»Cyberangriffe können für die Stabilität der Demokratie und der Wirtschaft gefährlicher sein als Kanonen und Panzer«, so EU-Kommissionspräsident Jean-Claude Juncker in seiner Rede zur Lage der Europäischen Union Mitte September 2017. Nicht nur hinsichtlich der Quantität, sondern auch hinsichtlich der Qualität von Cyberangriffen hat sich ein Wandel vollzogen. Der Cyber- und Informationsraum kennt weder nationale Grenzen noch ein institutionelles Gefüge. Selbst die Grenze zwischen offensiver und defensiver Ausrichtung ist fließend. Hat ein Akteur die Fähigkeit zur Verteidigung, so kann er auch weltweit angreifen. Die Schwierigkeit der zweifelsfreien Rückführung von Angriffen auf Verursacher, verstärkt die faktische politische, technische und rechtliche Grenzenlosigkeit des Cyberraums.

Cybersicherheit ist in der EU ein geteilter Kompetenzbereich zwischen den Mitgliedstaaten und der EU-Ebene. Mit der EU-Richtlinie »über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union«, die im Juli 2016 in Kraft trat, sind ein einheitlicher europäischer Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten für die Cybersicherheit, eine stärkere Zusammenarbeit der EU-Staaten sowie Mindestsicherheitsanforderungen an und Meldepflichten für bestimmte Dienste des kritischen Infrastrukturschutzes geschaffen worden. Ziel ist es, einheitliche Maßnahmen festzulegen, mit denen ein hohes Sicherheitsniveau von Netz- und Informationssystemen in der EU erreicht werden soll. Hierzu wurden zwei Koordinierungsmechanismen aufgebaut: die Kooperationsgruppe, die die strategische Zusammenarbeit und den Informationsaustausch über Cybervorfälle zwischen den Mitgliedstaaten unterstützen soll, und das Netz der IT-Noteinsatzteams (Computer Security Incident Response Teams; CSIRT), die vor Ort Nothilfe leisten. Im Falle eines großen Cybervorfalls würden der Theorie nach EU-Einrichtungen wie die Agentur für Netz- und Informationssicherheit (ENISA), das IT-Notfallteam der EU (CERT-EU), das bei Europol angesiedelte Europäische Zentrum zur Bekämpfung der Cyberkriminalität (EC3), Eurojust sowie die EU Hybrid Fusion Cell und das Zentrum für Informationsgewinnung und -analyse (IntCen) des Europäischen Auswärtigen Dienstes (EAD) und die Europäische Verteidigungsagentur (EDA) kooperieren.

Der digitale Binnenmarkt hat zum Ziel, den regulatorischen Flickenteppich der (derzeit noch) 28 EU-Mitgliedstaaten durch eine einheitliche gesetzliche Regulierung auf EU-Ebene zu ersetzen. Insbesondere zeigten sich die vier großen Mitgliedstaaten Deutschland, Frankreich, Italien und Spanien im Vorfeld ambitioniert, indem sie u. a. eine gemeinsame Besteuerung der amerikanischen Internetkonzerne sowie die Schaffung eines sicheren Umfelds forderten, in dem Bürgerinnen und Bürger, Unternehmen und Regierungen ihre Rechte geschützt ausüben könnten. Der Erfolg dieses Großprojekts hängt maßgeblich davon ab, ob die Bevölkerung der Hard- und Software sowie den Onlinediensten im größten digitalen Binnenmarkt vertraut. »Digitalisierung« und »Cybersicherheit« verlangen also mehr denn je nach verbindlichem EU-Handeln.

