Im Gastblog erläutert die Politikwissenschafterin Alexandra Paulus, warum es notwendig ist, dass Staaten und NGOs beim Thema Cybersicherheit gleichberechtigt an einem Tisch sitzen.
Cybersicherheit wird zunehmend ein Thema für die internationale Sicherheit – das wurde zuletzt deutlich, als Cyberkriminelle mit Verbindungen zum russischen Inlandsgeheimdienst im großen Stil die IT-Systeme von Dienstleistungen der Daseinsvorsorge in Costa Rica stilllegten und für die Freischaltung große Summen verlangten. Umso wichtiger also, dass sich die Vereinten Nationen (UN) mit Cybersicherheit beschäftigen – aber wer sollte bei diesen Verhandlungen mitreden können? Jahrelang lautete die Antwort: nur eine kleine Gruppe von Staaten.
Das änderte sich, als eine neue Arbeitsgruppe ins Leben gerufen wurde, um eine offene und breite Diskussion zu ermöglichen. Ausgerechnet dieses Gremium muss sich nun mangelnde Inklusivität vorwerfen lassen: Ende Juli konnten zum ersten Mal nichtstaatliche Organisationen teilnehmen, allerdings nur in sehr begrenztem Umfang. Dabei spielen gerade im Bereich der Cybersicherheit Zivilgesellschaft, Wissenschaft und Wirtschaft eine Schlüsselrolle. Wenn die Arbeitsgruppe also effektiv Cybersicherheitsprobleme lösen will, sollte sie zukünftig nichtstaatliche Stimmen viel stärker beteiligen. Ein paralleles UN-Forum kann hierfür als Vorbild dienen.
Elf Cyber-Normen
Cybersicherheit steht schon lange auf der Tagesordnung der Vereinten Nationen: Zwischen 2004 und 2021 tagten insgesamt sechs "Groups of Governmental Experts" (GGE), also Gruppen von Regierungsexpertinnen und Regierungsexperten. Jeweils zwei beziehungsweise drei Jahre lang verhandelten Vertreterinnen und Vertreter von 15 bis 25 Staaten über Cybersicherheit, und zwar – wie für diplomatische Verhandlungen üblich – unter Ausschluss der Öffentlichkeit. Dabei arbeitet das Gremium in einer hohen diplomatischen Flughöhe: Es setzt Beschlüsse nicht operativ um, sondern setzt die strategischen Leitplanken. Ein Fokus liegt dabei auf Regeln für das Verhalten von Staaten bezogen auf die Nutzung von Informations- und Kommunikationstechnologien. Dabei diskutieren sie einerseits über die Anwendung bestehender völkerrechtlicher Verpflichtungen, wobei der Konsens des Gremiums Auswirkungen auf die Weiterentwicklung von Völkergewohnheitsrecht haben kann. Andererseits formulierte – und konkretisierte später – die Gruppe elf Cyber-Normen. Diese werden zwar als "freiwillig und nicht verbindlich" bezeichnet, aber Staaten nutzen sie zunehmend als Grundlage für die politische Beantwortung von internationalen Cybersicherheitsvorfällen, etwa wenn sie Sanktionen verhängen.
2018 riefen die UN ein zweites Forum ins Leben. Das ging auf eine Initiative Russlands zurück, das die angebliche Exklusivität der GGE kritisierte, also die Begrenzung auf nur bis zu 25 Staaten und dass dort hinter verschlossenen Türen verhandelt wurde. Stattdessen brauche es eine "Cyber-Vollversammlung", die allen Staaten offenstehe. Dies mag auf den ersten Blick verwundern, hatte Russland doch das GGE-Format mitbegründet und auch an allen Sitzungen teilgenommen. Stattdessen wird der russische "Sinneswandel" in diplomatischen Kreisen eher den Mehrheitsverhältnissen bei den UN zugeschrieben – während westliche Staaten bei den GGE stark repräsentiert waren, sinkt ihr Einfluss in einem Forum, das mehr Staaten offensteht. Ergebnis der russischen Bemühungen war die sogenannte Open-ended Working Group (OEWG), also die Cybersicherheits-Arbeitsgruppe. Sie steht allen UN-Mitgliedsstaaten offen. Von dieser Arbeitsgruppe gab es zwei Ausgaben: Von 2019 bis 2021 tagte die Arbeitsgruppe I, seit 2021 (und noch bis 2025) tagt nun die Arbeitsgruppe II. Zuletzt tagte die Arbeitsgruppe II von 25. bis 29. Juli 2022 und verabschiedete ihren ersten jährlichen Fortschrittsbericht.
