Neun Empfehlungen : Bessere Vernetzung

Staaten greifen zunehmend auf Stellvertreter (Cyber-Proxys) im digitalen Raum zurück. Sie nutzen ideologisch ausgerichtete Hacktivisten, kommerzielle Kriminelle oder Cyber-Söldner, um ihre geopolitische Ziele zu verfolgen. Der Reiz von Cyber-Proxys liegt auf der Hand: Sie erweitern die Cyber-Kapazitäten eines Staates und sind schwer zu attribuieren. Doch während die Aktivitäten steigen, hinken die Instrumente zur Bekämpfung der Proxys hinterher.

Einige Bemühungen zur Unterbindung von Cyber-Proxy-Aktivitäten waren erfolgreich, wie etwa die Operation Eastwood im Jahr 2025, die Haftbefehle gegen sieben mutmaßliche Mitglieder von„ NoName057(16)“ erwirkte – der pro-russischen Hacktivistengruppe hinter zahlreichen DDoS-Angriffen auf Nato-nahe Ziele. Auch die Bekämpfung des gesamten Ökosystems war erfolgreich: Die internationale Taskforce Operation Cronos unter Führung der britischen National Crime Agency zerschlug 2024 „LockBit“, eine der größten Ransomware-as-a-Service-Gruppen, beschlagnahmte Server, fror Kryptowährungskonten ein und enttarnte den Administrator.

Die Rechenschaftslücke

Diese Erfolge haben jedoch keinen langfristigen strategischen Nutzen gebracht. Das Cybercrime-Ökosystem mit sicheren Hosting-Diensten, Kryptowährungsbörsen und kommerziellen Cyberangriffswerkzeuge besteht fort. Sanktionen können zwar Kosten verursachen und politisch signalisieren, dass Proxy-Aktivitäten Konsequenzen haben. Doch die meisten sanktionierten Personen besitzen kaum Vermögen im Westen, und die Akteure verstehen es gut, sich anzupassen.

Strafverfolgungsbehörden, Sanktionsbehörden, Geheimdienste und diplomatische Dienste koordinieren zwar ihre Operationen, dennoch bleibt das Vorgehen uneinheitlich und lückenhaft. Festnahmen erfolgen teils, ohne dass Beweismittel für eine Strafverfolgung gesichert werden. Sanktionen werden mitunter ohne synchronisierte operative Störungen verhängt. Die Folge ist, dass einzelne Maßnahmen isoliert verpuffen und Cyber-Proxys Lücken ausnutzen.

Das internationale Recht konzentriert sich im Allgemeinen auf Staaten und weniger auf nichtstaatliche Akteure und verfügt über begrenzte Durchsetzungsmittel. Die Zurechnungsschwellen nach den Artikeln zur staatlichen Verantwortlichkeit sind hoch. Weder die bloße Duldung von Proxy-Aktivitäten noch finanzielle Unterstützung allein reicht aus, um einen Staat rechtlich verantwortlich zu machen.

Das Vetorecht der fünf ständigen Mitglieder des UN-Sicherheitsrats (einschließlich Russlands) schränkt dessen Handlungsfähigkeit ein. Infolgedessen fällt die Proxy-Aktivität in eine „normative Schutzzone": nicht ganz gesetzlos, aber ausreichend mehrdeutig, um die Verantwortlichkeit zu begrenzen. Staaten, die bösartige Cyberaktivitäten sponsern oder bewusst dulden, haben keinerlei Neigung gezeigt, dem Grundsatz der gebotenen Sorgfalt zu folgen, der besagt, dass Staaten nicht wissentlich zulassen sollten, dass ihr Territorium für bösartige Cyberaktivitäten genutzt wird. Der derzeitige Rahmen tut wenig, um sie zur Rechenschaft zu ziehen.

Das Argument für strategische Kohärenz

Wie lässt sich diese Lücke schließen? Unser neues Paper für Chatham House nennt zwei Werkzeuge: Disruption der Proxy-Kapazitäten in Echtzeit, und die Auferlegung von Kosten um rechtlich, finanziell und reputationsbezogen Druck auszuüben. Beide Instrumente müssen zusammenwirken: Wenn ein Takedown ohne Sanktionen erfolgt, stellen sich Stellvertreter wieder auf. Wenn Sanktionen ohne operative Disruption verhängt werden, passen sich die Akteure an. Doch Disruption und Kostenauferlegung erzeugen nur dann Druck – und letztlich Abschreckung –, wenn sie in eine nachhaltige, koordinierte Strategie eingebettet sind, die vorhersehbare Konsequenzen etabliert und das langfristige Kalkül der Gegner beeinflusst.

