Einleitung
Die nationale Sicherheit Russlands hängt in hohem Maße von der Informationssicherheit ab. Dies beschrieb bereits im Jahr 2000 die Doktrin zur Informationssicherheit der Russischen Föderation. Die Doktrin diagnostiziert dabei gleichermaßen einen Rückstand der einheimischen Informationstechnologien (IT) gegenüber internationalen Herstellern, wie auch die Abhängigkeit Russlands von ausländischen IT-Firmen. Beides könne dazu führen, dass Russlands Sicherheit verwundet oder gefährdet wird. Seit dieser Feststellung strebt der russische Staat seine Souveränität im Informationsbereich an. Diese zielt insbesondere darauf, Datenübertragung, Datenaustausch und Datenspeicherung innerhalb der Grenzen Russlands ohne jegliche Einmischung von außen kontrollieren und steuern zu können. Dafür wird nach und nach ein Rechtsraum geschaffen, welcher dem Staat ermöglichen soll, die Rolle des »Gatekeepers« und der zentralen Koordinationsstelle des Informationsflusses an den russischen Grenzen bzw. auf dem Staatsgebiet zu übernehmen.
Jedoch sind die Implementierung solcher Gesetze und das Erlangen der Souveränität aufgrund der engen Verflechtung Russlands mit dem globalen Internet schwierig. Dazu kommt Russlands hohe technologische Abhängigkeit von anderen Ländern. Obwohl in den letzten zwanzig Jahren keine zukunftsträchtige Strategie für einheimische IT-Unternehmen geschaffen wurde und notwendige strukturelle und institutionelle Reformen für Innovationen ausblieben, wird heute wegen geopolitischer Veränderungen eine IT-Importsubstitution in hohem Tempo vorangetrieben. Es bleibt offen, ob diese Politik tatsächlich zur Informationssicherheit beitragen wird, oder vielmehr Russlands technologischen Rückstand zunehmend zementieren wird – und dadurch die Position des Landes auf der Weltbühne langfristig schwächt.
Frühzeitige Diagnose, kein Handeln
Bereits im Jahr 2000 wurde in der oben erwähnten Doktrin festgestellt, dass der Rückstand einheimischer Informationstechnologien für Russlands Sicherheit bedrohlich sei. Der Staat sah in dem Technologienimport der Behörden eine erhöhte Gefahr des unberechtigten Zugriffs auf verarbeitete Informationen und eine steigende Abhängigkeit von ausländischen Herstellern. Daher definierte der Staat unter den nationalen Interessen der Russischen Föderation im Informationsbereich die Entwicklung moderner einheimischer Informationstechnologien, die technologische Unabhängigkeit, die Deckung der Bedürfnisse des eigenen Marktes und den Eintritt in den Weltmarkt. »Unter den aktuellen Anforderungen wird es nur auf dieser Grundlage möglich sein, Hochtechnologien zu entwickeln, die Industrie technisch zu modernisieren und die einheimische Wissenschaft und Technik weiterzuentwickeln«, so die Doktrin.
2016 erschien eine aktualisierte Doktrin zur Informationssicherheit. Zu dieser Zeit befand sich Russland bereits in einer anderen innen- und außenpolitischen Wirklichkeit, was sich in dem Text der neuen Doktrin wiederspiegelt. Zum einen führten die Protestbewegung nach den Parlamentswahlen und die damit einhergehende starke Mobilisierung der Opposition über soziale Medien in den Jahren 2011 – 2013 dazu, dass der Staat zunehmend das Internet kontrollierte und die Informationssicherheit neu bewertete. Zum anderen spielten die Enthüllungen von Edward Snowden über das System massenhafter Überwachung der USA und ihrer Partner im Jahr 2013 eine wesentliche Rolle, bei der Entscheidung auf mehr staatliche Souveränität im Cyberraum zu setzen. Außerdem entschied sich Moskau nach den Sanktionen infolge der Annexion der Krim 2014, digitale Unabhängigkeit und vor allem Importsubstitutionen im IT-Bereich verstärkt zu implementieren.
In der neuen Version der Doktrin zur Informationssicherheit von 2016 wird erneut festgestellt, dass in der russischen Wirtschaft wettbewerbsfähige Informationstechnologien fehlen würden, und die heimische Industrieforschung unzulänglich und ineffizient sei. Die Abhängigkeit der russischen Industrie von ausländischen Technologien bleibe weiterhin hoch, was ihrerseits »die Abhängigkeit sozio-ökonomischer Entwicklungen der Russischen Föderation von ausländischen geopolitischen Interessen erzeuge«, so die Doktrin.
