Der im Oktober veröffentlichte Niinistö-Bericht hat einen starken Cybersicherheitsbezug und unterbreitet lösungsorientierte und pragmatische Empfehlungen für die neue EU-Führung. Der Bericht greift erstmalig die richtige empirische Beobachtung auf, dass Online- und Offline-Konflikte einander verstärken. Daher könne der Cyberraum auch nicht als eine getrennte Domäne der europäischen Außen- und Sicherheitspolitik betrachtet werden. Das unterscheidet diesen Bericht von den zahlreichen Sicherheitsstrategien, die von der EU und ihren Mitgliedsstaaten in den vergangenen Jahren veröffentlicht wurden. Dies macht seine künftige Umsetzung zu einer Herkulesaufgabe.
Der alte und neue 47. US-Präsident Donald Trump stellt die europäische Sicherheit erneut auf die Bewährungsprobe. Die europäische Sicherheitsarchitektur ist dringend überholungsbedürftig – gerade dort, wo die Kernkompetenzen der Mitgliedsstaaten berührt werden. Die Mission Statements der EU-Kommissionspräsidentin Ursula von der Leyen an die neu designierten Kommissar:innen offenbaren, dass der sogenannte „Niinistö Bericht“, verfasst durch den früheren finnischen Präsidenten Sauli Niinistö, eine zentrale Bedeutung für die (Cyber-)Sicherheit Europas einnehmen soll. In dem Bericht mit dem Titel „Gemeinsam sicher. Stärkung der zivilen und militärischen Einsatzbereitschaft und Einsatzfähigkeit“ werden von der Leyens „Kommission 2.0“ konkrete Reformvorschläge für die gesamtgesellschaftliche Sicherheit unterbreitet.
Multisektorales Krisenmanagement für mehr Resilienz
Die Herausforderungen für Europa durch Pandemien, Klimawandel, Cyberattacken, die expansionistischen Bestrebungen Russlands und der Systemstreit mit China sind massiv. Cyberattacken sind dem Bericht zufolge im Großmaßstab wie auch als Teil einer hybriden oder militärischen Kriegsführung real.
Bei der Diskussion des Berichts am 14. November im Europäischen Parlament betonte Niinistö, dass die Resilienz Europas sich in der Fähigkeit erweisen müsse, sich auf das Unerwartbare vorzubereiten (kurz: „Preparedness“). Zur sicherheitspolitischen Neuaufstellung Europas nimmt Finnland eine Vorreiterrolle ein. Das Konzept einer solchen Vorsorgefähigkeit wird dort seit längerem umgesetzt, was nicht nur die Regierung, sondern auch die ganze Gesellschaft in die Pflicht nimmt. Resilienzaufbau setzt dabei bei einer sektorenübergreifenden Krisenbewältigung an, vor allem in kritischen Bereichen der Energieversorgung, im Gesundheitswesen oder im Finanzsektor.
Das Unerwartbare denken und sich im Cyber- und Informationsraum darauf einstellen, das ist die Fähigkeit im Regieren, zivile wie militärische, polizeiliche wie Fähigkeiten des Katastrophenschutzes stärker europäisch miteinander zu verbinden. Bürger:innen sollten auf Cyberattacken vorbereitet sein wie etwa auf einen längeren Stromausfall. Sensibilisierungskampagnen sollen über Risiken informieren. Digital- und Medienkompetenz sowie erste Hilfe und Maßnahmen der Cybersicherheit sollten Teil der curricularen Schulausbildung sein.
Gegenseitiges Vertrauen und eine gemeinsame Vorbereitungskultur
Die zahlreichen Cyberangriffe auf Europa von feindlich gesonnenen Staaten oder Gruppierungen erfordern eine politische, technische und rechtliche Abwehr- und Attributionsfähigkeit Europas, die die EU heute in dieser Form noch nicht bereitstellen kann. Vorsorgefähigkeit umfasst auch, sensible Daten und Informationen zwischen den Mitgliedsstaaten zu teilen. Gegenseitiges Vertrauen in die europäische Zusammenarbeit beim Informationsaustausch und in der gemeinsamen Gefahrenabwehr sind hierfür eine notwendige Bedingung.
