Ende Juli haben sich Cyberdiplomatinnen und -Diplomaten in New York zu einer weiteren Arbeitsgruppe für Cybersicherheitspolitik versammelt. Diesmal diskutierten sie über einen umfassenden Fortschrittsbericht, der von unermüdlichen Expertinnen und Experten erstellt wurde und viele gute Ideen und Bestrebungen enthält, um die Diskussion über die globale Cyberstabilität und -diplomatie voranzubringen.
Viele Beobachtende stellen fest, dass der aktuelle Bericht nicht viel Neues bietet und weitgehend Passagen aus früheren Konsensberichten zitiert, die im Rahmen des UN-Abrüstungsausschusses von der „Gruppe der Regierungsexperten zur Förderung verantwortungsvollen staatlichen Handelns im Cyberspace" (UNGGE) und der „Offenen Arbeitsgruppe für die Sicherheit von und bei der Nutzung von Informations- und Kommunikationstechnologien" (OEWG) im Kontext der internationalen Sicherheit im Jahr 2021 erstellt wurden.
Vielleicht erreichte die globale Cyberdiplomatie im Jahr 2021 ihren Höhepunkt, wenn in langen und ermüdenden virtuellen Sitzungen nahezu exzellente Konsensberichte vereinbart werden. Die Cyberdiskussionen während der globalen Pandemie haben vielleicht zu dem besten Ergebnis geführt, das in der gegenwärtigen, dramatisch veränderten geopolitischen Atmosphäre nicht leicht zu wiederholen ist – was die Bemühungen der pflichtbewussten Diplomatinnen und Diplomaten in den kommenden Jahren sehr komplex machen dürfte.
Als natürliche Optimistin, die viele Jahre damit verbracht hat, die Cybersicherheitspolitik der Nato und der Europäischen Union während meiner früheren Laufbahn in Brüssel aufzubauen, finde ich es schwierig, jetzt einen Silberstreif am Horizont für die UN-Cyber-Diskussionen zu sehen. Erstens bin ich der festen Überzeugung, dass wir in den beiden parallelen Arbeitsgruppen des Ersten Ausschusses der Vereinten Nationen für den Zeitraum 2019-2021 das beste Ergebnis für globale Diskussionen über Cyberfragen erzielt haben: UNGGE und OEWG. Was wir jetzt bräuchten, sind konkrete Umsetzungsmaßnahmen und praktische Bemühungen, um diese vereinbarten Verpflichtungen weiterzuverfolgen, und es ist schwer vorstellbar, welchen zusätzlichen Nutzen eine weitere UN-Diskussionsrunde in den Jahren 2021-25 bringen kann.
Zunehmende Polarisierung
Zweitens hat Russlands Angriffskrieg gegen die Ukraine die Weltgemeinschaft polarisiert und dazu geführt, dass die Diskussionen auf UN-Ebene politisch aufgeladener sind als in den Vorjahren. Russland, das mit der schwankenden Unterstützung seiner üblichen Klientelstaaten und der geringen Popularität in der Welt konfrontiert ist, könnte noch irrationaler und unkooperativer handeln als sonst.
Drittens können Diskussionen unter Diplomatinnen und Diplomaten in New York zwar hilfreich sein, wenn es darum geht, sich zu normativem Verhalten und zur Anwendung des Völkerrechts im Cyberspace zu verpflichten. Doch die eigentliche Arbeit zur Cybersicherheit sollte vor Ort in allen Ländern stattfinden.
Diplomatinnen und Diplomaten können eine Rolle dabei spielen, die Aufmerksamkeit auf viele Cybersicherheitsthemen zu lenken, aber die eigentliche operative Reaktion auf Vorfälle, der Aufbau von Widerstandsfähigkeit und die Entwicklung von Kapazitäten zum Schutz kritischer Netzwerke sollte in allen 193 UN-Mitgliedstaaten stattfinden, nicht nur in den langen Korridoren des UN-Gebäudes in New York.
Hilfe zur Selbsthilfe
Ein erheblicher Teil der UN-Mitgliedsstaaten besteht aus kleinen oder mittelgroßen Schwellen- oder Entwicklungsländern, die den Weg in die Digitalisierung eingeschlagen haben und nun mit Cyberrisiken konfrontiert sind. Sie sind weniger an langen philosophischen Debatten darüber interessiert, wie internationale Normen im Cyberspace gelten oder ob es verbindliche oder nicht verbindliche Vereinbarungen über Cyberbedrohungen geben sollte. Stattdessen würden sie Ideen zu schätzen wissen, wie die internationale Gemeinschaft dazu beitragen kann, die von ihnen benötigte Widerstandsfähigkeit und Reaktionsfähigkeit im Cyberspace aufzubauen.
