In den Debatten über die Regeln und Grenzen des staatlichen militärischen und nachrichtendienstlichen Agierens im Cyberspace stellt sich unter anderem die Frage danach, welche Bestandteil des Cyberspace als dessen Kernbereich angesehen werden können, die es im Interesse aller als unbedingt zu schützen gilt. Dahinter verbirgt sich die Erkenntnisse, dass invasive Aktivitäten im Cyberspace unter Umständen nicht nur das jeweilige Ziel treffen sondern entweder bewusst die von allen genutzten Infrastrukturen manipuliert werden und andererseits auch immer die Gefahr besteht, dass Schadcode etc. entweicht und „in freier Wildbahn“ unbeabsichtigte und z.T. auch unkalkulierbare Schäden verursacht. Der Zero-Day-Exploit EternalBlue, der im vergangenen Jahr aus dem „Giftschrank“ der NSA gestohlen wurde, dürfte als bislang schwerster solcher unbeabsichtigten Vorfälle gelten.
Bislang gibt es noch keine verbindlichen Regeln und explizite Normen für das staatliche Agieren im Cyberspace. Vor diesem Hintergrund hat die Global Commission on the Stability of Cyberspace (GCSC), die als gemeinsamer ThinkTank vom „Zentrum für Strategische Studien Den Haag“ und dem „EastWest Institute“ aus New York getragen wird, bereits im Sommer einen Vorschlag erarbeitet, welche Teile des Cyberspace als Kernbereich des Cyberspace angesehen werden können, die nicht durch staatlichen Eingriffe manipuliert bzw. vor diesen geschützt werden müssen. Das Paper „Definition of the public core, to which the norm applies“ (lokale Kopie) listet dabei die folgenden öffentlichen Infrastrukturen und IT-Systeme auf:
- Packet routing and forwarding: also jegliche Geräte und Infrastrukturen die für die Übertragung von Daten zwischen Systemen im Cyberspace notwendig sind, inklusiver der vollständigen „Supply chain“ der Hardware dieser Geräte und dessen Bestandteile wie die verwendeten Chips etc.
- Naming and numbering systems: jegliche Geräte und Systeme die für die Adressierung und Identifizierung von IT-Systemen in Netzwerken benötigt werden und entsprechend für die Zustellung von Daten an ein Empfänger-System unabdingbar sind. Darunter fällt bspw. das sogenannte Domain Name System (DNS) dass in der Vergagenheit bereits mehrfach kurzzeitig manipuliert wurde um Datenströme gezielt umzuleiten oder zu unterbinden
- Cryptographic mechanisms of security and identity: Alle Systeme und Mechanismen die zur Identifikation und Authentifikation von Systemen untereinander sowie Personen gegenüber IT-Diensten dienen
- Physical transmission media: Alle Infrastrukturen mit deren Hilfe Daten zwischen Punkten übertragen werden, wie Kabel und Satelliten-Systemen sowie die Geräte und Systeme zu deren Signalverarbeitung und Weiterleitung
Die Liste bezieht sich dabei in erster Linie auf öffentliche Systeme, Geräte und IT-Dienste deren Verfügbarkeit und Unversehrtheit für viele Personen oder andere IT-Systeme entscheidend ist, schließt dabei jedoch explizit einzelne Individuen oder Unternehmen bewusst aus
Die GCSC will mit der Veröffentlichung dieser Analyse einen ersten Vorstoß wagen, die Debatten über Normen für staatliches Agieren konkret an jeden Infrastrukturen zu verankern, die für das weltweite Funktionieren des gesamten Cyberspace relevant sind. Die Autoren verweisen aber auch darauf, dass dies in erster Linie als Diskussionsbeitrag verstanden werden soll und sich entsprechend verändern kann und weitergedacht werden muss