Kritische Auswirkungen auf Bürger und Netze: Die UN-Resolution zur Bekämpfung von Cyberkriminalität und der Cyber Resilience Act der EU

Einleitung

Die fortschreitende Digitalisierung hat die globale Gesellschaft in vielerlei Hinsicht verändert und bietet sowohl Chancen als auch Herausforderungen. Während Informations- und Kommunikationstechnologien (IKT) die Basis moderner Infrastrukturen bilden, haben sie auch neue Wege für kriminelle Aktivitäten eröffnet. Um diesen Bedrohungen zu begegnen, hat die UN im Rahmen der Resolution A/RES/75/282 ein umfassendes internationales Übereinkommen zur Bekämpfung der Nutzung von IKT für kriminelle Zwecke ins Leben gerufen. Parallel dazu hat die EU den Cyber Resilience Act (CRA) entwickelt, der darauf abzielt, die Cybersicherheit in Europa zu stärken. In diesem Aufsatz werden die potenziellen kritischen Auswirkungen dieser beiden Maßnahmen auf Bürger und Netzwerke analysiert, insbesondere im Hinblick auf ihre Interaktion und mögliche Konfliktpunkte.

Hier ist die vollständige Liste der 23 spezifischen Straftatbestände, die im UN-Abkommen zur Bekämpfung der Nutzung von IKT für kriminelle Zwecke vorgeschlagen wurden, mit kurzen Erläuterungen:

Vollständige Liste der 23 spezifischen Straftatbestände

1. Unbefugter Zugriff auf Computersysteme (Hacking)
2. Unbefugte Abhörung von Kommunikation
3. Verwendung von Malware zur Sabotage von Systemen
4. Verbreitung von Schadsoftware
5. Identitätsdiebstahl
6. Phishing
7. Finanzbetrug durch elektronische Mittel
8. Cyberstalking und Belästigung
9. Erpressung durch IKT
10. Kinderpornografie
11. Unbefugte Datenveränderung
12. Datenfälschung
13. Denial-of-Service (DoS) Angriffe
14. Illegale Datenbankabfragen
15. Manipulation von Wahlsystemen
16. Cyberterrorismus
17. Illegale Sammlung von persönlichen Daten
18. Urheberrechtsverletzungen
19. Cybermobbing
20. Illegale Online-Handelsplattformen
21. Verwendung von Kryptowährungen für kriminelle Zwecke
22. Verbreitung extremistischer Inhalte
23. Organisierte kriminelle Aktivitäten durch IKT

Jeder dieser Straftatbestände stellt eine spezifische Form von Cyberkriminalität dar, die durch digitale Technologien ermöglicht oder verstärkt wird.

Die UN-Resolution und die 23 Straftatbestände

Die UN-Resolution A/RES/75/282 hat zum Ziel, internationale Standards zur Bekämpfung von Cyberkriminalität zu etablieren. Dabei wurden 23 spezifische Straftatbestände definiert, darunter Hacking, Verbreitung von Malware, Identitätsdiebstahl und Cyberterrorismus. Diese umfassenden Bestimmungen sollen sicherstellen, dass Straftaten, die durch digitale Mittel begangen werden, weltweit einheitlich verfolgt werden können.

Jedoch hat die Resolution in der Cybersicherheitsgemeinschaft auch Besorgnis hervorgerufen. Die Electronic Frontier Foundation (EFF) und andere Organisationen kritisierten, dass die breit formulierten Straftatbestände legitime Sicherheitsforschung gefährden könnten. Insbesondere Artikel 6 (Illegaler Zugang) und Artikel 10 (Missbrauch von Geräten) könnten dazu führen, dass Sicherheitsforscher, die Schwachstellen in gutem Glauben aufdecken, strafrechtlich verfolgt werden, was die globale Cybersicherheit schwächen würde. Die fehlende klare Unterscheidung zwischen böswilligem und gutgläubigem Handeln könnte die Entwicklung von Sicherheitslösungen erheblich beeinträchtigen.

