Vereinte Nationen (UN) : Cyberdiplomatie bei den Vereinten Nationen: Was Deutschland jetzt tun sollte

In der zweiten Juli-Woche kamen Cyberdiplomat:innen aus aller Welt bei den Vereinten Nationen (VN) in New York zur letzten Sitzung der „Open-Ended Working Group“ (OEWG) zusammen. Sie trafen entscheidende Weichenstellungen für die Zukunft der Cybersicherheitsdiskussionen bei den VN.

Zunächst ist es heutzutage bereits eine gute Neuigkeit, dass sich die vertretenen Staaten überhaupt auf einen Abschlussbericht einigten. Vor allem aber verständigten sich die Staaten in diesem Bericht darauf, einen sogenannten „globalen Mechanismus“ für Cybersicherheit bei den VN einzurichten – also ein ähnliches Dialogforum wie die OEWG, aber ohne zeitliche Begrenzung.

Ein neuer permanenter VN-Cybersicherheitsdialog

Auch das ist eine gute Nachricht: Angesichts der vielfältigen Cybersicherheitsbedrohungen mangelt es an Foren für substanziellen, internationalen Austausch. Ein permanenter Mechanismus verhindert, dass wertvolle Besprechungszeit genutzt werden muss, um über die Modalitäten eines möglichen Nachfolge-Forums zu diskutieren. Außerdem wird verhindert, dass sich der VN-Cybersicherheitsdialog wieder – wie schon zwischen 2019 und 2021 der Fall – in zwei Foren spaltet. Auch wenn die Abschlussberichte beider Foren sich letztlich nicht widersprachen, haben viele Staaten schlicht nicht die Ressourcen, um zwei parallel laufende Prozesse zu verfolgen.

Doch auch bei der OEWG-Sitzung waren die aktuell international verhärteten Fronten spürbar. Symptomatisch dafür ist der offizielle Titel des globalen Mechanismus, der die Titel beider Resolutionen aus der Zeit der rivalisierenden Prozesse aufnimmt. Das ist zwar ein diplomatischer Kompromiss, aber den vollen Titel „Global Mechanism on developments in the field of [information and communication technologies/]ICTs in the context of international security and advancing responsible State behaviour in the use of ICTs” werden wohl nur ausgewählte Cyberdiplomatie-Feinschmecker:innen auswendig lernen.

Keine Stärkung des Völkerrechts

Gleichzeitig bietet der Abschlussbericht auch viel Anlass für Kritik, die sich auf drei Aspekte konzentriert: Schwache Verweise auf das Völkerrecht, zu wenig thematische Fokussierung und keine ausreichende Beteiligung nicht-staatlicher Akteur:innen.

Aus akademischer Sicht dient der Abschlussbericht dieser zweiten OEWG, wie vorherige VN-Cybersicherheits-Berichte, unter anderem der Bestätigung und Weiterentwicklung des Völkerrechts und politisch bindender Cybernormen. Dafür ist es wichtig, dass einmal formulierte Regelungen immer wieder bekräftigt werden. In dieser Hinsicht ist der Bericht eine Enttäuschung: Die Menschenrechte werden nur als ein möglicher Diskussionsgegenstand angeführt und zum humanitären Völkerrecht erwähnt der Bericht lediglich, dass Staaten das Thema besprachen. Ein Formulierungsvorschlag einer Gruppe von Staaten unterschiedlicher Weltregionen hatte hier deutlich substanziellere Sprache gefordert, die etwa einzelne Menschenrechte nennt oder die Sorgfaltspflichten von Staaten (due diligence) spezifiziert. Der schwache Verweis auf das Völkerrecht wiegt umso schwerer, als sich Russland durchgesetzt hat und der Bericht nun auf den langjährigen russischen Wunsch nach einer VN-Cybersicherheits-Konvention verweist.

