Der Cyberraum ist dem deutschen Verständnis nach »ein Raum der Freiheit, der Sicherheit und des Rechts«. Der allgemeine Freiheitscharakter und damit die Innovationskraft des Internets sind jedoch durch die zunehmende Kontrolle des Netzes durch Regierungen gefährdet. Wenn Deutschland im Jahr 2016 den Vorsitz der Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) übernimmt, sollte es – bestärkt durch seine nicht offensiv-militärisch ausgerichtete Cybersicherheitsstrategie – dafür sorgen, dass Vertrauens- und sicherheitsbildende Maßnahmen (VSBM) für den Bereich der Cybersicherheit erstmals in allen drei Dimensionen der OSZE-Zusammenarbeit (den »drei Körben«) Sicherheit, wirtschaftliche Zusammenarbeit sowie kultureller Austausch und Menschenrechte vorangebracht werden. Im Jahr 2013 hatten die 57 Mitgliedstaaten der OSZE, darunter die USA, Russland, Kanada und die europäischen Staaten, erstmals elf VSBM für den Bereich der Cybersicherheit beschlossen. Dabei mangelte es jedoch an Maßnahmen, die über die politisch-militärische Vertrauensbildung hinausgehen.
Erfahrungen Deutschlands für die OSZE nutzen
Deutschland ist prädestiniert für diese Aufgabe, weil es erstens durch seine historisch gewachsene politische und wirtschaftliche Vernetzung nach West und Ost und sein diplomatisches Engagement als Mediator respektiert wird. Zweitens nimmt Deutschland mit seinen anerkannt hohen technischen und regulativen Standards – etwa in der Datensicherheit und im Datenschutz – bei diesem Thema eine Vorbildfunktion ein. Und drittens engagiert sich Deutschland seit vielen Jahren erfolgreich in Gremien der Normen- und Regelsetzung für den Cyberraum, etwa in den Arbeitsgruppen für Informationssicherheit der Vereinten Nationen (GGE). Auf diesem Erfahrungsschatz kann Deutschland aufbauen.
»Korb eins«: Die Sicherheitsdimension
Der VSBM-Maßnahmenkatalog von 2013 ist eine Aufstellung freiwilliger Vereinbarungen zur Kooperation der Mitgliedstaaten im militärischen Bereich. Beim Thema Cybersicherheit einigte man sich hier darauf, die OSZE als Plattform für den Austausch über Informationen zu Cyberangriffen und für die gegenseitige Unterstützung beim Aufbau nationaler Kapazitäten für einen besseren IT-Grundschutz zu nutzen. Die Kooperation scheitert jedoch häufig nicht nur an mangelndem Vertrauen, sondern an der hohen technischen Komplexität des Themenfeldes und am Streit um Terminologien. So gibt es beispielsweise keine allgemeingültige Definition des Begriffs Informationssicherheit. In China und Russland fasst man darunter auch das Wappnen gegen ausländische Propaganda und oppositionelle Bestrebungen; im Westen hingegen versteht man darunter den Schutz von IT-Systemen. Damit der gemeinsame Schutz kritischer Infrastrukturen nicht an technologischem Unverständnis oder terminologischen Differenzen scheitert, sollte der deutsche Vorsitz dafür Sorge tragen, gezielt Wissenschaftler, vor allem aus der Informatik, in die Cyberdiplomatie einzubeziehen, nicht nur in der Sicherheitsdimension. Solch wissenschaftlicher Austausch kann helfen, diplomatische Spannungen zu überwinden, wie etwa das Beispiel der Pugwash-Konferenzen gezeigt hat: Seit den 50er Jahren tauschen sich darin führende Physiker aller Nationen zur nuklearen Sicherheit aus. Für ihren bahnbrechenden Beitrag zu Abrüstung und Nichtverbreitung wurde der Gruppe 1995 der Friedensnobelpreis verliehen.
»Korb zwei«: Die Dimension wirtschaftlicher Zusammenarbeit
In diesem Sommer hat Deutschland das IT-Sicherheitsgesetz verabschiedet, das höhere Sicherheitsstandards beim Schutz kritischer Infrastrukturen definiert. Meldepflichten für deren Betreiber bei Cyberzwischenfällen sollen den Schutz vor zukünftigen Angriffen verbessern. Deutschland hat mit dem Gesetz eine Vorreiterrolle unter den OSZE-Mitgliedern eingenommen und ist zur Referenz für die derzeit verhandelte EU-Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) geworden. Auch die technische Kompetenz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist zum Vorbild vieler Partner in der OSZE geworden. Der deutsche Vorsitz kann dazu beitragen, derartige institutionelle Kapazitäten auch in Partnerländern der OSZE aufzubauen. Hier eröffnet sich ein neues Feld für den Kapazitätsaufbau im Rahmen der wirtschaftlichen Zusammenarbeit in der OSZE.
»Korb drei«: Die Menschenrechtsdimension
Als Teil ihres dritten »Korbes« setzt sich die OSZE für eine Verbesserung der Menschenrechtssituation ein. Vielfach schränken ihre Mitgliedstaaten die freie Meinungsäußerung im Internet jedoch weiterhin stark ein. Dies widerspricht Deutschlands freiheitlichem Leitbild für den Cyberraum. Daher sollte es mit Nachdruck auf eine Verbesserung der Lage in besonders stark betroffenen Ländern hinwirken. Geeignete Stellen hierfür sind das OSZE-Büro für demokratische Institutionen und Menschenrechte (ODIHR), das Gesetzesentwürfe der Mitgliedstaaten auf Prinzipien der Rechtsstaatlichkeit hin prüft, oder die Beauftragte für die Freiheit der Medien, der eine Frühwarnfunktion bei Repressionen gegen Journalisten zukommt. Deutschland sollte darauf hinwirken, dass diese Gremien mit besseren Ressourcen ausgestattet werden und sich angesichts der Digitalisierung zunehmend auch mit staatlicher Zensur, Überwachung des Internets und neuen Dimensionen des Urheberrechts auseinandersetzen.
Der Cyberraum ist ein von Menschen geschaffener Raum, der alle gesellschaftlichen Dimensionen umfasst. Eine Konzentration auf militärische Aspekte allein aber setzt den Fokus eindimensional auf Abgrenzung, Misstrauen sowie Machtfragen zwischen Staaten und verhindert damit die Kooperation von Zivilgesellschaften, die für ein freiheitliches Internet einstehen. Vertrauens- und sicherheitsbildende Maßnahmen müssen daher ausgewogen für alle drei OSZE-»Körbe« weiterentwickelt werden. Deutschland hat 2016 die einmalige Chance, hierfür einen internationalen Rahmen zu setzen. Der wirtschaftliche Nutzen eines solchen Ansatzes könnte auch Gegner eines freiheitlichen Internets überzeugen.
Der Text ist auch bei EurActiv.de erschienen.
