Q3/2019 - UN Cybersecurity Groups (OEWG & UNGGE)

An der ersten Sitzung der neuen „UN Open Ended Working Group on Developments in the Field of Information and Telecommunication in the Context of International Security“ (OEWG) nahmen über 100 Regierungen und zahlreiche NGOs teil. Vorsitzender der OEWG ist der Schweizer Diplomat Jürg Lauber. Nach einer allgemeinen Eröffnungsrunde wurde zu fünf Themenkomplexen diskutiert^[1].

Insgesamt verlief die Sitzung in einer freundlichen Atmosphäre. Die meisten Regierungen verzichteten auf Angriffe oder Vorwürfe gegenüber anderen Staaten. Konsens bestand darin, dass der Cyberspace zu einem für Frieden und internationale Sicherheit relevanten Raum geworden ist und man angesichts wachsender Bedrohungen verpflichtet ist, gemeinsame Maßnahmen zu ergreifen. Die Mehrheit der Regierungen drückte ihre Hoffnung aus, dass die OEWG zu praktischen und konstruktiven Ergebnissen führt, die die Stabilität und Sicherheit im Cyberspace stärken. Konsens war auch, dass die bisherigen Ergebnisse der UNGGEs von 2010, 2013 und 2015, die u.a. die Feststellung enthalten, dass das Völkerrecht in seiner Gesamtheit sowohl offline als auch online gilt, Grundlage und Ausgangspunkt für die Arbeit der OEWG sind.

Strittig sind vor allem die folgenden Themen:

• Soll die OEWG neue Normen erarbeiten oder sich primär um die Umsetzung der von der UNGGE 2010, 2013 und 2015 bereits vereinbarten Normen und vertrauensbildenden Maßnahmen kümmern;
• sollen die Normen völkerrechtlich verbindlich sein – möglicherweise in Form einer eigenständigen Konvention – oder mehr als juristisch unverbindliche politische Empfehlungen gelten;
• sind Angriffe auf Staaten aus dem Cyberspace als eine Gewaltanwendung im Sinne von Artikel 2.4 der UN-Charta zu bewerten (was das in Artikel 51 der UN-Charta verankerte Recht auf Selbstverteidigung – in dem Fall ein „hack back“ – legitimieren würde) oder sind Cyberattacken keine Verletzung des völkerrechtlichen Verbots der Androhung oder Anwendung von Gewalt;
• ist die Zuordnung von Angriffen (Attribution) primär ein technisches oder politisches Problem;
• benötigt man für die Zuordnung von Cyberangriffen eine neutrale internationale Organisation (ähnlich der IAEA für den Nuklearbereich) oder ist die „Attribution“ eine souveräne Angelegenheit eines jeden einzelnen Staates.

Die Europäische Union hatte in einem gemeinsamen Positionspapier ihre Prioritäten dargelegt. Dazu gehören die Anerkennung des Völkerrechts als Grundlage für Normen im Cyberspace, die Konzentration auf vertrauensbildende und kapazitätsbildende Maßnahmen sowie die Unterstützung des Multistakeholder Modells für Internet Governance, d.h. eine enge und sinnvolle Einbeziehung von Wirtschaft, Wissenschaft, Zivilgesellschaft und technischer Community in die Verhandlungen^[2]. Weitere Positionspapiere kamen von Australien, Großbritannien, Iran und Mexico. Die USA hatten kein Positionspapier vorgelegt.
 
Der russische Repräsentant Andrej Krutskich, der die UNGGE-Verhandlungen seit dem Jahr 2000 begleitet, hielt eine moderate und konstruktive Rede. Er sprach sich dafür aus, zu einem „Konsensus-Approach“ zurückzukehren und engagiert für ein „successful outcome of this truly historical forum under the UN auspieces“ zu arbeiten. Krutskich bezeichnete OEWG und UNGGE als zwei „unabhängige Mechanismen“ die parallel arbeiten und sich ergänzen, aber nicht gegeneinander ausgespielt werden sollten.

Irans Botschafter Majid Takht-Ravanchi bezeichnete den Iran als das erste Opfer einer Cyberattacke. Der Stuxnet-Angriff von 2010 sei das erste „Cyber Hiroshima“ gewesen. Er forderte, Staaten, die Cyberangriffe unterstützen, zur Verantwortung zu ziehen und setzte sich für die Entwicklung international verbindlicher Normen für staatliches Verhalten im Cyberspace ein.

Das umfangreichste Positionspapier kam von China. China bezieht sich auf den bereits 2011 von der Shanghai Cooperation Organisation (SCO) unterbreiteten Vorschlag, einen Verhaltenskodex (Code of Conduct) für das Agieren von Regierungen im Cyberspace auszuarbeiten. Das chinesische Papier schlägt sieben grundlegende Prinzipien vor, darunter das Prinzip der „Staatensouveränität im Cyberspace“^[3]. Dieses Prinzip wird sehr breit definiert und schließt die volle Kontrolle eines Staates über jegliche Internet-basierten Aktivitäten innerhalb der jeweiligen nationalen Jurisdiktion ein. Teil dieser breiten Definition ist auch das postulierte Recht der Staaten, gleichberechtigt am „Management und der Verteilung internationaler Internet Ressourcen“ teilzunehmen. Diese Forderung enthält die Möglichkeit, das gegenwärtige System des Managements von Domainnamen und IP-Adressen, wie es nach der IANA Transition (2016) durch die sogenannte „Empowered Community“ von ICANN ausgeübt wird, in Frage zu stellen und eine neue Debatte über Internet Governance auszulösen.