Ähnliches gilt für Cybernormen. Staaten sollten diese abstrakten Formulierungen endlich in konkrete nationale Politik umsetzen – allerdings liegt das natürlich im Bereich der Innenpolitik, also außerhalb der Zuständigkeit eines VN-Forums. Trotzdem hatte eine Gruppe von Staaten unter der Führung von Kanada über Jahre eine Checkliste erarbeitet, die Staaten bei der Umsetzung der Cybernormen unterstützen soll. Westliche Staaten hatten angestrebt, dass die OEWG die Berücksichtigung dieser Checkliste in ihre Empfehlungen aufnimmt, stattdessen erwähnt der Bericht sie nur als Vorschlag einzelner Staaten.

Kein Durchbruch bei internationalem Fähigkeitsaufbau

Auch bei den zwei verbleibenden „Säulen“ des VN-Cybersicherheitsdialogs gibt es keine bahnbrechenden Neuigkeiten. Im Bereich internationaler Fähigkeitsaufbau nennt der Bericht zwei konkrete Projekte: Erstens soll eine Website aufgesetzt werden, die Informationen über den globalen Mechanismus und internationalen Fähigkeitsaufbau bündeln soll (Global ICT Security Cooperation and Capacity-Building Portal). Zweitens sollen Staaten im künftigen Mechanismus diskutieren, ob sie einen Fonds aufsetzen wollen zur Finanzierung von Maßnahmen für den internationalen Fähigkeitsaufbau. Allerdings ist fraglich, wie genau die Rolle der VN bei diesen Aktivitäten aussehen sollte und wie vermieden werden kann, dass bestehende Informationsportale und Mechanismen dupliziert werden – auch vor dem Hintergrund weltweit sinkender Mittel für solche Projekte.

Mit Blick auf vertrauensbildende Maßnahmen verweist der Bericht auf eine Liste aus acht Maßnahmen, doch die meisten sind schwammig und beziehen sich auf Aktivitäten, die wohl auch ohne eine Nennung in diesem Dokument stattfinden würden, wie etwa zwischenstaatlicher Dialog. Eine zusätzliche Maßnahme ist nur die Einrichtung eines Verzeichnisses von Kontaktpersonen, die bei Cybersicherheitsvorfällen ansprechbar sind. Doch auch diese Maßnahme dupliziert in gewisser Weise bestehende Netzwerke.

Kein Raum für thematische Fokussierung

Der zweite Kritikpunkt am Abschlussbericht bezieht sich auf die Struktur des künftigen globalen Mechanismus, der wenig thematisch fokussierte Diskussionen erlauben wird. In der OEWG gab es nur Plenarsitzungen, an denen meistens gut 100 Staaten oder mehr teilnahmen. Entsprechend waren die Redner:innen-Listen lang und die Staatenvertreter:innen lasen hauptsächlich vorbereitete Statements vor, die alle Punkte auf der Tagesordnung – Bedrohungslage, Völkerrecht, Normen, internationalen Fähigkeitsaufbau, vertrauensbildende Maßnahmen und Zukunft des VN-Cybersicherheitsdialogs – adressierten. Daher wurden Punkte häufig wiederholt und es gab wenig Raum für aufeinander bezogenen Austausch.

Der globale Mechanismus wird aus Plenarsitzungen bestehen, ähnlich wie die OEWG, und weiteren Arbeitsgruppen. Diese Arbeitsgruppen sollten ursprünglich auf einzelne Themen fokussiert sein, auch damit Staaten mit begrenzten Ressourcen nur an ausgewählten Gruppen teilnehmen können. Eine Arbeitsgruppe folgt dieser Logik weiterhin und soll internationalen Fähigkeitsaufbau thematisieren. Die andere trägt den Titel „besonderen Herausforderungen im Bereich Sicherheit von Informations- und Kommunikationstechnologien im Kontext internationaler Sicherheit“ und wird damit quasi ein zweites Plenum. Inhaltlich tiefe Diskussionen sind also auch dort nicht zu erwarten.