Gemeinsames Handeln bei Cyberangriffen

Die Kommission und die Hohe Vertreterin für die Außen- und Sicherheitspolitik Federica Mogherini haben im September 2017 eine breite Palette von Maßnahmen mit dem Ziel vorgeschlagen, eine »solide Cybersicherheitsstruktur« aufzubauen. Die in der Öffentlichkeit meistdiskutierten Vorschläge sind die Schaffung einer EU-Agentur für Cybersicherheit, die eine personelle und finanzielle Verstetigung der Arbeit der EU-Agentur für Netz- und Informationssicherheit (ENISA) darstellt, sowie der Plan, ein europäisches System zur Zertifizierung der Cybersicherheit einzuführen, um digitale Produkte, vernetzte Geräte und Dienstleistungen sicherer zu machen. Darüber hinaus werden fünf Reformbereiche benannt: Erstens soll ein europäisches Forschungs- und Kompetenzzentrum für Cybersicherheit entstehen. Zweitens soll künftig ein europaweiter Krisenreaktionsmechanismus bei groß angelegten Cyberangriffen greifen. Drittens wird die Einrichtung eines Cybersicherheitsnotfallfonds für den Katastrophenfall in Betracht gezogen. Viertens sollen gemeinsame Projekte in der militärischen Cyberabwehr im Rahmen der Ständigen Strukturierten Zusammenarbeit (PESCO) und mithilfe des Europäischen Verteidigungsfonds entwickelt werden. Schließlich soll die EU auf globaler Ebene vertrauensbildende Maßnahmen und staatliche Verantwortlichkeit zur Eindämmung von Cybergefahren befördern.

Zur gezielten Bekämpfung von Desinformation im Internet wurde die EU-Digitalkommissarin Marija Gabriel im Mai 2017 von EU-Kommissionspräsident Juncker damit beauftragt, die mit der Verbreitung von Falschmeldungen über Onlineplattformen einhergehenden Herausforderungen für die Demokratie herauszuarbeiten und potenzielle Handlungsfelder für die EU aufzuzeigen. Kurz darauf hat das Europäische Parlament die Kommission in einer Entschließung dazu aufgefordert, das Potenzial von legislativen Maßnahmen im Kampf gegen die Verbreitung von Falschmeldungen zu analysieren. Insbesondere im Hinblick auf die Wahlen zum Europäischen Parlament in diesem Jahr werden die Mitgliedstaaten von der Kommission dazu aufgerufen, Maßnahmen gegen Cyberattacken und Desinformation im Rahmen des Wahlverfahrens zu identifizieren.

Nach Vorlage eines unabhängigen Berichts der hochrangigen Expertengruppe für Fake News und Desinformation sowie der Durchführung umfangreicher Konsultationen hat die Kommission im April 2018 Vorschläge für eine Reihe von Maßnahmen zur Bekämpfung von Desinformation im Internet präsentiert. Dazu zählt insbesondere die Ausarbeitung eines gemeinsamen Verhaltenskodex für Onlineplattformen, der, unter anderem, die verbesserte Transparenz von politischer Werbung, den leichteren Zugang zu Informationsquellen für Nutzerinnen und Nutzer, Maßnahmen zum Umgang mit Bots sowie eine bessere Zusammenarbeit mit Faktenprüfern zum Ziel haben soll. In diesem Zusammenhang haben die Onlineplattformen Facebook, Twitter, Google und Mozilla im Oktober 2018 ihre individuellen Fahrpläne für konkrete Maßnahmen dargelegt, die möglichst noch vor den Europawahlen umgesetzt werden sollen. Weitere von der Kommission vorgeschlagene Maßnahmen umfassen die Einrichtung eines unabhängigen europäischen Netzes von Faktenprüfern und einer sicheren europäischen Onlineplattform im Bereich der Desinformation. Darüber hinaus sollen die Medienkompetenz der europäischen Bürgerinnen und Bürgern im Hinblick auf das Erkennen und den Umgang mit Desinformation verbessert und Mitgliedstaaten bei der Absicherung von Wahlen gegen Cyberbedrohungen unterstützt werden. Der Qualitätsjournalismus in den Mitgliedstaaten sowie freiwillige Onlinesysteme zur Verbesserung der Zuschreibung von Informationen sollen besonders gefördert werden. Außerdem möchte die EU mit einer koordinierten Strategie für die Kommunikationspolitik Falschmeldungen über Europa entgegenwirken. Zu diesem Zweck haben die Kommission und der Europäische Auswärtige Dienst (EAD) Anfang Dezember 2018 einen Aktionsplan zur Bekämpfung von Desinformation beschlossen, der für die Bemühungen der EU um die Gewährleistung »freier und fairer Europa- und nationaler Wahlen« von Bedeutung sei. Hierfür wurden fünf Millionen Euro für 2019 bewilligt, im Vergleich zu den angeblichen Ausgaben der russischen Behörden zur Finanzierung von Desinformationskampagnen erscheint den Kommissaren der europäische Betrag zu gering.

