Quartalsbericht Q1/2023

Volume 2, Januar – März 2023, Nummer 1

Vier Themen standen im 1. Quartal 2023 im Mittelpunkt der globalen Internet Governance Diskussion:

  • Die Konsequenzen des Krieges in der Ukraine für den Cyberspace,
  • Die neue Cybersicherheitsstrategie der USA und der 2. Demokratiegipfel,
  • Der „Global Digital Compact“ und die Zukunft des Internet Governance Forums (IGF),
  • Die UN-Verhandlungen zu Cybersicherheit.

Nach einem Jahr Krieg in der Ukraine wird immer deutlicher, dass dieser Krieg ein hybrider Krieg ist, der eine eigenständige Cyberkomponente hat. [1] Die Vorstellung, dass ein Krieg im 21. Jahrhundert primär ein Cyberkrieg ist und ein klassischer Krieg mit Tod und physischer Zerstörung eine Sache des 20. Jahrhunderts, hat sich als falsch erwiesen. Der „Cyberkrieg“ ist wie ein Krieg zu Lande, zur See, in der Luft oder im Weltraum Teil einer umfassenden Kriegsführung. Dabei zeigt sich, dass „Cyber“ keine „eigenständige Wunderwaffe“ ist und in der Regel als „Ergänzung“ zu Luft-, See- und Landoperationen eingesetzt wird. „Cyber“ erweitert bisherige militärische Möglichkeiten, insbesondere im Bereich von Spionage und Sabotage. Der Ukraine-Krieg ist insofern auch ein „Testfeld“ für den Einsatz von Internet-basierten Defensiv- und Offensivtools. Russische Cyberattacken auf die Ukraine gibt es seit 2014. Die Ukraine erhielt von den USA über die „US Cyber Command“ frühzeitig umfassende Unterstützung, um eine effektive Cyberabwehr aufzubauen, die sich nach dem Februar 2022 auch als effektiv erwiesen hat. Es wird weiterer Analysen bedürfen, um die Rolle des Internet in zukünftigen militärischen Auseinandersetzungen genauer definieren zu können. Dennoch lassen sich bereits jetzt acht Beobachtungen verallgemeinern:

  • Die häufigsten Cyberattacken sind Denial-of-Service-Angriffe (DDOS). DDOS-Attacken sind einfach auszuführen, haben allerdings nur eine geringe und temporäre Wirkung. Sie sind wie Nadelstiche und ergänzen andere militärische Aktionen;
  • Effektiver ist das Eindringen in fremde Netzwerke und die Manipulation von Daten, einschließlich Erpressungssoftware (Ransomware). Der dadurch erzeugbare Schaden differiert je nach Angriffsziel und kann in die Millionen gehen. Mittlerweile gibt es aber gut funktionierende Cyberabwehrsysteme gegen solche Angriffe;
  • Cyberangriffe auf kritische Infrastrukturen wie Elektrizitäts- und Wasserversorgung, öffentlichen Verwaltungen und Kabelsysteme sind ernste Bedrohungen, aber sehr aufwendig vorzubereiten und zu implementieren. Im Ukraine-Krieg zeigt sich, dass, wenn die Schwelle zur Gewaltanwendung nach Artikel 4.1 der UN-Charta erst einmal überschritten ist, Infrastrukturen effektiver mit herkömmlichen konventionellen Mitteln angegriffen werden;
  • Eine entscheidende Rolle spielen Cyberoperationen bei der militärischen Aufklärung. Die Kombination von GEO- und LEO-Satelliten mit Drohnen, sowie die Verfolgung von Internet-Kommunikation zwischen Servern in Echtzeit, ermöglicht den kämpfenden Seiten – und unbeteiligten Dritten – die Erstellung eines umfänglichen Lagebildes zur Optimierung offensiver und defensiver Operationen. Der Spion hinter der Frontlinie wird praktisch überflüssig;
  • Eine neue Rolle spielt künstliche Intelligenz, insbesondere bei Internet-basierten bewaffneten oder unbewaffneten Drohnen. Der Einsatz von autonomen Waffensystemen (AWS) – vollautonome Drohnen oder zukünftige Killerroboter - steckt noch in den Kinderschuhen. Für die Entwicklung von AWS benötigt die Waffenindustrie insbesondere Daten in Echtzeit aus realen Kämpfen. Insofern bekommt die AWS-Entwicklung durch den Ukraine-Krieg einen extremen Schub;
  • Nicht neu, aber in einer neuen Dimension spielt die Propaganda eine wesentliche Rolle. Was im „kalten Krieg“ die Rundfunkstationen waren, sind jetzt die sozialen Netzwerke. Dort geht es darum, wirkungsmächtige Narrative (Soft Power) zu verbreiten, um die öffentliche Meinung im eigenen, im Feindesland und weltweit im eigenen Interesse nachhaltig zu formen;
  • Der Aufruf des ukrainischen Präsidenten an alle Computerfreaks des Landes, die Heimat auch aus dem Home-Office zu verteidigen, hat zur Aufstellung einer „privaten IT-Armee“ geführt. Die russische Antwort war die Aktivierung von „patriotischen Hackern“. Eine solche „Privatisierung des Cyberkrieges“ wirft komplizierte Rechtsfragen nach der Zuordnung von und der Verantwortung für Cyberoperationen auf. Sie verwischt auch die Grenzlinie zu kriminellen Cyberaktivitäten;
  • Neu ist das Agieren von transnationaler IT-Unternehmen in einem Krieg. Microsofts und Googles Analysen sind oft präziser als die der staatlichen Geheimdienste. Elon Musk hat mit Starlink die Internet-Kommunikation in der Ukraine aufrechterhalten, zugleich aber verboten, Starlink-Terminals für den Einsatz von bewaffneten militärischen Drohnen zu verwenden. Und er hat dem US-Verteidigungsministerium Rechnungen für seine Dienste präsentiert. Auf russischer Seite haben die „Vulkan-Papers“ Einblick in die Verschränkung von militärischen Operationen und privaten Geschäftsaktivitäten gegeben. Rolle und Verantwortlichkeiten privater Unternehmen in einem Krieg (und innerhalb einer militärischen Befehlsstruktur) sind aber völlig unklar. Der CEO eines Unternehmens untersteht nicht dem General einer Armee.    
  • Cyberattacken zwischen Kriegsparteien sind in einer global vernetzten Welt territorial nicht begrenzbar. Der russische Cyberangriff auf ukrainische Satellitenkommunikationssysteme hatte Konsequenzen für den Betrieb von Windrädern in Deutschland. Russische Hacker zielen auf Länder, die Waffen in die Ukraine liefern mit unkalkulierbaren Kaskade-Effekten für unbeteiligte Dritte. NonPetya (2017) hat gezeigt, dass ein russischer Cyberangriff auf ein Elektrizitätswerk in der Ukraine zu Milliardenschäden rund um den Globus geführt hat.
  • Offen ist die Frage, welche Konsequenzen sich für den Umgang mit universellen Internet-Ressourcen - Rootserver, Domainnamen und IP-Adressen – ergeben. Die Forderung des ukrainischen Informationsministers an ICANN, die Top Level Domains .ru, .rf (kyrillisch) und .su aus dem Internet-Root zu entfernen, um Russland vom Internet abzukapseln, hat ICANN mit Hinweis auf seine neutrale Rolle als Stewart der globale Internet-Ressourcen abgelehnt. ICANNs Philosophie für den Transport Layer „One World, One Internet“ gerät aber immer stärker in Konflikt mit der Realität auf dem Application Layer - „One World, 193 National Jurisdictions“ – was das Risiko einer schleichenden Internet-Fragmentierung befördert.

