Wie Russland den Cyberspace im Kontext der internationalen Sicherheit gestalten möchte

Im Bereich der internationalen Cybersicherheit bleibt Russland ein aktiver Akteur, der konsequent die Schaffung universeller Regeln und Normen im Cyberspace fördert. Ein markantes Beispiel für die Spannungen und kontroversen Positionen in diesem Bereich war die Sitzung der Gruppe der Regierungsexperten der Vereinten Nationen (GGE) im Jahr 2017, bei der die russische Delegation gemeinsam mit anderen Staaten wie Kuba und China den Vorschlägen westlicher Länder zur Anwendung internationaler Rechtsnormen im Cyberspace widersprach. Diese Differenzen spiegeln sich auch in den späteren Entwürfen von Resolutionen wider, die von Russland und den USA eingebracht wurden.

Ein zentrales Thema, das die russische Position betrifft, ist der Schutz der nationalen Souveränität im Cyberspace. Russland, das als eine der führenden Nationen im Bereich der Cybersicherheit gilt, betrachtet den Cyberspace als einen Bereich, in dem internationale Normen entwickelt werden sollten, um Konflikte zu verhindern und einen "Informations-Waffenrennen" zu vermeiden. Dabei betont Russland insbesondere die Bedeutung der nichtmilitarisierten Nutzung von Informations- und Kommunikationstechnologien (IKT) und die Notwendigkeit, dass Staaten in diesem Bereich verantwortungsvoll agieren.

Ein besonders umstrittenes Thema war die Vorstellung, dass die Anwendung bestimmter internationaler Rechtsnormen auf den Cyberspace zu einer Militarisierung dieses Bereichs führen könnte. Kuba äußerte in der UN-GGE-Sitzung 2017 Bedenken, dass dies ein Klima der Strafverfolgung und der militärischen Aktionen schaffen könnte, bei dem Staaten sich als Opfer illegaler Nutzung von IKT präsentieren und dies als Vorwand für unilaterale Strafmaßnahmen wie Sanktionen oder sogar militärische Interventionen nutzen könnten. In Reaktion darauf plädierten Russland, China und Kuba für die Schaffung eines eigenen Regelwerks und die Gründung einer neuen Arbeitsgruppe im Rahmen der Vereinten Nationen, um diese Fragen zu klären.

Im Jahr 2018 brachte Russland einen Entwurf für eine Resolution mit dem Titel „Entwicklungen im Bereich der Informationstechnologien und Telekommunikation im Kontext der internationalen Sicherheit“ in die Generalversammlung der Vereinten Nationen ein. Diese Resolution wurde von 109 Staaten unterstützt und forderte die Schaffung einer offenen Arbeitsgruppe, die mit der Weiterentwicklung von Normen und Prinzipien für verantwortungsbewusstes Verhalten von Staaten im Cyberspace betraut werden sollte. Russland setzte sich dabei besonders dafür ein, dass Staaten sich nicht in die inneren Angelegenheiten anderer Staaten einmischen und keine diffamierenden Kampagnen oder feindliche Propaganda betreiben sollten. Dieser Aspekt der Resolution war ein deutlicher Unterschied zu einem konkurrierenden Vorschlag der USA, der ohne diese Bestimmungen auskam.

Trotz dieser Initiativen und der Unterstützung einiger Staaten konnte jedoch keine Einigung über ein universelles Regelwerk für den Cyberspace erzielt werden. Die internationale Gemeinschaft bleibt in Bezug auf die Cybernormen gespalten. Während Russland weiterhin bilaterale Konsultationen mit den größten Cybermächten führt, darunter China, und zunehmend gemeinsame Resolutionen in der UN-Generalversammlung einbringt, bleibt die westliche Welt, insbesondere die USA und einige europäische Länder, kritisch gegenüber den russischen Vorschlägen. Ein weiteres Beispiel ist die Resolution von 2019, die von Russland und China eingebracht wurde, um den Einsatz von IKT zu kriminellen Zwecken zu bekämpfen. Diese Resolution zielt darauf ab, ein internationales Übereinkommen zur Bekämpfung von Cyberkriminalität zu entwickeln, als Alternative zur Budapest-Konvention, die Russland aufgrund von Bestimmungen, die den unbefugten Zugang zu Computersystemen und gespeicherten Daten betreffen, ablehnt.

