Cyberoperationen bedrohen den internationalen Frieden und die internationale Sicherheit, da sie zu Fehleinschätzungen und Konflikteskalation auf globaler Ebene führen können. Cybernormen können diese Risiken begrenzen. Diese sind „Standards für angemessenes Verhalten für die Nutzung von Informations- und Kommunikationstechnologien (IKT), die den Zielen der Aufrechterhaltung der internationalen Stabilität und Sicherheit widersprechen”. Sie stellen also gemeinsame Erwartungen über angemessenes staatliches Verhalten dar, bleiben aber freiwillig und unverbindlich. Dennoch erhöhen sie die Berechenbarkeit von auf Informations- und Kommunikationstechnik (IKT) bezogenen zwischenstaatlichen Beziehungen.
Folgen auf Worte auch wirklich Taten?
Cybernormen entwickeln sich in langen Aushandlungsprozessen. Staaten prägen Cybernormen aber auch durch ihr Handeln. Im Prinzip sollten jene Staaten, die an der Entwicklung robuster Cybernormen interessiert sind, diese dann auch umsetzen. Umso mehr gilt dies für Staaten wie Deutschland, die sich selbst als „normative Mächte“ verstehen. Sie schärfen ihr internationales Profil, indem sie eine aktive Rolle bei der Ausarbeitung internationaler Normen einnehmen. Dementsprechend steht ihre außenpolitische Glaubwürdigkeit auf dem Spiel, wenn sie sich dann nicht an die Regeln halten, die sie auf dem diplomatischen Parkett fördern.
Es ist häufig nicht leicht, zu überprüfen, ob Staaten Cybernormen auch tatsächlich einhalten. Einzelheiten zu ihrer Umsetzung bleiben etwa geheim, wenn sie Cyberoperationen betreffen, die häufig in die Zuständigkeit von Nachrichtendiensten fallen. Umso wichtiger ist daher ein Bereich, über den mehrere Staaten öffentlich sprechen: Die Einrichtung eines staatlichen Schwachstellenmanagements am Beispiel des Vulnerabilities Equities Process (VEP).
Die Cybernorm: Staatliches Schwachstellenmanagement wünschenswert
Im Zentrum eines staatlichen Schwachstellenmanagements stehen Schwachstellen, die bis dato unbekannt sind – sogenannte Zero-Days. Zero-Day Schwachstellen stellen wiederum die Grundlage für hochwertige Cyberoperationen dar, mit all ihren Risiken für die internationale Sicherheit. Deshalb ist entscheidend, wie Staaten mit Schwachstellen umgehen.
Wenn staatliche Stellen Zero-Day-Schwachstellen entdecken, steht die Regierung vor der Wahl, diese vorübergehend für sich zu behalten oder sofort an den Hersteller oder Anbieter weiterzugeben, die dann einen Patch oder eine Mitigationsmaßnahme, zum Beispiel Informationen über die temporäre Deaktivierung einer spezifischen Funktion per Gruppenrichtlinie, bereitstellen können.
Häufig sind sich verschiedene staatliche Stellen allerdings uneinig, welche Option gewählt werden soll: Nachrichtendienste, Strafverfolgungsbehörden oder militärischen Stellen, können – je nach nationaler Gesetzeslage – die Schwachstellen für Cyberoperationen nutzen, wozu die Schwachstelle vorerst offen bleiben müsste. Andererseits werden die für die Cybersicherheit, den Schutz der Industrie, digitaler Rechte und den Verbraucherschutz zuständigen Stellen – in Deutschland vor allem das Bundesamt für Sicherheit in der Informationstechnik (BSI) - dafür plädieren, sie dem Anbieter oder Hersteller sofort zu melden.
Im in den USA eingeführten VEP wägen alle beteiligten Regierungsstellen ihre jeweiligen Interessen bezüglich der Zero-Day-Schwachstelle ab. Dazu gehören die Wahrscheinlichkeit, dass andere die Schwachstelle entdecken, der Schaden, den die Schwachstelle der US-Industrie und -Bevölkerung zufügen könnte, wenn sie von einem gegnerischen Akteur entdeckt wird, und der mögliche Nutzen für die nationale Sicherheit. Ein VEP löst also den Interessenkonflikt nicht, sondern bietet eine Struktur, um die Interessen aller Beteiligten zu berücksichtigen.
