"Der Cyberspace als Waffe" – Bericht vom MSC Cyber Security Summit in Tallinn

Wie können wir die Demokratie im digitalen Zeitalter verteidigen? Und wie können wir sicherstellen, dass Militärtechnologie, Strategien und Beschaffungsplanung mit dem zunehmenden Tempo der technologischen Innovation Schritt halten? Diese Fragen stellten sich auf dem MSC Cyber Security Summit 2018 am 28. und 29. Mai führende Persönlichkeiten aus Politik, Wirtschaft, Wissenschaft, Militär und Geheimdiensten. Es war der sechste Cyber Security Summit, den die MSC gemeinsam mit der Deutschen Telekom veranstaltete. Der diesjährige Gipfel profitierte zudem von der Zusammenarbeit mit dem estnischen Außenministerium und dem NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE).

Blick auf eine der Podiumsdiskussionen beim MSC Cyber Security Summit 2018 am 29. Mai in Tallinn (Photo: MSC / Kuhlmann)

Nach Gipfeltreffen im Silicon Valley und in Tel Aviv fand die diesjährige Veranstaltung in Tallinn, Estland, statt – einem Land, dessen besondere Rolle im Cyberbereich zweierlei ist, wie zwei Munich Young Leaders Alumni erklärten: Als Ziel vergangener Angriffe hat "Estland gezeigt, dass Cyber-Bedrohungen real sind", erklärte Merle Maigre, Direktor des NATO CCDCOE; doch heute ist das Land, wie Außenminister Sven Mikser den Teilnehmern erklärte, auch "eine der am meisten digitalisierten Nationen der Welt" und führend in Sachen Cybersicherheit und E-Governance. Mit dem Gipfeltreffen in Tallinn im Rahmen der Cyber Security and Technology Series setzt sich die MSC weiter für eine lebhafte Debatte über die Herausforderungen der Cybersicherheit ein – und das aus gutem Grund: Cybersicherheit ist mittlerweile ein fester Bestandteil der internationalen Sicherheitsagenda. Dennoch haben wir immer noch Mühe, uns auf die enormen Herausforderungen, die vor uns liegen, richtig vorzubereiten. Und während wir das tun, entstehen neue Bedrohungen und Gefahren. In Tallinn ergänzte die Diskussion über Sicherheitsrisiken durch Krypto-Währungen und Blockchain-Technologie daher die "traditionellen" Herausforderungen wie Abschreckung im Cyber-Zeitalter.


Verteidigung der Demokratie im digitalen Zeitalter
Die Frage, wie digitale Technologien demokratische Prozesse bedrohen, war ein beherrschendes Thema in den verschiedenen Roundtables und Panels. Offene Gesellschaften, so waren sich die Teilnehmer einig, sind nicht nur anfälliger für Informationskriege als autokratische Regime. Das Bekenntnis der Demokratien zur Meinungsfreiheit entzieht ihnen auch bestimmte Instrumente der Verteidigung gegen Einmischung von außen, die autokratische Länder wie China eifrig ausnutzen – nämlich die Trennung ihrer Bürger vom Internet. Vor allem bei der gemeinsam mit dem International Centre for Defense and Security (ICDS) in Tallinn organisierten Diskussionsrunde über baltische Sicherheitsfragen wurden der Informationskrieg und gefälschte Nachrichtenkampagnen Russlands als eine der größten Cyber-Bedrohungen für demokratische Gesellschaften bezeichnet. Eine weitere ernste Bedrohung, die insbesondere von General David Petraeus hervorgehoben wurde, war die Nutzung von Social Media durch Extremisten zu Rekrutierungszwecken. Angesichts dieser Herausforderungen im Cyberbereich forderte David Koh, Kommissar für Cybersicherheit und Chief Executive der Cyber Security Agency in Singapur, die Länder auf, sich stärker um technische und gesellschaftliche Resilienz zu bemühen. Heli Tiirmaa-Klaar, Leiterin für Cyberpolitik beim Europäischen Auswärtigen Dienst, betonte, dass alle Bemühungen zur Verteidigung gegen Informationskrieg die Meinungsfreiheit respektieren müssen. Autokratien, warnte Tiirma-Klaar, hätten in den letzten zehn Jahren versucht, die Freiheit des Internets einzuschränken – aber, "wir können Technologie und Freiheit haben" und sollten darauf hinarbeiten, dass beide kompatibel bleiben.    


