Wir brauchen eine Genfer Konvention für die digitale Welt

Nachfolgend lesen Sie die Übersetzung eines Blogbeitrags von Brad Smith, President und Chief Legal Officer von Microsoft.


Wir brauchen eine Genfer Konvention für die digitale Welt

Auf der diesjährigen RSA Conference in San Francisco trafen sich Sicherheitsexperten der ganzen Welt, um in einer kritischen Zeit über Cybersicherheit zu diskutieren. Denn im vergangenen Jahr gab es einen weiteren Anstieg der Cyberkriminalität, und es gab zahlreiche Cyberangriffe, die neuartig und entsprechend beunruhigend sind. Dabei ging es nicht mehr nur um finanzielle Bereicherung, sondern auch um neue, von Nationalstaaten gelenkte Angriffe. Beim Treffen der Technikspezialisten und weiterer Fachleute aus dem gesamten Technologiesektor wurde in San Francisco gefragt, wie wir darauf reagieren sollten.

Zunächst sollten wir verstehen, dass Einzelmaßnahmen nicht ausreichend sein können, um diese Probleme zu lösen. Selbstverständlich muss jedes einzelne Unternehmen künftig mehr für den Schutz und die Verteidigung seiner Kunden rund um den Globus tun. Wir von Microsoft haben uns genau das vorgenommen. Das gilt auch für andere Unternehmen unserer Branche. Darüber hinaus ist es jetzt an der Zeit, die Regierungen weltweit aufzufordern, internationale Vorschriften zum Schutz der zivilen Nutzung des Internets zu erarbeiten und umzusetzen.

Seit dem Ende des Zweiten Weltkriegs regelt die Vierte Genfer Konvention den Schutz von Zivilpersonen in Kriegszeiten. Entsprechend brauchen wir jetzt eine Digitale Genfer Konvention, die alle Regierungen verpflichtet, die Zivilbevölkerung vor nationalstaatlichen Angriffen auch in Friedenszeiten zu schützen. So wie mit der Vierten Genfer Konvention beschlossen wurde, dass es zum Schutz der Zivilbevölkerung der aktiven Beteiligung des Roten Kreuzes bedarf, erfordert der Schutz vor nationalstaatlichen Cyberangriffen die aktive Unterstützung durch Technologieunternehmen. Der Technologiesektor spielt eine besondere Rolle als Ersthelfer in Sachen Internet. Deshalb sollten wir uns gemeinsam zu Maßnahmen verpflichten, um die Sicherheit im Internet zu erhöhen. Wir sollten die Rolle einer neutralen „Digitalen Schweiz“ übernehmen, die Kunden überall unterstützt und das Vertrauen der gesamten Welt besitzt.

Im Video: Brad Smith über seine Forderung nach einer Digitalen Genfer Konvention

Ein wachsendes Problem erfordert neue Lösungen
Beginnen wir mit den schlechten Nachrichten: 74 Prozent aller Unternehmen weltweit gehen davon aus, jedes Jahr gehackt zu werden. [1] Der wirtschaftliche Schaden durch Cyberkriminalität bis 2020 wird auf 3 Billionen US-Dollar geschätzt. Als wären diese enormen Summen noch nicht beeindruckend genug, wird der finanzielle Schaden von neuen und sich ausweitenden Bedrohungen überschattet.

Besonders beunruhigend ist, dass in den vergangenen Jahren eine deutliche Zunahme bei den nationalstaatlichen Angriffen registriert wurde. Der Angriff durch Nordkorea auf Sony im Jahr 2014 war nicht der erste Vorfall von nationalstaatlicher Seite, aber er markierte einen klaren Wendepunkt. Während es bei früheren Angriffen vor allem um Wirtschafts- und Militärspionage ging, attackierte der Sony-Angriff die freie Meinungsäußerung. Bekämpft werden sollte eine amerikanische Filmkomödie über Nordkoreas Staatsoberhaupt Kim Jong-un. 2015 folgte eine international noch stärker geführte Debatte. Es ging um nationalstaatliche Angriffe, die als Ziel den Diebstahl des geistigen Eigentums von Unternehmen hatten. Im letzten Jahr verschärfte sich das Problem, als es um Hacking-Vorfälle ging, die grundlegende Abläufe in Demokratien direkt beeinflussen sollten.