Wenig Mitsprache für nicht-staatliche Expert:innen

Welche Rolle nicht-staatliche Akteur:innen – also Wirtschaft, Wissenschaft und Zivilgesellschaft – beim VN-Cybersicherheitsdialog spielen sollten wird seit Jahren intensiv diskutiert, auch in anderen Themenbereichen. Wie in der OEWG können auch beim globalen Mechanismus wieder einzelne Staaten die Teilnahme von nicht-staatlichen Organisationen blockieren. In der Vergangenheit hat Russland von dieser Möglichkeit schon intensiv Gebrauch gemacht und etwa die Teilnahme von deutschen Thinktanks blockiert. Ein solches Vetorecht ist problematisch, weil die Expertise nicht-staatlicher Organisationen besonders im Cyberbereich eine große Bereicherung für die Diskussionen darstellt.

Im Vorfeld der Diskussionen hatten eine Gruppe westlicher Staaten und eine Gruppe nicht-staatlicher Organisationen und Expert:innen (darunter auch die Autorin) Änderungsvorschläge veröffentlicht, um eine substanzielle Beteiligung nicht-staatlicher Expert:innen zu erreichen. Unter den Vorschlägen waren neben dem Wegfall der Blockademöglichkeit auch ein Rederecht (nach Staaten) an jedem Sitzungstag, hybride Teilnahmemöglichkeiten und eine zügige Entscheidung über die Teilnahme. Doch nur der letzte Punkt schaffte es in den Abschlussbericht.

Trotzdem sind die Modalitäten für die Teilnahme nicht-staatlicher Expert:innen im globalen Mechanismus etwas besser als die der OEWG. So hat der oder die Vorsitzende des Mechanismus jetzt eine moderierende Rolle und kann im Fall eines Vetos den Dialog mit dem blockierenden Staat suchen und auf eine Lockerung der Blockade hinwirken. Sollte der Staat auf seinem Veto beharren, kann er dem oder der Vorsitzenden den Grund dafür mitteilen, woraufhin diese:r die Information an die anderen Mitgliedsstaaten weiterleitet, sodass die entsprechenden Organisationen den Grund ihrer Blockade erfahren können.

Der Weg zum globalen Mechanismus

Der Abschlussbericht der OEWG gibt also vor, wie der globale Mechanismus aussehen wird. Als der Staat, der den Vorsitzenden der bisherigen UN-Arbeitsgruppe gestellt hat, wird Singapur Ende des Jahres eine Resolution in die UN-Generalversammlung einbringen, die den Abschlussbericht der bisherigen Arbeitsgruppe enthält und vorschlägt, den globalen Mechanismus einzurichten. Diese Resolution wird vermutlich ohne Abstimmung, da es keine „Gegen-Resolution“ gibt, angenommen werden.

Daraufhin wird der Mechanismus im März 2026 mit einer konstituierenden Sitzung die Arbeit aufnehmen. Das Forum wird allen interessierten Staaten – und interessierten nicht-staatlichen Akteur:innen, die nicht von Staaten blockiert wurden – offenstehen. Anschließend tagen sowohl das Plenum als auch die Arbeitsgruppen jeweils eine Woche jährlich.

Spannend wird sein, welcher Staat den Vorsitz des Mechanismus in den ersten Jahren übernimmt. Kandidaten müssten sowohl für westliche Staaten als auch für Russland und China akzeptabel sein, über ausreichende Ressourcen im heimatlichen Außenministerium verfügen und idealerweise Expertise im Cyberbereich haben. Wie konstruktiv das Forum sein wird, wird auch vom Vorsitz abhängen.

Wie die deutsche Cyberdiplomatie den globalen Mechanismus auf Erfolgskurs bringen kann

Auch wenn die Ausgangsvoraussetzungen nicht ideal sind, stehen der deutschen Cyberdiplomatie doch Stellschrauben zur Verfügung, um den globalen VN-Cybersicherheitsmechanismus auf Erfolgskurs zu bringen. Die Diplomat:innen sollten dabei zwei Ziele im Blick haben: Inhaltliche Fokussierung und eine substanzielle Beteiligung nicht-staatlicher Expert:innen.

