Wie bereits im vergangenen Jahr, an dieser Stelle ein Rückblick auf die Münchner Sicherheitskonferenz (MSC) und die Frage, welchen Raum Cyber-Themen dort eingenommen haben. Den Anfang macht mit diesem Beitrag eine Kurzanalyse des Münchner Sicherheitsberichtes (Quelle / lokale Kopie), der quasi als „Framing“ der Debatten und Themen begleitend zur MSC veröffentlicht worden ist.
Der Cyberspace taucht bereits in der Liste der Top 10 der identifizierten „political risk stories for the year ahead“ auf (S.11). Dort wird darauf verwiesen, dass die militärischen, nachrichtendienstlichen und nicht-staatlichen Aktivitäten in dieser Domäne (im Bericht als „competation in cyberspace“ bezeichnet) ein hohes Eskalationspotentials bergen bzw. die Gefahr von „versehentlichen“ internationalen Konflikten und „Unfällen“. Damit gehen die Autoren auf den Umstand ein, dass Cyberattacken und Zugriffe in den vergangenen Jahren zunehmend Bestandteil militärischer und geopolitischer Aktivitäten geworden sind oder als Mittel der außenpolitischen Einflußnahme eingesetzt wurden. Die Operationen selbst bleiben dabei so gut wie immer unterhalb kritischer Schwellen von Daten-Abflüssen, Manipulationen oder Sabotage. Letztlich geht es jedoch immer um die Bewertung der Vorfälle durch einen Staat und dies gibt Anlass zur Sorge vor Eskalationen oder militärischen Reaktionen mit klassischen („kinetischen“) Mitteln.
Eine zweite umfangreichere Erwähnung des Cyberspace erfolgt mit Blick auf Analysen (S. 19), wie, in welchem Umfang und bei welchen Kosten die EU ihre militärischen Kapazitäten modernisieren, vernetzen und für gemeinsame Operationen integrieren könnte:
„…the forces’ capabilities are significantly determined by the degree to which they are digitally connected and make best use of data (..) Today, however, Europe’s armed forces suffer from an interconnectedness and digitization gap. To close this gap, they require platforms that are able to communicate with each other, e.g., through high-bandwidth data links. Such an upgrade costs approximately USD 120 to 140 billion. Infrastructure that enables forces to process, analyze, combine, and evaluate data is also needed, requiring USD 10 to 15 billion on C4ISR* and combined operations centers per year. Finally, a step-up in European cyberforces is needed to protect and defend these interconnected platforms – estimated at an additional USD 2 to 3 billion per year.
Neben diesen beiden Stelle betrachten die Autoren den Cyberspace als eines von drei zentralen Themen (S. 50 ff) im Rahmen des diesjährigen Berichts:
Cybersecurity issues have immediate ramifications for classic security topics, such as nuclear deterrence. If cyberattacks on nuclear capabilities materialize, uncertainty and poor decision making might bring instability to an already fragile nuclear arms regime.1 As a consequence, cybersecurity has moved to the top of the agenda for many states and their militaries. The past years have been marked by the emergence of a group of countries with superior cybercapabilities, fundamental disagreements over norms governing cyberspace, and previously unseen levels of cybercrime activity.
Neben dem Hinweis auf die weiter zunehmende militärische Aufrüstung in dieser Domäne und auf unterschiedliche militärisch strategische Bedeutung des Cyberspace für einige Staaten verweisen die Analysen insbesondere auf neue Akteure in diesem speziellen Segment. Allen voran wird dabei Nord-Korea genannt, das in den vergangenen Monaten mit seiner „Unit 180“ zunehmend an Bedeutung gewonnen hat: „Beyond missiles, cyberweapons are the only area where North Korea can effectively threaten more advanced countries, which increasingly rely on technical sophistication for their infrastructure„.
Als zentrale Aufgaben für anstehende Debatten und politische Entscheidungsprozeße rund um den Cyberspace identifiziert der Bericht zusammenfassend die folgenden Aufgaben (S. 52):
- Eine Debatte über die Terminologie und gemeinsame Begriffe, die insbesondere zwischen den USA/Europa und Russland/China noch sehr divergiert. Damit verbunden sind letztlich die Fragen, was im Cyberspace und im Namen des Ziel von Sicherheit in dieser Domäne durch Staaten reguliert werden soll, darf und muss. Dabei stoßen in den Debatten die eher technische Sicht von „IT Security“ auf eine umfassendere Wahrung der „Information security“, die auch die Kontrolle über die Verbreitung von Inhalten im Cyberspace umfasst
- Die Fragen nach der Anwendbarkeit des etablierten internationalen Rechts im Cyberspace, insbesondere dem Recht auf Selbstverteidigung und den Schwellen von Cyberattacken die staatliche Gegenmaßnahmen rechtfertigen
- Eng mit dem voran gegangenen Punkt verbunden steht der Aspekt der Attribution weiterhin im Fokus, da mit der (möglichst zeitnahen) Identifizierbarkeit eines Angreifers entscheidende Fragen nach der Legitimität, der Reaktion und deren Verhältnismäßigkeit verbunden sind
- Weitere „sector specific agreements“, also Abkommen die auf Basis „kleinster gemeinsamer Nenner“ von Staaten zustande kommen, wie bspw. der Vorstoß für ein Abkommen zum weltweiten Schutz der Finanz-IT-Infrastrukturen. Ein solches Vorgehen beruht auf der erhöhten Wahrscheinlichkeit von gemeinsamen staatlichen Interessen und kann damit den Weg zu umfassenderen Abkommen ebnen.
- Als letzten Punkt verweit der Bericht auf die Frage, innerhalb welcher internationaler Gremien zukünftig über die Weiterentwicklung der Domäne Cyberspace entschieden werden soll. Damit wird implizit auf die anhaltenden Debatten und Bemühungen verwiesen, die bisherigen Verwaltungsstrukturen im Rahmen der (stark durch die USA und US-Unternehmen geprägten) IANA/ICANN in Richtung einer internationalen Verwaltung im Rahmen der UN-Behörde International Telecommunication Union (ITU) zu verlagern.
Alle Details zum Nachlesen im Originaldokument, hier zum Download (lokale Kopie).