Cybersicherheit in Innen- und Außenpolitik - Stefan Steiger - kostenlos E-Book

Cybersicherheit in Innen- und Außenpolitik E-Book

Stefan Steiger

0,0
0,00 €

-100%
Sammeln Sie Punkte in unserem Gutscheinprogramm und kaufen Sie E-Books und Hörbücher mit bis zu 100% Rabatt.
Mehr erfahren.
Beschreibung

Cyberangriffe sind zu zentralen Herausforderungen staatlicher Sicherheitspolitiken unserer Zeit geworden. Wie haben sich die Politiken in den Bereichen der Strafverfolgung, der nachrichtendienstlichen sowie militärischen Nutzung des Netzes entwickelt? Welche internationalen sowie domestischen Einflüsse haben die Entwicklungen geprägt? Stefan Steiger geht diesen Fragen nach und analysiert die deutsche und britische Cybersicherheitspolitik seit den späten 1990er Jahren. Er zeigt, dass die Cybersicherheit sowohl die zwischenstaatlichen Beziehungen als auch die Relationen zwischen Regierungen und Bürger*innen beeinflusst.

Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:

EPUB
MOBI

Seitenzahl: 537

Bewertungen
0,0
0
0
0
0
0
Mehr Informationen
Mehr Informationen
Legimi prüft nicht, ob Rezensionen von Nutzern stammen, die den betreffenden Titel tatsächlich gekauft oder gelesen/gehört haben. Wir entfernen aber gefälschte Rezensionen.



Die freie Verfügbarkeit der E-Book-Ausgabe dieser Publikation wurde ermöglicht durch POLLUX – Informationsdienst Politikwissenschaft

und der Open Library Community Politik 2022 – einem Netzwerk wissenschaftlicher Bibliotheken zur Förderung von Open Access in den Sozial- und Geisteswissenschaften:

Vollsponsoren: Freie Universität Berlin – Universitätsbibliothek | Staatsbibliothek zu Berlin | Universitätsbibliothek der Humboldt-Universität zu Berlin | Universitätsbibliothek Bielefeld | Universitätsbibliothek der Ruhr-Universität Bochum | Universitäts- und Landesbibliothek Bonn | Staats- und Universitätsbibliothek Bremen | Universitäts- und Landesbibliothek Darmstadt | Sächsische Landesbibliothek Staats- und Universitätsbibliothek Dresden (SLUB) | Universitäts- und Landesbibliothek Düsseldorf | Universitätsbibliothek Frankfurt am Main | Justus-Liebig-Universität Gießen | Niedersächsische Staats- und Universitätsbibliothek Göttingen | Universitätsbibliothek der FernUniversität in Hagen | Staats- und Universitätsbibliothek Carl von Ossietzky, Hamburg | Gottfried Wilhelm Leibniz Bibliothek - Niedersächsische Landesbibliothek | Technische Informationsbibliothek (TIB Hannover) | Universitätsbibliothek Kassel | Universitätsbibliothek Kiel (CAU) | Universitätsbibliothek Koblenz · Landau | Universitäts- und Stadtbibliothek Köln | Universitätsbibliothek Leipzig | Universitätsbibliothek Marburg | Universitätsbibliothek der Ludwig-Maximilians-Universität München | Max Planck Digital Library (MPDL) | Universität der Bundeswehr München | Universitäts- und Landesbibliothek Münster | Universitätsbibliothek Erlangen-Nürnberg |Bibliotheks- und Informationssystem der Carl von Ossietzky Universität Oldenburg | Universitätsbibliothek Osnabrück | Universitätsbibliothek Passau | Universitätsbibliothek Vechta | Universitätsbibliothek Wuppertal | Vorarlberger Landesbibliothek | Universität Wien Bibliotheks- und Archivwesen | Zentral- und Hochschulbibliothek Luzern | Universitätsbibliothek St. Gallen | Zentralbibliothek Zürich

Sponsoring Light: Bundesministerium der Verteidigung | ifa (Institut für Auslandsbeziehungen), Bibliothek | Landesbibliothek Oldenburg | Ostbayerische Technische Hochschule Regensburg, Hochschulbibliothek | ZHAW Zürcher Hochschule für Angewandte Wissenschaften, Hochschulbibliothek

Mikrosponsoring: Stiftung Wissenschaft und Politik (SWP) - Deutsches Institut für Internationale Politik und Sicherheit | Leibniz-Institut für Europäische Geschichte

Die Reihe wird herausgegeben von Jeanette Hofmann, Norbert Kersting, Claudia Ritzi und Wolf J. Schünemann.

Stefan Steiger, geb. 1985, arbeitet im Bereich IT-Sicherheit am Universitätsrechenzentrum Heidelberg. Zuvor war er am Institut für Politische Wissenschaft der Universität Heidelberg sowie am Institut für Sozialwissenschaften an der Universität Hildesheim tätig. Zu seinen Forschungsinteressen zählen Cybersicherheitspolitik, Außenpolitikanalyse sowie die politische Kommunikation im digitalen Raum.

Stefan Steiger

Cybersicherheit in Innen- und Außenpolitik

Deutsche und britische Policies im Vergleich

Diese Studie wurde 2020 unter dem Titel »Deutsche und britische Cybersicherheitspolitiken im Vergleich: Eine rollentheoretsiche Analyse« an der Fakultät für Wirtschafts- und Sozialwissenschaften der Ruprecht-Karls-Universität Heidelberg als Dissertation angenommen.

Gutachter: Prof. Dr. Sebastian Harnisch, Prof. Dr. Wolf J. Schünemann

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Dieses Werk ist lizenziert unter der Creative Commons Attribution-NonCommercial-ShareAlike 4.0 Lizenz (BY-NC-SA). Diese Lizenz erlaubt unter Voraussetzung der Namensnennung des Urhebers die Bearbeitung, Vervielfältigung und Verbreitung des Materials in jedem Format oder Medium zu nicht-kommerziellen Zwecken, sofern der neu entstandene Text unter derselben Lizenz wie das Original verbreitet wird. (Lizenz-Text: https://creativecommons.org/licenses/by-nc-sa/4.0/deed.de) Um Genehmigungen für die Wiederverwendung zu kommerziellen Zwecken einzuholen, wenden Sie sich bitte an [email protected]

Die Bedingungen der Creative-Commons-Lizenz gelten nur für Originalmaterial. Die Wiederverwendung von Material aus anderen Quellen (gekennzeichnet mit Quellenangabe) wie z.B. Schaubilder, Abbildungen, Fotos und Textauszüge erfordert ggf. weitere Nutzungsgenehmigungen durch den jeweiligen Rechteinhaber.

Erschienen 2022 im transcript Verlag, Bielefeld© Stefan Steiger

Covergestaltung: Maria Arndt, Bielefeld

Print-ISBN 978-3-8376-6064-7

PDF-ISBN 978-3-8394-6064-1

EPUB-ISBN 978-3-7328-6064-7

https://doi.org/10.14361/9783839460641

Buchreihen-ISSN: 2699-6626

Buchreihen-eISSN: 2703-111X

Besuchen Sie uns im Internet: https://www.transcript-verlag.de

Unsere aktuelle Vorschau finden Sie unter www.transcript-verlag.de/vorschau-download

Inhaltsverzeichnis

Vorwort

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1.Einleitung

1.1Untersuchungsgegenstand und Relevanz

1.2Forschungsstand, Desiderate und Fragestellung

1.3Aufbau der Studie

2.Theorie: Pragmatismus, Rollentheorie und Techniksoziologie

2.1Wissenschaftstheoretische Grundannahmen: Pragmatismus und Rollentheorie

2.2Analytische Bezugspunkte: Die symbolisch interaktionistische Rollentheorie in der Außenpolitikforschung

2.3Rollentheorie zwischen Innen- und Außenpolitik: Ein rollentheoretisches Zwei-Ebenen-Spiel

2.4Der Cyberspace als (sicherheits-)politisches Handlungsfeld: Theoretische Implikationen

2.4.1Empirischer Exkurs: Die Entwicklung des Internets

3.Methodik und Konzeption

3.1Auswahlentscheidungen: Fälle, Quellen und Untersuchungszeitraum

3.2Die interpretative Analyse: Grounded-Theory-Methodologie und Practice Tracing

3.3Rollen und Handlungskontexte

3.4Forschungsleitende Annahmen

4.Strafverfolgung im globalen Netz

4.1Deutschland

4.1.1Das deutsche IT-Strafrecht: Domestische Etablierung eines neuen Rechtsrahmens

4.1.2Kryptopolitik

4.1.3Internationalisierung: Strafrechtliche Harmonisierung

4.1.4Neue Ermittlungswerkzeuge: Die Etablierung der offensiven domestischen Beschützerrolle

4.2Vereinigtes Königreich

4.2.1Das britische IT-Strafrecht: Domestische Etablierung eines neuen Rechtsrahmens

4.2.2Kryptopolitik

4.2.3Internationalisierung: Strafrechtliche Harmonisierung

4.2.4Neue Ermittlungswerkzeuge: Die Etablierung der offensiven domestischen Beschützerrolle

4.3Zwischenfazit

5.Die Snowden-Enthüllungen: Das Netz und die Nachrichtendienste

5.1Deutschland

5.1.1Die Snowden-Enthüllungen: Die Bundesregierung zwischen Verunsicherung, Abhängigkeit und zaghafter Selbstbehauptung

5.1.2Die Bundesregierung unter Druck: Die domestische Aufarbeitung der Enthüllungen

5.1.3Die Etablierung einer neuen Beschützer-Rolle: Reform des BND-Gesetzes

5.2Vereinigtes Königreich

5.2.1Die Snowden-Enthüllungen: Die britische Regierung zwischen Kritik und Selbstbehauptung

5.2.2Die Regierung unter Druck: Selbstbehauptung unter wachsendem domestischen Druck

5.2.3Stabilisierung und Ausbau der Beschützer-Rolle: Der Investigatory Powers Act 2016

5.3Zwischenfazit

6.Krieg im Cyberspace? Die militärische Nutzung des Netzes

6.1Deutschland

6.1.1Der Aufbau militärischer Kapazitäten: Defensive Ausrichtung und Schutz der eigenen Systeme

6.1.2(Schonende) Offensive und aktive Verteidigung

6.2Vereinigtes Königreich

6.2.1Der Aufbau militärischer Kapazitäten: Neue offensive Möglichkeiten

6.2.2Einsatz der offensiven Kapazitäten und Russland als neuer Referenzpunkt

6.3Zwischenfazit

7.Fazit: Cybersicherheit zwischen Innen- und Außenpolitik

7.1Empirische Befunde

7.1.1Entwicklung der Cybersicherheitspolitiken

7.1.2Implikationen für die internationale Cybersicherheitsordnung und das Netz

7.2Theoretische Reflexion: Fruchtbarkeit des Zwei-Ebenen-Rollenspiels und alternative Erklärungen

7.3Limitationen, Desiderate und Ausblick

8.Literatur- und Quellenverzeichnis

Vorwort

Diese Studie ist im Rahmen meiner Promotion an der Universität Heidelberg entstanden. Viele haben mich auf dem Weg zur Fertigstellung dieses Buches begleitet und zum Gelingen des Promotionsprozesses beigetragen. Bei ihnen möchte ich mich ganz herzlich für die Unterstützung auf der manchmal beschwerlichen Reise bedanken.

