Mit einer neuen Strategie zur Cyberverteidigung will die EU-Kommission sicherstellen, dass die Mitgliedsstaaten auch mit einem digitalen Gegenschlag auf massive IT-Angriffe reagieren können. Die Gemeinschaft müsse sich "mit allen verfügbaren Mitteln" gegen Cyberattacken zur Wehr setzen, ist dem 21-seitigen, am Donnerstag vorgestellten Papier zu entnehmen.

Die Mitgliedsstaaten sollen sich daher dringlich und vorrangig verpflichten, "Investitionen in das volle Spektrum von Fähigkeiten zur Cyberverteidigung zu leisten". Dies müsse Fertigkeiten für eine "aktive" Antwort einschließen.

Das Vorhaben steht unter dem Aufhänger, "Cyberangriffe zu verhindern, aufzudecken, zu unterbinden und sich dagegen zu verteidigen". Binnenmarktkommissar Thierry Breton betonte: "Wir brauchen Abschreckungsfähigkeit im Cyberspace." Parallel gehe es darum, digitale Abhängigkeiten von Drittstaaten generell abzubauen, um die eigene Resilienz zu stärken.

Die Kommission begründet ihren Ansatz unter anderem mit dem massiven Cyberangriff auf den US-Anbieter Viasat und sein KA-Sat-Netz für Satelliteninternet, der zu Beginn des Angriffskriegs Russlands auf die Ukraine mit einer Wiper-Malware stattfand. Dadurch wurden zehntausende Breitbandmodems außer Gefecht gesetzt. Der Vorfall, der offenbar vor allem Kunden in der Ukraine vom Netz abschneiden sollte, verursachte auch "Kollateralschäden" in Deutschland, wo rund 5800 Enercon-Windkraftanlagen kaum mehr funktionierten.

Cybersicherheitsstrategie mit oder ohne Hackbacks

Der Begriff der "aktiven Cyberabwehr" gilt im Kern als Synonym für Hackbacks, also ein Zurückschlagen im Cyberspace. Dieses Instrument ist heftig umstritten. Hierzulande lehnt das Ampel-Regierungsbündnis dieses Mittel im Koalitionsvertrag ab. Die aktuelle, von Ex-Innenminister Horst Seehofer (CSU) vorangetriebene Cybersicherheitsstrategie der Bundesregierung sieht aber noch Hackbacks vor.

Bundesinnenministerin Nancy Faeser versuchte sich im Juli mit einem Mittelweg. "Wir müssen auf IT-Infrastrukturen einwirken können, die für einen Angriff genutzt werden", erklärte die SPD-Politikerin bei der Präsentation der Cybersicherheitsagenda des Innenressorts. "So können die Sicherheitsbehörden schwerwiegende Cyberangriffe verhindern, stoppen oder zumindest abschwächen."

Es gehe etwa um die Fähigkeit, eine Attacke "umzuleiten", erläuterte die Ministerin. Der Bund werde vor allem dem Bundeskriminalamt (BKA) – gegebenenfalls auch mehreren Behörden – einschlägige Zuständigkeiten geben müssen. Nicht geplant sei, mit staatlichen Mitteln ausländische Server mit aggressiven Gegenschlägen zu bekämpfen. Ein Angriff könne aber so schwer sein, dass der Staat sich gezwungen sehe, ihn abzustellen. Die Kommission geht auf diese Debatte nur kurz ein: Sie betont, dass sich die EU vollständig zu "internationalem Recht und Normen im Cyberraum" bekennt.

Besserer Schutz durch koordiniertes Handeln

Die Streitkräfte hängen laut der gemeinsamen Mitteilung der Brüsseler Regierungsinstitution an das EU-Parlament und den Ministerrat in großem Ausmaß "von kritischer ziviler Infrastruktur ab, sei es für ihre Mobilität, Kommunikation oder Energieversorgung". Es gehe daher darum, auch Einrichtungen wie privatwirtschaftlich betriebene Kommunikationsnetze besser zu schützen.

