Globale Cyberdiplomatie : Cyberdiplomatie: Warum die Hanoi-Konvention kein Erfolg für Russland ist

Am kommenden Samstag werden die Vereinten Nationen die UN-Cybercrime-Konvention in Hanoi, Vietnam zur Unterschrift auslegen. Die Unterzeichnung durch möglichst viele Staaten ist ein wichtiger Meilenstein in der globalen Zusammenarbeit gegen Cyberkriminalität.

Die Hanoi-Konvention ist aus russischer Initiative hervorgegangen

Der Vertrag wird als „Hanoi-Konvention“ bekannt werden. Grund für den sperrigen offiziellen Titel – „United Nations Convention against Cybercrime; Strengthening International Cooperation for Combating Certain Crimes Committed by Means of Information and Communications Technology Systems and for the Sharing of Evidence in Electronic Form of Serious Crimes“ – ist ein Kompromiss, nachdem Russland die Verwendung des Begriffs „Cyberkriminalität“ strikt abgelehnt hatte.

Dabei ist Russland der Grund, warum die Generalversammlung der Vereinten Nationen im Dezember 2019 beschlossen hat, den Prozess einzuleiten, der zu diesem Vertrag geführt hat. Russland hatte die Resolution A/RES/74/247 eingebracht, mit der ein Ad-hoc-Komitee eingerichtet wurde, das für einen Entwurf einer Konvention beauftragt wurde. Für Russland ist die Hanoi-Konvention sein „Baby“.

Warum sollte ausgerechnet Russland, das als eine der Hauptquellen für Cyberkriminalität bekannt ist, ein internationales Abkommen gegen Cyberkriminalität fördern? Kann Russland mit dem aus diesem Prozess hervorgegangenen Vertragstext zufrieden zu sein? Wird Russland endlich gegen Cyberkriminalität vorgehen und sich an der internationalen Zusammenarbeit beteiligen? Wenn nicht, was plant Russland dann?

Russland: Staatliche Akteure führen seit Jahrzehnten Cyberoperationen durch

Russland ist seit Jahren die größte Quelle für Cyberkriminalität. Zu den frühen Beispielen für organisierte Cyberkriminalität gehört das sogenannte „Russian Business Network“, das sich bis 2007 zum größten Anbieter krimineller Infrastruktur in Russland entwickelt hatte und Aktivitäten wie Phishing, Identitätsdiebstahl, Verbreitung von Malware, Betrug, Kinderpornografie sowie Command-and-Control-Server für Botnets und Distributed-Denial-of-Service-Angriffe (DDoS) abdeckte. Ein weiteres bekanntes Beispiel ist die Internet Research Agency, auch bekannt als „Sankt Petersburger Trollfabrik“, die 2013 von Jewgeni Prigoschin, einem russischen Tycoon und Gründer der privaten Militärfirma Wagner, gegründet wurde (Tagesspiegel Background berichtete).

Die Liste kann endlos weitergeführt werden: Die Wellen von Cyberangriffen gegen Estland im Jahr 2007, die Angriffe gegen Georgien im Jahr 2008, die Störung des ukrainischen Stromnetzes im Jahr 2015, der NotPetya-Malware-Angriff von 2016, der auf die Ukraine abzielte, sich aber weltweit ausbreitete, die Ransomware-Angriffe von Evil Corp im Jahr 2019, der SolarWinds-Hack im Jahr 2020 und der Ransomware-Angriff auf Colonial Pipeline im Jahr 2021 sind weitere Beispiele.

Russland ist ein sicherer Hafen für Cyberkriminelle

Die Grenzen zwischen der russischen Regierung und kriminellen Gruppen sind fließend. Institutionen des russischen Regimes haben nicht nur eine symbiotische Beziehung zu Cyberkriminalitätsgruppen aufgebaut, sondern operieren selbst mit den Methoden krimineller Organisationen.

Dazu gehören staatliche Teams für Cyberoperationen bei den russischen Sicherheitsdiensten FSB, SVR und GRU. Gleichzeitig delegiert es Aktivitäten oder unterstützt gezielt kriminelle Cybercrime-Gruppen. Diese Art von Vereinbarung verschafft dem russischen Regime auch eine „glaubwürdige Abstreitbarkeit“ (plausible deniability), indem es Angriffe auf ausländische Ziele patriotischen Hackern zuschreibt.

Dadurch sind Aktivitäten russischer Institutionen und die krimineller Organisationen oft schwer voneinander zu unterscheiden. Diese Akteure bilden ein kriminelles Netzwerk unter der Leitung des russischen Regimes. Diejenigen, die den Interessen des Regimes nützen, operieren unter dem Schutz des Regimes (einem „Dach“ oder „Krysha“), gegen andere wird gegebenenfalls ermittelt.

