Microsoft CEO Satya Nadella, Facebook CEO Mark Zuckerberg und LinkedIn CEO Jeff Weiner sind sich wahrscheinlich in vielen Punkten nicht einig. Aber sie scheinen sich darüber einig zu sein: Die Welt und ihre Bürger brauchen einen besseren Schutz vor Cyberangriffen, unabhängig davon, ob sie von Hackern, organisierten Gruppen von Kriminellen oder nationalen Regierungen, einschließlich unserer eigenen, stammen.

Sie sind nicht die einzigen. Insgesamt 34 Hightech-Unternehmen, von denen einige stark am Funktionieren des Internets beteiligt sind, haben das Cybersecurity Tech Accord unterzeichnet. Das Abkommen ist nach dem Vorbild der Genfer Konventionen konzipiert, in denen sich 196 Nationen darauf geeinigt haben, die Grundrechte von Zivilisten und Kriegsgefangenen in Kriegszeiten zu schützen.

Die Vereinbarung wurde erstmals von Brad Smith, Microsoft-Präsident, vorgeschlagen, der im vergangenen Jahr argumentiert hat, dass normale Bürger und kleine Unternehmen einen besseren Schutz vor solchen Angriffen benötigen und verdienen, als sie es derzeit tun. Die Unterzeichner des Abkommens vereinbaren vier Grundprinzipien: Schutz von Nutzern und Kunden vor Cyberangriffen und Bau sichererer Produkte; Bekämpfung von Angriffen auf „unschuldige Bürger und Unternehmen von überall her“, was auch die Verweigerung der Hilfe für jede Regierung beinhaltet, die solche Angriffe plant; Befähigung von Nutzern und Entwicklern mit den Werkzeugen, die sie benötigen, um die Cybersicherheit allein zu stärken; und Zusammenarbeit miteinander und mit anderen Organisationen, die sich für die Verbesserung der Cybersicherheit in der entwickelten und der Dritten Welt einsetzen.

Der Pakt scheint eine großartige Idee zu sein, aber er scheint auch einige Schlupflöcher zu hinterlassen und es ist nicht klar, was seine tatsächliche Wirkung sein wird. Hier sind einige Fragen, die die Vereinbarung nicht beantwortet:

1. Wie definiert man „unschuldig“?
In der Vereinbarung heißt es: „Wir werden den Regierungen nicht helfen, Cyberangriffe gegen unschuldige Bürger und Unternehmen von überall her zu starten“. Das ist ganz anders als zu sagen: „Wir werden den Regierungen nicht helfen, Cyberangriffe gegen jemanden zu starten.“ Und die Vereinbarung gibt nicht an, was ein Schuldige gegen eine unschuldige Partei ist.

Nimm Stuxnet. Stuxnet war ein Computerwurm – ein sich selbst replizierendes Stück eigenständiger Malware, das sich über ein Netzwerk verbreitet. Es griff Windows-Systeme an und verbreitete sich über infizierte USB-Sticks. Aber, nach Ansicht von Sicherheitsexperten, wurde es ursprünglich als ein gemeinsames US-israelisches Projekt geschaffen, um die nuklearen Fähigkeiten des Iran zu beeinträchtigen, was es auch tat. Wäre die Schaffung von so etwas wie Stuxnet durch diese Vereinbarung verboten? Seit dem ersten Opfer – dem Atomprogramm des Iran – war es nicht unbedingt unschuldig, es scheint unklar.

2. Hat diese Vereinbarung irgendwelche Zähne?
Die Unterzeichner verpflichten sich, „öffentlich über unsere Fortschritte bei der Erreichung dieser Ziele zu berichten“. Die Vereinbarung ist jedoch völlig freiwillig – es wird keine Durchsetzung vorgeschlagen und keine Konsequenzen, wenn ein Unterzeichner ihr nicht nachkommt. Im Gegensatz dazu verfügen die Genfer Konventionen über ein spezifisches System, in dem eine neutrale Partei überwachen kann, wie die Konventionen bei globalen Konflikten eingehalten werden.

3. Werden mehr Nicht-US-Unternehmen unterschreiben?
Im Moment stellen US-Unternehmen die größte Anzahl von Unterzeichnern, obwohl es mehrere Unterzeichner aus anderen Nationen gibt. Die japanische Firma Trend Micro, Nokia aus Schweden, Avast aus der Tschechischen Republik, Telefonica aus Spanien und SAP aus Deutschland sind alle Unterzeichner. Insbesondere fehlen jedoch russische Technologieunternehmen, insbesondere die russische Sicherheitsfirma Kaspersky Lab, die innerhalb der US-Regierung von der Nutzung ausgeschlossen wurde, nachdem russische Hacker angeblich das Produkt des Unternehmens ausgenutzt haben, um Zugang zu geheimen Informationen der National Security Agency zu erhalten.

Warum hat Kaspersky Lab das Abkommen nicht unterzeichnet? Es wurde nicht eingeladen, so eine Aussage des Unternehmens. „Als unabhängiges globales Cybersicherheitsunternehmen, das vor geopolitischen Herausforderungen steht, unterstützen wir voll und ganz die Ziele des Cybersecurity Tech Accord und bedauern, dass wir nicht eingeladen wurden, uns anzuschließen“, sagte das Unternehmen. „Wir haben Brad Smith über Twitter kontaktiert und freuen uns darauf, es weiter zu diskutieren.“ Die Aufnahme russischer Unternehmen in das Abkommen scheint es sicherlich, als würde es dadurch mächtiger werden.

4. Warum haben sich nicht einige der größten US-Technologieunternehmen angemeldet?
Amazon, Apple und Google sind alle nicht in der Unterzeichnerliste aufgeführt. Es ist besonders überraschend, dass Apple kein Unterzeichner ist, da es in der Vergangenheit deutlich gemacht hat, dass die Privatsphäre und der Schutz der Kunden die Regierungspolitik übertrumpft, wie zum Beispiel als es sich weigerte, das iPhone eines Scharfschützen freizuschalten. Warum hat sie diese Vereinbarung nicht unterzeichnet?

5. Was ist mit den Regierungen?
Wenn wir die Cyberkriegsführung reduzieren oder beseitigen wollen, könnte der logische Ansatz darin bestehen, die nationalen Regierungen – denen oft vorgeworfen wird, Cyberangriffe gestartet zu haben – aufzufordern, dieses Abkommen oder etwas Ähnliches zu unterzeichnen. Das war Smiths ursprüngliche Vision, als er eine „Digitale Genfer Konvention“ vorschlug, und bereits im November forderte er die nationalen Regierungen aus der ganzen Welt auf, sich den Bemühungen anzuschließen. „Während Technologieunternehmen wie Microsoft die erste Verantwortung dafür tragen, diese Probleme anzugehen, wäre es ein Fehler zu glauben, dass der Privatsektor allein das Risiko von Cyberangriffen ebenso wenig verhindern oder stoppen kann wie alle anderen Arten von Angriffen.