Großer Dank gilt selbstverständlich meinem Doktorvater Prof. Dr. Sebastian Harnisch. Er hat mich stets bestärkt, aber auch kritische Punkte offen und konstruktiv angesprochen. Sein Rat und seine Führung waren nicht nur maßgeblich für den erfolgreichen Abschluss der Promotion – ohne seine Unterstützung hätte ich den Weg vermutlich gar nicht erst angetreten. Von unschätzbarem Wert war darüber hinaus mein Zweitgutachter Prof. Dr. Wolf J. Schünemann, der es mir ermöglicht hat, in der zweiten Hälfte der Promotionsphase an die Universität Hildesheim zu wechseln. Durch sein unermüdliches Engagement zunächst in Heidelberg und dann in Hildesheim konnte ich viele spannende neue Themen auch abseits der Dissertation erschließen. Seine unerreichte Fähigkeit, mich aus meiner Komfortzone zu bewegen, hat mich nicht nur zu einem besseren Wissenschaftler gemacht.

Bei Dr. Ronja Ritthaler-Andree bedanke ich mich für die zahllosen gemeinsamen Arbeitstage in der Bibliothek und die vielen Gespräche, die so manche Tiefpunkte wesentlich erträglicher machten. Für die vielen fachlichen Impulse danke ich ferner den TeilnehmerInnen des Doktorandenkolloquiums an der Professur für Internationale Beziehungen und Außenpolitik: Melanie Bräunche, Sebastian Cujai, Jason Franz, Maximilian Jungmann, Luxin Liu, Tijana Lujic, Dr. Eva Mayer, Fanny Schardey, Dr. Caja Schleich und Martina Větrovcová.

Für intensive Debatten rund um die Rollentheorie danke ich Stefan Artmann, Dr. Gordon Friedrichs und Dr. Josie-Marie Perkuhn. Kerstin Zettl danke ich für die Zusammenarbeit im Bereich der Cyberkonfliktforschung und die zahllosen Stunden bei der Analyse verschiedener Cyberangriffe.

Für die finanzielle Unterstützung danke ich der Friedrich-Ebert-Stiftung. Den HerausgeberInnen der Reihe Politik in der digitalen Gesellschaft Prof. Dr. Jeanette Hofmann, Prof. Dr. Claudia Ritzi, Prof. Dr. Norbert Kersting und Prof. Dr. Wolf J. Schünemann danke ich für die Aufnahme in die Reihe.

Besonderer Dank gilt meiner Partnerin Ana dafür, dass sie meine Welt bereichert und mir immer neue Perspektiven eröffnet. Der letzte Dank gilt meinen Eltern Monika und Klaus – ohne ihre bedingungslose Unterstützung in allen Lagen wäre ich nie so weit gekommen. Ihnen ist dieses Buch gewidmet.

Mai 2021

Abbildungsverzeichnis

Abbildung 1: Das rollentheoretische Zwei-Ebenen-Spiel

Abbildung 2: Entwicklung der Internetnutzerzahlen in Deutschland und Großbritannien 1993-2017

Abbildung 3: Entwicklung der Referenzen der Beschützer-Rollen

Tabellenverzeichnis

Tabelle 1: Institutionen und Akteure

Tabelle 2: Definition der drei Rollen

Tabelle 3: Schematische Darstellung der Einflüsse auf die Politikentwicklung im Bereich der Strafverfolgung in der Bundesrepublik Deutschland

Tabelle 4: Schematische Darstellung der Einflüsse auf die Politikentwicklung im Bereich der Strafverfolgung im Vereinigten Königreich

Tabelle 5: Schematische Darstellung der Einflüsse auf die Politikentwicklung im Bereich der Nachrichtendienste in der Bundesrepublik Deutschland

Tabelle 6: Schematische Darstellung der Einflüsse auf die Politikentwicklung im Bereich der Nachrichtendienste im Vereinigten Königreich

Tabelle 7: Schematische Darstellung der Einflüsse auf die Politikentwicklung im Bereich des Militärs in der Bundesrepublik Deutschland

Tabelle 8: Schematische Darstellung der Einflüsse auf die Politikentwicklung im Bereich des Militärs im Vereinigten Königreich

Abkürzungsverzeichnis

(D)DoS – (Distributed)-Denial-of-Service

ARPA – Advanced Research Projects Agency

BfV – Bundesamt für Verfassungsschutz

BKA – Bundeskriminalamt

BMI – Bundesministerium des Innern

BMVg – Bundesministerium der Verteidigung

BND – Bundesnachrichtendienst

BSI – Bundesamt für Sicherheit in der Informationstechnik

BverfG – Bundesverfassungsgericht

CCC – Chaos Computer Club

CDU – Christlich Demokratische Union Deutschlands

CIA – Central Intelligence Agency

CMA – Computer Misuse Act 1990

CNE – Computer Network Exploitation

CNO – Computer Network Operation

CSNET – Computer Science Network

CSP – Communication Service Provider

CSU – Christlich-Soziale Union in Bayern

DNS – Domain Name System

DRIPA – Data Retention and Investigatory Powers Act 2014

DUP – Democratic Unionist Party

EADS – European Aeronautic Defence and Space

EFF – Electronic Frontier Foundation

EU – Europäische Union

FBI – Federal Bureau of Investigation

FDP – Freie Demokratische Partei

FIfF – Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung

FISA – Foreign Intelligence Surveillance Act

FÜV – Fernmeldeverkehr-Überwachungs-Verordnung

GCHQ – Government Communications Headquarters

GG – Grundgesetz

HRA – Human Rights Act 1998

HTTP – Hypertext Transfer Protocol

IAB – Internet Architecture Board

IB – Internationale Beziehungen

ICANN – Internet Corporation for Assigned Names and Numbers

IETF – Internet Engineering Task Force

IOCA – Interception of Communications Act 1985

IoCCO – Interception of Communications Commissioner

IoT – Internet of Things

IPA – Investigatory Powers Act 2016

IPC – Investigatory Powers Commissioner

IPT – Investigatory Powers Tribunal

ISC – Intelligence and Security Committee

ISP – Internet Service Provider

IT – Informationstechnik

IuKDG – Informations- und Telekommunikationsdienste-Gesetz

Kdo CIR – Kommando Cyber- und Informationsraum

MI5 – Security Service

MI6 – Secret Intelligence Service

MoA – Memorandum of Agreement

MoD – Ministry of Defence

NCSC – National Cyber Security Centre

NHS – National Health System

NOCP – National Offensive Cyber Programme

NSA – National Security Agency

NSS – National Security Strategy

OECD – Organisation for Economic Co-operation and Development

OPM – Office of Personnel Management

OSZE – Organisation für Sicherheit und Zusammenarbeit in Europa

PGP – Pretty Good Privacy

PNR – Passenger Name Records

RIPA – Regulation of Investigatory Powers Act 2000

SCS – Special Collection Service

SMTP – Simple Mail Transfer Protocol

SNP – Scottish National Party

SPD – Sozialdemokratische Partei Deutschlands

StGB – Strafgesetzbuch

StPO – Strafprozessordnung

TCP/IP – Transmission Control Protocol/Internet Protocol

TKÜ – Telekommunikationsüberwachung

TKÜV – Telekommunikations-Überwachungsverordnung

TLG – Two-Level Game

TLS – Transport Layer Security

TTP – Trusted Third Party

UCLA – University of California

UN – United Nations

UN GGE – United Nations Group of Governmental Experts

URL– Uniform Resource Locator

VPN – Virtual Private Network

W3C – World Wide Web Consortium

WiKG – Gesetz zur Bekämpfung der Wirtschaftskriminalität

ZITiS – Zentrale Stelle für Informationstechnik im Sicherheitsbereich

1.Einleitung

Die rasante globale Verbreitung des Internets1 hat in den vergangenen 25 Jahren tiefgreifende wirtschaftliche sowie gesellschaftliche Veränderungen ermöglicht. Aus einem Netzwerk, das ursprünglich den militärischen sowie wissenschaftlichen Informationsaustausch sicherstellen bzw. erleichtern sollte, wurde nach der kommerziellen Öffnung zu Beginn der 1990er Jahre zunächst ein »Spielplatz« für Nerds und dann ein zentraler Wirtschaftsraum sowie ein Ort des kulturellen Austauschs. Heute gibt es in modernen Staaten kaum noch Lebensbereiche, die nicht von digitalen Technologien durchdrungen werden. BürgerInnen konsumieren und kommunizieren über globale Plattformen, die mit dem Internet neue Geschäftsmodelle erschlossen bzw. etablierte Unternehmenspraktiken auf den neuen Handlungsraum übertragen haben. Die nächste Entwicklungsstufe – das Internet of Things (IoT) – beginnt rasch Gestalt anzunehmen. Viele Gegenstände des täglichen Gebrauchs werden dann ebenso flächendeckend online sein, wie die Steuerungssysteme zentraler gesellschaftlicher Infrastrukturen. Die nächste industrielle Revolution, die durch die Vernetzung und die gezielte Nutzung erzeugter Daten effizientere Wirtschaftsprozesse ermöglicht, hat laut Ansicht einiger ExpertInnen bereits begonnen. Die Entwicklung künstlicher Intelligenz hat dabei das Potenzial den Arbeitsmarkt und damit die Gesellschaftsordnung der Zukunft nachhaltig zu verändern (Frey und Osborne, 2017).2

Das IoT droht aber auch zu einem sicherheitspolitischen Problem zu werden, da viele Geräte technisch schlecht gegen Angriffe geschützt sind. Eine Studie hat bspw. ein Szenario skizziert, in dem AngreiferInnen durch die Übernahme von besonders energieintensiven Geräten Verbrauchsschwankungen erzeugen und dadurch weitreichende Stromausfälle auslösen könnten (Soltan, Mittal und Poor, 2018). Das Mirai-Botnet3 hat gezeigt, dass IoT-Geräte wie IP-Kameras oder Fernseher für Angriffe gekapert und missbraucht werden können. Mit einem großen DDoS-Angriff4 legte das Botnet im Oktober 2016 einen zentralen DNS-Dienst5lahm und sorgte so dafür, dass große Teile des Internets für viele NutzerInnen nicht mehr erreichbar waren (Mansfield-Devine, 2016).

Das Internet ist im Zuge seiner sozialen Integration aber nicht erst mit dem Aufkommen des IoT zu einer Quelle gesellschaftlicher Unsicherheit und zum Medium des Konfliktaustrages geworden. Während in der Frühphase des Netzes Schadsoftware noch oft von individuellen AkteurInnen aus technischer Neugier oder zur Reputationssteigerung in einer relativ kleinen (Peer-)Gruppe von HackerInnen eingesetzt wurde, gehen aktuelle Schätzungen davon aus, dass (organisierte) Cyberkriminalität weltweit jährlich Schäden in Höhe von bis zu 600 Milliarden US-Dollar verursacht (McAfee und CSIS, 2018, S. 4). Die Geschäftsmodelle reichen dabei vom Handel mit illegalen Gütern wie Waffen oder Drogen im Darknet, über den massenhaften Versand von Spam- und (Spear)Phishingmails, bis zur Verbreitung von Erpressungstrojanern (Ransomware), die die Geräte der Opfer verschlüsseln und nur gegen Lösegeldzahlung wieder zugänglich machen.