All diese Reformvorschläge zur EU-Cybersicherheit sollen der übergeordneten Zielerreichung zur Stärkung der Widerstandskraft verpflichtet werden. Eine ambitionierte Rolle der EU in der Cybersicherheit Europas ist grundsätzlich zu begrüßen. Angesichts der transnationalen Verflechtung von technischen Infrastrukturen oder Hard- wie Softwareprodukten und den sich verändernden staatlichen Ambitionen im Cyberraum kann die EU zwar nicht das einzige Forum für Cybersicherheit darstellen. Sie ist aber aufgrund des weltgrößten Binnenmarktes der größtmögliche verbindliche Rechtsraum in Fragen der Marktregulierung. Gerade deshalb erscheinen die vielfältigen Vorschläge zur Strategieüberarbeitung der europäischen Cybersicherheit jedoch eher halbherzig und konfliktscheu. Es bleibt unklar, wie die Zielsetzung der defensiven Abschreckung in der Cyberverteidigungs- und -außenpolitik auf EU-Ebene glaubwürdig umgesetzt werden soll.

Die digitale Welt wird mit zunehmender Vernetzung durch das Internet der Dinge und von digitalen Plattformen dominiert. Angriffe auf kritische Infrastrukturen werden von Staaten und/oder von privaten Akteuren durchgeführt. Die europäische Politik steht hier vor der Frage, ob auch offensive Verteidigung zur Gegenwehr nicht nur auf einzelstaatlicher Ebene, sondern eben auch auf EU-Ebene bereitgestellt werden soll. Welche Rolle kommt hierbei der Diplomatie und dem Militär zu? Wie können die verschiedenen Sicherheitsbehörden zusammenarbeiten? Sicherheit setzt Vertrauen voraus, insbesondere in die Akteure, die Sicherheit bereitstellen sollen.

Primat der Politik und zivile Sicherheitsforschung

Bezüglich der Normensetzung auf globaler Ebene, welche staatliches Verhalten im Cyberraum regeln soll, schlägt die EU-Strategie trotz der global erstarkenden Diskurse über digitale Souveränität und Cyberabschreckung wenig Neues vor. Im Bereich der Cyberverteidigung steht die EU weiterhin für einen defensiven Ansatz. Dies steht im Einklang mit dem Leitbild der Resilienz, welches Störungen oder Risiken in Kauf nimmt und vielmehr deren Auswirkungen zu mindern sucht. Darauf aufbauend könnte allerdings präziser gefasst werden, wie die systemische Widerstandskraft mit der gewünschten gemeinsamen Abschreckung in Verbindung gebracht werden soll. Resilienz – sofern verstanden als die schnelle Wiederherstellung von Systemen – schreckt in erster Linie zerstörerische »denial of service« (Nichtverfügbarkeit eines Internetdienstes) oder destruktive, strategische Cyberoperationen ab, die auf den Ausfall kritischer Infrastrukturen setzen. Ausländische Desinformationskampagnen oder Cyberkriminelle werden eher durch eine effektive Strafverfolgung abgeschreckt und daher sind bilaterale Abkommen zur Cyberkriminalitätsbekämpfung ein erster Schritt. Der Ausbau der operativen Zusammenarbeit von Strafverfolgungsbehörden ist durchaus ein weiterer Ansatzpunkt, der aber in der aktualisierten Strategie nicht weitergehend ausgeführt ist.