Russlands Politik in Bezug auf Informationssicherheit lässt sich als Reaktion auf die zunehmende Bedrohung durch komplexe Cyberangriffe und als Versuch, die nationale Sicherheit zu gewährleisten, verstehen. Das Land strebt danach, einen Rahmen zu schaffen, der sowohl den Schutz der verfassungsmäßigen Rechte der Bürger auf Information als auch die Förderung nachhaltiger technologischer Entwicklung sicherstellt. Es geht um den Erhalt eines stabilen und sicheren Internets, das nicht nur dem Staat, sondern auch den Nutzern zugutekommt.

Doch auch wenn Russland in diesem Bereich mit vielen anderen Staaten zusammenarbeitet, bleibt die geopolitische Realität von Spannungen und Interessenkonflikten geprägt. Die westlichen Staaten, insbesondere die USA, sehen in den russischen Vorschlägen eine Möglichkeit, den Cyberspace nach eigenen Vorstellungen zu regeln und den Einfluss Moskaus zu minimieren. Diese Differenzen haben auch Auswirkungen auf die Umsetzung internationaler Abkommen und Konventionen, was die Schaffung eines globalen Konsenses im Bereich der Cybersicherheit erschwert.

Insgesamt zeigt sich, dass der Cyberspace ein zunehmend umstrittenes Feld internationaler Beziehungen ist, in dem sowohl Staaten als auch private Akteure ihre Interessen vertreten. Es bleibt abzuwarten, ob es in den kommenden Jahren zu einer breiten Einigung über die Schaffung von Normen und Regeln für den Cyberspace kommen wird, die den Sicherheitsbedürfnissen aller Staaten gerecht wird.

Wie werden Cyber-Schwachstellen identifiziert, klassifiziert und gemindert?

Die Entdeckung von Cyber-Schwachstellen stellt die Grundlage für die Entwicklung von Angriffswerkzeugen dar, die auf dem schwarzen Markt einen hohen Wert haben und die Sicherheit von IT-Systemen weltweit gefährden. Diese Schwachstellen sind nicht nur für die Entwicklung von Cyberwaffen von Bedeutung, sondern auch für die Forschung und Entwicklung im Bereich der Cybersicherheit. Entwickler von Software zahlen Belohnungen an Forscher, die neue Schwachstellen entdecken, wobei diese Prämien bis zu 500.000 Dollar erreichen können. Solche Belohnungen sind nicht nur Anreize für die Entdeckung von Sicherheitslücken, sondern auch eine Möglichkeit, um die Schwächen in der bestehenden Softwarelandschaft öffentlich zu machen und deren Behebung voranzutreiben.

Die Klassifizierung von Schwachstellen erfolgt auf unterschiedliche Weise. Ein grundlegender Ansatz umfasst die Einteilung in Konfigurationsfehler, Expositionen und "richtige" Schwachstellen. Diese Art der Klassifizierung basiert auf der Vorstellung, dass die Beurteilung einer Schwachstelle im Kontext eines Systems von der Sicherheitsrichtlinie abhängt, die für dieses System gilt. Eine Schwachstelle, die in einer bestimmten Umgebung als gefährlich eingestuft wird, kann in einer anderen, mit einer anderen Sicherheitsrichtlinie betriebenen Umgebung als unkritisch erscheinen. Ein gutes Beispiel hierfür ist eine Schwachstelle, die durch fehlerhafte Konfigurationen entsteht. Eine spezifische Einstellung kann in einem bestimmten Umfeld korrekt sein, aber in einem anderen gegen die Sicherheitsrichtlinien verstoßen.

