Willkommen auf den Seiten des Auswärtigen Amts

Rede von Staatsminister Werner Hoyer zur Eröffnung der Konferenz "Challenges in Cybersecurity – Risks, Strategies and Confidence-Building" am 13. und 14.12.2011 im Europasaal des Auswärtigen Amts, Berlin

13.12.2011 - Rede

-- Es gilt das gesprochene Wort --

Exzellenzen,
sehr geehrte Damen und Herren,
sehr geehrte Gäste

ich freue mich, Sie alle hier im Auswärtigen Amt begrüßen zu dürfen. Der überwältigende Zuspruch zu dieser Konferenz zeigt, wie wichtig das Internet als Thema und Gegenstand der internationalen Politik geworden ist.

Das weltweite Netz muss die Diplomatie in vielen Facetten beschäftigen:

Als Menschenrechtsthema.

Als Thema der internationalen Handels- und Wirtschaftspolitik.

Und als ein immer wichtiger werdendes Thema der Sicherheitspolitik.

Es ist auch ein Beispiel für die „Global Governance“: Auf globale Fragen - die immer zahlreicher werden – kann kein Staat alleine eine Antwort finden.

Computersysteme sind zum Nervensystem unserer modernen Gesellschaften geworden. Im staatlichen Handeln spielen sie ebenso eine immer größere Rolle wie im privaten Leben eines jeden Einzelnen oder wie für das Funktionieren unserer Marktwirtschaften, ob in Logistiksystemen, der Stromerzeugung, den Finanzmärkten oder anderswo. Der Zugang zum Netz ist aus vielen Bereichen des täglichen Lebens nicht mehr wegzudenken. Das heißt: der Schutz des Netzes und seiner Infrastruktur ist eine zentrale Aufgabe für den Staat im 21. Jahrhundert geworden.

Dabei stellen sich grundsätzliche Fragen: Was können Staaten tun, was müssen Staaten tun, um diesen Schutz gemeinsam mit den Netzanbietern zu gewährleisten? Diese Frage stellt sich sowohl bei grenzüberschreitender Kriminalität Einzelner im globalen Netz, als auch im Verhältnis der Staaten zueinander.

Beim Versuch einer Antwort dürfen wir nicht aus dem Auge verlieren, was es eigentlich zu schützen gilt: Schützen müssen wir das Internet als einen neuen Raum, einen Raum der Freiheit, des wirtschaftlichen Wachstums und der persönlichen Entfaltung.

Gerade in einer wissensbasierten und offenen Gesellschaft ist das Internet für unsere Freiheit ebenso unersetzlich wie für unseren Wohlstand. Und es ist zum Sinnbild für die Chancen der Globalisierung geworden. Vernetzung fördert Bildung, Innovation, und den produktiven Wettbewerb der Ideen. Es erleichtert den Handel, sowohl national als auch im weltweiten Export. Und nicht zuletzt kann das Internet den wirtschaftlichen Aufholprozess in Entwicklungsländern beschleunigen.

Mehr noch, das Internet ist ein Treiber zur offenen und freien Gesellschaft. Es stärkt das zivilgesellschaftliche Engagement. Es kann Regieren transparenter, Behörden effizienter machen. Und breiter Zugang zum Internet schafft mehr Chancengleichheit, auch innerhalb moderner Industriegesellschaften.

Demokratische Teilhabe, Zugang zu Bildung, persönliche Kontakte, Geschäfte, berufliche und vor allem private Entfaltung finden immer mehr über das Internet statt.

Ein freies und globales Netz trägt zur Völkerverständigung und damit zum Frieden bei. Wo freier Austausch möglich, weltweite Kontakte einfach sind und Menschen in aller Welt Zugriff auf die gleichen Inhalte haben, entsteht mehr wechselseitiges Verständnis zwischen Gesellschaften. Jeder einzelne kann sich über Verhältnisse anderswo informieren. Und im elektronischen Zeitalter können und dürfen Meinungen nicht mehr staatlich kanalisiert und kontrolliert werden.

