Eine Genfer Cyberkonvention?

Sie äußerte sich kurz nach einem massiven Cyberangriff auf die Computersysteme ukrainischer Regierungs- undNichtregierungsstellen vor dem Hintergrund der zunehmenden Konfrontation mit Russland.

Die Rolle von Hackerangriffen in konventionellen militärischen Konflikten wächst. Cyberattacken werden nicht nur als offensives Mittel gegen Systeme in Zielbereichen wie Energie- oder Kommunikationsnetzen gesehen, sondern auch als Quelle der Destabilisierung. Als Reaktion auf die wachsenden Risiken wurden Forderungen nach einer digitalen Genfer Konvention laut, die den vier Abkommen von 1949 über den Schutz von Zivilisten in Kriegszeiten entsprechen würde. Aber: „Eine Genfer Cyberkonvention ist aus einer ganzen Reihe von Gründen unwahrscheinlich“, sagt James Andrew Lewis vom Zentrum für strategische und internationale Studien (CSIS) in Washington, D.C. Erstens gebe es derzeit keinen politischen Willen für ein verbindliches Abkommen, weil die Staaten nicht bereit seien, ihre souveränen Rechte im Cyberspace aufzugeben. Zweitens sei dieser Bereich technologisch noch nicht so ausgereift, dass sie sich mit einem solchen Abkommen wohlfühlen würden.

Ein weiteres Hindernis ist der Status quo, bei dem viele Cyberoperationen nachrichtendienstlichen Zwecken dienen. Der Vorgang ist an sich nicht illegal. Sicherheitsexperte Thomas Reinhold vom Lehrstuhl Wissenschaft und Technik für Frieden und Sicherheit an der TU Darmstadt erklärt dazu: „Bei einer Militär­operation sind alle Schritte im Computersystem technologisch mit denen bei der Informationsbeschaffung vergleichbar. Der einzige Unterschied ist, dass bei einer Militär­aktion die Informationen gelöscht werden.“ Es ist daher schwierig, zwischen den beiden Zwecken zu unterscheiden – und Cyber­operationen mit einer Art ­Abkommen zu ­regeln, solange kein tatsächlicher Schaden entstanden ist.

Laura Brent, Ex-Beauftragte für Cyberverteidigung in der NATO-Abteilung für neue Sicherheitsherausforderungen, weist darauf hin, dass „ein Großteil der bösartigen Aktivitäten im Cyberspace heute weit unterhalb der Schwelle eines bewaffneten Konflikts liegt“. Die Schaffung einer Genfer Cyberkonvention nach dem Vorbild der früheren Genfer Abkommen, die für bewaffnete Konflikte gelten, wäre daher nicht sinnvoll. Sie würde nicht dazu beitragen, den „Teil der Gleichung“ zu lösen, bei dem die Schwelle nicht überschritten wurde und keine Menschen ums Leben gekommen sind, so Brent. Und das trifft auf den Löwenanteil aller Fälle zu.

Angesichts der geringen Chancen für eine breit angelegte Genfer Cyberkonvention wäre es realistischer, sich auf die bestehenden Mechanismen zu konzen­trieren. Laut Peter Warren Singer, der als Berater des US-Militärs und des FBI tätig war, lassen sich die wichtigsten regulatorischen Entwicklungen auf drei Bereiche eingrenzen: auf die Bemühungen um das Tallinn-Handbuch (Tallinn Manual), den UN-Prozess zur internationalen Informations- und Telekommunikationssicherheit sowie auf Ansätze des privaten Sektors. Das Tallinn Manual wurde von Völkerrechtlern vor allem aus ­NATO-Staaten entwickelt und bezieht sich in erster Linie auf Cyberkonflikte. Expertinnen und Experten auf UN-Ebene befassen sich mit verantwortungsvollem Verhalten im Cyberspace und einer breiten Palette anderer Themen, einschließlich der Cyberkriminalität. Der Privatsektor ist durch „Big Tech“ vertreten und setzt sich für einen besseren Schutz der Nutzer vor „staatlich induzierten Cyberangriffen“ ein.

