Wie können wir die Resilienz kritischer nationaler Infrastrukturen in der Cybersicherheit stärken?

In der heutigen Zeit, in der kritische Infrastrukturen immer mehr miteinander vernetzt und auf digitale Technologien angewiesen sind, wird die Fähigkeit zur Wiederherstellung und Sicherstellung ihrer Funktionsfähigkeit nach Störungen zu einem zentralen Thema der Cybersicherheit. Diese Systeme sind nicht nur für das tägliche Leben und die wirtschaftliche Stabilität von entscheidender Bedeutung, sondern auch für die nationale Sicherheit. Daher ist die Resilienz dieser Infrastrukturen ein grundlegendes Element, das eine kontinuierliche Anpassung erfordert.

Die Sicherheitsstrategien zur Gewährleistung der Resilienz kritischer Infrastrukturen müssen nicht nur auf den Schutz vor Bedrohungen ausgerichtet sein, sondern auch auf die Fähigkeit, auf Angriffe oder Störungen schnell und effektiv zu reagieren. Hierbei ist die Fähigkeit, schnell wieder in den Normalbetrieb zurückzukehren, genauso entscheidend wie die Vermeidung eines Angriffs oder einer Störung an sich. Ein zentrales Element dieser Anpassungsfähigkeit ist die Fähigkeit, Risiken zu managen und auf die ständig wechselnden Bedrohungen zu reagieren.

Die Anwendung von Vertraulichkeitserklärungen (NDAs) und Klassifizierungen von Geschäftsdaten, die im privaten Sektor üblich sind, stehen oft im Widerspruch zu einer effizienten Informationsweitergabe, die für eine wirksame Risikominderung erforderlich ist. Diese Einschränkungen erschweren eine sektorenübergreifende Kommunikation und die schnelle Verbreitung von Risikosituationen, was den Schutz gefährdeter Infrastrukturen schwächt und die Reaktionszeiten auf Bedrohungen verlangsamt. Wenn in dieser Umgebung auch noch hochentwickelte Cyber-Werkzeuge – wie sie zum Beispiel von Geheimdiensten entwickelt wurden – in die falschen Hände geraten, entstehen weitere Risiken. Diese Werkzeuge können in den Händen von Angreifern, die falsche Spuren hinterlassen wollen, missbraucht werden, was eine präzise Attribution und eine angemessene Einschätzung der Angreiferintention erschwert.

Die Verbreitung von Cyber-Waffen in Form von Malware oder Exploit-Codes über den Schwarzmarkt und durch anonyme Akteure verschärft die Sicherheitslage weiter. In dieser verteilten und dynamischen Umgebung sind die Schutzmaßnahmen der kritischen Infrastrukturen oft nicht schnell genug, um mit den ständig fortschreitenden Angriffstechniken Schritt zu halten. Dies trifft sowohl auf private Unternehmen als auch auf den öffentlichen Sektor zu, bei denen Informationsaustausch und die Zusammenarbeit zur Bedrohungsanalyse und -bewältigung häufig durch strukturelle Hürden behindert werden. Diese Hindernisse zur Kooperation führen zu einer grundlegenden Schwächung der Abwehrfähigkeit, die vermutlich auch in der nahen Zukunft bestehen bleibt.

Im Hinblick auf die Resilienz kritischer Infrastrukturen ist es von entscheidender Bedeutung, die Kapazitäten für die Risikominderung und Bedrohungsanalyse zu stärken. Dazu gehört nicht nur die ausreichende Finanzierung und der Aufbau von Personalressourcen, sondern auch die Entwicklung von Programmen zur Bedrohungsverfolgung und einem effektiven Informationsaustausch. Die Fähigkeit zur Zusammenarbeit mit anderen Akteuren im Bereich der Cybersicherheit – sowohl im privaten als auch im öffentlichen Sektor – erweitert die Fähigkeit zur Bewältigung von Bedrohungen und stärkt die Gesamtsicherheit.

Allerdings zeigt sich in der Praxis, dass die theoretischen Vorteile eines umfassenden Informationsaustauschs selten in vollem Umfang ausgeschöpft werden. Die Interessen von Regierung und Unternehmen sind oftmals nicht ausreichend aufeinander abgestimmt, was eine strategische Zusammenarbeit erschwert. So wird der Austausch von Erkenntnissen und Erfahrungen in der Regel durch Differenzen in den betrieblichen und taktischen Interessen behindert, was den optimalen Schutz gefährdeter Infrastrukturen weiter verringert. Eine wichtige Kennzahl für die Kapazität eines Systems zur Bedrohungsbewältigung ist die Häufigkeit und der Umfang von Notfallübungen und die Anzahl von Fachkräften, die für die schnelle Reaktion und Wiederherstellung des Betriebs zur Verfügung stehen.