Der Bericht der United Nations Group of Governmental Experts (GGE) aus dem Jahr 2015 – bis heute eines der wichtigsten Cybernormen-Dokumente – enthält eine Norm, dass „die Staaten die verantwortungsvolle Meldung von IKT-Schwachstellen fördern und entsprechende Informationen über verfügbare Abhilfemaßnahmen für solche Schwachstellen weitergeben sollten, um potenzielle Bedrohungen für IKT und IKT-abhängige Infrastrukturen zu begrenzen und möglicherweise zu beseitigen".
Während diese Formulierung vage bleibt, stellt der Folgebericht 2021 klar, dass „[a]uf nationaler [...] Ebene die Staaten die Einführung objektiver rechtliche Regelungen, Strategien und Programme in Erwägung ziehen könnten, um die Entscheidungsfindung im Umgang mit IKT-Schwachstellen zu lenken und ihre kommerzielle Verbreitung als Mittel einzuschränken, zum Schutz vor jeglichem Missbrauch, der eine Gefahr für den internationalen Frieden und die internationale Sicherheit oder die Menschenrechte und Grundfreiheiten darstellen könnte." Die beiden GGE-Berichte formulieren also die Cybernorm, dass es wünschenswert wäre, wenn Staaten ein Schwachstellenmanagement einrichteten.
Das deutsche Bekenntnis zu Cybernormen in der Praxis
In beiden GGE-Gruppen hat ein deutscher Regierungsvertreter den Konsensbericht mitausgehandelt. Jedoch hat Deutschland selbst noch kein Schwachstellenmanagement implementiert. Die Regierung diskutiert das Thema seit mehreren Jahren, eine von der Regierung unabhängige interdisziplinäre Expert:innengruppe hat einen konkreten Umsetzungs-Vorschlag formuliert, und Bundestagsabgeordnete haben wiederholt die Einrichtung eines solchen Prozesses gefordert. Dennoch hat die Regierung ihre Pläne bisher nicht umgesetzt. Dies ist umso bemerkenswerter, als die vorherige deutsche Bundesregierung das IT-Sicherheitsgesetz 2.0 verabschiedet hat, in dem die Pflichten der Behörden in Bezug auf Schwachstellen spezifiziert werden, aber kein Schwachstellenmanagement entwickelt wird.
Auch wurde das Thema in der Cybersicherheitsstrategie für Deutschland 2021 erwähnt, die das Ziel eines „verantwortungsvollen Umgangs mit Zero-Day-Schwachstellen und Exploits" formuliert und explizit festlegt, dass das Ministerium dazu einen „verbindlichen Prozess" einrichtet. Allerdings werden keine Umsetzungsvorschläge gemacht. Der Koalitionsvertrag der neuen Bundesregierung thematisiert zwar den Umgang mit Schwachstellen, macht aber keine Angaben zur Einrichtung eines Schwachstellenmanagements.
Warum Deutschland die Cybernormen auch umsetzen sollte
Um seine Glaubwürdigkeit in zukünftigen Cybernormendebatten zu behalten, sollte Deutschland die Cybernormen, die es in diplomatischen Foren unterstützt, auch national umsetzen. Ein erster Schritt wäre eine Strategie für die Cyberdiplomatie, die derzeit vom Auswärtigen Amt vorbereitet wird. Die Strategie sollte berücksichtigen, dass die internationalen Herausforderungen der Cybersicherheitspolitik nicht von Deutschland allein gelöst werden können, sondern internationale Zusammenarbeit erfordern. Dafür muss sich Deutschland international als verlässlicher und glaubwürdiger Partner beweisen, der auf Worte auch Taten folgen lässt.
Bei dem Text handelt es sich um eine gekürzte Form eines Beitrags von Alexandra Paulus, der am 15. März im Israel Public Policy Institute veröffentlicht wurde. Alexandra Paulus ist Fellow für Internationale Cybersicherheitspolitik bei der Stiftung Neue Verantwortung.