Es sind aber nicht nur Kriminelle, die die neuen Verwundbarkeiten der digitalen Gesellschaft ausnutzen. Auch politische Konflikte finden Widerhall im Netz. Die Bandbreite angreifender AkteurInnen ist dabei ebenso zahl- und facettenreich wie die verschiedenen Angriffsmöglichkeiten. Politisch motivierte nichtstaatliche Hacktivists nutzen das Netz, um durch öffentlichkeitswirksame Aktionen, wie bspw. (D)DoS-Angriffe oder die Veröffentlichung gestohlener Dokumente (doxing), ein größeres Publikum auf ihre Anliegen aufmerksam zu machen (Karatzogianni, 2015; Sauter, 2014). Terrororganisationen greifen auf Cyberangriffe zurück, um bspw. Finanzmittel zu generieren oder propagandistische Botschaften zu verbreiten (Schweitzer, Siboni und Yogev, 2013). Regierungen erweitern und komplementieren durch Cyberangriffe ihr außen- und sicherheitspolitisches Handlungsrepertoire. Die Möglichkeiten reichen dabei von umfassenden Spionageaktivitäten gegen Staaten, Unternehmen und gesellschaftliche Akteure – wie sie bspw. durch die Snowden-Enthüllungen 2013 aufgedeckt wurden – über kinetisch folgenreiche Angriffe – etwa zur Unterminierung des iranischen Nuklearwaffenprogramms durch den Wurm Stuxnet – bis zur Verschränkung konventioneller Kriegführung mit Cyberangriffen – bspw. im Zuge des Kaukasuskrieges 2008. BeobachterInnen gehen davon aus, dass in zukünftigen Konflikten mit einer zunehmenden Verknüpfung von konventionellen Mitteln des Konfliktaustrags, Cyberangriffen und Maßnahmen zur Informationsmanipulation zu rechnen ist (Libicki, 2017). Regierungen delegieren Angriffe dabei mitunter an nichtstaatliche Akteure (sog. Proxies), um die eigene Urheberschaft systematisch abstreiten zu können (Maurer, 2018).

Diese Ausdifferenzierung auf der Akteursseite ist mit einer qualitativen Weiterentwicklung der Cyberangriffe und der quantitativen Zunahme von Vorfällen verbunden. War Malware in der Frühphase der Netzentwicklung noch häufig Analogon zum konventionellen Scherzartikel, ist Schadsoftware heute meist deutlich komplexer und potenziell folgenreicher. Möglich wird der Einsatz von Schadsoftware durch die zahlreichen Sicherheitslücken (vulnerabilities), die in Hard- als auch Software vorhanden sind und die teilweise durch AngreiferInnen gezielt ausnutzbar sind (exploits). Da die Anforderungen an Funktionalität und Interoperationalität von IT immer anspruchsvoller werden, wächst auch deren Fehleranfälligkeit (Gaycken, 2011).

Sicherheitspolitik wird zudem durch die Globalität des Internets und die technischen Charakteristiken vor neue Herausforderungen gestellt (bspw. durch das Attribtutionsproblem). Diese Situation hat aber nicht nur dazu geführt, dass Staaten neue regulatorische Maßnahmen zum Umgang mit Cybersicherheit ergriffen haben, auch wissenschaftlich erfährt die Thematik zunehmend Aufmerksamkeit:

»In previous generations, young people who wanted to be relevant in the foreign-policy establishment studied Russian or learned about nuclear disarmament. After 9/11, Arabic language skills, as well as expertise on the Middle East, offered an entrée into foreign policy. Today, students of foreign affairs should understand how the internet works on a technical level and study the varied threats that fall under the broad umbrella of so-called cyber issues.« (Burns und Cohen, 2017)

WissenschaftlerInnen haben immer wieder auf die besondere Komplexität des Untersuchungsgegenstands hingewiesen und die Bedeutung interdisziplinärer Expertise betont (Kello, 2013; Segal, 2016). Der Forschungsgegenstand Cybersicherheit hat, aufgrund der politischen Implikationen, daher in den vergangenen Jahren vermehrt Aufmerksamkeit auch jenseits der Informatik gefunden. Um den politischen Umgang mit Problemen der IT-Sicherheit geht es auch in der vorliegenden Untersuchung der deutschen und britischen Cybersicherheitspolitiken.

1.1Untersuchungsgegenstand und Relevanz

Wenn im Folgenden von Cybersicherheitspolitiken gesprochen wird, dann liegt dem ein enges, an die Informatik angelehntes, Verständnis von IT-Sicherheit zugrunde. Es basiert auf einer Definition, auf die sich die beiden Untersuchungsstaaten bereits 1991 in internationalem Austausch mit den Niederlanden und Frankreich verständigt haben. Danach umfasst die IT-Sicherheit die Gewährleistung der Vertraulichkeit, Integrität sowie Verfügbarkeit von Daten bzw. datenverarbeitenden IT-Systemen (DTI, 1991, S. 1).6 Ausgehend von dieser Definition wird im Folgenden untersucht, inwiefern die beiden Untersuchungsstaaten Cybersicherheit zu sicherheitspolitischen Zwecken (offensiv) unterminieren bzw. welche Praktiken sie als illegitim betrachten.7

Der Fokus auf die offensiven Cybersicherheitspolitiken ist angebracht, da diese national wie international besonders umstritten sind und wissenschaftlich bisher vergleichsweise wenig Aufmerksamkeit erfahren haben. International konnte im Rahmen einer Group of Governmental Experts der UN (UN GGE) zwar Einigkeit darüber erzielt werden, dass völkerrechtliche Regelungen und insbesondere die Charta der Vereinten Nationen prinzipiell auf den Cyberspace übertragbar sind (United Nations, 2013b), was das konkret bedeutet, ist aber nach wie vor unklar. So scheiterte im Jahr 2017 die letzte UN GGE. Zentraler Streitpunkt war dabei offenbar die Bedeutung des Selbstverteidigungsrechts im Cyberspace (Henriksen, 2019). Aber nicht nur bei der militärischen Nutzung des Internets besteht Unsicherheit. Die Snowden-Enthüllungen haben ferner gezeigt, dass Cyberangriffe zur Informationsgewinnung auch gegen befreundete Staaten eingesetzt werden (Spiegel, 2014b). Im Bereich des Strafrechts konnte zwar relativ schnell geklärt werden, was als unangemessenes Verhalten gewertet werden soll. International konnten mit der Convention on Cybercrime im Rahmen des Europarates auch strafrechtliche Regelungen harmonisiert werden. Domestisch ist aber nach wie vor umstritten, wann und in welchem Umfang staatliche Ermittlungsbehörden IT-Sicherheit unterminieren sollten (Roggan, 2018).

Das Internet als sicherheitspolitischer Handlungsraum mit globaler Architektur und universellen Protokollen, die nicht primär auf Sicherheitserwägungen fußen (s. Kapitel 2.4.1), stellt staatliche Praktiken vor besondere Herausforderungen. Denn einerseits wird die Trennung zwischen innerer und äußerer Sicherheit im globalen Netz problematisch, da Pakete stets auch über Knoten im Ausland geleitet werden können und andererseits befinden sich zentrale Infrastrukturen nicht in staatlicher Hand. Gleichzeitig ist das Netz mittlerweile für das Funktionieren nahezu aller bedeutenden gesellschaftlichen Infrastrukturen in Industriestaaten essenziell. Verkehrsleitsysteme können ebenso digital gesteuert werden wie die Wasser- oder Energieversorgung. Das Internet ist damit nicht nur selbst zu einer zentralen gesellschaftlichen Infrastruktur geworden. Es ist vielmehr zu der Infrastruktur geworden, von deren Funktionieren zahlreiche andere Infrastrukturen abhängen: »the Internet has become a backbone of backbones« (Choucri, 2012, S. 151).

Eindrückliche Vorfälle in jüngerer Vergangenheit haben offengelegt, dass diese Verwundbarkeiten auch praktisch nutzbar sind bzw. bereits genutzt werden. In der Ukraine verursachte ein Cyberangriff im Dezember 2016 einen kurzfristigen Stromausfall von dem mehr als 200.000 BürgerInnen betroffen waren (Wired, 2016). Die rasche Verbreitung des Wurms WannaCry im Mai 2017 traf unter anderem das britische Gesundheitssystem (National Health System (NHS)) und hatte zur Folge, dass Krankenhäuser ihre PatientInnen nicht mehr planmäßig versorgen konnten (National Audit Office, 2018).8

Ein Angriff auf das Netz und insbesondere kritische Infrastrukturen kann für Gesellschaften dabei potenziell verheerende (kaskadierende) Folgen haben. Diese neue Verwundbarkeit hat Hollywoodfilme wie Stirb Langsam 4.0 schon früh dazu inspiriert, den digitalen Knockout vernetzter Gesellschaften auszumalen und auch in der (populär)wissenschaftlichen Auseinandersetzung mit der Thematik wird immer wieder mit Szenarien folgenschwerer Cyberangriffe argumentiert. Auch wenn es empirisch noch keine Vorfälle mit derart gravierenden Effekten gegeben hat. In Anbetracht der bisher kinetisch zumeist folgenlosen Cyberangriffe ist ein beständiges Skizzieren von Worst-Case-Szenarien kritisch hinterfragt worden (Dunn Cavelty, 2013; Schünemann und Steiger, 2019).

Aber auch wenn sich Horrorszenarien von kinetisch folgenreichen Cyberangriffen bisher nicht realisiert haben, haben Regierungen die wachsende Angriffsfläche zum Anlass genommen neue regulatorische Maßnahmen zu ergreifen, um mit den Risiken im Cyberspace umzugehen. Das Netz und die mit ihm verbundene Perzeption neuer Herausforderungen hat dementsprechend seit Ende der 1990er Jahre zentrale Bedeutung in sicherheitspolitischen Dokumenten erlangt. Sichtbarer Ausdruck sind unter anderem die Cybersicherheitsstrategien, die mittlerweile von zahlreichen Industrienationen ausgearbeitet und implementiert wurden (Bundesministerium des Innern, 2011; Cabinet Office, 2009). Auch in Deutschland und Großbritannien9 haben die Regierungen dieses Problem adressiert und neue Kapazitäten zur offensiven Nutzung des Netzes aufgebaut.

Die Lektüre dieser Dokumente zeigt, dass sich staatliche Sicherheitspolitik in diesem Feld mit unterschiedlichen Spannungen konfrontiert sieht. Einerseits sind die Regierungen daran interessiert, das Netz als Wirtschaftsraum und IT als Mittel der Effizienzsteigerung möglichst umfassend zu nutzen. Sie sind aus dieser Warte an einem sicheren Cyberspace interessiert, der den Wirtschaftssubjekten nicht durch Unsicherheit die Bereitschaft zur Investition oder zum Handeln allgemein nimmt. Ferner fördern demokratische Regierungen die Nutzung des Internets zur freien Verbreitung von Informationen oder zur vertraulichen Kommunikation. Andererseits sehen Regierungen im Netz aber auch ein Mittel, mit dem klassische sicherheitspolitische Ziele erreicht werden können. Hierzu ist es aber mitunter nötig, IT-Sicherheit zu unterminieren, bspw. dann, wenn es darum geht, Kriminelle abzuhören, nachrichtendienstliche Aufklärung zu betreiben oder die Infrastruktur gegnerischer Staaten im Konfliktfall zu unterminieren. Durch die Geheimhaltung und Nutzung von Sicherheitslücken wird der Staat so selbst zum Akteur, der IT-Unsicherheit schafft (Nissenbaum, 2005).