Plötzlich befinden wir uns in einer Welt, wo scheinbar alles zur Zielscheibe nationalstaatlicher Angriffe werden kann. Konflikte zwischen Nationen werden nicht mehr nur auf dem Boden, zur See und in der Luft ausgetragen – vielmehr wird der Cyberspace immer mehr zum neuen und globalen Schlachtfeld. Zunehmend besteht die Gefahr, dass Regierungen versuchen, Software als Waffe einzusetzen, um nationale Sicherheitsinteressen zu verfolgen. Die Beteiligung staatlicher Stellen an Cyberkriminalität nimmt ständig zu.

Das neue Schlachtfeld unterscheidet sich in grundlegender Weise von den bisher bekannten. Das beginnt schon mit der Tatsache, dass der Cyberspace in keiner klar fassbaren Form in der realen Welt existiert. Doch in Wahrheit wird der Cyberspace durch die Privatwirtschaft geschaffen, betrieben, verwaltet und gesichert. Regierungen können dabei zwar die unterschiedlichsten Interessen verfolgen, doch letztlich geht es bei diesem neuen Kampf um das private Eigentum von Zivilpersonen, ganz gleich, ob Seekabel, Rechenzentren, Server, Laptops oder Smartphones.

Daraus ergibt sich eine weitere Konsequenz. Heute agiert der Technologiesektor als Ersthelfer bei nationalstaatlichen Angriffen über das Internet. Auf einen Cyberangriff durch einen Nationalstaat reagiert zunächst keine andere Nation, sondern Privatpersonen.

Auch auf einer weiteren und ebenso wichtigen Ebene hat sich die Situation verschärft. Seit der Unterzeichnung der Vierten Genfer Konvention 1949 haben sich die Länder der Erde verpflichtet, sich an Regeln zum Schutz von Zivilpersonen in Kriegszeiten zu halten. Bei Hackerangriffen durch Nationalstaaten geht es inzwischen um Angriffe auf die Zivilbevölkerung in Zeiten des Friedens.

Das ist nicht die Welt, die sich die Erfinder des Internets vor 25 Jahren vorgestellt haben. Aber es ist die Welt, in der wir heute leben. Angesichts der Herausforderung, vor der die Zivilgesellschaft heute steht, müssen wir uns aus dem Technologiesektor fragen, wie wir damit umgehen.

Stärkere Reaktionen des Technologiesektors
Microsoft wie auch andere Unternehmen aus dem Technologiesektor beschäftigt sich derzeit mit neuen Schritten, um seine Kunden besser vor nationalstaatlichen und anderen Angriffen zu schützen. Dazu zählen neue Sicherheitsfunktionen auf allen Ebenen des IT-Stack. Dafür geben wir jährlich 1 Mrd. US-Dollar im Bereich der Sicherheit aus. E-Mails sind derzeit Hauptziel von Cyberangriffen, schätzungsweise 90 Prozent aller Hackerangriffe beginnen mit einem Phishing-Angriff per E-Mail. Deshalb haben wir im letzten Jahr Advanced Thread Protection für Microsoft Exchange Online eingeführt. Diese neue Funktion identifiziert erkennbare Malware und verdächtige Codemuster in E-Mails und stoppt diese, bevor sie Schaden anrichten können. Außerdem bieten wir Office 365 Threat Intelligence an. Es versorgt Unternehmen mit Informationen über die am stärksten angegriffenen Nutzer und über die Häufigkeit von Malware und liefert unternehmensrelevante Sicherheitsempfehlungen. Erst in der vergangenen Woche haben wir neue Data Governance-Funktionen für Office 365 eingeführt. Dazu zählen Warnungen, die automatisch an die Nutzer gesendet werden, wenn jemand versucht, ihren Posteingang zu kopieren und herunterzuladen. In den kommenden Monaten werden wir weitere neue Features vorstellen, die für zusätzlichen Schutz sorgen.