Die russische Motivation hinter der UN-Konvention

Warum hat Russland trotzdem einen internationalen Vertrag gegen Cyberkriminalität nicht nur befürwortet, sondern aktiv vorangetrieben? Die kurze Antwort: Weil es die Fortführung der russischen Innenpolitik auf internationaler Ebene ist.

Schon in seinem ersten Monat als Präsident verabschiedete Putin eine nationale Sicherheitsstrategie, und wenige Monate später, im September 2000, unterzeichnete er die erste Fassung der „Doktrin zur Informationssicherheit der Russischen Föderation”. Angesichts seines Hintergrunds als Geheimdienstoffizier ist es nicht verwunderlich, dass für ihn nationale Sicherheit ohne Informationssicherheit nicht möglich ist. Die neue Doktrin befasste sich auch mit der Kontrolle der Informationen, denen die Bürger ausgesetzt sein konnten, und der „Verhinderung illegaler informativer und psychologischer Einflüsse auf das Massenbewusstsein der Gesellschaft“.

Im April 2010 setzte sich Russland auf dem Kongress der Vereinten Nationen für Verbrechensverhütung und Strafrechtspflege in Salvador de Bahía (Brasilien) nachdrücklich für einen UN-Vertrag über Cyberkriminalität ein. Obwohl dieser Versuch scheiterte, wurde als Kompromiss eine zwischenstaatliche Expertengruppe für Cyberkriminalität eingerichtet, um die Angelegenheit zu untersuchen. Diese IEG traf sich zwischen 2011 und 2021 sieben Mal, konnte jedoch keine Einigung über die Notwendigkeit und Durchführbarkeit eines UN-Vertrags über Cyberkriminalität erzielen. Aus diesem Grund wandte sich Russland 2018 und erneut 2019 direkt an die UN-Generalversammlung.

Im Mai 2017 organisierte Russland während einer Sitzung der UN-Kommission für Verbrechensverhütung und Strafrechtspflege (CCPCJ) in Wien ein Event, bei der es einen „Entwurf der Konvention der Vereinten Nationen über die Zusammenarbeit bei der Bekämpfung von Informationsdelikten“ vorstellte.

Im Oktober desselben Jahres übermittelte das russische Außenministerium dem Generalsekretär der Vereinten Nationen ein Schreiben, dem ein geänderter „Entwurf eines Übereinkommens der Vereinten Nationen über die Zusammenarbeit bei der Bekämpfung der Cyberkriminalität“ beigefügt war, zur Weiterleitung an die Generalversammlung der Vereinten Nationen.

Im Juli 2021 legte Russland dem Ad-hoc-Ausschuss eine neue Fassung des Entwurfs mit dem Titel „Übereinkommen der Vereinten Nationen über die Bekämpfung der Nutzung von Informations- und Kommunikationstechnologien für kriminelle Zwecke” zur Prüfung vor.

Im März 2023 legte Russland seine Vision für ein Übereinkommen der Vereinten Nationen zur Gewährleistung der internationalen Informationssicherheit einem anderen UN-Prozess vor, der Offenen Arbeitsgruppe der Vereinten Nationen für die Sicherheit von und bei der Nutzung von Informations- und Kommunikationstechnologien (OEWG). In Abschnitt II dieses Dokuments wurden die von Russland als „Hauptbedrohungen für die internationale Informationssicherheit“ angesehenen Gefahren aufgeführt.

Russland strebt nach Kontrolle des eigenen Informationsraums

Alle diese russischen Entwürfe und Vorschläge eint: Der Hauptantrieb war und ist die Förderung eines Systems der „internationalen Informationssicherheit“ nach russischem Vorbild. In diesem System üben die Regierungen die souveräne Kontrolle über den Informationsraum ihres Landes aus, schützen diesen Raum vor externen Einflüssen und stellen sicher, dass die Bürger nur mit Informationen konfrontiert werden, die sie für zuverlässig halten.

In der ersten Sitzung des Ad-hoc-Ausschusses (Anfang 2022 in New York) unterstrich der Vertreter Russlands die Kernprinzipien, die den künftigen Vertrag leiten sollten. Im Namen des russischen Außenministers Sergej Lawrow nannte er die Souveränität der Staaten, die Nichteinmischung in ihre inneren Angelegenheiten und den Schutz der Menschenrechte. Seine Erklärung erfolgte vier Tage, nachdem Russland seinen Angriffskrieg gegen die Ukraine begonnen hatte. Daher empfanden die meisten Teilnehmer der Sitzung diese Erklärung als äußerst zynisch.