Die weltweite Vernetzung beschleunigt neben einer Globalisierung der Märkte auch eine Globalisierung der Werte. Und die Vernetzung kann dem Menschenrecht auf Meinungsfreiheit zur globalen Durchsetzung verhelfen.

Nehmen wir Nordafrika. Der demokratische Aufbruch dort ist nicht das Ergebnis einer Technologie. Er ist ein Triumph des Freiheitswillens der Menschen. Aber das Internet und die heutigen Möglichkeiten des Mobilfunks haben der Demokratiebewegung Flügel verliehen. Sie nehmen den Menschen die Angst davor, ihre Meinung zu äußern und ihre Rechte einzufordern.

Der Cyberraum ist ein öffentlicher Raum, den es zu erhalten und zu gestalten gilt. Da er von Beginn an ein internationaler Raum war, kann dies nur in internationaler Zusammenarbeit geschehen, zwischen Staaten und mit der Privatwirtschaft und der Zivilgesellschaft. Sie alle kennen die Vielzahl von Fragen, die in internationalen Gremien dazu behandelt werden.

Welche Regeln und Rechte gelten im Internet, für Nutzer, für Anbieter, im grenzüberschreitenden Verkehr, für den Zugang zum Netz? Von wem und wo sollen die Regeln beschlossen werden? Welche Regeln aus der „offline“ Welt müssen im Internet gelten und wie kann ihnen dort grenzüberschreitend zur Durchsetzung verholfen werden? Welche zwischenstaatlichen Absprachen zu Land, Luft, See und Weltraum sollten wir auf die digitale Sphäre übertragen?

Freiheit im Internet gibt es genau so wenig ohne den Schutz vor Straftaten wie ohne den Schutz der Privatsphäre vor unbefugtem Zugriff, ob durch den Staat oder durch Private. Für die Kontrolle des einzelnen darüber, was mit seinen Daten passiert, wo seine Privatsphäre im öffentlichen Raum Internet endet, gilt ebenso wie im Bereich der Urheberrechte, für das Prinzip „Löschen statt Sperren“ oder für den Schutz vor Kriminalität: Ein globales Netz erfordert internationale Absprachen.

Klar ist: Das Internet darf kein rechts- und regelfreier Raum sein. Wir müssen rechtstaatliche Prinzipien auch im Cyberraum durchsetzen. Aber ohne dabei die Freiheit im Internet und die Dynamik der technischen Entwicklungen ohne Not zu beeinträchtigen.

In welchen Bereichen sind Regeln und Absprachen besonders dringlich?

Aus deutscher Sicht geht es erstens darum, dass das Menschenrecht auf Zugang zu Informationen und auf freie Meinungsäußerung respektiert wird. Wir setzen uns zweitens für einen neutralen Zugang zur Ressuorce Internet ein, der nicht diskriminiert zwischen Staaten oder Nutzern. Wir halten drittens Bestrebungen, das globale Netz zu renationalisieren, für kontraproduktiv.

Der freie Zugang zu Informationen, die Meinungsfreiheit und auch die Versammlungsfreiheit sind im 21. Jahrhundert nur geschützt, wenn sie auch im Cyberspace gelten. Die amerikanische Außenministerin Hillary Clinton hat diese Freiheiten im Netz insgesamt „the freedom to connect“ genannt.

Wir begrüßen deshalb die Arbeiten im Europarat, im Menschenrechtsrat der VN, der OSZE und weiteren Gremien, die auf einen internationalen Konsens zum Schutz der Medien- und Meinungsfreiheit abzielen.

Die Freiheit der Medien und des Internet sind uns auch ein Anliegen in unseren bilateralen Menschenrechtsgesprächen.

Wir müssen sicherstellen, dass Regime, die ihre eigenen Bürger brutal unterdrücken, wie aktuell in Syrien, keine Technologie erhalten, die ihnen auch beim Aushorchen, Überwachen und Verfolgen dienen. Deshalb haben wir in der EU solche Technologien auch jüngst in das Sanktionsregelwerk gegenüber Syrien aufgenommen

Wir begrüßen ebenso Prinzipien und Verständigungen zur Internet Governance, zur wirtschaftlichen Nutzung des Internet, und zum Potential des Internet in der Entwicklungspolitik, von G8 und OECD, und die Beratungen im jährlichen Internet Governance Forum, bei dem Staaten, Wirtschaft, Nutzer und Zivilgesellschaft zusammen kommen.

