Mythos Cyberwar E-Book

1. Was ist ein Cyberkrieg?

Der prägnanteste und grundlegendste Begriff vom Krieg findet sich immer noch bei Carl von Clausewitz. Sunzi aber, der wesentlich ältere Strategietheoretiker, geisterte in den 1990er Jahren dennoch häufiger durch die Debatten um Informationskriege, obwohl der chinesische General und Philosoph eher mit griffigen Aphorismen als mit systematischen Theorien aufwartet – weite Teile seines Buchs Die Kunst des Krieges aus dem Jahr 500 v.Chr. lesen sich wie ein abgehackter Twitter-Feed. Sunzis moderne preußische Nemesis hat ein wesentlich präziseres und in sich konsistenteres Instrumentarium für eine gründliche Analyse anzubieten. Selbst wenn Clausewitz’ Begriffe und Vorstellungen natürlich in vielerlei Hinsicht ebenso an ihre Grenzen stoßen, stellen sie doch für Fachleute und Verantwortliche des Militärs immer noch eine Art von Grundwortschatz dar. Clausewitz nennt drei Hauptkriterien, die jeder aggressive oder defensive Akt erfüllen muss, um als eigenständige Kriegshandlung zu gelten. Die bislang bekannt gewordenen Cyberattacken genügen diesen Kriterien nicht.

Das erste Element ist die gewaltsame Natur des Krieges. »Der Krieg ist also ein Akt der Gewalt, um den Gegner zur Erfüllung unseres Willens zu zwingen«, schreibt Clausewitz auf der ersten Seite seines Buches Vom Kriege.13 Jeder Krieg impliziert den Einsatz von Gewalt. Birgt eine Handlung nicht wenigstens ein Gewaltpotential, ist sie auch keine Kriegshandlung und kein bewaffneter Angriff – und der Gebrauch des Wortes wird eine metaphorische Dimension annehmen, so wie beim »Krieg« gegen die Fettleibigkeit oder dem »Krieg« gegen den Krebs. Eine echte Kriegshandlung bzw. ein bewaffneter Angriff ist prinzipiell immer und manchmal de facto tödlich, mindestens für einige Beteiligte auf mindestens einer Seite. Lässt man den Aspekt der körperlichen Gewalt vollkommen unter den Tisch fallen, dann ist »Krieg«, um mit Jack Gibbs zu sprechen, ein Larifari-Begriff.14 Dasselbe gilt für die Idee einer Waffe. In Clausewitz’ Denken ist Gewalt bei allen Kriegen die entscheidende Größe. Die beiden Feinde – denn er betrachtet normalerweise zwei Parteien – versuchten, die Gewalt eskalieren zu lassen, es sei denn, »Friktionen«, Unwägbarkeiten oder die Politik hinderten sie daran.15

Das zweite Element, das Clausewitz am Krieg hervorhebt, ist sein instrumenteller Charakter. Eine Kriegshandlung ist immer instrumentell, sie folgt also unter Einsatz eines bestimmten Mittels einem bestimmten Zweck: Physische Gewalt bzw. die Androhung physischer Gewalt ist das Mittel, dem Feind den Willen des Angreifers aufzuzwingen das Ziel. Eine solche Definition ist »wenigstens in der theoretischen Vorstellung notwendig«, argumentiert Clausewitz.16 Um das Kriegsziel zu erreichen, muss ein Feind wehrlos gemacht werden oder, genauer gesagt, gegen seinen Willen in eine Lage versetzt werden, in der jeder Versuch einer Veränderung dieser Lage durch weiteren Einsatz von Waffengewalt mindestens in den Augen dieses Feindes nur weitere Nachteile mit sich bringen würde. Gänzliche Wehrlosigkeit ist lediglich die extreme Form dieser Situation. Beide Kriegsparteien bedienen sich der Gewalt auf diese instrumentelle Art und Weise, sie formen das Verhalten des jeweils anderen, sie geben einander, wie es der preußische Philosoph ausdrückt, das Gesetz.17 Der instrumentelle Gebrauch von Mitteln findet auf technischer, operativer, strategischer und politischer Ebene statt. Je höher das erwünschte Ziel gesteckt ist, desto schwieriger ist es zu erreichen. Entgegen der etwas gestelzten Sprache seiner Zeit formuliert Clausewitz hier hier ohne Umschweife: »[D]ie politische Absicht ist der Zweck, der Krieg ist das Mittel, und niemals kann das Mittel ohne Zweck gedacht werden.«18

Damit sind wir beim dritten und wichtigsten Merkmal des Krieges – seinem politischen Charakter. Eine Kriegshandlung ist immer politisch. Über das unmittelbare Ziel einer Schlacht, den Feind »niederzuwerfen« und wehrlos zu machen, mögen Kommandeure wie Strategen vorübergehend den eigentlichen Zweck des Krieges aus den Augen verlieren. Der Krieg ist niemals ein einzelner Akt oder eine einzelne Entscheidung. In der wirklichen Welt ist der eigentliche Zweck des Krieges immer ein politischer. Er geht über die Anwendung von Gewalt hinaus. Diese Einsicht ist es, die Clausewitz’ berühmter Satz ausdrückt: »Der Krieg ist eine bloße Fortsetzung der Politik mit anderen Mitteln.«19 Um politisch zu sein, muss ein politisches Gebilde oder der Repräsentant eines politischen Gebildes, egal, wie es verfasst ist, eine Absicht, einen Willen besitzen. Diese Absicht muss zum Ausdruck gebracht werden. Und der Wille der einen Seite muss dem Gegner zu irgendeinem Zeitpunkt der Auseinandersetzung übermittelt werden (was nicht heißt, dass er öffentlich gemacht werden müsste). Ein Akt der Gewalt und seine eigentliche politische Absicht müssen sich zu irgendeinem Zeitpunkt der Konfrontation auch einer Seite zurechnen lassen. Die Geschichte kennt keine Kriegshandlungen, die sich nicht früher oder später zurechnen ließen.20

Um diese Kriterien auf Cyberattacken anwenden zu können, muss zunächst einmal eine wesentliche Modifikation vorgenommen werden. Das alles entscheidende Element jeder kriegsähnlichen Handlung bleibt der »Einsatz von Gewalt«. Ein solcher Einsatz von Gewalt ist üblicherweise ziemlich massiv und kompakt, auch wenn man ihn in seine einzelnen Bestandteile zerlegen kann. In den meisten bewaffneten Konflikten – konventioneller oder nicht konventioneller Art – erfolgt der Einsatz von Gewalt mehr oder weniger unvermittelt: sei es ein F-16-Bomber, der Ziele aus der Luft beschießt, Artillerie-Trommelfeuer oder ein Drohnenangriff, selbst gebaute Sprengkörper, die am Straßenrand platziert werden, oder gar ein Selbstmordattentäter auf einem öffentlichen Platz. In all diesen Fällen wird die auslösende Tat eines Kämpfers oder Aufständischen – etwa das Drücken eines Knopfes oder Betätigen eines Abzugs – unverzüglich und unmittelbar zu Todesopfern führen, selbst wenn ein Zeitzünder oder eine Fernbedienung zwischengeschaltet ist wie bei Drohnen oder Cruise Missiles, und auch dann noch, wenn ein programmiertes Waffensystem halb autonom darüber zu entscheiden vermag, welches Ziel es anpeilt und welches nicht.21 Eine Cyberkriegshandlung würde ganz anderen Spielregeln gehorchen.

