"Erste Erfolge in der Cyberdiplomatie sind bereits sichtbar"

Die Teilnehmerstaaten der OSZE haben ja bereits vor Jahren - 2013 und zuletzt 2016 - eine Reihe von Vertrauensbildenden Maßnahmen in Bezug auf die Cybersicherheit beschlossen. In letzter Zeit hört man aber immer wieder von Cyberattacken, die ihren Ursprung in Teilnehmerstaaten der OSZE haben. Nicht wenige reden gar von einem Cyberkrieg. Versagt die Cyberdiplomatie?

Nein! Ich verstehe zwar durchaus die kritische Herangehensweise an den Begriff "Cyberdiplomatie", denn die Vorfälle, von denen man hört, sind durchaus sehr problematisch. Dennoch zeigen sie meines Erachtens sehr deutlich, dass wir mehr Cyberdiplomatie brauchen und nicht, dass sie gescheitert ist. Gerade im Angesicht der Tatsache, dass Cyberangriffe auf technischer Ebene stattfinden, ist es elementar wichtig, auf politischer Ebene Kontakte und Kommunikationsmöglichkeiten zu haben. Diese bietet eben die OSZE. Lassen Sie mich dazu von den 2013 und 2016 beschlossenen Vertrauensbildenden Maßnahmen (VBM) nur drei hervorheben, um das etwas genauer zu illustrieren. Nach VBM 3 erklären alle Teilnehmerstaaten, Konsultationen durchzuführen. Das klingt möglicherweise profan, aber es ist - neben technischen Bewertungen - eben von zentraler Bedeutung, auf politischer Ebene miteinander zu reden, um Spannungen oder Konflikte sich nicht weiter verschärfen zu lassen. Daher ist die hier gezeigte Dialog­bereitschaft sehr wichtig. Auf ihr aufbauend wird es dann in VBM 8 schon konkreter. Danach ist es gelungen, ein Cyber-Kontaktpunktenetzwerk (Point-of-Contact Network) aufzubauen, und heute haben bereits 54 Staaten ihre nationalen Cyberverantwortlichen nomi­niert. Dieses Netzwerk bietet eine schnelle Kommunikationsmöglichkeit von Staat zu Staat, um bei etwaigen Zwischenfällen im Bereich Cyber beziehungsweise Informations- und Kommunikationstechnologie, die einzelne oder mehrere OSZE-Teilnehmerstaaten betreffen, zügig auf politischer Ebene reagieren zu können. Das Auswärtige Amt fördert übrigens mit finanziellen Mitteln den weiteren Ausbau dieses Kontaktpunktenetzwerks nach VBM 8.

Eine wichtige Ergänzung zur Implementierung dieser politischen Konsultationen verbirgt sich hinter VBM 13 (Nutzung gesicherter und autorisierter Kommunikationskanäle). Hier ist beabsichtigt, das bereits bestehende OSZE-Kommunikationsnetz (OSCE Communication Network), das seit langer Zeit erfolgreich für Informationsaustausch in der konventionellen Rüstungskontrolle genutzt wird, für Cybersicherheit mitzunutzen. Dieses Netzwerk besteht physisch aus extra abgesicherten Terminals zum Austausch sensibler Daten und Informationen zwischen den OSZE-Teilnehmerstaaten. Das Forum für Sicherheitskooperation hat der Mitnutzung zugestimmt. Jetzt wird die praktische Ausgestaltung erarbeitet.

Alles in allem sieht man, dass die OSZE konkret an einer Verbesserung beziehungsweise Vertiefung  und praktischen Umsetzung der internationalen Cyberdiplomatie arbeitet und erste Erfolge hier bereits sichtbar sind.

Nun beruhen jedoch die beschlossenen VBM zur Transparenz, Zusammenarbeit und Stabilität sämtlich auf Freiwilligkeit - sind also rechtlich unverbindlich. Ist dies hinreichend, um zu gewährleisten, dass im Cyberspace kein Konflikt entsteht, der sich zu einem konventionellen Krieg entwickeln kann?

