Wie in zahlreichen Feldern der Gemeinsamen Außen- und Sicherheitspolitik fällt es den Mitgliedstaaten schwer, sich auf kohärente Reaktionen auf Cyberangriffe zu verständigen. Die Attribution, also das Erkennen und zuschreiben eines Vorfalls zu einem Angreifer, ist technisch und rechtlich voraussetzungsvoll. Nicht alle Mitgliedstaaten verfügen über entsprechende Kapazitäten.
Die Benennung von Verantwortlichen für Cyberangriffe muss zudem eine hohe Hürde nehmen: Die Mitgliedstaaten müssen für diplomatische Reaktionen auf Cyberangriffe einstimmig der gemeinsamen EU-Attribution und der Verurteilung einer im staatlichen Auftrag agierenden Person oder Gruppe im Rat zustimmen.
Die Schwäche der EU in der Cyberdiplomatie ist also wie vieles in der EU hausgemacht und Resultat von Einstimmigkeit im Rat. Das ist insofern schwerwiegend, als dass der Erfolg des EU-Binnenmarkts maßgeblich davon abhängig ist, dass Wertschöpfungs- und Lieferketten, aber auch demokratisch verfasste Strukturen und Prozesse einwandfrei funktionieren können.
Definition für Cyberangriff bislang nicht eindeutig
Jene Fälle, in denen die EU bisher Cybersanktionen verhängt hat, zeigen weitere Defizite. Nicht immer ist eindeutig, was Mitgliedstaaten unter einem Cyberangriff verstehen. Ob eine Organisation einem tatsächlichen Cyberangriff oder nur einem Angriffsversuch ausgesetzt ist, ist selbst vor Ort mitunter schwer zu beantworten.
Nur in seltenen Fällen wie der „close access operation“ des russischen Geheimdiensts gegen die Organisation für das Verbot chemischer Waffen (OVCW) in Den Haag 2018 gibt es kaum Zweifel. Aber von Millionen Cyberangriffen werden etliche bereits von IT-Sicherheitsmaßnahmen abgefangen und stellen somit unbedeutende Ereignisse im IT-Security-Alltag von Administratoren dar. A priori sind sie oft nicht als böswillige Angriffsversuche von Staaten zu erkennen, da sich die Wirkung eines Angriffs erst bei der Ausführung von Schadcode manifestiert.
Analyse bleibt oft aus
Erst wenn nach forensischer Analyse Verbindungen zu Angriffsinfrastrukturen oder Tools von bekannten APT-Gruppen sichtbar werden, wird dieser Vorfall von betroffenen Organisationen als bedrohlicher Akt von außen interpretiert. Dieses Muster zeigte sich auch beim Hack des Deutschen Bundestages. Bei einer Großzahl von Cybervorfällen aber wird aufgrund von Personalmangel gar nicht erst analysiert – ob ein Cyberangriff als „böswillig“ zu bewerten ist, ist so kaum zu bestimmen.
Zudem setzt die technische Attribution technisches Know-how und finanzielle Ressourcen voraus, um fehlende Informationen bei privaten IT-Sicherheitsunternehmen einkaufen zu können – oder nachrichtendienstliche Erkenntnisse, wie beim Hack des Bundestages oder beim Angriff auf die OVCW.
Die EU ist aber finanziell und personell in der Cybersicherheit auch durch die mitgliedstaatlichen Fähigkeiten gerade im Vergleich zu anderen Akteuren schlecht aufgestellt. Die Europäische Netzwerk- und Informationssicherheitsbehörde ENISA ist immer noch primär Beratungs- und Awareness-Agentur. Bislang kann sie faktisch in der konkreten Cyberabwehr vor Ort oder bei der technischen Attribution koordiniert durch den EAD und unter Hilfestellung der EU-Cybereinheit in der Kommission kaum tätig werden.
Nach wie vor vertrauen viele Mitgliedstaaten auf nationalstaatliche Strukturen, selbst wenn diese über keine adäquate Ausstattung verfügen. Das deutsche BSI ist sicherlich im EU-Vergleich leistungsstark, künftig sollen rund 2000 Mitarbeiter für das Cyberabwehrzentrum arbeiten. Nationale Behörden können aber nicht die kollektive Handlungsfähigkeit der EU schultern, bestenfalls ergänzen.
Erfreulich ist, dass die Bereitschaft der Mitgliedstaaten, Attributions-Informationen zu teilen, deutlich zugenommen hat. Eine Erklärung: Die Mehrzahl der forensischen Fakten wird durch privatwirtschaftliche IT-Sicherheitsfirmen erarbeitet, die Kompromittierungs-Indikatoren mit CERTs, dem CSIRT-Netzwerk auf EU-Ebene und gegebenenfalls mit Verbündeten teilen. Der diplomatische Prozess der europäischen Koordinierung vollzieht dann nur nach, was ohnehin schon ausgetauscht wurde.
Politik hinkt dem Recht hinterher
Neben der technischen Attribution fällt auch die rechtliche Bewertung von Cybervorfällen und damit die diplomatische Gegenreaktion sehr unterschiedlich aus. Sieht Land A kriminelle Motive wie die Erpressung von Lösegeld, Land B und C stufen den Vorfall aber als politische Zwangsmaßnahme eines marginalisierten Nordkoreas ein, wird eine einheitliche Gegenreaktion unwahrscheinlich.
Der EU-Instrumentenkasten zur Reaktion auf Cyberoperationen sieht proportionale Gegenreaktionen vor: Niedrigschwellige Angriffe sollen mit Soft-Power-Maßnahmen beantwortet werden, größere Angriffe mit Milliardenschäden auch mit schärferen Maßnahmen bis hin zur militärischen Reaktion bei extremen Katastrophenereignissen.
In der Theorie ist das plausibel, in der Praxis wird das aber bislang nicht kohärent angewendet: WannaCry und Not-Petya verursachten weltweit Milliardenschäden, führten zu Betriebsstörungen in kritischen Infrastrukturen und werden als extrem destruktive Angriffe bewertet. Der Bundestagshack und die chinesische Cyber-Spionagekampagne CloudHopper verursachten kaum materielle Schäden, da lediglich Daten gestohlen wurden. Cyberspionage gegen politische Institutionen ist zudem Normalität, da sie völkerrechtlich nicht verboten ist. Beim Angriffsversuch auf die OVCW konnten die Täter sogar gefasst werden, bevor ein Schaden entstanden ist.
Obwohl diese Fälle extrem unterschiedlich sind, folgten auf alle die gleichen Konsequenzen: Haftbefehle wurden erlassen, Konten wurden eingefroren und Reisebeschränkungen verhängt. Gleichzeitig führten extreme Fälle wie der konkrete Versuch der Beeinflussung der französischen Präsidentschaftswahl 2017 durch das „Leaken“ gestohlener E-Mails mit dem Zweck, den Kandidaten zu beschädigen, zu keiner Reaktion der EU. Und das, obwohl hier der Kern der Demokratie betroffen war. Die EU handelt hier also bisher nicht nach den Rechtsprinzipien, die sie zur Klassifizierung von Cyberangriffen zugrunde gelegt hat.