Im Rahmen einer Cyberkriegshandlung wird der eigentliche Einsatz von Gewalt wahrscheinlich in einer wesentlich komplexeren und vermittelteren Abfolge von Ursachen und Wirkungen bestehen, die letztlich zu Zerstörung und Verlusten führt.22 Ein Szenario, das man sich in diesem Zusammenhang gerne ausmalt, ist ein chinesischer Cyberangriff auf das amerikanische Festland, sollte etwa die Taiwan-Frage eine schwere politische Krise auslösen. Mittels sogenannter Logikbomben, die zuvor in das amerikanische Elektrizitätsnetz eingeschleust wurden, könnten die Chinesen mit einem flächendeckenden Stromausfall eine gesamte Großstadt lahmlegen. Dies könnte einen immensen Verlust an Finanzdaten zur Folge haben. Züge könnten entgleisen und verunglücken. Luftverkehrssysteme und ihre Back-ups könnten zusammenbrechen, wodurch Hunderten von Flugzeugen in der Luft die Kommunikationsverbindung abgeschnitten wäre. Die industriellen Kontrollsysteme hochsensibler Kraftwerke, etwa von Atommeilern, könnten beschädigt werden, was in letzter Konsequenz den Ausfall des Kühlkreislaufs, eine Kernschmelze und die Verseuchung der Umwelt bedeuten könnte23 – dabei würden Menschen schwer verletzt oder sogar getötet werden. Militäreinheiten könnten außer Gefecht gesetzt werden. In einem solchen Szenario ist die Kausalkette, durch die der Umstand, dass jemand auf einen Knopf drückt, mit dem Umstand verbunden ist, dass ein anderer verletzt wird, vermittelt und von Zufällen und Friktionen durchsetzt. Doch auch eine derart vermittelte, durch einen Cyberangriff verursachte Zerstörung könnte zweifellos eine Kriegshandlung darstellen, auch wenn nicht die Mittel, sondern nur die Folgen mit Gewalt verbunden wären.24 Außerdem könnten nicht gewaltsame Cyberattacken in hoch vernetzten Gesellschaften auch ohne gewaltsame Effekte ökonomische Auswirkungen haben, die über den Schaden eines vergleichsweise kleineren physischen Angriffs hinausgehen.25 Derartige Szenarien haben zum einen weithin große Verwirrung gestiftet: »Selten hat man über etwas so Wichtiges mit so wenig Klarheit und offenbar so wenig Verständnis gesprochen wie über dieses Phänomen«, kommentierte Michael Hayden, der ehemalige Direktor sowohl der Central Intelligence Agency (CIA) als auch der National Security Agency (NSA).26 Und zum anderen weisen all diese Szenarien bislang ein entscheidendes Manko auf: Sie gehören ins Reich der Fiktion, um nicht zu sagen: der Science-Fiction.

Wenn wir den Einsatz von Gewalt im Krieg als physisch gewaltsam, instrumentell und politisch verstehen, dann gibt es keinen Cyberangriff, der diesen drei Kriterien gleichermaßen genügt. Doch nicht nur das: Es hat bislang überhaupt nur wenige Cyberangriffe gegeben, die auch nur einem der Kriterien genügen. Um diese These zu belegen, wollen wir die am häufigsten zitierten Angriffe Fall für Fall und Kriterium für Kriterium durchgehen.

Der physisch zerstörerischste Cyberanschlag war bislang wahrscheinlich die Explosion einer sibirischen Pipeline – so er denn wirklich stattgefunden hat. Im Rahmen einer verdeckten Operation bedienten sich die Amerikaner 1982 angeblich manipulierter Software, um an der russischen Urengoi-Surgut-Tscheljabinsk-Pipeline, die die Gasfelder von Urengoi in Sibirien über Kasachstan mit den europäischen Märkten verbindet, eine große Explosion herbeizuführen. Da für das gigantische Pipeline-Projekt ein hoch kompliziertes Steuerungssystem benötigt wurde, waren die sowjetischen Betreiber gezwungen, die dafür notwendigen Computer auf dem freien Markt zu beschaffen. Die zuständigen russischen Behörden wollten die für die Überwachung und Steuerung des Systems erforderliche Software (Supervisory Control and Data Acquisition, SCADA) von den Vereinigten Staaten erwerben, bekamen aber eine Abfuhr. Daraufhin bezogen die Russen die Software von einer kanadischen Firma. Angeblich gelang es der CIA, einen Schadcode in das in Sibirien installierte Steuerungssystem einzuschleusen. Die Software, die die Pumpen, Turbinen und Ventile steuerte, war so programmiert, dass sie eine Weile störungsfrei funktionierte, irgendwann aber »die Pumpengeschwindigkeit und Ventileinstellungen derart veränderte, dass sie einen Druck erzeugten, dem die Verbindungen und Nähte der Rohrleitungen unmöglich standhalten konnten«, wie Thomas Reed, damals in Diensten der NSA, berichtete.27 Im Juni 1982 verursachten die manipulierten Ventile mutmaßlich eine Explosion und ein Feuer »gigantischen« Ausmaßes, das noch vom Weltall aus zu sehen war. Die US Air Force soll die Detonation auf drei Kilotonnen beziffert haben, was der Explosion eines kleinen atomaren Sprengkopfs entspräche.28