NGOs und Staaten an einem Tisch
Allerdings liegt der Lackmustest für die Inklusivität dieser Arbeitsgruppe nicht nur in der Beteiligung von Staaten, sondern auch derjenigen nichtstaatlicher Organisationen. Zwar sind die UN zunächst eine internationale Organisation, deren 193 Mitglieder Staaten sind. Doch die Rolle von Staaten im Bereich der Cybersicherheit ist begrenzt: So sind etwa IT-Infrastrukturen größtenteils in privater Hand. Bei der Entwicklung von technischen Standards oder Softwareprojekten sind neben der Industrie auch Vertreterinnen und Vertreter von Wissenschaft und Zivilgesellschaft beteiligt. Wenn es um Cybersicherheit geht, bedeutet Inklusivität also notwendigerweise, dass nichtstaatliche Organisationen mit am Tisch sitzen sollten.
Tatsächlich war die Beteiligung nichtstaatlicher Organisationen der zentrale Diskussionspunkt in den ersten Sitzungen der Arbeitsgruppe II. Ein Vorschlag des Vorsitzenden sah vor, dass die Arbeitsgruppe II einfach die Bedingungen der Arbeitsgruppe I übernehmen sollte. Doch dagegen formierte sich schnell Widerstand: So forderten 44 Staaten und zahlreiche nichtstaatliche Organisationen und Einzelpersonen in einem Brief an den Vorsitzenden eine aktivere Rolle von Zivilgesellschaft, Wissenschaft und Wirtschaft. Schließlich drohte das Vereinigte Königreich gar mit dem für UN-Verhältnisse eskalativen Schritt, zu dem Thema eine Resolution in die UN-Generalversammlung einzubringen. Das hätte einen Gesichtsverlust für die Staaten, die die OEWG unterstützen, bedeutet – also vor allem Russland und Singapur, das den Vorsitz innehat.
Nach diesem Eklat kam es zu einer Einigung, die zwei Verbesserungen beinhaltet: Nichtstaatliche Akteure können nun erstens an allen Sitzungen der Arbeitsgruppe II beobachtend teilnehmen, nicht wie bisher nur an einem Nachmittag während der gesamten Sitzungswoche. Zweitens gibt es kein Zwei-Klassen-System mehr, das zwischen Sitzungen, in denen nur Staaten sprechen dürfen, und solchen, in denen auch nichtstaatliche Akteure Stellungnahmen abgeben dürfen, unterscheidet. In der Arbeitsgruppe I durften Vertreterinnen und Vertreter nur während eines sogenannten "informellen Multistakeholder-Segments" sprechen. In der Arbeitsgruppe II können nun zum ersten Mal nichtstaatliche Akteure während einer regulären Sitzung das Wort an die Staatenvertreterinnen beziehungsweise Staatenvertreter richten, was einen Austausch zwischen Diplomatinnen und Diplomaten und Zivilgesellschaft, Wissenschaft und Wirtschaft erleichtert.
Allerdings reichen diese Verbesserungen nicht aus. Um in zukünftigen Sitzungen der UN-Arbeitsgruppe für Cybersicherheit eine starke Stimme nichtstaatlicher Akteure sicherzustellen, sind drei Schritte nötig: Der Prozess, in dem Vetos gegen nichtstaatliche Organisationen eingelegt werden können, sollte überdacht werden; nichtstaatliche Organisationen sollten zu allen Themen sprechen können; und schließlich sollte ihre Teilnahme per Videokonferenz ermöglicht werden. Bei den letzten beiden Vorschlägen kann ein parallel laufender UN-Prozess als Vorbild dienen, nämlich das sogenannte Ad-hoc-Komitee zur Ausarbeitung einer internationalen Cyberkriminalitätskonvention.
Modalitäten der Vetos überdenken
Erstens sollten Staaten die Modalitäten der Vetos überdenken, die gegen die Teilnahme nichtstaatlicher Organisationen eingelegt werden können. Aktuell können nur wenige Organisationen ungehindert an den Sitzungen der Arbeitsgruppe II teilnehmen, nämlich solche mit einer besonderen Registrierung bei den UN (dem sogenannten konsultativen Status beim UN-Wirtschafts- und -Sozialrat ECOSOC). Über eine solche Registrierung verfügen die wenigsten Organisationen, und es dauert Jahre bis Jahrzehnte, sie zu bekommen. Gegen die Teilnahme aller anderen Organisationen können Staaten ein Veto einlegen, wobei ein einziges Veto ausreicht, um die Teilnahme einer Organisation zu verhindern. Staaten machten von ihrem Veto-Recht ausgiebig Gebrauch: 2019 wurden in der Arbeitsgruppe I alle 18 Organisationen, die sich beworben hatten, abgelehnt (erst 2020 wurden in den darauffolgenden Sitzungen 30 Organisationen zugelassen). In der Arbeitsgruppe II bewarben sich, als 2022 das Verfahren eröffnet wurde, 86 Organisationen. Von ihnen wurden nur 54 Organisationen zugelassen, es fielen also 32 Vetos.