Die vielen Vorteile des Netzes verdanken wir dabei gerade der Tatsache, dass es von Anfang an ein globales, offenes, dezentrales aber einheitliches Netz war. Wir sollten deshalb international dafür werben, dass die Uhr nicht zurückgedreht wird. Niemand kann an national abgeschotteten Netze ein Interesse haben.

Wenn ich in meinen bisherigen Ausführungen die Internetfreiheit gewürdigt habe, so besonders auch deshalb, um dem Konferenzthema „Challenges in Cybersecurity“ eine aus deutscher Sicht notwendige Einordnung zu geben. Cybersicherheit muss dem Ziel der Freiheit im Cyberspace dienen, seiner Offenheit, Verfügbarkeit und Integrität. In diesem Sinne sind Freiheit und Sicherheit Zwillinge, die sich gegenseitig bedingen. Freiheit braucht Sicherheit, um sich zu entfalten, Sicherheit braucht Freiheit, um nicht zum Unterdrückungsinstrument zu werden.

Wegen der globalen Natur des Cyberspace bedarf es internationaler Antworten, um unsere internationalen Datennetze zu sichern. Die rapide steigende Zunahme des Missbrauchs von und der Angriffe auf Datennetze, aber auch hochentwickelte Schadtechnologien wie die eines Stuxnet haben uns vor Augen geführt, wie sehr wir alle auf internationale Kooperationsbereitschaft angewiesen sind. Gerade weil wir uns nicht technisch schützen und Angreifer häufig nicht ausfindig machen können, brauchen wir eine „Cyber-Diplomatie“. Ihr Hauptanliegen sollte sein, international anerkannte Schutzabkommen, rechtskonforme Verhaltensnormen und Standards auszuhandeln. Zu Recht spricht die deutsche Cyber-Sicherheitsstrategie ausdrücklich von der Notwendigkeit, eine Cyber-Außenpolitik zu entwickeln – eine ganz neue Herausforderung für die Außen- und Sicherheitspolitik.

Wir wollen uns deshalb vor allem von vier Gesichtspunkten leiten lassen:

1. Deutschland verfolgt einen gradualistischen, pragmatischen Ansatz. Ein „großer Wurf“ ist nicht realistisch. Es gilt vielmehr, in einer Gruppe von „like-minded“ den größten gemeinsamen Nenner zu finden und voranzugehen;

2. Cyber-Außenpolitik findet schon heute in zahlreichen internationalen Foren und Organisationen statt. Das ist angesichts der Vielschichtigkeit der Herausforderung der richtige Ansatz. Wir wollen eine arbeitsteilige Rolle für die einzelnen Foren, sollten die Schnittstellen aber so sauber wie möglich definieren.

3. Wir wollen den Gefahren einer offensiven, auch militärischen Nutzung des Cyberspace durch größtmögliche Transparenz und aktive Vertrauensbildung entgegenwirken.

4. Wir betrachten das geltende Völkerrecht als grundsätzlich ausreichende Grundlage für Bestimmungen auf dem Gebiet von Cybersecurity. Jetzt geht es darum, unterschiedliche Interpretationen und Auslegungen aneinander anzunähern, um zu einem gemeinsamen Verständnis zu gelangen.

Lassen Sie mich diese vier Elemente im Folgenden näher ausführen.

In den letzten Jahren sind die Bemühungen um die internationale Sicherung des Cyberraums deutlich angestiegen. Sehr früh hat der Europarat ein „Übereinkommen über Computerkriminalität“ (2001) verabschiedet. Es ist bedauerlich, dass der umfassende Regelungsanspruch des Übereinkommens, insbesondere die notwendige Übergehung nationaler Souveränität bei der Sammlung von Beweisen und der Verfolgung von Cyberkriminellen, viele Staaten hindert, dem Übereinkommen beizutreten.