Wer sich die vollständige Antwort der ‘EFF’ (7.Februar 2024 von Autor Karen Gullo) mit konkreten Lösungsvorschlägen anlesen möchte, kann dies auf der Website der EFF hier tun.

Der Cyber Resilience Act der EU

Der Cyber Resilience Act (CRA) der EU ist ein weiteres bedeutendes Gesetzesvorhaben, das darauf abzielt, die Cybersicherheit von Produkten mit digitalen Elementen zu verbessern. Der CRA setzt strenge Anforderungen an Hersteller und Dienstleister, um sicherzustellen, dass ihre Produkte und Systeme den aktuellen Sicherheitsstandards entsprechen. Insbesondere müssen Hersteller nachweisen, dass ihre Produkte frei von bekannten Schwachstellen sind und dass Sicherheitsupdates bereitgestellt werden, um neue Bedrohungen zu adressieren.

Der CRA wird weitreichende Auswirkungen auf die IT-Industrie und die digitale Infrastruktur in Europa haben. Er erhöht den Druck auf Unternehmen, in Cybersicherheitsmaßnahmen zu investieren und sich an die strengen EU-Vorschriften zu halten. Dies könnte jedoch auch zu erhöhten Kosten und längeren Markteinführungszeiten für neue Produkte führen.

Kritische Auswirkungen auf Bürger und Netzwerke

Die Kombination aus der UN-Resolution und dem CRA könnte tiefgreifende Auswirkungen auf Bürger und Netzwerke haben. Einerseits könnten diese Maßnahmen dazu beitragen, die allgemeine Sicherheit zu erhöhen und Bürger vor Cyberkriminalität zu schützen. Andererseits bergen sie das Risiko, Innovation und die Freiheit der Forschung einzuschränken.