Technische Innovation überflügelt militärische Planung
Eine Schlüsselfrage, mit der sich die Teilnehmer beschäftigten, war, wie Regierungen mit der Innovation in der Technologiebranche Schritt halten können, die die militärische Planung und Beschaffung bereits abzuhängen droht. Regierungen müssen bei der Einführung neuer Technologien und der Vergabe von Aufträgen strengere Standards einhalten als private Akteure. Es wurde vorgeschlagen, dass die Staaten, anstatt zu versuchen, perfekte Prozesse zu entwerfen, eine Kultur des Experimentierens annehmen und sich mit Fehlern wohler fühlen sollten. In einem geschlossenen Roundtable, der gemeinsam mit dem Cyber Innovation Hub der Bundeswehr organisiert wurde, wurde die Defense Advanced Research Projects Agency (DARPA) des US-Verteidigungsministeriums als ein Modell diskutiert, das Europa anstreben sollte. Andere Experten argumentierten, dass die europäischen Regierungen, anstatt sich auf solche langfristigen Projekte zu konzentrieren, der Übernahme bestehender Technologien, die bereits im Privatsektor verfügbar sind, Vorrang einräumen sollten. Öffentlich-private Partnerschaften könnten in dieser Hinsicht der richtige Weg sein. Da Regierungen selten konkurrenzfähige Gehälter anbieten können, wurde die Cyber Unit der Estonian Defence League, eine freiwillige Organisation zum Schutz des estnischen Cyberspace, als positives Beispiel dafür genannt, wie Regierungen besser auf Fachwissen im privaten Sektor zurückgreifen können. Darüber hinaus argumentierten die Teilnehmer, dass "White Hat"-Hacking-Gesetze eingeführt werden sollten, die es Bürgern und Unternehmen ermöglichen, Schwachstellen zu erkennen und sie mit den Regierungen zu teilen, ohne eine strafrechtliche Verfolgung befürchten zu müssen. Insgesamt waren sich die Teilnehmer einig, dass eine viel stärkere öffentlich-private Zusammenarbeit im Bereich der Technologie erforderlich ist.


Abschreckung in einer vernetzten Welt
Eine weitere Frage, die sich während der Konferenz stellte, war, ob und wie Abschreckung in einer digitalisierten Welt noch möglich ist. Wir sehen nicht nur eine "Nutzung von allem als Waffe", wie General David Petraeus sagte, durch die es immer schwieriger wird zu definieren, was ein Angriff ist – wir stehen auch vor dem noch größeren Hindernis, die Täter nicht eindeutig identifizieren zu können und von wo ein Angriff ausgegangen ist. In diesem Zusammenhang diskutierten die Teilnehmer, wo die Schwelle für einen schweren Aggressionsakt liegt. Wie sollten Länder gegen die Verbreitung gefälschter Nachrichten, die bewusst darauf abzielen, demokratische Staaten zu destabilisieren (z.B. während eines Wahlkampfes in den USA 2016), oder gegen einen Cyber-Angriff auf kritische Infrastrukturen mit fatalen Folgen vorgehen? Den Teilnehmern war jedoch klar, dass Cyber-Angriffe ein Szenario nach Artikel 5 und ernsthafte Gegenmaßnahmen auslösen könnten. Laut dem estnischen Verteidigungsminister Jüri Luik hängt die Frage, ob ein Angriff als Auslöser für die kollektive Verteidigungsklausel der NATO betrachtet werden soll, allein von der Wirkung des Angriffs ab, nicht von den verwendeten Instrumenten.


Nach einem Angriff kann es technisch möglich sein, digitale Signaturen zu finden, die bis zu den Tätern zurückverfolgt werden können. Doch im Cyberbereich ist es unwahrscheinlich, dass man die Zuschreibung zweifelsfrei festmachen kann. Dies, so schlussfolgerten viele Panelisten, macht die Zuschreibung zu einem politischen Akt, der Vertrauen bei denjenigen erfordert, die sich entscheiden, auf einen Angriff zu reagieren – eine Form des "Signalisierens" an den Gegenüber, einen Angreifer klar zu benennen und zu bestrafen. In einer Diskussion wurde die schnelle und einheitliche westliche Reaktion auf die Skripal-Vergiftung als positives Beispiel für eine solche gemeinsame, entschiedene Antwort auf einen Angriff trotz der Schwierigkeiten einer eindeutigen Zuordnung genannt. Wie der ehemalige Präsident Estlands, Toomas Hendrik Ilves, sagte: Eine Vergeltung muss nicht unbedingt im Cyberbereich erfolgen, sondern könnte auch in Form von konkreten Maßnahmen wie Reiseverboten oder Ausschluss aus dem SWIFT-Bankensystem erfolgen.


Die dringende Notwendigkeit der Weiterentwicklung globaler Cyber-Normen
Um Cyber-Attacken entgegenzuwirken und abzuschrecken, müssen die Staaten ihre Verteidigung sowohl auf nationaler als auch auf internationaler Ebene weiter stärken, schloss Estlands Präsident Kersti Kaljulaid auf der Podiumsdiskussion zum Thema "Cyber Norms: Beyond the Tallinn Manual 2.0". International anerkannte Cybernormen können hier sicherlich helfen. Michael Schmitt, Professor für Völkerrecht an der Universität Exeter, stellte fest, dass die Herausforderung bei globalen Normen für den Einsatz von Cyberwaffen nicht in ihrer Schaffung liegt – er betonte, dass solche Normen bereits existieren – sondern in ihrer eindeutigen Auslegung und strengen Umsetzung. Und auch wenn Cyber-Bedrohungen nicht an nationalen Grenzen Halt machen und private Akteure in diesem Bereich eine wichtige Rolle spielen, sind Staaten nach wie vor die wichtigsten Akteure, wenn es darum geht, internationale Cyber-Normen durchzusetzen und damit zu stärken, so die Panelisten.


Erfahren Sie hier mehr über die MSC Cyber Security and Technology Series.

30. Mai 2018, von MSC

Zurück