Niinistö fordert demzufolge den Aufbau eines europäischen Geheimdienstes, der nicht die nationalen Aufgaben ersetzen, sondern sich auf gemeinsame europäische Bedrohungen und deren Abwehr spezialisieren soll. Hierzu seien die schnelle Verfügbarkeit von Informationen, ein gemeinsames Lagezentrum in Gefahrenlagen sowie der Aufbau des Satellitensystem Iris 2 schnellstmöglich zu vollziehen. Gemeinsame Übungen sollen eine Kultur der gemeinsamen Preparedness aufbauen.
Ein europäisches Warnsystem für Cybersicherheit soll helfen, öffentliche und privatwirtschaftliche Informationen für eine frühzeitige Gefahrenerkennung zu bündeln. Die zuständigen Abteilungen in der EU-Kommission, wie etwa das vor kurzem eröffnete Cyberlage- und Analysezentrum soll hierzu die private Fachexpertise zur Bereitschaftsfähigkeit und Notfallplanung ermöglichen. Trainings und Simulationen sollen für die Risiken sensibilisieren, weshalb der Krisenmanagement-Plan der Kommission („Cyber Blueprint“) überarbeitet werden muss. Sektorenübergreifende Stresstests wären notwendig, so wie sie im Energiesektor bereits umgesetzt werden. Die Einbeziehung von Partnern, wie der Ukraine oder den Ländern des Westbalkans, ist allein schon in Bezug auf die Rekrutierung von Fachkräften in der Cybersicherheit wichtig.
Rasche Vorbereitung auf das Unerwartbare nötig
Der Cyber Resilience Act sowie NIS-2 sollten in der Verteidigungsindustrie zum Tragen kommen. Kritische Sektoren im Infrastrukturschutz seien auf weitere Sektoren und Industrien auszuweiten, die für die Aufrechterhaltung der öffentlichen und wirtschaftlichen Ordnung relevant sind. Bei der öffentlichen Auftragsvergabe sollte der Grundsatz „Preparedness-by-design“ berücksichtigt werden. Ein Netzwerk zur Sabotagebekämpfung soll Mitgliedsstaaten bei der Prävention und Reaktion auf Cyber-Attacken unterstützen.
In dem Bericht wird der EU und ihren Mitgliedsstaaten nahegelegt, hybride Bedrohungen möglichst schnell zuzuordnen und durch nachrichtendienstliche Erkenntnisse zu untermauern, denn ein „Naming and Shaming“ könne hybride Akteure in die Defensive drängen oder ihre Pläne vereiteln.
Sogenannte „Exchange Traded Funds“, also börsengehandelte Fonds, könnten neue Investitionen in die Cybersicherheit und zur nachrichtendienstlichen Befähigung erleichtern. Unternehmen sollen hierdurch unterstützt werden, in sichere Lieferketten für kritische Güter zu investieren.
Ob Pandemie, Umweltkatastrophe, Klimawandel, Cyberattacke oder Militärangriff, allen Risiken ist gemein, dass Europa sich auf das Unerwartbare vorbereiten muss, also seine umfassende sicherheitspolitische Preparedness steigern muss – auch ungeachtet der Tatsache, dass dies die Kernkompetenz der Mitgliedsstaaten in der (Cyber)Sicherheit berührt. Zusammenarbeit und Vertrauen sind nicht nur die hinreichenden, sondern auch die notwendigen Bedingungen, um die Widerstandsfähigkeit Europas offline wie online zu ermöglichen.
Annegret Bendiek ist leitende Mitarbeiterin der Forschungsgruppe EU/Europa und koordinierende Leiterin im Forschungscluster Cybersicherheit und Digitalpolitik bei der Stiftung Wissenschaft und Politik.
In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein.