Q3/2019 - UN Cybersecurity Groups (OEWG & UNGGE)

Open Ended Working Group (OEWG), New York, 10. – 14. September 2019

An der ersten Sitzung der neuen „UN Open Ended Working Group on Developments in the Field of Information and Telecommunication in the Context of International Security“ (OEWG) nahmen über 100 Regierungen und zahlreiche NGOs teil. Vorsitzender der OEWG ist der Schweizer Diplomat Jürg Lauber. Nach einer allgemeinen Eröffnungsrunde wurde zu fünf Themenkomplexen diskutiert[1].

Insgesamt verlief die Sitzung in einer freundlichen Atmosphäre. Die meisten Regierungen verzichteten auf Angriffe oder Vorwürfe gegenüber anderen Staaten. Konsens bestand darin, dass der Cyberspace zu einem für Frieden und internationale Sicherheit relevanten Raum geworden ist und man angesichts wachsender Bedrohungen verpflichtet ist, gemeinsame Maßnahmen zu ergreifen. Die Mehrheit der Regierungen drückte ihre Hoffnung aus, dass die OEWG zu praktischen und konstruktiven Ergebnissen führt, die die Stabilität und Sicherheit im Cyberspace stärken. Konsens war auch, dass die bisherigen Ergebnisse der UNGGEs von 2010, 2013 und 2015, die u.a. die Feststellung enthalten, dass das Völkerrecht in seiner Gesamtheit sowohl offline als auch online gilt, Grundlage und Ausgangspunkt für die Arbeit der OEWG sind.

Strittig sind vor allem die folgenden Themen:

  • Soll die OEWG neue Normen erarbeiten oder sich primär um die Umsetzung der von der UNGGE 2010, 2013 und 2015 bereits vereinbarten Normen und vertrauensbildenden Maßnahmen kümmern;
     
  • sollen die Normen völkerrechtlich verbindlich sein – möglicherweise in Form einer eigenständigen Konvention – oder mehr als juristisch unverbindliche politische Empfehlungen gelten;
     
  • sind Angriffe auf Staaten aus dem Cyberspace als eine Gewaltanwendung im Sinne von Artikel 2.4 der UN-Charta zu bewerten (was das in Artikel 51 der UN-Charta verankerte Recht auf Selbstverteidigung – in dem Fall ein „hack back“ – legitimieren würde) oder sind Cyberattacken keine Verletzung des völkerrechtlichen Verbots der Androhung oder Anwendung von Gewalt;
  • ist die Zuordnung von Angriffen (Attribution) primär ein technisches oder politisches Problem;
     
  • benötigt man für die Zuordnung von Cyberangriffen eine neutrale internationale Organisation (ähnlich der IAEA für den Nuklearbereich) oder ist die „Attribution“ eine souveräne Angelegenheit eines jeden einzelnen Staates.

Die Europäische Union hatte in einem gemeinsamen Positionspapier ihre Prioritäten dargelegt. Dazu gehören die Anerkennung des Völkerrechts als Grundlage für Normen im Cyberspace, die Konzentration auf vertrauensbildende und kapazitätsbildende Maßnahmen sowie die Unterstützung des Multistakeholder Modells für Internet Governance, d.h. eine enge und sinnvolle Einbeziehung von Wirtschaft, Wissenschaft, Zivilgesellschaft und technischer Community in die Verhandlungen[2]. Weitere Positionspapiere kamen von Australien, Großbritannien, Iran und Mexico. Die USA hatten kein Positionspapier vorgelegt.
 
Der russische Repräsentant Andrej Krutskich, der die UNGGE-Verhandlungen seit dem Jahr 2000 begleitet, hielt eine moderate und konstruktive Rede. Er sprach sich dafür aus, zu einem „Konsensus-Approach“ zurückzukehren und engagiert für ein „successful outcome of this truly historical forum under the UN auspieces“ zu arbeiten. Krutskich bezeichnete OEWG und UNGGE als zwei „unabhängige Mechanismen“ die parallel arbeiten und sich ergänzen, aber nicht gegeneinander ausgespielt werden sollten.

Irans Botschafter Majid Takht-Ravanchi bezeichnete den Iran als das erste Opfer einer Cyberattacke. Der Stuxnet-Angriff von 2010 sei das erste „Cyber Hiroshima“ gewesen. Er forderte, Staaten, die Cyberangriffe unterstützen, zur Verantwortung zu ziehen und setzte sich für die Entwicklung international verbindlicher Normen für staatliches Verhalten im Cyberspace ein.

Das umfangreichste Positionspapier kam von China. China bezieht sich auf den bereits 2011 von der Shanghai Cooperation Organisation (SCO) unterbreiteten Vorschlag, einen Verhaltenskodex (Code of Conduct) für das Agieren von Regierungen im Cyberspace auszuarbeiten. Das chinesische Papier schlägt sieben grundlegende Prinzipien vor, darunter das Prinzip der „Staatensouveränität im Cyberspace“[3]. Dieses Prinzip wird sehr breit definiert und schließt die volle Kontrolle eines Staates über jegliche Internet-basierten Aktivitäten innerhalb der jeweiligen nationalen Jurisdiktion ein. Teil dieser breiten Definition ist auch das postulierte Recht der Staaten, gleichberechtigt am „Management und der Verteilung internationaler Internet Ressourcen“ teilzunehmen. Diese Forderung enthält die Möglichkeit, das gegenwärtige System des Managements von Domainnamen und IP-Adressen, wie es nach der IANA Transition (2016) durch die sogenannte „Empowered Community“ von ICANN ausgeübt wird, in Frage zu stellen und eine neue Debatte über Internet Governance auszulösen.

Offen ist auch das Verhältnis der OEWG zur UNGGE. Die 6. UNGGE war wie die OEWG von der 73. UN-Vollversammlung im Dezember 2018 gegründet und mit einem sehr ähnlichen Mandat ausgestattet worden. Die 6. UNGGE nimmt ihre Arbeit im Dezember 2019 auf. Viele Regierung hoben hervor, dass im Unterschied zur UNGGE, die nur 25 Mitglieder hat, die OEWG offen für alle Staaten sei. Das Thema Cybersicherheit sei schon lange nicht mehr ein Spezialthema, um das sich nur wenige entwickelte Länder kümmern. Viele Regierungen aus Entwicklungsländern machten klar, dass sie dem Format der OEWG Priorität gegenüber der UNGGE einräumen. Die Mehrheit der Statements plädierte für eine enge Kooperation zwischen OEWG und UNGGE, um Doppelarbeit und Überlappungen zu vermeiden und von möglichen Synergien zu profitieren.

Strittig war das Maß der Beteiligung von nichtstaatlichen Akteuren an der Arbeit der OEWG. Die UN-Resolution 73/27 verpflichtet die OEWG sich mit nichtstaatlichen Akteuren zu konsultieren. Die UN-Resolution aber spezifiziert nicht, wie diese Konsultationen im Einzelnen aussehen sollen. Für die erste OEWG-Sitzung im September 2019 hatten nur NGOs eine Teilnahmeberechtigung, die bereits beim Wirtschafts- und Sozialrat der UNO (ECOSOC) eine Akkreditierung als NGO erhalten haben. Dieser Ausschluss, der nicht ECOSOC akkreditierten NGOs, wurde von der Zivilgesellschaft, aber auch von mehreren Regierungen, darunter Deutschland, kritisiert. Unklar ist weiterhin, inwieweit die nichtstaatlichen Teilnehmer sich an der zukünftigen Diskussion inhaltlich beteiligen können. Die Reduktion auf die Möglichkeit, zwei-minütige Statements am Schluss eines Sitzungstages abgeben zu können, wurde als eine unzumutbare Diskriminierung bezeichnet, die an die frühen Tage des WSIS-Prozesses in Genf im Jahr 2002 erinnern.

Die nächste Sitzung der OEWG ist für den Februar 2020 in New York vorgesehen. Dazwischen gibt es eine gesonderte Sitzung von nichtstaatlichen Vertretern, die vom 2. bis 4. Dezember 2019 in New York stattfindet. Dort wird es auch um Prozedurfragen gehen wie die zukünftige Teilnahme nichtstaatlicher Vertreter an den Diskussionen sowohl der OEWG als auch der UNGGE organisiert werde soll.

Die OEWG muss bereits der 75. UN-Vollversammlung im Herbst 2020 ihren Abschlussbericht vorlegen. Das bedeutet, dass die OEWG auf ihrer 3. Sitzung Anfang Juli 2020 in New York diesen Bericht verabschieden muss. Bereits jetzt gibt es Diskussionen, die diesen Zeitplan als völlig unrealistisch ansehen und eine Verlängerung des Mandats der OEWG fordern. Einige Teilnehmer sehen in der OEWG die Keimzelle für eine „Never Ending Working Group“, die sich zu einer permanenten zwischenstaatlichen Verhandlungsplattform für alle Cybersicherheitsfragen entwickeln könnte.

Group of Governmental Experts (UNGGE), Bratislava, 18. – 19. Juni 2019

Die UNGGE hat mit den regionalen Konsultationen begonnen, zu denen sie nach der UN-Resolution 73/266 verpflichtet ist. 

Die erste dieser regionalen Konsultationen fand am 18. und 19. Juni 2019 in Bratislava, am Rande einer OSZE-Konferenz zu Cybersicherheit, statt. Die OSZE hatte bereits 2014 insgesamt 16 vertrauensbildende Maßnahmen für den Cyberspace erarbeitet. Der Generalsekretär der OSCE, Thomas Greminger, bezeichnete regionale Organisationen als „Inkubator für neue Ideen“ und als ein Experimentierfeld zur Umsetzung von globalen Abkommen, wie sie im Rahmen der UNGGE erarbeitet werden. Die Bratislava-Konsultationen waren vom stellvertretenden slowakischen Ministerpräsidenten Richard Rasi eröffnet worden. Die Slowakei hat 2019 die jährlich rotierende OSZE-Präsidentschaft inne. Die Konsultationen wurden vom neu gewählten Vorsitzenden der 6. UNGGE, dem brasilianischen Botschafter Guilherme de Aguiar Patriota, geleitet. Teilnehmer der Diskussion waren u.a. der Vorsitzende der OEWG, Botschafter Jürg Lauber und Izumi Nakamitsu, stellvertretende UN-Generalsekretärin für Abrüstungsfragen[4].

Die regionalen Konsultationen für Lateinamerika fanden am 15. und 16. August 2019 mit der OAS (Organisation Amerikanischer Staaten) in Washington statt. Konsultationen mit Afrika (Addis Abeba mit der Afrikanischen Union) und der asiatisch-pazifischen Region (ASEAN) sind für das 4. Quartal geplant. Die erste formelle Sitzung findet vom 5. bis 9. Dezember 2019 in New York statt. Im Jahr 2020 sind zwei Sitzungen in Genf geplant (März 2020 und August 2020). Eine abschließende Sitzung ist für den Mai 2021 in New York vorgesehen. Die UNGGE muss der 76. UN-Vollversammlung im Jahr 2021 berichten.

Mehr zum Thema
Q3/2019UN
  1. [1] Tagesordnung der 1. OEWG-Sitzung, New York, 10. – 14. September 2019, „Discussions on substantive issues contained in paragraph 5 of General Assembly resolution 73/27: (a) To further develop the rules, norms and principles of responsible behaviour of States listed in paragraph 1 of General Assembly resolution 73/27, and the ways for their implementation, and, if necessary, to introduce changes to them or elaborate additional rules of behaviour; (b) To study the possibility of establishing regular institutional dialogue with broad participation under the auspices of the United Nations; (c) To continue to study, with a view to promoting common understandings, existing and potential threats in the sphere of information security and possible cooperative measures to address them; (d) How international law applies to the use of information and communications technologies by States; (e) Confidence-building measures; (f) Capacity-building and the concepts referred to in paragraph 3 of General Assembly resolution 73/27. Siehe: undocs.org/A/AC.290/2019/1
  2. [2] EU Non-Paper on Capacity Building to advance peace and stability in cyberspace: „In turn, this capacity building approach incorporates a number of key principles. Notably: - the understanding that existing international law and norms apply in cyberspace; - rights-based and gender-sensitive by design, with safeguards to protect fundamental rights and freedoms; - in line with the democratic and efficient multi-stakeholder internet governance model; - supports the principles of open access to the Internet for all, and not undermine the integrity of infrastructure, hardware and services; - supports a shared responsibility approach that entails involvement and partnership across public authorities, the private sector and citizens and promotes international cooperation. Furthermore, wider lessons from development cooperation should be taken into account in external cyber capacity building efforts in order to enhance effectiveness and sustainability. Notably, we aim to: - ensure that partner countries enjoy full ownership of the development priorities in relation to cyber resilience; - focus on sustainable results through the promotion of broader policy, legal and technical reform processes instead of ad-hoc, one-off activities; - ensure that trust, transparency, accountability and shared responsibility are the driving force behind assistance.“ Siehe: www.un.org/disarmament/open-ended-working-group/
  3. [3] China´s Submittsion to the Open Ended Working Group on Developments on the Field of Information and Telecommunications in the Context of International Security, Mew York, 9. September 2019: „II. Norms, Rules and Principles for the Responsible Behavior of States China supports and has been constructively participating in the efforts of developing universally accepted norms, rules and principles of responsible behavior of States within the framework of UN. With a view to making contribution to the UN discussion, the Shanghai Cooperation Organization Member States submitted to the General Assembly in 2011 “International Code of Conduct for Information Security” and a revised version in 2015. Taking into account the latest developments in ICT environment, the Group should work on the following issues: i) States should pledge not to use ICTs and ICT networks to carry out activities which run counter to the task of maintaining international peace and security. ii) State sovereignty in cyberspace It is widely endorsed by the international community that the principle of sovereignty applies in cyberspace. The Group should enrich and elaborate on the specification of the principle, thus laying solid foundation for the order in cyberspace. -- States should exercise jurisdiction over the ICT infrastructure, resources as well as ICT-related activities within their territories. -- States have the right to make ICT-related public policies consistent with national circumstances to manage their own ICT affairs and protect their citizens’ legitimate interests in cyberspace. -- States should refrain from using ICTs to interfere in internal affairs of other states and undermine their political, economic and social stability. -- States should participate in the management and distribution of international Internet resources on equal footings. iii) Critical infrastructure protection Security of critical infrastructures bears on the economic development, social stability, public interests and national security of all states, which is the common concern of all parties. China proposes the following norms of states' behavior in this regard: -- States have the rights and responsibilities regarding legal protection of their critical ICT infrastructures against damage resulting from threats, interference, attack and sabotage. -- States should be committed to refraining from launching cyber attacks on the critical infrastructures of other states. -- States should not exploit policy and technical advantages to undermine the security and integrity of critical infrastructures of other states. -- States should increase exchanges on standards and best practices with regard to critical infrastructure protection and encourage enterprises to embark on such exchanges. iv) Data security: With the development of digital globalization, states have an increasing demand for the collection, analysis, application and cross-border flow of data, adding more weight to the importance of security. China proposes norms as follows: -- States should take a balanced approach with regard to technical advancement, business development and safeguarding national security and public interests. -- States have the rights and responsibilities to ensure the security of personal information and important data relevant to their national security, public security, economic security and social stability. -- States shall not conduct or support ICT-enabled espionage against other states, including mass surveillance and theft of important data and personal information. -- States should pay equal attention to both development and security, and push for the lawful, orderly and free flow of data. States should facilitate exchanges of best practices and cooperation in this regard. v) Supply chain security Supply chain security is crucial for enhancing users’ confidence and promoting digital economy. China proposes as follows: -- States should not exploit their dominant position in ICTs, including dominance in resources, critical ICT infrastructures and core technologies, ICT goods and services to undermine other states’ right to independent control of ICT goods and services as well as their security. -- States should prohibit ICT goods and services providers from illegal obtainment of users’ data, control and manipulation of users’ devices and systems by installing backdoors in goods. States should also prohibit ICT goods and services providers from seeking illegitimate interests by taking advantage of users’ dependence to their products, or forcing users to upgrade their systems or devices. States should request ICT goods and services providers to make a commitment that their cooperation partners and users would be notic ed in a timely manner if serious vulnerabilities are detected in their products. -- States should be committed to upholding a fair, just and non-discriminatory business environment. States should not use national security as a pretext for restricting development and cooperation of ICTs and limiting the market access for ICT products and the export of high-tech products. vi) Counter-terrorism Terrorist groups’ use of the Internet for promotion and incitement, recruitment, and plan and coordination of attacks is the major source of the current terrorist activities, and jeopardizes the security and stability of all states. The international community has a high degree of consensus on this. The Group should probe into discussions in following norms: -- States should prohibit terrorist organizations from using the Internet to set up websites, online forums and blogs to conduct terrorist activities, including manufacturing, publication, storage, and broadcasting of terrorist audio and video documents, disseminating violent terrorist rhetoric and ideology, fund-raising, recruiting, inciting terrorist activities etc. -- States should conduct intelligence exchanges and law-enforcement cooperation on countering terrorism. For instance, one state should store and collect relevant online data and evidence in a timely manner upon request from other states for cyber-related terrorism cases, provide assistance in investigation and deliver prompt response. -- States should develop cooperative partnership with international organizations, enterprises and citizens in fighting cyber terrorism. -- States should request Internet service providers to cut off the online dissemination channel of terrorist content by closing propaganda websites and accounts and deleting terrorist and violent extremist content. vii) Norms, rules and principles regarding emerging technologies To minimize security risks brought by emerging digital technologies such as IOT, AI, big data, cloud computing and blockchain, at the same time guaranteeing their contribution to economic development, further study is needed on the norms, rules and principles in these realms.“ Siehe: www.un.org/disarmament/open-ended-working-group/
  4. [4] Officials, practitioners and experts gather in Bratislava for OSCE-wide conference on the future of cybersecurity, Bratislava, 19. Juni 2019: „Deputy Prime Minister of Slovakia Richard Raši opened the conference by emphasizing that cyber/ICT can act as “both an incredible opportunity and a major vulnerability.”“Malware and distributed denial-of-service (DDoS) attacks, massive data breaches and misuse of artificial intelligence can all wreak havoc on our lives and economies and threaten critical infrastructure,” he said. “The OSCE, in line with its mandate on conflict prevention and its comprehensive approach to security, has pioneered multilateral co-operation to prevent conflict arising from the use or misuse of cyber/ICT.” OSCE Secretary General Thomas Greminger highlighted the valuable role of regional organizations in contributing to cyber security. “They can be incubators for new ideas and practical efforts that relate to Confidence-Building Measures as well as an implementer of globally accepted agreements,” he said. “The promotion of effective crisis communication channels, international co-operation, especially at the policy level, as well as measures to enhance national and regional cyber/ICT security capacities are core elements of efforts needed to advance cyber security at the national and regional levels.” Among the topics explored at the conference were cyber attacks, the disruption of critical infrastructure, electoral interference, the weaponization of Artificial Intelligence and disinformation campaigns. An interactive scenario-based discussion allowed government participants to better understand the implications and results of an attack on critical infrastructure, and provided hands-on experience in responding to such an incident. While focusing on the OSCE’s role in tackling regional cybersecurity challenges, including through the implementation of its pioneering 16 Confidence-Building Measures related to ICT/cyber security and the efforts of its Informal Working Group, the conference also had a strong global focus. The conference hosted, on its margins, the very first consultations of the newly formed UN Group of Governmental Experts on Developments in the Field of Information and Telecommunications (UN GGE). A panel discussion, including the Chairs of the UN GGE, Ambassador Guilherme de Aguiar Patriota of Brazil; the UN Open-Ended-Working Group, Ambassador Jürg Lauber of Switzerland; and the OSCE Informal Working Group, Ambassador Károly Dán of Hungary, highlighted the complementary nature of the OSCE’s work in the context of ongoing global policy discussions related to cybersecurity. The participation of Izumi Nakamitsu, the UN’s Under-Secretary-General and High Representative for Disarmament Affairs, as well as the Acting Head of the European External Action Service’s Policy Division, Rory Domm, in the conference reflected the need for strong multilateral co-operation in this area.“ Siehe: www.osce.org/chairmanship/423365