Doch diese Geschichte hat gleich drei Haken. Der erste betrifft die russischen Quellen. Als Reeds Buch 2004 erschien, bestritt Wassilij Ptschelintsew, ein ehemaliger KGB-Führungsoffizier der Region Tjumen, in der die Explosion angeblich stattfand, die Geschichte. Er mutmaßte, Reed habe wohl von einer Explosion gesprochen, die sich nicht im Juni, sondern an einem warmen Apriltag desselben Jahres 50 Kilometer von der Stadt Tobolsk entfernt ereignet hatte und dadurch verursacht worden war, dass sich im tauenden Tundraboden Leitungen verschoben hatten. Bei dieser Explosion war offenbar niemand verletzt worden.29 Obwohl die Medien in den frühen achtziger Jahren sehr wohl über gewöhnliche Unfälle und Pipeline-Explosionen in der UdSSR berichteten, findet man keine Pressemeldungen aus dem Jahr 1982, die Reeds angebliche Explosion bestätigen. Auch spätere russische Quellen erwähnen den Vorfall mit keinem Wort. 1990, als die Sowjetunion noch existierte, veröffentlichte Generalleutnant Nikolaj Brusnizyn ein bemerkenswertes, überaus detailreiches kleines Buch, das unter dem Titel Openness and Espionage (Offenheit und Spionage) auch ins Englische übersetzt wurde. Brusnizyn war zum damaligen Zeitpunkt stellvertretender Vorsitzender des Gossnab, des Staatlichen Komitees für die materiell-technische Versorgung. Sein Buch enthält ein kurzes Kapitel über »Computerspionage«, in dem er diverse Gerätschaften vorstellt, die der sowjetische Geheimdienst in den vorangegangenen Jahren gefunden habe. Er listet drei Arten von Entdeckungen auf: in Gehäuse eingebaute »Signalgeber«, die überwachen sollen, wo importierte Geräte installiert würden; »zusätzliche elektronische ›Einheiten‹, die nichts mit der Maschine selbst zu tun haben«, durch die sich Daten abgreifen und übertragen lassen; und »technische Vorrichtungen, die einen Computer vollkommen funktionsuntüchtig machen«, indem sie »sowohl die Computersoftware als auch den Speicher zerstören«.30 Brusnizyn konnte sogar mit Beispielen aufwarten. Das drastischste von ihnen war dem General zufolge ein »Virus« auf einem Computer, den eine westdeutsche Firma an eine sowjetische Schuhfabrik verkauft hatte. Man sollte doch meinen, dass Brusnizyn von dem Überraschungsangriff auf die Pipeline, so er denn stattgefunden hätte, auch gewusst und höchstwahrscheinlich über ihn geschrieben hätte, und wenn nicht über das Ereignis selbst, dann doch mindestens über die Möglichkeit einer Hardwaresabotage. Das tat er aber nicht.

Der zweite Haken betrifft die zur damaligen Zeit verfügbare Technologie. Es ist ungewiss, ob man 1982 schon ohne Weiteres eine »Logikbombe« hätte verstecken können. Drei Jahrzehnte nach einem vermeintlichen Vorfall aber die insgeheim modifizierte Software eines industriellen Steuerungssystems zu analysieren, ist schwierig bis unmöglich. Doch ein paar allgemeine Feststellungen lassen sich durchaus treffen: Die Technologie war seinerzeit viel primitiver. Ein System zur Steuerung von Gasleitungen wäre Anfang der 1980er Jahre vermutlich eine relativ einfache »Zustandsmaschine« mit einem 8-Bit-Mikrocontroller gewesen. Höchstwahrscheinlich war es im Jahr 1982 immer noch machbar, alle möglichen Ergebnisse aller möglichen Dateneingaben zu testen. (Bei den späteren Mikroprozessoren ist das nicht mehr der Fall.) Durch einen solchen Test können alle versteckten Ergebnisse entdeckt werden – eine Eingabe »X« führt zur gefährlichen Ausgabe »Y«.31 Die Software auf Mängel zu testen, wäre mit anderen Worten relativ einfach gewesen. Selbst mit der damals erhältlichen Technologie hätte ein Regressionstest nicht länger als einen Tag gedauert, schätzt der langjährige Technikjournalist Richard Chirgwin.32 Kurz gesagt war es im Jahre 1982 noch wesentlich schwieriger, Schadsoftware zu verstecken.

Und schließlich der dritte Haken: Selbst nachdem die CIA das sogenannte Farewell-Dossier freigegeben hatte, in dem man nachlesen konnte, wie die Sowjetunion mit schadhafter Technologie versorgt werden sollte, bestätigte der Dienst die vermeintliche Explosion nicht. Und falls sie stattgefunden haben sollte, ist nicht klar, ob sie Menschenleben gekostet hat. Die Faktenlage ist in diesem Fall so dünn und fragwürdig, dass er nicht als Beweis für eine erfolgreiche Logikbombe herhalten kann.

Ein anderes viel zitiertes Beispiel für einen Cyberkrieg ist die koordinierte Überflutung estnischer Websites mit Anfragen, die Ende April 2007 begann. Seinerzeit war Estland eines der Länder mit der besten Netz-Infrastruktur; zwei Drittel aller Esten nutzten bereits das Internet, und 95 Prozent aller Bankgeschäfte fanden auf elektronischem Wege statt.33 Das kleine, gut vernetzte baltische Land bot Cyberattacken eine breite Angriffsfläche. Die Geschichte hinter dem oft zitierten Ereignis nahm etwa zwei Wochen vor dem 9. Mai ihren Ausgang – jenem in Russland emotional hoch aufgeladenen Tag, an dem die Russen des Sieges über Nazi-Deutschland gedenken. Mit einem äußerst unsensiblen Timing hatten die Behörden von Tallinn beschlossen, das russische Denkmal für den unbekannten Soldaten des Zweiten Weltkriegs, einen zwei Meter großen Bronzesoldaten, vom Zentrum der Hauptstadt an den Stadtrand zu versetzen. Die russischsprachige Bevölkerung Estlands war darüber ebenso schockiert wie das russische Nachbarland. Am 26. und 27. April kam es in Tallinn zu gewaltsamen Ausschreitungen, im Zuge deren ein Mensch starb, 1300 Menschen verhaftet und 100 verletzt wurden.