Die Cybersicherheitspolitiken stehen damit potenziell in Spannung mit dem Erhalt bzw. der Förderung volkswirtschaftlichen Wohlstands und der Gewährleistung demokratischer Freiheitsrechte. Beim Einsatz zumeist klandestiner Cyberoperationen stellt sich ferner die Frage, wie Exekutiven demokratisch kontrolliert werden können. Als globaler Handlungsraum stellt der Cyberspace damit nicht nur die internationalen Beziehungen vor Herausforderungen, sondern auch die domestischen Verhältnisse zwischen Regierungen, Parlamenten, Judikativen, Unternehmen, VertreterInnen der Zivilgesellschaft sowie BürgerInnen. Die Analyse von Cybersicherheitspolitiken ist somit empirisch nicht nur aufgrund der zunehmenden Vernetzung, der damit einhergehenden gesellschaftlichen Verwundbarkeit und der Zunahme qualitativ hochwertiger Angriffe relevant, sondern auch, weil sie zentrale demokratische und wirtschaftliche Abwägungen erfordern und damit soziale Relationen domestisch wie international berühren.

Die Regierungen haben ihre Cybersicherheitspolitiken dabei in unterschiedlichen Handlungsfeldern definiert. Das Untersuchungsinteresse dieser Studie bezieht sich konkret auf die Politikentwicklung in drei zentralen Bereichen. Erstens auf den Kontext der Strafverfolgung. Zur Regulation krimineller Handlungen haben die Regierungen explizite Regelungen akzeptablen Verhaltens etabliert und diese in ihre nationalen Strafrechtsordnungen integriert. Teilweise wurden diese auch auf internationaler Ebene harmonisiert. Im Kontext der polizeilichen Ermittlungspraktiken haben die Exekutiven in diesem Zusammenhang aber auch selbst Maßnahmen ergriffen, die die IT-Sicherheit unterminieren. Diese Praktiken wurden in den Strafprozessordnungen kodifiziert. Zweitens auf den Bereich der Nachrichtendienste. Die Snowden-Enthüllungen 2013 haben gezeigt, dass auch Demokratien das Netz umfassend zur Informationsgewinnung im Ausland nutzen (Signals Intelligence). Internationale (Cyber)Spionage ist rechtlich jedoch nicht reguliert. Was als akzeptables staatliches Verhalten gilt, ist folglich nicht expliziert, sondern ggf. nur aus etablierten Praktiken internationalen Rechts ableitbar (Buchan, 2016, 2019). Drittens auf die militärische Nutzung des Netzes. Regierungen haben sukzessive damit begonnen, militärische Cyberkapazitäten aufzubauen (Lewis und Neuneck, 2013). Abgesehen vom Konsens, dass internationales Recht und insbesondere die Charta der Vereinten Nationen prinzipiell auf den Cyberspace übertragbar ist (United Nations, 2013b), ist jedoch auch in diesem Kontext, das staatliche Verhalten weitgehend unreguliert.

Die drei Untersuchungsbereiche zeichnen sich damit durch unterschiedliche Akteurskonstellationen und Regelungsarrangements aus. Sie betreffen auch in unterschiedlicher Weise die internationalen Beziehungen sowie das Verhältnis zwischen domestischen AkteurInnen.

Zudem ist die Untersuchung theoretisch relevant, da mit dem Netz als sicherheitspolitischem Handlungsfeld neue theoretische Herausforderungen verbunden sind. Zentrale Analysekonzepte der Internationalen Beziehungen (IB) sind potenziell schwierig auf den Cyberspace übertragbar. Die analytischen Potenziale etablierter Theorien der IB werden durch den neuen Handlungsraum infrage gestellt. Die Einschätzungen darüber, inwiefern tradierte Konzepte der IB auf den Cyberspace übertragbar sind, divergieren dabei erheblich. Während einige ForscherInnen davon ausgehen, dass erprobte Konzepte weiterhin tragfähig sind (Craig und Valeriano, 2018; Reardon und Choucri, 2012), werden die analytischen Potenziale von anderen WissenschaftlerInnen skeptisch beurteilt (Diersch und Schmetz, 2017; Mayer, 2017). Letztere Einschätzung bezieht sich oft auf das unklare Verhältnis zwischen technischen Infrastrukturen und den sozial handelnden AkteurInnen. Diese Beziehung ist erst in den letzten Jahren von Studien aufgegriffen und ein technischer Determinismus problematisiert worden (Carr, 2016; Dunn Cavelty, 2018; McCarthy, 2015).10

Illustrieren lässt sich die Problematik der Übertragbarkeit von IB-Theorien an einer für den Neorealismus entscheidenden Debatte über die Bedeutung von Macht im Cyberspace. Welche Staaten im Cyberspace mächtig sind, ist schwieriger zu beurteilen als in der analogen Welt. Realistisch argumentierende WissenschaftlerInnen haben darauf hingewiesen, dass konventionell überlegene Staaten durch Cyberkapazitäten nur marginale Vorteile gegenüber anderen Staaten erzielen könnten. Insbesondere wenn diese weniger abhängig von IT seien. Demgegenüber könnten unterlegene Staaten durch den Aufbau von Cyberfähigkeiten auch stärkere herausfordern und ihre Position so relativ verbessern (Lindsay, 2013). Die konventionell überlegenen und auch im Cyberspace ressourcenstärksten Staaten könnten so aufgrund ihrer IT-Abhängigkeit doch die schwächeren sein. Die realweltliche Machtverteilung wäre dann digital zumindest partiell invertiert. Das Verhältnis zwischen Macht on- bzw. offline ist aber nach wie vor ungeklärt (Craig und Valeriano, 2018, S. 90). Die Machtkonstellationen im Cyberspace und potenzielle Wechselwirkungen mit anderen Machtressourcen (bspw. einem vernetzten Militär) sind unklar. Damit sind neorealistisch auch nur bedingt systemische Verhaltenserwartungen ableitbar.

Eine wissenschaftliche Auseinandersetzung mit dem Untersuchungsgegenstand ist daher nicht nur aufgrund der praktischen gesellschaftlichen Implikationen relevant. Er ist auch wissenschaftlich bedeutsam, um theoretisch angemessen mit Cybersicherheit umgehen zu können und ein besseres Verständnis zu ermöglichen.

1.2Forschungsstand, Desiderate und Fragestellung

Die politikwissenschaftliche Forschung hat sich dem neuen Gegenstand Cybersicherheit aus unterschiedlichen Blickwinkeln angenähert. Eine erste prominente Studie legten John Arquilla und David Ronfeldt 1993 vor, sie wurde auch tonangebend für künftige akademische und politische Debatten. Unter dem Titel »Cyberwar is coming!« (Arquilla und Ronfeldt, 1993) diskutierten die Autoren verschiedene Auswirkungen der Informationstechnik auf zukünftige Formen der Kriegführung. Sie legten damit den Grundstein für verschiedene Studien, die sich bis heute konzeptionell mit den Folgen der Verbreitung von Informations- und Kommunikationstechnik für den Konfliktaustrag befassen.

In dieser Tradition stehen Untersuchungen, die grundlegende Fragen nach den Wirkungen des neuen sicherheitspolitischen Handlungsraumes adressieren. Konkret untersuchen Studien in diesem Kontext bspw. die Übertragbarkeit tradierter strategischer Konzepte auf den Cyberspace – häufig wird in diesem Kontext über Abschreckung debattiert (Brantly, 2018; Fischerkeller und Harknett, 2017; Harknett und Nye, 2017; Libicki, 2018; Lindsay, 2015; Nye, 2017; M. Schulze, 2019) – ferner finden sich hier Untersuchungen, die der Frage nachgehen, was Macht im Cyberspace bedeutet und wie sie genutzt werden kann (Nye, 2010; Sheldon, 2014; Siedler, 2016; Willett, 2019) oder ob es Cyberwaffen gibt, bzw. was unter dem Begriff zu verstehen ist (Goines, 2017; Rid und McBurney, 2012; Stevens, 2018). In diesem Zusammenhang stehen auch Diskussionen über das Verhältnis zwischen Offensive und Defensive in der Cybersicherheitspolitik. Oftmals wird in diesem Kontext die These debattiert, die Offensive sei der Defensive im Netz überlegen, da die Verteidigung permanent beim Schutz der eigenen Systeme, die zumeist mit kommerzieller Software betrieben werden und daher (unbekannte) Sicherheitslücken aufweisen, wachsam sein müsse, während AngreiferInnen nur einmal erfolgreich sein müssten. Ferner sei die Schwelle zur Konfliktfähigkeit im Cyberspace auch durch nichtstaatliche Akteure leichter zu überwinden (Gartzke und Lindsay, 2015; Lindsay und Gartzke, 2018).

Weiterhin finden sich in diesem Kontext Studien, die sich mit den strategischen Besonderheiten des Netzes und deren Implikationen für sicherheitspolitisches Handeln beschäftigen. Hier wurde bspw. immer wieder auf das sogenannte Attributionsproblem hingewiesen, das sowohl eine Abschreckung von, als auch eine schnelle Reaktion auf Cyberangriffe schwierig mache, da diese durch die Paketvermittlung im Internet immer über verschiedene Stationen (in unterschiedlichen Ländern) geleitet werden können. Ferner können AngreiferInnen fremde Schadsoftware verwenden, Rechner in bereits verdächtigen Drittländern kapern oder nichtstaatliche Akteure (Proxies) mit der Durchführung von Attacken beauftragen. All dies erhöhe die Unsicherheit und erschwere die Cybersicherheitspolitiken bzw. gezielte Reaktionen auf Angriffe. WissenschaftlerInnen haben sich daher mit den technischen und später auch politischen Herausforderungen dieser Problematik beschäftigt (Berghel, 2017; Egloff und Wenger, 2019; Green, 2015; Guitton, 2017; Lindsay, 2015; Rid und Buchanan, 2014; Schulzke, 2018).

Die stärkere Hinwendung zum tatsächlichen sozialen Umgang mit dem neuen Problemfeld war der Einsicht geschuldet, dass potenziell folgenschwere Cyberangriffe zwar theoretisch möglich, bislang aber ausgeblieben sind. ForscherInnen wiesen daher spätestens ab den 2010er Jahren vermehrt auch darauf hin, dass es eines besseren Verständnisses der sozialen Praktiken bedürfe, um bspw. die bisherige Zurückhaltung zu verstehen (Betz und Stevens, 2011, S. 124). Damit wurde ein Defizit vieler theoretisch-technischer Analysen aufgeworfen, die die soziale Integration von Technik sowie deren (Um-)Deutung und praktische Nutzung oft ausgespart oder nur kursorisch betrachtet haben. Dies soll technischen Analysen nicht die Relevanz absprechen, verdeutlicht aber, die Notwendigkeit empirischer Untersuchungen (Schünemann und Steiger, 2019). Die vorliegende Arbeit kann daher einen Beitrag dazu leisten, zu verstehen, wie der Handlungsraum durch die Regierungen der Bundesrepublik und des Vereinigten Königreichs gestaltet wird und wie sie einigen dieser Unsicherheiten begegnet sind.

