Q2/2018 - Münchner Sicherheitskonferenz (MSC)

Seit 2011 der damalige britische Außenminister William Hague bei der Münchner Sicherheitskonferenz (MSC) das Thema „Cybersicherheit“ als eine der wichtigsten sicherheitspolitischen Herausforderungen der Zukunft bezeichnet hat, wurde das Thema schrittweise in das Arbeitsprogramm der MSC integriert. MSC-Präsident, Botschafter Wolfgang Ischinger, hat sich dieses Thema in Sonderheit zu eigen gemacht. Neben den Workshops, die im Rahmen oder am Rande der jährlichen Münchner Sicherheitskonferenz stattfinden, veranstaltet die MSC Cybersecurity-Expertenseminare und seit 2015 einen jährlichen, vom der regulären MSC abgekoppelten „Cybersicherheitsgipfel“, in enger Kooperation mit der Deutschen Telekom. 2016 fand der Gipfel im Silicon Valley statt, 2017 in Tel Aviv und 2018 in Tallinn.

Am Tallinner MSC-Cybersicherheitsgipfel 2018 nahmen rund 400 Experten aus 40 Ländern teil. Hauptredner waren die Präsidentin Estlands, Kersti Kaljulaid, die estländischen Außen- und Verteidigungsminister Sven Mikser und Jüri Luik und der stellvertretende NATO-Generalsekretär für Neue Sicherheitsherausforderungen, Antonio Missiroli. Zu den Rednern gehörten der ehemalige US-General David Patraeus, die für Cyberpolitik im Auswärtigen Dienst der EU zuständige Heli Tiirmaa-Klaar und der ehemalige Präsident von Interpol, Khoo Boon Hui.

In der Diskussion ging es im Wesentlichen um vier Fragen: Wie können sich liberale Gesellschaften vor Angriffen aus den Cyberspace, die auf eine Unterminierung demokratischer Prozesse zielen, schützen? Wie kann eine effektive Cyberverteidigung aufgebaut werden? Wie können Angriffe erkannt und zugeordnet werden? Und welche Normen sind notwendig für ein zivilisiertes Zusammenleben von staatlichen und nicht-staatlichen Akteuren im Cyberspace?

1. Offene Gesellschaften sind anfälliger für Informationskriege als autokratische Regime. Das Bekenntnis der Demokratien zur Meinungsfreiheit entzieht ihnen bestimmte Instrumente der Verteidigung gegen Einmischung von außen durch Verbote, wie in Russland und China üblich. Insbesondere Nachrichtenkampagnen aus Russland wurden als eine der größten Cyber-Bedrohungen für demokratische Gesellschaften bezeichnet. Eine weitere ernste Bedrohung, sei die Nutzung von Social Media durch Extremisten zu Rekrutierungszwecken. Dabei müssten die demokratischen Gesellschaften bei allen Bemühungen zur Verteidigung gegen Informationskriege die Meinungsfreiheit respektieren. Technologie und Freiheit dürften keine Gegensätze werden.
    
2. Es wurde festgestellt, dass technische Innovationen militärische Planungen überholen. Regierungen müssen bei der Einführung neuer Technologien und der Vergabe von Aufträgen strengere Standards einhalten als private Akteure. Es wurde vorgeschlagen, dass die Staaten, anstatt zu versuchen perfekte Prozesse zu entwerfen, eine Kultur des Experimentierens annehmen. Anstatt sich auf langfristigen Beschaffungs-Projekte zu konzentrieren sollte man Technologien, die bereits im Privatsektor verfügbar sind, übernehmen. Empfohlen wurden "White Hat"-Hacking-Gesetze, die es Bürgern und Unternehmen ermöglichen, Schwachstellen zu erkennen und sie mit den Regierungen zu teilen, ohne eine strafrechtliche Verfolgung befürchten zu müssen.
    
3. Eine weitere Frage war, ob und wie militärische Abschreckung in einer digitalisierten Welt noch möglich ist. Da heute nahezu alles als eine Art „Waffe“ benutzt werden könnte, werde es immer schwieriger zu definieren, was ein Angriff ist, wie Täter eindeutig identifiziert werden können und von wo ein Angriff ausgegangen ist. Unklar ist auch, wo die Schwelle für einen schweren Aggressionsakt liegt. Cyber-Angriffe können der Beistandsklausel aus Artikel 5 des NATO-Vertrages entsprechen und ernsthafte Gegenmaßnahmen auslösen. Der estnische Verteidigungsminister Jüri Luik schlug vor, die Frage, ob ein Angriff als Auslöser für die kollektive Verteidigungsklausel der NATO betrachtet werden soll oder nicht, allein von der Wirkung des Angriffs abhängig zu machen und nicht von den verwendeten (Cyber-) Instrumenten. Nach einem Angriff kann es technisch möglich sein, digitale Signaturen zu finden, die bis zu den Tätern zurückverfolgt werden können. Doch im Cyberbereich ist es unwahrscheinlich, dass man die Zuschreibung zweifelsfrei festmachen kann. Dies mache die Zuschreibung (Attribution) zu einem politischen Akt. Der ehemalige Präsident Estlands, Toomas Hendrik Ilves, sagte, dass eine Vergeltung nicht unbedingt im Cyberbereich erfolgen, sondern auch in Form von konkreten Maßnahmen wie Reiseverboten oder Ausschluss aus dem SWIFT-Bankensystem erfolgen könne. Da die Cyberwelt global sei und nicht auf die Territorien der NATO-Mitgliedsländer begrenzt werden könnte, schlug Ilves die Schaffung einer „Cyber-NATO“ vor, der u.a. auch Japan, Australien und Neuseeland angehören sollten.
    
4. Die dringende Notwendigkeit der Weiterentwicklung globaler Cyber-Normen spielte eine große Rolle. Das „Tallinn Manual 2.0“ böte für die Weiterentwicklung des Völkerrechts im Cyberraum eine gute Grundlage. Michael Schmitt, Professor für Völkerrecht an der Universität Exeter, stellte fest, dass die Herausforderung bei globalen Normen für den Einsatz von Cyberwaffen nicht in ihrer Schaffung liegt – solche Normen existieren bereits – sondern in ihrer eindeutigen Auslegung und strengen Umsetzung. Und auch wenn Cyber-Bedrohungen nicht an nationalen Grenzen Halt machen und private Akteure in diesem Bereich eine wichtige Rolle spielen, sind Staaten nach wie vor die wichtigsten Akteure, wenn es darum geht, internationale Cyber-Normen durchzusetzen.