Blick aus Washington

In Washington gibt es die Einsicht, dass die Auslegung des Völkerrechts im Cyberkontext gestärkt werden müsse, so Christopher Painter, unter Präsident Obama erster „Cyberbotschafter“ im State Department und heute Präsident der „Global Forum on Cyber Expertise Foundation“ in Den Haag. Er hält auch Maßnahmen für erforderlich, um eine Eskalation aufgrund von Fehleinschätzungen zu verhindern.

Der Prozess zur Aktualisierung der Leitlinien für Cyberoperationen hat bereits begonnen. Die NATO kündigte 2021 an, eine neue Version (3.0.) des Tallinn-Handbuchs vorzulegen; die Überarbeitung wird etwa fünf Jahre dauern.

Bei böswilligen Cyberaktivitäten müsse es eine klare politische Zuordnung geben, nicht eine technische oder forensische wie vor Gericht, sagt James Andrew Lewis. Die USA und ähnlich denkende Staaten seien daran interessiert, ein entsprechendes Paket an Konsequenzen zusammenzustellen. Die Idee eines neuen formellen Überwachungsmechanismus für Cyberkonflikte lehnt er jedoch ab.

Im Oktober 2021 kamen mehr als 30 Länder zu einer Reihe von virtuellen Treffen zum Thema ­Cyberkriminalität zusammen – Russland und China standen nicht auf der Gästeliste. Diese Begegnungen fanden nach den Verhandlungen zwischen den Präsidenten Joe Biden und Wladimir Putin in Genf statt, bei denen das Problem der Ransomware ganz oben auf der Tagesordnung stand. Christopher Painter ist sich sicher: Aus der Sicht Wa­shingtons gab es zu Beginn des bilateralen Gipfeltreffens durchaus Chancen. Die USA hätten sich bemüht, nicht mit dem Finger auf Russland als Sponsor krimineller Aktivitäten zu zeigen.

Eine weitere Spur, die es zu beachten gilt, sind „Big Tech“-Initiativen zur Cyberregulierung. Bereits 2017 hatte Brad Smith, Präsident von Microsoft, eine digitale Genfer Konvention „zum Schutz von Zivilisten im Cyberspace“ vorgeschlagen. Zwei Jahre später gründete der Tech-Gigant das CyberPeace Institute. In Wa­shington wird generell anerkannt, dass eine breitere Beteiligung der Tech-Branche an der Sicherheit im Netz notwendig ist. Dennoch würden die USA gerne einen formelleren Prozess sehen, erklärt Painter. „Mehr wie bei der FACA-Gruppe, in der verschiedene Interessenvertreter ein Mitspracherecht haben.“ Der Federal Advisory Committee Act (FACA) sorgt in den Vereinigten Staaten für eine breitere Beteiligung der Öffentlichkeit an der Entscheidungsfindung auf Bundesebene.

Blick aus Berlin

Kurz vor dem Regierungswechsel legte das scheidende Bundeskabinett die „Cyber­sicherheitsstrategie für Deutschland 2021“ vor. Das Konzept gab den strategischen Rahmen für die nächsten fünf Jahre vor und wies unter anderem darauf hin, dass bei „komplexen Cyberlagen“ der Übergang von der „Cyberabwehr zur Cyberverteidigung“ erkannt werden soll. Die digitalen Ambitionen der neuen Ampelkoalition wurden von den Experten zunächst mit vorsichtigem Optimismus begrüßt. Auf der Ebene des Koalitionsvertrags wurde die grundsätzliche Ablehnung von Hackbacks als Mittel der Cyberabwehr angedeutet und damit der Weg für eine defensive ­Cybersicherheitspolitik geebnet.

Zur rechtlichen Einordnung von Cyber­operationen bekräftigte die Bundesregierung im März 2021 ihre Überzeugung, dass im Cyberraum vergleichbare Regeln wie für konventionelle Operationen gelten sollten. Der Bedarf an neuen Rechtsinstrumenten zur Reaktion auf Cyberangriffe wird in Berlin ähnlich gesehen wie in Washington. „Es mangelt vor allem an der praktischen Umsetzung der Normen“, hieß es auf Anfrage in der schriftlichen Antwort von Regine Grienberger, der Beauftragten des Auswärtigen Amtes für Cyberaußenpolitik und Cybersicherheitspolitik.