Ein weiteres zentrales Element ist die rechtzeitige Verfügbarkeit von Ressourcen. Resilienz- und Wiederherstellungsmaßnahmen müssen dann bereitgestellt werden, wenn sie am dringendsten benötigt werden. Dazu gehört die Entwicklung von Bedrohungsmodellen, die es ermöglichen, die wichtigsten Bedrohungen zu priorisieren und Ressourcen effizient zuzuweisen. Ein solches Bedrohungsmodell hilft, die wahrscheinlichsten Angreifer und die Prozesse zu identifizieren, die die Verfügbarkeit, Integrität oder Vertraulichkeit von kritischen Infrastrukturen gefährden können. Ein effektives Bedrohungsmodell ist unerlässlich, um sowohl die Planung von Risikominderungsmaßnahmen als auch die Bereitstellung von Reaktionsressourcen zu optimieren.

Abhängig von der Art der Bedrohungen und der Infrastruktur kann es zudem erforderlich sein, spezielle Abhängigkeiten zu identifizieren und zu steuern. Diese Abhängigkeiten – wie etwa die Nutzung von Kommunikationsnetzen oder die Verbindung zu Drittdiensten – stellen potenzielle Schwachstellen dar, die von Angreifern ausgenutzt werden können. Gleichzeitig können sie als Redundanzen dienen, die die Resilienz der gesamten Infrastruktur erhöhen. Es ist von zentraler Bedeutung, diese Abhängigkeiten zu überwachen und sicherzustellen, dass entsprechende Sicherheitsmaßnahmen getroffen werden, um deren potenziellen Angriffsmöglichkeiten entgegenzuwirken.

Die Bereitstellung ausreichender Ressourcen ist ein weiteres Schlüsselelement bei der Verbesserung der Resilienz. Ein gut geplanter Resilienzansatz erfordert eine angemessene Finanzierung und die Einrichtung von Übungs- und Notfallmaßnahmen. Nur durch regelmäßige Simulationen und Tests können Organisationen sicherstellen, dass ihre Krisenmanagement- und Wiederherstellungsstrategien tatsächlich wirksam sind. Da sich die Risikosituation ständig verändert, müssen diese Übungen und die entsprechenden Pläne regelmäßig angepasst werden, um auf neue Bedrohungen oder technologische Entwicklungen reagieren zu können. Auch hier zeigt sich, dass unterschiedliche nationale Doktrinen und Prioritäten die Art und Weise beeinflussen, wie Resilienzmaßnahmen durchgeführt und bewertet werden.

Für die langfristige Sicherstellung der Cybersicherheit und Resilienz kritischer Infrastrukturen ist die kontinuierliche Verbesserung der Zusammenarbeit und des Informationsaustauschs von größter Bedeutung. Nur durch eine enge Kooperation zwischen allen beteiligten Akteuren – von Regierungen über Unternehmen bis hin zu internationalen Partnern – kann eine Sicherheitsarchitektur geschaffen werden, die flexibel auf neue Bedrohungen reagieren kann.

Wie beeinflussen nationale Sicherheitsstrategien den internationalen Handel mit Informations- und Kommunikationstechnologien?

Die rasante Entwicklung des Handels mit Informations- und Kommunikationstechnologien (IKT) hat zu einer neuen Dimension der internationalen Machtpolitik geführt. Im Jahr 2019 erreichte der weltweite Handel mit IKT-Produkten einen Rekordwert von 3 Billionen US-Dollar. Diese Entwicklung hat jedoch eine Vielzahl an Herausforderungen in Bezug auf die Sicherheit und Integrität der gehandelten Güter mit sich gebracht. Besonders besorgniserregend ist die wachsende Bedrohung durch digitale Sicherheitslücken, die sowohl von nichtstaatlichen Akteuren als auch von staatlichen Stellen ausgehen. Das Internet der Dinge, unterstützt durch Milliarden von vernetzten Sensoren und Cloud-Computing, hat neue, komplexe Schwachstellen in der Infrastruktur der globalen Informationssysteme geschaffen. In diesem Zusammenhang versuchen Staaten zunehmend, nationale Sicherheitskontrollen über ihre digitalen Märkte zu etablieren, um die Sicherheit ihrer kritischen Infrastrukturen zu gewährleisten.

