Q1/2020 - UN Cybersecurity Groups (OEWG & UNGGE)

2. Formelle Tagung der Open Ended Working Group/OEWG, New York, 10. -  14. Februar 2020

Die 2. formelle Tagung der OEWG fand vom 10. bis 14. Februar 2020 in New York statt. Diskussionsgrundlage waren die Berichte der 1. Tagung (September 2019) und der „Informal Intersessional“ (Dezember 2019) sowie eine Reihe von Input Papers einzelner UN-Mitgliedstaaten und von NGOs.

Die Sitzung war von einem konstruktiven Klima geprägt. Politisch motivierte Kontroversen blieben aus. Erneut waren, wie bereits bei der 1. formellen OEWG Sitzung, aus dem nicht-staatlichen Bereich nur ECOSOC-akkreditierte NGOs zugelassen, was sowohl von den NGOs als auch vielen UN-Mitgliedsstaaten kritisiert wurde. Der Input aber, den nicht-staatliche Stakeholder während der „Informal Intersessional“ im Dezember 2019 geliefert hatten und den der Chair der „Informal Intersessional“, David Koh, Direktor der National Cybersicherheitsagentur in Singapur, in seinem Bericht an die 2. OEWG-Sitzung zusammengefasst hatte, wurde in der Diskussion von vielen Regierungen positiv gewürdigt und substanziell aufgegriffen.

Der Bericht von David Koh, Chair der „OEWG Informal Intersessional“ vom 28. Januar 2020 zieht eine außerordentlich positive Bilanz des sogenannten „Experiments“ einer Multistakeholder-Tagung zu Fragen der Sicherheit im UN-Rahmen. Das Experiment sei durchweg gelungen^[1]. Regierungen würden enorm vom Input nicht-staatlicher Akteure aus Wirtschaft, Wissenschaft, Zivilgesellschaft und technischer Community profitieren.

Kohs Bericht enthält in 85 Punkten eine Vielzahl von Vorschlägen nicht-staatlicher Stakeholder zu den OEWG-Themen Bedrohungen im Cyberspace, Normen und Gesetze, vertrauensbildende und kapazitätsbildende Maßnahmen sowie Multistakeholderismus. Koh nennt Vorschläge zum Schutz des öffentlichen Kerns des Internet (Protection of the Public Core of the Internet), zur Errichtung eines robusten Mechanismus für die Zuordnung von Cyberangriffen (Robust Gobal Attribution Framework), zu Berichtspflichten über Verwundbarkeiten in Hard- und Software (Norm of Reporting Vulnerabilities) und zu Schutzmaßnahmen für Lieferketten bei digitalen Produkten und Dienstleistungen (Supply Chain Integrity of ICT Products and Services).

Der Bericht bezieht sich auf eine Vielzahl von nicht-staatlichen Initiativen und Empfehlungen wie den Paris Call for Trust and Security, die Global Commission on Stability in Cyberspace (GCSC), das Global Forum on Cyber Expertise (GFCE), den Tech-Accord (Microsoft), die Charter of Trust (Siemens), des IGF Best Practice Forum on Cybersecurity, FIRST und andere. Koh schlussfolgert, dass Cybersicherheit nur unter Einbeziehung der speziellen Expertise von Wirtschaft, Wissenschaft, Zivilgesellschaft und technischer Community gestaltet werden könne. Nötig sei auch ein multidisziplinärer Ansatz (holistic approach).

Koh verweist auch auf Themen, bei denen es unterschiedliche Meinungen gab, wie z.B. Vorschläge zur Ausarbeitung von völkerrechtlich verbindlichen Verträgen oder zur Schaffung neuer Institutionen wie einer Art IAEA für den Cyberspace^[2].

Im Lichte der Diskussion legte der Schweizer OEWG-Chair Jürg Lauber am 11. März 2020 den ersten Entwurf eines Abschlussberichts (Initial Pre-Draft) vor. Der Plan, zwei weitere „Intersessionals“ Ende März und Ende Mai 2020 durchzuführen, wurde durch die Corona-Krise umgestoßen. Botschafter Lauber hat am 16. März 2020 das März-Treffen abgesagt und um schriftliche Kommentare zu seinem Entwurf bis zum 16. April 2020 gebeten. Bei der 3. formellen und abschließenden Sitzung (6. -10. Juli 2020 in New York) soll ein Konsens-Bericht verabschiedet werden, der dann an die 75. UN-Vollversammlung geleitet wird. Laubers Bericht enthält 68 Paragraphen und ist in sechs Abschnitte gegliedert:

• Einführung
• Existierende und kommende Bedrohungen
• Völkerrecht
• Regeln, Normen und Prinzipien für verantwortungsvolles Verhalten von Staaten
• Vertrauensbildende Maßnahmen
• Kapazitätsbildung
• Regulärer Institutioneller Dialog
• Schlussfolgerungen und Empfehlungen.