Vor dem Hintergrund des Ukraine-Krieges hat die US-Regierung im 1. Quartal 2023 ihre Cyberdiplomatie neu justiert, die nationale Cybersicherheitsstrategie überarbeitet und neue multilaterale Koalitionen von Cyberdemokratien geschmiedet. Ungeachtet der weiterhin existierenden Universalität des Internet, hat sich in der Biden-Administration die Meinung durchgesetzt, dass eine politische „Zweiteilung“ (Internet-Bifurcation) des Internet unvermeidbar ist. Die im Juli 2022 in einer Studie des US Council for Foreign Relations vertretene These „the era of the global Internet is over“ findet trotz partieller Kritik der Internet Community mehr und mehr Unterstützer in Washington.

  • Die zunehmende Divergenz zwischen demokratischen und autokratischen Vorstellungen über die Internet-Zukunft führt in den USA zu einer Ernüchterung über Möglichkeiten, ein einheitliches, globales und universelles Internet zu erhalten und zu gestalten. Davon unberührt bleibt zunächst das technische Management der kritischen Internet-Ressourcen, das nach der IANA-Transition (2016) und der demonstrierten Neutralität ICANNs bei der Verwaltung des Root Server Systems (2022) momentan von keiner Seite in Frage gestellt wird. Das ist jedoch keine Garantie für eine dauerhafte Systemstabilität des „Technical Internet Governance“ (TIG). Fakt ist, dass Demokratien und Autokratien sehr unterschiedliche Ideen für die Nutzung dieser Ressourcen (Political Internet Governance) haben. Verknappt gesagt, setzen Autokratien auf Cybersouveränität, Internet-Zensur und digitale Massenüberwachung. Demokratien auf einen menschenrechtlichen Ansatz, bei dem notwendige Freiheitseinschränkungen und Kontrollmechanismen – z. B. zur Strafverfolgung und Terroristenabwehr – an rechtsstaatliche Prinzipien gebunden werden. Autokratien setzen auf die zentrale Rolle des Staates, Demokratien auf staatliche Gewaltenteilung, einen starken Privatsektor und die Unterstützung des Multistakeholder-Modells.
  • Im Zentrum des politischen Konflikts steht der chinesisch-amerikanische „Technologiekrieg“. Um China zurückzudrängen und die US-amerikanische Führerschaft bei der Internet-Entwicklung zu festigen, hat die Biden-Administration ihre innen- und außenpolitische Internet-Politik den neuen Realitäten angepasst. Die „neue Strategie“ besteht im Wesentlichen aus drei Elementen:  
    • Stärkung der eigenen sicherheitsrelevanten Cyberkapazitäten,
    • Bildung von bi- und multilateralen Netzwerken und Allianzen mit gleichgesinnten demokratischen Partnern rund um den Globus und
    • eine Zurückdrängung des Einflusses von Autokratien auf das globale Internet-Ökosystem, insbesondere durch die Behauptung von technologischer Führung und Marktdominanz.
  • Instrumente zur Umsetzung dieser Strategie schließen eine stärkere Rolle des Staates, Zentralisierungen, Regulierungen und neue Partnerschaften zwischen Regierung und dem privaten Sektor ein.

