Kolumne EU-Cybersicherheitspolitik und die Zeitenwende

Die strategischen Gewinne durch kumulative Cyberkampagnen sind höher als die zu erwartenden restriktiven Konsequenzen. Kumulative Angriffe sind solche, bei denen mehrere, niedrigschwellige Cyberangriffe in Folge zusammenwirken um auf ein gemeinsames Ziel zu wirken. Ziele können beispielsweise das Abschöpfen ganzer Wertschöpfungsketten und Wirtschaftsbranchen durch Industriespionage nach chinesischem Vorbild sein.

Russische Cyberstrategie: Mit Nadelstichen gegen Demokratien

Russische Informationsbeeinflussung westlicher Gesellschaften nach dem Motto „steter Tropfen höhlt den Stein“ funktioniert ähnlich. Eine einzelne Desinformation mag schnell entlarvt werden, aber in der Summe führen sie zu Verunsicherung. Das strategische Ziel dahinter ist es, das Vertrauen in den Staat, Medien oder Wissenschaft zu unterminieren und die westliche Handlungsfähigkeit zu schwächen.

Wenn Demokratien nicht mehr in der Lage sind, Mehrheiten zu bilden, weil die Gesellschaft zu polarisiert ist und sich immer in den gleichen Debatten verstrickt (etwa Verschärfung des Waffenrechts in den USA), ist die internationale Bühne frei für autoritäre Staaten. Staaten wie China und Russland wissen, dass kumulative Cyber- und Beeinflussungsoperationen langfristig die Machtbalance im internationalen System zu ihren Gunsten verändern können, weil die westlichen Staaten sich mit der Reaktion auf solche „hybriden Maßnahmen“ unterhalb der rechtlichen Gewaltschwelle schwertun.

Westliche Staaten versuchten Cyberangriffen bisher vorwiegend mit zwischenstaatlichen Formaten in der UN oder der OSZE zu beantworten. Zum Portfolio gehörten UN-Formate (UN GGE, OEWG) zur Etablierung freiwilliger Verhaltensnormen (Background berichtete). Der Cyber- und Informationsraum soll auf diesem Wege sicherer werden. Der Politologe Lucas Kello nennt diesen Ansatz „Cyber Legalismus“ und er sieht diesen als weitgehend gescheitert an. An der Gesamtbedrohungslage im Cyber- und Informationsraum hätten diese Maßnahmen wenig geändert, da Cyberangriffe in Qualität und Quantität seit Jahren ungehindert steigen. Autoritäre Staaten wie China und Russland ignorieren aber immer mehr internationales Recht, wie etwa die Kriegsverbrechen Russlands zeigen.

Cyber-Legalismus stammt aus einer Zeit vor der Zeitenwende, in der davon ausgegangen wurde, dass Sicherheit nur gemeinsam mit Russland erreicht werden kann. Wir befinden uns mit dem russischen Angriffskrieg in der Ukraine aber in einer Situation in der Sicherheit nicht mehr kooperativ, sondern nur noch gegen Russland erreicht werden kann. Zudem ist davon auszugehen, dass Russland sich am chinesischen Wirtschaftsspionagevorbild orientieren könnte, um den durch die westlichen Sanktionen gestoppten Technologietransfer zu kompensieren. Ein Festhalten am Cyber-Legalismus ist dafür wenig hilfreich, da er die westliche Reaktionsfähigkeit behindert.

Cyber-Legalismus basiert auf der strikten Trennung von Krieg und Frieden. Er tut sich schwer mit Aktivitäten, hybriden Aktivitäten, die weder kriegerisch noch friedlich sind. Lucas Kello nennt diesen Zustand im Cyber- und Informationsraums einen „Unfrieden.“ Das Problem damit ist, dass eine westliche Reaktion auf einen Cyberangriff von dessen rechtlicher Bewertung abhängt, die wiederum feststellt, welche Behörde zuständig ist und welche staatlichen Mittel eingesetzt werden können. Auf Cyberkriminalität mit militärischem Gewalteinsatz zu reagieren wäre rechtlich unverhältnismäßig, denn erst wenn ein Cyberangriff die Gewaltschwelle erreicht und das Recht auf Selbstverteidigung greift, sind kriegerische Mittel erlaubt.

Diese rechtliche Logik führt zu einer paralysierten Cybersicherheitspolitik. Es wird nur auf Cyberangriffe reagiert, die eine bestimmte Intensität vorweisen und somit ihm Rahmen der Rechtsordnung eine Reaktion erlauben (etwa das Recht auf Selbstverteidigung). Alles andere bleibt unbeantwortet.

