Balthasar Staehelin
Im Januar 2022 entdeckte das Internationalen Komitee vom Roten Kreuz (IKRK), dass Server, auf denen die personenbezogenen Daten von über 515’000 Menschen aus der ganzen Welt gespeichert waren, in einem, wie sich herausstellte, komplexen Cyberangriff gehackt worden waren. Diese Daten stammten von 57 nationalen Rotkreuz- und Rothalbmond-Gesellschaften und dem IKRK und waren im Rahmen der Zusammenführung von Familien gesammelt worden. Das Ereignis bestätigte, was viele befürchtet hatten: die wachsende Zunahme von Cyberangriffen würde auch humanitäre Organisationen nicht verschonen.
Derartige Angriffe auf humanitäre AkteurInnen sind besonders besorgniserregend, da sie zu einer direkten Schädigung von Menschen in Not führen und lebenswichtige Dienstleistungen für diese Bevölkerungsgruppen zum Erliegen bringen können. Sollten im Falle eines unbefugten Datenzugriffs sensible Daten in die falschen Hände gelangen, besteht die Gefahr, dass das Vertrauen untergraben wird, von dem die Leistung humanitärer Hilfe abhängt.
Eine umgehende, transparente Benachrichtigung der PartnerInnen sowie der Öffentlichkeit über die Angriffe war der Beginn der vielschichtigen Krisenbewältigung beim IKRK. Zu den Massnahmen gehörte auch, die humanitären Hilfeleistungen mittels einfacher Notlösungen aufrechtzuerhalten, Informationskampagnen für die betroffenen Personen zu lancieren, Datenschutzrisikoanalysen durchzuführen, die durchbrochenen Systeme mit verbesserten Sicherheitsfunktionen neu aufzubauen und bereitzustellen, den betroffenen nationalen Rotkreuz- und Rothalbmond-Gesellschaften Hilfestellung zu leisten, Geldgebende sowie PartnerInnen einzubinden und das Dark Web zu beobachten, um eine eventuelle Publikmachung oder einen eventuellen Handel mit den möglicherweise exfiltrierten Daten aufzuspüren (nach Wissen des IKRK ist das bis dato nicht passiert).
Eine Krise birgt auch immer die Chance, etwas zu lernen und sich zu verbessern. Dieser Angriff macht darauf aufmerksam, dass die humanitären AkteurInnen nicht nur in der physischen Welt in höchstem Masse respektiert werden müssen, sondern gleichermassen auch im Cyberspace, wo niemals ein unbefugter Zugriff auf humanitäre Daten erfolgen darf oder diese für nichthumanitäre Zwecke verwendet werden dürfen. Diese „Unantastbarkeit“ von humanitären Daten ist ein wichtiges politisches Ziel, dass die Rotkreuz- und Rothalbmond-Bewegung jetzt verfolgt.
Digitale Technologien haben einen großen Einfluss auf das Konfliktumfeld, die Menschen und die Organisationen, die darin arbeiten.
Digitale Technologien haben grossen Einfluss auf Konfliktzonen sowie auf die Menschen und Organisationen, die dort tätig sind. Das IKRK hatte lange geglaubt, um seinen Auftrag, die Oper bewaffneter Konflikte zu schützen und ihnen zu helfen, hinreichend zu erfüllen, müsse es die Auswirkungen solcher Technologien verstehen, sie dort einsetzen, wo sie praktikabel sind, um Menschen zu helfen, und sich bemühen, die Folgewirkungen abzuwenden bzw. zu mindern, wenn die Technologien zu einer Schädigung beitragen können.
Daher können die Wahl der Technologie und die Verwaltung der Daten nicht aus einer rein technischen Perspektive angegangen werden. Beides hat erhebliche operative, rechtliche und politische Auswirkungen, die der reiflichen Überlegung und entsprechender Investitionen bedürfen.
