KIF440:Resolutionsentwürfe/Cyberpeace
Resolution "Cyberpeace"
Die 44,0. Konferenz der deutschsprachigen Informatikfachschaften schließt sich deshalb den Forderungen des FIfF e.V. an und fordert:
- dass Deutschland auf eine offensive Cyberstrategie verzichtet,
- dass sich Deutschland verpflichtet, keine Cyberwaffen zu entwickeln und zu verwenden,
- dass internationale Abkommen zu einem weltweiten Bann von Cyberwaffen angestrebt werden.
Wir verstehen unter einer digitalen Waffe (auch "Cyberwaffe") eine Software, Hardware oder Methode, die dazu bestimmt ist, IT-Systeme zu stören, zu beschädigen, für fremde Absichten zu missbrauchen oder in ihrer Integrität zu beeinträchtigen. Die Herstellung einer digitalen Waffe, also eines Werkzeuges zum Ausnutzen einer Sicherheitslücke eines IT-Systems, zeichnet sich durch die Geheimhaltung und den Erhalt derselben aus.
Ein Bann schlösse die Entwicklung, Herstellung, Lagerung und Verwendung von Cyberwaffen ein.
Begründung:
Die KIF stellt fest:
Die Schaffung einer neuen Teilstreitkraft im Rahmen des "Projekt Digitale Kräfte" der Deutschen Bundeswehr birgt große Gefahren. Sie ist ein Schritt in einem globalen IT-Wettrüsten, welches in einen kalten digitalen Krieg münden kann. Alle Staaten würden gezwungen, immer mehr und besser ausgestattete Digitalkrieger*innen zu beschäftigen, um im drohenden Konfliktfall nicht chancenlos zu sein. Immer mehr IT-know-how würde beim Militär gebündelt. Die durch diese Streitkräfte gewonnenen Erkenntnisse über IT-Systeme und ihre Schwachstellen werden nie veröffentlicht und können deshalb der Gesellschaft nicht dienlich sein. Die IT-Systeme der Bevölkerung bleiben weiterhin schwach und werden im Konfliktfall nicht mehr zur Verfügung stehen. Komplexe zivile IT-Infrastruktur, wie sie zum Beispiel in Krankenhäusern zum Einsatz kommt, wird einem bewaffneten Konflikt in Sekunden zum Opfer fallen. Kommunikation und digitales Leben der Bevölkerung der am Konflikt beteiligten Länder werden folgen.
Einen nicht verwerflichen Krieg im digitalen Raum zu führen, ist ausgeschlossen. Genau wie der Einsatz atomarer, biologischer und chemischer Waffen ist auch der Einsatz digitaler Waffen unweigerlich mit zivilen Opfern verbunden. Bei dem Angriff gegen einen Akteur im digitalen Raum wie auch bei der Verteidigung gegen einen solchen ist es unmöglich festzustellen, ob sich hinter dem Akteur ein Kombattant oder ein Zivilist verbirgt. Wird zum Beispiel das Smartphone eines deutschen Staatsbürgers angegriffen, kann weder zweifelsfrei festgestellt werden, wo der geographische Ursprung des Angriffes liegt, noch, ob der Server, von dem der Angriff kommt, von einem staatlichen oder zivilen Akteur betrieben wird und ebensowenig die Tatsache, ob der Server allein zum Zwecke des Angriffs betrieben wird oder ob es sich vielleicht um einen zivilen Server handelt, der lediglich für Zwecke des Angriffs missbraucht wird. Deswegen kann auch nicht ausgeschlossen werden, ob bei einem Gegenschlag zivile Opfer entstehen, weil der Angriff zum Beispiel seinerseits von einem Krankenhaus-Server oder einem internetfähigen Auto kommen könnte, die für diesen Zweck missbraucht werden. Der Schaden, der bei einem Gegenangriff entstünde, ist unberechenbar. Von Kombattanten durchgeführte Maßnahmen, die darauf abzielen, IT-Systeme zu stören, sind als Kriegsverbrechen zu betrachten.
Aus oben genannten Gründen muss die Deutsche Bundeswehr per Gesetz daran gehindert werden, Angriffe mit digitalen Waffen zu führen. Lediglich die Suche nach Sicherheitslücken – die Existenz und die Kenntnis solcher ist zu jedem Angriff notwendig – ist akzeptabel. Alle staatlich unternommenen Anstrengungen im Bereich der IT-Sicherheit müssen deshalb ausschließlich der sogenannten Härtung staatlicher und ziviler IT-Systeme dienen und nicht dem Angriff auf IT-Systeme fremder Staaten. Alle Informationen über Schwachstellen in IT-Systemen, die durch die Deutsche Bundeswehr oder durch deutsche Nachrichtendienste und Strafverfolgungsbehörden gewonnen werden, müssen so bald wie möglich der Öffentlichkeit zugänglich gemacht werden, um einen Nutzen für die Gesamtgesellschaft zu erreichen und so ein "Härten" auch nichtstaatlich betriebener IT-Systeme zu ermöglichen.
Statt einer Teilstreitkraft der Bundeswehr, die IT-Angriffe auf fremde Staaten unternimmt, bedarf es in Anbetracht stattfindender digitaler Kriegsoperationen wie "Stuxnet" und vorhandener leistungsfähiger Digitalstreitkräfte fremder Staaten, die auch zivile Ziele zum im Rahmen der Wirtschaftsspionage angreifen, einer Institution, die IT-Sicherheitsforschung unabhängig von Militär und Nachrichtendiensten betreibt und so die Sicherheit aller IT-Systeme fördert, statt den Angriff vorzubereiten.
