Im Frühjahr 2015 wurde das interne Netzwerk des Bundestags Ziel eines Cyberangriffs. Die Attacke galt Mitgliedern des Vertrauensgremiums, das die Budgets der Nachrichtendienste bewilligt. An 16 Gigabyte sensible Daten gelangten die Hacker. Staatliche russische Akteure wurden später als Urheber der großangelegten Attacke identifiziert.
Nach dem Vorfall nahmen die Attacken rasant zu. Im September 2020 legte Schadsoftware das Universitätsklinikum Düsseldorf lahm. Im Dezember 2020 wurde die Cyberattacke auf Solarwinds bekannt. Im Frühjahr 2021 folgte ein Angriff auf die Microsoft Exchange Server. Seit dem Angriffskrieg Russlands auf die Ukraine beobachten wir Cyberattacken auf dem Schlachtfeld, die sich im Jahr 2022, mit dem Versuch Kiew einzunehmen, verstärkt und verstetigt haben. Das Netz ist endgültig zum Austragungsort staatlicher Auseinandersetzungen mutiert. Es bietet Raum für Spionage, Angriffe und Desinformationskampagnen.
In der Praxis zeigt sich, dass die klassische Trennung von äußerer und innerer Sicherheit im Cyberraum aufgrund der Grenzenlosigkeit der Angriffe nicht praktikabel ist – und damit die altbewährten Zuständigkeiten verwischen. So verfügen in Deutschland neben den Länderpolizeien, der Bundespolizei und dem Bundeskriminalamt (BKA) auch die Nachrichtendienste, das Bundesinnenministerium sowie die Bundeswehr über Fähigkeiten und Zuständigkeiten im Cyberraum.
Auch die rechtlichen Rahmenbedingungen der Strafverfolgung sind nicht auf das neue Zeitalter ausgerichtet. Verdeutlicht an einem Beispiel: Aufgrund fehlender Befugnisse zur präventiven Gefahrenabwehr verwies das BKA bei der Zerschlagung der Infrastruktur der Schadsoftware „Emotet“ Anfang 2021 auf die Beweissicherung als Rechtsgrundlage. Ein fragwürdiger Vorgang.
Zentrale Stelle ist nötig
Europa und seine Mitgliedstaaten müssen angemessene Antworten auf die Bedrohungen aus dem Cyberraum finden. Auf nationalstaatlicher Ebene sollte die Aufgabenverteilung in der Cybersicherheitsarchitektur klarer und effizienter ausgestaltet werden. Das betrifft die Bereiche Fähigkeitsvorbehalte, Lagebilderstellung, Gefahrenabwehr und Strafverfolgung. In Deutschland soll daher, wie im Koalitionsvertrag vereinbart, das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentrale Cybersicherheitsinstanz zusätzliche Kompetenzen erhalten und zu einer selbstständigen Bundesoberbehörde heraufgestuft werden.
Es zeigt sich am russischen Angriffskrieg zudem, dass Cyberwarfare in seiner Wirkung auf die Verfügbarkeit von Energie und Netzen angewiesen ist. Eine Erkenntnis ist daher die Wichtigkeit der eignen Resilienz in der Wirkung und in der Abwehr. Oder konkret: Wer genügend Energie und alternative Netze hat, ist schneller wieder online. Es braucht daher dringend resilientere Strukturen.
Aufgrund der Grenzenlosigkeit des Cyberraums ist er für die europäische Kooperation prädestiniert. Daher sollte in einem ersten Schritt die europäische Zusammenarbeit der zuständigen Akteure im zivilen und militärischen Bereich gestärkt werden. Ein schnell umzusetzendes Projekt wäre ein gemeinsames europäisches Cyberlagebild. Für das Fernziel einer europäischen Armee bietet sich zudem eine verstärkte Zusammenarbeit der militärischen Cyberkräfte an. Tatsächlich ist keine Truppengattung geeigneter, um die Vision einer gemeinsamen europäischen Armee voranzutreiben als unsere Cyberkräfte.
Desinformationskampagnen gezielt entlarven
Die Europäische Union lebt von den gemeinsamen Werten und Zielen ihrer Mitglieder. Sie ist daher für Desinformationskampagnen besonders anfällig. Das hat der Brexit gezeigt. Daher sollte die Union verstärkt die oft grenzübergreifenden Desinformationskampagnen entlarven. Das gemeinsame Lagezentrum kann als Ausgangspunkt zur Aufdeckung der Kampagnen dienen und Mitgliedstaaten frühzeitig warnen.
Die EU muss darüber hinaus eine effektivere Cyberaußenpolitik entwickeln. Es braucht nicht weniger als eine digitale Genfer Konvention. Cyberangriffe auf Infrastruktur, wie sie Russland in der Ukraine massiv einsetzt, sollten international geächtet werden. Sie treffen vor allem die Zivilbevölkerung und sind keineswegs mit militärischen Zwecken zu rechtfertigen. Auch in dem aktuell deprimierenden Zustand der Rüstungskontrolle sind Normen, Prinzipien und Regeln verantwortungsvoller Nutzung des Cyberraums unbedingt anzustreben.
Die Gefahren aus dem Cyberraum konkretisieren sich meist erst sehr spät. Häufig zu spät. Daher müssen wir Reformen schnell anzustreben, bevor wir wirklich großen Schaden nehmen. Die Europawahlen sind genau der richtige Zeitpunkt, um über Europas Aufgabe im Cyberraum zu diskutieren.
Marie-Agnes Strack-Zimmermann (FDP) ist Vorsitzende des Verteidigungsausschusses im Deutschen Bundestag und Spitzenkandidatin für die Europawahl. Alexander Müller (FDP) ist Verteidigungspolitischer Sprecher der FDP-Fraktion und Obmann im Verteidigungsausschuss.