Während der Straßenschlachten erreichte der Aufruhr auch das Internet. Die Cyberangriffe begannen in den späten Abendstunden des 27. April. Zunächst bedienten sich die Angreifer unbeholfener, technisch einfacher Methoden wie etwa einer Flut von Ping-Befehlen oder DoS-, d.h. Denial-of-Service- oder Dienstverweigerungsattacken – massenhafte schlichte Informationsanfragen an einen Server, wie die Aufrufe einer Website beispielsweise. Dann gestalteten sich die Anschläge etwas raffinierter. Am 30. April wurden erstmals einfache Botnetze eingesetzt, um den Umfang der DDoS-Attacken (der Distributed-Denial-of-Service oder dem durch Vielanfragen von zahlreichen verschiedenen Quellen herbeigeführten Zusammenbruch des Dienstes) auszuweiten, und auch zeitlich wurden diese kollektiven Aktionen immer koordinierter. Zu den Beeinträchtigungen zählten zudem E-Mail- und Kommentar-Spams sowie die Verunstaltung der Website der Estnischen Reformpartei. Estland erlebte damals die schlimmste DDoS-Attacke, die es je gegeben hatte. Die Angriffe wurden von einer extrem großen Menge gekaperter Computer – bis zu 85.000 – ausgeführt, und sie dauerten mit drei Wochen ungewöhnlich lange, nämlich bis zum 19. Mai. Ihren Höhepunkt erreichten sie am 9. Mai, an dem man in Moskau den Tag des Sieges feiert. 58 estnische Websites wurden gleichzeitig lahmgelegt. Die Online-Dienste der größten estnischen Bank, der Hansapank, fielen für 90 Minuten und am darauffolgenden Tag für weitere zwei Stunden aus.34 Zwar bekamen Handel und Banken, Staat und estnische Gesellschaft diese koordinierten Internetproteste zu spüren, deren Auswirkungen aber blieben letztlich gering. Die einzige langfristige Folge des Vorfalls war, dass die estnische Regierung die NATO dazu bewegen konnte, in Tallinn ein Kompetenzzentrum zur Cyberabwehr einzurichten, nämlich das Cooperative Cyber Defence Centre of Excellence.

An dieser Geschichte ist einiges bemerkenswert. Es wurde nicht aufgeklärt, wer hinter den Angriffen steckte. Estlands Verteidigungsminister genau wie der oberste Diplomat des Landes machten den Kreml verantwortlich, konnten jedoch keine Beweise vorlegen. Am Ende musste die Behauptung, Estland habe die IP-Adressen einiger der an den Angriffen beteiligten Computer zur russischen Regierung zurückverfolgen können, dementiert werden. Weder die Experten des Atlantischen Bündnisses noch die der Europäischen Kommission waren in der Lage, digitale russische Fingerabdrücke bei der Operation nachzuweisen. Die russischen Vertreter nannten die Vorwürfe einer Beteiligung ihres Landes »unbegründet«.35

Es ist wichtig, die damals neuartige Erfahrung, die Estland machte, richtig einzuordnen. Mihkel Tammet, im estnischen Verteidigungsministerium für die Informations- und Kommunikationstechnologie zuständig, beschrieb das, was im Vorfeld der Angriffe geschah, als »ein dem Zusammenziehen von Armeen vergleichbares Zusammenziehen von Botnetzen«.36 Andrus Ansip, der damalige Premierminister Estlands, fragte: »Wodurch unterscheidet sich eine Blockade der Häfen oder Flughäfen eines souveränen Staates von der Blockade staatlicher Institutionen und von Nachrichten-Websites?«37 Das war natürlich als rhetorische Frage gemeint. Die Antwort ist ganz einfach: Im Gegensatz zu einer Seeblockade ist die »Blockade« von Websites nicht einmal potentiell gewaltsam; im Gegensatz zu einer Seeblockade war die DDoS-Attacke nicht instrumentell an ein taktisches Ziel geknüpft, sondern ein Akt des ungerichteten Protests; und im Gegensatz zu Schiffen, die die Ausfahrt versperren, blieben die Pings ohne politische Rückendeckung anonym. Ansip hätte fragen können, wodurch sich eine Großdemonstration, die den Zugang zu einem Gebäude versperrt, von einer Website-Blockade unterscheidet. Der Vergleich wäre etwas passender, wenn auch aus einem weiteren Grund immer noch schief: Für eine Demonstration alter Schule müssen viel mehr reale Menschen auftauchen.

Vor dem Hintergrund eines Bodenkriegs zwischen der Russischen Föderation und Georgien ereignete sich ein Jahr später, im August 2008, ein weiterer großer Vorfall, der die Kassandra-Rufe vor einem Cyberkrieg befeuerte. Dieser kurze bewaffnete Konflikt entzündete sich an einer Gebietsstreitigkeit um Südossetien. Am 7. August beantwortete die georgische Armee Provokationen mit einem Angriff auf die separatistischen Kräfte Südossetiens. Einen Tag später folgte die militärische Reaktion Russlands. Doch schon am 29. Juli, also etwas über eine Woche vor dem bewaffneten Konflikt und der Hauptwelle des Cyberangriffs, die beide am 8. August begannen, kam es zu ersten Computerattacken auf georgische Websites. Es war möglicherweise das erste Mal, dass ein unabhängiger Cyberangriff synchron mit einer konventionellen militärischen Operation erfolgte.38

Bei den Cyberattacken gegen Georgien lassen sich drei Arten unterscheiden. Einige symbolisch wichtige Websites des Landes wurden verunstaltet, so zum Beispiel die Seiten der Zentralbank und des Außenministeriums. Am prominentesten stach eine Collage aus den Porträts von Adolf Hitler und dem georgischen Präsidenten Micheil Saakaschwili hervor. Die zweite Angriffsart bestand in DoS-Attacken gegen öffentliche und privatwirtschaftliche Websites des Landes. Sie trafen unter anderem verschiedene Internetauftritte der georgischen Regierung sowie den des georgischen Parlaments, richteten sich aber auch gegen Presseorgane, die größte georgische Geschäftsbank und andere mit weniger wichtigen Webpräsenzen. Der digitale Ansturm dauerte im Durchschnitt rund zwei Stunden und fünfzehn Minuten, der längste bis zu sechs Stunden.39 Eine dritte Methode bestand darin, Schadsoftware in Umlauf zu bringen, um die Reihen der Angreifer und das Angriffsvolumen zu vergrößern. Diverse russischsprachige Foren halfen durch eine Verbreitung von Skripten, die es Nutzern ermöglichten, sich an der Aktion zu beteiligen; das Angriffsskript wurde sogar in einer archivierten Version – war.rar – gepostet, die sich primär gegen Websites der georgischen Regierung richtete. In ähnlicher Weise wurden E-Mail-Accounts georgischer Politiker gespammt.