1. Auswirkungen auf die Privatsphäre und individuelle Rechte: Sowohl die UN-Resolution als auch der CRA zielen darauf ab, den Schutz von Daten und Netzwerken zu verbessern. Dies könnte jedoch zu verstärkter Überwachung und strengeren Vorschriften führen, die die Privatsphäre der Bürger beeinträchtigen könnten. Insbesondere könnten staatliche Stellen erweiterte Befugnisse erhalten, um auf persönliche Daten zuzugreifen, was in autoritären Regimen missbraucht werden könnte. Auch aufgrund der generellen Fehleranfälligkeit von Algorithmen (Kein Algo ist perfect) wird es mit sehr hoher bestimmter Sicherheit zu ‘Falsch-Positiv-Verfolgungen’ von Personen, Sicherheitsforschern, Firmenmitarbeitern aller Art führen [Es wird zuerst in der Praxis dem Algorithmus vertraut, auch wenn das Ergebnis falsch ist].
2. Auswirkungen auf die Sicherheitsforschung: Die UN-Resolution könnte, wie von der EFF hervorgehoben, die Arbeit von Cybersicherheitsforschern erschweren. Dies könnte dazu führen, dass weniger Schwachstellen entdeckt und behoben werden, was die Sicherheit von Netzwerken, Betriebssystemen, Softwareapplikationen und Geräten gefährden könnte. Der CRA wiederum setzt hohe Anforderungen an die Sicherheit von Produkten, was zwar positiv ist, aber auch die Ressourcen von Unternehmen stark beanspruchen wird, insbesondere von kleineren und mittelständischen Unternehmen, die möglicherweise nicht die gleichen finanziellen Kapazitäten wie größere Konzerne haben, oder auch bis dato keine ausreichenden Personalressourcen aufbauten. Es könnte vom aktuellen Regelungsumfang ausgegangen in nicht wenigen Fällen dazu kommen, dass Unternehmen eine vollständige und neue Abteilung mit vielen (ausgebildeten Mitarbeitern (der Cybersicherheit) benötigen werden – die international oder national überhaupt nicht verfügbar sind! Cybersicherheit ist kein Lehrgang sondern ein hochkomplexes Fachgebiet das neben soliden ITK Grundlagen ein breites geistiges Spektrum von der Person erfordert, das statische Studiengänge wie Physik oder Mathematik weit übertrifft.
3. Risiko der Fragmentierung: Ein weiteres kritisches Thema ist das Risiko der Fragmentierung internationaler Cybersecurity-Standards. Während die UN-Resolution globale Standards setzen möchte, verfolgt der CRA spezifische europäische Anforderungen. Dies könnte zu Konflikten führen, insbesondere wenn internationale Unternehmen sowohl den UN- als auch den EU-Vorschriften gerecht werden müssen, die möglicherweise nicht immer vollständig kompatibel sind. Dabei wird auch der technische und softwareseitige Alltag internationaler Unternehmen ignoriert, die vielfach nicht die Möglichkeiten haben getrennte Zentralconsolen für unterschiedliche Rechtsbereiche oder technische Standards zu konfigurieren, da die Verwaltung nicht selten zentral automatisiert und konfiguriert erfolgt. Selbst bei den Security Softwareherstellern existieren diese Art Softwarearchitekturen nicht. Die wenigsten Softwarearchitekturen sind wirklich Mandantenfähig. Einer Fragmentierung entgegen wirlen auch nicht, die heute 2024 existierenden mehr als 254 angebotene Security Zertifizierungen in vielerlei Spielarten die alle irgendwo einen execeptionellen Sicherheitseindruck vermitteln möchten. Es braucht dabei ein mehr an Grundlagen Know How über Systeme, Software und Netze, und die allgemeine Natur in der Art wie technische ITK Anlagen im gesamten Ökosystem der von Neumann Architekturen funktionieren. Unser technischer Wissensstand hat heute bereits Bildungsausmaße die bewältigt und erreicht werden müssen, die weit in Jahren über die herkömmlichen Bildungssysteme hinausgehen und Zeit für Experimentieren junger Generationen explizit inkludiert. Der gewählte lange Weg der Praxis macht erst aus einem Informatiker einen Sicherheitsinformatiker – und nicht per se ein Studium oder Kurs.
4. Langfristige Auswirkungen auf die digitale Wirtschaft: Die strengen Anforderungen des CRA werden Innovationen hemmen, insbesondere im Bereich der Start-ups und kleinen Unternehmen, die Schwierigkeiten haben könnten, die HR-Ressourcen überhaupt zu finden, die Compliance-Kosten zu tragen und Existenzschwierigkeiten bekommen werden, wenn es darum sich dreht technisch – juristisch einwandfreie Funktionen zu implementieren, ohne den selbst der Einsatz vieler Arten Software illegal würde. Zumal wenn man die Kosten in der Praxis betrachtet die beispielsweise leicht Hunderttausende bis Millionen Euro für Lizenzen, Implementierungskosten bedeuten können. Selbst der Hinweis auf zahlreiche Open Source Security Tools, Dienste, Linuxsysteme welche vorhanden sind, ignoriert die Tatsache, dass nicht ausreichend viel fähige Linux Administratoren mit tiefen Systemkenntnissen weltweit vorhanden sind, wenn nur 10% aller Systeme mit Linux fahren die eine solche Anpassung erst überhaupt und kostengünstig ermöglichen würden. All diese Punkte und noch weitere Hindernisse sorgen dafür langfristig die Wettbewerbsfähigkeit Europas im globalen digitalen Markt beeinträchtigen und – unterminieren anstelle ihm zu helfen. Wenige Startups werden sich finden, die sich auf diese Weise bereits zu Beginn der Geschäftstätigkeit und in weiser Vorausschau der Softwarearchitekturen auch eines Zukunftsmarktes rein organisatorisch und die im Know How befindlichen Kosten tragen können und wollen. To-much-risk-makes-no-more-fun.

Schlussfolgerung

Die UN-Resolution und der Cyber Resilience Act der EU stellen bedeutende Schritte zur Verbesserung der globalen und europäischen Cybersicherheit dar. Allerdings bringen sie auch erhebliche Herausforderungen mit sich, insbesondere für Sicherheitsforscher, Unternehmen und die Wahrung individueller Rechte. Es ist von entscheidender Bedeutung, dass bei der Umsetzung dieser Maßnahmen ein ausgewogenes Verhältnis zwischen Sicherheit, Innovation und Freiheit gewährleistet wird. Nur so kann sichergestellt werden, dass die digitalen Netzwerke und Systeme sowohl sicher als auch offen bleiben und dass Bürger vor Cyberbedrohungen geschützt werden, ohne dass ihre Grundrechte beeinträchtigt werden.