Die Herausforderung liegt darin, den Handel mit IKT-Produkten weiter zu fördern, während gleichzeitig die Sicherheit dieser Produkte in den Vordergrund gerückt wird. Es wird zunehmend notwendig, den Spagat zwischen der Förderung des internationalen Handels und der Sicherstellung einer robusten Cybersicherheit zu meistern. Verschiedene Staaten setzen auf die Einführung neuer gesetzlicher Regelungen und Sicherheitsstandards, um ihre digitalisierten Volkswirtschaften zu schützen. Diese Maßnahmen zielen darauf ab, eine Balance zwischen den Anforderungen des Handels und den zunehmenden Bedrohungen durch Cyberangriffe zu finden. Der Schutz von kritischen Infrastrukturen, von denen moderne Staaten und Volkswirtschaften abhängen, ist ein zentrales Anliegen.

Doch nicht nur die Sicherstellung der Cybersicherheit ist ein treibender Faktor. Parallel dazu ist ein Schutzinstinkt zu beobachten, der den Wunsch nach einer stärkeren Indigenisierung von IKT-Produkten begünstigt, um die nationale Industrie zu fördern und die Abhängigkeit von ausländischen Technologien zu verringern. Diese Tendenz zur Selbstgenügsamkeit ist eine Reaktion auf die wachsende Bedeutung von IKT-Produkten als fundamentale Grundlage nationaler Macht, sowohl auf der heimischen Ebene als auch auf der internationalen Bühne. Durch den verstärkten Fokus auf nationale Sicherheitsvorkehrungen und die Förderung heimischer Industrien entstehen jedoch neue Handelsbarrieren, die den internationalen Handel mit IKT-Produkten erschweren.

Trotz der Bemühungen um internationale Handelsabkommen, wie der Erweiterung des Informationstechnologie-Abkommens (ITA) im Jahr 2015, das darauf abzielte, Zölle auf IKT-Produkte zu reduzieren, sind Handelsbarrieren nach wie vor eine bedeutende Hürde. Diese Barrieren umfassen neben Zöllen auch spezifische Produktanforderungen oder regulatorische Standards, die den Marktzugang erschweren können. Solche Herausforderungen können dazu führen, dass IKT-Anbieter sich entscheiden, bestimmte Märkte nicht zu bedienen oder zukünftige Produktentwicklungen aufgrund schrumpfender Marktpotenziale einzustellen.

Ein weiteres wichtiges Thema in diesem Kontext ist die Frage der Cyber-Sanktionen. Staaten, die Opfer von Cyberangriffen werden, sehen sich mit der Notwendigkeit konfrontiert, auf diese Bedrohungen mit politischen und wirtschaftlichen Maßnahmen zu reagieren. In einigen Fällen greifen Staaten zu wirtschaftlichen Sanktionen, um auf die schädlichen Auswirkungen von Cyberaktivitäten, die von anderen Staaten oder kriminellen Akteuren ausgehen, zu reagieren. Solche Sanktionen können jedoch unvorhergesehene Konsequenzen haben, insbesondere im Hinblick auf den globalen Handel und die Zusammenarbeit zwischen Staaten. Dies betrifft nicht nur die staatliche Ebene, sondern auch die Rolle des privaten Sektors und der Zivilgesellschaft, die zunehmend als unabhängige Akteure in diesen internationalen Auseinandersetzungen auftreten.

Die Frage, wie sich Staaten in Bezug auf Cybersicherheit und internationale Handelsregime positionieren, ist von entscheidender Bedeutung. Zwar scheint derzeit ein stärkerer Fokus auf unilateralem Vorgehen zu liegen, jedoch könnten gemeinsame Interessen und die Notwendigkeit der Zusammenarbeit im Bereich des internationalen Handels und der Cybersicherheit langfristig zu neuen kooperativen Verhaltensweisen unter den Staaten führen. Die Entwicklung eines globalen Konsenses in Fragen der Cybersicherheit wird zunehmend als unerlässlich für die Förderung des internationalen Handels und die Sicherstellung stabiler globaler Informationsinfrastrukturen angesehen.