Dahingegen verweist die EU für Zwecke der Cyberverteidigung vor allem auf die bestehende Zusammenarbeit mit der NATO, die mögliche Rolle der Ständigen Strukturierten Zusammenarbeit der Gemeinsamen Sicherheits- und Verteidigungspolitik (GSVP) und das finanzielle Potenzial des im Juni 2018 beschlossenen Verteidigungsfonds. Zwar ist die Flexibilisierung der Cyberkooperation in der GSVP aufgrund unterschiedlicher Fähigkeiten und digitaler Transformationsprozesse in den nationalen Streitkräften notwendig. Auch liegt richtigerweise der Akzent auf gemeinsamen Übungen und der Entwicklung von Strukturen und Kapazitäten in schwächeren Mitgliedstaaten. Gleichwohl wird damit aber nicht beantwortet, wie Länder Anschluss finden und den neuen Verteidigungsfonds für den Aufbau von Widerstandsfähigkeit nutzen können, wenn sie nicht an der permanenten strukturierten Kooperation beteiligt sind.

Die NATO – erster sicherheitspolitischer Bezugspunkt für Europa

So hatte der Europäische Rat bereits im Dezember 2013 beschlossen, die Zusammenarbeit zwischen EU und NATO zu intensivieren, und im November 2014 ein Rahmenkonzept zur Cyberverteidigung (Cyber Defence Policy Framework) verabschiedet. Damit sollen der Schutz von Missionen in der GSVP und die Kommunikationssicherheit des EAD erhöht werden. Die EU-NATO-Zusammenarbeit zur Abwehr von neuen Gefahren und damit auch von Cyberangriffen soll über das »Zentrum zur Abwehr hybrider Bedrohungen« in Helsinki erfolgen. Hier sind NATO- und EU-Staaten im Aufsichtsrat vertreten. Trotz gemeinsamer Übungen zwischen EU und NATO fehlt weiterhin ein strategischer Rahmen. Mit dem Tallinn Manual 2013 und 2016 hat das NATO-Zentrum für die Abwehr von Cyberangriffen Vorschläge unterbreitet, das Recht zum Krieg (ius ad bellum) und das Recht im Krieg (ius in bello) für den Cyberraum zu kodifizieren.

Die überwiegende Forschung betrachtet die strategische Nutzung von digitalen Gegenschlägen kritisch. Aufgrund des Zuschreibungsproblems kann häufig weder Urheber noch zeitgleich ein adäquates Ziel bestimmt werden. Die Gefahr ist groß, unbeteiligte oder gekaperte Systeme zu attackieren, die eventuell kritische Versorgungsaufgaben in anderen Ländern übernehmen. Daneben besteht die Gefahr einer Eskalationsspirale von wechselseitigen Cyberangriffen mit steigender Intensität. Dies ist besonders dringlich, da einige Firmen bereits »Hack Backs« einsetzen. Unter dem Leitbild der Resilienz müssten somit von staatlicher Seite sowohl rote Linien, als auch die Grenzen der Eskalationsdominanz definiert werden. Die Entwicklung einheitlicher Zuschreibungsstandards sowie einer gemeinsamen »situational awareness« gegenüber Cyberbedrohungen, etwa durch ENISA und das Zentrum zur Abwehr von hybriden Bedrohungen in Helsinki sowie mit dem NATO-Cooperative Cyber Defence Centre of Excellence in Tallin wären deshalb sinnvoll. Unstrittig ist, dass zur Vermeidung von Konfliktspiralen im Cyberraum weitere politische Mittel vonnöten sind. Die EU hat im Oktober 2017 einen diplomatischen Reaktionsrahmen ausgearbeitet, um mögliche Gegenmaßnahmen im Falle eines Cyberangriffs von außen festzulegen. Dieser umfasst die Bandbreite von politischen, wirtschaftlichen und strafrechtlichen Sanktionen, Diplomateneinbestellung und auch digitale Gegenmaßnahmen. Sie hat zum Ziel, Kosten für Cyberangriffe zu erhöhen. Allerdings stehen auch diplomatische Reaktionen vor dem grundsätzlichen Problem der Zuschreibung. Und da der Einsatz dieser Toolbox freiwillig ist und zudem noch eine einstimmige Unterstützung der EU-Mitgliedstaaten erfordert, bleibt eine kohärente und effiziente defensive Abschreckung voraussetzungsvoll. Schließlich bleibt es bei der Absichtserklärung in relevanten EU-Außenbeziehungen Fragen der Cybersicherheit eine Priorität einräumen zu wollen. Als konkreter Ansatzpunkt wird eine weitere »Plattform« zur Unterstützung der Cybersicherheitskapazitäten von Drittstaaten vorgeschlagen. Dies ist vor allem als ein Zugeständnis an osteuropäische Staaten zu werten, um ihre Nachbarschaft vor Einflussnahmen aus Russland besser zu schützen. Weitere globale Verhandlungsprozesse und Normensetzungen für Cybersicherheit werden hingegen nur noch am Rande erwähnt.