In diesem Sinne führte das IKRK 2015 verbindliche Regeln zum Schutz personenbezogener Daten ein, deren Umsetzung von der Datenschutzbeauftragtenstelle und einer Datenschutzkommission überwacht wird. Zuletzt eröffnete das IKRK eine Cyberspace-Vertretung mit Sitz in Luxemburg als sicheres Versuchsgebiet für die Erforschung und Entwicklung sämtlicher Aspekte von Technologie, Verfahrensweisen, Betriebsmodalitäten und Gesetzgebung im Zusammenhang mit dem Cyberspace. Zusammen mit den Eidgenössischen Technischen Hochschulen der Schweiz erarbeitet es jetzt innovative Lösungen, um seine Daten im Cyberspace abzusichern. Ausserdem setzt es sich für die Schaffung eines „digitalen Emblems“ ein, das im Cyberspace deutlich anzeigt, dass das markierte Unternehmen besonderen Schutz im Rahmen des Humanitären Völkerrechts geniesst und vor einer Schädigung bewahrt werden muss.
Diese Initiativen unterstreichen, dass es für humanitäre AkteurInnen wie das IKRK zunehmend notwendiger wird, ihre „Fussspuren“ im Cyberspace zu verwalten. Dadurch würde eine Speicherung ihrer personenbezogenen Daten ermöglichen, bei der der Schwerpunkt auf dem Datenschutz liegt und die den Grundprinzipien von Unparteilichkeit, Menschlichkeit, Neutralität und Unabhängigkeit entspricht.
Die internationale Zusammenarbeit nimmt ab, die Spannungen nehmen zu, und Cyberoperationen breiten sich sektorübergreifend aus.
Vorausschauend müssen sich humanitäre Organisationen auf eine herausfordernde Umgebung einstellen. Die internationale Zusammenarbeit nimmt ab, Spannungen nehmen zu, und die Aktivitäten im Internet breiten sich in allen Bereichen aus. Zu den wahrscheinlichsten Bedrohungsszenarien, mit denen es die Organisationen zu tun bekommen werden, gehören Angriffe mit Erpressersoftware (Ransomware), Hackerangriffe und Datenlecks, DDoS-Angriffe (Dienstblockaden) und die Verbreitung von falschen Informationen über ihre Arbeit, mit denen ihre Tätigkeit untergraben werden soll, wie das zum Beispiel im Kontext des internationalen bewaffneten Konflikt zwischen Russland und der Ukraine beobachtet wurde. Während man sich zunehmend der Gefahren bewusst wird, ist man im humanitären Sektor noch viel zu wenig darauf vorbereitet, mit diesen umzugehen.
Was also kann 2023 und danach getan werden, wenn man bedenkt, dass höhere Schutzwälle (mit einer stärkeren technischen Cyber-Abwehr) benötigt werden, diese aber nicht ausreichen werden, und dass dies den einzelnen Organisationen nicht gelingen kann, wenn sie dabei auf sich alleine gestellt sind?
Humanitäre Organisationen müssen eine Mentalität des kollektiven Handelns entwickeln und vernünftige Massnahmen umsetzen, die in diesem Sektor für ein schärferes Bewusstsein und mehr Sicherheit sorgen. Diese müssen Folgendes beinhalten: humanitäre Netzwerke und Datensysteme, die per Design Schutz bieten; Fort- und Weiterbildung der Mitarbeitenden in Bezug auf neue Herausforderungen; verantwortungsbewusster und ethischer Einsatz von Technik, die an den örtlichen Kontext und die Menschen angepasst ist, denen sie dienen soll; Schaffung eines gemeinsamen Informationsknotens (Hub), über den Informationen zu Cyber-Vorfällen verbreitet werden; und das Eintreten für eine angemessene Finanzierung von Cybersicherheitsmassnahmen durch die Geldgebenden.