Am 2. März 2023 veröffentliche Präsident Biden eine neue nationale Cybersicherheitsstrategie.

  • Die Cybersicherheitsstrategie zielt darauf ab, die Resilienz der USA gegen Cyberangriffe zu stärken und die Rollen und Verantwortlichkeiten zwischen verschiedenen Stakeholdern neu zu verteilen. Kerngedanke ist, dass die Hauptverantwortung für Cybersicherheit bei der Regierung und den transnationalen Unternehmen liegen muss, nicht beim „Endnutzer“ oder kleineren Unternehmen, deren leichte „Verwundbarkeit“ zu einem nationalen Sicherheitsproblem werden könnte. Daher werden sich die transnationalen US-amerikanischen Internet-Unternehmen einer stärkeren Regulierung unterwerfen müssen;
  • Die Strategie zielt darauf, Marktanreize zu schaffen und Regularien zu verabschieden, die zu höheren Sicherheitsstandards bei Hard- und Software führen. Die Partnerschaft zwischen Regierungen und dem privaten Sektor soll gestärkt werden. „1. We must rebalance the responsibility to defend cyberspace by shifting the burden for cybersecurity away from individuals, small businesses, and local governments, and onto the organizations that are most capable and best-positioned to reduce risks for all of us. 2. We must realign incentives to favor long-term investments by striking a careful balance between defending ourselves against urgent threats today and simultaneously strategically planning for and investing in a resilient future. … The government must use all tools of national power in a coordinated manner to protect our national security, public safety, and economic prosperity“.  
  • Das hat zur Konsequenz, dass die US-Regierung eine stärkere Führungsrolle spielen will und dass es neue Regulierungen (z.B. bei der Zertifikation von Hard- und Software und der Aufsicht über grenzüberschreitenden Datenfluss) und staatliche Eingriffe in Marktmechanismen geben wird. Das schließt den Domainmarkt  ein, der bislang weitgehend durch eine Art „Selbstregulierung“ funktioniert hat. „Cyber security“ gibt es nicht ohne „DNS Security“, wie Sue Watts in CircleID argumentiert.[2]

Bei der Bildung von internationalen Allianzen strebt die US-Regierung ein engmaschiges Netz von bi- und multilateralen „Koalitionen der Willigen“ an, die sich in bestimmten geographischen Regionen oder in bestimmten Sachbereichen für die Ziele und Werte einsetzen, die in der „Deklaration über die Zukunft des Internet“ (DFI) vom 30. April 2022 definiert sind. Die Deklaration wurde von 61 Regierungen in Washington unterzeichnet. Die dort formulierten sechs Grundprinzipien sind: open, free, global, interoperable, trustworthy and secure.

  • Als ein wichtiges Vehikel zur Durchsetzung dieser Ziele hat die Biden-Administration bereits 2021 den Prozess eines „Summit on Democracy“ geschaffen, mit dem die US-Regierung ihren Führungsanspruch bei der Weiterentwicklung eines demokratischen Internet weltweit durchsetzen will. Der erste Demokratiegipfel fand im Dezember 2021 statt. Ein Ergebnis dieses Gipfels war die Unterzeichnung der DFI vier Monate später. Vom 28. bis zum 30. März 2023 veranstaltete das US-Außenministerium den 2. Demokratiegipfel. Daran beteiligten sich über 100 Länder, darunter mehr als 50 Staats- und Regierungschefs wie Frankreichs Präsident Macron oder Bundeskanzler Scholz. Ein dritter Gipfel ist für 2024 in Seoul in Korea geplant. Insgesamt gibt es 14 Themen, die von sogenannten „Democratic Cohorts“ gestaltet werden. Dabei spielen Fragen von Internet Governance, Cybersicherheit und Technologieentwicklung eine prominente Rolle. Die „Democratic Cohorts“ sind nach dem Multistakeholder-Prinzip zusammengesetzt, folgen jedoch einem „Top Down Approach“ und werden von Regierungen geführt.
  • Der globale „Demokratie-Gipfelprozess“ wird ergänzt durch den Aufbau neuer regionaler multilateraler Netzwerke. Für Europa ist das insbesondere der „US-EU Trade and Technology Council“ (TTC). Für den Indo-Pazifischen Raum ist das der „Quadrilateral Security Dialogue“ (QUAD), dem neben den Gründungsmitgliedern USA, Indien, Japan und Australien nun auch Vietnam, Korea und Neuseeland (QUAD+) angehören. Dazu kommt das AUKUS-Bündnis zwischen den USA, Großbritannien und Australien. Sowohl beim TTC als auch bei QUAD+ und AUKUS sind Internet Governance, Cybersicherheit und digitale Zusammenarbeit zentrale Diskussionspunkte.
  • Im Multistakeholder-Bereich benutzen die USA ihre 2023er Präsidentschaft in der „Freedom Online Coalition“ (FOC), um breitere Unterstützung zu bekommen. Auf Betreiben der USA hat die FOC am 30. März 2023 neun Grundprinzipien für den Gebrauch von Überwachungstechnologien durch Regierungen verabschiedet. [3] Das Dokument korrespondiert mit der von Präsident Biden am 27. März 2023 verabschiedeten „Executive Order on Prohibition on Use by the US Government of Commercial Spyware that Poses Risks to National Security.“ [4] Ergänzt wird dieses Dokument durch ein „Joint Statement on Efforts to Counter the Proliferation and Misuse of Commercial Spyware“ [5] des 2. Demokratiegipfels, das jedoch nur neun der 35 FOC-Mitglieder unterzeichnet haben. Deutschland hat das FOC-Dokument, nicht aber das „Joint Statement“ unterzeichnet. Ein weiteres Dokument des Demokratiegipfels ist der „Code of Conduct“ der „Export Controls and Human Rights Initiative“[6]. All diese Dokumente zielen auf eine Minimierung des Risikos der digitalen Kooperation mit China und anderen autoritären Staaten. Sie korrespondieren mit den Ergebnissen der OECD-Ministerkonferenz von Gran Canaria (Dezember 2022) wie die Referenz zu den in der DFI definierten Prinzipien, die Zertifizierung von Hard- und Software und der Umgang mit Daten durch Regierungen und Unternehmen. Dazu gehört auch die US-Unterstützung für das neue „OECD Global Forum on Technology“ (GFT)[7]. Die US-Regierung sieht in solchen „Koalitionen der Willigen“ (TTC, QUAD+, AUKUS, OECD) offensichtlich größere Chancen, Einfluss auf die globale Entwicklung des Internet Governance Ecosystem zu nehmen, als wenn sie sich in den verschiedenen Gremien der Vereinten Nationen, wie z.B. bei Global Digital Compact, beim IGF+ oder bei WSIS+20 zu engagiert.