Eine stärkere inhaltliche Fokussierung der Debatten würde den VN-Cybersicherheitsdialog stärker auf aktuelle Cybersicherheitsprobleme ausrichten, an denen kein Mangel herrscht. Der sogenannte Pall Mall Process, der die Verbreitung kommerziell verfügbarer Spyware und anderer offensiver Cyberfähigkeiten begrenzen will, oder die Counter Ransomware Initiative zeigen den Mehrwert solch fokussierter Foren. Ein Thema, dessen sich der VN-Cybersicherheitsdialog annehmen könnte, ist beispielsweise Software-Lieferketten-Sicherheit.

Mehr inhaltliche Fokussierung auf einzelne Themen können die teilnehmenden Staaten auf mehreren Wegen erwirken: Wenn westliche Staaten dies rechtzeitig als eine Priorität identifizieren, kann die Arbeitsgruppe, die aktuell noch das Plenum zu duplizieren droht, darauf ausgerichtet werden. Außerdem können Staaten eine weitere, sogenannte „Ad-hoc“-Arbeitsgruppe einberufen, dafür ist die Zustimmung der Mehrheit der vertretenen Staaten bei einer Plenarsitzung ausreichend. Und schließlich können spätestens bei der ersten Überprüfungskonferenz nach vier Jahren neue Arbeitsgruppen aufgesetzt werden. Entscheidend wird also sein, dass sich die deutsche Diplomatie hier eng mit gleichgesinnten Staaten – gerade auch außerhalb Europas – verständigt.

Zudem sollte das Auswärtige Amt pragmatisch dafür sorgen, dass die Ideen von Wirtschaft, Wissenschaft und Zivilgesellschaft Eingang in den VN-Prozess finden. Auch hier sind die Arbeitsgruppen eine gute Möglichkeit, da offengelassen wurde, zu welchen Bedingungen nicht-staatliche Akteur:innen hier mitwirken können. Um dies möglichst weit auslegen zu können, sollten die EU-Mitgliedsstaaten und gleichgesinnte Nationen versuchen, den oder die Facilitator einer der Arbeitsgruppen zu stellen. Da der Vorsitz nicht aus Europa stammen wird, stehen die Chancen hierfür angesichts des VN-Prinzips der ausgewogenen geografischen Verteilung nicht schlecht.

Zudem kann das Auswärtige Amt durch Sponsoring ganz praktisch dafür sorgen, dass akkreditierte nicht-staatliche Akteur:innen an den Sitzungen teilnehmen können. Außerdem könnte das Außenministerium etwa vor den Sitzungen in New York Konsultationen mit nicht-staatlichen Organisationen durchführen. Nach den Sitzungen könnte das Auswärtige Amt dann den nicht-staatlichen Akteur:innen Bericht erstatten. In beide Formate sollte auch gerade die Wirtschaft eingebunden werden, die im bisherigen VN-Cybersicherheitsdialog stark unterrepräsentiert vertreten war. Durch solche pragmatischen Schritte könnten auch die Ideen von Organisationen, deren Teilnahme an den Sitzungen blockiert wurde oder die schlicht keine Ressourcen für eine Teilnahme haben, Eingang in den Prozess finden.

Insgesamt sind die Ausgangsbedingungen des globalen VN-Cybersicherheits-Mechanismus also nicht ideal. Doch wenn die deutschen Diplomat:innen, zusammen mit ihren gleichgesinnten Partner:innen, die vorgeschlagenen Schritte beherzigen, leisten sie einen großen Beitrag dazu, das Forum gewinnbringender zu gestalten – sodass bei der ersten Überprüfungskonferenz hoffentlich ein positiveres Fazit gezogen werden kann.

Alexandra Paulus ist Wissenschaftlerin der Forschungsgruppe Sicherheitspolitik der Stiftung Wissenschaft und Politik und Ko-Koordinierende Leiterin des Forschungscluster Cybersicherheit und Digitalpolitik. Davor war sie Projektleiterin Cybersicherheitspolitik und Resilienz bei der Stiftung Neue Verantwortung (heute Interface).