Strikt defensive Cybersicherheitsstrategie und Cybersicherheitprävention!

Wir stehen ein für eine strikt defensive Cybersicherheitsstrategie und Cybersicherheitsprävention. Wir verurteilen den Einsatz und die Bereitstellung offensiver Wirkmittel im Cyberraum. Insbesondere kritische Infrastrukturen sind anfällig für Angriffe von Cyberkriminellen oder von Drittstaaten - egal ob feindlich gesinnt oder "Freunde". Da eine zweifelsfreie Attribution der Herkunft eines Cyberangriffs nach dem Stand der Technik ausgeschlossen ist, muss davon ausgegangen werden, dass sowohl der Angriff wie auch ein Gegenangriff immer auch zivile Infrastruktur treffen kann. Dies ist laut den Zusatzprotokoll der Genfer Konvention von 1977 klar ausgeschlossen [vgl. Art. 52 und 54 ZP I 11]. Auch die deutliche ältere Haager Landkriegsordnung untersagt Angriffe auf zivile Infrastruktur im weiteren Sinne.

Wir fordern daher ein weltweites Abkommen, dass jegliche offensive Wirkmittel im digitalen Raum als Digitalwaffen (D-Waffen) einstuft und diese im Rahmen eines Sperrvertrags weltweit verbietet, ähnlich wie die vor vorhanden ABC-Waffensperrverträge. Im Idealfall kann man dann zukünftig nur noch von ABCD-Waffensperrverträgen sprechen.

Weiterhin sind wir der Meinung, dass ich und du, wir und andere mit gutem Beispiel vorangehen müssen und solche Waffen weder entwickeln noch einsetzen sollten. Die geplanten Gesetzesänderungen zum Einsatz offensiver Wirkmittel im Cyberraum, an denen viele Länder und ihre Behörden arbeiten, dürfen nicht durchgeführt werden.

Wir erkennen an, dass wir unsere (Kritische) Infrastrukturen bisher nicht ausreichend schützen und fordern daher, alle informationstechnischen Systeme mit dem Gedanken "Security by Design" zu gestalten. Dies schützt proaktiv gegen erfolgreiche Angriffe aus dem Cyberraum. Alle Programmiererinnen und Administratorinnen müssen konstant weitergebildet werden, was der aktuelle Stand der Technik ist. Dies gilt nicht nur im Bereich des Betriebs, sondern auch in der Entwicklung und der Gestaltung sicherer Systeme. Dazu fordern wir die Einrichtung mehrere Lehrstühle zur defensiven IT-Sicherheitsforschung und -Lehre.


Kritische Infrastrukturen werden wie folgt definiert:

Kritische Infrastrukturen [...] sind Einrichtungen, Anlagen oder Teile davon, die

1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz. und Versicherungswesen angehören und

2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. [...]


Defensive Cybersicherheitsstrategie und Cybersicherheitprävention

Die Ausrichtung der Cybersicherheitsstrategie und Cybersicherheitprävention in vielen Ländern lässt große Zweifel aufkommen, ob es hier wirklich um Cybersicherheit und nicht vielmehr um die Ausweitung der Cyber-Bewaffnung geht. Deshalb sollte alle die Cybersicherheits-Strategien und Cybersicherheitprävention strikt defensiv auszurichten.

Angesichts der Erfahrungen anderer Länder und auch im Lichte diverser inländischen Hacks kann die staatliche Entwicklung von Sicherheitslücken für den Gebrauch durch Militärs und Geheimdienste nicht Bestandteil einer nachhaltigen Sicherheitsarchitektur sein. Erinnert sei nur an den ETERNALBLUE-Exploit der NSA, der die Grundlage für die verheerenden Trojaner Wannacry und NotPetya bildete, die bisher nicht dagewesene Schäden weltweit verursachten.

Der Wunsch der Geheimdienste, mit NSA und GCHQ „auf Augenhöhe“ mitzucybern, darf nicht Maßstab einer Strategie für Sicherheit im digitalen Raum sein. Stattdessen müssen eingeplanten Ressourcen ausschließlich für defensive Forschung verwendet werden. Dazu gehört, die Softwarequalität grundlegend zu verbessern und die an Universitäten erforschten und entwickelten Technologien für sichere digitale Systeme schnellstmöglich breit in die industrielle Praxis zu bringen.

Eine sinnvolle Strategie für eine sichere digitale Welt für Bürger und Wirtschaft erfordert, unabhängige zivile Organisationen und Behörden zu stärken, und gerade keine weitere Militarisierung und Vergeheimdienstlichung des Themas. Wenn das Militär und die Geheimdienste den Ton bei dem Thema angeben, wird der Schwerpunkt auf Cyber-Offensiv-Waffen liegen. Dies ist das falsche Signal und wird die desolate Situation in der IT-Sicherheit verschlechtern und nicht verbessern.

Ob ein „Zurückhacken“ und offensive digitale Angriffe, zumal durch das Militär, überhaupt mit geltendem Recht und dem Völkerrecht vereinbar ist, steht ohnehin in Zweifel. Dass offenbar militärische, geheimdienstliche und polizeiliche Interessen weiter vermengt werden, wenn diese aus gutem Grund rechtlich getrennten Bereiche bedient werden, ist nicht akzeptabel.




... to antagonise z0mqiEs worldwide ... ongoing ... dong ding dang

Schließen ¦ Close