Ein Großteil der skizzierten Studien zeichnet sich ferner durch einen Fokus auf besonders folgenschwere Cyberangriffe aus. Damit wurde früh in der wissenschaftlichen Auseinandersetzung mit dem neuen Forschungsgegenstand ein militärischer Analysefokus gesetzt. Prominenter Ausdruck dieser Perspektive ist das Bild eines Cyberwar, das bis heute für zahlreiche auch deutsche Publikationen titelgebend wirkt (Gaycken, 2011; Kurz und Rieger, 2018).11 Diese konzeptionelle Engführung wurde immer wieder aus unterschiedlichen Perspektiven bemängelt. Die Kritiklinien haben dabei zur weiteren Ausdifferenzierung des Feldes beigetragen.

Eine konzeptionelle Kritik wurde aus der gleichen wissenschaftlichen Community formuliert, aus der auch die ersten Analysen hervorgingen (den positivistischen strategic studies). KritikerInnen konstatierten aber, dass der Kriegsbegriff im Kontext des neuen Handlungsraumes unangemessen sei. Einflussreich vorgetragen wurde diese Einschätzung von Thomas Rid (2012; 2013) und Eric Gartzke (2013). Thomas Rid argumentierte 20 Jahre nach Arquilla und Ronfeldt in seiner Studie »Cyber war will not take place«, dass Cyberangriffe nicht als kriegerische Akte verstanden werden könnten. Um dies zu belegen überprüfte Rid, inwiefern digitale Angriffe der Kriegsdefinition von Carl von Clausevitz entsprechen könnten. Gemessen an drei Indikatoren, wonach sich Kriege 1. durch Gewaltsamkeit, 2. Zweckdienlichkeit und 3. eine politische Natur auszeichneten, hat sich nach Rid noch kein Cyberangriff als kriegerischer Akt qualifiziert. Aus seiner Sicht dienen Cyberangriffe letztlich der Spionage, Subversion oder Sabotage. Sie sind damit keine neuen sicherheitspolitischen Phänomene. Ein Cyberwar im Wortsinne sei zudem unwahrscheinlich, da ein Opponent nur mit Cyberangriffen allein kaum zur Kapitulation gezwungen werden könnte (Rid, 2012). Mit Blick auf etablierte Kriegsdefinitionen argumentiert auch Eric Gartzke, dass Cyberangriffe allein ungeeignet seien, klassische militärische Ziele zu erreichen – bspw. die Eroberung und Verteidigung von Territorien (Gartzke, 2013). Diese Einschätzungen blieben allerdings nicht unwidersprochen, WissenschaftlerInnen haben darauf hingewiesen, dass ein Cyberwar im Zeitalter vernetzter Streitkräfte durchaus möglich ist (Clarke und Knake, 2010; Stiennon, 2015; Stone, 2013) bzw. sogar bereits stattfindet (Arquilla, 2012).

Eine zweite, empirische Kritik an der Ausrichtung auf besonders folgenreiche Vorfälle und militärische Aspekte der Cybersicherheit wurde sowohl von ForscherInnen aus der Konfliktforschung sowie von sozialkonstruktivistischen WissenschaftlerInnen aus dem Bereich der kritischen Sicherheitsstudien vorgebracht (Dunn Cavelty, 2013; Valeriano und Maness, 2015). VertreterInnen der Konfliktforschung bemängelten, dass Studien immer wieder um die gleichen, besonders prominenten Fälle kreisten. So gibt es zahlreiche Studien zu auch medial vieldiskutierten Angriffen bspw. gegen Estland 2007 (Herzog, 2011; Ottis, 2008), gegen Georgien 2008 (S. P. White, 2018), zu Stuxnet 2010 (Farwell und Rohozinski, 2011; Lindsay, 2013; Zetter, 2014), zum Sony-Hack 2014 (Sharp, 2017; Shaw und Jenkins, 2017) oder zu den durch Malware verursachten Stromausfällen in der Ukraine (Shackelford u. a., 2017). Vergleichende Studien, die verschiedene Fälle analysieren und dabei nicht nur die qualitativen Spitzen des Konfliktgeschehens abbilden, sind aber noch immer rar. Eine Folge dieser Kritik sind erste Projekte und Datensätze, die sich zum Ziel gemacht haben, politische Cyberangriffe strukturiert zu vermessen und so empirisch fundierte Analysen zu ermöglichen (Council on Foreign Relations, 2020; Steiger u. a., 2018; Valeriano und Maness, 2014).

Aus Perspektive der kritischen Sicherheitsstudien wurde betont, dass der Fokus auf Extreme potenziell eine problematische Militarisierung des Netzes ermögliche (Dunn Cavelty, 2012). Diese Arbeiten haben ebenfalls maßgeblich dazu beigetragen, die Begriffswahl kritisch zu reflektieren. Auch wenn die Debatte um die Anwendbarkeit des Kriegsbegriffs mittlerweile abgeflaut ist, ist unbestritten, dass zahlreiche Regierungen damit begonnen haben, ihre Streitkräfte mit offensiven Cyberkapazitäten auszustatten (Lewis und Neuneck, 2013). Nur wenige Studien haben aber theoriegeleitet untersucht, welche Mechanismen unterschiedliche staatliche Cybersicherheitspolitiken ermöglichen. Es gibt zwar Studien, die sich empirisch mit Cybersicherheitspolitiken befassen, diese sind aber zumeist theoriearm und deskriptiv (Austin, 2018; Baumard, 2017; Schallbruch und Skierka, 2018; Tabansky und Ben-Israel, 2015). Sie liefern daher keine Antworten auf die entscheidende Frage, was unterschiedliche Cybersicherheitspolitiken ermöglicht. Außerdem befassen sich die meisten empirischen Studien mit den prominentesten Fällen – den USA, China oder Russland (Christou, 2017; Sliwinski, 2014). Häufig befassen sich empirische Analysen auch mit den defensiven Maßnahmen, insbesondere dem Schutz kritischer Infrastrukturen (Argomaniz, 2015; Barichella, 2018; Brem, 2015; Dunn Cavelty und Kristensen, 2008; Freiberg, 2015; T. Schulze, 2006; Voeller, 2010).

Wenn Cybersicherheitspolitiken theoriegeleitet untersucht wurden, dann erfolgte das zumeist unter Rückgriff auf die Kopenhagener Schule (Sekuritisierungstheorie). Aus dieser Sicht unterstützte der wissenschaftliche Fokus auf Extrembeispiele staatliche Sekuritisierungstendenzen. Studien zeichneten dabei nach, wie Cyberangriffe sprachlich als Gefahr für die nationale Sicherheit konstruiert wurden. Empirisch lag der Fokus dieser Studien zumeist auf den Entwicklungen in den USA (Bendrath, Eriksson und Giacomello, 2007; Dunn Cavelty, 2008; Lawson u. a., 2016). Es gibt aber auch Analysen zur Bundesrepublik oder dem Vereinigten Königreich (Barnard-Wills und Ashenden, 2012; M. Schulze, 2016). Nur wenige Untersuchungen haben aber Vergleiche unterschiedlicher Cybersicherheitspolitiken durchgeführt (Gorr und Schünemann, 2013; Guitton, 2013). Diese Studien konnten nachzeichnen, wie Regierungen unter Verweis auf unterschiedliche Gefahren wie den internationalen Terrorismus oder feindliche Staaten, den Cyberspace mehr und mehr zu einem sicherheitspolitischen Handlungsfeld machten, in dem sie folglich ihre Kompetenzen erweiterten.

Die Untersuchungen konnten so zeigen, wie die Cybersicherheit zu einem Problem der nationalen Sicherheit wurde (Nissenbaum, 2005). Die Studien weisen aber (in unterschiedlichem Maße) auch Defizite und Blindstellen auf. Auch sie waren zumeist an der Militarisierung des Internets interessiert und untersuchten, wie das Netz und die damit verbundenen Gefahren als Problem für nationale Sicherheit konstruiert wurden. Sie konstatieren zumeist eine Sekuritisierung des Cyberspace, gehen aber nur selten darauf ein, dass der sicherheitspolitische Handlungskorridor nicht homogen ist. Vielmehr zerfällt der staatliche Schutzanspruch im Cyberspace in verschiedene Handlungsfelder, die durch unterschiedliche Akteurskonstellationen geprägt sind und dadurch variante Sekuritisierungsgrade ermöglichen. Die vorliegende Studie begegnet diesem Defizit durch eine systematische Unterscheidung zwischen drei Bereichen der Cybersicherheitspolitik. Auf diesem Weg soll die Entwicklung der Sicherheitspolitik differenzierter nachvollzogen werden. Dies ist theoretisch angemessen, will man ein ganzheitlicheres Bild der Cybersichehreitspolitken entwerfen, das nicht suggeriert, die Politik habe sich zunächst der Kriminalität zugewendet, um im Anschluss durch die Verbindung mit kritischer Infrastruktur auch militärische Maßnahmen zu ermöglichen. Diese Darstellung verstellt den Blick dafür, dass es zu parallelen Entwicklungen der Cybersicherheitspolitiken gekommen ist, die es in unterschiedlichen Handlungskontexten ermöglicht hat, staatlichen Sicherheitsbehörden neue Kompetenzen zuzuweisen. Anders formuliert: als die militärische Sekuritisierung des Internets möglich wurde, endete damit nicht die Weiterentwicklung der Cybersicherheitspolitik bzw. die Kompetenzausweitung mit Bezug zur Kriminalitätsbekämpfung. Diese Entwicklung steht bei den meisten Sekuritisierungsstudien aber nicht mehr im Fokus des Interesses, obwohl sich auch hier wichtige gesellschaftliche Implikationen und Folgen für die IT-Sicherheit ergeben. Ein umfassenderes Bild der Cybersicherheitspolitik sollte auch jene Kontexte integrieren und systematisch analysieren, in denen Regierungen unterhalb der Schwelle der nationalen Sicherheit für sich in Anspruch genommen haben, Cyberangriffe durchzuführen. Hinzu kommt, dass nicht nur Cyberangriffe selbst zur Sekuritisierung des Netzes beigetragen haben, sondern dass Regierungen auch mit Blick auf traditionelle sicherheitspolitische Herausforderungen für sich auch in Anspruch nehmen, IT-Sicherheit zu unterminieren. So zielen bspw. die offensiven Maßnahmen im Bereich der Strafverfolgung oder der Nachrichtendienste nicht primär auf Cyberkriminalität, sondern auf die Prävention und Verfolgung traditioneller Straftaten.