Die neue Ära des digitalen Handels fordert ein Umdenken in Bezug auf internationale Handelsabkommen und Cybersicherheit. Staaten müssen erkennen, dass in einer zunehmend vernetzten Welt, in der Informationen und Daten die Grundlage moderner Volkswirtschaften bilden, die Sicherstellung der digitalen Sicherheit nicht nur eine nationale Angelegenheit ist, sondern auch Auswirkungen auf den globalen Handel hat. Nur durch eine ausgewogene Strategie, die sowohl nationale Sicherheitsinteressen als auch internationale Handelsabkommen berücksichtigt, kann die digitale Wirtschaft stabil und sicher wachsen.

Die digitale Ära und die globale Zusammenarbeit: Eine Herausforderung für die internationale Ordnung

Die digitale Revolution, die seit den 1990er Jahren ihren Lauf nimmt, hat die Weltwirtschaft und die internationale Politik tiefgreifend verändert. Die Idee einer „Kooperationsgemeinschaft“ im internationalen Recht, die von Wolfgang Friedman formuliert wurde, betont, dass die Interessen von Staaten über bloße nationale Eigeninteressen hinausgehen und zunehmend gemeinschaftlicher Natur sind. In der digitalen Ära wird diese Erkenntnis immer relevanter, da die Welt sich in einer beispiellosen Weise miteinander verknüpft und interdependenter wird. Wie Länder auf diese sich verändernden Grundlagen der Gesellschaft reagieren, stellt eine der größten Herausforderungen der Gegenwart dar.

Die wirtschaftlichen und sozialen Grundlagen für ein gemeinsames Miteinander sind bereits weitgehend etabliert und werden weiter gestärkt. China, ein zentraler Akteur in der digitalen Revolution, hat sich entschieden, dieser Tendenz zur Digitalisierung zu folgen und eine neue Wirtschaft auf Basis der Informations- und Kommunikationstechnologie (IKT) zu entwickeln. Tatsächlich kann kein Land die voranschreitende digitale Transformation ignorieren oder ihr widerstehen. Der Gewinn, den die Informationsrevolution seit den 1990er Jahren gebracht hat, ist offensichtlich und ihre Wirksamkeit zeigt keine Anzeichen einer Verlangsamung. Das Internet hat sich in unserem täglichen Leben so fest verankert, dass es kaum noch als etwas Neues oder Besonderes wahrgenommen wird – es ist unverzichtbar geworden.

Neben China haben auch viele andere Länder digitale Wirtschaftskonzepte entwickelt, wie zum Beispiel der digitale Binnenmarkt der Europäischen Union, Singapurs Smart Nation, „i-Japan“, „Digital India“, die digitale Strategie des Vereinigten Königreichs, Australiens Breitband- und Big-Data-Strategie und viele mehr. Auf den G20-Gipfeln von Antalya (2015) und Hangzhou (2016) erkannten die Staats- und Regierungschefs, dass wir uns in der Ära der Internetwirtschaft befinden und dass diese die treibende Kraft für globales wirtschaftliches Wachstum und nachhaltige Entwicklung darstellt. 2010 machte die digitale Wirtschaft der G20 4,1 % des BIP oder 2,3 Billionen Dollar aus; für die entwickelten Mitglieder wurde eine jährliche Wachstumsrate von 8 % erwartet, und der Beitrag zum BIP sollte auf 5,7 % in der EU und 5,3 % für die G20 steigen. In den Entwicklungsländern wurden sogar noch höhere Wachstumsraten von etwa 18 % pro Jahr prognostiziert. Insgesamt verdoppelte sich die digitale Wirtschaft der G20 fast zwischen 2010 und 2016.

Die IKT-Revolution hat den globalen Fluss von Kapital, Personal, Informationen und Daten auf allen Ebenen ermöglicht. Dies führte zu einer engeren Verknüpfung zwischen den Ländern, wobei sowohl der private Sektor als auch die normalen Bürger die Notwendigkeit einer Zusammenarbeit erkannten. Einige Wissenschaftler betrachten diese Verknüpfung sogar als eine Form der Abschreckung, bei der Länder davon abgehalten werden, sich böswillig zu verhalten. Die enge wirtschaftliche Verflechtung führt dazu, dass Länder ein gemeinsames Interesse an einer stabilen digitalen Infrastruktur entwickeln.