Allerdings können sicherheitsrelevante Produktfunktionen aus vielen Gründen nur ein Anfang sein. Als bahnbrechender Erfolg bei der Erkennung nationalstaatlicher Angriffe gelten inzwischen Datenanalyse und maschinelles Lernen. Die Rechenzentren von Microsoft sind mit über einer Milliarde Computing-Endpunkten vernetzt und empfangen täglich über eine Billion Datenpunkte. Allein von Advanced Threat Protection werden pro Tag sechs Milliarden E-Mails verarbeitet. Das ist die Grundlage für erstklassige Frühwarnsysteme zur Erkennung von Cyberangriffen.

Bei Microsoft haben wir ein einzigartiges, dreistufiges internes System geschaffen, an dem die 3.500 Sicherheitsexperten aus dem gesamten Unternehmen beteiligt sind. Das Microsoft Threat Intelligence Center (MSTIC) ist unsere Aufklärungsabteilung. Sie durchkämmt den konstanten Datenstrom aus unseren mehr als 200 Clouddiensten und Drittanbieter-Feeds. Unter Nutzung von maschinellem Lernen, Verhaltensanalysen und forensischen Techniken erstellt dieses Team ein Echtzeitbild – einen sicherheitsrelevanten grafischen Überblick, der die hochentwickelten und hartnäckigen Bedrohungen durch Cyberaktivitäten für Microsoft und seine Kunden abbilden kann.

Wird eine Bedrohung erkannt, alarmiert das MSTIC unser Cyber Defense Operations Center (CDOC), eine stets einsatzbereite Kommandozentrale. Sie ist rund um die Uhr, sieben Tage pro Woche mit einem rotierenden Team von Sicherheits- und Technikexperten besetzt, die aus unserem gesamten Produkt- und Dienstleistungsbereich stammen. Dieses Team von Spezialisten ist unsere Frontlinie: Es startet Sofortmaßnahmen gegen Bedrohungen, zur Verteidigung unserer eigenen Systeme und zum Schutz unserer Kunden.

Wenn wir Bedrohungen erkennen, arbeiten wir eng mit den Kunden zusammen – und bauen aber gleichzeitig auf juristische Schritte. Dafür ist unsere Digital Crimes Unit (DCU) zuständig, die neue und innovative Methoden nutzt, um Angriffe abzuwehren, einschließlich solcher, die von Nationalstaaten ausgehen. Letztes Jahr konnte das MSTIC ein Angriffsmuster identifizieren, das zu einer Gruppe führte, die sich einem Nationalstaat zuordnen ließ. Diese Gruppe hatte Internet-Domains registriert, unter Verwendung der Markennamen von Microsoft und anderer Unternehmen. Wir gingen vor das Bundesgericht, bewirkten gerichtliche Anordnungen und beantragten erfolgreich die Einsetzung eines Sonderrichters, der weitere Schritte in unserer Angelegenheit beaufsichtigen und beschleunigen soll. Im Rahmen dieser richterlichen Aufsicht können wir jetzt Internet-Registrierungsbehörden benachrichtigen, wenn diese Gruppe versucht, eine gefälschte Microsoft-Domain zu registrieren. Und wir können verlangen, die Kontrolle über diese Domain sofort an eine von der DCU betriebene Sonderabteilung zu übertragen.
Mit diesem neuartigen Ansatz können wird die Nutzung dieser Domains durch Nationalstaaten innerhalb von 24 Stunden unterbinden. Seit dem letzten Sommer konnten wir als Reaktion auf erweiterte nationalstaatliche Angriffe mehr als 60 Domains blockieren – in 49 Ländern, verteilt auf sechs Kontinente. In jedem dieser Fälle gelang es uns, den Datenfluss von allen Kunden, deren Computer gehackt wurden, zu den Hackern zu stoppen. Wir informierten die Kunden über den Angriff und halfen ihnen, ihre Computernetze zu säubern und ihre Sicherheit zu erhöhen.