Zu den weiteren wichtigen Aspekten gehört der Umgang Berlins mit der Frage der Souveränität in Bezug auf den Cyberspace. Deutschland und einige andere Länder (zum Beispiel Estland) bewegten sich in die Richtung, dass Cyberoperationen – wie Hackerangriffe auf den Bundestag oder während des amerikanischen Präsidentschaftswahlkampfs – die ­Souveränität von Staaten verletzen, sagt der Cybersicherheitsexperte Sven Herpig von der Stiftung Neue Verantwortung. Die ­Souveränität könne entweder aufgrund des ­Territorialitätsprinzips (physische Schäden bei einem Cyberangriff) oder durch die Störung inhärenter staatlicher Funktionen (zum Beispiel wenn ein Hackerangriff eine ausländische Einmischung in Wahlen verursacht) beeinträchtigt werden, so die Bundesregierung. „Wir haben also die notwendigen Regelungen und wissen, wie wir sie anwenden müssen“, erklärt Herpig. Dass weitere Abkommen solche Angriffe zum Verschwinden brächten, glaubt er nicht.

Derweil stößt Moskaus UN-Vorstoß für eine neue Konvention gegen Cyberkriminalität auf gemischte Reaktionen in ­Deutschland. Die Bundesregierung sieht in der Budapest-Konvention des Europarats den Goldstandard für die Bekämpfung von Cyberkriminalität. Russland hingegen ist das einzige Europaratsmitglied, das die Resolution nicht unterzeichnet und demzufolge auch nicht ratifiziert hat. Dies erklärt Moskaus Bemühungen, unter den UN-Mitgliedern eine Mehrheit für das neue Abkommen zu ­finden.

Berlin ist jedoch überzeugt: Eine globale Konvention, wie sie Russland angestoßen hat, sollte die Prinzipien der Budapest-Konvention übernehmen. „Dafür werden wir im Kreis der Vereinten Nationen werben“, sagt Cyberdiplomatin Grienberger. Befürchtet wird vor allem, dass ein neues Abkommen die menschenrechtlichen Schutzmechanismen der Budapest-Konvention aushöhlen würde. Deutschland wolle deshalb verhindern, dass „jede freie Meinungsäußerung im Internet als Cyberverbrechen oder -terrorismus unter Strafe gestellt wird“.

Nach Ansicht Sven Herpigs gibt es eine Diskrepanz zwischen dem diplomatischen Ansatz Moskaus und den faktischen Einsätzen von Cyberverbrechern: „Russland ergreift solche Initiativen nur, weil Cyberkriminelle, die von Russlands sicherem Hafen aus operieren, es mit ihren Aktivitäten in Europa und vor allem in den USA übertrieben haben.“

In der Frage der „Big Tech“ geht Deutschland leise voran, anstatt auf eine EU-weite Gesetzgebung zu warten. Einer der jüngsten Versuche Berlins, Tech-Giganten wie Facebook und Google in ihre Schranken zu weisen, war der Medienstaatsvertrag, der seit Ende 2020 in Kraft ist. Er unterwirft Social-­Media-Plattformen und Suchmaschinen einer unabhängigen Aufsicht durch die Landesmedienanstalten. Auf EU-Ebene ist der Digital Markets Act, der vor allem die großen US-Konzerne besser regulieren soll, noch im Entstehen. Die Verhandlungen darüber sollen bis zum Sommer 2022 abgeschlossen sein.

Blick aus Moskau

Im Juli 2021 unterzeichnete Präsident Putin eine aktualisierte Fassung der Nationalen Sicherheitsstrategie (NSS). Zum ersten Mal wurde darin die Informationssicherheit als strategische nationale Priorität bezeichnet. Die Cybersicherheit in Russland ist ein integraler Bestandteil der NSS, des nationalen Informationssicherheitskonzepts und der internationalen Informationssicherheitsaktivitäten Moskaus.