Der EU fehlt weiterhin das passende Antwortwerkzeug

Cyberangriffe sind aber fluide. Auch Staaten setzen Tools, Techniken und Prozeduren von Cyberkriminellen ein und auch nicht-staatliche Akteure können mit Cyberangriffen, etwa gegen die Colonial Öl-Pipeline mächtige Effekte auslösen, die in der Vergangenheit nur Staaten vorbehalten waren. Sinnbildlich für dieses Reaktionsdilemma steht auch die EU-Cyber-Diplomacy-Toolbox. Mit dieser soll proportional auf Cyberangriffe bestimmter Intensität reagiert werden. Niedrigschwellige Angriffe führen etwa dazu, dass die EU eine Protestnote veröffentlicht oder eine Botschafterin einberuft. Schwerwiegendere Angriffe wie WannaCry werden mit Cybersanktionen, also gezielten, restriktive Maßnahmen wie Kontensperrungen und Einreisebeschränkungen beantwortet. Diese führen aber kaum dazu, dass Angreifer von ihren Kampagnen ablassen.

Der Politologe Tobias Liebetrau sieht daher ein strategisches Vakuum der westlichen Cyber-Sicherheitspolitik: das schärfste rechtliche Schwert von EU-Staaten (EU-Cyber-Sanktionen) sind zu schwach. Die Eskalation, im Falle einer Cyberaktivität einen Nato-Bündnisfall auszurufen, wird im Hinblick auf die Konsequenzen gescheut. So bleiben Cyberoperationen unterhalb der Gewaltschwelle heute unbeantwortet und somit konsequenzenlos für die Angreifer.

Neue EU-Cybersicherheitsinitiativen

Die EU ist bislang noch nicht auf diese Cyberbedrohungen und zur Verteidigungsfähigkeit durch die Mitgliedstaaten ermächtigt worden. Eine mögliche Lösung könnte eine Solidaritätsverpflichtung auf EU-Ebene sein, über die Entwicklung einer gemeinsamen EU-Cyberdoktrin.

Mehr als jemals zuvor gilt für die EU der Satz, dass der einzelne Mitgliedsstaat zu klein ist, um sich in der Konkurrenz zwischen China, den USA und Russland sowie der Vielzahl neuer hybrider Bedrohungen und gegen Cyberangriffe behaupten kann. Der Weg zu einer gemeinsamen Außen- und Sicherheitspolitik ist aber bisher weitestgehend erfolglos geblieben. Warum sollte er bei der Entwicklung einer Außen-, Sicherheits- und Verteidigungspolitik im Cyber- und Informationsraum vielversprechender sein?

Schon im vergangenen Jahr hat der Außenministerrat den EU-Außenbeauftragten Josep Borrell sowie die EU-Kommission beauftragt, die verschiedenen Stränge zwischen Außen-, Sicherheits- und Verteidigungspolitik zusammenzuführen („to build a forward-looking EU external digital policy“). Die Herausforderung einer Cyberaußen- und Sicherheitspolitik besteht nun darin, die zahlreichen EU und mitgliedstaatlichen Initiativen zu bündeln, also Synergien zwischen dem Strategic Compass and Digital Compass herzustellen.

Der Strategic Compass zur Sicherheit und Verteidigung umfasst zahlreiche defensive Maßnahmen, um hybride Bedrohungen, illegitime Einflussnahmen und Desinformationen künftig stärker abwehren zu können. Der Defence package sieht ferner die Entwicklung von critical technologies vor, die für die Sicherheit und Verteidigungsfähigkeit der EU zentral sind. Auch möchte die EU mit dem Space package eine eigene Satelliten gestützte Informations- und Kommunikationsfähigkeit ermöglichen. Zudem hat der EU-US Trade & Technology Council hierfür die transatlantische Kooperation hervorgehoben, insbesondere im Hinblick auf eine gemeinsame Chinapolitik. Gleichzeitig wurden weitere Digital Partnerships mit Singapore und Japan sowie ein „Trade & Technology Council“ mit Indien ins Leben gerufen. Nicht zuletzt konnte eine „Declaration for the future of the Internet“ von 60 Staaten unterstützt, um den Stellenwert von Meinungsfreiheit und Menschenrechten online zu unterstützen.

Seit 2013 hat die EU kontinuierlich an dem Aufbau einer Taxonomie zur Cybersicherheit gearbeitet, aber erst jüngst entwickelt sie eine Cyberabwehr. Die transnationale Energieinfrastruktur ist laut ENISA ein besonders attraktives Ziel für Cyberangriffe, da die Folgen für die EU weitreichend sein und als Hebel für Erpressungen oder als Ausgangspunkt für militärische Operationen genutzt werden können. Für die Unternehmen des Energiesektors, die schon unter die alte NIS-Richtlinie aus dem Jahr 2017 fielen, bedeuten die Neuauflagen der NIS2 strengere Berichtspflichten (Background berichtete).