Ein weiteres Klassifizierungsmodell ist das MITRE Common Configuration Enumeration (CCE), das Versagensmodelle von Konfigurationen mit bestimmten Produkten und Betriebssystemen verknüpft. Es dient als Datenbank zur Identifizierung von Konfigurationsfehlern und wird jedoch seit 2013 nicht mehr aktualisiert. Die Identifikation und Klassifizierung von Schwachstellen ist eine komplexe Aufgabe, da die verwendeten Taxonomien oft ähnliche Begriffe und Elemente teilen, aber in ihrer Anwendung unterschiedlich sind. Um die Schwachstellenanalyse und -verwaltung zu vereinheitlichen, entwickelte die MITRE Corporation die "Common Weakness Enumeration" (CWE). Diese bietet eine messbare Sammlung von Schwächen, die eine effektivere Diskussion und Auswahl von Sicherheitswerkzeugen ermöglicht und eine Verbesserung des Verständnisses von Software-Schwächen in Bezug auf Architektur und Design fördert. Die CWE ermöglicht auch eine Beziehung zwischen verschiedenen Taxonomien, was ihre Anwendung auf unterschiedliche Modelle der Softwareentwicklung und Risikomanagement-Methoden vereinfacht.

Die CWE wird als internationaler Standard betrachtet und ist in der Empfehlung ITU-T X.1524 der Internationalen Fernmeldeunion (ITU) von 2014 verankert. Ein bedeutendes, international anerkanntes Referenzsystem im Bereich der Schwachstellen ist die "Common Vulnerabilities and Exposures" (CVE) Datenbank. Diese Datenbank stellt keine Schwachstellensammlung im klassischen Sinne dar, sondern dient als Nachschlagewerk für gängige Namen (CVE-IDs) von öffentlich bekannten Sicherheitslücken. Sie wurde 1999 eingeführt, um den Austausch von Sicherheitsinformationen zu standardisieren und eine Kommunikation zwischen verschiedenen Informationssicherheitsprodukten und -diensten zu ermöglichen. Mittlerweile haben sowohl die US-Regierung als auch die Internationale Fernmeldeunion das CVE-System übernommen.

Die Erstellung einer CVE-Nummer beginnt mit der Entdeckung einer potenziellen Sicherheitslücke. Diese wird von einer CVE-Nummerierungsbehörde (CNA) mit einer eindeutigen ID versehen und auf der CVE-Website veröffentlicht. CNAs sind Organisationen, die befugt sind, CVE-IDs für Schwachstellen zu vergeben, die Produkte betreffen, die in ihrem Zuständigkeitsbereich liegen. Diese Praxis trägt dazu bei, dass Schwachstellen rasch identifiziert und öffentlich gemacht werden, wodurch Sicherheitsforscher und Entwickler informiert werden. Das CVE dient als Grundlage für die NIST National Vulnerability Database (NVD), die eine Sammlung von standardisierten Sicherheitsdaten enthält und zur Automatisierung des Schwachstellenmanagements beiträgt.

Die NVD umfasst eine Vielzahl von Daten, wie z. B. Checklisten für Sicherheitsmaßnahmen, sicherheitsrelevante Softwarefehler, Fehlkonfigurationen und Produktnamen. Sie verwendet auch verschiedene andere Sicherheitswörterbücher, wie CVE, CCE und CWE, die miteinander verbunden sind und eine umfassende Analyse und Identifikation von Schwachstellen ermöglichen. Diese Datenbanken ermöglichen es Entwicklern, Schwächen zu erkennen, aus Fehlern zu lernen und geeignete Korrekturmaßnahmen zu finden, um die Auswirkungen von Schwachstellen zu mindern.

Die Entwicklung von Cyberwaffen, die gezielt Sicherheitslücken ausnutzen, zeigt eine besondere Herausforderung in der Cybersicherheit. Diese Waffen sind nur dann effektiv, wenn sie unbekannte Schwachstellen ausnutzen können. Sobald diese Schwachstellen offengelegt und korrigiert werden, verlieren die Angriffswerkzeuge schnell ihre Wirksamkeit. Es ist jedoch wichtig zu verstehen, dass Schwachstellen nie ganz verschwinden, sondern durch eine ständige Überwachung und Mitigation gemindert werden können. Der Umgang mit Cyberangriffen erfordert daher eine kontinuierliche Verbesserung der Sicherheitsmechanismen und eine effektive Zusammenarbeit zwischen Entwicklern, Forschern und Sicherheitsbehörden.

