Ein Vertreter von Microsoft hat auf dem diesjährigen Internet Governance Forum in Genf den, bereits im Frühjahr eingebrachten Vorschlag einer digitalen Genfer Konvention bekräftigt. Der Vorstoß des Unternehmens beruht im Kern auf der Selbstverpflichtung von Staaten sich nicht am „Wettrennen“ um Sicherheitslücken zu beteiligen um diese für eigene Zwecke zu nutzen, sondern im Sinne der Verbesserung der globalen IT-Sicherheit diese zur Behebung zu melden. Letztlich sollen damit Vorfälle wie die massiv schädigenden Malware-Wellen WannaCry und NotPetya eingedämmt werden, die beide auf Sicherheitslücke EternalBlue aus dem „Giftschrank“ der NSA basierten.
Der Vorschlag wurde in Genf jedoch durchaus kontrovers diskutiert, unter anderem weil die anwesenden Diplomaten die Aussicht auf den Abschluß eines solchen Vertrages und insbesondere dessen Einhaltung für unrealistisch betrachten und eher auf „kleinteiligere“ Maßnahmen wie nationale Ansätze hoffen. Eine ähnliche Kritik wurde bereits im Sommer durch das CCDCOE (lokale Kopie) der NATO vorgebracht. Auch die originalen, namensgebenden Genfer Konventionen sind im Kern Selbstverpflichtungen der Staaten, enthalten jedoch die Verpflichtung zur Meldung und Ahnung schwerwiegender Verstöße die in vielen Staaten in nationalem Recht verankert worden ist. Für die ablehnende Haltung dürfte auch beigetragen haben, dass – anders als bei „klassischen Konflikten“ – die Zurechnung von staatlichen Cyberoperation, deren Aufdeckung und Rückverfolgung ungleich schwerer und für Angreifer ungleich leichter abzustreiten ist.
Damit bleibt jedoch die Frage im Raum, mit welchem Kontroll-Regime der aktuell florierende Handel mit Sicherheitslücken eingeschränkt werden soll. Nationale Lösungen und deren Durchsetzung sind leichter umzusetzen, jedoch schwer auf einem gemeinsamen Standard zu halten. Andererseits zeigen die Erfahrungen mit dem Transparenz-Vorstoß im Rahmen des Wassenaar-Abkommens, dass dies durchaus effektiv wirksam werden kann – auch wenn sich im konkreten Fälle betroffene Unternehmen sich durch eine Verlegung der Firmenzentrale dem Einflußgebiet des Abkommens entziehen konnten.