Dies lässt vermuten, dass in den sechzehn Jahren, seit der ersten Doktrin zur Informationssicherheit 2000 kaum eine nennenswerte Entwicklung im IT-Bereich stattgefunden hat. Die geopolitischen Bedingungen haben sich dagegen enorm verändert. Darauf hat der Staat mit rapider Gesetzgebung zu IT und Internet reagiert, die den ausländischen Einfluss eindämmen, sowie die staatliche Souveränität bei der Durchsetzung eigener Informationspolitik ermöglichen soll. In der Doktrin von 2016 wird als zentrales strategisches Ziel definiert, die Abhängigkeit der russischen Industrie vom ausländischen Markt abzubauen und durch die Schaffung, Entwicklung und den breiten Einsatz inländischer IT zu ersetzen. Außerdem soll ein nationales Verwaltungssystem für das russische Segment des Internets entwickelt werden. Russland zielt also darauf ab, seine Souveränität im Informationsraum zu schützen und eine eigenständige Informationspolitik im Einklang seiner nationalen Interessen umzusetzen.
Ambitionierte Gesetzgebung
Um die Abhängigkeit vom IT-Import zu reduzieren, wurde im Juni 2015 ein Gesetz über die Schaffung eines Registers für inländische Software verabschiedet. Das Register erfasst Software, die offiziell als aus der Russischen Föderation stammend eingetragen wird. Ausschließlich die hier verzeichneten Programme dürfen von russischen Behörden genutzt werden, wie ein Erlass der Regierung bereits im November 2015 festlegte. Das Register selbst gibt es erst seit Anfang 2016 und es beinhaltet heute mehr als 6.600 registrierte Programme. Seit Ende 2018 gilt auch für staatliche Unternehmen – wie die Fluggesellschaft Aeroflot, den Energiekonzern Gazprom, den Flughafen Scheremetjewo und den ersten Fernsehkanal »Perwyj kanal« – die Vorgabe, dass bis zum Jahr 2022 mehr als die Hälfte ihrer verwendeten Software aus Russland kommen soll.
Gegenwärtig befindet sich ein Präsidialerlasses in der Projektphase, der besagt, dass Objekte kritischer Informationsinfrastruktur ab 1. Januar 2021 hauptsächlich russische Software und ab 1. Januar 2022 russische Hardware nutzen sollen. Das bedeutet, dass der Anteil an Organisationen, die ausschließlich russische IT benutzen dürfen, wesentlich ausgeweitet wird. Zu solchen Objekten kritischer Informationsinfrastruktur zählen alle staatlichen Organisationen, juristischen Personen und Einzelunternehmen, die Informationssysteme von strategischer Bedeutung besitzen. Diese Branchen sind: Verkehr, Telekommunikation, Bankwesen, Kernkraft, Brennstoffindustrie, Gesundheitswesen, Wissenschaft, Metallurgie, Verteidigung, Raumfahrtindustrie und Chemieindustrie.
Parallel zur Einführung des Registers wurden andere Gesetze verabschiedet, die ein zentralisiertes Verwaltungssystem des Internets auf dem russischen Staatsgebiet sowie die staatliche Souveränität im Informationsraum ermöglichen sollen. Wie zum Beispiel das Gesetz zur Datenspeicherung auf den Servern innerhalb Russlands, das seit September 2015 in Kraft ist. Es verpflichtet alle in- und ausländischen Internetfirmen persönliche Daten russischer Bürger auf Servern innerhalb Russlands abzulegen. 2016 wurden die sogenannten »Jarowaja-Gesetze« verabschiedet, benannt nach der Duma-Abgeordneten und Mitverfasserin Irina Jarowaja. Die Gesetze sehen eine Reihe von Anti-Terror-Maßnahmen vor, welche u. a. Telekommunikations- und Internetservice-Anbieter sowohl zu einer umfangreichen Vorratsdatenspeicherung auf russischem Staatsgebiet, wie auch zur Bereitstellung von Informationen gegenüber den Sicherheitsdiensten verpflichtet. Die Gesetzesänderungen über das sogenannte »souveräne Internet«, die im November 2019 in Kraft getreten sind, erweitern die Befugnisse des Staates zusätzlich und ermöglichen es, den Informationsfluss auf der Infrastrukturebene in Russland zu kontrollieren, zu steuern und gegebenenfalls zu unterbinden.
Langwierige Implementierung
Um die staatliche Souveränität über den Informationsbereich zu erlangen, reicht die Gesetzgebung allein nicht aus. Die Gesetze müssen auch implementiert werden. Dies ist jedoch aus verschiedenen Gründen äußerst schwierig. Zum einen fehlen technische Voraussetzungen und finanzielle Mittel, um alle Daten wie vorgeschrieben zu speichern. Zum anderen weigern sich internationale Internetdienste, wie Facebook und Twitter, persönliche Daten von Nutzern auf Servern in Russland zu speichern. Außerdem sind ein vollständig souveränes Internet und eine zentralisierte staatliche Kontrolle aller Netzwerke in Russland aufgrund ihrer infrastrukturellen Verflechtung mit dem globalen Internet kaum umsetzbar.