Horizont 2020

Die EU hat im August 2016 450 Millionen Euro durch das Forschungs- und Innovationsprogramm Horizont 2020 bereitgestellt. Die Akteure des Cybersicherheitsmarktes, die von der Europäischen Cybersicherheitsorganisation (ECSO) vertreten werden, sollen ihrerseits die dreifache Summe investieren. Als Antwort auf die berechtigte Annahme, »dass die Digitalisierung die Kommerzialisierung von Forschungsergebnissen durch Wirtschaftsunternehmen ist« (so Markus Runde in der FAZ vom 17.8.2017) wäre die notwendige Konsequenz nicht nur, den »europäischen Digitalpakt« konsequent umzusetzen (so Jan-Philipp Albrecht in der FAZ vom 6.9.2016), sondern eben auch eine unabhängige sozialwissenschaftliche zivile Sicherheitsforschung in gleichem Maße zu stärken. Nur so wird es möglich sein, die gesellschaftliche und demokratische Akzeptanz dieser Sicherheitsforschung aufzubauen. Hiermit würde durchaus auch eine stärkere parlamentarische Begleitung auf nationaler, EU- und internationaler Ebene einhergehen. Während die Sicherheitsbehörden ausgebaut werden, mangelt es noch an einer adäquaten personellen und finanziellen Aufstellung der zivilen Agenturen wie Eurojust und ENISA. Beide Agenturen sollen die Mitgliedstaaten unterstützen, um deren Abwehrfähigkeit und justizielle Zusammenarbeit zu verbessern. In Notfällen sollen die Agenturen für schnelle Reaktionsfähigkeiten seitens der Mitgliedstaaten und deren reibungslose EU-weite Zusammenarbeit Vorsorge leisten. Vieles geschieht derzeit noch auf bilateraler Basis in der EU. Relevant sind diese Agenturen besonders für die weniger digital ausgerichteten EU-Staaten und für die EU-Drittstaatsbeziehungen. Das Know-how der europäischen Agenturen könnte auch zu einem Fundus und Instrument von Cyberaußenpolitik der EU weiterentwickelt werden.