Der Hauptgegner für die USA ist China. Die Biden-Administration hat den China-kritischen Kurs der Trump-Administration im Bereich von „Cyber“ nicht nur fortgesetzt, sondern verstärkt. Er hat die von Trump verhängten Sanktionen gegen Huawei und TikTok ausgeweitet.

  • Im 1. Quartal 2023 war dafür vor allem das fünfstündige Hearing mit TikToks CEO Shou Zi Chew vor dem „US House Committee on Energy and Commerce“ am 20. März 2023 symbolisch. [8] Nachdem US-Präsident Biden bereits angeordnet hatte, dass Beamte kein TikTok installieren und nutzen dürfen, ging es den Kongressabgeordneten primär darum zu klären, ob TikTok eine Gefahr für die nationale Sicherheit der USA darstellt, d.h. ob TikTok US-Bürger ausspäht und chinesische Propaganda betreibt. Shou Zi Chew wies die Vorwürfe zurück. “The Chinese government has actually never asked us for US user data and we’ve said this on the record, that even if we were asked for that, we will not provide that. All US user data is stored, by default, in the Oracle Cloud infrastructure and access to that data is completely controlled by US personnel. … If the Chinese government would use the app to spew propaganda to a US audience, this would be bad for business. … Misinformation and propaganda has no place on our platform, and our users do not expect that.”
  • Neben den Einschränkungen für chinesische Internet-Unternehmen auf dem US-Markt hat die US-Regierung ihre Exportkontrollen für die Lieferung von Hochtechnologie durch US-Unternehmen nach China ausgeweitet. Dabei stellte US-Außenminister Blinken klar, dass die Ex- und Importkontrollen gegenüber China kein „De-Coupling“ darstellen, sondern ein „De-Risking“, d.h. die Reduktion von Risiken der Einflussnahme Chinas auf die USA sowie der Abhängigkeit der USA von chinesischen Importen. [9] Dazu gehören auch neue Anstrengungen der US-Regierung, die Kooperation mit dem globalen Süden im IT-Bereich auszubauen. Beim 2. Demokratiegipfel verkündete die US-Entwicklungsagentur USAID neue IT-Hilfsprogramme und die Ausarbeitung von „Donor Principles for the Digital Age“, mit denen Internet-Projekte zugunsten von Menschenrechten and demokratischen Prinzipien in Entwicklungsländern gestärkt werden sollen. [10] Das wird ergänzt durch das EU-Projekt „Global Gateway“. Damit soll der chinesischen „Digitalen Seidenstraße“ eine koordinierte westliche Front entgegengesetzt werden.
  • Die Export- und Importrestriktionen der USA wurden auf dem chinesischen Nationalen Volkskongress vom 8. – 14. März 2023 in Beijing besprochen. China will seine die Cybersouveränität stärken. Dazu wird insbesondere in IT-Forschung und Entwicklung investiert. [11] China hat bereits jetzt in Bereichen wie Robotics und künstlicher Intelligenz eine internationale Führungsrolle inne. China investiert 2023 mehr als 450 Milliarden US$ in Forschung und Entwicklung, mehr als das Doppelte als die USA. [12] China müsse unabhängig von westlicher IT-Technologie werden und brauche seine eigenen Allianzen. Der Volkskongress hat daher beschlossen, die digitale Zusammenarbeit in den zwischenstaatlichen Netzwerken BRICS, BRICS+ und der Shanghai Cooperation Organisation (SCO) auszuweiten. Mit der „Digitalen Seidenstraße“ als Teil der „Belt and Road Initiative“ (BRI) zielt China auf Länder des globalen Südens, um durch diese digitale Kooperation sowohl Einfluss in den jeweiligen Ländern als auch Unterstützung für chinesische Vorschläge bei den UN-Cybersicherheitsverhandlungen zu gewinnen. Der Versuch, die 2014 unter Präsident Xi in Wuzhen gegründete „World Internet Conference“ (WIC) als eine eigene NGO zu institutionalisieren und sie gegen den „Summit on Democracy“ und die DFI zu positionieren, ist im 1. Quartal 2023 allerdings nicht vorangekommen.