Im gesamten Technologiesektor arbeiten Unternehmen intensiv an einer höheren Cybersicherheit für Kunden, was auch den Schutz vor nationalstaatlichen Bedrohungen einschließt. Jeder einzelne Fortschritt auf diesem Gebiet leistet einen wichtigen Beitrag. Doch wir sind noch weit von einem Sieg entfernt. Stattdessen beobachten wir ein verstärktes Engagement von Regierungen auf dem Gebiet offensiver Cyberangriffe. Deshalb müssen wir uns einer wichtigen Erkenntnis stellen: Die Probleme lassen sich nicht im Alleingang lösen.

Aufruf an Regierungen, mehr zu tun
Es ist an der Zeit, die Regierungen der Welt aufzurufen, sich auf internationale Normen zur Cybersicherheit zu verständigen, die in den letzten Jahren entwickelt wurden. Es müssen neue und verbindliche Regeln vereinbart und umgesetzt werden.

Kurz gesagt: Die Zeit ist reif für die Unterzeichnung einer Digitalen Genfer Konvention zum Schutz der Zivilbevölkerung im Internet.

Die Grundlage für neue internationale Regeln gibt es bereits. In den letzten zwei Jahren wurden wichtige Fortschritte bei der Entwicklung globaler Normen für die Cybersicherheit erzielt. Zum Beispiel empfahlen in Juli 2015 Regierungsexperten aus 20 Ländern Normen zur Cybersicherheit für Nationalstaaten, Normen „zur Förderung eines offenen, sicheren, stabilen, barrierefreien und friedlichen IKT-Umfelds“ [2]. Sie umfassen die wichtigsten Grundsätze, die Regierungen daran hindern sollen, sich mit Hilfe der Informations- und Kommunikationstechnik (IKT) an böswilligen Aktivitäten zu beteiligen oder in ähnlicher Weise kritische Infrastrukturen anderer Länder zu schädigen.

Wichtig ist außerdem, was einige Regierungen bereits bewiesen haben: Die Probleme lassen sich auch in direkten und offenen bilateralen Gesprächen ansprechen. Nach schwierigen Verhandlungen mit hochrangingen Vertretern der USA und Chinas kam es im September 2015 zu wichtigen Vereinbarungen: Keine der beiden Regierungen wird sich künftig am Diebstahl geistigen Eigentums durch Cyberangriffe beteiligen oder ihn unterstützen. [3] Das ebnete den Weg, dass sich die Staats- und Regierungschefs der G20-Länder auf ihrem Gipfeltreffen zwei Monate später in Antalya noch umfassender auf das gleiche Prinzip verständigen konnten. [4] Inzwischen gibt es weitere zwischenstaatliche Verhandlungen, um Fortschritte auf diesem Gebiet zu erzielen.

All dies weist den Weg zu neuen, zukunftsorientierten Schritten. Erstens besteht eine neue Chance für wichtige bilaterale Maßnahmen. So wie die Vereinigten Staaten und China im Jahr 2015 die gegenseitigen Hürden überwinden und wichtige Fortschritte beim Verbot von Cyber-Diebstahl geistigen Eigentums erzielen konnten, könnten die Vereinigten Staaten auch mit Russland zu einer Vereinbarung gelangen, die nationalstaatliche Hackerangriffe auf unsere wirtschaftlichen und politischen Infrastrukturen unterbindet.

Zweitens sollten die Regierungen auf der ganzen Welt ein breites multilaterales Abkommen anstreben, das die jüngst entwickelten Normen zur Cybersicherheit als globale Regeln ratifiziert. So wie die Regierungen der Welt im Jahr 1949 zusammenkamen, um die Vierte Genfer Konvention zum Schutz von Zivilpersonen in Kriegszeiten zu unterzeichnen, so brauchen wir jetzt eine Digitales Genfer Konvention, die alle Regierungen zur Umsetzung der Normen verpflichtet, die zum Schutz der Zivilbevölkerung in Zeiten des Friedens im Internet entwickelt wurden.