Warum Russland die Budapest-Konvention nicht unterschrieben hat

Gleichzeitig lehnt Russland die Budapest-Konvention gegen Cyberkriminalität ab, die der Europarat (Council of Europe) im November 2001 zur Unterschrift ausgelegt hat – obwohl die russische Föderation als Mitglied des Europarats zwischen 1997 und 2001 an der Ausarbeitung des Übereinkommens mitgewirkt hat.

Mehr noch: Ab 2004 agitierte das russische Außenministerium aktiv gegen diesen Vertrag und verwies dabei auf Gefahren für die nationale Souveränität, die sich aus Artikel 32 über den grenzüberschreitenden Zugang zu Daten ergäben, einer Bestimmung, die zuvor auf einem Treffen der Justiz- und Innenminister der G8 im Oktober 1999 in Moskau vereinbart worden war. Der Platz reicht hier nicht aus, um die Argumente und Debatten der letzten 25 Jahre zu erläutern, aber kurz gesagt wurden die russischen Behauptungen zu Artikel 32 widerlegt.

Ursache für den Nichtbeitritt zur Budapest-Konvention war vielmehr, dass die Mehrheit der Staaten, die diesem Vertrag beigetreten waren, Russlands politische Vision von Informationskontrolle und „Cyber-Souveränität” nicht teilten – und Russland kein besonderes Interesse an wirksamen Mechanismen für die Zusammenarbeit bei der Bekämpfung der Cyberkriminalität hat. Stattdessen machte sich Russland daran, einen UN-Vertrag zu fördern, der sich nicht mit Cyberkriminalität befasste, sondern mit der Nutzung von Informations- und Kommunikationstechnologien für kriminelle Zwecke; ein Vertrag, der das „veraltete” Budapester Übereinkommen ersetzen sollte (Tagesspiegel Background berichtete).

Hat Russland seine Ziele erreicht?

Als die UN-Generalversammlung am 24. Dezember 2024 das Übereinkommen gegen Cyberkriminalität verabschiedete, hat Russland einerseits sein Ziel erreicht, dass sich die Vereinten Nationen zum ersten Mal auf einen rechtsverbindlichen Vertrag im Bereich „Informations- und Kommunikationstechnologie” einigen, der über die internationalen Fernmeldevorschriften hinausgeht.

Die „Hanoi-Konvention” ist jedoch nicht die Art von Vertrag zur Informationskontrolle, die Russland angestrebt hatte. Die zahlreichen Menschenrechts- und Rechtsstaatlichkeitsschutzklauseln, die in die Konvention aufgenommen wurden, schaffen einen Präzedenzfall für künftige Strafrechtsverträge der Vereinten Nationen. Russland schloss sich den erfolglosen Versuchen des Iran an, diese Garantien aus dem Text zu streichen. Die meisten anderen russischen Vorschläge für Text und Bestimmungen wurden ebenfalls abgelehnt.

Das Fundament der „Hanoi-Konvention” (Straftaten, Ermittlungsbefugnisse, internationale Zusammenarbeit bei Cyberkriminalität und elektronischen Beweismitteln) besteht aus Bestimmungen, die aus der Budapester Konvention über Cyberkriminalität übernommen wurden. Anstatt diese Konvention für überholt zu erklären, bekräftigt der UN-Vertrag somit ihre fortdauernde Relevanz. Gleichzeitig wurden die neuen Instrumente für die grenzüberschreitende Offenlegung elektronischer Beweismittel aus dem Zweiten Protokoll zum Budapester Übereinkommen nicht in das Hanoi-Übereinkommen aufgenommen. Angesichts der neuen Mechanismen des Zweiten Protokolls sowie der Aufmerksamkeit, die dem Budapester Übereinkommen während des UN-Vertragsprozesses zuteilwurde, stieg das Interesse an diesem Übereinkommen und die Zahl seiner Mitglieder seit 2022 erheblich an. Wenn Russland beabsichtigte, die Funktionsweise des Rahmens des Budapester Übereinkommens über Cyberkriminalität durch den UN-Vertragsprozess zu stören, ist dies nicht nur gescheitert, sondern hat sogar das Gegenteil bewirkt.

Die Vorstellung, dass Russland als Anführer eines Lagers autoritärer Länder die Richtung des UN-Vertragsprozesses bestimmen würde, hat sich ebenfalls nicht bewahrheitet. Das Ergebnis des Prozesses wurde weitgehend von einer Koalition demokratischer Länder bestimmt, die auf einem eng gefassten Strafrechtsvertrag bestanden hatten, der mit der Budapester Konvention und den für die internationale Zusammenarbeit notwendigen Menschenrechts- und Rechtsstaatlichkeitsgarantien im Einklang steht.