Auch diese Episode hatte relativ geringe Auswirkungen. Ungeachtet der Kriegsrhetorik, deren sich die internationale Presse, die georgische Regierung und anonyme Hacker befleißigten, waren die Angriffe nicht gewaltsam. Zudem bot Georgien mit seinen 4,6 Millionen Einwohnern weit weniger Angriffsfläche für Attacken als Estland, weil es nicht sehr stark vernetzt war und nur wenige wichtige Dienstleistungen, wie Energie, Transport oder Bankwesen, überhaupt am Internet hingen. Abgesehen davon, dass eine Reihe georgischer Regierungs-Websites eine Zeit lang nicht aufrufbar war, hatte die ganze Angelegenheit kaum Folgen. Der Angriff war auch nur in sehr begrenztem Maße Mittel zu einem Zweck. Georgiens Zentralbank wies ihre Abteilungen an, alle elektronischen Dienste zehn Tage lang auszusetzen. Der wesentliche Schaden, den die Angriffe verursachten, bestand darin, dass sie die Möglichkeiten der Regierung zu internationaler Kommunikation beschnitten und auf diese Weise verhinderten, dass die Stimme des kleinen Landes in einem kritischen Moment gehört werden konnte. Sollten es die Angreifer auf diesen Effekt abgesehen haben, war seine Nützlichkeit allerdings begrenzt: Mit Googles Einwilligung unternahm das Außenministerium einen ungewöhnlichen Schritt und richtete einen Blog auf Googles Blog-Plattform Blogger ein, sodass ein Kanal für Journalisten offen gehalten wurde. Vor allem aber war der Angriff seinem Wesen nach nicht wirklich politisch. Genau wie die Esten machte auch die georgische Regierung den Kreml verantwortlich. Doch auch in diesem Fall stritt der russische Staat seine Beteiligung an den Angriffen ab. Das Cyber-Security-Zentrum der NATO in Tallinn veröffentlichte bald darauf einen Bericht über die Angriffe. Obwohl es so aussah, als habe die digitale Überflutung auf koordinierte und gesteuerte Weise stattgefunden, und obwohl die Medien Russland in Verdacht hatten, »gibt es«, so schloss die NATO, »wie im Falle Estlands keinen schlüssigen Beweis«, wer hinter den DDoS-Angriffen steckt.40

Die Cyberangriffe, die mit den Straßenprotesten in Estland und dem kurzen Feldzug in Georgien einhergingen, waren Präzedenzfälle. Vielleicht lag es vor allem an der Neuartigkeit dieser Art von Attacken, dass sie derart viel öffentliche Aufmerksamkeit erregten und eine solche Kriegsrhetorik provozierten. Eine vergleichbare Beobachtung ließe sich für einen anderen Typus von »Cyberkrieg« machen, nämlich für hochkarätige Spionageoperationen wie die sogenannte Operation Moonlight Maze. Diesen etwas geisterhaften Namen erhielt ein hochgeheimer Fall von Cyberspionage, der 1999 aufgedeckt wurde. Die US Air Force stellte zufällig fest, dass jemand in ihre Netzwerke eingedrungen war, und alarmierte das FBI. Die Bundesermittler riefen die NSA zu Hilfe. Ihre gemeinsame Untersuchung förderte ein gewisses Muster zutage, nach dem jemand seit März 1998 in die Computer der NASA (National Aeronautics and Space Administration), des Energieministeriums und zahlreicher Universitäten und Forschungslabors eindrang. Dabei wurden Lagepläne militärischer Anlagen ebenso kopiert wie Konstruktionspläne und andere sensible Informationen. Die Störmanöver wurden fast zwei Jahre lang fortgesetzt. Dem Verteidigungsministerium gelang es, die Angriffe bis zu einem – damals so bezeichneten – Mainframe (Großrechner) in Russland zurückzuverfolgen. Doch auch in diesem Fall: keine Gewalt, unklare Ziele, keine politische Zuordnung.

Dennoch ist der empirische Trend nicht von der Hand zu weisen: In den vergangenen 15 Jahren haben Cyberattacken stetig zugenommen. Immer häufiger kommt es zu Großeinbrüchen in die Sicherheitsarchitektur staatlicher und privatwirtschaftlicher Ziele. Das Ausmaß der Angriffe wächst, ebenso wie die Zahl der an solchen Vorfällen beteiligten Personen, von Kriminellen über Aktivisten bis hin zur NSA. Die Bandbreite aggressiven Online-Verhaltens ist größer geworden. Zur gleichen Zeit hat die Raffinesse einiger Angriffe ein neues Niveau erreicht, und in dieser Hinsicht schlug der Computervirus Stuxnet, der Irans Atomprogramm stören sollte und 2010 entdeckt wurde, sicherlich ein neues Kapitel auf. Doch trotz all dieser Entwicklungen hat der im »Cyberkrieg« enthaltene Kriegsbegriff mehr mit dem »Krieg« gegen die Fettleibigkeit als mit dem Zweiten Weltkrieg zu tun – er hat eher eine metaphorische als eine strikt deskriptive Bedeutung. Es ist höchste Zeit, sich wieder auf traditionelle Begrifflichkeiten zu besinnen und Cyberangriffe als das zu verstehen, was sie in Wirklichkeit sind.

Um den Charakter einer Aggression zu bestimmen, ihre eher politische oder rein kriminelle Natur, empfiehlt es sich, Angriffe nach einer Skala zu sortieren, die von gewöhnlichen Verbrechen bis zum Extrem eines konventionellen Krieges reicht. Dann werden einige Unterscheidungsmerkmale sichtbar: Verbrechen sind in der Regel unpolitisch, Kriege sind immer politisch; Verbrecher verschleiern ihre Identität, uniformierte Soldaten stellen die ihre offen zur Schau. Politische Gewalt ist (genau wie die »politischen Verbrechen« der Kriminologie und der Rechtstheorie) auf dieser Skala in einer unklaren Mitte angesiedelt, sofern sie weder ein normales Verbrechen ist noch ein normaler Krieg. Der Einfachheit halber wollen wir diesen mittleren Bereich der Skala in drei Abschnitte unterteilen: Subversion, Spionage und Sabotage.

An allen drei Aktivitäten können sowohl Staaten als auch private Akteure beteiligt sein. Man neigt dazu, Cyberangriffe eher dem kriminellen Ende des Spektrums zuzuordnen. Am Maßstab einer sachgerechten Kriegsdefinition gemessen, hat es bis jetzt noch keinen bekannt gewordenen Cyber-»Kriegsakt« gegeben, sehr wohl aber politische Cyberattacken. Doch alle bekannt gewordenen politischen Cyberattacken – mögen sie kriminell sein oder nicht – lassen sich weder als gewöhnliche Verbrechen noch als konventionelle Kriege verbuchen. Ihre Absicht ist Subversion, Spionage oder Sabotage.

