2021 wird von einigen als das Jahr bezeichnet, indem das „Internet brannte“. Die Log4Shell-Schwachstelle offenbarte eine schwerwiegende Verwundbarkeit des digitalen Ökosystems. Es war einer von vielen Vorfällen, die das deutlich machten.
Es waren demnach nicht nur Staaten, die zur wachsenden Unsicherheit des Cyberspaces beitrugen, sondern auch nicht-staatliche Akteure wie Cyberkriminelle oder „Cyber-Söldner“, wie die NSO-Group, die die sogenannte Spyware „Pegasus“ entwickelte und vertrieb. Während Pegasus in der Vergangenheit eher in Staaten mit schwächerer Staatlichkeit beziehungsweise in Entwicklungsländern auftauchten und insbesondere bei Menschenrechtsverletzungen gegen zivilgesellschaftliche Akteure Schlagzeilen machte, ist der Einsatz der Software mittlerweile auch in demokratische Ländern wie in Frankreich oder Polen zu beobachten.
Zudem sind Cyberangriffe gegen Kritische Infrastrukturen heute Normalität. Angriffe gegen Lieferketten wie bei Solarwinds sind der neue Trend bei Cyberoperationen (Background berichtete). Einige Staaten dulden und unterstützen Kriminelle auf dem eigenen Territorium, sofern sich deren Aktivitäten gegen Drittstaaten richten. Menschenrechte und Privatsphäre sind bedroht wie nie, aller nichtverbindlichen Cybernormen zur Begrenzung all dieser Probleme zum Trotz.
Der Multilateralismus unter Druck
Einst basierte die Nachkriegsordnung mit den Säulen des Multilateralismus, des internationalen Rechts und der internationalen Organisationen auf der Idee, dass die immer engere globale Verflechtung allen Beteiligten große Chancen für mehr Wohlstand und Sicherheit bietet. Doch diese Wahrnehmung hat sich in den vergangenen Jahren fundamental verändert. Interdependenz ist nicht mehr nur Versprechen, sondern auch Bedrohung. Denn weltweite Netzwerke und Lieferketten im Finanz- und Handelssystem sind inzwischen stark asymmetrisch geprägt und werden von Staaten als Waffe gegenüber politischen Gegnern verwendet. So lässt sich generell ein Prozess der „weaponization of interdependence“ beobachten.
Auch der Technologiewettlauf im Bereich der Künstlichen Intelligenz droht das Sicherheitsdilemma des Nuklearzeitalters zu wiederholen: Wie einst würde die technologische Entwicklung aus einem Gefühl der Bedrohung heraus entwickelt werden. Zudem habe die KI-Technologie potenziell offensive – mitunter kriegerische – Kapazitäten und kann damit von anderen Parteien als Gefährdung der eigenen Sicherheit interpretiert werden, so dass diese Parteien dann ebenfalls offensiv einsetzbare Technologien entwickeln. Der Teufelskreis beginnt.
Allerdings scheinen die bekannten Rezepte des Nuklearzeitalters nicht zu greifen: Klassische Abschreckung durch Härtung oder Vergeltungsandrohung funktioniert im Cyberspace nicht wie gewohnt. Relative Anonymität durch das Problem der Attribution führt dazu, dass die meisten Cybervorfälle ungeahndet bleiben. Die Gefahren, die von Proxys, also nicht-staatlichen Akteure im staatlichen Auftrag, ausgehen, vermindern die Effektivität von vertrauens- und sicherheitsbildenden Maßnahmen stark. Die zentrale Lehre des Nuklearzeitalters, dass nur Abrüstung und vertrauensbildende Maßnahmen zu einer höheren Sicherheit führen, wurde erst sehr spät von den klassischen Außen-, Sicherheits- und Verteidigungspolitiker:innen ernsthaft verfolgt. Wir haben nicht ein Erkenntnisproblem, wir haben also eher ein Umsetzungsproblem.
Die internationale Staatengemeinschaft kommt nicht voran
Erst 1998 erkannte die Staatengemeinschaft, dass von neuen Internettechnologien destabilisierende Tendenzen und Sicherheitsrisiken ausgehen könnten. 2002 wurde eine sogenannte UN Governmental Group of Experts, bestehend aus einigen UN-Mitgliedstaaten ins Leben gerufen um gemeinsame Regeln für Staatenverhalten im Cyberspace zu entwickeln. Die Gruppe einigte sich, dass das bestehende Völkerrecht auch im Cyberspace gelte und das Rechtsprinzipien wie nationale Souveränität, Gewaltverbot, Menschenrechte, die Nichteinmischung in innere Angelegenheiten aber auch die Sorgfaltsverantwortung für schädliche Effekte, die vom eigenen Territorium ausgehen, gelten. Ein rechtsverbindlicher, internationaler Cyberspace-Vertrag wurde indes nicht verhandelt. Zu groß erscheinen die Differenzen zwischen westlichen Staaten mit ihren demokratischen Prinzipien der freien Meinungsäußerung und einem offenen, pluralistischen Internet und den autoritären Regimen mit ihrem Internet-Kontrollansatz, welches Zensur und die staatliche Kontrolle und Überwachung über die digitale Welt vorsieht.