Die Entdeckung und Offenlegung von Schwachstellen birgt eine gewisse Spannung zwischen den beteiligten Akteuren. Softwareentwickler neigen oft dazu, Sicherheitsrisiken herunterzuspielen, um das Image ihrer Produkte zu schützen. Andererseits sind Forscher, die das Vertrauen in Softwareunternehmen verloren haben, häufig dafür verantwortlich, Schwachstellen ohne ausreichende Vorsicht zu veröffentlichen. Hier kommt die Bedeutung der verantwortungsvollen Offenlegung ins Spiel, wie sie 2002 von Christey und Wysopal vorgeschlagen wurde. Ein standardisiertes Modell zur Offenlegung von Schwachstellen ist entscheidend, um sowohl den Schutz der Nutzer als auch die Entwicklung von Sicherheitslösungen zu fördern.

Wie die Industrie im Kampf gegen Terrorismus im Internet scheitert: Ein Blick auf Selbstregulierung und ihre Grenzen

Die Bemühungen der großen Technologieunternehmen im Kampf gegen die terroristische Nutzung des Internets wurden mehrfach betont, insbesondere durch Initiativen wie den Global Internet Forum to Counter Terrorism (GIFCT). Diese Organisation arbeitet mit einer Vielzahl von Akteuren zusammen, darunter Zivilgesellschaft, Akademia und multilaterale Institutionen wie die Europäische Union und die Vereinten Nationen. Ihr Ziel ist es, den Missbrauch des Internets durch terroristische Gruppen zu verhindern und zu bekämpfen. Im Jahr 2019 wurden von führenden Mitgliedern des GIFCT bedeutende Fortschritte gemeldet. YouTube etwa gab an, dass 98 % der Videos, die es entfernte, durch maschinelles Lernen erkannt worden waren; Twitter erklärte, dass 93 % der Konten, die wegen Terrorismusverdachts gemeldet wurden, durch interne Tools identifiziert wurden. Facebook vermeldete sogar, dass 99 % des IS- und al-Qaida-inspirierten Inhalts entfernt worden seien, bevor Nutzer diesen melden konnten.

Doch diese Erfolge werfen einen Schatten auf die tatsächliche Wirksamkeit der Selbstregulierung der Industrie. Insbesondere bei kleineren Plattformen blieb der Erfolg aus. Die Minister der G7-Innenminister, die sich von 2017 bis 2019 regelmäßig trafen, drückten ihre Unzufriedenheit mit den bisherigen Anstrengungen der Industrie aus. In der Schlussfolgerung des Treffens 2019 wurde der Mangel an Transparenz und die Unklarheit über die tatsächliche Effektivität von Inhaltenentfernungen durch die Plattformen kritisiert. Der G7-Bericht machte deutlich, dass die Ergebnisse und die Effektivität der Maßnahmen uneinheitlich sind, insbesondere bei kleineren Plattformen.

Die Innenminister der sieben größten Industrienationen forderten die Industrie zu mehr Schnelligkeit bei der Identifikation und Entfernung terroristischer Inhalte auf, zu präventiven Maßnahmen gegen Missbrauch sowie zu einer besseren Zusammenarbeit mit den Strafverfolgungsbehörden. Diese Forderungen beruhen auf der Notwendigkeit, Transparenz und offene Kommunikation mit den Regierungen zu gewährleisten und gleichzeitig die Menschenrechte zu schützen. Doch das Manko der Transparenz, das durch uneinheitliche Transparenzberichte der großen Plattformen, wie Twitter und Facebook, verstärkt wurde, zeigte sich in einem weiteren Problem: Die Definition von terroristischen Inhalten und die verwendeten Metriken variieren stark von Plattform zu Plattform. Twitter etwa fügte die Förderung von Terrorismus in einen Katalog von anderen problematischen Inhalten wie Gewaltaufrufen und der Unterstützung extremistischer Gruppen ein, während Facebook speziell terroristische Propaganda des IS und al-Qaidas behandelte.

