Was steht in der neuen internationalen Cyber-Strategie der USA?

Auf der RSA-Konferenz am 6. Mai stellten die USA eine Strategie für den Aufbau eines stärkeren und sichereren digitalen Ökosystems auf der ganzen Welt vor. Internationale Cyberspace- und Digitalpolitikstrategie der Vereinigten Staaten Der grundlegende Ethos des ICDPS ist die „digitale Solidarität“ angesichts der zunehmenden Bedrohungen durch Russland, China, Nordkorea und den Iran.

Doch welche Auswirkungen wird dies auf normale Unternehmen haben? Zumindest sollte es uns erneut daran erinnern, wie wichtig eine gute digitale Governance ist.

Tiefer tauchen

Dieses Dokument entsteht nicht im luftleeren Raum. Es baut direkt auf dem US- Nationale Cybersicherheitsstrategie aus dem letzten Jahr, das eine eigene Säule der internationalen Zusammenarbeit und dem Konsens gewidmet hat. Diplomatie ist eines der drei Prinzipien, die dem neuesten Dokument zugrunde liegen, in dem es heißt, dass „internationale Staatskunst“ in einer Reihe verschiedener Bereiche angewendet werden soll, von Anwendungssoftware bis zu Unterseekabeln.

Die beiden anderen Grundprinzipien des ICDPS sind das Vertrauen in positive Maßnahmen zur Verbreitung der Vorteile der Technologie sowie ein Fokus auf Cybersicherheit und Widerstandsfähigkeit.

Die Strategie wird diese Prinzipien in vier zentralen Handlungsbereichen umsetzen. Der erste dreht sich um den Aufbau eines offenen, sicheren digitalen Ökosystems. Dieses Ökosystem basiert auf Telekommunikationsnetzen, die in dem Dokument einen eigenen Unterabschnitt erhalten, in dem 5G- und die kommende 6G-Telekommunikation explizit behandelt werden. Ein weiterer Schwerpunktbereich sind die Cloud und Rechenzentren. Unterseekabel (die die unangenehme Angewohnheit haben, geschnitten oder beschnüffelt) und Satelliten (die US-Regierung war vor kurzem alarmiert, als sie entdeckte, dass Russland plante Ein weltraumgestütztes Antisatellitensystem) sind ebenfalls interessante Bereiche.

Der zweite Aktionsbereich fordert Vereinbarungen zur Datenverwaltung mit internationalen Partnern, die die Menschenrechte respektieren. Das ICDPS fordert freien Datenverkehr zwischen Ländern und skizziert die Arbeit, die die USA bereits geleistet haben, um mit anderen Ländern grenzüberschreitende Datenschutzregeln auszuarbeiten. Es enthielt auch einen Seitenhieb auf Europa: „Der Aufstieg einer wachsenden Erzählung über digitale Souveränität, die von einigen unserer engen Partner und Verbündeten angenommen wurde, hat das Potenzial, wichtige Ziele der digitalen Wirtschaft und der Cybersicherheit zu untergraben“, hieß es.

Weitere Schwerpunkte in diesem Aktionsbereich sind die Entwicklung offener, unparteiischer Standards. Hier greift das Dokument China explizit an, das einen „Top-down-Ansatz zur Entwicklung von Standards“ verfolgt und seinen wirtschaftlichen Einfluss nutzt, um Unterstützung für seine Standardvorschläge zu erzwingen. Das Außenministerium hat einen Punkt, denn China hat seine eigenen Standards vorangetrieben. Internetstandards bei der ITU, und unterstützt mit eigener Ausrüstung den Aufbau der Infrastruktur autoritärer Regime.

Das Dokument betont auch die Notwendigkeit, die Beteiligung der Zivilgesellschaft an Technologieentscheidungen auszuweiten, die Bürgerrechte im Internet zu fördern und einen Vertrag zur Bekämpfung der Cyberkriminalität zu schließen, der die Menschenrechte respektiert. Auf der To-do-Liste stehen auch die Förderung einer vertrauenswürdigen KI und der Kampf gegen Desinformation.

Schlechte Akteure zur Verantwortung ziehen

Der dritte Aktionsbereich konzentriert sich auf die Schaffung eines Konsenses zwischen staatlichen Akteuren für ein verantwortungsvolles Verhalten im Cyberspace. Dabei geht es insbesondere um die Zählung von Bedrohungen für kritische Infrastrukturen. Es überrascht vielleicht nicht, dass das Dokument Russland, China, Nordkorea und den Iran als Hauptakteure nennt.