Quellen und Studien

UN-Resolution und deren Auswirkungen: Die vollständige UN-Resolution A/RES/75/282 sowie die dazugehörigen Dokumente bieten einen umfassenden Überblick über die 23 definierten Straftatbestände und die internationalen Bemühungen zur Bekämpfung von Cyberkriminalität. Diese Dokumente sind auf der UN-Website zugänglich und bieten detaillierte Informationen über den Verhandlungsprozess und die geplanten Maßnahmen.

• Quelle: UN-Resolution A/RES/75/282

1. Stellungnahme der Electronic Frontier Foundation (EFF): Die EFF hat eine detaillierte Stellungnahme zur UN-Resolution veröffentlicht, die die potenziellen Risiken für Cybersicherheitsforscher hervorhebt. Diese Stellungnahme betont die Notwendigkeit, Sicherheitsforschung in gutem Glauben von der Kriminalisierung auszunehmen.
   • Quelle: EFF Stellungnahme zur UN-Resolution
2. Cyber Resilience Act der EU: Der CRA ist ein zentraler Bestandteil der EU-Cybersicherheitsstrategie, die darauf abzielt, den Schutz digitaler Produkte zu verbessern. Die EU-Kommission hat umfangreiche Dokumente veröffentlicht, die die Anforderungen des CRA und die erwarteten Auswirkungen auf den europäischen Markt erläutern.
   • Quelle: EU Cyber Resilience Act
3. Alternative Lösungsvorschläge: Verschiedene Cybersicherheitsexperten haben Vorschläge gemacht, wie die UN-Resolution angepasst werden könnte, um die Arbeit von Cybersicherheitsforschern besser zu schützen. Beispielsweise schlagen einige Experten vor, klare Ausnahmeregelungen für gutgläubige Forschung und Sicherheitsprüfungen zu schaffen, um unbeabsichtigte rechtliche Konsequenzen zu vermeiden.
   • Studie/Quelle: Schneier, Bruce. “A Critical Analysis of the UN Cybercrime Treaty.” Schneier on Security, 2023. Link
4. Weitere Stellungnahmen und Diskussionen: In akademischen Kreisen und bei Konferenzen wie der DEF CON wurden viele der in der UN-Resolution festgelegten Bestimmungen diskutiert. Experten wie Jeff Moss und andere führende Cybersicherheitsforscher haben alternative Ansätze vorgeschlagen, die sowohl die Sicherheit als auch die Freiheit der Forschung gewährleisten könnten.
   • Quelle: Moss, Jeff. “The Intersection of Cybersecurity and International Law.” DEF CON Talks, 2023. Link

Alternative Lösungsvorschläge die man unterstützen und einbauen sollte:

• Klarstellung der gesetzlichen Definitionen: Eine präzisere Definition von „unberechtigtem Zugang“ und die Einführung einer „gutgläubigen Absichtsanforderung“ könnten dazu beitragen, rechtliche Unsicherheiten zu reduzieren und legitime Sicherheitsforschung zu schützen.
• Schaffung von Forschungsfreiräumen: Die Einrichtung internationaler Forschungsfreiräume, in denen Cybersicherheitsforschung unter klar definierten Bedingungen durchgeführt werden kann, ohne das Risiko einer Strafverfolgung, könnte eine Lösung sein.
• Anpassung des CRA an internationale Standards: Um Konflikte zwischen dem CRA und internationalen Vorschriften zu vermeiden, könnten gemeinsame Standards entwickelt werden, die sowohl die Sicherheitsanforderungen der EU als auch die globalen Interessen berücksichtigen.

Diese Ansätze sollen sicherstellen, dass die internationalen Bemühungen sowohl die Sicherheit der digitalen Welt als auch die Freiheit und Innovation der Sicherheitsforschung fördern.