Bereits Mitte der 1990er Jahre begann man innerhalb der Vereinten Nationen über die Notwendigkeit zu sprechen, das Verhalten von Staaten im Cyberspace zu regeln. Die ersten Versuche, eine sinnvolle Debatte über die staatliche Nutzung von Cyberkapazitäten zu führen, scheiterten. Doch nach den eindrücklichen Cyberangriffen auf Estland (2007) und Georgien (2008) kam im Jahr 2009 die UN-Gruppe der Regierungsexperten zusammen, um zu erörtern, wie der Cyberspace sicherer und stabiler gestaltet werden kann. Seitdem wurden mehrere Arbeitsgruppen bei den Vereinten Nationen gebildet, um Normen, Regeln und Grundsätze für das Verhalten von Staaten im Cyberspace zu entwickeln.
Dual Use: Das Internet ist gleichzeitig ziviler Kommunikationsraum und Schlachtfeld
Die größte Schwierigkeit bei der
Vereinbarung von Verhaltensregeln ergibt sich aus dem doppelten
Charakter des Cyber- und Informationsraums. Der größte Teil der zugrunde
liegenden Technologie wird vom privaten Sektor geschaffen und befindet sich in
dessen Besitz. Der Cyberspace ist ein vom Menschen geschaffener Bereich, der
aus einem komplexen Ökosystem von Software, Hardware und
Kommunikationsinfrastruktur besteht.
Unsere Gesellschaften hängen von wichtigen Diensten und digitalen Netzen ab, die von privaten Unternehmen betrieben werden. Aufgrund des inhärenten doppelten Verwendungszwecks (dual-use) dieser Technologie gibt es keine Möglichkeit, eine traditionelle Kontrolle zu etablieren, wie es etwa bei konventionellen Waffen und nuklearer Abrüstung möglich war. Man kann alle Panzer und Atomsprengköpfe zählen, aber niemand kann alle Laptops und PCs zählen, um zu prüfen, ob sie bösartige Codes enthalten. Wenn wir also die Spielregeln für das Cyberzeitalter festlegen wollen, besteht die Lösung nicht darin, die Technologie oder die Geräte zu kontrollieren, sondern das Verhalten der Staaten.
Warum die Cybernormen ein Bekanntheitsproblem haben
In den aufeinanderfolgenden Verhandlungen und Konsensberichten der UN-Cyber-Arbeitsgruppen im Zeitraum 2009-2021 wurden elf politisch verbindliche Cybernormen festgelegt, zu deren Einhaltung sich die Staaten verpflichtet haben. Sie versprachen auch, vertrauensbildende Maßnahmen zu ergreifen und sich an das bestehende Völkerrecht zu halten, das das Verhalten der Staaten im Cyberspace regelt. Die meisten dieser Verhandlungen fanden in einem eng begrenzten diplomatischen Rahmen statt und sind in der breiten Öffentlichkeit nicht allzu bekannt. Oft sind die Cybernormen nicht einmal den Fachleuten für Cybersicherheit bekannt, die damit beschäftigt sind, Abwehrtechnologien zu installieren, böswillige Eindringlinge zu erkennen und die digitale Infrastruktur vor Angreifern zu schützen.
Ein breiteres Bewusstsein wäre allerdings nützlich. Die UN-Konsensberichte über Cybernormen enthalten einige sehr gute Regeln und Grundsätze, die allen Cyberverteidigern – sowohl in der Regierung als auch im privaten Sektor – helfen. Ganz wichtig ist, dass sich eine ganze Reihe von Normen auf den Schutz Kritischer Infrastrukturen konzentriert. Die Staaten haben sich verpflichtet, Cyberangriffe auf Kritische zivile Infrastrukturen zu unterlassen, und sie sind verpflichtet, sich im Falle schädlicher Cyberangriffe gegenseitig zu unterstützen.
Die Staaten haben sich auch verpflichtet, die Computer-Notfallteams (CERTs) nicht anzugreifen oder sie für böswillige Operationen zu instrumentalisieren. Um das Problem nichtstaatlicher Akteure, die feindliche Cyberoperationen durchführen, anzugehen, gibt es eine Norm, die besagt, dass Staaten nicht wissentlich zulassen dürfen, dass ihr Hoheitsgebiet für international unrechtmäßige Handlungen im Cyberspace genutzt wird. Außerdem wird von den Staaten erwartet, dass sie sich gegenseitig unterstützen, wenn sie von schweren Cyberangriffen auf kritische Netze betroffen sind, und dass sie angemessene Maßnahmen zum Schutz ihrer Kritischen Infrastrukturen ergreifen.