Neben dieser empirischen Blindstelle, können auch theoretische Prämissen der Sekuritisierungstheorie im Cyberspace problematisch sein. So ist die Beurteilung dessen, was als »außergewöhnliche« Maßnahme gelten kann – der entscheidende Gradmesser für eine erfolgreiche Sekuritisierung (Floyd, 2015) – in einem neuen Handlungsraum, in dem das Normalmaß noch nicht etabliert ist, besonders schwierig und auch Analogieschlüsse sind potenziell problematisch. Ferner ist die Sekuritisierungstheorie auf einen zugänglichen Diskurs angewiesen. Praktiken, über die nicht gesprochen wird, können so schwerer analysiert werden (Dunn Cavelty, 2008, S. 132-137). Geheimhaltung ist zwar auch für diese Untersuchung ein Problem. Der rollentheoretische Fokus auf soziale Praxis erlaubt aber zumindest einen flüchtigen Blick auf die Praktiken (wenn sie bspw. durch WhistleblowerInnen oder JournalistInnen aufgedeckt werden). Weiterhin wird die Sekuritisierung zumeist als ein Prozess zwischen der Regierung und einer zumeist ausschließlich domestischen Audienz konzeptualisiert. Dies verstellt potenziell den Blick für internationale Einflüsse bzw. deren Interaktion mit der domestischen Ebene. Ein Defizit, dem im Rahmen dieser Untersuchung durch den Entwurf eines rollentheoretischen Zwei-Ebenen-Spiels begegnet werden soll. Zudem ist die Handlungsträgerschaft der Audienz in der Sekuritisierungstheorie umstritten. Einige AutorInnen halten den Einfluss der Audienz für gering (Côté, 2016; Léonard und Kaunert, 2011). Außerdem haben die Studien nur selten untersucht, inwiefern die Cybersicherheit durch Interaktionsprozesse ggf. wieder politisiert wurde. Für derartige Prozesse sprechen Gesetzesnovellen in unterschiedlichen Ländern, die die Kontrollrechte der Judikative und Legislative ausgebaut haben (bspw. das BND-Gesetz in der Bundesrepublik oder der Investigatory Powers Act in Großbritannien).

Die vorliegende Studie kann damit einen Beitrag dazu leisten, die etablierten Sekuritisierungsbefunde einerseits mit Blick auf unterschiedliche Handlungskontexte zu qualifizieren und ein differenzierteres Bild der Cybersicherheitspolitiken und deren (parallelen) Entwicklung in drei Untersuchungsbereichen zeichnen. Sie kann weiterhin deren Fokus auf Diskurse durch die Integration von Praktiken ausweiten und mit Hilfe des Vergleichs zudem systematisch Unterschiede zwischen den Untersuchungsstaaten aufdecken. Zudem verschränkt sie innen- und außenpolitische Einflüsse systematisch durch das Zwei-Ebenen-Rollenspiel. Insbesondere dieser Punkt sorgt dafür, dass die Arbeit nicht nur die theoriegeleitete Außenpolitikforschung bereichern kann, sondern auch Anschlüsse an eine andere sozialkonstruktivistische Forschungslinie mit Blick auf das Feld der Cybersicherheit erlaubt.

Auf internationaler Ebene hat sich die sozialkonstruktivistische Forschung mit der Emergenz von Cybersicherheitsnormen beschäftigt (Erskine und Carr, 2016; Finnemore, 2016; Hathaway, 2017; Maurer, 2011). In diesem Kontext wurde bspw. die Norm einer staatlichen Sorgfaltsverantwortung (due diligence) für Cyberangriffe aus dem eigenen Territorium debattiert. Hiernach sollten es Regierungen nicht dulden bzw. unterstützen, dass »ihr« Netz zur Durchführung illegaler Cyberoperationen genutzt wird (Antonopoulos, 2015; Bendiek, 2016; Liu, 2017; Takano, 2018). Außerdem werden in diesem Forschungsstrang bisher erfolglose Bestrebungen zur Regulation von Angriffsfähigkeiten (im Sinne der Rüstungskontrolle) und zur Durchführung von Cyberoperationen analysiert (Baribieri, Danis und Polito, 2018; Eggenschwiler und Silomon, 2018; Stevens, 2018). Die Untersuchungen in diesem Kontext haben überwiegend ernüchternde Befunde zur Emergenz von Normen und deren Bindewirkung geliefert. So konstatiert Melissa Hathaway »that states are not following their own doctrines of restraint«, dies könne zu Fehlattributionen und Eskalationen führen (Hathaway, 2017, S. 1).

Durch die Analyse der deutschen und britischen Cybersicherheitspolitiken können auch deren Implikationen für die emergente Cybersicherheitsordnung eingeschätzt werden. Ferner ist dieser Forschungsstrang dafür kritisiert worden, dass er mitunter eine einheitliche Trennlinie zwischen Demokratien und autokratischen Regimen suggeriert. Diese Darstellung verdeckt aber gleich zwei Befunde, nämlich, dass auch zwischen demokratischen Staaten Differenzen bei der Gestaltung ihrer Cybersicherheitspolitiken bestehen und dass diese Politiken auch domestisch umstritten sind (Maurer, 2019). Die Unterstützung oder Ablehnung bestimmter Normen ist daher auch unter Demokratien variant. Dieser Befund wurde bislang allerdings noch kaum durch empirische Vergleiche untersucht. Die Analyse der Cybersicherheitspolitiken zweier Demokratien ist vor diesem Hintergrund fruchtbar und kann dazu beitragen, die verkürzte Darstellung zu differenzieren. In diesem Zusammenhang kann diese Untersuchung die unterschiedlichen Perspektiven auf und Herausforderungen von Normen in zwei Demokratien beleuchten und bestehende Einschätzungen ergänzen.

Christopher Whyte hat offene Fragen sowie die Desiderate zur Integration internationaler und domestischer Einflüsse auf die Cybersicherheitspolitik wie folgt skizziert:

»[...] scholars would do well to consider the cyberpolitics field as one amenable to study under the auspices of both the IR and comparative politics research programs. Doing so would aid in accomplishing the much-needed step of integrating the main branches of the research program on cyberspace and politics that currently exist with the assumptions and sociological explorations of those authors that have, to date, considered the digital world in a more holistic fashion. Then, the field would be better placed to begin the incorporation of research projects that answer questions on the determinants of variations in state-society cyber relationships and foreign policy outcomes.« (Whyte, 2018, S. 12)

In diesem Kontext sollten Whyte zufolge bspw. Fragen nach unterschiedlichen historischen Erfahrungen und deren Folgen für die nationalen Cybersicherheitspolitiken untersucht werden (ebd., S. 12).

Die vorliegende Studie leistet einen Beitrag hierzu. Durch den systematischen Vergleich der deutschen und britischen Cybersicherheitspolitiken sollen die unterschiedlichen Einflüsse identifiziert werden, die die unterschiedlichen Politiken ermöglichen. Konkret wendet sich diese Untersuchung folgenden Fragen zu:

1.Wie haben sich die Cybersicherheitspolitiken der deutschen und britischen Regierungen in den Bereichen Strafverfolgung, Nachrichtendienste und Militär zwischen 1997 und 2019 entwickelt?

2.Welche Einflüsse haben Veränderungen der Politiken ermöglicht?

Die vorliegende Studie adressiert damit signifikante empirische und theoretische Forschungslücken und leistet einen Beitrag zum besseren Verständnis der Cybersicherheitspolitiken in den Untersuchungsstaaten. Aus empirischer Perspektive analysiert und vergleicht die Untersuchung die Cybersicherheitspolitiken zweier Staaten, die in der Forschung bisher nur wenig Beachtung gefunden haben. Theoretisch entwirft die Studie unter Rückgriff auf die symbolisch-interaktionistische Rollentheorie ein Zwei-Ebenen-Spiel, das das internationale Rollenspiel durch ein domestisches Pendant ergänzt und so das Verhältnis von Innen- und Außenpolitik aus rollentheoretischer Perspektive neu ausleuchtet. Eine theoretische Weiterentwicklung, die besonders angesichts des Untersuchungsgegenstandes und der mit ihm verbundenen schwierigen Trennung zwischen Innen- und Außenpolitik geboten scheint.

1.3Aufbau der Studie

Um die Fragestellungen zu beantworten ist die Studie im Folgenden in vier Kapitel untergliedert. Im nächsten Abschnitt wird der theoretische Rahmen der Untersuchung vorgestellt. Hier werden zuerst die wissenschaftstheoretischen Grundannahmen skizziert und die Rollentheorie mit ihren Wurzeln im Pragmatismus dargestellt. Anschließend wird die symbolisch interaktionistische Rollentheorie in ihrer Anwendung zur Außenpolitikanalyse präsentiert und damit zentrale Bezugspunkte hergestellt. Im dritten Schritt wird die Konzeption eines rollentheoretischen Zwei-Ebenen-Spiels eingeführt und die Rollentheorie so um ein zweites, domestisches Rollenspiel zur Analyse der Cybersicherheitspolitiken ergänzt. Dem folgt ein kurzer Blick auf techniksoziologische Ansätze, mit deren Hilfe die theoretischen Besonderheiten des Untersuchungsgegenstandes und die damit verbundenen Implikationen verdeutlicht werden. Ferner wird hier das Verhältnis zwischen handelnden AkteurInnen und technischer Infrastruktur erläutert. Diese Betrachtung wird durch einen kurzen empirischen Exkurs veranschaulicht, der die Internetentwicklung skizziert.

Im zweiten Kapitel wird die Methodik vorgestellt. Zunächst wird in diesem Kontext die Fall-sowie Quellenauswahl begründet und die Wahl des Untersuchungszeitraums plausibilisiert. Weiterhin wird das interpretative Vorgehen, das an die Grounded-Theory-Methodologie und das Practice Tracing angelehnt ist, beschrieben. Abschließend werden die drei unterschiedlichen Rollen (Beschützer, Wohlstandsmaximierer sowie Garant liberaler Grundrechte) vorgestellt und definiert.

Mit dem dritten Kapitel beginnt die empirische Analyse der Cybersicherheitspolitiken. Die drei empirischen Kapitel folgen dabei der gleichen Struktur. Nach einer kurzen Einführung in den jeweiligen Untersuchungsbereich wird die Entwicklung der Cybersicherheitspolitik zunächst in Deutschland und dann im Vereinigten Königreich untersucht. Ein kurzes Zwischenfazit fasst die wichtigsten Erkenntnisse zusammen.

Im vierten Kapitel werden die zentralen empirischen und theoretischen Befunde vorgestellt und kritisch diskutiert. Abgeschlossen wird die Untersuchung durch eine Reflexion der Limitationen der Studie sowie einen Ausblick auf weitere Forschung zu staatlichen Cybersicherheitspolitiken.

1Als Internet wird im Folgenden das mittels TCP/IP verbundene Netzwerk verschiedener (Teil-)Netze (Autonomer Systeme) bezeichnet. Dieser Zusammenschluss von Rechnern ermöglicht es theoretisch zwischen allen verbundenen Punkten Informationen in Form von Datenpaketen auszutauschen. Im Folgenden werden die Begriffe Internet, Netz und Cyberspace synonym verwendet. Es ist aber darauf hinzuweisen, dass der Begriff Cyberspace konzeptionell umfassender ist, da er auch jene digital vernetzten Geräte einschließt, die nicht mit dem Internet verbunden sind (air gap). Das Internet ist damit nur ein (großer) Teil des Cyberspace, der daneben noch zahllose weitere Netzwerke privater, wirtschaftlicher und staatlicher Akteure umfasst, die nicht mit dem Internet verbunden sind und damit auch nicht unmittelbar über das Internet erreicht und angegriffen werden können (Tabansky, 2011). Sofern nicht explizit darauf hingewiesen wird, ist im Folgenden auch mit der Bezeichnung Internet dieses weite Verständnis gemeint.

2Eine umfassende Vernetzung ist weder als wünschenswerter teleologischer Endpunkt der Entwicklung zu verstehen – derartige Tendenzen bleiben immer durch die AkteurInnen umkehrbar (möglicherweise unter Inkaufnahme erheblicher Opportunitätskosten) – noch als sich den AkteurInnen aufzwingender Prozess eines technischen Determinismus (s. dazu Kapitel 2.4).