Rechtliche Klärung von Landesverteidigung in der EU

Der sogenannte digitale Verteidigungsfall erfordert weiterführende Diskussionen insbesondere der Parlamente darüber, ob ein Angriff auf kritische Infrastrukturen auch ein »offensives Verteidigen« miteinschließe, d. h. eine sofortige militärische Gegenreaktion beinhalten soll. Sowohl die Sicherheitsbehörden selbst als auch die für ihre Arbeit grundlegenden Gesetze wie das Trennungsgebot oder das Prinzip des Einsatzes des Militärs im Innern müssen hierbei zumindest einer kritischen Überprüfung unterzogen werden. Mitte Juli 2016 hat das Verteidigungsministerium im Namen der Bundesregierung das »Weißbuch 2016 zur Sicherheitspolitik und zur Zukunft der Bundeswehr« herausgegeben. Die Verfasser weisen darauf hin, dass Terrorgruppen soziale Medien und digitale Kommunikationswege nutzten, »um Ressourcen zu generieren, Anhänger zu gewinnen, ihre Propaganda zu verbreiten und Anschläge zu planen«. Sie verfügten zunehmend über die Fähigkeit, Ziele – dabei handelt es sich in der Regel um sogenannte weiche Ziele – mit Cyberfähigkeiten anzugreifen oder chemische, möglicherweise künftig sogar auch biologische und radioaktive Substanzen bei einem Anschlag einzusetzen. Wie würde dann ein betroffener Staat in der EU reagieren? Cyberangriffe sind kaum zuschreibbar. Weder ist es kurzfristig möglich, festzustellen, ob es sich um einen staatlichen oder nichtstaatlichen oder stellvertretenden Proxy handelt, noch ob der Angriff aus dem Aus- oder Inland erfolgt ist. Dies macht eine rechtliche Einordnung problematisch, inwiefern es des Einsatzes politischer, rechtlicher, nachrichtendienstlicher, polizeilicher und/oder militärischer Mittel bedarf. Die Solidaritätsklausel (Art. 222 des Vertrags über die Arbeitsweise der Europäischen Union, AEUV) sowie die Beistandsklausel (Art. 42 Abs. 7 des EU-Vertrags) eröffnen im Falle einer Katastrophe oder Anschlags die unmittelbare Hilfe der EU-Mitgliedstaaten. Erstere gewährleistet, dass alle Beteiligten auf nationaler und EU-Ebene zusammenarbeiten, um im Falle eines Terroranschlags, einer Naturkatastrophe oder einer von Menschen verursachten Katastrophe schnell, effektiv und einheitlich zu reagieren. Letztere beinhaltet eine Beistandspflicht der anderen EU-Mitgliedstaaten im Falle »eines bewaffneten Angriffs« auf das Hoheitsgebiet eines EU-Staates. Frankreich hat am 16. November 2015 infolge der Terroranschläge von Paris im EU-Rat zum ersten Mal von der Beistandsklausel Gebrauch gemacht. Im Unterschied zum NATO-Vertrag, wo die Bündnispartner ein erhebliches Ermessen im Hinblick auf den von ihnen zu gewährenden Beistand haben, ist die Beistandspflicht in der EU unbedingt. Für Deutschland sind diese EU-Vorgaben aber rechtlich problematisch. Alle Einsätze deutscher Soldaten außer zur Landesverteidigung sind verboten, wenn sie nicht ausdrücklich im Grundgesetz (GG) erlaubt sind. Das Weißbuch greift hier die Rechtsprechungen des Bundesverfassungsgerichts vom Juli 2012 auf, um den Bundeswehreinsatz im Inneren auf Artikel 35 Abs. 2 und 3 des GG darauf zu stützen, wonach Streitkräfte Hilfe »bei einem besonders schweren Unglücksfall leisten können«. Eine Erlaubnis zur Polizeiarbeit durch Soldaten findet sich in den Artikeln 87a und 91 des GG »zur Abwehr einer drohenden Gefahr für den Bestand oder die freiheitliche demokratische Grundordnung«. Diese im Weißbuch von 2016 genannte Rechtsgrundlage wird für Cyberabwehrübungen herangezogen. Und dennoch bleiben derartige Übungen verfassungsrechtlich bedenklich, da das Grundgesetz Vorbehalte gegen den Einsatz von Soldaten als Polizisten hat.

(Ich danke Elisabeth Faria Lopes, Praktikantin der Forschungsgruppe »EU/Europa« der SWP, für ihre Unterstützung und Mitarbeit.)