Ein entscheidender Faktor, der die Zusammenarbeit fördert, ist die Schaffung eines sicheren und vertrauenswürdigen Rahmens für das digitale Geschäft. Inzwischen haben sich viele Länder auf die Notwendigkeit eines internationalen Regelwerks geeinigt. Ein Mangel an „Straßenregeln“ wurde als Hauptursache für Chaos, Instabilität und potenzielle Unordnung im Cyberspace identifiziert. Die Lücken in der Regulierung sind heute ein zentrales Thema auf den politischen Agenden vieler Staaten. Trotz bestehender Differenzen und ungelöster Fragen wurde bereits der erste Schritt unternommen, und ein erster nicht bindender Rahmen wurde entwickelt, um das Verhalten der Staaten im Cyberspace zu regeln. Die 2015 von der UN-Gruppe der Regierungsexperten (UN GGE) veröffentlichte Report zeigt einen Konsens über die verantwortlichen Normen des staatlichen Verhaltens und die Grundprinzipien des internationalen Rechts im Cyberspace, einschließlich der Verpflichtung zur Schaffung von Vertrauen und Transparenz.

Die wichtigsten Prinzipien des internationalen Rechts, wie die staatliche Souveränität und die international anerkannten Normen, die sich aus dieser Souveränität ableiten, sind allgemein als „ethische Mindestanforderungen“ anerkannt. Diese beinhalten unter anderem die Nicht-Einmischung in die inneren Angelegenheiten eines Staates, die friedliche Beilegung internationaler Streitigkeiten und das Verbot der Anwendung von Gewalt. Die Erfüllung dieser Verpflichtungen erfordert eine intensive praktische Zusammenarbeit auf bilateraler, regionaler und internationaler Ebene. Ein prominentes Beispiel für solche Kooperationen ist die Vereinbarung zwischen China und den Vereinigten Staaten im Jahr 2015, die verspricht, dass keine der beiden Regierungen Cyberangriffe zur Entwendung von geistigem Eigentum oder Geschäftsgeheimnissen durchführen oder unterstützen werde. Diese Vereinbarung war ein Schritt in Richtung einer verantwortungsbewussteren digitalen Zusammenarbeit.

Darüber hinaus stellt die zunehmende Bedrohung durch Cyberangriffe einen weiteren Anreiz zur Zusammenarbeit dar. In den letzten Jahren haben die Zahl und Schwere von Cyberangriffen dramatisch zugenommen und erhebliche Störungen verursacht. Kritische Infrastrukturen wie Stromnetze und Banken sind ständig Ziel von Sabotageakten. Private Gesundheitsdaten werden gestohlen und auf dem Darknet verkauft, und terroristische Gruppen setzen zunehmend fortgeschrittene Cybermethoden ein, die weit über Online-Rekrutierung und Propaganda hinausgehen. In diesem Kontext haben viele Akteure – Staaten, Organisationen, und Individuen – ein wachsendes Interesse an einer effektiven Zusammenarbeit und der Schaffung von Mechanismen zur Bekämpfung solcher Bedrohungen.

Ein weiteres Problem ist die oft willkürliche Unterscheidung zwischen „offensiven“ und „defensiven“ Cyberoperationen. Diese Unterscheidung führt zu einer Verbreitung schadhafter Technologien, da die Grenzen zwischen legitimen und illegalen Aktivitäten im Cyberspace oft schwer zu definieren sind. Die Abgrenzung dessen, was als Einmischung in die inneren Angelegenheiten eines anderen Staates oder als Verletzung von Souveränitätsrechten angesehen werden kann, bleibt ein ungelöstes Problem. Die Überwachung durch Staaten sowie der Umgang mit der Balance zwischen nationaler Sicherheit und dem Schutz individueller Rechte ist weiterhin ein komplexes Thema, das internationale Zusammenarbeit erfordert.

Der Fall des DDoS-Angriffs auf den DNS-Dienstleister Dyn im Oktober 2016, der den Internetverkehr in Europa und Nordamerika lähmte, zeigt auf, wie verwundbar die globale digitale Infrastruktur geworden ist. Der Angriff nutzte Botnets, die Millionen von unsicheren Internetgeräten infizierten, was die Bedeutung jedes einzelnen Elements in der globalisierten IKT-Wertschöpfungskette unterstreicht – von der Produktentwicklung bis hin zu den Nutzern.