In unserem Bericht haben wir neun Empfehlungen für eine kohärente Strategie gegen Cyber-Proxys formuliert – vom Aufbau operativer Kapazitäten zur Schwächung der Handlungsfähigkeit bis hin zu Ansätzen für eine multilaterale Steuerung. Drei dieser Empfehlungen sollen hier vorgestellt werden:

1. Errichtung einer ständigen mini-lateralen Koordinierungszelle

Die USA, das Vereinigte Königreich, die EU, Australien, Kanada, Japan und andere kooperieren bereits: Etwa bei Attribuierungen, bei der Counter Ransomware Initiative oder dem geheimdienstlichen Informationsaustausch der Five Eyes. Diese Vereinbarungen mangelt es allerdings an einer kohärenten Integration über rechtliche, operationelle und diplomatische Domänen hinweg. Es braucht einen ständigen Mechanismus, um Sanktionen, Strafverfolgungsmaßnahmen und Störungsoperationen in Echtzeit zu synchronisieren. Wenn ein Takedown stattfindet, sollte dieser Mechanismus gleichzeitig die Vorbereitung von Sanktionen auslösen, die Beweissicherung für strafrechtliche Verfolgung gewährleisten und die diplomatische Kommunikation koordinieren. Die internationale Taskforce Operation Cronos kam diesem Modell am nächsten. Sie sollte zur Regel und nicht zur Ausnahme werden. Dies erfordert eine entsprechende institutionelle Gestaltung.

2. Öffentlich-private Kooperationen formalisieren

Die enge Zusammenarbeit zwischen Regierungsbehörden und Unternehmen der Privatwirtschaft – insbesondere Unternehmen wie Microsoft, Crowdstrike und Mandiant – ist bereits grundlegend für die Bedrohungsanalyse, die Attribuierung und die Durchführung von Störmaßnahmen. Diese Vereinbarungen sind jedoch weitgehend freiwillig und uneinheitlich. Klarere, die Rechte achtende Rahmenbedingungen würden Erwartungen an Unternehmen formulieren, die den Austausch von Beweismitteln, die Zusammenarbeit bei der Bekämpfung von Bedrohungen und Infrastrukturverpflichtungen umfassen. Das Cyber ​​Intelligence Extension Programme von Europol und Microsoft weist in die richtige Richtung. Staaten sollten bereit sein, Unternehmen, die die Zusammenarbeit beharrlich verweigern, mit Konsequenzen zu belegen: Verlust von Regierungsaufträgen, öffentliche Bekanntgabe der Nichtkooperation oder, in schwerwiegenden Fällen, Sanktionen.

3. Cyberkriminalität und Cybersicherheitsgovernance bei der UN zusammenführen

Cyber-Proxys fallen durch das Raster der beiden UN-Prozesse, die für ihre Aktivitäten am relevantesten sind. Der Erste Ausschuss der UN befasst sich mit Cybersicherheitsgovernance und staatlichem Verhalten; der Dritte Ausschuss mit Cyberkriminalität. Proxys sind zu stark mit Staaten verknüpft, um als reine Kriminalität behandelt zu werden, und doch zu kriminell, um eindeutig als staatliches Handeln zurechenbar zu sein – und die beiden Ausschüsse sprechen selten miteinander. Gegner nutzen diese strukturelle Schwäche aus. Gleichgesinnte Staaten sollten auf gemeinsame Studien drängen, beispielsweise über das Institut der Vereinten Nationen für Abrüstungsforschung (UNIDIR), die untersuchen, wie sich die Verpflichtung zur Verfolgung von Cyberkriminalität mit der Verpflichtung zur Verhinderung der Nutzung von Territorium für bösartige Cyberoperationen überschneidet. Die beiden Ausschüsse der UN sind die einzigen Räume, in denen Verbündete und Gegner am selben Tisch sitzen. Daher ist die Überbrückung dieser Konflikte, so schwierig sie auch sein mag, strategisch unerlässlich.

Von Einzelmaßnahmen zu einer kohärenten Strategie

Strategische Kohärenz erfordert weder neue Institutionen noch einen perfekten internationalen Konsens oder das Abwarten besserer Bedingungen. Erfolgreiche Beispiele zeigen, dass sie bereits innerhalb bestehender Rahmenbedingungen und mit bestehenden Partnern erreichbar ist.

Alle drei empfohlenen Strategien erfordern eine bewusste Abkehr von reaktiven, ereignisbezogenen Maßnahmen hin zu einem kohärenten, strategischen Ziel, das konsequent über alle Instrumente, Sektoren und Zuständigkeitsbereiche hinweg verfolgt wird. Cyber-Proxys konnten bisher in den Rechts- und Verfolgungslücken gedeihen und aufblühen. Um die Lücken zu schließen, bedarf es keiner Revolution in der internationalen Zusammenarbeit. Es braucht den politischen Willen, die vorhandenen Ressourcen konsequent zu nutzen.

Joyce Hakmeh ist Associate Fellow bei Chatham House und ehemalige stellvertretende Leiterin des dortigen Programms für internationale Sicherheit. Außerdem ist sie Senior Associate bei Oxford Information Labs und Vorstandsmitglied bei der Global Cyber Alliance sowie bei Common Good Cyber.

Harriet Moynihan ist Leiterin des Bereichs „Rechenschaftspflicht im Völkerrecht“ am Oxford Institute of Technology and Justice der Blavatnik School of Government der Universität Oxford. Sie ist außerdem Associate Fellow im Programm für Völkerrecht bei Chatham House, dessen Direktorin sie zuvor war, sowie Forschungspartnerin bei der Oxford AI Governance Initiative.

Bei dem Standpunkt handelt es sich um eine übersetzte und gekürzte Fassung für Tagesspiegel Background, der Originaltext erschien zuerst beim internationalen Cyberexpertenforum Binding Hook.