3Ein Botnet bezeichnet ein Netz von Rechnern, die von AngreiferInnen übernommen und zentral ferngesteuert werden. Meist handelt es sich hierbei um Rechner, die aufgrund veralteter Software angreifbar sind (Singer und Friedman, 2014, S. 44). Das Mirai-Botnet nutzte schlecht gesicherte IoT-Geräte, um Angriffe durchzuführen.

4(D)DoS-Angriffe sorgen dafür, dass ein Zielsystem systematisch überlastet wird. Die Überlastung kann dabei auf verschiedene Ressourcen zielen bspw. die Rechenleistung oder die Internetanbindung. Ein Dienst ist in der Folge für NutzerInnen nicht mehr erreichbar.

5Die Abkürzung DNS steht für Domain Name System und bezeichnet die Infrastruktur, die für die eindeutige Zuordnung zwischen maschinenlesbaren IP-Adressen und URLs benötigt wird (Singer und Friedman, 2014, S. 295). Der Ausfall eines DNS-Dienstes führt dazu, dass NutzerInnen Internetseiten nicht mehr erreichen können, da die Zuordnung zwischen URL und IP-Adresse nicht erfolgen kann.

6Diese drei Schutzziele werden anhand der englischen Anfangsbuchstaben (confidentiality, integrity and availability) meist als CIA-Triad bezeichnet (Andress, 2014, S. 5-9).

7Da es in dieser Untersuchung um die Entwicklung der Cybersicherheit in diesem engen Kernverständnis geht, ist die mitunter erhebliche extensionale Erweiterung, die der Begriff erfahren hat (bspw. im Kontext der Verbreitung von Desinformation), nicht Teil der Analyse (Schünemann und Steiger, 2019).

8WannaCry steht auch exemplarisch für die unintendierten Konsequenzen, die mit staatlichen Cybersicherheitspolitiken verbunden sein können. Die Malware beruht auf einer Sicherheitslücke im Betriebssystem Windows, die von der NSA EternalBlue getauft wurde. Aufgrund der potenziellen Nützlichkeit für offensive Cyberoperationen wurde die Lücke geheimgehalten. Allerdings verlor die NSA die Kontrolle über dieses Wissen und die Gruppe Shadow Brokers verbreitete die Informationen im Netz. Die NSA hatte Microsoft zwar kurz nach Bemerken des Datenlecks über die Lücke informiert und Microsoft veröffentlichte im März 2017 ein entsprechendes Update, da dieses von NutzerInnen aber nur langsam installiert wurde, konnte WannaCry im Mai trotzdem viele Rechner, darunter die des NHS, infizieren und lahmlegen (The Washington Post, 2017).

9Mit Großbritannien ist im Folgenden stets das Vereinigte Königreich Großbritannien und Nordirland gemeint.

10Ein theoretisches Defizit, das in Kapitel 2.4 näher beleuchtet wird.

11Für eine Problematisierung s. Schünemann/Steiger (2019).

2.Theorie: Pragmatismus, Rollentheorie und Techniksoziologie

In den vergangenen Jahren griffen ForscherInnen immer häufiger auf rollentheoretische Ansätze zur Analyse von Außenpolitiken zurück. Die Ursprünge der Theorie liegen allerdings nicht in der Politikwissenschaft bzw. IB-Forschung, sondern in der Sozialpsychologie der sogenannten Chicago School und der Philosophie des US-amerikanischen Pragmatismus. Sie wurde also zunächst zum Verständnis individuellen Akteursverhaltens konzipiert und erst später auf andere Kontexte übertragen, um bspw. das Verhalten kollektiver Akteure (Staaten) zu untersuchen. Die Rollentheorie ist ein entsprechend heterogenes interdisziplinäres Projekt, das auch in der Außenpolitikanalyse mit unterschiedlichen analytischen Ansatzpunkten und methodischen Zugängen angewendet wurde. WissenschaftlerInnen, die die Rollentheorie für empirische Analysen genutzt haben, haben in ihren Studien in unterschiedlichem Maße die pragmatistischen Ursprünge aufgegriffen.

Im Folgenden werden die (meta)theoretischen Annahmen der Studie offengelegt. Das Kapitel orientiert sich dabei an vier Wegmarken: Zunächst werden die Annahmen expliziert, die die Arbeit mit den »klassischen« PragmatistInnen teilt. In diesem Kontext wird der wissenschaftstheoretische Ausgangspunkt der Untersuchung dargelegt. Denn, auch wenn nicht alle SozialwissenschaftlerInnen PhilosophInnen sein müssen, eine Sensibilität für die eigenen epistemologischen und ontologischen Grundannahmen ist für das Design einer kohärenten Studie – konkret die Wahl und Passung von Theorie und Methode – unerlässlich (Della Porta und Keating, 2008, S. 20). Ferner enthält jede wissenschaftliche Untersuchung metatheoretische Annahmen, die für deren Einschätzung maßgeblich sind. Eine transparente Reflexion des eigenen Standpunkts ist daher geboten:

»[...] one can bracket metatheoretical inquiry, but this does not free one’s work, theoretical or otherwise, of metatheoretical assumptions. All work has underlying epistemological and ontological assumptions, and these establish the intellectual parameters of our inquiries, determining what we think the social and political universe comprises and what counts as valid knowledge of that universe. Second, our metatheoretical assumptions, however subliminal they might be, affect the kinds of practically relevant knowledge we can produce.« (Reus-Smit, 2013, S. 590)

In einem zweiten Schritt wird die Rollentheorie in ihrer Anwendung zur Außenpolitikanalyse vorgestellt. Wesentlicher analytischer Bezugspunkt der Untersuchung ist dabei die symbolisch interaktionistische Spielart der Rollentheorie, die maßgeblich von George Herbert Mead entwickelt wurde. Durch sie werden die pragmatistischen Grundlagen weiter expliziert und auf den Untersuchungsgegenstand bezogen. In diesem Kontext geht es sodann um die Integration innenpolitischer Einflüsse in die Rollentheorie. Indem die Studie das Rollenspiel auf internationaler Ebene durch ein domestisches Pendant ergänzt, entwickelt sie, in Anlehnung an bestehende Konzepte wie role contestation (Cantir und Kaarbo, 2012, 2016a) und das Two-Level Game (Putnam, 1988), einen systematischen, rollentheoretischen Zugang zur Analyse des Verhältnisses von Innen- und Außenpolitik. Im vierten Schritt werden abschließend die theoretischen Implikationen des Untersuchungsgegenstandes reflektiert. Hier wird dargelegt, inwiefern Technik (das Internet) Politik beeinflusst und wie das Verhältnis zwischen den handelnden AkteurInnen und technischen Infrastrukturen beschaffen ist. Konkret gilt es die Frage zu klären, ob es in der Cybersicherheitspolitik Handlungspraktiken (Rollen) gibt, die bereits durch die technischen Bedingungen vorgegeben sind (technischer Determinismus) oder ob AkteurInnen Technik frei formen (sozialer Determinismus)?

2.1Wissenschaftstheoretische Grundannahmen: Pragmatismus und Rollentheorie

Die Wurzeln der Rollentheorie liegen im philosophischen Pragmatismus wie er wesentlich von William James, John Dewey und Charles Sanders Peirce geprägt wurde.1 Mit ihnen teilt die Arbeit wesentliche wissenschaftstheoretische Grundannahmen. Zunächst ist aber darauf hinzuweisen, dass der Pragmatismus kein kohärentes Theoriegebäude ist, vielmehr gibt es auch hier unterschiedliche Positionen. Daher gibt es auch Debatten darüber, was unter dem Begriff Pragmatismus subsumiert werden sollte (Baert, 2009; Gould und Onuf, 2009; Margolis, 2006). Dennoch gibt es Kernannahmen, die die pragmatistischen Positionen verbinden. Wesentlicher Referenzpunkt der Denkschule ist – wie der Name bereits vermuten lässt2 – die Praxis menschlichen Handelns. So konstatiert Gunther Hellmann: »Ausgangspunkt allen pragmatistischen Denkens ist der Primat der Praxis, die Verankerung allen menschlichen Handelns in konkreten Situationen« (Hellmann, 2010, S. 150). Es ist daher nicht verwunderlich, dass die Rollentheorie mit einem aufkommenden »practice turn« in den IB wachsende Aufmerksamkeit erfahren hat (Bueger und Gadinger, 2015, S. 449).

Prinzipiell kann die Rollentheorie als eine sozialkonstruktivistische Theorie verstanden werden. Gould und Onuf konstatieren sogar »[...] some constructivists are beginning to realize they have been pragmatists all along« (Gould und Onuf, 2009, S. 27). Es bestehen aber auch Unterschiede zu etablierten sozialkonstruktivistischen Ansätzen, etwa mit Blick auf die Entstehung von Wissen und Realität:

»Practice theories argue against individualistic-interest and norm-based actor models. They situate knowledge in practice rather than ›mental frames‹ or ›discourse‹. Practice approaches focus on how groups perform their practical activities in world politics to renew and reproduce social order. They therefore overcome familiar dualisms — agents and structures, subjects and objects, and ideational and material — that plague IR theory.« (Bueger und Gadinger, 2015, S. 449)

Der Pragmatismus entwirft eine eigene Perspektive auf epistemologische und ontologische Grundfragen, die auch für die vorliegende Studie bedeutsam sind. Um die Ansprüche (und Bewertungsmaßstäbe) der eigenen Arbeit zu klären, werden im Folgenden zunächst die zentralen Begriffe Wissen und Wahrheit näher betrachtet.

Die besondere Bedeutung der Praxis wird bereits bei der pragmatistischen Annäherung an den, für die Wissenschaft zentralen, Begriff der Wahrheit deutlich. Hervorzuheben ist zunächst die Ablehnung einer Korrespondenztheorie der Wahrheit, wie sie bspw. im philosophischen Realismus vertreten wird. Eine entscheidende Frage ist dabei: »Gibt es wirklich propositional strukturierte Dinge in der Welt, die unabhängig von unserem Denken und Sprechen sind? Oder ist Propositionalität nicht vielmehr ein spezifisches Merkmal unseres Denkens und Sprechens?« (P. Baumann, 2006, S. 159). PragmatistInnen stehen der Annahme, dass eine beobachterunabhängige Welt objektiv erschließbar ist, kritisch gegenüber, da diese stets unbeweisbar bleiben muss:

»For at the heart of the realist position is the thought that a belief could be the best it could be by way of accounting for the evidence and fulfilling our other aims in inquiry and yet it could still be false. It could still fail to get right the believer-independent world. So what is the nature of this link between empirical adequacy and the literal truth? What reason do we have for assuming that beliefs that are empirically adequate are beliefs that are likely to get right the believer-independent world?« (Misak, 2006, S. 404)

Der Pragmatismus behauptet nicht, dass es keine beobachter-unabhängige Welt gibt, aber sie kann nicht objektiv erschlossen werden bzw. der Nachweis, dass die Erschließung erfolgreich war, lässt sich unmöglich führen (Rorty, 2000, S. 185). Es ist daher auch nicht zielführend weiter über diese Option zu reflektieren. Zweifel an der Außenwelt (bzw. deren Erschließbarkeit) mündeten in der Philosophiegeschichte meist entweder in skeptizistischen oder idealistischen Positionen. Der Pragmatismus umschifft die metaphysischen Untiefen dieser Positionen, indem er auf soziale Praxis rekurriert. Auch PragmatistInnen beginnen mit einem Zweifel. Allerdings nicht mit dem alles hinterfragenden Zweifel der SkeptikerInnen, sondern mit den Zweifeln, die Handelnden in konkreten Situationen begegnen. Peirce legt dar, warum aus pragmatistischer Sicht der radikale Zweifel der SkeptikerInnen weder angemessen noch zielführend ist:

»We cannot begin with complete doubt. We must begin with all the prejudices which we actually have when we enter upon the study of philosophy. These prejudices are not to be dispelled by a maxim, for they are things which it does not occur to us can be questioned. Hence this initial skepticism will be a mere self-deception, and not real doubt; and no one who follows the Cartesian method will ever be satisfied until he has formally recovered all those beliefs which in form he has given up. It is, therefore, as useless a preliminary as going to the North Pole would be in order to get to Constantinople by coming down regularly upon a meridian. A person may, it is true, in the course of his studies, find reason to doubt what he began by believing; but in that case he doubts because he has a positive reason for it, and not on account of the Cartesian maxim.« (Peirce, 1868, S. 140f.)

