Münchner Sicherheitskonferenz bringt TechnikexpertInnen und politische EntscheidungsträgerInnern in Brüssel zum Thema Cybersicherheit und Technikregulierung zusammen

Hyperlinked: Vereinte Bemühungen für mehr Cybersicherheit

Die erste Diskussion, die sich auf Cybersicherheit konzentrierte, begann mit der Feststellung, wie schwierig es ist, den Cyberbereich zu regulieren und zu schützen. Bedrohungen können sowohl von innerhalb als auch von außerhalb der nationalen Grenzen kommen, und es gibt kaum noch Unterscheidungsmöglichkeiten mehr zwischen Angriffen in Kriegs- und in Friedenszeiten. Das Aufkommen von KI-gestützter Malware und Cyberangriffen hat die ohnehin schon schwierige Bedrohungslage noch verschärft.

Da alle Aspekte des Lebens und der Politik zunehmend digital vernetzt sind, waren sich die TeilnehmerInnen einig, dass das größte Sicherheitsrisiko immer vom schwächsten Glied ausgeht, sei es der ArbeitnehmerInnen in einem Unternehmen oder ein einzelnes, winziges Stück militärischer Ausrüstung, das mit allen anderen verbunden ist und zu einem Angriffsvektor wird. Die Allgegenwart von Cyberrisiken und die entsprechenden Schwachstellen zwingen die Demokratien zum Handeln. So betonten die TeilnehmerInnen beispielsweise die entscheidende Rolle der Bildung im Technologiebereich, um die Widerstandsfähigkeit der Bevölkerung zu erhöhen. Ein weiterer entscheidender Schritt, den viele TeilnehmerInnen betonten, ist die Notwendigkeit, bei allen gesetzgeberischen Maßnahmen Sicherheit mitzudenken. Anstatt nur Handel und Wettbewerb in den Vordergrund zu stellen, sollten Politik und legislative Vorschriften nach deren Auswirkungen auf die Sicherheit beurteilt werden, um unbeabsichtigte Folgen, die Demokratien schwächen, zu vermeiden.

Um die transatlantischen Demokratien gegenüber ihren Gegnern zu stärken, forderten die TeilnehmerInnen eine bessere Koordinierung zwischen der EU und der NATO. Die beiden Institutionen können sich im Technologiebereich gegenseitig ergänzen, da die NATO ein militärisches Verständnis für Sicherheitsbedrohungen mitbringt, während die EU über die gesetzgeberische Macht verfügt, Gesetze zur Bekämpfung dieser Sicherheitsbedrohungen umzusetzen. Doch selbst große Organisationen wie die NATO werden nicht in der Lage sein, alle Cyber-Bedrohungen abzuwehren, denen das Bündnis ausgesetzt ist. Darüber hinaus wurde die Idee geäußert, innerhalb der EU die Position eines Sicherheitsbeauftragten, also eines EU Chief Security Officer, zu schaffen, um klare Zuständigkeiten einer Person zuzuordnen, die sicherheits- und geopolitische Überlegungen in alle EU-Bemühungen integriert.

Zusätzlich betonten die TeilnehmerInnen auch, wie wichtig es ist, einen offeneren Dialog zwischen den politischen Entscheidungsträgern und der Industrie zu fördern. Mehrere TeilnehmerInnen kritisierten die EU, die ironischerweise als "Silicon Valley der Regulierung" bezeichnet wurde, für ihre jüngsten gesetzgeberischen Bemühungen im Cyberbereich. Ein oft genanntes Beispiel für eine fehlgeleitete Politik sind die Anforderungen, die Unternehmen zwingen, offene Sicherheitsrisiken innerhalb eines engen Zeitrahmens an Behörden zu melden. Ein Teilnehmer verglich dies damit, "die Wohnungstür unverschlossen zu lassen und Einbrecher darüber zu informieren". Viele TeilnehmerInnen stimmten darin überein, dass diese Art von Gesetzgebung die Sicherheit eher verringert als erhöht und dass die Unternehmen es vorziehen, diese Sicherheitsrisiken zunächst zu flicken, bevor sie eine breitere Öffentlichkeit über diese Risiken informieren, da sie Ausnutzung der Schwachstellen oder Spionage befürchten.

