Menü

"Ein Cyberangriff lässt sich auch mit Mitteln der Diplomatie beantworten"

Interview mit Julia Schuetze von der Stiftung Neue Verantwortung zu digitalen Bedrohungen und der Bedeutung internationaler Normen für Frieden im Cyberraum.

Wer hackt wen? Das ist oft nur schwer nachzuverfolgen. © CC Bill Smith

DGVN: In den Nachrichten hören wir von mutmaßlichen Cyberangriffen auf US-amerikanische Wahlen, Trojaner im Netzwerk des Bundestags und Hacks auf iranische Atomkraftwerke. Befinden wir uns längst im sogenannten Cyberkrieg?

Julia Schuetze: Ich würde nicht von Cyberkrieg sprechen. Die UN haben maßgeblich forciert, dass die UN Charta auch für den Cyberraum gilt. Was wir momentan erleben, sind häufig Angriffe in einer Grauzone dazwischen, also unterhalb der Schwelle des bewaffneten Konflikts, zum Beispiel Spionage. Das macht es besonders schwierig. Denn im Cyberraum lässt sich oft kaum bestimmen, woher ein Angriff kam und ob es sich beim Angreifer um einen staatlichen Akteur handelt. Das wiederum wäre aber eine Grundlage, um zu definieren, ob es sich um einen Kriegsakt handelt und wie man darauf reagieren sollte.  

Wie sehen die Bedrohungen denn aus und welche konkreten Auswirkungen müssen die Menschen in ihrem Alltag fürchten?

Cyberkriminalität ist zum Beispiel eine Bedrohung, die weit verbreitet ist. Dazu gehört Finanzbetrug. Manche Menschen haben wahrscheinlich schon einmal erlebt, dass Geld von ihrem Konto verschwunden ist. Kleine und mittelständische Unternehmen werden zunehmend Opfer von Ransomware, die schädigend für den Ablauf von Produktionsprozessen sind. Oder es wird durch einen Cyber-Angriff geistiges Eigentum gestohlen. Besonders gefährlich sind Angriffe auf kritische Infrastrukturen, wie etwa Strom und Wasser. Da kann man sich natürlich enorme Bedrohungsszenarien vorstellen. Denn wenn es über längere Zeiträume nicht zur Wiederherstellung dieser Systeme kommt, wird das für die Bevölkerung deutlich spürbar sein. 

Werden Kriege in der Zukunft digital geführt und physische Kriegshandlungen zunehmend verschwinden?

Das glaube ich nicht. Was wir sehen, ist eher die Integration von Cyberwirkmitteln in Kriegsführung. Die klassischen Formen der Kriegsführung werden deshalb aber nicht wegfallen. Die Herausforderung ist in meinen Augen: Auf der einen Seite verändern Cyberwirkmittel die Kriegsführung, auf der anderen Seite sollte es insgesamt unser Ziel sein, Frieden im Cyberraum herzustellen. Also müssen wir strenger einschränken, was Staaten in der Kriegsführung tun dürfen. 

In dieser Debatte um Cyber-Außenpolitik wird oft zwischen defensiven und offensiven Maßnahmen unterschieden. Welche Strategien verbergen sich dahinter?

Defensiv bedeutet, dass der Schutz der Systeme im Vordergrund steht. Dazu gehören präventive Maßnahmen, die Systeme vor Angriffen schützen sollen, Detektion, um Angriffe zu erkennen und Resilienzmaßnahmen wie Backups, die dafür sorgen, dass sich Daten und Systeme schnellstmöglich wieder herstellen lassen. Auch eine gute Reaktionsstrategie ist nötig. Beispielsweise das Wissen darum, wer helfen kann. In Deutschland haben wir momentan eine Diskussion um aktive Cyberabwehr. Da geht es zum Beispiel darum, welche Instrumente zur nachrichtendienstlichen Aufklärung genutzt werden können. Das muss gut überlegt sein. Die Beantwortung auf einen Cyberangriff muss nicht durch Cyberwirkmitteln passieren, sondern kann auch über diplomatische Lösungen wie Sanktionen funktionieren.

Viele sind der Meinung, dass es für Frieden im Cyberraum internationale Normen und Regeln braucht. Auf UN-Ebene gab es über mehrere Jahre den GGE-Prozess zur Erarbeitung solcher Normen. Dieser gilt jedoch als gescheitert. Worin lag das Problem?

Nachdem die UNGGE Gruppe 2015 erfolgreich Normen erstellt hat, die zum Beispiel Angriffe auf kritische Infrastrukturen verhindern sollen, wollte man sich darauf verständigen, dass das gesamte internationale Recht im Cyberraum gilt. Einige Staaten unterstützten dies allerdings nicht. 

Müssen wir uns also von der Hoffnung auf globale Normen im Cyberraum verabschieden?