Zu dieser Säule gehört es, kritische Infrastrukturen durch internationale Zusammenarbeit gegen Cyberangriffe anderer Staaten abzusichern und böswillige Akteure auf der Weltbühne zu isolieren. Dazu gehört auch die Bekräftigung gegenseitiger Verteidigungsverträge mit anderen Staaten, soweit sie den Cyberspace betreffen. Artikel fünf Angesichts der anhaltenden Spannungen zwischen Russland und den Bündnisstaaten wegen der Ukraine kommt einem in diesem Zusammenhang die Bezugnahme auf den Washingtoner Vertrag der NATO in den Sinn, der es den Mitgliedern erlaubt, sich im Falle eines Angriffs gegenseitig zu Hilfe zu kommen.

Die Eindämmung krimineller Aktivitäten – insbesondere Ransomware – erhält einen eigenen Abschnitt in der dritten Säule, was mit der Forderung nach einem Cybercrime-Vertrag in der zweiten Säule übereinstimmt. Die Strategie nennt „einige Staaten“ (sie sprechen von Ihnen, Russland), die „Ransomware-Akteure als Stellvertreter einsetzen oder ihre Aktivitäten und die erheblichen Auswirkungen ihrer Cyberangriffe auf kritische Infrastrukturen ignorieren“.

Interessanterweise gibt es auch einen eigenen Abschnitt für Spyware. Im März haben die USA sechs weitere Länder zu den ursprünglich zehn hinzugefügt, die eine Verpflichtung des Weißen Hauses unterzeichnet haben, um der Verbreitung dieser Kategorie von Angriffstools entgegenzuwirken. Israel, Heimat der berüchtigten Spyware-Gruppe NSO, fehlt auffallend.

Der vierte Bereich der Strategie schließlich konzentriert sich auf die Stärkung der Digitalpolitik und der Cyberkapazitäten auf internationaler Ebene. In diesem Bereich versprechen die USA, mit anderen Staaten zusammenzuarbeiten, um ihnen zu helfen, ihre Cyberresilienz zu stärken. Dazu gehört auch die Schaffung neuer Tools und starker Kooperationsnetzwerke, die ihnen helfen sollen, aufkommende Herausforderungen wie Angriffe auf die Infrastruktur zu bewältigen.

Eine Rolle im privaten Sektor?

Was sollte der Privatsektor aus all dem lernen? Die Strategie fordert ausdrücklich einen Multi-Stakeholder-Ansatz zur Erreichung ihrer Ziele der digitalen Solidarität, der nicht nur Regierungen, sondern auch Unternehmen einschließt. Auch wenn es sich hier um politische Diskussionen auf höchster Ebene handelt, deren Ergebnisse hoffentlich mit der Zeit nach unten durchsickern werden, werden sich Unternehmen, die gute Praktiken der digitalen Governance einhalten – von der Cybersicherheitshygiene bis hin zum verantwortungsvollen Einsatz neuer Technologien –, in die gleiche allgemeine Richtung bewegen wie die Strategie.

Dieses Geschäft mit der internationalen Cyberdiplomatie ist ein heikles Problem. Auf dieser Ebene agieren die USA auf einem Gebiet, auf dem es kaum Gesetze gibt und Geheimdienste oft hinter verschlossenen Türen arbeiten, das eine sagen und das andere tun.

Einerseits müssen die USA versuchen, im Cyberspace den gleichen Einfluss auf die Weltpolitik auszuüben, wie sie es in der realen Welt schon lange tun, insbesondere da die digitale Welt zu einem wichtigen Schauplatz für verdeckte Kriegsführung aller Art geworden ist – infrastruktureller, wirtschaftlicher und informativer Art.

Dieses ehrgeizige Unterfangen erfordert viel Glaubwürdigkeit und Einfluss. Doch dies ist dieselbe Nation, die digital die eigenen Bürger ausspioniert en masse, angeblich gehackte ausländische Unternehmen, hat seine eigene Verbündete auf höchster Ebeneund untergraben Verschlüsselungsstandards um technische Schwächen einzuführen. Neben vielen anderen Eskapaden.

Und natürlich könnte sich in weniger als sechs Monaten alles wieder ändern, wenn die politische Münze in den USA wieder in Bewegung kommt. Was passiert, wenn eine neue, notorisch isolationistische Regierung an die Macht kommt? In der hektischen Welt der globalen Politik ist nichts sicher und alles steht auf dem Spiel.