In allen drei Fällen geraten die Clausewitz’schen Kriterien durcheinander. Diese Handlungen müssen nicht mit Gewalt verbunden sein, um ihre Wirkung zu entfalten. Um zu funktionieren, müssen sie nicht instrumentell sein, da die Subversion Ausdruck kollektiver Leidenschaft und Spionage eher das Resultat einer Gelegenheit als einer Strategie sein kann. Und schließlich: Angreifer, die mit dem Ziel der Subversion, Spionage oder Sabotage tätig werden, handeln sehr wohl politisch; doch im scharfen Gegensatz zum Krieg haben sie wahrscheinlich dauerhaft oder mindestens zeitweise ein Interesse daran, nicht mit ihren Taten in Verbindung gebracht zu werden. Dies ist einer der Hauptgründe dafür, dass politische Verbrechen im Cyberspace, in dem es leichter ist, Spuren zu verwischen, als sie mit Gewissheit zuzuschreiben, stärker um sich greifen als Kriegshandlungen. Selbstverständlich können Subversion, Spionage und Sabotage – ob sie sich digitaler Mittel bedienen oder nicht – militärische Operationen flankieren. Beide Seiten können sich an derartigen Aktivitäten beteiligen und haben dies in der Tat schon seit Menschengedenken getan. Doch die Entwicklung digitaler Netzwerke zeigt ungleiche Auswirkungen. Um diese zu verstehen, müssen wir uns auf den Begriff der Gewalt zurückbesinnen.

2. Gewalt

Am 6. September 2007 bombardierte die israelische Luftwaffe die Baustelle eines Atomreaktors im nordsyrischen Deir ez-Zor. Im Vorfeld des Luftschlags schaltete ein israelisches Geheimkommando eine einzelne syrische Radarstellung in Tall al-Abuad nahe der türkischen Grenze aus – vermutlich auf dem Wege der Computersabotage. So ließ sich die physische Zerstörung der Radaranlagen vermeiden, bei der die Techniker des Systems ebenso wie unschuldige Zivilisten hätten zu Schaden oder gar zu Tode kommen können. Die konventionelle Alternative zur Computersabotage wäre ein Raketenangriff oder eine Undercover-Operation von Spezialeinheiten gewesen, um das Zielobjekt in die Luft zu sprengen. In einer Hinsicht hatte der Cyberangriff zum selben Ergebnis geführt wie ein physischer Angriff: Er hatte das Luftabwehrsystem außer Gefecht gesetzt. Doch wurde bei dem Cyberangriff Gewalt angewendet?

Wenn wir ernsthaft über »Cyberkrieg« diskutieren wollen, müssen wir uns auf ein paar grundlegende Dinge verständigen. Dazu gehört das Wesen der Gewalt im Allgemeinen und der Gewalt im Cyberspace im Besonderen. Erst dann lässt sich eine Antwort auf die entscheidende Frage finden: Was heißt Gewalt im Zusammenhang mit Cyberattacken? Ändert sich die Bedeutung des Gewaltbegriffs, wenn man ihn auf den Cyberspace bezieht? Das hängt davon ab, wo man die Grenze zwischen gewaltsamen und gewaltfreien Handlungen zieht und was genau man unter Gewalt versteht bzw. nicht versteht. Die Art und Weise, wie wir Gewalt begrifflich fassen, bildet die Grundlage für unser Verständnis der politischen, ökonomischen, militärischen und insbesondere ethischen Dimensionen von Cyberangriffen, ob sie gewaltsam sind oder nicht.

In diesem Kapitel möchte ich ein einfaches Argument mit einer überraschenden Pointe entwickeln: Bei den meisten Cyberattacken wird keine Gewalt angewendet; also kann man sie eigentlich auch nicht als gewaltsame Angriffe verstehen. Und Cyberangriffe, die ein – reales oder umsetzbares – Zwangspotential besitzen, können nur indirekt mit Gewalt verbunden sein. In mindestens vier Hinsichten ist eine im Cyberspace ausgeübte Gewalt weniger direkt als andere Formen von Gewalt: Sie ist weniger körperlich, weniger emotional, weniger symbolisch und infolgedessen weniger instrumentell als konventionellere Formen politischer Gewaltanwendung.

Doch können Cyberangriffe dasselbe Ziel erreichen, wie es auch politische Gewalt verfolgt: Sie können Vertrauen untergraben, insbesondere kollektives soziales Vertrauen in bestimmte Institutionen, Systeme oder Organisationen. So paradox es klingt: Indem sie gewissermaßen eine gewaltfreie Abkürzung wählen, erschüttern Cyberangriffe das soziale Vertrauen möglicherweise unmittelbarer, als es offene politische Gewalt vermag. Und sie tun es gänzlich im Verborgenen.

Ich entfalte meine Argumentation im Folgenden in vier Schritten. Das Kapitel beleuchtet zunächst die unterschiedlichen Medien oder Mittel, mit denen sich Gewalt ausüben lässt. Als Nächstes wird die zentrale Rolle des menschlichen Körpers für das Ausführen wie für das Erleiden von Gewaltakten diskutiert. Darauf folgt eine kurze Klärung des Begriffs der Gewalt (violence), den es von den Begriffen der Macht, der Autorität und, ganz entscheidend, von dem der Kraft (force) zu unterscheiden gilt; dabei wird das symbolische Wesen der Machtinstrumente (instruments of force) hervorgehoben. Den Abschluss bildet eine Erörterung des Vertrauens und der entscheidenden Grenzen und Potentiale von Cyberangriffen.

