Q2/2018 - Cybersecurity Tech Accord

Redmond, 23. April 2018

Nach langer Vorbereitung haben sich am 23. April 2018 in Redmond, VA, 34 große Internet-Unternehmen, darunter Facebook, Oracle, Cisco, Nokia, Telefonica, British Telecom, über einen Text geeinigt, mit dem die Sicherheit im Cyberspace und der Schutz von Internet-Nutzern gegenüber Cyberangriffen erhöht werden soll. Dieser „Cybersecurity Tech Accord“ ist eine Art Innovation in der internationalen Politik und eine interessante Bereicherung des Multistakeholder-Ansatzes zur Lösung von Internet-relevanten politischen Problemen.

Ausgangspunkt für diesen „Cybersecurity Tech Accord“ war die von Microsoft 2016 lancierte Initiative zur Ausarbeitung einer neuen „Digitalen Genfer Konvention“. Dieser Vorschlag, der sich zunächst nur an Regierungen wandte, stieß auf viel Skepsis und wurde auch als eine Art PR-Aktion zur Ablenkung von einer Diskussion über Sicherheitslücken in Microsoft-Produkten gesehen. Microsoft aber blieb beharrlich bei seinem Vorschlag und Microsoft-CEO Brad Smith reiste durch die Welt, u.a. zur UNO in Genf, um für diesen Vorschlag zu werben. Im Lauf des Jahres 2017 entwickelte Microsoft die Idee weiter und präsentierte ein mehr differenziertes Konzept mit drei miteinander verschränkten Komponenten für eine solche „Digitale Genfer Konvention“

  • Den Abschluss eines traditionellen Regierungsvertrages in Form einer UN-Konvention zur Stärkung von Cybersicherheit.
     
  • Die Schaffung einer Art Multistakeholder Organisation, die insbesondere das Problem der Zuordnung (Attribution) von Cyberangriffen bearbeitet (nach dem Modell der Internationalen Atomenergie Organisation in Wien oder der Kommission zur Überwachung von chemischen Waffen in Den Haag).
     
  • Eine Vereinbarung in Form einer Selbstverpflichtung von privaten Unternehmen, aktiv zur Stärkung von Cybersicherheit beizutragen und sich nicht an offensiven Cyberangriffen zu beteiligen.

Mit dem „Cybersecurity Tech Accord“ will Microsoft neue Dynamik in den Diskussionsprozess bringen und damit den Druck auf Regierungen und andere Stakeholder, sich der Idee einer „Digitalen Genfer Konvention“ anzuschließen, erhöhen. Der „Cybersecurity Tech Accord“ umfasst vier Grundsätze, die mit jeweils zwei Paragraphen untersetzt sind.

1. WIR SCHÜTZEN ALL UNSERE NUTZER UND ANWENDER WELTWEIT

  1. Wir verpflichten uns, alle Anwender und Kunden vor Cyberangriffen zu schützen – ganz gleich, ob es sich um Einzelpersonen, Organisationen oder Regierungen handelt, unabhängig von ihrem technischen Sachverstand, ihrer Kultur oder ihrem geografischen Standort und ungeachtet dessen, ob die Motive des Angreifers krimineller oder geopolitischer Art sind.
  2. Wir entwickeln, gestalten und stellen Produkte und Dienstleistungen bereit, die Sicherheit, Datenschutz, Integrität und Zuverlässigkeit einen hohen Stellenwert einräumen und somit die Wahrscheinlichkeit, Häufigkeit, Verwertbarkeit und den Schweregrad von Schwachstellen verringern.
     

2. WIR GEHEN GEGEN CYBERANGRIFFE AUF UNSCHULDIGE BÜRGER UND UNTERNEHMEN VOR, GANZ GLEICH WOHER SIE STAMMEN

  1. Wir schützen technische Produkte und Dienstleistungen während des Entwicklungs- und Gestaltungsprozesses sowie bei Vertrieb und Nutzung vor Manipulation und Ausbeutung.
  2. Wir unterstützen Regierungen nicht bei der Durchführung von Cyberangriffen auf unschuldige Bürger und Unternehmen, ganz gleich woher sie stammen.

