Cybersicherheit

Joseph S. Nye Jr., Professor in Harvard und Verfasser von „Macht im 21. Jahrhundert“ stellt sich die Frage wie die Entwicklung neuer Normen sich gestalten wird? Aus dem Englischen von Helga Klinger-Groier. Copyright: Project Syndicate, 2018. www.project-syndicate.org

Letzten Monat forderte UNO-Generalsekretär António Guterres weltweite Maßnahmen, um die Gefahren für Zivilisten im Zusammenhang mit elektronischer Kampfführung zu verringern. Guterres beklagte, dass es „für diese Art der Kriegsführung keinen Regulierungsrahmen gibt“ und merkte an, dass nicht klar sei „wie die Genfer Konvention oder das humanitäre Völkerrecht darauf anzuwenden ist“.

Vor einem Jahrzehnt war der Cybersicherheit ein international wenig beachtetes Thema. Seit 2013 allerdings wird sie als die größte Bedrohung beschrieben, mit der die Vereinigten Staaten konfrontiert sind. Obwohl über die genauen Zahlen diskutiert werden kann, zeigt der so genannte „Cyber Operations Tracker“ des Council on Foreign Relations, wo die Anzahl der Cyberangriffe dokumentiert wird, seit 2005 beinahe 200 staatlich unterstützte Angriffe durch 16 Länder an, wovon 20 im Jahr 2016 stattfanden.

Der Begriff Cybersicherheit bezieht sich auf ein breites Spektrum an Problemen, die für die überschaubare Gruppe an Forschern und Programmierern, die in den 1970er- und 1980er-Jahren das Internet entwickelten, keine große Rolle spielten. Im Jahr 1996 nutzten lediglich 36 Millionen Menschen oder etwa 1 Prozent der Weltbevölkerung das Internet. Anfang 2017 allerdings waren bereits 3,7 Milliarden oder fast die Hälfte der Weltbevölkerung online.
Da die Zahl der Nutzer nach den späten 1990er-Jahren sprunghaft anstieg, wurde das Internet zu einer bedeutenden Grundlage für wirtschaftliche, soziale und politische Interaktion.

Zunehmende Interdependenz und wachsende wirtschaftliche Chancen brachten allerdings auch Anfälligkeit und Unsicherheit mit sich. Einige Experten rechnen damit, dass die Zahl der Internet-Anschlüsse aufgrund von Big Data, maschinellem Lernen und dem „Internet der Dinge“ bis 2035 auf beinahe eine Billion steigen könnte. Die Zahl der potenziellen Angriffsziele sowohl für private als auch für staatliche Akteure wird ebenfalls dramatisch zunehmen und industrielle Kontrollsysteme ebenso umfassen wie Herzschrittmacher und selbstfahrende Autos.

Menschliche Gewohnheiten

Zahlreiche Beobachter fordern Gesetze und Normen, um dieses neue Umfeld sicher zu gestalten. Doch die Entwicklung derartiger Standards für den virtuellen Raum steht vor einer Reihe schwer zu nehmender Hürden. Das Moore’sche Gesetz, wonach sich die Rechenleistung alle zwei Jahre verdoppelt, bedeutet zwar, dass die Zeit im virtuellen Raum rasch voranschreitet, doch menschliche Gewohnheiten, Normen und staatliche Praktiken ändern sich langsamer.

Da das Internet ein transnationales Netzwerk ist, das wiederum aus Netzwerken besteht, von denen sich die meisten in privater Hand befinden, spielen nichtstaatliche Akteure eine wichtige Rolle. Cyber-Instrumente sind zweifach einsetzbar (militärisch und auf ziviler Basis), sie arbeiten rasch, sind billig und vielfach leicht zu leugnen, Verifikation und Zuordnung sind schwierig und die Zugangshürden niedrig.

Obwohl das Internet eine transnationale Struktur darstellt, unterliegen seine Infrastruktur (und die Menschen) den unterschiedlichen Gerichtsbarkeiten souveräner Staaten. Und große Länder verfolgen unterschiedliche Ziele. Russland und China betonen die Bedeutung staatlicher Kontrolle, während viele Demokratien auf ein offeneres Internet drängen.
Dennoch ist die Beschreibung des „www“ als „Wild-West-Web“ übertrieben. Es bestehen durchaus einige Normen im Cyberspace. Im Atomzeitalter brauchten die Staaten etwa zwei Jahrzehnte, bis die ersten Abkommen über Zusammenarbeit zur Konfliktbegrenzung abgeschlossen wurden. Setzt man den Beginn des internationalen Problems der Cybersicherheit nicht in den frühen 1970er-Jahren an, sondern in der tatsächlichen Startphase des Internet in den späten 1990ern, ist die zwischenstaatliche Zusammenarbeit zur Begrenzung von Konflikten im virtuellen Raum nun etwa bei dieser Zwei-Jahrzehnt-Marke angelangt.

