Es cybert in Europa. Das EU-Parlament hat am 16.5. mit 45 Stimmen der Christdemokraten, Sozialdemokraten und Liberalen den "Entwurf einer Entschliessung des Europäischen Parlaments zur Cyberabwehr" bei 8 Gegenstimmen und 8 Enthaltungen verabschiedet. Der Beschluss machte Schlagzeilen, weil im vorletzten Absatz die EU aufgefordert wird, "die Verwendung als böswillig eingestufter Programme und Geräte wie Kaspersky Lab zu verbieten". Die Einstufung der Anti-Viren-Software des russischen Herstellers als schädliche Software wird in Nordamerika schon länger diskutiert. In den USA, UK und den Niederlanden wurden Verbindungen von Kaspersky zu den russischen Geheimdiensten zum Anlass genommen, um den Einsatz in Behörden zu verbieten. Öffentlich nachvollziehbare Nachweise der Schadfunktionen sind aber bislang nicht vorgelegt worden und fehlen auch in dem Papier des EU-Parlaments. Aber eigentlich geht es in dem Dokument um etwas ganz Anderes.
Es cybert auch in dem Entwurf des EU-Parlaments. Jedes 32. Wort beginnt mit "Cyber". Und wenn man die darauf folgenden Begriffe zählt (vgl. Tabelle rechts), bekommt man einen Eindruck, worum es in dem Dokument geht. Am häufigsten wird der Begriff Cyberabwehr genannt (Anteil ca. ein Drittel). Und es geht um Sicherheit, Vorfälle, Angriffe und Bedrohungen im Cyberraum. Und von Cyberabschreckung ist die Rede. Der martialische Duktus kommt nicht von ungefähr. Eigentlich geht es in dem Entwurf darum, das Thema Cyberabwehr (was auch immer das sein mag) im Kontext der Bildung einer Europäischen Verteidigungs-Union fest zu etablieren und dabei den Schulterschluss zwischen EU und NATO festzuschreiben. Die Gegner sollen mit koordinierten Maßnahmen geschwächt und abgeschreckt werden. Das soll einerseits die strategische Autonomie der EU fördern und der Aufbau von Widerstandsfähigkeit gegen Cyberangriffe wird als Beitrag zum Weltfrieden und zur internationalen Sicherheit verstanden. Die regelmäßigen Verweise auf die NATO und dass der Entwurf vom estnischen Politiker Urmas Paet initiiert wurde, erklären dann auch warum der Blick nach Gegnern streng nach Osten gen Russland, China und Nordkorea gerichtet ist.
Gut gemeint
Dabei gibt es in dem Dokument viele sinnvolle Ansätze. Systematische und koordinierte Angriffe auf Unternehmen und Behörden sind nicht neu. Seit über 10 Jahren wird darüber berichtet. Die erste gute Nachricht ist also, dass das Thema Sicherheit und Abwehr von Bedrohungen auf Rechner und Netzwerke endlich im EU-Parlament angekommen ist (wenn auch die Beteiligung an der Abstimmung zu wünschen übrig lässt). Angesichts der wachsenden Bedrohungen und dem Mangel an geschulten Sicherheitsexperten ist es keine schlechte Idee, die Kräfte international weiter zu bündeln und mit Experten aus der Industrie und CyberCrime-Strafverfolgung zu kooperieren. Es wird auch anerkannt, dass die Technologien, die unsere vernetzte Welt ausmachen Privatunternehmen gehören. Einerseits führt dies zu Mängeln in der Absicherung, andererseits ist eine Zusammenarbeit mit den Spezialisten der Privatunternehmen notwendig. Die Schlussfolgerung: Cyberabwehr ist sowohl militärischer als auch ziviler Natur und beide Gruppen müssen zusammenarbeiten. Da sind Konflikte absehbar.