Eine solche Konvention sollte die Regierungen verpflichten, auf Cyber-Angriffe auf den privaten Sektor oder kritischer Infrastrukturen und auf den Einsatz von Hacking zum Diebstahl geistigen Eigentums zu verzichten. Außerdem sollten Regierungen verbindlich private Bemühungen unterstützen, mit denen derartige Ereignisse erkannt, eingedämmt, abgewehrt und unschädlich gemacht werden können. Darüber hinaus sollten die Regierungen die Pflicht haben, Erkenntnisse zu möglichen Schwachstellen den Dienstanbietern offenzulegen, anstatt diese zu sammeln, zu verkaufen oder gar selbst auszunutzen.

Außerdem muss im Rahmen einer Digitalen Genfer Konvention eine unabhängige Institution geschaffen werden, die den Interessen des öffentlichen wie auch des privaten Sektors gerecht wird. Konkret brauchen wir eine unabhängige Institution, die in der Lage ist, nationalstaatliche Angriffe zu untersuchen, Beweise zu sammeln und deren Zuordnung zu bestimmten Ländern öffentlich bekanntzugeben.

Wir brauchen eine Institution, die sich mit Cyber-Bedrohungen beschäftigen kann, wie wir das von der Internationalen Atomenergiebehörde IAEO auf dem Gebiet der Nichtverbreitung von Kernwaffen kennen. Diese Institution sollte aus technischen Experten aus den Regierungen, der Privatwirtschaft, der Wissenschaft und der Zivilgesellschaft bestehen. Sie sollte in der Lage sein, konkrete Angriffe zu untersuchen und Beweise für die mögliche Beteiligung einzelner Länder zu veröffentlichen. Nur so kann allen Nationalstaaten verdeutlicht werden, dass die ganze Welt erfährt, wenn sie gegen die Regeln verstoßen.

Aufbau einer vertrauenswürdigen und neutralen „Digitalen Schweiz“
Als Vertreter des Technologiesektors müssen wir gemeinsam handeln, um das Internet und die Kunden überall auf der Welt besser vor nationalstaatlichen Angriffen zu schützen. Als Ersthelfer bei Bedrohungen, die zum Teil auf unsere eigene Infrastruktur abzielen, ist es für uns Technologieunternehmen wichtig, konkrete Verpflichtungen zur Abschreckung und Abwehr von nationalstaatlichen Cyberangriffen einzugehen. So wie die Vierte Genfer Konvention das Rote Kreuz um Hilfe zum Schutz von Zivilpersonen in Kriegszeiten bat, erfordert der Schutz vor nationalstaatlichen Cyberangriffen die aktive Unterstützung durch den Technologiesektor.

Wir müssen von einer eindeutigen Prämisse ausgehen. Selbst in einer Welt des zunehmenden Nationalismus muss der globale Technologiesektor auf dem Gebiet der Cybersicherheit wie eine neutrale „Digitale Schweiz“ agieren. Wir werden unsere Kunden überall unterstützen und schützen. Wir werden keinerlei Beihilfe zu Angriffen auf Kunden leisten. Wir müssen das Vertrauen der Welt bewahren. Jede Regierung benötigt unabhängig von ihrer Ausrichtung und Politik eine nationale und globale IT-Infrastruktur, der sie vertrauen kann.

Diese Verpflichtung ist zu 100 Prozent defensiv und zu null Prozent offensiv. Das war grundlegend für unseren Ansatz als Unternehmen und Branche. Und das muss auch in Zukunft so bleiben.

Wenn wir diesen Worten wirksame Maßnahmen folgen lassen wollen, müssen wir als Branche gemeinsam klare, eigene Prinzipien formulieren und daran mitwirken, die erforderlichen Schritte zur Umsetzung dieser Ziele zu unternehmen. Zum Beispiel sollten wir uns verpflichten, nationalstaatliche Angriffe gemeinsam und proaktiv abzuwehren und gegebenenfalls die Auswirkungen derartiger Angriffe abzuschwächen. Wir sollten das Versprechen abgeben, auch weiterhin offensive Handlungen in keiner Weise und nirgendwo auf der Welt zu unterstützen. Wir sollten Software-Patches für all unsere Nutzer verfügbar machen, und zwar unabhängig von möglichen Angreifern und ihren Motiven. Wir sollten uns auf koordinierte Offenlegungspraktiken zum Umgang mit Schwachstellen bei Produkten und Diensten verständigen. Und wir sollten gemeinsam internationale Bestrebungen zur Gefahrenabwehr unterstützen, etwa indem wir die oben umrissene neue internationale Institution mit auf den Weg bringen. [5]