Aufgrund der globalen heterogenen IT-Infrastruktur betreffen die durch staatliche Akteure gefundenen Sicherheitslücken nicht nur IT-Systeme sogenannter Nation-State-Adversaries, sondern auch von allen Menschen weltweit eingesetzte IT-Systeme, wie zum Beispiel Smartphones und Laptops. Umso nötiger wird die Förderung der allgemeinen IT-Sicherheit durch staatliche Akteure im Zeitalter des "Internet of Things", wo selbst Kühlschränke und Autos zu potentiellen Akteuren im digitalen Krieg werden.
ALT
1. ("FifF-Forderung")
Die 44,0. Konferenz der deutschsprachigen Informatikfachschaften fordert die Bundesregierung und die Abgeordneten des Deutschen Bundestages auf, zum Schutz der Zivilgesellschaft zu handeln und sich dafür einzusetzen,
- dass Deutschland auf eine offensive Cyberstrategie verzichtet,
- dass sich Deutschland verpflichtet, keine Cyberwaffen zu entwickeln und zu verwenden,
- dass internationale Abkommen zu einem weltweiten Bann von Cyberwaffen angestrebt werden.
Quelle: Appell "Frau von der Leyen, verzichten Sie auf Cyberwaffen für die Bundeswehr!" des FIfF
Die KIF versteht unter einer Cyberwaffe eine Software, Hardware oder Methode, die geeignet ist, durch fremde Staaten oder deren Staatsbürger betriebene IT-Systeme zu stören oder zu beschädigen. Eine Cyberwaffe wird mit dem Ziel ihrer Geheimhaltung entwickelt. Die Geheimhaltung ist notwendig, um ihre Funktionstüchtigkeit zu gewährleisten. Davon abzugrenzen sind Methoden, Hardware und Software, die dazu genutzt wird, die Sicherheit von Systemen zu erhöhen und öffentlich verfügbar sind um Sicherheitsmethoden dagegen entwickeln zu können. Wir sind uns der Dual-Use Problematik bewusst und befürworten die öffentliche Forschung an Sicherheitsproblemen. Diese ist notwendig, um eine möglichst hohe Sicherheit für die allgemeine digitale Infrastruktur zu gewährleisten.
2. ("pragmatisch")
Die 44,0. Konferenz der deutschsprachigen Informatikfachschaften fordert die Bundesregierung und die Abgeordneten des Deutschen Bundestages auf, zum Schutz der Zivilgesellschaft zu handeln und sich für folgende Forderungen einzusetzen:
Forderung 1: Alle staatlich unternommenen Anstrengungen im Bereich der IT-Sicherheit müssen zunächst der sogenannten Härtung staatlicher und ziviler IT-Systeme dienen und nicht dem Angriff auf IT-Systeme fremder Staaten. Alle Informationen über Schwachstellen in IT-Systemen, die durch die Deutsche Bundeswehr oder durch deutsche Nachrichtendienste und Strafverfolgungsbehörden gewonnen werden, müssen so bald wie möglich der Öffentlichkeit zugänglich gemacht werden, um einen Nutzen für die Gesamtgesellschaft zu erreichen und so ein "Härten" nicht staatlich betriebener IT-Systeme zu ermöglichen.
Forderung 2: Alle durch Angehörige der Deutschen Bundeswehr durchgeführten Maßnahmen, die geeignet sind, durch fremde Staaten betriebene IT-Systeme zu stören oder zu beschädigen, sind juristisch wie Kriegseinsätze der Bundeswehr im Ausland zu behandeln und bedürfen insbesondere einem Mandat des Deutschen Bundestages.
Forderung 3: Von Kombattanten durchgeführte Maßnahmen, die über die Störung nicht-ziviler IT-Systeme fremder Staaten hinausgehen und die darauf abzielen, den Zugang der Bürger*innen eines fremden Staates zu IT-Systemen zu stören, sowie Maßnahmen, die darauf abzielen, zivile IT-Infrastruktur für den militärischen Nutzen im Rahmen eines Angriffes zu missbrauchen, sind als Kriegsverbrechen zu betrachten.
Begründung
Die Schaffung einer neuen Teilstreitkraft im Rahmen des "Projekt Digitale Kräfte" der Deutschen Bundeswehr birgt große Gefahren. Sie ist ein Schritt in einem globalen IT-Wettrüsten, welches in einen kalten Cyber-Krieg münden kann. Alle Staaten würden gezwungen, immer mehr und besser ausgestattete Cyber-Krieger*innen zu beschäftigen, um im drohenden Konfliktfall nicht chancenlos zu sein. Immer mehr IT-know-how würde beim Militär gebündelt. Die durch diese Streitkräfte gewonnenen Erkenntnisse über IT-Systeme und ihre Schwachstellen würden nie veröffentlicht und können deshalb der Gesellschaft nicht dienlich sein. Die IT-Systeme der Bevölkerung bleiben weiterhin schwach und werden im Konfliktfall nicht mehr zur Verfügung stehen. Komplexe zivile IT-Infrastruktur, wie sie zum Beispiel in Krankenhäusern zum Einsatz kommt, würde einem bewaffneten Konflikt in Sekunden zum Opfer fallen. Kommunikation und digitales Leben der Bevölkerung der am Konflikt beteiligten Länder würden folgen.
Statt einer Cyber-Teilstreitkraft der Bundeswehr, die Angriffe auf fremde Staaten unternimmt, bedürfte es einer Institution, die IT-Sicherheitsforschung unabhängig von Militär und Nachrichtendiensten betreibt und so die Sicherheit aller IT-Systeme fördert, statt den Angriff vorzubereiten.