Letztlich ist es unbestreitbar, dass Cybersicherheit eine kollektive Anstrengung auf nationaler und internationaler Ebene erfordert. Kein Land kann sich sicher fühlen, solange andere in Unsicherheit und Chaos versinken. Die Bedrohungen, denen einige Länder ausgesetzt sind, können sich auf andere ausbreiten, insbesondere im Cyberspace. Daher ist eine verstärkte Kooperation unerlässlich, um eine sichere, stabile und prosperierende digitale Zukunft zu gewährleisten.

Wie unterschiedliche Ansichten zur Cybersicherheitsordnung internationale Normen beeinflussen

Die Debatte über internationale Cybernormen hat sich in den letzten Jahren stark entwickelt, besonders mit dem Aufkommen neuer Cybermächte wie Brasilien, China, Indien, Indonesien und Iran. Diese Länder tragen zunehmend zur Gestaltung der globalen Cybersicherheitslandschaft bei, jedoch bleibt es fraglich, ob ihre Vorstellungen von einer internationalen Cyberordnung mit den bestehenden westlichen Normen übereinstimmen. Unterschiedliche Auffassungen über die Interpretation und Anwendung internationaler Normen, insbesondere im Bereich der Informations- und Kommunikationstechnologien (IKT), zeigen, wie tief die Kluft zwischen den Staaten verlaufen kann.

Die Herausforderungen beginnen damit, dass eine zunehmende Zahl von Ländern mit unterschiedlichem technologischen Entwicklungsstand und unterschiedlichen politischen Interessen in die Diskussion über Cybernormen eingebunden wird. Während kleinere und mittelgroße technologische Akteure oft klare Positionen zu spezifischen Lücken oder Unklarheiten in bestehenden Rechtsinstrumenten einnehmen, ist die Lage bei den Entwicklungsländern komplexer. Diese Staaten stehen vor der Herausforderung, ihre nationale IKT-Infrastruktur zu entwickeln und gleichzeitig die Risiken einer zunehmenden Abhängigkeit von digitalen Technologien zu minimieren. In einem internationalen Kontext bedeutet dies, dass jedes Land unterschiedliche Prioritäten setzen könnte, je nach seiner individuellen Situation in Bezug auf Kapazität und Bereitschaft, mit den Risiken von Cybersicherheitsbedrohungen umzugehen.

Die Umsetzung internationalen Rechts im Bereich der Cybersicherheit ist nicht nur eine Frage von Ideologie oder Werten, sondern auch von Ressourcen und Kapazitäten. Wenn Staaten versuchen, verbindliche Vereinbarungen zu erzielen, ist dies oft eine intuitive Reaktion auf wahrgenommene normative Lücken, die während technologischer Veränderungen auftreten. Diese Tendenz, verbindliche Verpflichtungen zu bevorzugen, könnte jedoch dazu führen, dass nationale Souveränitätsrechte überbewertet werden, was den Umgang mit bestehenden Verträgen und Gewohnheitsrecht erschwert.

Die Erfahrungen des "Group of Governmental Experts" (GGE) zeigen, wie schwierig es ist, eine gemeinsame Sprache für die internationale Cyberordnung zu finden. Die politischen und pragmatischen Differenzen zwischen den großen strategischen Akteuren und den anderen teilnehmenden Ländern haben die Entwicklung klarer und umsetzbarer Normen erschwert. Das Ergebnis von 2021, das administrative Leitlinien bietet, löst keine der schwerwiegenden Konflikte in der internationalen Cyberordnung und lässt Zweifel aufkommen, ob überhaupt eine Einigung über verbindliche Standards erreicht werden kann.

Ein weiterer kritischer Punkt ist, dass Formate wie das GGE nicht mehr den Bedürfnissen der Länder entsprechen, die mehr Klarheit und Sicherheit in ihren Cybersicherheitsfragen verlangen. Inzwischen haben mehr als hundert Länder die Generalversammlung der Vereinten Nationen unterstützt, was die Notwendigkeit eines neuen Diskussionsrahmens verdeutlicht. Doch auch das neueste Forum, die Open-ended Working Group (OEWG), in der zivilgesellschaftliche und private Akteure eingebunden sind, kann nicht alle Differenzen zwischen Staaten und Unternehmen überwinden, insbesondere bei Themen wie der Sicherheit von Lieferketten.