In Ermangelung unhintergehbarer Maßstäbe zur Ergründung der realen Welt, richten PragmatistInnen den Blick auf die soziale Praxis und die Erfahrungshorizonte handelnder AkteurInnen. Sie stellen dabei die cartesianische Formel »cogito ergo sum« auf den Kopf und argumentieren, dass Menschen in konkreten Situationen denken müssen um handlungsfähig zu sein (Hellmann, 2010, S. 150). Der pragmatistische Zugang verschmilzt dabei die Unterscheidung zwischen Erkenntnis- und Handlungstheorie (ebd., S. 152). Als Gegenentwurf rekurrieren sie auf den direkten empirischen Bezug in konkreten Handlungssituationen und die Erfahrungen der AkteurInnen.

»Dewey’s postulate of immediate empiricism holds that things are what they are experienced as, and if things are experienced differently, then no one account is real and the others unreal. What matters is ‘what sort of experience is denoted or indicated: a concrete and determinate experience, varying, when it varies, in specific real elements, and agreeing, when it agrees, in specific real elements, so that we have a contrast, not between a Reality, and various approximations to, or phenomenal representations of Reality, but between different realms of experience’.« (Cochran, 2002, S. 532)

Das bedeutet, dass Menschen nicht über Wahrheit im Sinne des Realismus verfügen, sondern dass sie für durch Erfahrungen bestätigte Überzeugungen temporär den Status des Für-Wahr-Haltens vergeben.3 Auch hierbei bleibt der Pragmatismus an sozialer Praxis orientiert. Peirce argumentiert, dass Menschen ausgehend von einem Zweifel in einer konkreten Situation nach einer Überzeugung (belief ) suchen, die diesen Zweifel ausräumt und dann Handeln ermöglicht.

Den Prozess zu einer gefestigten Überzeugung zu gelangen nennt Peirce Inquiry, was zumeist mit Forschungsprozess übersetzt wird, da PragmatistInnen diesen Prozess auch als idealtypisch für ein wissenschaftliches Vorgehen verstehen (Hellmann, 2010, S. 150). Die gewonnene Überzeugung wird solange handlungsleitend, wie sie sich in der Praxis als nützlich erweist. Daraus folgt die pragmatistische Maxime »belief is a rule for action« (Peirce, 1878, S. 291). Die Überzeugung ist aber kein dauerhaft fester Untergrund. Peirce greift zur Illustration auf das Bild eines Moores zurück, das an einigen Stellen tragfähig erscheint und das weitere Fortschreiten ermöglicht, an anderen Stellen ist es jedoch nicht belastbar und auch einstmals sicher geglaubte Pfade können wieder unbegehbar werden. Überzeugungen bleiben daher immer durch neue Erfahrungen reversibel. Herbert Blumer hat diesen Umstand mit Hinweis auf die praktische Widerständigkeit der Welt verdeutlicht. Er spricht davon, dass die empirische Welt Menschen gleichsam auf ihre Handlungen antwortet (»talk back«) (Blumer, 1986 [1969], S. 22). Wann immer hierbei bestehende Überzeugungen in konkreten Handlungssituationen substanziell herausgefordert werden, passen Menschen ihre Überzeugungen an. Aus pragmatistischer Perspektive gelten folglich die Überzeugungen als wahr, die sich langfristig im praktischen Gebrauch bewähren (Misak, 2006, S. 404).

Moderne PragmatistInnen (insbesondere Richard Rorty (1992) und Donald Davidson (2001; 2004)) haben vor diesem Hintergrund auf die Sprachabhängigkeit von Beobachtungen bzw. die Relativität von Weltbild und Überzeugungen hingewiesen. 4 Damit hängt es vom Weltbild der/des Beobachtenden ab, welche Beobachtungen zur Widerlegung oder Rechtfertigung bestimmter Annahmen und Aussagen akzeptiert werden. Veränderungen in den Weltbildern sind zwar möglich, kommen dann aber einer »Bekehrung« im Wittgensteinschen Sinne gleich (Hellmann, 2010, S. 155f.).5 PragmatistInnen gehen davon aus, dass Beobachtungen nicht nur theoriebeladen, sondern auch sprachabhängig sind. Das bedeutet, »dass Wissen (Wahrheit) nicht gefunden, sondern erfunden wird« (ebd., S. 154, Hervorhebung im Original, Anm. d. Verf.). PragmatistInnen stehen auch deshalb der im Wissenschaftlichen Realismus (bspw. von Alexander Wendt (1999)) vertretenen Grundannahme, dass auch immaterielle Entitäten real seien und zudem verlässlich von WissenschaftlerInnen erschlossen werden könnten, kritisch gegenüber. Der Pragmatismus kritisiert hierbei sowohl die Annahme, dass diese Phänomene im strengen Sinne real sind (ontologische Annahme) als auch die Position, dass diese von ForscherInnen sicher identifiziert werden könnten (epistemologische Annahme). Der Pragmatismus vertritt damit Zweifel am Wendtschen Konstruktivismus, die auch von anderen konstruktivistischen ForscherInnen formuliert wurden und die den Mittelweg zwischen positivistischen und post-positivistischen Perspektiven für problematisch halten. Ein wesentliches Spannungsverhältnis in Wendts Position erwächst aus der epistemologischen Annahme erhöhter wissenschaftlicher Rationalität (zur verlässlichen Erschließung der Welt) einerseits und sozialer Konstruktion bei den untersuchten AkteurInnen (Ontologie) andererseits. Dies sorgt zwar dafür, dass die Position an positivistische Wissenschaftsverständnisse anschlussfähig bleibt, in letzter Instanz ist sie aber nicht konsequent. Aus dieser Perspektive bleibt der von Wendt vertretene »Mittelweg« auf der Mitte des Weges stehen (Ulbert, 2014, S. 260f.).

In dem Moment, in dem der Pragmatismus die Suche nach Übereinstimmung mit der Realität aufgibt, verschiebt sich die Fragestellung bei der Suche nach Wahrheit maßgeblich: »We can say that the interesting question is not ›Knowledge or opinion? Objective or subjective?‹ but rather ›Useful vocabulary or relatively useless vocabulary?‹« (Rorty, 2000, S. 186). Dies führt zu wichtigen Implikationen mit Blick auf den Status von Theorien bzw. deren Bewertungsmaßstäbe und auf die wissenschaftliche Praxis im Allgemeinen. Aus einer Ablehnung der Korrespondenztheorie der Wahrheit folgt unmittelbar, dass Theorien bzw. die hieraus abgeleiteten Hypothesen nicht – wie vor einer Kontrastfolie – an der Realität geprüft und am Grad ihrer Entsprechung bemessen werden können. Aus pragmatistischer Perspektive bilden wissenschaftliche Theorien nicht Realität ab, sondern entfalten Nutzen im Umgang mit empirischen Phänomenen (Misak, 2006). Auf den ersten Blick könnten KritikerInnen nun zu dem Schluss gelangen, diese Position führe in einen Anything-Goes-Relativismus á la Paul Feyerabend.6 PragmatistInnen haben sich mit diesem Problem eingehend auseinandergesetzt und argumentiert, dass aufgrund der Sozialität und der Anforderung praktischer Nützlichkeit eben gerade nicht »alles geht«, aber gleichsam alles als fallibel gelten muss.7 Wenn es keine unhinterfragbaren Maßstäbe zur Bewertung wissenschaftlicher Erkenntnis gibt, kann das Ziel nur darin bestehen, die wissenschaftliche Gemeinschaft von der Nützlichkeit bzw. empirischen Angemessenheit der erzielten Ergebnisse zu überzeugen: »[...] there is no test for whether a belief accurately represents reality except justification of the belief in the terms provided by the relevant community« (Rorty, 2000, S. 185). Für die vorliegende Studie bedeutet das konkret, die WissenschaftlerInnen zu überzeugen, die in den IB häufig als »Interpretivist«8 bezeichnet werden. Da auch Wissenschaft ein soziales Unterfangen ist, ist die intersubjektive Einschätzung durch die wissenschaftliche Referenzgruppe entscheidender Gradmesser.9 Anerkennung durch die wissenschaftliche Peergruppe wird eine Untersuchung aber nur erhalten, wenn sie den in der Referenzgruppe geteilten Bewertungsmaßstäben entspricht. Das bedeutet, sie muss in diesem Fall mit einem logischen, transparenten und kohärenten Forschungsdesign zu plausiblen Erkenntnissen über die empirische Entwicklung der Cybersicherheitspolitiken beider Untersuchungsstaaten gelangen. Die pragmatistisch geprägte symbolisch interaktionistische Rollentheorie bildet dazu den analytischen Rahmen.

2.2Analytische Bezugspunkte: Die symbolisch interaktionistische Rollentheorie in der Außenpolitikforschung

In seinem Aufsatz National Role Conceptions in the Study of Foreign Policy nutzte Kalevi Holsti (1970) erstmals Rollen zur Analyse von Außenpolitik. Unter Rückgriff auf Regierungsdokumente von 71 Staaten, identifizierte er 17 verschiedene nationale Rollenkonzeptionen, die die Außenpolitiken erklären. In dieser Studie griff Holsti explizit Gedanken bereits erwähnter Pragmatisten (bspw. Dewey und Mead) auf und machte das Konzept der Rolle für die Analyse staatlichen Verhaltens nutzbar. In der Folge haben WissenschaftlerInnen immer wieder auf Rollen als analytische Konzepte zur Untersuchung staatlichen Verhaltens zurückgegriffen. Ohne einem methodologischen Individualismus das Wort zu reden, sei an dieser Stelle explizit darauf hingewiesen, dass der Pragmatismus zum Verständnis individuellen menschlichen Verhaltens angetreten ist. Die vorliegende Studie teilt die Überzeugung, dass letztlich nur Menschen Handlungsträgerschaft (Akteurschaft) zukommt. Wenn Individuen im Verbund agieren, wenn also von kollektiven Akteuren gesprochen wird, bezeichnet das aus pragmatistischer Perspektive eine Struktur kollektiven Handelns (Roos, 2010, S. 59). Daher ist es auch angemessen von Staaten bzw. sozial organisierten Gruppen als Rollenträgern zu sprechen (McCourt, 2014, S. 34-37). Damit wird auch der Kritik an der Rollentheorie begegnet, sie operiere mit einem unangemessenen menschlichen Analogieschluss (Harnisch, 2012a, S. 51).