Wie sich das IKRK auf die Zukunft der humanitären Hilfe vorbereitet

Anfang des Jahres ist das Rote Kreuz Opfer einer Cyberattacke geworden. Dabei stahlen Kriminelle die persönlichen Daten von mehr als 515 000 Menschen. Welche Lektionen haben Sie aus diesem Vorfall gelernt?

Balthasar Staehelin: Der Cyberangriff war tatsächlich ein schrecklicher Schock und Schlag für unsere Organisation und zeigte, dass humanitäre Akteure von dieser wachsenden Bedrohung nicht ausgenommen sind. Wir haben von Beginn der Krise an beschlossen, sehr transparent und öffentlich über den Angriff zu kommunizieren, um das Vertrauen der Menschen und Partner in das IKRK so weit wie möglich zu erhalten. Auch wenn dies schwierig war, glaube ich, dass diese Transparenz die richtige Entscheidung war und eine erste Lektion darstellt, die es zu bewahren gilt.

Was passierte nach dem Cyberangriff?

Zusammen mit den nationalen Gesellschaften des Roten Kreuzes und des Roten Halbmonds, die das angegriffene System zur Familienzusammenführung nutzen, bemühten wir uns, die Personen, deren Daten kompromittiert wurden, zu informieren und mögliche Risiken zu bewerten. Die nationalen Gesellschaften sind sehr wichtig, da sie die Bevölkerung sehr gut kennen. Wir helfen dabei, Verbindungen zwischen ihnen herzustellen, wenn eine Person in einem Land jemanden sucht, der in einem anderen Land lebt. Ein klarer Fokus auf die Menschen, deren Daten gehackt wurden, ist in einer solchen Situation entscheidend und kann dazu beitragen, das Vertrauen zu erhalten oder wiederherzustellen, das bei einem solchen Angriff unweigerlich beschädigt wird.

Wurde Ihre Arbeit beeinträchtigt?

Wir konnten den Betrieb unserer Dienste aufrechterhalten, sodass die Teams des Roten Kreuzes und des Roten Halbmonds auf der ganzen Welt getrennte Familienmitglieder mit Hilfe von Low-Tech-Ad-hoc-Lösungen wieder zusammenbringen konnten. Derweil arbeiteten wir rund um die Uhr daran, das abgesicherte System wiederherzustellen. Erst nach erfolgreichen, extern durchgeführten Penetrationtests haben wir die Anwendungen und Systeme wieder aufgeschaltet. Wir überwachen unsere Systeme weiterhin genau und nehmen entsprechende Sicherheitsverbesserungen vor.

Haben Sie jemals von den Angreifern gehört?

Wir können nicht feststellen, wer hinter diesem Angriff steckt oder warum er durchgeführt wurde, und wir werden darüber auch nicht spekulieren. Wir hatten keinen Kontakt mit den Hackern und es wurde kein Lösegeld gefordert. Wir haben öffentlich erklärt, dass wir bereit sind, direkt und vertraulich mit den für den Vorfall Verantwortlichen zu kommunizieren, um sie zu überzeugen, dass sie unsere humanitären Massnahmen respektieren müssen. Dies entspricht unserer Praxis, mit allen in Kontakt zu treten, die unsere Arbeit erleichtern oder behindern können. Ausserdem riefen wir die Hacker dazu auf, die Daten nicht weiterzugeben, zu verkaufen oder anderweitig zu verwenden.

Welche weiteren Schritte unternehmen Sie?