Die Gemeinschaft der Geldgebenden sollte die Cybersicherheit lückenlos finanzieren, im Rahmen der Vergabe von Fördergeldern geeignete Datenschutz- und Cybersicherheitsrichtlinien sowie deren Durchsetzung verlangen und nicht fordern, das Daten gesammelt, analysiert und/oder weitergegeben werden, wenn Menschen dadurch einer Gefahr ausgesetzt sein könnten. Der Schutz von personenbezogenen Daten beinhaltet ohne Frage auch den Schutz von Menschen. Innovationsprojekte müssen von ethischen Überlegungen geprägt sein.
Derweil sollten Staaten sich sowohl öffentlich als auch nicht öffentlich verpflichten, Cyberangriffe auf humanitäre Hilfsorganisationen, deren Personal und digitale Infrastruktur sowie die Daten, die sie zur Erfüllung ihrer Mission sammeln, speichern und nutzen, zu verhindern und aufzuhalten, und geeignete Massnahmen dazu ergreifen. Staaten müssen die Verursachenden solcher Cyberangriffe zur Verantwortung ziehen. Ausserdem müssen sie es unterlassen, Daten abzufragen, wenn diese für andere als humanitäre Zwecke verwendet werden.
Zudem muss der privatwirtschaftliche Sektor einen konfliktsensitiven Ansatz verfolgen, unabhängig davon, ob ein Unternehmen indirekt als Technologiehändler auftritt oder einen aktiveren Beitrag zur humanitären Hilfe leistet. Bei der Arbeit mit einer humanitären Hilfsorganisation muss in Bildung in Sachen humanitäre Prinzipien und Ethik investiert werden, um sowohl die Zusammenarbeit zu verbessern als auch die Sicherheit und die Würde der schutzbedürftigen Menschen zu wahren.
Schliesslich müssen sowohl die Schweiz als auch Genf, die humanitäres Handeln traditionell stark befürworten, die genannten Initiativen fördern und unterstützen. Konkret könnte diese Unterstützung wie folgt aussehen: einen Hub für den Austausch und die Analyse von Informationen über humanitäre Cybervorfälle hosten; die Entwicklung einer sicheren Cloud für humanitäre Daten fördern; Debatten zur Einführung von sektorspezifischen Strategien und Prozessen, sowie staatliches Handeln in Form von Gesetzen, politischen Linien und Massnahmen, mit denen die Cybersicherheit und der Datenschutz im humanitären Hilfeleistungssektor vorangetrieben werden, einberufen und begünstigen; und Forschung und Entwicklung in diesem Bereich fördern. Die 34. Internationale Konferenz des Roten Kreuzes und Roten Halbmonds 2024 sollte einen passenden Moment bieten, um Bilanz zu ziehen und zu handeln.
Auch wenn die vorgeschlagenen Schritte nicht alle der mit den digitalen Technologien und Konflikten verbundenen Möglichkeiten und Gefahren behandeln, kommen sie dem humanitären Hilfeleistungssektor doch bei der Verstärkung seiner Cybersicherheit insgesamt zugute. Zuverlässige, machbare und messbare Fortschritte in diesem Sinne nützen den humanitären AkteurInnen und all jenen Menschen, die sie schützen und denen sie helfen möchten.
Über den Autor
Balthasar Staehelin ist Sonderbeauftragter für Voraussicht und technische Diplomatie beim Internationalen Komitee vom Roten Kreuz. Der ehemalige stellvertretende Generaldirektor des IKRK leitete die Krisenbewältigung bei der Datenschutzverletzung, die das IKRK Anfang 2022 entdeckte. Dieser Artikel wurde vom Autor in eigener Kapazität verfasst und widerspiegelt nicht zwangsläufig die Ansichten des IKRK.
Disclaimer
Die in dieser Publikation zum Ausdruck gebrachten Meinungen sind die der Autoren. Sie geben nicht vor, die Meinungen oder Ansichten des Geneva Policy Outlook oder seiner Partnerorganisationen wiederzugeben.