Verhandlungen zu Internet Governance im Rahmen der UNO haben sich im 1. Quartal 2023 vor allem um die Ausarbeitung des Global Digital Compact (GDC), die Vorbereitung des 18. IGF in Kyoto und den Beginn der Planungen für die WSIS-Überprüfungskonferenz (WSIS+20) im Jahr 2025 gedreht. Wichtige Meilensteine waren das erste gemeinsame Treffen zwischen der IGF Multistakeholder Advisory Group (MAG) und dem neuen IGF Leadership Panel (LP) am 7. und 8. im März 2023 in Wien, das WSIS-Forum der ITU im März 2023 in Genf, die Sitzung der für den WSIS Prozess zuständigen UN Commission for Science and Technology (UNCSTD) und der beginnende GDC-Konsultationsprozess.

  • Mit drei formellen Multistakeholder-Konsultationen und einer ersten „Deep Dive“-Diskussion hat im 1. Quartal 2023 die Ausarbeitung des „Global Digital Compact“ begonnen. [13] UN-Generalsekretär António Guterres hat für diesen Konsultationsprozess zwei sogenannte GDC-Facilitators benannt: Schweden und Ruanda. Nach weiteren sieben „Deep Dive“-Diskussionen soll bis Juli 2023 ein Arbeitspapier entstehen als Grundlage für die im September 2023 geplante Ministerkonferenz in New York. Diese Konferenz wird dann den Fahrplan bis zum Zukunftsgipfel (UN World Summit on the Future) im September 2024 beschließen. Dabei sind jetzt neue Fragen aufgeworfen worden, sowohl zum Prozedere der Ausarbeitung des GDC-Texts als auch zur Einbindung des GDC in den IGF/WSIS-Prozess.
    • Unklar ist, inwieweit die in den Multistakeholder-Konsultationen von nicht-staatlichen Akteuren eingebrachten Positionen Berücksichtigung finden bei den finalen Regierungsverhandlungen. Die Schweiz hat die Bildung vom „Multistakeholder Drafting Teams“ für die anvisierten „Issue Papers“ vorgeschlagen. Bislang ist der GDC-Prozess als ein „intergovernmental process“ beschrieben mit „multistakeholder consultations“. Ein Prozedere für die Interaktion gibt es bislang nicht.
    • Unklar ist die Beziehung zwischen dem IGF und dem GDC. Die im Januar 2023 veröffentlichten „Messages“ vom IGF in Addis Abeba zielen primär auf den GDC und beim IGF geht man davon aus, dass das IGF der natürliche Landeplatz für einen GDC ist. [14] In der UN zirkulieren aber Überlegungen, den GDC als einen parallelen Prozess zum IGF aufzusetzen. Das könnte zur Konsequenz haben, dass im September 2024 ein eigenständiges „Follow Up“ für die Umsetzung des GDC vereinbart wird.
  • Bei der ersten gemeinsamen Sitzung zwischen dem IGF Multistakeholder Advisory Group (MAG) und dem IGF Leadership Panel (LP) am 7. und 8. März 2023 in Wien wurden Kompetenzstreitigkeiten vermieden und es gelang, eine einheitliche Position hinsichtlich der Zukunft des IGF zu formulieren. Das LP hat sich zu seiner „Botschafterrolle“ bekannt und wird sich nicht als verdecktes Gremium zur Entwicklung von eigenständigen Internet-Politiken profilieren. Die Verbreitung der IGF-Messages (Outreach) ist demnach eine Hauptaufgabe des LP. Das MAG ist nach wie vor für die inhaltliche Ausrichtung des IGF zuständig.
    • Für das 18. IGF im Oktober 2022 in Kyoto wurde als Generalthema „The Internet We Want - Empowering All People“ vereinbart. Die acht Unterthemen sind: AI & Emerging Technologies, Avoiding Internet Fragmentation, Cybersecurity, Cybercrime & Online Safety, Data Governance & Trust,  Digital Divides & Inclusion, Global Digital Governance & Cooperation,  Human Rights & Freedoms, Sustainability & Environment. [15] Bis Ende Juni 2023 können Vorschläge für Workshops eingereicht werden. Das Kyoto-IGF wird sich ausführlich mit den Ergebnissen der GDC-Ministerkonferenz in New York (September 2023) befassen.
    • Kritisch wurden Überlegungen im UN-Sekretariat beurteilt, mit dem GDC einen parallelen Prozess zu starten. Um aus dem IGF ein IGF+ zu machen, wie von UN-Generalsekretär Guterres in seiner „Roadmap for Digital Cooperation“ vorgeschlagen, bedarf es einer Bündelung von UN-Aktivitäten, nicht einer Zersplitterung. Das betrifft auch eine zukünftige engere Kooperation zwischen dem IGF und dem WSIS-Forum der ITU. Eine solche Stärkung des IGF ist auch dringend nötig, da mit dem geplanten „OECD Global Forum on Technology“ bald ein neuer und finanziell gut ausgestatteter Wettbewerber das Internet Governance Ecosystem betritt. Bereits jetzt gibt es zahlreiche, jährlich stattfindende globale Internet-Veranstaltungen wie den „Lissabon Web Summit“ oder die „RightsCon“-Konferenz, die ähnliche Themen wie das IGF behandeln und zehntausende von Teilnehmern zusammenbringen, darunter viele Minister und CEOs von großen Unternehmen und zivilgesellschaftlichen Organisationen. Diese „Konkurrenzsituation“ wird 2025 bei den Verhandlungen zu einer Mandatsverlängerung des IGF im Rahmen von WSIS+20 eine Rolle spielen.
  • Bei der Sitzung der UNCSTD Ende März 2023 in Genf wurden erste Überlegungen angestellt, wie die für 2025 geplante WSIS-Überprüfungskonferenz (WSIS+20) organisiert werden könnten. Als ein gravierendes Problem bezeichnete UNCSTD-Chair Peter Major, dass es bislang kein Budget für diese Konferenz gäbe. Der finanzielle Engpass blockiere auch die gründliche Vorbereitung, wie analytische Reviews der WSIS-Aktionslinien und eine unabhängige Einschätzung der Ergebnisse des IGF.

