Markt für Cybersicherheit : „Wir brauchen eine Genfer Konvention für Cyberwaffen“

Herr Burt, Microsoft ist sehr aktiv in der Beobachtung der russischen Strategie bei der Invasion der Ukraine. Anfang Mai veröffentlichten Sie die Untersuchung „Special Report: Ukraine – An overview of Russia’s cyberattack activity in Ukraine“, Ende Juni folgte „Defending Ukraine: Early Lessons from the Cyber War“. Was für eine Motivation steckt hinter diesen Berichten?

Im Mai haben wir über die Operationen berichtet, die zeigen, dass die Russen einen hybriden Krieg führen, indem sie sowohl Cyber- als auch kinetische Waffen als Teil ihrer Strategie in der Ukraine einsetzen. Die Frage ist nun, welche Lehren wir aus dem, was wir dort sehen, ziehen sollten. Das war einer der Beweggründe dafür, den zweiten Report zu veröffentlichen. Zum anderen ging es darum, über etwas zu sprechen, das wir beobachtet haben: Einen wichtigen strategischen Ansatz Russlands, der bisher nicht genug Aufmerksamkeit erfahren hat, aber den liberalen Demokratien Sorge bereiten sollte. Ich spreche von der gezielten Nutzung falscher Informationen und von Propaganda, um Stimmungen zu verändern und die Haltung des Westens zu beeinflussen. Wir können beobachten, dass die Anstrengungen in diesem Bereich effizienter und stärker werden. Worüber sollten also westliche Entscheidungsträger nachdenken? Wir haben diese Berichte vor allem für die politische Ebene geschrieben – Regierungen, Nichtregierungsorganisationen und Think Tanks.

Microsoft ist ein börsennotierter Konzern mit zahlenden Kund:innen – inwieweit profitieren diese von Ihren Erkenntnissen?

Natürlich geht es auch auf die Ebene unserer Kunden. Wir wollten mit dem Bericht zeigen, dass die Ukraine die Vorteile der Verlagerung von Arbeitslasten in die Cloud erkannt hat – und zwar ganz besonders die Sicherheitsvorteile. Da sprechen aber auch nicht nur wir drüber, sondern auch unsere Cloud-Konkurrenten. Wenn wir uns den Konflikt in der Ukraine anschauen, dann müssen wir verstehen: Wer kritische digitale Infrastruktur in der Cloud betreibt, ist als Staat sicherer – auch vor kinetischer Kriegsführung. Von ukrainischen Beamten wissen wir, dass eine der ersten Raketen ein Rechenzentrum getroffen hat. Es wurde ein Gesetz verabschiedet, das der Verwaltung den Wechsel in die Cloud ermöglichte, was vorher nicht möglich war. Präsident Selenskyj unterzeichnete das Gesetz etwa eine Woche nach Beginn des Konflikts. Dann haben wir und andere der Ukraine geholfen, ihre Prozesse und Daten dahin zu verlagern. Am Ende ist es so: Wer eine Burg baut, macht eben auch deutlich, dass die Burg das lohnendste Ziel ist.

Also ist der Bericht gute PR für Microsoft?

Sicher. Ich sage den Leuten gerne, dass ich den besten Job der Welt habe. Ich darf mit sehr klugen Leuten zusammenarbeiten, die innovative Arbeit leisten und zu verstehen versuchen, was kriminelle und nationalstaatliche Gegner tun, wie wir sie aufhalten und wie wir die Kunden vor ihnen schützen können. Diese Arbeit dient dem Schutz der Kunden und des Ökosystems. Ich muss damit keine Einnahmen erzielen. Wir verstehen uns als Teil des digitalen Ökosystems und haben damit eine Verantwortung, einen Beitrag zu diesen gesellschaftlichen Herausforderungen zu leisten, und zwar zusätzlich zu unserer Verantwortung, Einnahmen für unsere Aktionäre zu erwirtschaften. Trägt das dazu bei, das Vertrauen der Kunden in unsere Produkte und Dienstleistungen zu stärken? Hilft uns das, das Vertrauen der Regierungen zu stärken, die sehen, dass wir uns auf diese Weise beteiligen? Ich hoffe es.

Der letzte Bericht hat aber auch Kritik provoziert – einige Expert:innen kritisierten, dass weder die technischen Grundlagen, noch Beweise zur Untermauerung der getroffenen Aussagen enthalten waren. Außerdem entspräche der Bericht nicht den grundlegenden Standards der akademischen Forschung, an die sich auch die meisten Technologieunternehmen hielten.