Das zeigt: es ist zumindest derzeit nicht sinnvoll, an umfassenden Konventionen oder Regelwerken zu arbeiten. Grand Strategies sind auch hier eher der Feind des Fortschritts.

Wir plädieren deshalb für einen gradualistischen Ansatz auf der Basis von Soft Law, also politisch verbindlicher Verhaltensnormen, die helfen, Vertrauen zu schaffen.

Das verlangt, auf den Feldern internationale Zusammenarbeit zu suchen, wo der gemeinsame Wille am größten ist. Neben der Kriminalitätsbekämpfung sehe ich eine große internationale Bereitschaft zu Schutzmaßnahmen bei der kritischen Infrastruktur, für einen besonderen Sicherheitsstatus für Krankenhäuser, für die Sicherheit der erstaunlich wenigen Unterseekabel und ihrer Knotenpunkte, um nur einige Beispiele zu nennen.

In dem Maße wie wir uns auf diesen und anderen Feldern um Vertrauensbildung und verantwortliches Staatenverhalten bemühen, wächst das Vertrauen zueinander und schafft Voraussetzungen für weitergehende Schritte internationaler Cybersicherheit.

Unser gradualistischer Ansatz erlaubt uns, in wechselnden Formaten mit den Regierungen Absprachen zu treffen, mit denen uns gemeinsame Interessen und Sichtweisen verbinden. Zu unseren pragmatischen Vorgaben gehört auch, dass einzelne Staaten Standards und Verhaltensregeln vereinbaren und damit Maßstäbe für andere setzen. In diesem Sinne können die Deauville-Erklärung der G8 und die Ergebnisse der Londoner Konferenz auch genutzt werden, um einen Prozess der Konsensbildung und zwischenstaatlicher Vereinbarungen auf dem Gebiet der Cybersicherheit voranzubringen.

Eine zunehmend wichtige Rolle spielen aus unserer Sicht mit Sicherheitsfragen befasste Regionalorganisationen und –foren. Der Umgang mit Transparenz- und vertrauensbildenden Maßnahmen im Bereich der konventionellen Rüstungskontrolle bildet ein gutes Beispiel für vergleichbare Maßnahmen im Cyberraum. Die Bundesregierung unterstützt nachdrücklich die Bemühungen der OSZE, zu vertrauensbildenden Maßnahmen zu kommen. Dazu hat sie konkrete Vorschläge eingebracht:

- Frühwarnung,

- Transparenz durch Informationsaustausch über Politik und Strategie in der Cybersicherheit,

- Einrichtung nationaler Focal Points,

- Aufbau von Kommunikationskanälen für Krisenfälle,

- Entwicklung technischer Empfehlungen,

- Hilfe beim Kapazitätsaufbau.

Das Scheitern des OSZE-Ministerrats­beschlusses in der letzten Woche darf uns nicht entmutigen. Es hat uns einmal mehr gezeigt, vor welchen Problemen wir stehen, wenn Staaten mit unterschiedlichen Ansätzen zu einem gemeinsamen Vorgehen zusammenfinden sollen.

Unsere Wertschätzung der OSZE-Aktivitäten ist mit der Hoffnung verknüpft, dass erfolgreiche Vertrauensbildung im Rahmen von regionalen Organisationen Modell stehen kann für entsprechende Maßnahmen auf VN-Ebene.

Die Digitalisierung militärischen Handelns hat nicht nur zu einer tiefgreifenden Veränderung der Einsatzwirklichkeit der Soldaten und ihrer Waffen geführt, sondern auch zu einer neuen Verwundbarkeit der militärisch genutzten Datennetze. Was mit technischen Schutz­maßnahmen gegen Cyberangriffe auf die eigenen Übertragungswege begann, ist in vielen Armeen heute zu einem eigenständigen Cyberkommando zur Sicherung der Kriegsführungsfähigkeit des Landes aufgewachsen.

Ich teile dennoch die von interessierter Seite – seien es an Auflagen orientierte Journalisten oder Umsatz suchende Sicherheitsfirmen – geschürte Hysterie über einen drohenden Cyberkrieg nicht. Es ist unwahrscheinlich, dass es einen solchen in absehbarer Zukunft geben wird.