Ein weiteres, bedeutsames Problem war die langsame Anpassung der Unternehmen an die proaktiven Maßnahmen gegen den Terrorismusmissbrauch. Dies lag vor allem an der fehlenden Priorisierung der Sicherheit der Nutzer. Die Entwicklung neuer Funktionen und Dienste orientierte sich primär an der Maximierung des Profits und der Nutzerbindung. Die Pflicht, Nutzer vor extremistischen Inhalten zu schützen, kam erst an zweiter Stelle. Dies wurde besonders bei der Livestreaming-Funktion von Facebook deutlich. Diese Funktion war ein Paradebeispiel für die Widersprüche der Geschäftsmodelle der Plattformen, da sie den Nutzern keine ausreichenden Schutzmechanismen bot und stattdessen als potentielles Werkzeug für extremistische Propaganda missbraucht wurde.

Die Algorithmen der großen Plattformen stellen ebenfalls ein ernstes Problem dar. Diese Algorithmen sind darauf ausgerichtet, das Engagement der Nutzer zu maximieren, was in vielen Fällen zur Folge hat, dass Nutzer auf immer extremere Inhalte hingeführt werden. So zeigte Zeynep Tufekci, Professorin an der University of North Carolina, in einem Artikel für die New York Times, dass YouTube während der US-Wahlen 2016 Nutzer, die sich für bestimmte politische Kandidaten wie Donald Trump oder Bernie Sanders interessierten, zunehmend extremistische Inhalte empfahl. Diese Algorithmen fördern die politische Polarisierung und könnten zu einer Radikalisierung führen. Das gleiche Problem zeigte sich auch bei anderen Inhalten, wo selbst unschuldige Themen wie vegetarische Rezepte die Nutzer in immer extremere Richtungen führten.

Die große Herausforderung liegt auch in der mangelnden Unterstützung kleinerer Plattformen. Diese haben oft weder die Ressourcen noch die technische Expertise, um sich gegen terroristische Aktivitäten im Netz zu wehren. Für viele dieser kleineren Plattformen war es schwierig, die nötigen Mittel für eine umfassende Bekämpfung von Terrorismus und Extremismus bereitzustellen. Auch der Geschäftsmodellansatz vieler kleiner Plattformen ließ wenig Raum für den Schutz der Nutzer vor terroristischem Missbrauch. Terroristische Gruppen nutzten kleinere Plattformen zunehmend als Fluchtort, nachdem größere Plattformen begonnen hatten, ihre Maßnahmen gegen extremistische Inhalte zu verschärfen. Plattformen wie Vimeo wurden zu bevorzugten Zielen für Terroristen, die auf YouTube gesperrt worden waren. Diese Verschiebung von Plattform zu Plattform führte dazu, dass Terroristen weiterhin ihre Botschaften verbreiten konnten, auch wenn dies den Rekrutierungs- und Propagandamaßnahmen schadet.

Der Kernpunkt dieser Problematik ist, dass Content Moderation allein nicht ausreicht, um den Missbrauch des Internets durch terroristische Gruppen zu verhindern. Es braucht eine Kombination aus verschiedenen Strategien. Es ist notwendig, die Sichtbarkeit von extremistischen und terroristischen Inhalten zu verringern, gleichzeitig aber auch sicherzustellen, dass dies im Einklang mit den Grundrechten der Nutzer geschieht. Auch die Bereitstellung von psychosozialer Unterstützung für gefährdete Nutzer sowie die Förderung von Gegen-Narrativen, die Hassideologien und extremistische Inhalte infrage stellen, spielen eine wichtige Rolle.

Die Wirksamkeit der Bekämpfung von Terrorismus im Internet hängt nicht nur von den Bemühungen der großen Plattformen ab, sondern auch von der Fähigkeit, kleinere Plattformen und neue Formen der Kommunikation in den Kampf gegen den Missbrauch einzubeziehen. Denn wie wir gesehen haben, ist Terrorismus eine Form der gewalttätigen Kommunikation, die sich schnell an neue Umstände anpasst. Es ist eine fortlaufende Herausforderung, diese Praktiken zu bekämpfen, die weit über die Fähigkeiten kleinerer Akteure hinausgeht und die Zusammenarbeit zwischen der Industrie und der Regierung erfordert.