Wir nehmen die Cybersicherheit sehr ernst und haben über viele Jahre hinweg erheblich in diesen Bereich investiert. Diese Investitionen müssen angesichts der sich ständig weiterentwickelnden Bedrohungslage fortgesetzt werden. Um die Sicherheit unserer Anwendungen zu gewährleisten und im Einklang mit den bewährten Praktiken der Branche, nennen wir keine technischen oder Sicherheitsdetails. Der Vorfall weist auf einen wachsenden Trend von Cyberangriffen auf humanitäre Organisationen hin. Hier können Datenschutzverletzungen schwerwiegende Folgen für die Menschen haben, denen diese Organisationen dienen – und die ohnehin zu den am meisten gefährdeten Gruppen gehören. Jede Krise ist auch eine Chance: Wir hoffen, dass dieser Angriff dem humanitären Sektor als Katalysator dienen wird, um das Bewusstsein für die wachsenden Risiken zu schärfen und sich darauf vorzubereiten. Aber es ist auch wichtig, die Unantastbarkeit der humanitären Daten zu fördern, sodass diese gar nicht erst angegriffen werden! Hier tauschen wir uns mit unseren Partnern aus der Rotkreuz- und Rothalbmondbewegung aus und werden auch mit den Staaten über die Notwendigkeit sprechen, die Anforderungen an den Schutz humanitärer Massnahmen im digitalen Bereich zu überdenken.

Wie wirkt sich die Digitalisierung auf Ihre Arbeit aus?

Die digitale Transformation im humanitären Sektor wird von zwei Seiten angetrieben, nämlich von Menschen, die von bewaffneten Konflikten betroffen sind, und von internen Bedürfnissen. In den vergangenen Jahren haben die Menschen selbst in abgelegenen Gebieten ihre Gewohnheiten geändert und erwarten von humanitären Organisationen neue Arten von technologischen Antworten: Konnektivität, lebensrettende Informationen, mobiles Bargeld, elektronische Versionen von Zertifikaten und so weiter. Derweil wollen Organisationen wie das IKRK das Potenzial technologischer Hilfsmittel ausschöpfen: Gesichtserkennung, um Familien wieder zusammenzuführen, Drohnen, um nicht explodierte Kriegsrelikte zu identifizieren, soziale Medien, um Menschen zu erreichen, zu denen wir keinen physischen Zugang haben, und vieles mehr. Damit können wir schneller, billiger, aber auch flexibler und effektiver sein.

Welche Risiken bringt die Digitalisierung mit sich?

Da wir in einem komplexen, polarisierten und gefährlichen Umfeld arbeiten, müssen wir sehr strenge Standards einhalten, denn die Menschen, für die wir arbeiten, verdienen und erwarten ein Höchstmass an Schutz ihrer Daten. Ein Beispiel: In der Schweiz mag die Geolokalisierung für einige ein Ärgernis sein. In Ländern, in denen Krieg herrscht, kann sie dagegen schwerwiegende Folgen haben – Menschen können verhaftet werden, weil sie zur falschen Zeit am falschen Ort sind.

Wie geht das IKRK damit um?

Wir stützen unsere Arbeit auf strenge ethische Standards und grundlegende Prinzipien wie Neutralität und Unabhängigkeit. Das bedeutet, dass wir nicht jedes kommerzielle Produkt verwenden können, da einige uns möglicherweise nicht erlauben, unsere Datenschutzstandards zu erfüllen, ein Risiko für Menschen in Kriegsgebieten darstellen oder unseren Ruf und damit unseren künftigen Zugang zu Menschen in Not gefährden. Wir sehen zunehmende Tendenzen, die Welt in einzelne "digitale Regionen" aufzuteilen, wobei grosse Technologieunternehmen als politisch konnotiert wahrgenommen werden und sich entweder zurückziehen oder in bestimmten Kontexten nicht mehr tätig sein dürfen. Für eine Organisation, die in Kriegsgebieten auf der ganzen Welt und über die Fronten hinweg arbeiten muss, stellt die Wahl der richtigen Technologielösungen und die Fähigkeit, unsere humanitären Daten zu schützen, eine wachsende Herausforderung dar. Wir müssen alles in unserer Macht Stehende tun, um die Kontrolle über unsere humanitären Daten zu behalten und sicherzustellen, dass sie nicht weitergegeben, abgerufen oder gegen Menschen verwendet werden, etwa für gezielte Angriffe oder Diskriminierung. Und wir müssen das Vertrauen der Menschen und Interessengruppen auf allen Seiten erhalten.

Welche digitalen Trends sehen Sie für die Zukunft?