Erstes Beispiel: die Sanktionen, die im Umfeld der Cyber Diplomacy Toolbox diskutiert werden. Ähnlich wie die USA, wo Obama 2015 aufgrund des Datendiebstahls bei Sony Pictures Sanktionen gegen Nordkorea verhängt hat, möchte auch die EU einen Maßnahmenkatalog verabschieden, der im Falle von Cyberattacken greift. Das umfasst auch die Möglichkeit des sog. "Hacking Back". Diese Maßnahme soll der Cyberabschreckung dienen und dem Gegner die Möglichkeit nehmen, weitere Angriffe auszuführen. Bevor man allerdings zum Gegenangriff übergeht (der als solcher wieder als kriegerischer Akt interpretiert werden kann), muss man zweifelsfrei feststellen, wer hinter den Attacken steckt. Dieses Problem wird auch in dem Papier des EU-Parlaments angesprochen. Es wird gefordert, dass mehr Forensiker ausgebildet und eingestellt werden. Wie wirkungsvoll solche Abschreckungsmaßnahmen sein werden, ist fraglich. Sie mögen im Einzelfall dazu führen, dass Angriffe unterbunden werden. So kann man einzelne Schlachten gewinnen. Aber den Krieg gewinnt man nur, wenn man die gesamte technologische Infrastruktur absichert. Nur wenn Rechner, Betriebssysteme und Netzwerke von Grund auf sicher konzipiert und implementiert sind, und wenn die Systeme schnell auf den aktuellen Stand gebracht werden können, ist man auch gegen gut ausgerüstete Gegner gewappnet. Ein Interessenkonflikt ist aber schon absehbar. Angesichts der zunehmenden Überwachung durch Polizei und andere staatliche Stellen und dem Aufbau einer Organisation wie ZITIS, kommen Zweifel auf, ob dieses Ideal erreicht werden soll und kann. Die Innenminister und die Protagonisten einer Europäischen Verteidigungs-Union (EU-VU) müssen sich da auf eine gemeinsame Linie einigen.
Zweites Beispiel: Bislang wird die technische Infrastruktur von Rechnern, Netzwerken und Internet von privaten Unternehmen getragen. Sie sind auch für deren Sicherheit verantwortlich und haben sich im Laufe der Jahre auch mit anderen Gruppen aus dem Bereich der IT-Security und der Strafverfolgung vernetzt. Die militärisch relevante Cyberabwehr ist ein neuer Player in diesem Umfeld. Da ist es naheliegend, dass die Vernetzung mit anderen Playern aus Strafverfolgung, Incident Handling und der Forschung angegangen wird. Allerdings ist hier Vorsicht geboten. Wie bei allen anderen Kooperationen vorher muss zunächst einmal Vertrauen aufgebaut werden. Da passen Forderungen nach Cyberabschreckung oder auch die pauschale Verurteilung von IT-Security-Firmen aus Russland nicht so ganz ins Bild.
Europas Cybersicherheit
Im Mittelpunkt der vorgeschlagenen Entschließung zur Cyberabwehr steht Europa. Europa muss auch im Bereich der Cybersicherheit auf eigenen Beinen stehen. Das gilt aber nicht nur für Angriffe aus dem Osten. Vor gut 5 Jahren hat Edward Snowden die Vorgehensweisen der NSA enthüllt und es wurden mehrere Überwachungsmaßnahmen auf Bundesbehörden und die Kanzlerin bekannt. Auch in den USA gibt es Security-Firmen, die Kontakte zu Geheimdiensten haben. Ein Beispiel ist FireEye, die mit Geldern aus NSA-nahen Kreisen gefördert wurden und u.a. die Firma Mandiant gekauft haben, der ebenfalls enge Kontakte zu Geheimdiensten nachgesagt wird. Produkte und IT-Dienstleistungen aus anderen Nicht-EU-Ländern sollten ebenso kritisch geprüft werden wie das für Produkte aus Russland, China und Nordkorea gefordert wird. Und mit Donald Trump als POTUS ist die Lage auch nicht einfacher geworden. Mit dem CLOUD-Act wurden am 23. März die Regelungen des Patriot-Act von 2001 nicht nur bestätigt, sondern verschärft. Die US-Geheimdienste können damit von US-Firmen auch die Herausgabe von Daten verlangen, selbst wenn sie auf internationalen Servern gespeichert sind. Die lokalen Datenschutzbestimmungen spielen dabei keine Rolle.
Die Konsequenz aus dieser Konstellation ähnelt dem Fazit von Angela Merkel nach ihrem ersten Besuch bei Trump. Auch für den Bereich Cybersicherheit muss Europa selbständiger werden. Die Abwehrkräfte in Europa zu aktivieren und zu bündeln ist eine notwendige Voraussetzung. Da das EU-Parlament kein Initiativrecht hat, ist das verabschiedete Papier nur ein erster Schritt in einem langen Diskussionsprozess. Der Ball liegt jetzt im Feld der EU-Kommission, sinnvolle Maßnahmen zur Verbesserung der IT-Sicherheit in Europa vorzuschlagen. Wenn man eine europäische Cyberabwehr konsequent umsetzen möchte, muss man aber grundlegender an die Sache herangehen. Europa sollte eigene und sichere Hardware entwickeln und produzieren. Und auch die von Grund auf sicher konzipierte Entwicklung von eigenen Betriebssystemen, Internetdiensten und Software fördern. Die Verankerung des Themas Cyberabwehr in der neuen Europäischen Verteidigungs-Union ist da ein kleiner Schritt auf dem langen Weg der EU, sich in Sachen Cybersicherheit unabhängig zu machen.