Der Referent Thomas Reinhold, Fellow am Institut für Friedensforschung und Sicherheitspolitik an der Universität Hamburg, stellte anhand des Themas Rüstungskontrolle vernetzter Systeme die Herausforderungen einer friedlichen Entwicklung des Cyberspace dar.
Die Politik habe das Thema 2010 entdeckt, als bekannt wurde, dass iranische Nuklearanlagen durch die Schadsoftware Stuxnet sabotiert worden waren. Mutmaßliche Urheber waren Israel und die USA. Dies führte zu einer Belastung zwischenstaatlicher Beziehungen. Staaten müssten sich nun mit Fragen wie offensiver Schadsoftware, dem Cyberspace als zusätzlicher militärischer Domäne, den eigenen Verwundbarkeiten und den daraus folgenden Konsequenzen für die internationale Sicherheit befassen, so Reinhold. Laut einem UN-Bericht hatten im Jahr 2013 47 Staaten eine militärische Cyberdoktrin, davon zehn Staaten ein explizit offensives Programm (inzwischen seien es etwa 20). Das U.S. Cyber Command behalte sich vor, auch mit konventionellen militärischen Mitteln auf Cyberattacken zu reagieren. Russland habe seit 2017 eine klare Doktrin und eine Abteilung für Informationssicherheit und Cyberabwehr mit etwa 1.000 Mitarbeitern gegründet. Außerdem seien Propaganda durch "information troops" und die Steuerung nichtstaatlicher Gruppen durch Nachrichtendienste Merkmale russischer Aktivität. China setze bislang primär auf Spionage, Nordkorea sei mit Hacking-Attacken sehr aktiv. Auch in Deutschland wurden verschiedene Strukturen für die Cybersicherheit aufgebaut. Die NATO setze auf Capacity-Building der Mitglieder und seit 2016 sind Cyberattacken Bestandteil von Artikel 5. Die EU betreibt Planspiele für eine bessere Koordinierung der Cyberabwehr und setzt auf Kooperation mit der NATO.
Weitere relevante Vorfälle nach Stuxnet waren die (der NSA bekannte) Sicherheitslücke Eternalblue, die 2017 große Schäden durch WannaCry und NotPetya anrichtete. In Deutschland wurde 2015 der Bundestag angegriffen, 2017/18 das Auswärtige Amt und 2018/19 wurden persönliche Daten von Abgeordneten veröffentlicht. Es folgte im Workshop eine rege Diskussion darüber, wie bedroht wir individuell und als Gesellschaft sind. Es wurde deutlich, dass sich die Bevölkerung der Bedrohung noch nicht bewusst sei und oft die Technik nicht verstehe. Ziele der neuen staatlichen und nichtstaatlichen Akteure wurden beleuchtet.
Herausforderungen und Gefahren des Cyberspace
Zu den Herausforderungen und Gefahren des Cyberspace zählte Thomas Reinhold vor allem Gefährdung und Schutz kritischer Infrastrukturen. Probleme für staatliches Agieren im Cyberspace seien das Interesse von Nachrichtendiensten im Gegensatz zur allgemeinen IT-Sicherheit, Abgrenzung von Defensive und Offensive, Reaktion auf Angriffe, Zuständigkeiten und parlamentarische Regeln. Eine wichtige Unterscheidung ist zwischen Cyber Crime und Cyberwar zu ziehen. Der größte Teil der Fälle ist krimineller Art, für die Regularien und Rechtsrahmen der internationalen Strafverfolgung bestehen. Die Anwendbarkeit etablierter Normen des Völkerrechts auf Cyberwar sei aber problematisch. So gebe es unterschiedliche Wahrnehmungen der Begriffe "Cyberspace" (Technik und Infrastrukturen) durch die USA/Europa und "Informationsraum" (Technik, Infrastrukturen und Informationen) durch Russland/China. Die NATO hat mit dem Tallinn Manual eine nichtbindende Analyse erstellt und sieht eine kritische Schwelle bei der Schädigung von Menschenleben oder massiven Objektschäden. 2015 hat die UN-Expertengruppe UNGGE unverbindliche Normen für staatliches Verhalten im Cyberspace verabschiedet, verblieb jedoch 2017 ohne neue Einigung. Die OSZE hat 2013 und 2016 Maßnahmen zur Verringerung der Konfliktrisiken durch IT beschlossen. Im Plenum wurde über eine angemessene Verteidigung im Cyberspace, präventive Maßnahmen zum Schutz kritischer Infrastrukturen, aber auch über Maßnahmen zur Vergeltung/Abschreckung (Hackback) diskutiert.
Übertragbarkeit von Konzepten der Rüstungskontrolle
Dem Thema Rüstungskontrolle im Cyberspace wurden historische Beispiele und etablierte Ansätze für bisherige waffenfähige Technologien vorangestellt. Hierbei sind gegenseitige Kontrollen und Verifikation wichtige vertrauensbildende Maßnahmen. Es gehe um die Erwartung und Bewertung des Handelns von Staaten durch Staaten und um gemeinsame Regeln. Technische Schwierigkeiten wie Dual-Use, Duplizierbarkeit, Virtualität und Attribution machten die Übertragung alter Konzepte auf den Cyberspace als Raum jedoch schwierig.
Bei der Kontrolle betrete man Neuland. Messbar "von außen" ohne spezielle Anpassungen und zur Überwachung des Status Quo von Anlagen seien etwa Verbrauch und Kapazitäten der Stromversorgung, thermische Leistung der Kühlsysteme, Umfang, Menge und Datenraten der Netzwerkverbindungen und Personalzahlen. Messbar "von innen" wären z.B. Metadaten der Netzwerke. Die Überwachung der Anwendung von Systemen ist jedoch ein starker Eingriff und die Akzeptanz und politische Bereitschaft dazu fraglich. Den Cyberspace als einzigartige "man made domain" könnten Menschen auch durch die Übertragung bestehender IT-Verfahren auf Bereiche der Rüstungskontrolle steuern. Hier wären Grenzen, Verantwortlichkeiten und Identifizierbarkeit sensibler Systeme zu benennen. Es gibt erste Ansätze für Dialog und zwischenstaatlichen Austausch, Regulierung des Handels und Umgang mit Schadsoftware (Wassenaar-Abkommen 1996/2013), zivilgesellschaftliche Aufrufe und Vorstöße aus der Wirtschaft. Die abschließende Frage des Referenten, wie viele Einschränkungen wir für Sicherheit und Stabilität bereit seien zu akzeptieren, wurde kontrovers diskutiert.
Dokumentation: Marco Hermann