Was weiterhin fehlt, ist eine militärische EU-Cyberdoktrin, bei der Cyberangriffe zusammen mit traditioneller militärischer Gewalt gegen einen gleichrangigen oder nahezu gleichrangigen Gegner im genau zu definierendem Notfall eingesetzt werden können. Ende Mai 2022 haben die Mitgliedstaaten eine Cyber Posture angemahnt und bis Ende 2022 soll eine Cyberverteidigungspolitik ausformuliert sein. Bisher stehen Fragen der Interoperabilität und des Informationsaustauschs zwischen den militärischen Computer-Notfallteams (milCERT) im Vordergrund.

Das Problem der strategischen Lücke bei der Reaktion auf Cyberangriffe unterhalb der Gewaltschwelle bleibt aber weiterhin bestehen. Im Kontinuum zwischen Frieden und Krieg werden Cyberangriffe erst in der EU dann als hybrid eingestuft, wenn Angriffe auf Infrastrukturen zielgerichtet kumulativ, mit der böswilligen Absicht zur Manipulation oder Störung ausgerichtet werden. Hybrid markiert im EU-Denken also die Grauzone zwischen Krieg und Frieden.

Wann aber wird die Schwelle überschritten, die die Beistandsklausel in der EU oder den Nato-Bündnisfall auslöst? Es ist politisch intendiert, sich absichtlich unklar darüber zu äußern, was eine Kriegshandlung im Cyberraum darstellt und was nicht. Der Gegner solle im Unklaren gelassen werden, damit er nicht ermutigt werde, eine definierte Schwelle, die eine Gegenreaktion auslösen könnte, zu testen. Doch das ist insofern problematisch, weil sie nicht zur Erwartungsverlässlichkeit von Akteurshandeln beiträgt, das prinzipiell konfliktentschärfend wirkt.

So gilt für die EU und Nato aktuell im Cyberraum das Konzept der strategischen Doppeldeutigkeit. Die Nato hat festgelegt, dass ein Hackerangriff den Artikel 5 des Nato-Vertrages, also den Bündnisfall, auslösen kann und – wie bei konventionellen Angriffen – bewusst offengelassen, wann genau dieser Fall eintritt. In der EU ließe sich der Artikel 222 oder die militärische Beistandsklausel 42.7 EUV aktivieren.

Die EU muss eine angemessene Reaktion auf Cyberangriffe finden

Diese Logik verkennt jedoch, dass es einen „großen Cyberangriff“ nicht braucht, da die vielen kleinen „Cyber-Nadelstiche“ kumulativ ausreichend Wirkung entfachen. Staaten wie Russland und China verharren nicht so stark auf der Trennung von Krieg und Frieden wie westliche Demokratien. Im russischen Denken ist hybrider Krieg ein totaler Krieg, der alle Ebenen staatlicher Macht umfasst. Das russische Militär definiert einen „hybriden Krieg“ als „einen Versuch auf strategischer Ebene, die Regierungsführung und die geostrategische Ausrichtung eines Zielstaates zu beeinflussen, bei dem alle Aktionen, bis hin zum Einsatz konventioneller Streitkräfte in regionalen Konflikten, einer Informationskampagne untergeordnet werden.“

Hybrider Krieg ist in dieser Denkart ein totaler Krieg: Er ist konventionellen Gewalteinsatz nicht vorgelagert, sondern der Einsatz militärischer Gewalt ist Teil hybrider Kriegsführung. Zudem werden alle Ebenen staatlicher Macht genutzt, um strategische Rivalen im Westen zu beeinflussen und zu schwächen. Dazu gehört die Instrumentalisierung von Waren wie Gas ebenso wie das Durchführen von niedrigschwelligen Cyberoperationen.

Die EU muss eine angemessene Reaktion auf Cyberangriffe unterhalb der Gewaltschwelle finden. Die nächst-schärfere Handlungsmöglichkeit wäre, die EU-Cybersicherheitsagentur ENISA zu supranationalisieren, in der die EU-Staaten aber ein Vetorecht haben und sie im Notfall mit einer aktiven operativen Abwehrfähigkeit zu befähigen. Dies würde härtere Strafmaßnahmen, oder etwa Cyberoperationen in fremden Netzwerken ermöglichen, indem man Art. 222 AEUV aber eben nicht die militärische Beistandsklausel aktivieren müsste.

Annegret Bendiek ist stellvertretende Leiterin der Forschungsgruppe EU/Europa, Matthias Schulze stellvertretender Forschungsgruppenleiter für Sicherheitspolitik bei der Stiftung Wissenschaft und Politik.

In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Bendiek und Schulze erschienen: Kann der Multilateralismus die Freiheit des Internets schützen?