Aufgrund dieser grundlegenden Differenzen der Internet-Governance fokussierten sich die UN GGE nicht auf einen großen Wurf, einen wie auch immer gearteten Internetvertrag, sondern eher kleinere Themen, in denen Kompromisse denkbar scheinen. Dazu gehörte die Entwicklung nicht rechtlich bindender Cybernormen, wie das Staaten etwa davon absehen sollten, gegenseitig kritische Infrastrukturen anzugreifen, die Privatsphäre und Menschenrechte online beachten oder sich Hilfestellung leisten sollen, wenn sie von Cyberangriffen betroffen sind. Zudem wurden in verschiedenen Regionalforen wie der OSZE oder der Shanghaier Organisation für Zusammenarbeit sogenannte vertrauensbildende Maßnahmen entwickelt. Dazu gehören zahlreiche bilaterale Dialogformate zur Klärung gegenseitiger Absichten und Interessen sowie neuerdings die Einrichtung gegenseitiger Kontaktpunkte für Notfallkonsultationen in Cyberkrisen zwischen Staaten (das berühmte „rote Telefon“).
Die UN GGE tagte 2021 zum letzten Mal. Die Arbeit wird von einer anderen Arbeitsgruppe fortgesetzt, die Open-Ended Working Group (OEWG), die auf Initiative Russlands und Chinas ins Leben gerufen wurde. Letztere ist zwar inklusiver, da sie nicht nur staatliche Akteure beinhaltet, aber dafür auch vager. Eine vertiefte Diskussion der Anwendung des rechtsverbindlichen Völkerrechts im Digitalen sowie die Entwicklung konkreter Mittel zu dessen Durchsetzung („Enforcement“) ist nicht zu erwarten. Stattdessen konzentriert man sich auch hier auf kleinste gemeinsame Nenner: Vertrauensbildende Maßnahmen in Krisenfällen sollen ausgebaut und besser operationalisiert werden. Zudem soll das Cyber-Capacity-Building vorangebracht werden, also Unterstützungsdienstleistungen für kleinere Staaten, denen das technische Knowhow fehlt. Statt eines großen Wurfs gibt es aber seit nunmehr 20 Jahren viele kleine Trippelschritte.
Wie Tech-Unternehmen Skaleneffekte nutzen können
Vielversprechend scheint, dass die westlichen Regierungen das Problem erkannt haben und in anderen Formaten gegensteuern. Initiativen wie die „Democratic Tech Alliance“ oder ein verstärkter Fokus auf Digitalthemen bei den G7 stehen für diesen alternativen Weg zwischen Multilateralismus und Multistakerholder-Approach. Hoffnungen auf ein globales Internet hängen davon ab, dass nichtstaatliche Akteure auch weiterhin eine wesentliche Steuerungsrolle innehaben. Schließlich gibt es keine Garantie dafür, dass die von Russland und China betriebenen Maßnahmen der verstärkten Internetzensur durch „Deep Packet Inspection“-Instrumente und das Verbot von VPNs nicht auch irgendwann von einzelnen, autoritären EU-Mitgliedstaaten imitiert werden könnten, wenn den Staaten kein starkes gesellschaftliches Korrektiv gegenübergestellt ist.
Darüber hinaus sind staatliche Maßnahmen der IT-Sicherheit nur begrenzt effektiv, denn sie sind auf die Partnerschaft mit Tech-Unternehmen angewiesen. Beispielsweise können diese durch Skaleneffekte IT-Sicherheit in die Breite bringen. Wenn Whatsapp etwa Ende-zu-Ende-Verschlüsselung als Voreinstellung ausrollt und auf einmal zwei Milliarden Nutzer:innen auf einmal verschlüsselt kommunizieren, hat das Breiteneffekte, die staatliche Maßnahmen so nie erreichen werden.
Google hat beispielsweise angekündigt, bei allen vier Milliarden Nutzerinnen und Nutzern Zwei-Faktor-Authentifizierung per Voreinstellung auszurollen, um Phishing zu erschweren. Microsoft will künftig Macros in der populären Office Suite zu beschränken. Damit würden sich zwei Angriffsvektoren schließen, die in zahlreichen Cyberangriffen ausgenutzt wurden. Diese Maßnahmen folgen einem erhöhten Druck der US-Regierung nach Einrichtung von Dialogformaten mit der Industrie zur Verbesserung von Cybersicherheit. Insofern ist es geboten, dass auch die westlichen Staaten das Thema ernster nehmen und die Machtressourcen nutzen, die ihnen im Digitalen zu Verfügung stehen: Tech-Unternehmen und ein Wissensvorsprung in weiten Teilen. Gefragt ist nur politischer Wille.
Annegret Bendiek ist stellvertretende Leiterin der Forschungsgruppe EU/Europa, Matthias Schulze stellvertretender Forschungsgruppenleiter für Sicherheitspolitik bei der Stiftung Wissenschaft und Politik.
In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Bendiek und Schulze erschienen: Digitales Säbelrasseln – Wie Europa reagieren kann