Andere TeilnehmerInnen verteidigten die Bemühungen der EU und lobten ihre Fortschritte in einigen Technologiesektoren, räumten aber auch ein, dass es an Personal und Ressourcen fehle, um die laufenden Regulierungsbemühungen durchzusetzen. Dennoch waren sich die Teilnehmer einig, dass es schlussendlich vor allem auf die Wirkung ankommt. Sie forderten die transatlantischen Partner, vor allem aber europäische Länder, auf, ihre Koordinierungsbemühungen innerhalb und außerhalb Europas zu verstärken, Informationen über Cyber-Bedrohungen offener auszutauschen und mehr in Personal zu investieren, um die Vorschriften wirksam umzusetzen. Darüber hinaus warnten viele TeilnehmerInnen, dass sich die EU bei neuen Technologien wie der Künstlichen Intelligenz (KI) nicht durch Regulierung an die Spitze setzen kann, sondern dass sie stattdessen Innovation und Forschung fördern muss, um diese Technologien selbst verantwortungsvoll zu entwickeln, vorzugsweise mit Verbündeten auf der anderen Seite des Atlantiks.

Save the Data: Tech-Regulierung in Zeiten strategischer Rivalität

In der zweiten Sitzung ging es in erster Linie um die Regulierung von Technologie im Kontext strategischer Rivalität. Die Diskussion begann mit der Frage, ob es derzeit tatsächlich eine strategische technologische Rivalität gibt und wenn ja, zwischen wem. Die TeilnehmerInnen waren sich weitgehend einig, dass dies zwischen den transatlantischen Partnern und China der Fall ist. Die Ansichten bezüglich der Beziehungen zwischen der EU und den USA waren differenzierter. Mehrere TeilnehmerInnen betonten, dass es keinen Sicherheitswettbewerb zwischen den USA und der EU geben sollte, doch dass ein wirtschaftlicher Wettbewerb zwischen ihnen normal und sogar gesund sei.

Einige TeilnehmerInnen wiederholten ihre Kritik an den sicherheitspolitischen Auswirkungen von EU-Vorschriften im Technologiebereich, wie beispielsweise die erwähnte Verpflichtung zur Meldung von Sicherheitsschwachstellen im Rahmen des EU Cyber Resilience Act. Viele andere betonten dagegen, dass eine Regulierung dennoch notwendig sei. Sie räumten ein, dass Transparenzanforderungen wie diese negative auf die Sicherheit haben könnten, argumentierten jedoch, dass viele Aspekte des Technologiesektors zuvor völlig unreguliert waren und daher eine erste rechtliche Struktur notwendig war, die als Grundlage für einen umfassenderen Rahmen dienen kann. Mehrere TeilnehmerInnen wiesen auch darauf hin, dass es Sicherheitsrisiken birgt, den Technologiesektor allein der Marktdynamik zu überlassen, da der Privatsektor in erster Linie einen Anreiz hat, innovativ zu sein und Gewinne zu erzielen, anstatt die Sicherheit in den Vordergrund zu stellen. Ein TeilnehmerInnen erinnerte daran, dass KI-Modelle immer leistungsfähiger werden und ihre Regulierung daher von größter Bedeutung ist. Diese Herausforderung sollte als ein Proliferationsproblem betrachtet werden.

Die TeilnehmerInnen waren sich einig, wie wichtig eine weitere transatlantische Zusammenarbeit bei der Regulierung von Technologien ist, auch wenn damit viele Herausforderungen verbunden sind. Einige TeilnehmerInnen betonten, dass die USA und die EU sehr unterschiedliche Verwaltungsstrukturen und Ansätze für die Regulierung von Technologien haben, und wiesen darauf hin, dass mehrere EU-Regulierungsbehörden keine US-Pendants haben. Auch in Bezug auf die Verfahren gibt es Unterschiede. In Europa wird die Technikregulierung in erster Linie vom Gesetzgeber gestaltet, während in den USA Vorschriften und Normen auch durch Rechtsstreitigkeiten zustande kommen, da die Produkthaftung dort viel umfangreicher ist.

Den Abschluss der Veranstaltung bildete ein Abendessen, bei dem es um die Lehren aus dem russischen Krieg gegen die Ukraine im Technologiebereich ging. Es wurde festgestellt, dass die Ukrainer großen Innovationsgeist beim Einsatz neuer Technologien auf dem Schlachtfeld zeigen. Der Krieg ist auch eine deutliche Mahnung, dass der Cyberspace in künftigen Konflikten eine entscheidende Rolle spielen wird und dass sich die Demokratien zusammenschließen müssen, um sich rechtzeitig auf den Wandel der Kriegsführung vorzubereiten.