Gewalt wird üblicherweise in drei Formen ausgeübt – durch Kraft, Energie oder Wirkstoffe.41 Ein viertes, neues Medium ist die Software, deren Funktionsweise zwangsläufig indirekter ist – wenn man sie denn überhaupt als ein eigenständiges Medium auffassen möchte. Die ersten beiden Kategorien stammen aus der Physik, die dritte aus Chemie und Biologie. Die erste Instanz – die Kraft – ist die offensichtlichste. In der Physik ist Kraft als eine Größe definiert, die die Bewegung eines Körpers verändert bzw. die bei einem still stehenden Objekt eine Bewegung anstößt oder eine Deformation verursacht. Die Größe der Kraft lässt sich errechnen, indem man die Masse des Körpers mit seiner Beschleunigung multipliziert. Und in der Tat kombinieren fast alle Waffen physikalische Masse mit Beschleunigung, ob man es nun mit einer Faust, einem Stein, einer Pike, einer Kugel, einer Handgranate oder einem Marschflugkörper zu tun hat. Das zweite Mittel – die Energie – ist auf den ersten Blick vielleicht nicht ganz so offensichtlich, obwohl man sich seiner fast schon so lange bedient wie der mechanischen Kraft, um Menschen zu irgendetwas zu zwingen, sie zu verletzen oder zu töten. Feuer, Hitze und Explosionen werden als machtvolle und hochgradig zerstörerische Gewaltmittel eingesetzt. Im alten chinesischen Handbuch des Sunzi, Die Kunst des Krieges, ist ein Kapitel dem »Angriff mit Feuer« gewidmet.42 Zu den weniger verbreiteten Formen der Verwendung von Energie in Kriegen zählen beispielsweise Elektroschockwaffen oder Laser. Das dritte Gewaltmittel sind Wirkstoffe. Einige Waffen funktionieren weder mittels physikalischer Kraft noch mittels Energie, sondern nutzen Kampfstoffe, um ihrem Zielobjekt zu schaden. Das offensichtlichste Beispiel für solche Kampfstoffe sind biologische und chemische Waffen – schließlich müssen sie nicht unbedingt mit einer Granate oder einem Marschflugkörper abgefeuert werden, die sie exakt ins Ziel tragen, um dort ihre tödliche Ladung freizusetzen. Der Kampfstoff selbst ist es, der den Schaden verursacht. Als Waffe verwendete Wirkstoffe schädigen, verletzen oder töten den menschlichen Organismus: Anthrax, Endosporen, die zu Atemwegsinfekten und vielfach zum Atemstillstand führen; Senfgas, ein chemischer Wirkstoff, der Blasen und Verbrennungen verursacht und stark karzinogen ist.

Bei jeder Debatte über Gewalt im Zusammenhang mit Cyberattacken muss man zunächst ein paar grundlegende philosophische Einsichten zur Kenntnis nehmen. Von fast allen Instrumenten, die sich in gewalttätiger Absicht einsetzen lassen, unterscheidet sich ein Programmcode wesentlich in zweierlei Hinsicht. Die erste grundlegende Einschränkung besteht darin, dass die durch einen Programmcode verursachte Gewalt indirekt ist. Sie muss das Zielsystem erst zu einer Waffe umfunktionieren. Der Code besitzt von sich aus weder Kraft noch Energie. Jeder Cyberangriff mit dem Ziel der physischen Zerstörung, sei es der Zerstörung von Dingen oder der Schädigung von Menschenleben, ist vielmehr auf die Kraft oder Energie angewiesen, die dem anvisierten System innewohnt oder durch es geschaffen wird. Ein Softwarecode führt, mit anderen Worten, keine Sprengladung mit sich. Eine durch Programmcode verursachte Zerstörung verhält sich somit parasitär zum Ziel der Attacke. Selbst der raffinierteste Cyberangriff kann einen Menschen nur dann körperlich verletzen, wenn er das Gewaltpotential des anvisierten Systems entfesselt. Es könnte ein Verkehrssteuerungssystem sein, das ein Zugunglück oder einen Flugzeugabsturz herbeiführt; ein Kraftwerk, das explodiert oder Strahlung freisetzt; ein Damm, der bricht und eine verheerende Sturzflut auslöst; eine Pipeline, die in die Luft geht; Lebenserhaltungssysteme in einem Krankenhaus, die in Notfallsituationen zusammenbrechen; oder sogar der Herzschrittmacher eines Patienten, der durch gezieltes Ausnutzen von Softwaremängeln zum Aussetzen gebracht wird. Noch hat sich in der Realität allerdings nichts dergleichen zugetragen. Tödliche Cyberangriffe, die zweifellos möglich wären, sind bislang immer noch Stoff von Science-Fiction-Romanen und Actionfilmen. Kein einziger Mensch ist je durch einen Cyberangriff ums Leben gekommen oder verletzt worden.

Computercodes können zweitens nur auf computergesteuerte Maschinen, nicht aber auf Menschen direkt einwirken. Die Art und Weise, wie ein Virus – oder irgendeine andere Malware – ein Computersystem schädigt, lässt sich in gewissem Sinne damit vergleichen, wie ein biologischer Virus einen Organismus infiziert. Der deutsche Informatikstudent Jürgen Kraus ersann 1980 diesen metaphorischen Vergleich zwischen Schadprogrammen und Viren und prägte den heute allgegenwärtigen Begriff des Computervirus. In seiner Diplomarbeit über Selbstreproduktion bei Programmen zeigte er, dass selbstreproduzierende Programme folgenlos blieben, wenn sie sich nicht im Speicher eines Computers befänden: »Erst im Rechner und dann auch erst, wenn das Programm wirklich läuft, ist ein selbstreproduzierendes Programm in der Lage zur Reproduktion und Mutation.«43 Kraus wies allerdings auf einen wichtigen Unterschied hin: Ein biologischer Virus besitzt die Fähigkeit, seinen eigenen Reproduktionsprozess zu starten, während sich ein Computervirus nur durch ein Betriebssystem aktivieren lässt. Der entscheidende Unterschied aber war für Kraus so selbstverständlich, dass er ihn gar nicht eigens erwähnte: Biologische Viren können nur biologische Systeme beeinträchtigen; Computerviren können nur durch Programmiersprachen gesteuerte Maschinen stören. Ein biologischer Virus kann, mit anderen Worten, an einem Gebäude oder einem Fahrzeug keinen direkten Schaden anrichten, genauso wenig, wie ein Computervirus einem Menschen oder einem Tier unmittelbar schaden kann.