Die Kommission will so das gesamte Spektrum zur Forschung und Entwicklung von Cyberabwehr-Fähigkeiten unterstützen und mitfinanzieren. Selbst unkritische Softwarekomponenten könnten für Cyberangriffe auf Unternehmen oder Regierungen verwendet werden, weiß sie. Dies betreffe auch den Verteidigungssektor. Daher sei es nötig, weiter an der Normung und Zertifizierung im Bereich der Cybersicherheit zu arbeiten, um sowohl den militärischen als auch den zivilen Bereich zu sichern.

Bei der Abwehr von Angriffen hat die Brüsseler Exekutive prinzipiell nur beschränkte Kompetenzen: Sie kann hier primär nur auf ihre eigenen IT-Systeme abstellen. An sich sind die EU-Länder selbst für Verteidigungsfragen zuständig. Die Kommission schlägt nun aber ein neues Zentrum zur Koordinierung der Cyberabwehr vor. Dieses EU Cyber Defence Coordination Centre (EUCDCC) soll rund um die Uhr über alle laufenden und bevorstehenden Cyberoperationen gegnerischer und befreundeter Kräfte im Bilde sein.

Die Regierungseinrichtung bringt hier auch "geeignete Verbindungen" zwischen der EUCDCC und zwei Institutionen mit geheimdienstlichen Funktionen ins Spiel: dem EU Intelligence Analysis Centre (EU INTCEN) sowie dem militärischen Aufklärungszentrum, dem EU Military Staff Intelligence. Diese sollen in diesem Rahmen auch die vor allem seit dem NSA-Skandal umstrittenen Mittel zur Fernmeldeaufklärung verwenden dürfen.

Zusätzlich zu den externen Informationsquellen soll das EUCDCC zudem ein "unabhängiges aktives informationstechnisches Sensorsystem" einrichten und integrieren. Dabei geht es dem Plan nach darum, die Überwachung der EU-eigenen Knotenpunkte zu verstärken, die militärische Missionen der Gemeinsamen Sicherheits- und Verteidigungspolitik (GSVP) unterstützen.

"Keine Verteidigung ohne Cyberverteidigung"

Mithilfe der Europäische Verteidigungsagentur will die Kommission zudem dafür sorgen, dass ein operationelles Netz für militärische Computer Emergency Response Teams (milCERTs) eingerichtet wird. An alle Mitgliedstaaten richtet sie den Appell, sich an diesem "MICNET" zu beteiligen und es – möglichst schon bis Januar 2023 – einsatzbereit zu machen. Durch den erleichterten Informationsaustausch zwischen milCERTs soll das MICNET eine "robustere und besser abgestimmte Reaktion auf Cyber-Bedrohungen fördern", die Verteidigungssysteme in der EU betreffen.

"Die Grenzen zwischen der zivilen und der militärischen Dimension des Cyberspace sind fließend, wie die jüngsten Angriffe auf Energienetze, Verkehrsinfrastruktur und Weltraumressourcen zeigen", lautet die Ansage. Diese verdeutlichten auch "die Interdependenz zwischen physischer und digitaler Infrastruktur und das Potenzial für erhebliche Cybersicherheitsvorfälle, die kritische Infrastrukturen stören oder beschädigen können". Die EU brauche daher eine enge militärische und zivile Zusammenarbeit im Cyberspace.

"Keine Verteidigung ohne Cyberverteidigung", gab die für Digitales zuständige Kommissionsvizepräsidentin Margrethe Vestager als Parole aus. Sie erinnerte daran, dass dafür auch der Schutz von 5G entscheidend sei und ermahnte Mitgliedsstaaten wie Deutschland, die einschlägige Toolbox endlich konsequent anzuwenden. Einige Länder hätten dazu zwar Gesetze erlassen, aber die Vorgaben würden nicht effektiv umgesetzt. Das hiesige Bundesamt für Sicherheit in der Informationstechnik (BSI) legte im Juli aber zumindest ein Zertifizierungsprogramm für Bestandteile von 5G-Telekommunikationsnetzen auf, nachdem der Bundestag "Huawei-Klauseln" ins Telekommunikationsgesetz (TKG) sowie ins IT-Sicherheitsgesetz 2.0 eingefügt hatte.

(olb)