Der Bericht baut auf den elf Normen für verantwortungsbewusstes Handeln von Staaten im Cyberspace, die von der UN-Vollversammlung 2015 verabschiedet wurden (UN-Resolution 70/237), auf. Er bekräftigt, dass das Völkerrecht in seiner Gesamtheit offline wie online relevant ist.

Im Abschnitt über die Bedrohungsszenarien wird u.a. auf neue technologische Entwicklungen verwiesen, die zu einer Militarisierung des Cyberspace und entsprechenden Risiken für die internationale Sicherheit führen können^[3]. 

Der Bericht geht auf die Kontroverse ein, ob existierende Normen im Völkerrecht ausreichend seien, um mit den neuen Bedrohungen umzugehen oder ob ein „Upgrade“ bzw. eine „erweiterte Interpretation“ der bestehenden Normen notwendig seien bzw. ob ganz neue Normen und neue völkerrechtliche Verträge ausgehandelt werden müssten. Lauber schlägt eine Art iterativen Prozess vor, bei dem es für einige Bereiche rechtlich bindende Normen geben sollte, während für andere Bereiche rechtlich nicht bindende Empfehlungen ausreichend seien^[4]. 

Lauber erwähnt auch Vorschläge, neue Wege zu beschreiten bei der Schaffung von Mechanismen zur friedlichen Lösung von Konflikten im Cyberspace und der Entwicklung von Methoden zur Zuordnung von Cyberangriffe auf der technischen Ebene^[5]. 

Neu ist ein Kapitel zu einem regelmäßigen institutionellen Dialog (Regular Institutional Dialogue). Dieser Teil diskutiert Optionen, inwiefern ein neuer permanenter Mechanismus zur Diskussion von Cybersicherheitsfragen unter dem Dach der UNO geschaffen werden soll, der auf den bestehenden Mechanismen der UN-Abrüstungsarchitektur aufbaut und sie ergänzt sowie nicht-staatliche Stakeholder in die Debatte einbezieht, ohne dabei den zwischenstaatlichen Charakter der entsprechenden Verhandlungen in Frage zu stellen^[6]. 

Mehrfach betont der Bericht den Nutzen einer erweiterten Multistakeholder-Kooperation im Bereich der Cybersicherheit^[7]. 

Der letzte Abschnitt des Berichts „Schlussfolgerungen und Empfehlungen“ ist noch sehr vage und arbeitet mit „Placeholdern“.  In einem zusätzlichen Paper werden weitere Vorschläge von UN-Mitgliedsstaaten aufgelistet, die zunächst nicht im „Initial Pre-Draft“ enthalten sind. Dazu gehören auch Vorschläge von China zu Internet Governance und zur Cybersouveränität.

Ziel ist es, den Bericht im Juli 2020 im Konsens zu verabschieden. Damit wäre die Arbeit der OEWG abgeschlossen. Eine der Empfehlungen der OEWG wird es aber sein, dass sich die 76. UN-Vollversammlung im Jahr 2021 mit der Zukunft eines ständigen institutionellen Dialogs befassen soll, was durchaus zu einer Erneuerung oder Erweiterung des Mandats der OEWG führen könnte^[8].  2021 liegt dann auch der Bericht der 6. UN-GGE vor.   

2. Substantielle Tagung der 6. Group of Governmental Experts/UNGGE, Genf, 24. - 28. Februar 2020

Die 2. substanzielle Sitzung der 6. UN-GGE fand vom 24. - 28. Februar 2020 in Genf statt. Sitzungen der UN-GGE sind nicht öffentlich. Nicht-staatliche Vertreter sind nicht zugelassen. Es gibt keine Berichterstattung über Fortschritte. Verhandlungsteilnehmer berichteten von einem konstruktiven Klima und der Entschlossenheit der 25 UN-GGE Mitgliedsstaaten^[9], im Jahr 2021 einen konstruktiven Abschlussbericht vorzulegen. Die 5. GGE war 2017 gescheitert und ohne Abschlussbericht auseinandergegangen.