Es ist zwar sehr schwierig, die Zukunft der humanitären Hilfe vorherzusagen. Aber ich denke, dass die digitalen Bedürfnisse der Menschen in Konfliktgebieten weiter zunehmen werden. Derzeit testen wir eine digitale Dienstleistungsplattform in Form einer App, die Funktionen wie einen "digitalen Tresor" bietet, in dem die Menschen wichtige Dokumente wie etwa Ausweis, Eigentumsurkunden, Bildungs- und Gesundheitszeugnisse speichern können. Wir wissen auch, dass der Informationsbedarf steigen wird. Die Menschen haben unterschiedliche Fähigkeiten, und wenn sie über die richtigen Informationen verfügen, können sie lebensrettende Entscheidungen treffen oder ihre eigenen Lösungen finden. Die Telemedizin hat zweifellos grosses Potenzial zur Verbesserung humanitärer Arbeit in schwer zugänglichen Gebieten.

Das Rote Kreuz entwickelt ein digitales Emblem für humanitäre Organisationen. Worum geht es dabei genau?

In einem "klassischen" bewaffneten Konflikt verwenden Spitäler, IKRK-Mitarbeitende oder medizinische Dienste von Streitkräften das Emblem des Roten Kreuzes oder des Roten Halbmonds, um ihre Präsenz zu signalisieren und internationalen Rechtsschutz zu geniessen. Etwas, das allgemein bekannt ist. Mit der Digitalisierung von Konflikten und der humanitären Arbeit ist eine neue Frage aufgetaucht: Wie können wir die Daten und Server der humanitären Organisationen schützen? Und wie schützen wir medizinische Einrichtungen vor feindlichen Cyberoperationen? So entstand im IKRK die Idee, ein neues Erkennungszeichen, eine digitale Markierung oder ein anderes Mittel zur Identifizierung solcher Einrichtungen im Cyberspace – sprich ein "digitales Emblem" – als mögliche Lösung zu entwickeln.

Welche Herausforderungen stellen sich Ihnen bei der Umsetzung?

Aus technischer Sicht müssen wir sicher sein, dass wir die richtige Form und das richtige Format wählen, eine Lösung, die von allen verstanden, verwendet und als vertrauenswürdig angesehen werden kann. Rechtlich gesehen muss dieses digitale Emblem völkerrechtlich anerkannt werden, ähnlich wie das physische Emblem. Das bedeutet, dass wir die Staaten dazu bringen müssen, dieser Idee zuzustimmen. Aus operativer Sicht ist unsere Hauptfrage kritischer Natur: Wie können wir ein solches Emblem gestalten, um sicherzustellen, dass es den Schutz verstärkt und die Daten und Server nicht identifiziert, sodass sie zu einem "weichen Ziel" für unrechtmässige Angriffe werden können? Wie Sie sich vorstellen können, braucht die Lösung dieser Herausforderungen Zeit, aber unsere Kollegen aus der Abteilung Völkerrecht arbeiten mit Partnern wie dem ETH Zürich Centre for Cyber Trust, dem Johns Hopkins University Applied Physics Laboratory und dem Australischen Roten Kreuz zusammen. Wir haben auch eine Reihe von internationalen Experten aus den Bereichen ICT, Militär und humanitäre Hilfe konsultiert, um sicherzustellen, dass wir das Richtige tun.

Welche Schritte stehen nun an?

Aus technischer Sicht müssten Prototypen eines "digitalen Emblems" entwickelt und getestet werden. Ausserdem wird das IKRK den Staaten mögliche Lösungen vorlegen und erörtern, wie diese in den bestehenden Rechtsrahmen aufgenommen werden können. Zudem müssen weitere Gespräche mit anderen relevanten Akteuren geführt werden, insbesondere mit der breiteren Rotkreuz- und Rothalbmond-Bewegung.

Wie entwickelt das IKRK seine eigene IT weiter?