Gleichwohl müssen wir uns den Gefahren stellen, die sich aus der militärischen Nutzung des Cyberspace ergeben. Seine Integration in die nationale Verteidigungsstrategie verschiedener Länder verstärkt bei anderen den Eindruck, hier würden offensive Fähigkeiten geschaffen, gegen die man sich schützen müsse. Dies könnte eine gefährliche Spirale in Gang setzen, die zusammen mit martialischer Rhetorik zu unübersehbaren Spannungen und letztlich auch zum Ausbruch von Cyberfeindseligkeiten führen könnte.

Die Attributionsproblematik erhöht naturgemäß das Gefährdungspotenzial, weil sie Raum lässt für Spekulationen, Vermutungen und Unterstellungen, da die Identität des Angreifers und seine Motive nicht oder nicht zweifelsfrei belegt werden können. Mit Verschleierung und Täuschung kann eine technologisch hochentwickelte Cyberattacke einen unbeteiligten Staat als Angreifer ausweisen, der bei entsprechender Reaktion des angegriffenen Staates Opfer eines Vergeltungsschlages würde.

Unter solchen Bedingungen ist auch das in der nuklearen Welt bis heute erfolgreiche Prinzip der Abschreckung obsolet. Was wir erkennen müssen, ist eine ganz neue Art von Asymmetrie: Ob genialer Hacker, gekaufte Cybersöldner oder Staaten mit schwacher Datennetzstruktur – sie alle sind in der Lage, erfolgreich Staaten mit hochentwickelten Datennetzen im Cyberraum anzugreifen, ohne entsprechende Gegenmaßnahmen fürchten zu müssen.

Angesichts solcher Risiken und Eskalationsgefahren muss die internationale Staatengemeinschaft vordringlich drei Maßnahmen ergreifen:

1. Rhetorisch abrüsten;

2. Transparenz der nationalen militärischen Cyberstrategien herstellen;

3. ein international anerkanntes Regelwerk aufstellen, das vorschreibt, wann welche Art von Reaktion ergriffen werden darf.

Die Beförderung von internationaler Cybersicherheit kommt nicht ohne völkerrechtliche Mittel aus. Aus deutscher Sicht sind die Bestimmungen der VN-Charta grundsätzlich auch auf Cyberangriffe anwendbar, und das humanitäre Völkerrecht reicht grundsätzlich aus. Wir streben keine neuen Kodifikationen an. Im Hinblick auf die Anwendung der völkerrechtlichen Grundsätze der Staatenverantwortlichkeit auf Cyberangriffe von privater Seite besteht nach unserer Auffassung bisher leider keine Verpflichtung zur Herstellung von Cybersicherheit. Daher verfolgt Deutschland das Ziel, Staaten zu verpflichten, Cybersicherheit zu schaffen.

Ich bin mir bewusst, dass es eine Reihe strittiger Punkte gibt, was die Auslegung, Herleitung und Übertragung völkerrechtlicher Bestimmungen auf dem Gebiet von Cyberwarfare und Cybersecurity betrifft. Auch hier bedarf es internationaler Anstrengungen, um zu einem gemeinsamen Verständnis bei der Anwendung völkerrechtlicher Normen im Bereich der Cybersicherheit zu gelangen.

Ich bin sicher, dass unsere Konferenz nicht nur zu den völkerrechtlichen Regelungen einen wertvollen Beitrag zur Klärung und Annäherung in den strittigen Fragen leisten wird. Unsere Konferenz bietet den Vorteil, dass unter Chatham House Rules hochkarätige Experten, Industrie- und Regierungsvertreter offen miteinander diskutieren können. Davon verspreche ich mir substanzielle Beiträge für die Formulierung geeigneter Schritte auf dem Weg zu internationaler Cybersicherheit. Was gestern noch als Nischenthema galt, ist heute eine der großen, neuen Herausforderungen der internationalen Politik.

In diesem Sinne wünsche ich der Konferenz und seinen Teilnehmern einen Erkenntnis gewinnenden und Verständnis fördernden Verlauf.

Verwandte Inhalte