg. Cyberattacken sind für asymmetrische Kriege geradezu geschaffen.

Wie findet man den Urheber einer digitalen Attacke? Durch Spuren im Schreibcode des Computerwurms. Amerikanische Wissenschaftler der Darpa (Defense Advanced Research Project Agency) versuchen im Auftrag des Pentagon schon seit Jahren, eine Art »digitalen Fingerabdruck« zu entwickeln, bislang ohne Erfolg. Nach Meinung von Sandro Gaycken wird die Rückverfolgung niemals vollständig gelingen: »Daten sind veränderbar. Das ist ihre Kernfunktionalität.« Datenträger sind immer wieder beschreibbar – und damit manipulierbar. Es bleiben Indizien. Indem man zum Beispiel, wie bei Stuxnet, die Cui-bono-Frage stellt: Wer profitiert davon? Doch reicht das aus, um einen Gegenschlag zu rechtfertigen?

Thomas Wingfield, Professor für Internationales Recht am George C. Marshall Center, glaubt, dass man auch ohne technische Beweise einen juristisch »klaren und zwingenden Nachweis« über den Täter führen könnte. Dies würde laut Wingfield genügen, um eine Reaktion zu legitimieren. Der Informatiker Kossakowski hingegen beschreibt die Konfusion über den Urheber eines Angriffes mit einer schönen Bemerkung: »Plötzlich werden Sie von meiner Großmutter angegriffen. Und was machen Sie dann?«