Die IT hat einen wichtigen Stellenwert in unserer jüngsten institutionellen Strategie für die Jahre 2019 bis 2024. Die digitale Transformation beeinflusst natürlich die Programme und Dienstleistungen, die wir in den über 90 Ländern, in denen wir tätig sind, erbringen. Wir haben aber auch nach innen gerichtete strukturelle Veränderungen vorgenommen. Dazu gehören die Entwicklung und Umsetzung einer neunstufigen technischen Transformation. Darüber hinaus hat das IKRK verschiedene Initiativen lanciert, wie ein Cyber-Transformationsprogramm, ein Ransomware-Framework und die Entwicklung einer Cloud-Strategie zur verantwortungsvollen und schutzorientierten Nutzung von Diensten. Sie alle helfen unserer Institution, im digitalen Bereich effizienter zu arbeiten. Des Weiteren haben wir in Nairobi ein Studio für Design Thinking eingerichtet und ein Programm zur Rekrutierung und Bindung von Frauen im Tech-Bereich lanciert.

Zahlt sich das aus?

Ja. Seit 2019 hat sich unsere Verbindungskapazität beispielsweise um 266 Prozent erhöht, während wir eine Kostensenkung von 23 Prozent erreicht haben. Das zeigt, dass Organisationen wie unsere effizienter arbeiten und gleichzeitig einen nach innen und aussen gerichteten Ansatz in Bezug auf IT, Cyberspace sowie digitale Transformation und Services verfolgen können.

Wie unterscheidet sich Ihre Arbeit von jener eines privaten Unternehmens?

Für unsere spezielle Arbeit in Kriegsgebieten auf der ganzen Welt hängt unsere "Lizenz zum Handeln" vom Vertrauen der Menschen in unsere Organisation ab. Wir glauben, dass wir den Einsatz von Technologie strategisch angehen müssen, um dieses Vertrauen-basierte Wertversprechen inmitten der digitalen Disruption erhalten und stärken zu können. Dazu gehört etwa, dass wir klare Datenschutz-Standards festlegen und einen verantwortungsvollen Umgang mit der Technologie pflegen, bei dem Chancen und Risiken gebührend berücksichtigt werden. In bestimmten Fällen heisst dies auch, der Nutzung bestimmter Technologien Grenzen zu setzen. So haben wir Beispielsweise bezüglich dem Einsatz biometrischer Daten klare und öffentliche Richtlinien.

Was können Privatunternehmen vom Roten Kreuz lernen?

Ich glaube, wir können und müssen alle über die Grenzen einzelner Sektoren hinweg voneinander lernen. Ich sehe unsere Arbeit in Kriegsgebieten wie ein Brennglas für die Probleme und Herausforderungen, mit denen auch private Unternehmen in friedlichen Gesellschaften konfrontiert sind. In diesem Sinne können unsere Herausforderungen uns allen helfen, die Probleme zu erkennen, die es zu lösen gilt. Angesichts unserer besonderen Rolle im Rahmen des humanitären Völkerrechts und unseres Dialogs mit Staaten und nichtstaatlichen bewaffneten Gruppen hat unser Denken eine starke politische Dimension. In der Privatwirtschaft ist dies vielleicht weniger ausgeprägt. Dennoch beobachten wir alle die zunehmende Polarisierung der Welt, wobei Technologieanbieter in geopolitische Spannungen hineingezogen werden. Dies dürfte sich nicht nur auf eine Organisation wie die unsere auswirken, sondern mit der Zeit auch auf den privaten Sektor. Auch auf die Gefahr hin, dass ich einigen Ihrer Leserinnen und Leser zu nahe trete: Technologie ist zu wichtig, um sie allein den IT-Fachleuten zu überlassen.

Zur Person

Balthasar Staehelin kam 1993 zum Internationale Komitee vom Roten Kreuz (IKRK). Für die Organisation war er im Nahen Osten, Afrika sowie auf dem Balkan im Einsatz. Von 2008 bis 2012 war er für das Hospice Général in Genf tätig. Danach kehrte er als stellvertretender Direktor zum IKRK zurück. Ab Mai 2020 war Staehelin während zweier Jahre als Director for Digital Transformation and Data tätig. Staehelin hat einen Master-Abschluss in Geschichte, englischer Literatur und Verfassungsrecht der Universität Basel.