Auf Einladung des IFSH fand am 5. Oktober der zweite interdisziplinäre Workshop „Internationale Cybersicherheit“ zur Sicherheit im internationalen Cyberraum statt. Konkret ging es dabei um die Implementierung der UN-Normen durch die einzelnen Staaten. Organisiert und durchgeführt wurde das Treffen vom Team des Forschungsschwerpunkts Internationale Sicherheit am IFSH. Mehr als 50 Vertreter*innen aus Wissenschaft, Wirtschaft, Politik, Diplomatie und Medien nahmen an der Veranstaltung teil.
Die Kurzvorträge von Jacqueline Eggenschwiler (Universität Oxford), Alexander Klimburg (Global Commission on the Stability of Cyberspace), Sheetal Kumar (Global Partners Digital) und Mischa Hansel (IFSH) beleuchteten insbesondere die Rolle und Kapazitäten nichtstaatlicher Akteure. Die anschließende Diskussion wurde von Marina Favaro (IFSH) geleitet.
Der Cyberraum ist längst keine regellose Anarchie mehr. Doch an der Umsetzung internationaler Vereinbarungen hapert es, wie zahlreiche gravierende Cybervorfälle in den vergangenen Monaten zeigen. Das gilt auch und besonders für die UN-Normen verantwortlichen Staatenverhaltens, die in diesem Jahr noch einmal bekräftigt und präzisiert wurden. Mehrere Länder haben bereits ein Aktionsprogramm (PoA) vorgeschlagen, um die Umsetzung der Cybernormen zu forcieren. Zivilgesellschaftlichen Akteur*innen sowie der Privatwirtschaft kommt dabei eine Schlüsselfunktion zu, wie viele Beiträge im Rahmen des Workshops deutlich machten. Bereits in der Phase der Normentwicklung haben etwa transnationale Unternehmen oder Forschungsinstitute vielfach eigene Akzente gesetzt und die internationale Agenda dadurch beeinflusst. Die Normumsetzung wird unter anderem durch die Entwicklung und Durchsetzung technischer Standards, etwa im Bereich sicherer digitaler Lieferketten, unterstützt.
Ein konstruktives Zusammenwirken von Staaten und nichtstaatlichen Akteuren ist jedoch kein Selbstläufer. Vielmehr muss dieser Prozess im Sinne des Multistakeholder-Ansatzes aktiv gestaltet werden. Auf der internationalen Ebene genügen sporadische Konsultationen wie im Zuge der letzten Open-Ended-Working Group (OEWG) nicht, wie mehrere Teilnehmende unterstrichen. Stattdessen müssen nichtstaatliche Akteure umfassend informiert werden und die Möglichkeit erhalten, regelmäßig substantielle Beiträge leisten zu können. Ebenso wichtig ist es, auf nationaler Ebene dafür zu sorgen, dass insbesondere zivilgesellschaftliche Akteure an der Ausgestaltung normkonformer Cyberstrategien beteiligt werden. Auch in Bezug auf die Entwicklung von Indikatoren und das Monitoring, beides mögliche Schwerpunkte im Rahmen eines PoA, ist die Expertise nichtstaatlicher Akteur*innen unverzichtbar. Dazu wurden in den letzten Jahren bereits zahlreiche Instrumente und Best Practices erprobt, auf die nun in der Phase der Implementierung der UN-Cybernormen zurückgegriffen werden sollte.
An anderer Stelle besteht die Herausforderung eher darin, autonome Räume für nichtstaatliche Kooperationen zu erhalten und deren Aktivitäten nicht zu politisieren. Diesbezüglich erwähnt wurden beispielsweise die praktische und grenzüberschreitende Zusammenarbeit von Computer Emergency Response Teams (CERT) oder auch Mechanismen der verantwortlichen Offenlegung von IT-Verwundbarkeiten durch Sicherheitsforscher*innen. Beide Bereiche werden auch im UN-Normenkatalog adressiert. Jüngste Regulierungsansätze, etwa die Beschränkung der Teilnahme von Sicherheitsforscher*innen an internationalen Wettbewerben oder Bug Bounty Programmen, nähren jedoch die Sorge vor Nationalisierungstendenzen, die zumindest dem Geist der UN-Normen widersprechen. Ein weiteres Risiko besteht darin, dass nichtstaatliche Normbildungs- und Implementierungsansätze von staatlicher Seite instrumentalisiert und umgedeutet werden, was am Beispiel des Schutzes des Public Core des Internets diskutiert wurde.
Neben Tendenzen der politischen Vereinnahmung, denen man entgegenwirken müsse, betonten die Diskutant*innen andererseits die Notwendigkeit, mehr Aufmerksamkeit für die UN-Cybernormen als legitimen globalen Orientierungsrahmen zu gewinnen – gerade in der Industrie bzw. der technischen Community, wo diese zum Teil nicht einmal bekannt sind. Auch hier bietet sich der Multistakeholder-Ansatz als Leitlinie an, um zu sensibilisieren und Mitwirkungsmöglichkeiten auf freiwilliger Basis zu bieten.
Auch die Sendereihe Streitkräfte und Strategien auf NDR Info hat das Thema Cybersicherheit in ihrer Sendung vom 9./10.10.2021 aufgegriffen. Ein ausführliches Interview mit Projektleiter Dr. Mischa Hansel, das für diese Sendung entstand, finden Sie in der Mediathek des NDR.