Wenn Staaten auf ihre Veto-Macht – erwartungsgemäß – nicht verzichten wollen, sollten sie zumindest die Gründe für ihr Veto öffentlich machen müssen. So stünden blockierende Staaten wenigstens unter internationalem Druck, ihre Entscheidungen zu rechtfertigen, was hoffentlich dazu führen würde, dass sie dieses Instrument künftig sparsamer einsetzen. 2022 erklärte nur die Ukraine die Gründe für ihr Veto gegen fünf russische Organisationen: Sie verwies darauf, dass diese eine Nähe zur russischen Regierung hätten. Auch wenn anzumerken ist, dass viele Staaten die Arbeit zivilgesellschaftlicher und wissenschaftlicher Organisationen zumindest teilweise unterstützen (also eine Nähe unterstellt werden könnte) und somit hier einem zukünftigen russischen Veto solcher Organisationen der Weg bereitet wird, ist doch zu begrüßen, dass die Ukraine zumindest Gründe für ihre Entscheidung anführte. Russland hingegen erklärte die Blockade von 27 Organisationen aus Europa und Nordamerika (dazu zählte auch die Stiftung Neue Verantwortung, für die die Autorin tätig ist) nicht – es verwies nur schwammig auf Informationen, die aus seiner Sicht "Grund für Zweifel" böten. Zukünftig sollten Staaten verpflichtet werden, ihre Blockadehaltung substanziell zu begründen.
Stellungnahmen zu allen Themen ermöglichen
Zweitens sollten nichtstaatliche Organisationen zu allen Themen Stellungnahmen abgeben können. In der Juli-Sitzung der Arbeitsgruppe II hatte der Vorsitzende darauf hingewirkt, dass nichtstaatliche Akteure ihre Stellungnahmen auf ein Thema beschränken, nämlich entwicklungspolitischen Cyberfähigkeitsaufbau (Cyber Capacity Building). Dabei hatten Vertreterinnen und Vertreter aus Zivilgesellschaft, Wissenschaft und Wirtschaft zuvor in einem offenen Brief mit konkreten Beispielen skizziert, welchen Beitrag sie zu allen Themenbereichen der Arbeitsgruppe leisten können. Dazu zählen neben dem internationalen Cyberfähigkeitsaufbau auch die Cybersicherheitsbedrohungslandschaft, Völkerrecht, Cyber-Normen, vertrauensbildende Maßnahmen und der UN-Dialog über Cybersicherheit. In Zukunft sollten daher alle Tagesordnungspunkte der Arbeitsgruppe für Stellungnahmen nichtstaatlicher Akteure geöffnet werden – wie es auch beim Ad-hoc-Komitee für Cyberkriminalität der Fall ist. Wie bei den UN üblich, sprechen dort zunächst Staatenvertreterinnen und -vertreter, im Anschluss können nichtstaatliche Organisationen das Wort ergreifen.
Drittens sollten sich Vertreterinnen und Vertreter nichtstaatlicher Organisationen auch per Videokonferenz zuschalten können. Aktuell ist eine Teilnahme nur in persona möglich. Für zivilgesellschaftliche und wissenschaftliche Organisationen – insbesondere aus dem Globalen Süden – kann dies ihre Teilnahme erschweren oder sogar verhindern, denn die Kosten für eine jeweils einwöchige Reise nach New York sind erheblich. So sprachen bei der Sitzung im vergangenen Juli letztlich nur 16 der 54 zugelassenen Organisationen. Auch hier kann das Ad-hoc-Komitee als Vorbild dienen: Während das Gremium für Staatenvertreterinnen und -vertreter zu Präsenzsitzungen zurückgekehrt ist, können nichtstaatliche Akteure weiterhin per Videokonferenz teilnehmen. Auch hier sollte die Arbeitsgruppe dem Beispiel des Ad-hoc-Komitees folgen – zumal die Sitzungen ohnehin schon per UN WebTV online gestreamt werden und Vertreterinnen und Vertreter von Regionalorganisationen sich per Videokonferenz zuschalten konnten.
Mit diesen drei Schritten kann die Cybersicherheits-Arbeitsgruppe der Erfüllung ihres Mandats näherkommen, nämlich "einen demokratischen, inklusiven und transparenten Verhandlungsprozess sicherzustellen". Eine starke und aktive Teilnahme von Zivilgesellschaft, Wissenschaft und Wirtschaft am Prozess wird nicht nur die Legitimität, sondern auch die Qualität der Ergebnisse erhöhen. (Alexandra Paulus, 18.8.2022)