Ich denke, hier lohnt es sich, ein wenig weiter auszuholen: Die OSZE ist eine regionale Sicherheitsorganisation nach Kapitel VIII der Charta der Vereinten Nationen (VN). Ihr Zweck ist komplementär zum Ziel der VN, Streitigkeiten und Konflikte friedlich beizulegen. Hierzu hat die OSZE schon vor geraumer Zeit sogenannte transnationale Bedrohungen, beispielsweise transnationalen Terrorismus oder organisierte Kriminalität, identifiziert und fördert Dialog und Zusammenarbeit auf regionaler Ebene gegen diese Bedrohungen. Cybersicherheit ist 2012 als eine neuere Form der transnationalen Bedrohungen hinzugekommen. Im Kern geht es darum, durch Vertrauensbildung auf regionaler Ebene zu verhindern, dass Spannungen oder Krisen zwischen Staaten zu Konflikten eskalieren. Diese Gefahr besteht sehr konkret durch Cyberattacken. Wird ein Staat, der sich gerade in politisch zunehmenden Spannungen mit einem anderen befindet, im Cyberraum angegriffen, besteht durch fehlende oder ungenaue Attribution, den Beweis der Urheberschaft des Angriffs, oft eine akute Eskalationsgefahr, da möglicherweise vorschnell der Angriff diesem anderen Staat zur Last gelegt wird. Dies soll durch die Vertrauensbildung, Transparenz und Kommunikation zwischen den Teilnehmerstaaten der OSZE verhindert werden.

Zur Frage der Freiwilligkeit muss man vielleicht sagen: Es gehört zum Wesenskern einer Vertrauensbildenden Maßnahme, dass diese aus freier Entscheidung beiderseitig vereinbart wird. Insofern hat es schon einiges an Gewicht, wenn der Ministerrat der OSZE, das heißt konkret alle 57 Außenminister der Teilnehmerstaaten, einstimmig die Entscheidung des Ständigen Rates 1202 zu den Cyber-VBM gebilligt und alle Teilnehmerstaaten zur weiteren praktischen Implementierung der VBM ermutigt haben. So ist dies ja geschehen auf dem OSZE-Ministerrat 2016 - übrigens in Hamburg unter deutschem Vorsitz.

Die Freiwilligkeit der Staaten ist also insofern kein Manko, sondern extrem wichtig, um Vertrauen aufzubauen und zu vertiefen.

Viele Experten bezweifeln, dass effektive Rüstungskontrolle im Cyberspace überhaupt möglich sei. Es ist ja auch nur schwer möglich, Computerwürmer und Softwareschwachstellen so zu zählen wie Panzer und Raketen. Wie wird in der OSZE diese Problematik diskutiert?

Zugegeben: Das ist durchaus richtig und beschreibt die Problematik der Cybersphäre ziemlich gut. Umso wichtiger ist es, Möglichkeiten zur Konfliktverhütung im Cyberraum zu suchen, und hier können die Erfahrungen aus der konventionellen Rüstungskontrolle nur hilfreich sein. Man sollte Rüstungskontrolle nicht nur als "in Stein gemeißeltes" Vertragswerk betrachten und nur dessen Effektivität beurteilen. Viel eher sollte man sie als fortwährenden Prozess verstehen, in welchem verschiedene Parteien aufeinander zugehen, sich austauschen und bestenfalls letztendlich kooperieren. Schauen wir auf die Entwicklung der klassischen Rüstungskontrolle im OSZE- Bereich, so ist diese ja auch erst langsam entstanden. Damals wurde im Rahmen der KSZE in einem ersten Schritt die Grundlage gelegt, indem die einzelnen Staaten für Transparenz sorgten. So hat man durch den gegenseitigen Austausch eigener Daten, Absichten und Pläne allmählich eine Vertrauensbasis geschaffen; manchmal auch unterlegt durch Verifikationsregime. Darauf aufbauend war es möglich, konkrete Maßnahmen und 

Mechanismen zur Rüstungskontrolle und sogar Abrüstung auszuhandeln und zu vereinbaren. Ganz Ähnliches wird nun in der OSZE im Bereich Cyber versucht, das ja sicherheitspolitisch ein relativ neues Feld ist. Regelmäßig informieren OSZE- Teilnehmerstaaten über nationale Entwicklungen im Bereich Cyber, zum Beispiel neue Cyberstrategien, Gesetzgebung und Aktivitäten. Auch auf die Gefahr hin, dass ich mich wiederhole: Auf der politischen Ebene ist es von herausragender Wichtigkeit, miteinander zu reden, um Vertrauen zu schaffen und darauf aufbauend überhaupt erst konkrete Maßnahmen zu vereinbaren. 