Kurz gesagt: Obwohl der UN-Vertrag gegen Cyberkriminalität nun dank Russland zustande gekommen ist und Russland die Verabschiedung des Übereinkommens von Hanoi wahrscheinlich als politischen Sieg verkaufen wird, ist es sicherlich nicht der Vertrag, den Russland sich gewünscht hat.

Was wird Russland mit der Hanoi-Konvention machen?

Das Spiel ist noch nicht vorbei. Im Jahr 2027 wird Russland eine weitere Gelegenheit haben, es erneut zu versuchen: Während des Vertragsprozesses bestand Russland darauf, eine lange Liste zusätzlicher Straftaten in die Konvention aufzunehmen („Anstiftung zu subversiven oder bewaffneten Aktivitäten“, „extremismusbezogene Straftaten“ usw.). Es musste ein Kompromiss gefunden werden, und so beschloss die UN-Generalversammlung, als sie den Vertrag im Dezember 2024 durch die Resolution 79/243 verabschiedete, auch die Aufnahme von Verhandlungen über „einen Entwurf eines Zusatzprotokolls zum Übereinkommen, das unter anderem zusätzliche Straftaten behandelt, soweit dies angemessen ist“. Zwei Jahre nach der Verabschiedung des Vertrags wird Russland erneut versuchen, internationale Unterstützung für seine Position zu gewinnen.

Trotz der zahlreichen Schutzvorkehrungen im Übereinkommen von Hanoi besteht die Gefahr des Missbrauchs. Das russische Regime könnte dieses Übereinkommen für die innerstaatliche und transnationale Unterdrückung von Dissidenten nutzen (wie es dies in der Vergangenheit mit anderen Verträgen getan hat). Es könnte auch Bestimmungen über Vermögensbeschlagnahme, Betrug, Geldwäsche, Unternehmenshaftung oder Beteiligung nutzen und versuchen, Vermögenswerte multinationaler Dienstleister ins Visier zu nehmen.

Der Zweck des Übereinkommens von Hanoi besteht darin, die internationale Zusammenarbeit bei Cyberkriminalität und elektronischen Beweismitteln zu stärken. Die Aussichten, dass Russland nach Inkrafttreten des Übereinkommens von Hanoi entschlossen gegen Cyberkriminalität im Inland vorgeht und sich in gutem Glauben an der internationalen Zusammenarbeit beteiligt, sind gering. Das russische Regime ist nicht dafür bekannt, seine internationalen Verpflichtungen einzuhalten.

In jedem Fall hätte Russland – als weltweit bedeutendste Quelle von Cyberkriminalität – nicht auf einen internationalen Vertrag warten müssen, um im Inland Maßnahmen zu ergreifen, um staatliche Institutionen und andere kriminelle Organisationen daran zu hindern, Cyberkriminalität zu begehen.

Zusammenfassend lässt sich sagen, dass das Übereinkommen von Hanoi für die Zusammenarbeit mit und zwischen Ländern, die noch nicht Teil des Übereinkommens von Budapest sind, von Nutzen sein wird. Auf die Cyberkriminalität in, von und durch Russland wird es jedoch kaum Auswirkungen haben. Russlands Vorstoß für einen UN-Vertrag war nie von der Absicht motiviert, entschlossen gegen Cyberkriminalität vorzugehen, sondern war und ist Teil einer umfassenderen Kampagne, um die Internet-Governance unter die Kontrolle souveräner Staaten zu bringen, Informationen zu kontrollieren und abweichende Meinungen zu unterdrücken sowie die internationale Unterstützung für die Positionen Russlands auszuweiten. Diese Kampagne wird fortgesetzt werden, aber wenn die Koalition der Länder rund um die Budapester Konvention zusammenhält und sich weiterhin engagiert, wird Russland sich nicht durchsetzen können. Und vielleicht könnte der Überwachungsmechanismus der Hanoi-Konvention (d.h. die Konferenz der Vertragsparteien) genutzt werden, um die Aktionen des russischen Regimes im Cyberspace bloßzustellen.

Alexander Seger ist unabhängiger Berater. Er hat mehr als 25 Jahre für den Europarat (Council of Europe) in den Bereichen Geldwäscheprävention und Cybercrime gearbeitet und unter anderem die Umsetzung der Budapest-Konvention maßgeblich vorangetrieben. Für den Europarat begleitete er jahrelang die UN-Verhandlungen um die Hanoi-Konvention.

Der Beitrag ist eine übersetzte und gekürzte Fassung einer Analyse für das Policy Journal „Just Security“ des Reiss Center on Law and Security an der New York University School of Law.