Der Heidelberger Hybrid Threat Indicator (HTI) baut auf neuesten Methoden der empirischen Sozialforschung auf und wendet diese auf einen neuen kombinierten Ereignisdatensatz (siehe Daten →) an. Dieser bildet die Anwendung von den 33 hybriden Instrumente ab, die von Hybrid CoE identifiziert wurden. Auf Grundlage dieser Messpunkte werden anschließend Komplexität, Bindungsfähigkeit und Abstreitbarkeit als Dimensionen hybrider Bedrohungen (siehe Konzept →) vermessen.
Das Sequenznetzwerk
Um die Komplexität einer hybriden Bedrohungslage gegenüber einem bestimmten Staat zu ermitteln, nutzt der HTI eine eigens entwickelte Variante von Sequenz-Netzwerk-Analysen. In diesem Netzwerk werden die gemessenen Instrumente als Knoten dargestellt. Folgt die Anwendung zweier Instrumente aufeinander, werden sie mit einer Kante verbunden. In diesem Fall sprechen wir von einer Kombination.
Solche Kombinationen können sich durch den zeitlichen Abstand zwischen den beiden Instrumenten und durch die Häufigkeit, mit der genau diese Instrumente kombiniert werden, unterscheiden. Wir nutzen diese beiden Unterscheidungsmerkmale, um typisch eine Kombination ist. Je häufiger die Kombination und je kleiner der zeitliche Abstand, desto größer ist diese sogenannte Kantengewicht.
Da der HTI aufgrund seiner Datengrundlage einige Instrumententypen (v.a. Cybervorfälle) systemisch häufiger abbildet als andere, normalisieren wir das so entstandene Netzwerk anschließend entlang der Gesamthäufigkeit der einzelnen Instrumente (aber nicht der Kombinationen!).
Vom Sequenznetzwerk zur Komplexität
Wie können auf Grundlage dieser Sequenznetzwerke Rückschlüsse auf die hybride Bedrohungslage gezogen werden? Der HTI nimmt an, dass hybride Bedrohungen durch die Anwendung untypischer Instrumente in untypischen Kombinationen entstehen (siehe Konzept →). Entscheidend ist also, wie untypisch das gemessene Sequenznetzwerk für einen bestimmten Staat zu einem bestimmten Zeitpunkt ist.
Zunächst ermittelt der HTI ein typisches Sequenznetzwerk als Referenzwert. Die Grundlage für diesen sogenannten Referenzgraphen bilden alle 30 NATO-Mitgliedsstaaten sowie die Ukraine in den Jahren 2021 und 2022. Hierbei werden bestimmte Instrumentencluster (auch Interaktionsmuster oder Situationsrollen) identifiziert. Dazu verwenden wir den sogenannten Louvain-Algorithmus.
Anschließend wird der Referenzgraph mit den spezifischen Netzwerkgraphen für einen bestimmten Staat zu einem bestimmten Zeitpunkt abgeglichen. Die hybride Bedrohungslage wird also relativ zur „normalen“ Lage in Staaten, die NATO-Alliierte plus die Ukraine erleben gemessen.
Typischerweise sollten ähnliche Knoten in einem Netzwerk in den gleichen Clustern liegen. Dieses Phänomen wird auch als Assortativität bezeichnet. Je größer der Abstand der gemessenen Instrumente zu dem typischen Instrumentenclustern ist, desto kleiner die Assortativität, desto untypischer die gemessenen Instrumente und desto größer die Komplexität. Sie kann nach unserer Berechnung zwischen 0 (= keine Komplexität) und 2 (= volle Komplexität) liegen.
Der Ambiguitätscocktail
In den ermittelten Sequenznetzwerken lassen sich bestimmte Instrumentencluster identifizieren, die der HTI als bestimmte Situationsrollen interpretiert. Darin steckt die Annahme, dass bestimmte Interaktionsmuster aus bestimmten sozialen Konstellationen resultieren. Freunde interagieren anders als Rivalen und Rivalen anders als Feinde.
Im Referenznetzwerk konnten wir insgesamt zehn solcher Situationsrollen qualitativ identifizieren. Dazu gehören etwa Geopolitischer Rivale, Herausforderer, Teilnehmer an bewaffneten Konflikten, Mediator, unkooperativer Rivale oder Hegemon. Der Ambiguitätscocktail gibt an, wie stark diese situativen Rollen zu einem bestimmten Zeitpunkt relativ zueinander ausgeprägt sind.
Dazu ermittelt der HTI den Jaccard-Koeffizienten. Dieser gibt an, zu welchem Anteil zwischen 0 und 1 die gemessenen Instrumente aus einem bestimmten Interaktionsmuster entnommen sind.
Bindungsfähigkeit
Hybride Bedrohungen werden häufig durch den Aufbau von strategischen Abhängigkeitsverhältnissen, die Kosten bei dem angegriffenen Staat verursachen können, verstärkt. Der HTI spricht in diesen Fällen von Bindungsfähigkeit (siehe Konzept →).
In der Politikwissenschaft werden solche Abhängigkeitsverhältnisse auch als asymmetrische Interdependenz bezeichnet. Nach Keohane & Nye (1977) erzeugt diese Interdependenz Sensitivität und Vulnerabilität. Sensitivität beschreibt, wie schnell Änderungen in einem Land einem anderen Kosten auferlegen können und wie groß diese Kosteneffekte sind. Vulnerabilität beschreibt die relative Verfügbarkeit und die Kosten von Alternativen, die betroffenen Staaten zur Verfügung stehen.
Über diese beiden Parameter kann der HTI die Bindungsfähigkeit ermitteln. Die Sensitivität bemisst sich über das Handelsvolumen eines Staates über seine Grenzen hinweg, die Vulnerabilität aus der Summe dieser Sensitivitäten gegenüber allen Handelspartnern und der Ungleichverteilung dieser Sensitivitäten. Letztere werden über Gini-Koeffizienten ermittelt und anschließend multipliziert.
Das Maß für Ambiguität
Der HTI versteht die Ambiguität einer hybriden Bedrohung als Welle, die sich auf einen angegriffenen Staat zubewegt. Je größer die Komplexität, desto breiter die Welle und desto schwerer, ihren genauen Einschlagsvektor zu identifizieren. Je größer die Bindungsfähigkeit, desto größer die Welle und desto größer der mögliche Schaden, den die hybride Bedrohung auslösen könnte.
Entsprechend kann das Ausmaß der Ambiguität mit der Formel zur Berechnung einer Fläche ermittelt werden. Sie entspricht dem Produkt aus Komplexität und Bindungsfähigkeit.
Abstreitbarkeit
Die Abstreitbarkeit einer hybriden Attacke hängt von der Natur des hybriden Instruments selbst ab. Grundsätzlich ist es leichter, einem Staat die Verantwortung für einen Angriff mit konventionellen Mitteln zuzuschreiben, als etwa einen Cyberangriff. Die Chance auf eine Attribution, also Verantwortungszuschreibung, variiert also zwischen unterschiedlichen hybriden Instrumenten.
In einer prototypischen Messung ermitteln wir die Abstreitbarkeit anhand der im Rahmen eines hybriden Angriffs eingesetzten Cyberoperationen gegen einen Staat. Dazu ermitteln wir mit Hilfe einer logistischen Regression die Eigenschaften einer Cyberoperation, die die Chance auf eine Attribution erhöhen. Diese Methode könnte in Zukunft auch auf andere Instrumente ausgeweitet werden.