Was wir jetzt haben, sind ja zwei neue Resolutionen auf UN Ebene. Auf der einen Seite gibt es die Initiative der USA, die unter anderem von der EU unterstützt wird. Diese will im Rahmen eines neuen GGE-Prozesses weiterhin versuchen, zu gemeinsamen Normen zu kommen. Auf der anderen Seite initiierten Russland, China und andere Staaten eine Open Group, in der alle Staaten mitmachen können. Dort soll jenseits der bereits 2016 erarbeiteten Normen im GGE-Prozess ein neuer Versuch der Normentwicklung gemacht werden. Noch mal komplett neu beginnen quasi. Mir wäre wichtig, gemeinsame Anliegen zu finden und somit Schritt für Schritt Staaten in Verantwortung zu ziehen. Zum Beispiel sollten keine Wahlen angegriffen werden. Denn freie und faire Wahlen sind auch durch eine UN Deklaration geschützt. Staaten hier in die Verantwortung zu ziehen, ist wichtig. Grundsätzlich sind Prozesse zum gemeinsamen Normfindung auf UN-Ebene sehr wichtig. Aber die werden lange dauern. Ich finde es deshalb gut, dass einzelne Staaten, Firmen und Zivilgesellschaft selbst die Initiative ergreifen, Normen festzulegen – etwa der Paris Call oder die Global Commission on Stability in Cyberspace. Verbindlich sind diese allerdings auch nicht. Deshalb müssen wir uns zusätzlich auch überlegen, wie wir Staaten in die Verantwortung nehmen können. Dabei geht es um Gesetze und Transparenz, die es uns ermöglichen, staatliches Handeln einzuschränken. 

Allerdings ist ja der Staat im Cyberraum nur ein relevanter Akteur von vielen. Mit dem entsprechenden Know-How kann jede Privatperson oder Gruppe internationale Angriffe durchführen. Greifen Regelungen, die Staaten in Verantwortung nehmen, da nicht zu kurz?

Ja, das ist ein wichtiger Punkt. Deshalb beziehen etwa der Paris Call und die Global Commission on Stability in Cyberspace auch nicht-staatliche Akteure mit ein. Die Verantwortung, diese Normen zu befolgen, liegt demnach bei Staaten genauso wie bei natürlichen Personen, Gruppen und Privatfirmen. Dort ist zum Beispiel festgelegt, dass private Firmen nicht auf eigene Faust zurückhacken, wenn sie angegriffen werden.

Wenn jeder Staat nun eine eigene Cyber-Außenpolitik entwickelt und zudem in unterschiedlichen Staatengruppen über gemeinsame Standards beraten wird, schmälert das nicht die Chance auf globale gemeinsame Normen?

Ich glaube, solange wir die Normen noch nicht haben, ist es wichtig, dass Länder trotzdem schon zusammenarbeiten. Staaten müssen sich vor Angriffen schützen und gleichgesinnte Staaten müssen sich unterstützen, wenn es zu Angriffen kommt. In der EU haben wir einen Blueprint “on Coordinated Response to Large Scale Cybersecurity Incidents and Crises” für Maßnahmen bei sehr schweren Cyberangriffen, die mindestens zwei Staaten betreffen. Ich denke, Staatengruppen, die sich schon auf bestimmte Normen geeinigt haben, können und sollten diese Pläne umsetzen und politisch zusammenarbeiten. Gleichzeitig ist es wichtig, dass auf UN-Ebene weiter Gespräche stattfinden. Vor allem mit dem übergeordneten Ziel, staatliches Handeln, das Cyberunsicherheit schafft, zu vermeiden. Ich bin mir aber nicht sicher, wie schnell und produktiv das sein kann, wenn jetzt die beiden von Russland und den USA initiierten Prozesse parallel laufen. Und eine weitere Schwäche, die ich bei diesen Prozessen auf UN-Ebene sehe, liegt in der Nicht-Einbindung von Zivilgesellschaft und Privatsektor.

 

Julia Schuetze ist Projektmanagerin des Transatlantischen Cyber Forums und beschäftigt sich bei der Stiftung Neue Verantwortung mit  internationaler Cybersicherheitspolitik.


Das könnte Sie auch interessieren


  • Digitalisierung gerecht (be-)steuern

    13.12.2018
    Die Digitalisierung bringt eine völlig neue Form der Wertschöpfung mit sich. Das derzeitige internationale Steuersystem darauf nicht ausgelegt. Eine grundlegende Reform sollte nicht im Rahmen der OECD, sondern auf UN-Ebene passieren. mehr

  • Digitale Bedrohungen – eine Aufgabe für den UN-Sicherheitsrat?

    05.03.2019
    Die Digitalisierung ist für die UN neben dem Klimawandel die zentrale politische Herausforderung im 21. Jahrhundert. Cyberangriffe, Drohnen oder die Beeinflussung von Wahlen zeigen, dass von ihr ganz unterschiedliche Bedrohungen ausgehen können. Ist… mehr

  • Zeit zum Handeln

    13.12.2018
    Während die Digitalisierung unsere Welt rasant verändert, herrscht bei der Welthandelsorganisation (WTO) Stillstand. Dabei sind multilaterale Regeln für den digitalen Handel längst überfällig. Umso dringender ist es, die Versäumnisse jetzt… mehr