Braucht die Welt eine "Digitale Genfer Konvention"?

Brad Smiths Vorschläge für die Grundzüge einer "Digitalen Genfer Konvention"
Microsofts Brad Smith fordert eine internationale Übereinkunft um "Zivilisten" im Internet zu schützen. Und einen Nicht-Kollaborationspakt aller IT-Firmen.
 
Wir befinden uns in einer Zeit, in der von Regierungsbehörden durchgeführte oder in Auftrag gegebene Cyberangriffe eskalieren, konstatiert Microsofts President und Chefanwalt Brad Smith. Die Art dieser Angriffe sei sowohl neu als auch beunruhigend. Die Investitionen von Regierungen in offensive Cyberkapazitäten wachsen, und das Risiko, dass Software als Waffe eingesetzt werde, um nationale Interessen zu verfolgen, steige immer mehr. Nichts scheine mehr als Angriffsziel tabu zu sein.
 
Nun, so fordert Smith, müssen sich die Regierungen dieser Welt zusammensetzen, um in einer globalen Übereinkunft Regeln für Cyberkriege aufzusetzen, eine "Digitale Genfer Konvention". Diese müsse insbesondere den Schutz von Privatunternehmen und der zivilen IT-Infrastruktur umfassen. Nationen sollten sich zudem Regeln auferlegen, die sicherstellen, dass "Cyberwaffen" nicht zu Massenvernichtungswaffen werden und dass sie nicht weitergegeben werden. Und sie sollten gefundene Schwachstellen in Softwareprodukten nicht geheim halten, ausnützen oder an andere Nationen verkaufen, sondern sie den Softwareherstellern mitteilen müssen.
 
Smith schilderte seine Gedanken gestern den Besuchern der grossen RSA-Securitykonferenz in San Francisco und hat sie zudem in einem ausführlichen Blogbeitrag dargelegt. (Der Link funktioniert in Explorer oder Chrome, aber nicht in Firefox).
 
Die Einhaltung der Regeln einer solchen Konvention, so Smith, sollte durch eine neu zu schaffende unabhängige internationale Organisation, analog zur Internationalen Atomenergie-Organisation IAEO überwacht werden.
 
Einige bilaterale und multilaterale Abkommen hätten bereits gezeigt, so Smith, dass Diplomatie im Cyberspace greifbare Resultate liefern könne. Als Beispiel führt der ein Abkommen zwischen den USA und China im September 2015 an. Darin hatten sich die beiden Grossmächte verpflichtet, keine Angriffe auf geistiges Eigentum von Unternehmen im anderen Land durchzuführen oder zu unterstützen. Dieses wiederum habe den Weg für ein ähnliches Abkommen der G20-Länder Ende 2015 geebnet.
 
Als Beispiel für die neue Art von Cyberangriffen durch Nationen führt Smith unter anderem die vermutlich von Nordkorea durchgeführte Attacke auf Sony im Jahr 2014 sowie die vermuteten Versuche, die Resultate von demokratische Wahlen zu manipulieren.
 
IT-Unternehmen an vorderster Front
Das Schlachtfeld, auf dem diese Angriffe durchgeführt werden, weist aber nach den Ausführungen Smiths eine
Brad Smith.
Besonderheit auf: Der Cyberspace werde von Privatunternehmen "produziert, betrieben, verwaltet und gesichert." Regierungsorganisationen würden natürlich auch eine Rolle spielen, aber die Angriffsziele, von Unterseekabeln über Rechenzentren bis zu Servern, Laptops und Smartphones seien im Besitz von Zivilpersonen.
Das heisst auch, dass die Verteidigung gegen einen Cyberkriegsakt zumindest anfänglich nicht etwa von nationalen Cybersoldaten, sondern durch Privatpersonen beziehungsweise Privatunternehmen übernommen werden. Dies mache insbesondere im Security-Bereich tätige Technologieunternehmen zur ersten Verteidigungslinie bei Cyberkriegen.
 
In einem längeren Abschnitt seiner Ausführungen – etwas Eigenlob muss sein – schildert Smith die vielen Aktivitäten, in die Microsoft im Security-Bereich investiert und die Erfolge die dadurch erzielt wurden. Microsoft hat beispielsweise ein eigenes "Threat Intelligence Center", das die Bedrohungslage analysiert, ein rund um die Uhr besetztes "Cyber Defense Operations Center", das sofort auf Angriffe reagieren soll sowie eine " Digital Crimes Unit", die auf rechtlichem Wege nach möglichen Gegenmassnahmen sucht.
Auch andere Unternehmen im IT-Sektor, so Smith, würden grosse Anstregungen unternehmen, um den Schutz ihrer Kunden zu verbessern. Aber die Branche müsse zu einer grundlegenden Erkenntniss kommen: Das Problem könne von keinem Unternehmen auf eigene Faust gelöst werden.
 
IT-Unternehmen als "Neutrale Digitale Schweiz"
Deshalb brauche es auch eine grosse Übereinkunft unter IT-Unternehmen, um das Internet und Kunden weltweit vor stattlichen Cyberattacken zu schützen. Es brauche Verpflichtungen, sich gegenseitig bei Angriffen zu helfen, Und der Technologiesektor müsse sich zur Neutralität verpflichten und eine Art Rotes Kreuz beziehungsweise sogar eine "Neutrale Digitale Schweiz" werden.
 
Im Kern dieses Plans steht für Smith das Gelöbnis, immer und überall die Kunden zu schützen, und niemals bei einem Angriff auf Kunden mitzuhelfen. Das Motto "Hundert Prozent Verteidigung, Null Prozent Angriff" sei für Microsoft und auch den Rest der IT-Industrie schon immer fundamental gewesen. Aber dies müsse auch so bleiben, wenn der Technologiesektor das Vertrauen der Welt aufrechterhalten wolle.
 
Leider unterlässt es Smith genauer zu definieren, ob er mit "Kunden" die eigenen Kunden, alle Kunden oder vielleicht sogar alle Menschen meint. Übrigens: Genfer Konvention, Rotes Kreuz, Digitale Schweiz? Brad Smith scheint recht Schweiz-affin zu sein. Und das hat einen Grund: Brad Smith hat eine Zeit lang am Institut für internationale Studien in Genf Internationales Recht und Wirtschaft studiert. (Hans Jörg Maron)
 
.