Russlands Haltung zur Regulierung des Cyberspace ist an sich nicht neu. Bereits im Mai 1999 schlug Moskau bei den UN eine Reihe von Prinzipien zur internationalen Informationssicherheit vor. Im Jahr 2014 bekräftigte es seine Ansicht, dass ein vollwertiger internationaler Rechtsrahmen für diesen Bereich, einschließlich seiner militärischen Aspekte, fehle. Russland hält sich nicht an das Tallinn-Handbuch und ist der Ansicht, dass es sich zu sehr an westlichen Vorstellungen orientiert.

Optionen der Regulierung

Das scheinbare Tauwetter nach dem Biden-Putin-Gipfel hatte russische Experten zu der Vermutung veranlasst, dass Moskau mit Washington über ein breiteres Spektrum von Cyberthemen verhandeln möchte, auch im militärischen Bereich. Laut Oleg Schakirow vom Moskauer Zentrum für politische Studien (PIR-Zentrum) war einer der möglichen Aspekte – neben dem oft erwähnten Ransomware-Diskurs – die Nichteinmischung in den Satellitenbetrieb. Die amerikanische Space Force erklärte später, die USA seien reversiblen Angriffen auf ihre Satelliten ausgesetzt, auch mit Cybermitteln.

Spekulationen über den Wunsch Mos­kaus, die Verhandlungsagenda zu erweitern, scheinen jedoch ins Leere zu laufen, nachdem die bilateralen Beziehungen Ende 2021 einen neuen Tiefpunkt erreichten. Laut Putins Sonderbeauftragtem Andrei Krutskikh sind die militärischen Aktionen im Cyberspace bereits in vollem Gange. Die Schlüsselfrage sei nun die Veränderung des Kräfteverhältnisses auf der internationalen Bühne „als Ergebnis dieses Krieges“.

Angesichts dieser Rhetorik ist es aus Moskauer Sicht nur logisch, Entscheidungsprozesse zunehmend auf die UN-Ebene verlagern zu wollen. Im Jahr 2021 begann der Expertenausschuss mit der Ausarbeitung der neuen Konvention gegen Cyberkriminalität, die Moskau vorantreibt. „Russland lehnt Artikel 32 der Budapest-Konvention über den grenzüberschreitenden Zugriff auf gespeicherte Computerdaten ab“, sagt Oleg Schakirow. „Einer der Artikel im neuen Entwurf besagt, dass dies inakzeptabel ist. Das ist ein grundlegendes Problem.“ Letztlich geht es hier wieder um Moskaus Position zur „digitalen Souveränität“.

Moskau erhöht den Druck auf transnationale Tech-Konzerne und verhängt Bußgelder, darunter eine Geldstrafe von knapp 100 Millionen Euro gegen Google. Parallel dazu verstärkt der Kreml seine Bemühungen, das Internet zu regulieren. Im Januar wies Putin die Regierung an, bis zum 1. Juni die Möglichkeit eines neuen Mechanismus zum Verbot „toxischer“ Internetinhalte zu prüfen. Diese könnten als „inakzeptabel“ eingestuft und ohne ein gesetzliches Verbot verbannt werden. Was die russischen IT-Unternehmen betrifft, so haben nur wenige ein Mitspracherecht bei den nationalen Verfahren zur Informationssicherheit. Kaspersky Lab ist eines von ihnen. Das Unternehmen hat die Cyberdiplomatie offiziell zu einem seiner Schwerpunkte erklärt.

Auf diplomatischem Terrain

Die Voraussetzungen für eine multilaterale Genfer Cyberkonvention sind praktisch nicht gegeben. Dennoch sind die regulatorischen Optionen noch nicht ausgeschöpft. Mögliche Fortschritte könnte es bei der Regulierung der Cyberkriminalität geben sowie durch bilaterale Abkommen und Austauschvereinbarungen zwischen mittelgroßen Gruppen von „like-minded“ Staaten. Allerdings wird die Zeit eng, und eine vielfach befürchtete Eskalation wird nicht unwahrscheinlicher.    

Ekaterina Venkina kommt aus Moskau und ist Journalistin mit den Schwerpunkten Außenpolitik und Internationale Beziehungen. Seit 2014 arbeitet sie in Bonn für die Deutsche Welle.