Friedenssicherung

Die Vereinten Nationen und „Cybernormen“ im digitalen Raum

Im Zeitalter der Digitalisierung werden Sicherheitsbedrohungen im Cyberraum zu einer der größten Herausforderungen des 21. Jahrhunderts. Angesichts folgenreicher Angriffe in den letzten Jahren und fehlender Regelwerke für das Verhalten von Staaten im Cyberraum, entstehen Chaos und Misstrauen, welche den Frieden im Netz gefährden. Schon länger wird von den Vereinten Nationen gefordert, internationale Normen und Verhaltensregeln für den Cyberraum zu entwickeln um schädliche Handlungen der Akteure im Netz einzudämmen. Was als vielversprechendes Projekt begann, scheint nun an den harten Interessenkonflikten der Mitgliedsstaaten zu scheitern.

Sicherheitsbedrohungen im digitalen Raum

Cyberattacken sind Teil des digitalen Raums und trafen auch in der Vergangenheit in regelmäßigen Abständen Regierungsserver, Unternehmen und private Nutzer. Die Liste der Akteure, die Sicherheitslücken im Netz ausnutzen ist dabei so vielseitig wie die Angriffe selbst. Cyberkriminelle haben es auf Profit abgesehen und agieren häufig mit Erpressungssoftware. Hacker und Hacktivists verfolgen oft andere Motive. Sie können Computersysteme unterwandern und durch das Lahmlegen ganzer Netzwerkinfrastrukturen und Webseiten durch sogenannte DDOS (Distributed Denial of Service) –Attacken Unternehmen und Organisationen unter Druck setzen.

Eine Erpressungssoftware fordert Geld um verschlüsselte Dateien freizugeben.

Die dritte Art von Bedrohung tritt zwar seltener auf, ist aber dafür verantwortlich, dass Cyberattacken für viele Regierungen zu einer Angelegenheit der nationalen Sicherheit geworden sind. Staatliche und staatlich gestützte Angriffe auf kritische Infrastrukturen und Informationssysteme anderer Nationen haben sich in den letzten Jahren gehäuft und gefährden den Frieden im Netz. Einer der weltweit schwerwiegendsten Cyberangriffe geschah im Mai 2017: die Erpressungssoftware „Wanna Cry“ befiel Computer in über 150 Ländern, forderte Lösegeldzahlungen, um infizierte Dateien zu entschlüsseln und legte unteranderem britische Krankenhäuser oder das russische Innenministerium lahm. IT-Sicherheitsforscher fanden Indizien, dass nordkoreanische Hacker hinter dem Angriff steckten. Letztes Jahr machten US-amerikanische Geheimdienste Russland für digitale Angriffe auf demokratische Parteifunktionäre in den USA verantwortlich und warfen dem Kreml Wahlbeeinflussung vor. 2012 orderte Barack Obama Angriffe auf iranische Computernetze an, die mit den nuklearen Anreicherungsanlagen des Landes verbunden waren. Auch Deutschland ist längst digitalen Bedrohungen ausgesetzt. So gelangten bei einem Hack auf den Bundestag im Sommer 2015 mehrere Gigabyte Daten in die Hände von den Angreifern. Vor kurzem bezifferte das Verteidigungsministerium die Zahl der Angriffe auf eigene Server auf 4500 pro Tag.

Was macht Cyberkonflikte so gefährlich?

Die Militarisierung des Internets legt nahe, dass sich Staaten für künftige Cyber-Konflikte rüsten. Allerdings sind Spuren im digitalen Raum leicht zu fälschen und schwierig nachzuweisen, was enorme Unsicherheit zwischen Staaten hervorruft. Dieser permanente Bedrohungszustand wird dadurch verschärft, dass es bis heute keine eindeutigen Verhaltensregeln im Netz gibt, auf die sich die Staatengemeinschaft einigen kann. Im Cyberraum ist die UN-Charta, das wesentliche rechtliche Instrument für die Regulierung von zwischenstaatlichen Konflikten und Gegenmaßnahmen, überaltert. Das Konzept der „territorialen Unversehrtheit“ oder Regelungen zur Selbstverteidigung erfassen nicht mehr die technischen Möglichkeiten der digitalen Kriegsführung. Alle diese Faktoren machen die schwelenden Konflikte im Cyberraum zu gefährlichen Zeitbomben und erhöhen die Wahrscheinlichkeit von Eskalation und zwischenstaatlichen Konflikten.

Ein Programm veranschaulicht Hackerangriffe weltweit.

„Cybernormen“ bei den Vereinten Nationen

Angesichts dieser Entwicklungen finden bei den Vereinten Nationen seit Jahren Diskussionen zum Thema Cybersicherheit statt, in der Hoffnung, das zwischenstaatliche Konfliktpotential zu begrenzen, Regelwerke für Handeln im Cyberraum zu schaffen und internationale Verträge zu aktualisieren. Es ist im sicherheitspolitischen und wirtschaftlichen Interesse aller Staaten, sich auf ein Mindestmaß an Cyberstabilität zu einigen, allerdings ist der Prozess von harten Interessenkonflikten und Machtfragen zwischen den Mitgliedsstaaten gekennzeichnet.

Bereits 1998 forderte die russische Delegation in einem Schreiben an den damaligen UN-Generalsekretär Kofi Annan einen Resolutionsentwurf zu einem internationalen Rechtsrahmen, der die Anwendung von Informationstechnologien im Kontext der internationalen Sicherheit regeln sollte. Der Vorschlag traf schon damals bei den USA, die Russland eine Schwächung der amerikanischen Cyberfähigkeiten vorwarfen, auf Skepsis und Misstrauen. Als die Generalversammlung 2005 in New York diesen Entwurf förmlich annahm, votierten die USA als einziger Mitgliedsstaat dagegen.

Ein Jahr zuvor entstand die Gruppe von Regierungssachverständigen für Entwicklungen auf dem Gebiet der Informationstechnik und Telekommunikation im Kontext  der  internationalen  Sicherheit (GGE). Diese Gruppe von Vertreterinnen und Vertretern der Mitgliedsstaaten wurde beauftragt, Normen- und Regelsetzungen für den Cyberraum voranzutreiben und Vertrauens- und sicherheitsbildende Maßnahmen zwischen Staaten im Bereich der Cybersicherheit zu entwickeln. 

Der erste Durchbruch der GGE gelang 2013, als sich die Gruppe darauf einigte, dass das Völkerrecht sowie die UN-Charta auch im Cyberraum Anwendung finden. Dass sich Staaten wie die USA, Russland und China auf diesen Bericht einigen konnten, wurde als wichtiger Schritt angesehen, fundamentale Streitpunkte zu staatlicher Souveränität im Netz beizulegen. Zwei Jahre später legte ein im Konsens entstandener Bericht vier freiwillige Normen für staatliches Handeln im Cyberraum vor, welche die Mitgliedsstaaten während Friedenszeiten befolgen sollten. So sollten Staaten keinen Einfluss auf gegenseitige kritische Infrastrukturen nehmen, keine Angriffe auf Notfall- oder Katastrophensysteme durchführen, sich gegenseitig bei der Aufklärung von Cyberangriffen unterstützen und für Handlungen, die auf ihrem Staatsgebiet durchgeführt werden, verantwortlich sein.

Internationale Kooperation und Absprachen sind bei dem Thema Cyber dringend notwendig.

Diese Normen klingen vielversprechend, wurden allerdings bisher nicht von der Generalversammlung angenommen und sind daher nicht rechtlich bindend. Angesichts der steigenden Sicherheitsbedrohungen im Netz ist es auch fraglich, ob diese Normen als sogenanntes „Soft Law“ überhaupt Beachtung finden können. Hinzu kommt nun, dass der GGE-Prozess von 2016/2017 gescheitert ist. Die Mitglieder der Runde konnten sich im Juni dieses Jahres nicht auf einen übereinstimmenden Bericht festlegen, wie Völkerrecht, humanitäres Völkerrecht sowie Selbstverteidigung und Gegenmaßnahmen im Cyberraum anzuwenden seien. Während Staaten wie die USA konkrete Maßnahmen und Stellungnahmen forderten, verwehrten sich andere Teilnehmer, darunter unteranderem China und Russland, feste Zusagen zu machen. Hierbei wurde deutlich, wie sehr sowohl das Verständnis von staatlicher Souveränität im Netz und die Nutzung des Internets selbst zwischen den Mitgliedsstaaten auseinanderklafft. Es ist deutlich, dass auch im digitalen Raum geopolitische Überlegungen, Misstrauen zwischen wichtigen Mitgliedsstaaten und ähnliche Interessenkonflikte, die zum Beispiel auch im UN-Sicherheitsrat allzu häufig zu Blockaden führen, es schwierig machen klare Verhaltensregeln zu bestimmen.

Wie geht es weiter?

Zunächst stellt sich die Frage, wie und ob die unterschiedlichen Interpretationen der Mitgliedsstaaten zu internationalem Recht im Cyberraum harmonisiert werden können. Bedauerlicherweise scheint es so, dass das Resultat des letzten GGE-Treffen vorerst dessen Ende bedeutet. Wenn das Konsens-Format derzeit keinen geeigneten Rahmen für die Entwicklung von Regelwerken und Normen im digitalen Raum darstellt, wie können diese dennoch entstehen? Die Entwicklung eines rechtlichen Systems ist dringend und könnte auf zwei unterschiedliche Weisen weiterverfolgt werden. Im Rahmen der Vereinten Nationen könnten Mitgliedsstaaten eine Koalition bilden, die sich auf Regelungen einigt, geschlossen handelt und nach dem Prinzip von „Naming and shaming“ Druck auf andere Staaten ausübt. Eine zweite Möglichkeit bieten andere internationale Organisationen oder Foren, wie zum Beispiel die Europäische Union oder die Organisation für Sicherheit und Zusammenarbeit in Europa. Hier besteht die Möglichkeit in kleineren Formaten Vertrauens- und sicherheitsbildende Maßnahmen zu schaffen und durch gemeinsame diplomatische Reaktionen auf Cyberangriffe eine Abschreckungswirkung zu erzielen. Fazit ist, dass die internationale Gemeinschaft kooperieren muss, um Missbrauch und die schädlichen Auswirkungen des digitalen Raums einzudämmen sowie rechtlich festgelegtes Verhalten zu verankern. Nur dieser Schritt kann die Unsicherheit zwischenstaatlicher Handlungen im Netz mindern und deeskalierend auf staatliche Akteure im Netz wirken.

Artikel von Felix Manig
Der Artikel spiegelt die persönliche Sichtweise des Autors wider.