Bei den UN-Verhandlungen zur Cybersicherheit gab es im 1. Quartal 2023 unterschiedliche Ergebnisse. Die Open Ended Working Group (OEWG), die sich mit der Anwendung des Völkerrechts im Cyberspace beschäftigt, tagte Anfang März 2023 in New York. Zur gleichen Zeit verhandelte in Genf die GGE LAWS über ein Verbot von autonomen Waffensystemen. Und in Wien kam das sogenannte Ad Hoc Committee (AHC), das eine neue UN-Konvention gegen Cyberkriminalität ausarbeiten soll, im Januar 2023 zu einer formellen Sitzung und im März 2023 zu informellen Konsultationen zusammen. Russland war bei allen Verhandlungen gleichberechtigt beteiligt und hat eigene Vorschläge eingebracht.

  • Bei den New Yorker OEWG-Verhandlungen [16] ging es erneut um die Anwendung des Völkerrechts im Cyberspace und die Umsetzung der elf im Jahre 2015 vereinbarten Normen für ein verantwortungsvolles Verhalten von Staaten in der digitalen Sphäre.
    • Das von den westlichen Staaten eingebrachte „Programme of Action (PoA)“ kommt nur mühselig voran. Ein Streitpunkt ist, ob die Implementierung der existierenden Normen oder die Ausarbeitung neuer Normen Priorität haben soll. Die mehr autokratisch regierten Staaten befürchten, dass sie bei Implementierungsberichten an den Pranger gestellt werden. Die mehr demokratisch regierten Staaten befürchten, dass bei einer Diskussion zu neuen Normen fundamentale Menschenrechte wie das Recht auf freie Meinungsäußerung und der Schutz der Privatsphäre zur Disposition gestellt werden.
    • Ungeachtet dieser Pattsituation gab es dennoch einen kleinen Fortschritt bei den sogenannten vertrauensbildenden Maßnahmen im Cyberspace (CBMCs). Die Idee, dass jeder UN-Mitgliedsstaat einen sogenannten „Point of Contact“ (PoC) nominiert, der im Falle eines Cyberangriffs kontaktiert werden kann – eine Art „rotes Telefon“ – kommt voran. Ein solches PoC-Directory ist bereits im Rahmen der OSZE etabliert und könnte nun auf die 193 UN-Mitglieder ausgedehnt werden.
    • Minimale Fortschritte gibt es auch beim Thema „permanenter institutioneller Cybersicherheitsdialog“. Alle wollen eine Institutionalisierung von Cybersicherheitsverhandlungen über 2025 hinaus. 2025 läuft das Mandat der OEWG aus. Während Russland und China aber eine unbegrenzte Verlängerung des OEWG-Mandats befürworten, würden die westlichen Staaten ein Aktionsprogramm (PoC) unter dem Dach des Genfer UN-Abrüstungsausschusses bevorzugen. Die nächste OEWG-Sitzung findet im Juli 2023 wieder in New York statt.
  • Die Verhandlungen der „Group of Governmental Experts on Lethal Autonomous Weapons Systems“ (GGE LAWS) [17] ziehen sich bereits seit knapp zehn Jahren hin. Sie finden unter dem Dach der „Convention on Certain Conventional Weapons“ (CCW) statt. Bislang konnte man sich lediglich auf einige sogenannte „Guiding Principles“ einigen.
    • Kern der Kontroverse ist, dass eine Mehrheit von Staaten das von UN-Generalsekretär geforderte Verbot von autonomen Waffensystemen (AWS) unterstützt, jene Staaten aber, die solche Waffensysteme - wie z.B. teil-autonome Drohnen - entwickeln, produzieren und bei speziellen militärischen Operationen bereits einsetzen, sich gegen ein völkerrechtliches Verbot sperren;  
    • Vor dem Hintergrund eines gewachsenen Bewusstseins der mit AWS verbundenen Gefahren bildete sich bei den Genfer Verhandlungen im März 2023 dennoch ein zwar noch fragiler, aber bereits belastbarer Konsensus über eine Auflistung von „rechtlichen, ethischen, humanitären, sicherheitspolitischen, umweltpolitischen und sozialen Risiken“ heraus. Fortschritte gab es auch bei sogenannten Kategorisierungen: Es soll sowohl um das Design der AWS selbst als auch um die AWS-Anwendung, d.h. die Mensch-Maschine-Interaktion gehen.