Offen ist auch das Verhältnis der OEWG zur UNGGE. Die 6. UNGGE war wie die OEWG von der 73. UN-Vollversammlung im Dezember 2018 gegründet und mit einem sehr ähnlichen Mandat ausgestattet worden. Die 6. UNGGE nimmt ihre Arbeit im Dezember 2019 auf. Viele Regierung hoben hervor, dass im Unterschied zur UNGGE, die nur 25 Mitglieder hat, die OEWG offen für alle Staaten sei. Das Thema Cybersicherheit sei schon lange nicht mehr ein Spezialthema, um das sich nur wenige entwickelte Länder kümmern. Viele Regierungen aus Entwicklungsländern machten klar, dass sie dem Format der OEWG Priorität gegenüber der UNGGE einräumen. Die Mehrheit der Statements plädierte für eine enge Kooperation zwischen OEWG und UNGGE, um Doppelarbeit und Überlappungen zu vermeiden und von möglichen Synergien zu profitieren.

Strittig war das Maß der Beteiligung von nichtstaatlichen Akteuren an der Arbeit der OEWG. Die UN-Resolution 73/27 verpflichtet die OEWG sich mit nichtstaatlichen Akteuren zu konsultieren. Die UN-Resolution aber spezifiziert nicht, wie diese Konsultationen im Einzelnen aussehen sollen. Für die erste OEWG-Sitzung im September 2019 hatten nur NGOs eine Teilnahmeberechtigung, die bereits beim Wirtschafts- und Sozialrat der UNO (ECOSOC) eine Akkreditierung als NGO erhalten haben. Dieser Ausschluss, der nicht ECOSOC akkreditierten NGOs, wurde von der Zivilgesellschaft, aber auch von mehreren Regierungen, darunter Deutschland, kritisiert. Unklar ist weiterhin, inwieweit die nichtstaatlichen Teilnehmer sich an der zukünftigen Diskussion inhaltlich beteiligen können. Die Reduktion auf die Möglichkeit, zwei-minütige Statements am Schluss eines Sitzungstages abgeben zu können, wurde als eine unzumutbare Diskriminierung bezeichnet, die an die frühen Tage des WSIS-Prozesses in Genf im Jahr 2002 erinnern.

Die nächste Sitzung der OEWG ist für den Februar 2020 in New York vorgesehen. Dazwischen gibt es eine gesonderte Sitzung von nichtstaatlichen Vertretern, die vom 2. bis 4. Dezember 2019 in New York stattfindet. Dort wird es auch um Prozedurfragen gehen wie die zukünftige Teilnahme nichtstaatlicher Vertreter an den Diskussionen sowohl der OEWG als auch der UNGGE organisiert werde soll.

Die OEWG muss bereits der 75. UN-Vollversammlung im Herbst 2020 ihren Abschlussbericht vorlegen. Das bedeutet, dass die OEWG auf ihrer 3. Sitzung Anfang Juli 2020 in New York diesen Bericht verabschieden muss. Bereits jetzt gibt es Diskussionen, die diesen Zeitplan als völlig unrealistisch ansehen und eine Verlängerung des Mandats der OEWG fordern. Einige Teilnehmer sehen in der OEWG die Keimzelle für eine „Never Ending Working Group“, die sich zu einer permanenten zwischenstaatlichen Verhandlungsplattform für alle Cybersicherheitsfragen entwickeln könnte.

Die UNGGE hat mit den regionalen Konsultationen begonnen, zu denen sie nach der UN-Resolution 73/266 verpflichtet ist. 

Die erste dieser regionalen Konsultationen fand am 18. und 19. Juni 2019 in Bratislava, am Rande einer OSZE-Konferenz zu Cybersicherheit, statt. Die OSZE hatte bereits 2014 insgesamt 16 vertrauensbildende Maßnahmen für den Cyberspace erarbeitet. Der Generalsekretär der OSCE, Thomas Greminger, bezeichnete regionale Organisationen als „Inkubator für neue Ideen“ und als ein Experimentierfeld zur Umsetzung von globalen Abkommen, wie sie im Rahmen der UNGGE erarbeitet werden. Die Bratislava-Konsultationen waren vom stellvertretenden slowakischen Ministerpräsidenten Richard Rasi eröffnet worden. Die Slowakei hat 2019 die jährlich rotierende OSZE-Präsidentschaft inne. Die Konsultationen wurden vom neu gewählten Vorsitzenden der 6. UNGGE, dem brasilianischen Botschafter Guilherme de Aguiar Patriota, geleitet. Teilnehmer der Diskussion waren u.a. der Vorsitzende der OEWG, Botschafter Jürg Lauber und Izumi Nakamitsu, stellvertretende UN-Generalsekretärin für Abrüstungsfragen^[4].

Die regionalen Konsultationen für Lateinamerika fanden am 15. und 16. August 2019 mit der OAS (Organisation Amerikanischer Staaten) in Washington statt. Konsultationen mit Afrika (Addis Abeba mit der Afrikanischen Union) und der asiatisch-pazifischen Region (ASEAN) sind für das 4. Quartal geplant. Die erste formelle Sitzung findet vom 5. bis 9. Dezember 2019 in New York statt. Im Jahr 2020 sind zwei Sitzungen in Genf geplant (März 2020 und August 2020). Eine abschließende Sitzung ist für den Mai 2021 in New York vorgesehen. Die UNGGE muss der 76. UN-Vollversammlung im Jahr 2021 berichten.