Schließlich bleibt noch ein besonderer hypothetischer Fall eines parasitären Cyberanschlags zu erwähnen. Viele moderne Waffensysteme, von Artilleriegeschützen bis zu Unterwasserdrohnen, werden durch Software, durch Programmcode, gesteuert. Immer mehr Systeme dieser Art werden in Zukunft mehr oder weniger autonome Entscheidungen treffen können. Beim Internationalen Roten Kreuz hat man diese Entwicklung bereits vorweggenommen und über mögliche Änderungen am humanitären Völkerrecht nachgedacht. Doch ist Vorsicht geboten. Software, die ein integraler Bestandteil von Waffensystemen ist, sollte nicht als Teil eines Cyberangriffs verstanden werden – sonst verlöre dieser Begriff seine Bedeutung: Jedes komplexe Waffensystem, in das auf die eine oder andere Weise Computer integriert sind, müsste dann nämlich als eine Art Cyberangriff gelten. Das wäre nicht sinnvoll. Eine Ausnahme gibt es allerdings: ein komplexes automatisiertes Waffensystem, das gehackt wird. Wenn ein als Waffe eingesetzter Programmcode nur dadurch physische Zerstörung hervorrufen kann, dass er das anvisierte Zielobjekt modifiziert, dann ist das perfekte Zielsystem eines, das dem Angreifer die größtmögliche Flexibilität und das größte Zerstörungspotential verspricht: Deshalb stellt ein mit Waffen bestücktes, ferngesteuertes Fluggerät, etwa eine Predator- oder eine Reaper-Drohne, für einen Cyberangriff theoretisch gesehen ein viel attraktiveres Ziel dar als ein Kraftwerk oder ein Flugverkehr-Kontrollsystem. Denn hier kann ein Aggressor nicht nur ein klobiges System, das nie als Waffe gedacht war, zu einer Waffe umfunktionieren – er könnte eine wirkliche Waffe zu seiner Waffe machen. In der Praxis ist etwas Derartiges allerdings nie vorgekommen, und man kann es sich auch nur schwer vorstellen. Der einzige aktenkundige Vorfall, der eine gewisse Ähnlichkeit mit einem solchen Angriff aufweist, ereignete sich im Juni 2012. In einem Stadion der Stadt Austin kaperten Wissenschaftler des Radionavigation Laboratory der Universität von Texas in Austin eine kleine Überwachungsdrohne, die sich auf einem Testflug befand. Die Forscher »täuschten« das GPS-System der Drohne, indem sie ihr Navigationsgerät mit einem Signal speisten, das stärker war als das Satellitensignal der regulären GPS-Navigation. Die Wissenschaftler konnten mithin die Befehle an die Drohne überschreiben und dadurch ihre Flugbahn bestimmen. Einem Bericht von Fox News zufolge hatte der Bau des hierfür verwendeten Gerätes nicht mehr als 1000 US-Dollar gekostet.44 Wesentlich bekannter ist allerdings das folgende, ziemlich fragwürdige Beispiel: Anfang Dezember 2011 fiel den Iranern im Nordosten des Landes, nahe der Stadt Kaschmar, eine von der CIA betriebene American Lockheed Martin RQ-170-Sentinel-Drohne in die Hände. Ein anonymer iranischer Ingenieur, der mit der Untersuchung des erbeuteten Fluggeräts betraut war, behauptete, die dortigen Spezialisten für elektronische Kriegsführung hätten die GPS-Navigation der Drohne getäuscht.45 Nachdem auch die CIA den Vorfall zehn Wochen lang untersucht hatte, wurde bekannt gegeben, ein fehlerhafter Datenstrom sei dafür verantwortlich gewesen, dass das Bedienpersonal den Kontakt zu der Drohne verloren hatte; also vermutlich doch keine Einmischung oder Störung seitens der Iraner.46 Obwohl derlei Täuschungen (»Spoofing«) technisch gesehen möglich sind, ist es doch ziemlich unwahrscheinlich, dass ein solcher Angriff auf eine komplexere, bewaffnete Militärdrohne im Feld erfolgreich sein könnte: Die Steuerungsbefehle werden vermutlich verschlüsselt sein, die Flughöhe kann ein Problem darstellen, und einen GPS-Empfänger zu täuschen, ist nicht dasselbe, wie in ein Kontrollsystem einzudringen, das die todbringenden Raketen einer Militärdrohne auf ein bestimmtes Ziel abschießen kann.

Wie ich auf den vorangegangenen Seiten zu zeigen versucht habe, lässt sich der menschliche Körper durch Cyberattacken nur indirekt verwunden. Er ist aber in verschiedener Hinsicht die Grundlage aller Gewalt, da er sowohl den Akt des Angreifens als auch das Angegriffenwerden erst möglich macht. Man muss diese prinzipielle Rolle des menschlichen Körpers in Rechnung stellen, um die emotionalen Grenzen softwaregestützter Gewalt und die symbolischen Grenzen von Cyberangriffen zu verstehen.

Insbesondere unter jenen Vertretern der politischen Philosophie, die sich mit dem Phänomen der Gewalt und den Möglichkeiten ihrer Überwindung beschäftigen, gibt es eine lange Tradition, die vom menschlichen Körper aus denkt. Im Fokus der Aufmerksamkeit steht dabei dessen Verletzbarkeit. Das Erste, was einem in diesem Zusammenhang wahrscheinlich einfällt, sind Thomas Hobbes’ Ausführungen zur Verletzlichkeit der schutzlosen menschlichen Existenz. Als treibende Kraft hinter jeder politischen Organisation bestimmt Hobbes die universelle Schwäche aller Menschen und ihre daraus resultierende Schutzbedürftigkeit. Es lohnt sich, die Eingangspassage von Kapitel 13 des Leviathan vollständig zu zitieren:

»Die Natur hat die Menschen in den körperlichen und geistigen Fähigkeiten so gleich geschaffen, daß sich zwar zuweilen einer finden lassen mag, der offensichtlich von größerer Körperkraft oder schnellerem Auffassungsvermögen ist als ein anderer; jedoch wenn man alles zusammenrechnet, ist der Unterschied zwischen Mensch und Mensch nicht so beträchtlich, daß ein Mensch daraufhin irgendeinen Vorteil für sich fordern kann, auf den ein anderer nicht so gut wie er Anspruch erheben könnte. Denn was die Körperkraft betrifft, so hat der Schwächste genügend Kraft, den Stärksten zu töten, entweder durch einen geheimen Anschlag oder durch ein Bündnis mit anderen, die sich in derselben Gefahr wie er befinden.«47

Diese egalisierende Verletzlichkeit bildet die begriffliche Grundlage für Hobbes’ berüchtigte Bestimmung des »Naturzustands« als eines Krieges aller gegen alle und die normative Grundlage für den Gesellschaftsvertrag, der diesen anarchischen Naturzustand überwinden soll. Denn dieser permanente Kriegszustand, in dem sich die Menschen mangels einer politischen Ordnung befänden, verhindert Hobbes zufolge jede sinnvolle gesellschaftliche Entwicklung und Kultur. Was in Hobbes’ berühmten Worten unter derartigen Umständen herrschen würde, wäre »ständige Furcht und die Gefahr eines gewaltsamen Todes«; infolgedessen wäre das Leben des Menschen notgedrungen »einsam, armselig, widerwärtig und kurz«.48 Aus diesem Grund muss die Selbsthilfe nach Hobbes’ Ansicht verhindert, das heißt, muss die Gewalt dem Menschen entrissen, monopolisiert49 und dem Kollektiv, also dem Gemeinwesen oder »Commonwealth«, übertragen werden. Man beachte, dass diese grundlegende Einsicht nach wie vor die Basis der meisten Vertragstheorien, Rechtstheorien und de facto auch des modernen Staatsbegriffs bildet.50