    • Kompliziert bleibt eine Einigung über den finalen Rechtscharakter eines Abschlussdokuments. Diskutiert wird eine Zweiteilung: Ein rechtlich nicht verbindlicher Verhaltenskodex und ein völkerrechtliches Verbot von vollautonomen Systemen, d.h. von Waffen, die sich einer menschlichen Kontrolle entziehen und ihre zu tötenden Ziele auf der Basis biometrischer Erkennungsdaten selbst aussuchen. Der Vorschlag einiger Staaten, darunter USA, Großbritannien, Japan und Australien, das Verbot auf die Tötung von Zivilisten zu begrenzen, fand ein geteiltes Echo. Es werde immer schwieriger exakt zu identifizieren, wann eine natürliche Person ein „Zivilist“ und wann ein „Kämpfer“ ist. Diese Grauzone kompliziert auch Diskussionen über das „Wie“ der Zugrundelegung der Genfer Konvention zum humanitären Völkerrecht bei einem möglichen AWS-Vertrag. Von einem solchen Vertrag ist man aber noch weit entfernt.
    • Der Vorsitzende der GGE LAWS, der brasilianische Botschafter Flávio S. Damico, wird für die nächste Sitzung Mitte Mai 2023 in Genf einen Bericht mit Elementen eines möglichen Abschlussdokuments vorlegen. Eine formelle Einigung noch 2023 ist aber eher unwahrscheinlich. Offen ist auch die Option, die AWS-Verhandlungen unter dem Dach der CCW zu beenden und unter dem Dach der UNO fortzuführen. Für dieses Herangehen hatte sich bei der letzten UN-Vollversammlung eine Reihe von Staaten, darunter Österreich, ausgesprochen.  
  • Bei den Wiener Verhandlungen zu der UN-Konvention gegen Cyberkriminalität [18] stand bei der 4. Formellen Sitzung im Januar 2023 der erste Teil eines sogenannten „Consolidated Negotiating Document“ (CDN) auf der Tagesordnung. Der erste Teil des CND enthält auf 21 Seiten Entwürfe für 55 Artikel, die sich in drei Kapitel gliedern: General Provisions, Criminalisation sowie Procedural Measures and Law Enforcement. Ein zweiter Teil, der bei der 5. Formellen Sitzung im April 2023 diskutiert werden soll, wird sechs Kapitel enthalten: Preamble, International Cooperation, Technical Assistance, Preventive Measures, Mechanisms of Implementation und Final Provisions.
    • Die Verhandlungen im Januar 2023 verliefen kontrovers. Abgesehen davon, dass allein die Länge des Dokuments (mit dem angekündigten zweiten Teil würde die Konvention über 100 einzelne Artikel umfassen) eine zukünftige Umsetzung des Vertrages sehr schwerfällig macht, sind die vagen und mehrdeutigen Formulierungen in den einzelnen Artikeln im Grunde unbrauchbar, um das eigentliche Ziel, eine wirksame Bekämpfung offensichtlicher Straftaten im Cyberspace, zu erreichen. Dazu kommen unklare Richtlinien, wie mit legitimen konfligierenden Rechtsgütern umzugehen ist.
    • Artikel 4 hebt das Prinzip des Schutzes der staatlichen Souveränität hervor und Artikel 5 fordert den Respekt für Menschenrechte ein. Die jetzigen Formulierungen würden Artikel 4 Vorrang vor Artikel 5 geben. Das Primat von nationalem Recht gegenüber internationalem Recht würde eine faire Güterabwägung bei Einzelfällen unter Einbeziehung von internationalen menschenrechtlichen Vertragspflichten und der Beachtung von Prinzipien wie Notwendigkeit, Angemessenheit und Rechtsstaatlichkeit aushebeln.
    • Noch problematischer sind die in Kapitel 2 aufgelisteten Straftatbestände (Artikel 6 - 39). Insgesamt werden 33 mögliche Cyberstraftaten aufgeführt, die in elf Clustern gruppiert sind. Praktisch wird hier alles, was man mit Computern machen kann und strafrechtlich relevant werden könnte, als „Cybercrime“ eingestuft.  Das geht von illegalen Angriffen auf Netzwerke, Soft- und Hardware über die Manipulation von elektronischen Bezahlsystem, Identitäts- und Datendiebstahl, Missbrauch persönlicher Daten, Urheberrechtsverletzungen, Kinderpornographie, Cyberbullying, Cyberstalking, Cybergrooming, Aufruf zum Selbstmord im Internet, Geldwäsche bis zur Verbreitung von Falschnachrichten und Förderung von Extremismus und Terrorismus online. Praktisch wird hier das gesamte Strafrecht neu definiert. Heute gibt es kaum eine Straftat, bei deren Ausführung nicht ein Computer oder ein Smartphone involviert ist. Diese breite Auflistung ist wenig hilfreich, um gegen den Kernbereich von Cyberkriminalität – illegales Eindringen in Computersysteme zum Zwecke der kriminellen Erpressung von finanziellen oder anderen Leistungen – vorzugehen und ist für findige Kriminelle voller Schlupflöcher. Mit diesem Gummiparagraphen würde man überdies sowohl Strafverfolgern als auch Gerichten jedwede Handhabe geben, subjektiv und je nach politischer Interessenlage gegen vermeintliche Straftäter vorzugehen.