Einige der letztgenannten Bedenken werden teilweise in der neuesten, von Frankreich und Ägypten vorgeschlagenen UN-Cyber-Initiative, dem Aktionsprogramm („Programme of Action“, kurz POA), aufgegriffen, das im vergangenen Jahr von der UN-Generalversammlung mit 157 Stimmen unterstützt wurde. Obwohl diese Initiative bereits seit einigen Jahren besteht, konnte sie keine konkreten Angaben zu ihrer weiteren Entwicklung machen. Auch spezifische Aktivitäten oder wie sie auf die Bedenken der UN-Mitglieder eingehen wird, die sich nach einer erhöhten Cyberkapazität sehnen, stehen aus.
Während Diplomatinnen und Diplomaten aus aller Welt die weite Reise nach New York antreten, stellt sich auch die Frage, ob und welche Art von Mechanismus die Uno in Zukunft als regelmäßigen institutionellen Dialog für Cyberfragen einrichten sollte. Wäre dies eine weitere OEWG oder vielleicht das PoA? Die Entwicklungsländer befürchten, zwei parallele Prozesse im Rahmen des UN-Abrüstungsausschusses zu haben, da sie nur über begrenzte Ressourcen verfügen, um auch nur eine UN-Gruppe zu Cyberfragen zu besetzen.
Positive Ergebnisse
Positiv zu vermerken ist, dass es relativ gute Nachrichten aus dem Dritten Ausschuss der Vereinten Nationen gibt, in dem das neue globale Übereinkommen zur Cyberkriminalität seit mehreren Jahren diskutiert wird. Überraschenderweise ist das Ergebnis ein gar nicht so schlechter Text, wie die europäischen Hauptstädte befürchtet hatten, als dieser ebenfalls von Russland initiierte UN-Prozess begann. Die globale Konvention zur Cyberkriminalität lehnt sich an die Budapester Konvention oder das Übereinkommen des Europarats über Cyberkriminalität an, das Schutzmaßnahmen für die Menschenrechte und die Privatsphäre vorsieht.
In dieser Phase der Ernüchterung in den UN-Cyber-Debatten haben die europäischen Nationen die einmalige Gelegenheit, ihre Cyberresilienz zu stärken. Dafür müssen sie von der kollektiven westlichen Reaktion auf die Cyberoperationen in der Ukraine lernen und die Zusammenarbeit zwischen gleichgesinnten demokratischen Nationen verbessern.
Zeit zum Lernen
Die öffentlich-private Reaktion auf Cyberoperationen sowie die Lehren aus der Bekämpfung von Cyberereignissen, die auf militärische Fortschritte abzielen, bieten die Möglichkeit, aus der Planung, Taktik und Ausführung des Gegners zu lernen. Jetzt ist es an der Zeit, das Regelwerk für die Reaktion auf Cyber- und hybride Angriffe auch von europäischer Seite zu aktualisieren und gegebenenfalls neue Denkweisen oder neuartige Reaktionstaktiken aufzunehmen. Eine enge Koordinierung zwischen Diplomatie, Verteidigung, Nachrichtendiensten und anderen nationalen Stellen ist unerlässlich, um angemessen auf bösartige Cyberangriffe reagieren zu können.
Speziell für Deutschland bietet diese neue Cyberrealität eine einzigartige Gelegenheit, die in der neuen Nationalen Sicherheitsstrategie skizzierten Leitlinien für eine effizientere Cybersicherheit mit Leben zu erfüllen. Aber es ist auch eine große Chance für alle westlichen Demokratien, von den Lehren der Ukraine zu lernen und sie in ihre Cyberverteidigungspläne zu integrieren. Denn ob wir es wollen oder nicht, die Bedrohungen in diesem Bereich werden im Zeitalter von Künstlicher Intelligenz und Quantencomputing voraussichtlich zunehmen.
Heli Tiirmaa-Klaar, Direktorin des Digital Society Institute (DSI) an der ESMT Berlin und ehemalige Leiterin der Abteilung für Cyberdiplomatie im estnischen Außenministerium