Wir können dabei auf großen Fortschritten aufbauen. Zum Beispiel arbeitet Microsoft bereits gemeinsam mit anderen führenden Cloud-Unternehmen wie Amazon und Google an der Bekämpfung von missbräuchlicher Cloud-Nutzung, etwa durch Spam und Phishing-Websites. Wir entwickeln gerade eine gemeinsame Vorgehensweise zur Meldung von Missbräuchen. Damit wollen wir die wechselseitige Verständigung über Missbrauchsfälle beschleunigen, die wir in den jeweils anderen Netzwerken entdecken. Bei Themen wie der Kundenbenachrichtigung über potenzielle nationalstaatliche Angriffe konnten wir alle von wichtigen Vorleistungen profitieren. Google und Facebook haben hier frühzeitig und beeindruckend Pionierarbeit geleistet. Ganz allgemein wird hier gut gearbeitet, und überall entstehen neue Formen der Zusammenarbeit, von neuen Startups bis hin zu den branchenweit größten Unternehmen.

Schließlich lohnt es sich in diesem Zusammenhang, einen Aspekt anderer aktueller Themen in Erinnerung zu rufen, bei dem wir als Technologiesektor Einigkeit gezeigt haben.

Die jüngsten Debatten über die Zuwanderung haben eine wichtige Wahrheit verdeutlicht: Der Technologiesektor als Branche vereint buchstäblich die ganze Welt unter seinem Dach. Zwar wurden die allermeisten Mitarbeiter unserer Microsoft-Belegschaft im Bundesstaat Washington in den Vereinigten Staaten geboren, aber wir haben auch Mitarbeiter aus insgesamt 157 Ländern. Wenn ich morgens ins Büro komme, habe ich schon seit langem den Eindruck, dass ich bei den „Vereinten Nationen der Informationstechnologie“ arbeite.

So sieht es auch in vielen anderen Unternehmen aus. Wir als Branche haben Menschen in einer Weise zusammengebracht, die das gegenseitige Verständnis und den gegenseitigen Respekt fördert. Wir müssen dieses globale Selbstverständnis zum Schutz der Menschen überall pflegen, und wir müssen ihr Vertrauen in uns als die „Digitale Schweiz“ der Weltgemeinschaft fördern und gewinnen.


[1] http://www.isaca.org/cyber/Documents/State-of-Cybersecurity-infographic.pdf

[2] http://www.un.org/ga/search/view_doc.asp?symbol=A/70/174

[3] https://www.whitehouse.gov/the-press-office/2015/09/25/fact-sheet-president-xi-jinpings-state-visit-united-states

[4] http://g20.org.tr/g20-leaders-commenced-the-antalya-summit/, in Absatz 26. Das G20-Kommuniqué bekräftigte die zuvor zwischen den USA und China erzielte Vereinbarung. Es besagt, „dass kein Land in der Absicht, Wettbewerbsvorteile für Unternehmen oder gewerbliche Bereiche zu erzielen, IKT-basierten Diebstahl von geistigem Eigentum, einschließlich Geschäftsgeheimnissen oder anderen vertraulichen Geschäftsinformationen, selbst begehen oder unterstützen soll“.

[5] Eine ausführliche Diskussion dieser Prinzipien finden Sie unter https://blogs.microsoft.com/on-the-issues/2016/06/23/cybersecurity-norms-nation-states-global-ict-industry


Über den Autor

Brad Smith
President und Chief Legal Officer
Brad Smith ist President und Chief Legal Officer von Microsoft. Er spielt eine wichtige Rolle bei der Vertretung des Unternehmens gegenüber der Öffentlichkeit. Gleichzeitig steht er an der Spitze vielfältiger Unternehmensaktivitäten zu wichtigen Themen, zu denen unter anderem Datenschutz, Sicherheit, Barrierefreiheit, nachhaltiger Umweltschutz und digitale Integration zählen.

Kommentar verfassen