DSI Publications

The article explores the question whether contemporary forms of interfering with democratic decision-making processes in other countries, primarily carried out through digital means as part of a larger effort to distort the online information ecosystem, can amount to a violation of standing rules of international law.

Although the question of the targeting of data through adversarial military cyber operations and its implications for the qualification of such conduct under International Humanitarian Law has been on scholars’ and states’ radar for the last few years, there remain a number of misunderstandings as to how to think about the notion of “data.” Based on a number of fictional scenarios, the article clarifies the pertinent terminology and makes some expedient distinctions between various types of data. It then analyzes how existing international humanitarian and international human rights law applies to cyber operations whose effects have an impact on data. The authors argue that given the persisting ambiguities of traditional concepts such as “object” and “attack” under international humanitarian law, the targeting of content data continues to fall into a legal grey zone, which potentially has wide-ranging ramifications both for the rights of individual civilians and the functioning of civilian societies during situations of conflict. At the same time, much legal uncertainty surrounds the application of human rights law to these contexts, and existing data protection frameworks explicitly exclude taking effect in relation to issues of security. Acknowledging these gaps, the article attempts to advance the debate by proposing a paradigm shift: Instead of taking existing rules on armed conflict and applying them to “data,” we should contemplate applying the principles of data protection, data security, and privacy frameworks to military cyber operations in armed conflict.

The Federal Chancellery recently finished its first draft of the revised Foreign Intelligence Service Law (BND-Gesetz) that has become necessary subsequent to the judgment of the Federal Constitutional Court in May of 2020. While the draft bill contains numerous improvements, some crucial provisions pertaining to the treatment of journalists and their trusted sources remain insufficient. The article analyses some of the problems.

Over the past two decades, the progressing digital transformation has brought along a growing number of challenges in the context of security: internet crime, cyberwar and espionage, surveillance and autonomous weapons systems. While increased security measures seem indispensable, they need to be weighed against individual human rights guarantees. This chapter provides an overview of the pertinent questions.

The chapter summarises the current state of the application of international law to cyberspace and reviews attempts to find consensus among the community of states. While virtually all states agree that international law applies to state conduct in cyberspace, the 'how' remains a hotly contested issue. The chapter focuses on the prohibition of the use of force, the prohibition of intervention, and the principle of sovereignty and assesses their legal status vis-à-vis cyber operations. It follows a brief treatment of further international efforts to increase transnational cybersecurity, such as internet governance and arms control treaties.

Dieses Kapitels im Praxishandbuch "IT-Sicherheitsrecht" analysiert Verfahren zur Messung, Prüfung und dem Nachweis von IT-Sicherheit zur Erfüllung von rechtlichen Anforderungen. Zunächst gibt das Kapitel einen Überblick über Prüf-, Bewertungs- und Nachweisverfahren, sowie rechtliche Grundlagen und Zuständigkeiten im IT-Sicherheitsrecht. Anschließend unterscheidet es systematisch zwischen unterschiedlichen Prüf- und Bewertungsebenen bzw. -gegenständen im Sinne der Sicherheit von IT-Systemen in Institutionen und der IT-Sicherheit von Software und Hardware. Im zweiten Abschnitt erläutert es die Messung, Prüfung und den Nachweis von IT-Sicherheit in Institutionen, fasst die einschlägigen Standards für Systeme zum Management von Informationssicherheit zusammen, benennt Methoden zur Messung von IT-Sicherheit innerhalb von Risikoanalysen und erläutert Audits und Zertifizierungen und zeigt anschließend, in welchen Bereichen des IT-Sicherheitsrechts diese Methoden verlangt werden. Der dritte Teil widmet sich der Messung, Prüfung und dem Nachweis von IT-Sicherheit von Software und Hardware, einschließlich IT-Produkten, -Diensten und -Prozessen. Er bietet eine Übersicht über Kriterien zur Messung, Evaluation und Prüfung von Software und Hardware und über Zertifizierungsverfahren. Darauf aufbauend erläutert der Abschnitt, wie diese Verfahren bei der Prüfung und Zertifizierung von IT-Produkten, -Diensten und -Prozessen im allgemeinen und fachspezifischen IT-Sicherheitsrecht zum Einsatz kommen. Ein kurzer abschließender Abschnitt zeigt die Grenzen der bestehenden Ansätze und zukünftige Herausforderungen auf.

The article deals with necessity as one of the circumstances precluding wrongfulness under customary international law and how it will likely gain relevance in view of the difficulty to quickly attribute malicious cyber operations that threaten important assets of a state. While the necessity doctrine seems fit for purpose, it lacks granularity and is problematic from an international rule-of-law point of view. Taking these pitfalls into account, the article proposes some general principles for a possible special emergency regime for cyberspace.

The article analyses the proposed hack back/active cyber defence legislation from the perspective of international law. It concludes that while such a policy would not be contrary to Germany's obligations under international law per se, it would be hard to justify in the majority of cases. This is because the remedies self-defence and countermeasures will likely be unavailable due to the persistent problem of timely attribution of cyber operations, and the requirements of the alternative plea of necessity will rarely be met in practice.

For more than a year, EU member states have been debating whether and how to restrict the participation of the Chinese technology group Huawei in the expansion of their 5G mobile networks. Caught between its two main trading partners, the US and China, the EU is facing a geopolitical test on several levels. Will Europe be able to ensure the security and reliability of digital infrastructures of key economic and social importance? Will it lead the way in 5G and the associated next wave of industrialisation, or will lose out on innovation? How should EU member states deal with their dependence on foreign technologies and strengthen its "digital sovereignty", a political priority of the EU Commission under Ursula von der Leyen? The latter in particular could be the most important strategic challenge the EU has to face in the long term - especially in the context of the intensifying trade conflict between the US and China and the threat of a "decoupling" of technological supply chains.
[Über ein Jahr lang debattieren EU-Mitgliedsstaaten bereits darüber, ob und wie sie die Beteiligung des chinesischen Technologiekonzerns Huawei an dem Ausbau ihrer 5G-Mobilfunknetze einschränken sollen. Gefangen zwischen ihren beiden wichtigsten Handelspartnern, den USA und China, steht die EU vor einem geopolitischen Test auf mehreren Ebenen. Wird Europa langfristig in der Lage sein, die Sicherheit und Zuverlässigkeit digitaler Infrastrukturen von zentraler Bedeutung für Wirtschaft und Gesellschaft zu gewährleisten? Wird es bei 5G und der damit verbundenen nächsten Welle der Industrialisierung tonangebend sein oder weiter an Innovationskraft verlieren? Wie sollen die EU-Mitgliedsstaaten mit der Abhängigkeit von ausländischen Technologien umgehen und jene „digitale Souveränität“ erreichen, deren Stärkung eine der politischen Prioritäten der EU-Kommission unter Ursula von der Leyen ist? Insbesondere letztere könnte die wichtigste strategische Herausforderung sein, der sich die EU langfristig stellen muss – vor allem im Kontext des sich intensivierenden Handelskonflikts zwischen den USA und China und einer drohenden „Entkopplung“ technologischer Lieferketten.]