Die Diskussion über Cybernormen leidet unter einer unvollständigen Saturierung des Diskurses. Der Fokus liegt oft auf der Neufassung von internationalen Rechtsnormen oder der Einführung neuer Normen, während wenig über die unterschiedlichen Interpretationen des bestehenden internationalen Rechts oder die praktischen Lücken nachgedacht wird. Es gibt nur wenige Analysen über die tatsächliche Praxis der Staaten, was zu einer rein theoretischen Diskussion führt, die die Realität der staatlichen Cybersicherheitsstrategien weitgehend ignoriert. Die bestehenden Vorschläge für neue Normen kommen oft ohne eine eingehende Untersuchung ihrer Durchsetzbarkeit oder der realen politischen Unterstützung aus.

Der Kern des Problems liegt darin, dass die bestehenden internationalen Rechtsnormen und politischen Vereinbarungen nicht ausreichen, um die modernen Herausforderungen der Cybersicherheit zu bewältigen. Ein umfassendes Verständnis der bestehenden normativen Landschaft ist erforderlich, bevor neue Diskussionen über die Normen der digitalen Welt sinnvoll geführt werden können. Dabei müssen nicht nur die bestehenden verbindlichen und unverbindlichen Normen berücksichtigt werden, sondern auch die zahlreichen spezialisierten Regelungen im Bereich des Risikomanagements, etwa in der Luftfahrt, im maritimen Bereich, in der Finanzwelt und in der Nuklearindustrie. Diese existierenden Mechanismen bilden das "cybersecurity regime complex", wie es Nye (2014) bezeichnet, und könnten möglicherweise zur Lösung einiger der drängendsten Herausforderungen im Bereich der Cybersicherheit beitragen.

Es ist entscheidend, dass die internationale Gemeinschaft ein gemeinsames Verständnis für die bestehenden Normen und Praktiken entwickelt, bevor neue Vorschläge gemacht werden. Nur so kann die bestehende Lücke zwischen den verschiedenen Auffassungen der Staaten geschlossen und eine echte Grundlage für verbindliche Vereinbarungen geschaffen werden. Dies erfordert jedoch sowohl die politische Bereitschaft, als auch die Kapazität, diese Normen auf globaler Ebene effektiv umzusetzen und durchzusetzen. Der Weg dorthin wird nicht einfach sein, da die Differenzen zwischen den Akteuren tief und vielfältig sind. Doch ohne diese klare Auseinandersetzung wird die Gefahr bestehen, dass die internationale Gemeinschaft in einem fragmentierten Cybersicherheitsumfeld operiert, das der Dynamik der digitalen Bedrohungen nicht gewachsen ist.

Kann Eisenhowers Erfolg mit Project Solarium auf die Herausforderungen der Cybersicherheit angewendet werden?

Die Erstellung von Richtlinien, die sowohl die nationale Sicherheit als auch die globalen politischen Realitäten berücksichtigen, war eine der zentralen Aufgaben, denen sich Präsident Dwight D. Eisenhower im Jahr 1953 stellte. Im Rahmen von Project Solarium wollte er die USA auf die neue Bedrohung durch den Kommunismus vorbereiten, insbesondere durch die strategische Einschätzung des sowjetischen Nuklearpotentials. Dieses Projekt führte zu einer umfassenden nationalen Sicherheitsstrategie, die in das Dokument NSC 162/2 mündete. Es ging darum, die politischen und militärischen Optionen zu bewerten, die den USA zur Verfügung standen, um auf die Bedrohungen durch den Kommunismus, insbesondere die UdSSR und die Volksrepublik China, angemessen zu reagieren.

Das Kernziel dieser Richtlinie war nicht nur die militärische Abschreckung, sondern auch eine tiefere Betrachtung der politischen und wirtschaftlichen Rahmenbedingungen, die den Handlungsraum der USA beeinflussten. Eisenhower verstand, dass die Bedrohung durch den Kommunismus nicht nur militärisch war, sondern auch ideologisch und ökonomisch. Die Frage, die sich bei der Umsetzung von Project Solarium stellte, war, wie die USA ihren globalen Einfluss sichern und gleichzeitig ihre wirtschaftlichen und politischen Werte bewahren konnten. Dies führte zu einer detaillierten Analyse der Ressourcen, der notwendigen finanziellen Mittel und der politischen Entschlossenheit, um die USA in einem internationalen Machtkonflikt zu positionieren. Es war eine beispiellose Anstrengung, bei der verschiedene strategische Optionen sorgfältig geprüft und die besten Lösungen für die nationale Sicherheit und den internationalen Einfluss der USA ausgewählt wurden.