    • Bei den informellen Konsultationen Anfang März 2023 kamen Vertreter der über 200 akkreditierten NGOs zu Wort. Diese befürchten, dass internationale Absprachen zwischen Regierungen gegen Cyberkriminalität auf Kosten der Beachtung von Menschenrechten gehen könnte. Electronic Frontier Foundation (EFF) forderte einen „Human Centric Approach“. Freie Meinungsäußerung, Schutz der Privatsphäre und Versammlungsfreiheit müssten priorisiert werden bei der Verfolgung von Straftaten im Cyberspace, bei Beweismittelerlangung, internationaler Zusammenarbeit und technischer Hilfe. Gefordert werden Bestimmungen für eine internationale, neutrale und unabhängige Aufsicht mit klaren Transparenzregeln und Berichtspflichten und die Anwendung rechtstaatlicher Prinzipien wie „proportionality, necessity and legality“ bei allen einzelnen Strafverfolgungsaktivitäten. Der Brief wendet sich auch gegen neue Pflichten für Internet-Dienstleister (ISPs) und erweiterte Möglichkeiten des Zugangs zu verschlüsselter Kommunikation. „Staatliches Hacken“ und „intrusive surveillance“ (Artikel 47 und 48) sollten untersagt werden.
    • Die Vorsitzenden des AHC, die algerische Botschafterin Faouzia Boumaiza Mebarki, hat nun die Aufgabe, das CDN zu entschlacken. Eine Option ist, die UN-Konvention als ein „Dach“ zu begreifen, bei dem sich die Staaten über grundsätzliche Prinzipien einigen und die Umsetzung in ein Netz von bilateralen Verträgen (Mutual Legal Assistance Treaty/MLATs) verlagern. Damit könnte die jeweilige nationale Jurisdiktion spezifischer berücksichtigt werden, wenn es um konkrete grenzüberschreitende Strafverfolgung geht. Eine andere Option ist die Auslagerung von kontroversen Themen in Zusatzprotokolle, die später verhandelt werden. Es stehen noch zwei jeweils zweiwöchige Verhandlungsrunden an (April 2023 in Wien und August 2023 in New York). Dann soll ein unterschriftsreifer Konventionsentwurf.
Mehr zum Thema
Q1/2023
  1. [1] https://blog.google/threat-analysis-group/fog-of-war-how-the-ukraine-conflict-transformed-the-cyber-threat-landscape/
  2. [2] https://circleid.com/posts/20230405-u.s-national-cybersecurity-strategy-and-its-impact-on-domain-security
  3. [3] https://freedomonlinecoalition.com/publication-of-guiding-principles-on-government-use-of-surveillance-technologies/
  4. [4] : https://www.whitehouse.gov/briefing-room/presidential-actions/2023/03/27/executive-order-on-prohibition-on-use-by-the-united-states-government-of-commercial-spyware-that-poses-risks-to-national-security/ https://freedomonlinecoalition.com/publication-of-guiding-principles-on-government-use-of-surveillance-technologies/
  5. [5] https://www.whitehouse.gov/briefing-room/statements-releases/2023/03/30/joint-statement-on-efforts-to-counter-the-proliferation-and-misuse-of-commercial-spyware/
  6. [6] https://www.state.gov/export-controls-and-human-rights-initiative-code-of-conduct-released-at-the-summit-for-democracy/
  7. [7] https://www.oecd.org/digital/global-forum-on-technology/
  8. [8] https://www.nytimes.com/live/2023/03/23/technology/tiktok-hearing-congress
  9. [9] https://www.forbes.com/sites/russellflannery/2023/03/12/us-businesses-look-to-de-risk-not-decouple-their-china-ties/?sh=5d67afde2294
  10. [10] https://www.usaid.gov/news-information/press-releases/mar-28-2023-usaid-announces-new-initiatives-2023-summit-democracy-and-updates-progress-made-2021-summit
  11. [11] https://www.kooperation-international.de/aktuelles/nachrichten/detail/info/nationaler-volkskongress-china-setzt-auf-wissenschaft-und-forschung
  12. [12] https://www.nextgov.com/cxo-briefing/2023/03/pentagon-requests-science-tech-reseach-boost-china-remains-ahead/383946/
  13. [13] https://www.un.org/techenvoy/global-digital-compact/intergovernmental-process
  14. [14] https://www.intgovforum.org/en/content/igf-2022-outputs
  15. [15] https://www.intgovforum.org/en/content/igf-2023
  16. [16] https://dig.watch/processes/un-gge
  17. [17] https://www.un.org/disarmament/the-convention-on-certain-conventional-weapons/background-on-laws-in-the-ccw/
  18. [18] https://www.unodc.org/unodc/en/cybercrime/ad_hoc_committee/home