Auch die Implementierung der IT-Importsubstitutionen, die Unabhängigkeit von ausländischen Informationstechnologien und die Informationssicherheit bleiben in absehbarer Zukunft ein äußerst ambitioniertes, geradezu unrealistisches Ziel. Ende 2019 verwendeten staatliche Unternehmen nur 10 % russischer IT-Produkte, gemessen am Gesamtvolumen genutzter Software. Viele Branchen der kritischen Infrastruktur, wie die Öl- oder Stahlproduktion, werden erheblich mehr Zeit für die Umstellung auf heimische IT-Systeme benötigen als die vorgegebene Frist von Anfang 2021. Aufgrund ihrer jeweiligen Produktionszyklen dauert es realistisch gesehen eher fünf bis zehn Jahre, bis die Anwendungen branchenspezifisch angepasst und vollständig implementiert sind. Bei Regierungsbehörden sieht die rasche Umstellung realistischer aus. Laut des Kommunikationsministeriums steigt die Beschaffung inländischer Software bei Behörden stark an. So betrug sie bereits 65 % im Jahr 2019, während dieser Anteil 2015 noch bei 20 % lag.
Insgesamt ist zu erwarten, dass die IT-Importsubstitution sehr viel Zeit und Geld in Anspruch nehmen wird. Vor allem, weil es für viele Branchen keine inländischen Lösungen gibt, welche die derzeit verwendete westliche IT auf qualitativer Ebene vollständig ersetzen könnten. Außerdem erfordert das Ersetzen der bestehenden und genutzten IT-Architektur, die über Jahre aufgebaut wurde, einen systematischen Ansatz, der bisher fehlt. Schließlich fehlt ein eigenes staatliches Budget für Importsubstitutionsprojekte und die bisher existierenden Förderprogramme der Regierung sind oft dysfunktional.
Was die langfristigen staatlichen Investitionen im IT-Bereich angeht, sind die Perspektiven äußerst unklar. Das nationale Projekt »Digitale Wirtschaft«, das 2017 ins Leben gerufen wurde und welches ehrgeizige Pläne für die Entwicklung der russischen IT-Industrie ankündigte, scheint keine Zukunft zu haben. Es erinnert an seine Vorgänger – die Projekte »Elektronisches Russland« und »Informationsgesellschaft« –, die beide keinerlei Ergebnisse hervorbrachten. Die Termine für die angekündigten Aktivitäten der »Digitalen Wirtschaft« wurden wiederholt verschoben und die angestrebten Indikatoren wurden nicht erreicht. Auch das Budget des nationalen Projekts wurde mehrmals geändert: Zuerst sollten ihm 520 Milliarden Rubel (etwa 6,6 Milliarden Euro), dann sogar 3,54 Billionen Rubel (etwa 45,4 Milliarden Euro) zugewiesen werden. Im Februar 2019 wurden der Kostenrahmen der »Digitalen Wirtschaft« auf 1.6 Billionen Rubel (etwa 20,5 Milliarden Euro) reduziert. Und im April 2020 wurde bekannt, dass das Volumen der Finanzierung wiederum um 14 Milliarden Rubel (etwa 180 Millionen Euro) reduziert wird. Weitere Kürzungen dürften folgen.
Ausblick
Die Informationssicherheit in der modernen vernetzten Welt ist von immer größer werdender Bedeutung, und das nicht nur für Russland. Daher ist es nicht verwunderlich, dass das Konzept der Souveränität im Informationsbereich nicht nur in Russland diskutiert wird. Die Debatte um den Ausbau des neuen Mobilfunkstandards 5G in der Europäischen Union ist nur ein Beispiel dafür, wie die Frage von Selbstbestimmung im digitalen Raum als politische und strategische Frage behandelt wird: Wie lässt sich eine sichere Infrastruktur aufbauen, die zugleich mit dem globalen Informationsraum vernetzt bleibt und auch wettbewerbsfähig ist?
Russland schlägt aktuell einen isolationistischen Weg ein. Mit den vorhandenen Maßnahmen wird es wahrscheinlich erst in Jahren möglich sein, den Bedürfnissen des Staates und den Anforderungen staatlicher Unternehmen an IT gerecht zu werden. Ohne internationalen Wettbewerb ist es jedoch unwahrscheinlich, dass deren Qualität auf einem hohen Niveau sein wird. Die russische IT-Importsubstitution wurde aus geopolitischer und sicherheitspolitischer Logik eilig beschlossen, jedoch fehlen ihr sowohl fähige einheimische IT-Anbieter, als auch eine echte nachhaltige Strategie zur langfristigen Entwicklung der inländischen IT-Branche. Eine derartige Entwicklung würde mehr Investitionen und gezielte Förderung von Innovationen voraussetzen. Doch diese sind eng mit strukturellen und institutionellen Reformen sowie der Korruptionsbekämpfung verbunden. Solche tiefgreifenden Maßnahmen könnten aber das Regime von Wladimir Putin gefährden und sind daher in absehbarer Zeit nicht zu erwarten. Die aktuelle Informationspolitik ist eher als Absicherung des Regimes zu bewerten, was Russlands Rückstand in der IT bis auf weiteres festschreibt und die Chancen des Landes auf Fortschritt langfristig schwächt.