UN Cybercrime Convention: Kurz vor Schluss sind viele Fragen offen

Bis morgen wollen die Vereinten Nationen einen Vertrag zur Bekämpfung von Cyberkriminalität verhandeln. Doch kurz vor Schluss sind sich die Staaten weiterhin uneinig, worauf sich die Regeln überhaupt beziehen sollen. Auch wohlmeinende IT-Sicherheitsforschung könnte in den Fokus von Ermittlungen geraten.

Seit Februar 2022 verhandelt ein Ausschuss der Vereinten Nationen (UN) über einen internationalen Vertrag mit Regeln zur Bekämpfung von sogenannter Cyberkriminalität, kurz: die UN Cybercrime Convention. Am morgigen Freitag soll in New York die letzte Sitzung des Ausschusses stattfinden, seit dem 29. Januar verhandelt die UN die letzten Punkte.

Doch ob es dann ein fertiges Vertragswerk gibt, dem die Staaten zustimmen werden, ist bis heute nicht sicher. Es gibt weiterhin viele Streitpunkte. Ein zentraler Punkt ist nach wie vor der Anwendungsbereich der Konvention. Oder vereinfacht gesagt die Frage: Was ist überhaupt Cyberkriminalität?

Wofür soll der Vertrag gelten?

Wenn man zwei Pole der möglichen Definitionen benennen würde, stehen auf der einen Seite die „cyber dependent crimes“. Das sind Straftaten, die ohne Computer nicht möglich wären oder existieren würden – beispielsweise das unbefugte Eindringen in IT-Systeme. Auf der anderen Seite gibt es die „cyber enabled crimes“, also Taten, die auch mit Hilfe von Computern begangen werden. Darunter könnte man im Extremfall fast alles verstehen, was heutzutage passiert. Selbst bei einem klassischen Wohnungseinbruch könnten Täter vorher mit einer Kartenanwendung ihre Ziele geplant haben.

Ein Streitpunkt, um den es in den Verhandlungen geht, ist also, wie sehr die Konvention über die enge Definition von Cyberkriminalität hinausgeht. Konkret etwa bei kriminellen Handlungen, die Darstellungen von Kindesmissbrauch betreffen. Oder bei je nach Staat sehr unterschiedlich ausgelegten Begriffen von Blasphemie oder Desinformation.

Tanja Fachathaler von epicenter.works verfolgt die Verhandlungen als Vertreterin der Zivilgesellschaft und ist auch vor Ort in den USA. Sie setzt sich für eine engen Anwendungsbereich ein und sagte im Podcast Dicke Bretter: „Straftatbestände müssen exakt formuliert sein, auch was den Vorsatz angeht. So wie diese Vorsatzformulierungen im Moment sind, beziehen sie ethische Hacker, Journalisten und Aktivisten mit ein. Deren Arbeit würde damit schwieriger und sie wären potentiell der Gefahr der Strafverfolgung ausgesetzt.“

Gefahr für IT-Sicherheitsforschung

Ähnlich argumentiert auch die Electronic Frontier Foundation in einem Statement, das 124 Fachleute für IT-Sicherheit aus Wissenschaft, Zivilgesellschaft und Wirtschaft unterzeichnet haben. Sie befürchten eine Kriminalisierung der IT-Sicherheitsforschung durch zu breite Definitionen, etwa von unbefugtem Zugriff auf IT-Systeme. Das ist immer noch ein Problem für ethische Hacker:innen, denen für ihre Arbeit Strafverfolgung droht: „Der UN-Vertrag sollte aus diesen Erfahrungen lernen und die wohlmeinende Cybersicherheitsforschung ausdrücklich vom Geltungsbereich des Vertrags ausnehmen“, schreiben sie.

Ein weiterer Streitpunkt bei den Verhandlungen sind die Schutzmaßnahmen, damit Ermittlungsbefugnisse nicht zu Menschenrechtsverletzungen führen. Insbesondere bei autoritären Staaten liegt die Befürchtung nahe, dass erweiterte Werkzeuge und Datenaustauschmöglichkeiten missbraucht werden.

Deutschland: Ablehnung ist eine Option

Es geht dabei etwa um Regelungen zur Beschlagnahme und Durchsuchung von Daten, die so formuliert sind, dass sie die Tür zur Schwächung von Verschlüsselung öffnen könnten. Oder um sogenannte Echtzeitüberwachung und den Austausch der daraus entstehenden Daten.

Der Ausgang der Verhandlungen ist bis zuletzt ungewiss. Ebenso ob Deutschland und EU-Staaten zustimmen können und werden. Das erwägten Vertreter:innen der Bundesregierung nach Informationen von netzpolitik.org auch in einer Sitzung des Digitalausschusses im Bundestag im Januar. Zum damaligen Zeitpunkt sei man weit von einem Konsens entfernt gewesen. Wenn menschenrechtliche Standards nicht durchgesetzt werden können und der Anwendungsbereich am Ende zu breit sei, wäre eine Ablehnung eine Option.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.