Derzeit wird in Deutschland ja die Option von staatlich ausgeführten Hackbacks offen diskutiert. Können sie einschätzen, ob diese Option auf dem "Austausch bewährter Verfahren" nach VBM 15 beruht? Haben überhaupt schon Teilnehmerstaaten ihre Erfahrungen in der aktiven Cyberabwehr im Rahmen der OSZE geschildert?

Mit Sicherheit nicht. Konkrete (technische) Gefahrenabwehr bleibt Verantwortung und Aufgabe der einzelnen Staaten, die dazu über geeignete Instrumente und Einrichtungen verfügen - meist im Bereich der Innenministerien und Sicherheitsbehörden -, welche mit Sicherheit auf ihrer Ebene wiederum international vernetzt sind. Jedenfalls gibt es in der OSZE keine gemeinsame Planung oder Koordination oder Austausch zu aktiver (praktischer) Cyberabwehr. Die VBM 15 zielt auf einen besseren Schutz der Vulnerabilitäten von Staaten, insbesondere den Schutz von kritischen Infrastrukturen.  Dazu sollen unter anderem der Austausch von Informationen, Erfahrungen und bewährter Praxis dienen sowie ein gemeinsames Verständnis über die Gravität beziehungsweise die Bedeutung von Cyberzwischenfällen.

Wann ist denn mit einem völkerrechtlich verbindlichen Cyberwaffenbegrenzungs- oder besser: -verbotsvertrag zu rechnen?

Nun, da fragen Sie ein wenig über den Rahmen der OSZE hinaus. Die Federführung in einem solchen Prozess läge bei den VN. Zu Cyber hat der VN-Generalsekretär seit 2004 sogenannte Governmental Groups of Experts (GGE) zur Entwicklung von Cybernormen einberufen. Die letzte GGE lief sogar unter deutschem Vorsitz. Demnächst beginnen in New York sogar zwei hochrangige Gremien die weitere Arbeit: eine GGE, bestehend aus 25 hochrangigen Experten, sowie eine Open-ended Working Group, zu der alle VN-Staaten beitragen können. Die Bundesrepublik Deutschland wird sich sehr aktiv an beiden Gremien beteiligen. Daran erkennt man die Absicht, internationale Normen für diese neue Herausforderung zu schaffen, aber man weiß auch, dass dabei "ein dickes Brett zu bohren ist", das viel Zeit benötigen wird. Neu ist, dass die GGE plant,  frühzeitig im Prozess die Erfahrungen beziehungsweise Arbeit von regionalen Sicherheitsorganisationen kennenzulernen. Vielleicht erleben wir hier also einen Beitrag der OSZE zum Entstehen internationaler Normen. Zuerst wird die GGE übrigens mit der OSZE sprechen, die Termine dafür sind bereits vereinbart. Die Arbeit der OSZE zur Vertrauensbildung im Cyberbereich haben ohnehin international Modellcharakter, denn zum Beispiel das ASEAN Regional Forum (ARF) hat 2018 mit der Entwicklung von Cyber-VBM im südostasiatischen Raum auf der Basis der Entscheidung 1202 des Ständigen Rates begonnen.

Man sieht also, und das ist mein Credo, internationale sicherheitspolitische Zusammenar­beit braucht Zeit und vor allem gegenseitiges Vertrauen sowie Organisationen wie die OSZE. Dies ist eine wichtige Grundlage für eine friedliche internationale Ordnung, ob "analog" oder digital.

Herr Kapitän, herzlichen Dank für dieses Gespräch!