Im Jahr 1998 schlug Russland erstmals einen UN-Vertrag für das Verbot von elektronischen Waffen und Informationswaffen (auch für Propagandazwecke) vor. Gemeinsam mit China und anderen Mitgliedern der Schanghaier Organisation für Zusammenarbeit drängt man weiterhin auf einen breitgefassten Vertrag auf UNO-Grundlage. Die USA hingegen betrachten einen derartigen Vertrag weiterhin als nicht überprüfbar.

Stattdessen rief der UNO-Generalsekretär eine staatliche Expertenrunde (UNGGE) ins Leben, die im Jahr 2004 erstmals zusammentraf und im Juli 2015 einen Normenkatalog präsentierte, der später von den G20 unterstützt wurde. Expertengruppen sind im UNO-Getriebe nicht unüblich, aber es kommt nur selten vor, dass es deren Arbeit aus den Hinterzimmern der Organisation bis zum Gipfeltreffen der 20 mächtigsten Staaten der Erde schafft. Die UNGGE hatte zwar außerordentlichen Erfolg, aber man konnte sich im Jahr 2017 nicht auf den nächsten Bericht einigen.

In welche Richtung bewegt sich die Welt nun derzeit? Normen können von den unterschiedlichsten Politikunternehmern vorgeschlagen und entwickelt werden. So hat beispielsweise die neue nichtstaatliche globale Kommission für die Stabilität des Cyberspace unter dem Vorsitz der früheren estnischen Außenministerin Marina Kaljurand dazu aufgerufen, das öffentliche Herzstück des Internets zu schützen (dazu zählen per Definition Routing, das System der Domain-Namen, Vertrauenszertifikate und kritische Infrastruktur).

Schutz des öffentlichen Kerns des Internets

Unterdessen hat die chinesische Regierung über ihre Wuzhen World Internet Conference mit Unterstützung der Schanghaier Organisation für Zusammenarbeit Grundsätze zur Anerkennung des Rechts souveräner Staaten auf Kontrolle der Online-Inhalte auf deren Staatsgebiet herausgebracht. Das muss allerdings nicht im Widerspruch zur Forderung nach dem Schutz des öffentlichen Kerns des Internets stehen, da diese sich nicht auf den Inhalt, sondern auf die Konnektivität bezieht.

Zu den anderen Normunternehmern gehört Microsoft, das eine neue Genfer Konvention für das Internet fordert. Gleichermaßen bedeutend ist die Entwicklung von Normen im Hinblick auf Privatsphäre und Sicherheit sowie Verschlüsselung, Backdoor-Programme und die Beseitigung von Kinderpornografie, Hassreden, Desinformation und terroristische Bedrohungen.

Nun, da man die nächsten Schritte in der Entwicklung von Normen im virtuellen Raum unternimmt, könnte die Antwort darin bestehen, Institutionen wie UNGGE keine zu große Last dabei aufzubürden. Für den Fortschritt sind möglicherweise gleichzeitige Aktivitäten in mehreren Bereichen erforderlich. In manchen Fällen kann die Entwicklung von Grundsätzen und Praktiken unter gleichgesinnten Staaten zu Normen führen, die andere erst später übernehmen. So haben beispielsweise China und die USA eine bilaterale Vereinbarung geschlossen, die Cyber-Spionage zu kommerziellen Zwecken einschränkt. In anderen Fällen, wie etwa im Bereich der Sicherheitsnormen für das Internet der Dinge, könnten der Privatsektor, Versicherungsunternehmen und gemeinnützige Interessensgruppen an führender Stelle bei der Entwicklung eines Verhaltenskodex mitwirken.

Fest steht, dass die Entwicklung von Normen für die Cybersicherheit ein langer Prozess sein wird. Der Fortschritt in einem Bereich muss nicht auf Fortschritte in anderen Bereichen warten.