Zunächst einmal hat das mit der Zielgruppe des Berichts zu tun. Er richtete sich nicht an akademische Sicherheitsforscher und auch nicht an Wettbewerber aus dem Cybersicherheitsmarkt, von denen einer der Kritiker war. Das Zielpublikum war die politische Ebene, die Ebene der CEOs, damit Organisationen, seien es gewinnorientierte Organisationen, gemeinnützige Organisationen oder Regierungsorganisationen, die wichtigsten Lehren aus unserer Arbeit ziehen können. Wir haben bereits technische Blogbeiträge über die verschiedene Malware veröffentlicht.

Unser Ukraine-Bericht aus dem Mai war stärker datengestützt und das meiste, was im Lessons-Learned-Bericht steht, basiert zum größten Teil auf diesem früheren Bericht. Wir erstellen also diese Art von Berichten für die Zielgruppe, die wir zu informieren versuchen. Aber in diesem Fall haben wir uns an ein anderes Publikum gewandt. Wir stehen zu jedem Aspekt dieses Berichts. Wir wissen genau, dass wir solide Daten haben, die ihn stützen. Aber es war keine akademische Forschungsarbeit.

Können Sie die Kritik denn nachvollziehen?

Ich verstehe den Standpunkt der Kritik und schätze die Kommentare derjenigen, die sich wünschen, dass wir einen anderen Bericht geschrieben hätten. Es ist immer gut, wenn in der Sicherheitsgemeinschaft darüber diskutiert wird, wie wir den Menschen das, was sie wissen müssen, am effektivsten vermitteln. Aber in diesem speziellen Fall war die Kritik fehlgeleitet, weil sie die Zielgruppe des Berichts nicht berücksichtigte. Zudem schauten die Kritiker nicht auf den Aspekt der Informationsbeeinflussung, der eine Reihe neuer und sehr interessanter Daten enthielt, die unser Data-Science-Team veröffentlicht hat, sowie unseren neuen russischen Propaganda-Index, der zum ersten Mal Teil des Berichts war. Rückblickend kann ich sagen, dass wir die richtige Zielgruppe erreicht haben. Wir haben Aufmerksamkeit erregt. Ich hatte die Gelegenheit, eine Reihe von Personen sowohl in Regierungsbehörden auf der ganzen Welt als auch in den Vereinigten Staaten und anderswo über den Bericht und die daraus gezogenen Lehren zu informieren. Das ist gerade bei dieser neuen Form der Kriegsführung wichtig.

Microsoft ist bislang vor allem in der IT-Sicherheit aufgetreten – nun kommt noch Desinformation dazu. Wie wollen Sie diesem Thema als Software- und Cloudkonzern begegnen?

Wir sind dabei, ein spezielles Team aus Analysten und Forschern zusammenzustellen, dass sich diesem Thema widmen wird. Zudem haben wir mit dem Start-up Miburo einen Experten für die Identifikation von und Reaktion auf Desinformationskampagnen übernommen. Es ist relativ klein, genießt aber bei wichtigen Kunden großes Vertrauen. Der Gründer und CEO, Clint Watts, wird das neue Digital Threat Analysis Center leiten. Dabei kombinieren wir diese Forschung mit den Erkenntnissen aus dem Cyberraum – denn wir wissen spätestens seit dem russischen Einmarsch in die Ukraine, dass Russland und andere Nationalstaaten Desinformation und Cyberangriffe kombinieren.

Wie soll diese Zusammenarbeit aussehen?

Bei der Zusammenarbeit unserer Bedrohungsaufklärungsteams haben wir gesehen, dass sie sich durch einen Informationsaustausch gegenseitig helfen können. Wir können dadurch besser nach ausländischen Aktivitäten suchen und diese identifizieren. Wichtig ist aber, dass wir uns als Unternehmen nicht darauf einlassen, zu bestimmen, was wahr oder nicht wahr ist. Das ist nicht unsere Aufgabe. Aber wir glauben, dass es unsere Aufgabe ist, zu erkennen, wer hinter solchen Bemühungen steht und welches strategische Ziel dabei erreicht werden soll. So können Regierungen dann besser Gegenmaßnahmen ergreifen, wie sie es schon bei den staatlichen Cyberakteuren tun. Also indem beispielsweise ihre Aktivitäten gestört oder von ihnen genutzten Ressourcen beschlagnahmt wurden. Am Ende kann so auch nach Wegen gesucht werden, wie Einflussoperationen gestört werden können, wenn wir sehen, dass ausländische Gegner versuchen, die öffentliche Meinung in Demokratien auf der ganzen Welt zu beeinflussen.