Humanitäres Völkerrecht für den Cyberraum
Zusätzlich zu den Normen haben sich die Staaten darauf geeinigt, das Völkerrecht im Cyberspace einzuhalten, das bereits die Richtschnur für das Verhalten der Staaten in allen anderen Bereichen vorgibt. Alle Verpflichtungen, die das humanitäre Völkerrecht den Staaten auferlegt, sollten auch im Cyberspace gelten – die Staaten sollten etwa keine zivilen Objekte ohne militärischen Wert angreifen, den Schaden an nichtmilitärischen Objekten während eines Krieges begrenzen und die Zivilbevölkerung schützen.
Die Staaten erkennen auch an, dass die UN-Charta gilt, die das Recht auf Selbstverteidigung im Falle eines schweren Cyberangriffs vorsieht. Einige Staaten sind sogar so weit gegangen, dass sie Schwellenwerte festgelegt haben, die eine militärische Reaktion auf Cyberangriffe auslösen würden, zum Beispiel bei der Störung ziviler Kernkraftwerke mit Cybermethoden. Die Staaten orientieren sich auch am Völkergewohnheitsrecht und haben das Recht, verhältnismäßige Gegenmaßnahmen zu ergreifen, wenn sie Ziel schwerwiegender Cyberaktivitäten sind.
Als wichtiger Bestandteil der Verkehrsregeln haben sich die Staaten zudem auf vertrauensbildende Maßnahmen geeinigt, die die Zusammenarbeit, die Transparenz und die Vorhersehbarkeit des Verhaltens der Staaten erhöhen, die Stabilität fördern und dazu beitragen, das Risiko von Missverständnissen, Eskalation und Konflikten zu verringern. Ein Beispiel für vertrauensbildende Maßnahmen ist das Netz von Kontaktstellen auf technischer und politischer Ebene. Es wäre auch wichtig, zwischenstaatliche Verfahren zu schaffen, um eine wirksame Kommunikation zwischen den Kontaktstellen in Krisenzeiten zu gewährleisten. Die Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) hat bereits seit 2013 vertrauensbildende Maßnahmen im Cyberbereich eingeführt, aber nicht alle Regionen der Welt haben dies getan.
Kapazitätsaufbau als gemeinschaftliche Aufgabe
Auf Antrag technologisch weniger fortgeschrittener Länder haben die Vereinten Nationen in ihren Debatten auch viel Wert auf den Aufbau von Cyberkapazitäten gelegt. Denn viele Länder benötigen Unterstützung, um ihre digitale Entwicklung zu sichern, und es wäre von entscheidender Bedeutung, dass alle Beteiligten, einschließlich der Regierungen, des Privatsektors, der Wissenschaft und der Zivilgesellschaft dazu beitragen, die technologische Widerstandsfähigkeit auch in weniger fortgeschrittenen Ländern zu stärken.
Viele dieser nützlichen Vereinbarungen wurden bereits im Jahr 2021 getroffen und von allen Mitgliedsländern der Vereinten Nationen angenommen. Leider war die Umsetzung dieser wirksamen Leitlinien bisher nicht allzu beeindruckend. Kürzlich wurde bei den Vereinten Nationen ein neuer Vorschlag eingebracht, der die Einrichtung eines Aktionsprogramms zur Förderung verantwortungsvollen staatlichen Handelns im Cyberspace vorsieht. Die von Frankreich und Ägypten mitverfasste Initiative wurde zusammen mit allen Mitgliedstaaten der Europäischen Union und einigen anderen Verbündeten eingebracht. Überraschenderweise erhielt sie bei den Vereinten Nationen 157 Stimmen, was die höchste Anzahl von Unterstützern ist, die ein Cybervorschlag bisher erhalten hat. Dies zeigt deutlich, dass die internationale Gemeinschaft zu konkreteren Maßnahmen bereit ist, um die globale Cyberresilienz zu stärken.