 

3. WIR UNTERSTÜTZEN ANWENDER, KUNDEN UND ENTWICKLER DABEI, IHRE CYBERSICHERHEIT ZU ERHÖHEN

  1. Wir stellen unseren Anwendern, Kunden und dem breiteren Entwicklerökosystem Informationen und Werkzeuge zur Verfügung, die es ihnen ermöglichen, aktuelle und zukünftige Bedrohungen einzuschätzen und zu verstehen und sich vor ihnen zu schützen.
  2. Wir unterstützen die Zivilgesellschaft, Regierungen und internationale Organisationen bei ihren Bemühungen, die Sicherheit im Cyberspace zu verbessern und Kapazitäten für Cybersicherheit sowohl in Industrie- als auch in Schwellenländern aufzubauen.
     

4. WIR KOOPERIEREN MITEINANDER UND MIT GLEICHGESINNTEN GRUPPEN, UM DIE CYBERSICHERHEIT ZU VERBESSERN

  1. Wir arbeiten zusammen und schließen über proprietäre und Open-Source-Technologien offizielle und inoffizielle Partnerschaften mit der Industrie, der Zivilgesellschaft und Sicherheitsforschern, um die technische Zusammenarbeit, die koordinierte Offenlegung von Schwachstellen und den Informationsaustausch zu Bedrohungen zu verbessern und damit das Risiko zu verringern, dass Schadcodes ins Internet gelangt.
  2. Wir fördern den globalen Informationsaustausch und die zivilen Bemühungen zur Identifizierung, Verhinderung und Aufdeckung von als auch Reaktion auf Cyberangriffe sowie die Wiederherstellung von Daten nach einem Cyberangriff und gewährleisten flexible Lösungen in Sicherheitsfragen für das globale Technologie-Ökosystems im weiteren Sinne.

Die Unternehmen verpflichten sich, ihre Zusammenarbeit entlang dieser Grundsätze zu entwickeln und regelmäßig über die Umsetzung der eingegangenen Verpflichtung zu berichten. Andere Unternehmen werden aufgefordert, den „Cybersecurity Tech Accord“ gleichfalls zu unterzeichnen. Bis Ende Juni 2018 haben insgesamt 44 Unternehmen das Abkommen unterzeichnet.

Die Reaktionen auf den „Cybersecurity Tech Accord“ fallen unterschiedlich aus. Regierungen, einschließlich die der USA, Chinas, Russlands und der EU haben bislang jedwede Stellungnahme vermieden. Wiewohl einerseits unter den 44 Unterzeichnern Schwergewichte der Internet Wirtschaft sind, haben eine Reihe von anderen großen Internet Unternehmen wie Google, Apple oder Amazon bislang nicht reagiert. Unklar ist auch, wie sich die chinesischen Internet-Giganten Alibaba, Baidu und Tencent zu diesem Vertrag stellen. Auch in der technischen Internet-Community wird der „Cybersecurity Tech Accord“ bislang mit einer gewissen Indifferenz begleitet.

Bei verschiedenen hochrangigen internationalen Veranstaltungen hat Microsoft bekräftigt, dass der „Cybersecurity Tech Accord“ nur der erste Schritt ist und die ursprüngliche Idee der „Digitalen Genfer Konvention“ mit seinen drei Komponenten weiter verfolgt werden wird. Sollte Melinda Gates als Co-Vorsitzender des neuen hochrangigen UN-Internet-Panels von UN-Generalsekretär Guterres bestätigt werden, kann man davon ausgehen, dass Microsoft auch diese Bühne nutzen wird, um die Idee einer „Digitalen Genfer Konvention“ weiter zu befördern.

Mehr zum Thema
CybersecurityQ2/2018