Die organisatorische und strategische Herangehensweise von Eisenhower in diesem Kontext könnte als ein Modell für das US-amerikanische Cybersicherheitsforum von 2019, die Cyberspace Solarium Commission (CSC), betrachtet werden. Diese Kommission wurde eingerichtet, um die zunehmend komplexen Bedrohungen durch Cyberangriffe sowohl von Staaten als auch von nichtstaatlichen Akteuren zu adressieren. Die Kommission sollte eine eingehende Analyse der US-amerikanischen Cybersicherheitsstrategie und deren Umsetzung vornehmen, um langfristig eine nachhaltige und effektive Abwehrstrategie zu entwickeln.

Die Ähnlichkeiten zwischen Project Solarium und der Cyberspace Solarium Commission sind auf den ersten Blick deutlich: Beide Initiativen wurden mit dem Ziel ins Leben gerufen, die USA auf eine neue Art von Bedrohung vorzubereiten, die nicht nur militärische, sondern auch ökonomische und politische Implikationen hatte. In beiden Fällen war es entscheidend, verschiedene Handlungsoptionen zu evaluieren und zu bewerten, wie diese Optionen in einer Gesamtstrategie der US-amerikanischen Sicherheit eingebaut werden könnten.

Ein besonders wichtiger Aspekt der CSC besteht darin, dass sie nicht nur die Wirksamkeit bestehender politischer Maßnahmen zur Bekämpfung von Cyberangriffen untersucht, sondern auch die Frage stellt, welche institutionellen und behördlichen Änderungen erforderlich sind, um den Herausforderungen des digitalen Zeitalters gerecht zu werden. Diese Analyse erinnert an die Diskussionen von 1953, als Eisenhower ebenfalls politische Institutionen und Prozesse hinterfragte, um eine flexiblere und effektivere Reaktion auf die Bedrohung durch den Kommunismus zu ermöglichen.

Doch während Project Solarium und die Cyberspace Solarium Commission viele Parallelen aufweisen, gibt es auch grundlegende Unterschiede. Die politische Kultur der 1950er Jahre war stark von der Angst vor der Ausbreitung des Kommunismus geprägt. Diese Atmosphäre ermöglichte es Eisenhower, eine eher geschlossene und interne Diskussion zu führen, ohne dass öffentliche Meinungen oder eine umfassende Transparenz eine Rolle spielten. Die Herausforderungen des digitalen Zeitalters jedoch erfordern genau das Gegenteil: Offenheit, Transparenz und eine breite Debatte, die die öffentliche Meinung einbezieht. Die digitale Vernetzung und die zunehmende Komplexität globaler Bedrohungen machen es nahezu unmöglich, die Diskussionen zur Cybersicherheit hinter verschlossenen Türen zu führen.

Ein weiterer Unterschied zwischen den beiden Initiativen liegt in der konkreten Ausrichtung auf wirtschaftliche und institutionelle Ressourcen. Während Eisenhower in Project Solarium auch die ökonomischen Kosten und die Auswirkungen auf die US-amerikanische Gesellschaft und den globalen Markt betrachtete, geht es in der Cyberspace Solarium Commission weniger um die unmittelbaren wirtschaftlichen Auswirkungen, sondern stärker um die institutionellen Änderungen und die Schaffung neuer normativer Rahmenbedingungen für das Verhalten im digitalen Raum.

Die Bedeutung der Schaffung solcher „normativen Regime“ wird oft unterschätzt, ist jedoch zentral für das Verständnis, wie die USA auf Cyberbedrohungen reagieren sollten. Es ist von entscheidender Bedeutung, dass die USA nicht nur intern eine starke Cybersicherheitsstrategie entwickeln, sondern auch international eine Führungsrolle in der Etablierung von Regeln und Standards für den Umgang mit Cyberangriffen übernehmen.

Die Umsetzung der Empfehlungen der CSC wird nicht nur die Cybersicherheitslandschaft der USA prägen, sondern könnte auch Auswirkungen auf die globale Sicherheitsarchitektur haben. Angesichts der zunehmenden Vernetzung von Staaten und der engen Verknüpfung von nationaler Sicherheit mit digitalen Infrastrukturen müssen zukünftige Sicherheitsstrategien stets auch die internationalen Dimensionen berücksichtigen. Es reicht nicht aus, nur nationale Sicherheitsvorkehrungen zu treffen. Vielmehr muss ein globales, kooperatives Netzwerk entstehen, das die Grundlagen für ein sicheres und verantwortungsbewusstes Handeln im Cyberspace legt.