KIF440:Resolutionsentwürfe/Cyberpeace

Aus KIF
Die druckbare Version wird nicht mehr unterstützt und kann Darstellungsfehler aufweisen. Bitte aktualisiere deine Browser-Lesezeichen und verwende stattdessen die Standard-Druckfunktion des Browsers.

Resolution "Cyberpeace"

Die 44,0. Konferenz der deutschsprachigen Informatikfachschaften schließt sich den Forderungen des FIfF e.V. an und fordert:

  • dass Deutschland auf eine offensive Cyberstrategie verzichtet,
  • dass sich Deutschland verpflichtet, keine Cyberwaffen zu entwickeln, zu beschaffen und zu verwenden,
  • dass internationale Abkommen zu einem weltweiten Bann von Cyberwaffen angestrebt werden.

Wir verstehen unter einer digitalen Waffe (auch "Cyberwaffe") eine Software, Hardware oder Methode, die dazu bestimmt ist, IT-Systeme zu stören, zu beschädigen, für fremde Absichten zu missbrauchen oder in ihrer Integrität zu beeinträchtigen. Die Herstellung einer digitalen Waffe, also eines Werkzeuges zum Ausnutzen einer Sicherheitslücke eines IT-Systems, zeichnet sich durch die Geheimhaltung und den Erhalt derselben aus.

Ein Bann schlösse die Entwicklung, Herstellung und Verwendung sowie den Besitz von Cyberwaffen ein.

Begründung:

Die KIF stellt fest:

Die Schaffung einer neuen Teilstreitkraft im Rahmen des "Projekt Digitale Kräfte" der Deutschen Bundeswehr birgt große Gefahren. Sie ist ein Schritt in einem globalen IT-Wettrüsten, welches in einen kalten digitalen Krieg münden kann. Alle Staaten würden gezwungen, immer mehr und besser ausgestattete Digitalkrieger*innen zu beschäftigen, um im drohenden Konfliktfall nicht chancenlos zu sein. Immer mehr IT-know-how würde beim Militär gebündelt. Die durch diese Streitkräfte gewonnenen Erkenntnisse über IT-Systeme und ihre Schwachstellen werden nie veröffentlicht und können deshalb der Gesellschaft nicht dienlich sein. Die IT-Systeme der Bevölkerung bleiben weiterhin schwach und werden im Konfliktfall nicht mehr zur Verfügung stehen. Komplexe zivile IT-Infrastruktur, wie sie zum Beispiel in Krankenhäusern zum Einsatz kommt, wird einem bewaffneten Konflikt in Sekunden zum Opfer fallen. Kommunikation und digitales Leben der Bevölkerung der am Konflikt beteiligten Länder werden folgen.

Einen nicht verwerflichen Krieg im digitalen Raum zu führen, ist ausgeschlossen. Genau wie der Einsatz atomarer, biologischer und chemischer Waffen ist auch der Einsatz digitaler Waffen unweigerlich mit zivilen Opfern verbunden. Bei dem Angriff gegen einen Akteur im digitalen Raum wie auch bei der Verteidigung gegen einen solchen ist es unmöglich festzustellen, ob sich hinter dem Akteur ein Kombattant oder ein Zivilist verbirgt. Wird zum Beispiel das Smartphone eines deutschen Staatsbürgers angegriffen, kann weder zweifelsfrei festgestellt werden, wo der geographische Ursprung des Angriffes liegt, noch, ob der Server, von dem der Angriff kommt, von einem staatlichen oder zivilen Akteur betrieben wird und ebensowenig die Tatsache, ob der Server allein zum Zwecke des Angriffs betrieben wird oder ob es sich vielleicht um einen zivilen Server handelt, der lediglich für Zwecke des Angriffs missbraucht wird. Deswegen kann auch nicht ausgeschlossen werden, ob bei einem Gegenschlag zivile Opfer entstehen, weil der Angriff zum Beispiel seinerseits von einem Krankenhaus-Server oder einem internetfähigen Auto kommen könnte, die für diesen Zweck missbraucht werden. Der Schaden, der bei einem Gegenangriff entstünde, ist unberechenbar. Von Kombattanten durchgeführte Maßnahmen, die darauf abzielen, IT-Systeme zu stören, sind als Kriegsverbrechen zu betrachten.

Aus oben genannten Gründen muss die Deutsche Bundeswehr per Gesetz daran gehindert werden, Angriffe mit digitalen Waffen zu führen. Lediglich die Suche nach Sicherheitslücken – die Existenz und die Kenntnis solcher ist zu jedem Angriff notwendig – ist akzeptabel. Alle staatlich unternommenen Anstrengungen im Bereich der IT-Sicherheit müssen deshalb ausschließlich der sogenannten Härtung staatlicher und ziviler IT-Systeme dienen und nicht dem Angriff auf IT-Systeme fremder Staaten. Alle Informationen über Schwachstellen in IT-Systemen, die durch die Deutsche Bundeswehr oder durch deutsche Nachrichtendienste und Strafverfolgungsbehörden gewonnen werden, müssen so bald wie möglich der Öffentlichkeit zugänglich gemacht werden, um einen Nutzen für die Gesamtgesellschaft zu erreichen und so ein "Härten" auch nichtstaatlich betriebener IT-Systeme zu ermöglichen.

Statt einer Teilstreitkraft der Bundeswehr, die IT-Angriffe auf fremde Staaten unternimmt, bedarf es in Anbetracht stattfindender digitaler Kriegsoperationen wie "Stuxnet" und vorhandener leistungsfähiger Digitalstreitkräfte fremder Staaten, die auch zivile Ziele zum im Rahmen der Wirtschaftsspionage angreifen, einer Institution, die IT-Sicherheitsforschung unabhängig von Militär und Nachrichtendiensten betreibt und so die Sicherheit aller IT-Systeme fördert, statt den Angriff vorzubereiten.

Aufgrund der globalen heterogenen IT-Infrastruktur betreffen die durch staatliche Akteure gefundenen Sicherheitslücken nicht nur IT-Systeme sogenannter Nation-State-Adversaries, sondern auch von allen Menschen weltweit eingesetzte IT-Systeme, wie zum Beispiel Smartphones und Laptops. Umso nötiger wird die Förderung der allgemeinen IT-Sicherheit durch staatliche Akteure im Zeitalter des "Internet of Things", wo selbst Kühlschränke und Autos zu potentiellen Akteuren im digitalen Krieg werden.