Staaten und Firmen formulieren Normen zur Stabilisierung des Cyberspace

Mehrere Akteure – von der Niederlande über Microsoft bis hin zu Singapur – schlagen globale Standards gegen Cyberattacken vor.
 
"Menschen und Organisationen können nicht mehr darauf vertrauen, dass sie den Cyberspace sicher und geschützt nutzen können, oder dass die Verfügbarkeit und Integrität von Diensten und Informationen sichergestellt ist." Es gebe "zunehmende soziale und politische Instabilität infolge bösartiger Handlungen im Cyberspace." Dies sagen keine Verschwörungstheoretiker, keine Technologieskeptiker und keine Security-Produktmarketeer.
 
Sondern dies sagt die Global Commission on the Stability of Cyberspace (GCSC), welche sich seit 2017 fragte: Wer stellt in der Epoche von Cyberschlachten mit staatlichen und nichtstaatlichen Angreifern die Stabilität im Cyperspace sicher und wie?
 
Die supranationale Organisation von Staaten, staatlichen Organisationen und Firmen publiziert in ihrem Bericht "Advancing Cyberstability" konkrete Empfehlungen für Standards und Richtlinien wie die Weltgemeinschaft reagieren sollte.
 
Dabei stellt sie schon mit dem ersten Vorschlag die übliche Staatenordnung in Frage. Sie fordert nämlich ein "Multistakeholder-Engagement" statt der herkömmlichen staatlichen Verantwortung. Die GCSC legt nahe, dass private Akteure aktiv für die globale Stabilität des Cyberspace sorgen sollen, weil die Praxis zeige, dass die Schlacht eigentlich zwischen nichtstaatlichen Angreifern und Verteidigern ausgefochten werde. "Die Kommission kam zu dem Schluss, dass diese nichtstaatlichen Akteure nicht nur für die Gewährleistung der Stabilität des Cyberspace von entscheidender Bedeutung sind, sondern dass auch sie sich an Prinzipien orientieren und an Normen gebunden sein sollten."
 
Das hiesse unter anderem mehr Einfluss und Verantwortung für die Technologiebranche in digitalisierten staatlichen Kernaufgaben. "Staatliche und nichtstaatliche Akteure dürfen keine Cyber-Operationen betreiben, unterstützen oder zulassen, die darauf abzielen, die technische Infrastruktur zu stören, die für Wahlen, Referenden oder Volksabstimmungen unerlässlich ist", lautet einer der vorgeschlagenen Standards.
 
"Verpflichtung zum Austausch über Schwachstellen"
Ein weiterer besagt, dass Staaten ihnen bekannte IT-Security-Lücken im Zweifelsfalle bekannt geben sollen.
 
Eine dritte Richtlinie lautet: "Staatliche wie nichtstaatliche Akteure sind verpflichtet, Informationen über Schwachstellen auszutauschen, um böswillige Cyberaktivitäten zu verhindern oder zu mindern."
 
Zudem sollen Firmen und andere nichtstaatliche Akteure sich nicht an offensiven Cyberorganisationen beteiligen dürfen.
 
Der letzte Punkt könnte unter anderem das GCSC-Gründungsmitglied Microsoft in die Zwickmühle bringen, da die Firma nun für zehn Milliarden Dollar eine Pentagon-Cloud bauen soll, während die USA erneut andere Staaten oder Einzelpersonen in fremdem Territorium angreifen könnten.
 
Es gibt weitere Vorschläge im Bericht, welche die Geschäftspraktiken von Tech-Firmen und die Governance von Staaten betreffen, ebenso Gedanken, wie man diese implementieren könnte und wegen Verantwortlichkeiten.
 
Es handle sich um den Abschlussbericht von Regierungen, Cybersecurity-Organisationen und Konzerne, hält die GCSC fest, welche auch Black Hat USA, Google oder das Schweizerische Aussendepartement zu den Unterstützern zählt.
 
Aber mit dem Bericht ist die Arbeit laut den Initiatoren nicht getan: Stef Blok, Aussenminister der Niederlande und Mitbegründer der GCSC sagt: "Da die Stabilität im Cyberspace direkt mit der Stabilität der realen Welt verbunden ist, ist ein solcher Cyberstabilitätsrahmen wichtiger denn je. Der nächste Schritt in diesem multilateralen Prozess besteht darin, Beweise zu sammeln und diejenigen, die gegen die Regeln verstossen, zur Verantwortung zu ziehen. Gemeinsam müssen wir für grössere Verantwortlichkeit sorgen und alle Teile des Puzzles zusammensetzen, zwischen Regierungen, Technologie- und Sicherheitsunternehmen und der Zivilgesellschaft." (mag)