Das dient dann vor allem der Bereitstellung der Informationen für die Öffentlichkeit – oder kann das auch Microsoft-Kund:innen helfen?

Es wird Microsoft-Kunden auf die gleiche Weise zugutekommen wie die meisten Arbeiten meines Teams. Das Team besteht zum Beispiel aus einer Abteilung für digitale Verbrechen und einer für digitale Diplomatie. Letztere setzt sich für Regeln für das Verhalten von Nationalstaaten im Cyberspace ein.

Wir arbeiten also an einem breiten Spektrum von Themen, die keinen direkten Nutzen für die Kunden haben, aber ganz klar einen Nutzen für unsere Kunden im Allgemeinen, weil wir versuchen, die Sicherheit und Vertrauenswürdigkeit des digitalen Ökosystems zu verbessern. Das ist auch wirtschaftlich gedacht: In dem Maße, in dem die Kunden das Vertrauen in dieses Ökosystem verlieren und deshalb weniger am Internet teilnehmen und Technologie weniger häufig nutzen, um ihr Leben oder ihre Geschäfte zu bereichern, schadet das auch unserem Geschäft. Es geht auch um Sensibilisierung – denn es liegt zu einem großen Teil an den einzelnen Unternehmen und Verbrauchern, wie sie sich im Internet verhalten, wie sie sicherstellen, dass ihre Systeme dem aktuellen Schutzniveau entsprechen. Zudem bieten wir auch Sicherheitsprodukte und -dienste, die durch unsere Erkenntnisse besser werden.

Nun bindet der Ukraine-Krieg derzeit viel Aufmerksamkeit auf russische Cyberoperationen. Erhalten andere Akteure zu wenig?

Aus Microsoft-Sicht gesprochen: Nein. Wir beobachten weiterhin aktiv die Bedrohungsaktivitäten aller Nationalstaaten. Am genauesten verfolgen wir die Aktivitäten aus den vier Ländern, die in unserem gesamten Ökosystem weiterhin die Hauptquelle für Cyberangriffe und Cyberspionage sind: Russland, China, Iran und Nordkorea. Ich denke, dass es allerdings sehr wichtig für die Öffentlichkeit ist, genau darauf zu achten, was in der Ukraine passiert und wie raffiniert der hybride Krieg dort ist, der Cyber- und kinetische Mittel strategisch miteinander kombiniert.

Ich möchte an dieser Stelle einen Kommentar von meinem Chef Brad Smith wiederholen: Im Ersten Weltkrieg gelang es den Franzosen zum ersten Mal, ein Maschinengewehr mit dem Propeller zu synchronisieren. Eine interessante Entwicklung, die zu einigen Luftkämpfen führte. Aber größtenteils war der Luftkrieg vor allem für die Spionage und das Sammeln von Informationen wichtig. Es dauerte nicht mehr lange bis zum Zweiten Weltkrieg. Nun wurde diese neue Erfindung in eine unglaubliche und wirkungsvolle Waffe verwandelt. Wir befinden uns in Bezug auf den Cyberraum sozusagen in der Phase des Ersten Weltkriegs, in der wir zum ersten Mal einen groß angelegten hybriden Krieg erleben, in dem Cyberwerkzeuge eingesetzt werden. Sie werden auf eine sehr spezifische, strategische Weise eingesetzt, aber noch sehr begrenzt. Jeder sollte sich darüber im Klaren sein, dass dies erst der Anfang ist. Deshalb müssen sich Unternehmen wie Microsoft intensiv um einen internationalen Konsens über die Regeln bemühen, die den Einsatz von Cyberwaffen regeln. Wir brauchen eine Genfer Konvention für Cyberwaffen, um für die Zukunft vorbereitet zu sein.

Tom Burt ist als Vice President bei Microsoft zuständig für den Bereich Kundensicherheit & Vertrauen. Bevor er 1995 zu Microsoft kam, studierte Jura und Biologie an der Washington School of Law und der Stanford Universität.