EU beschließt System für Cyber-Sanktionen

Wer aus einem Drittstaat "böswillig" in europäische Informationssysteme eindringt, muss mit einem Einreiseverbot und der Beschlagnahme von Vermögen rechnen. Allerdings ist unklar, wie ein solcher Angriff zugeordnet werden soll

Die Europäische Union hat neue Möglichkeiten für die Reaktion auf Cyberangriffe beschlossen. Mutmaßliche Angreifer aus Drittstaaten müssen dabei mit Sanktionen rechnen. Eine entsprechende Verordnung wurde am Freitag im Rat für Wirtschaft und Finanzen gebilligt und anschließend im EU-Amtsblatt veröffentlicht. Sie ist damit sofort gültig.

In der "Verordnung über restriktive Maßnahmen gegen Cyberangriffe, die die Union oder ihre Mitgliedstaaten bedrohen" folgen die EU-Staaten einem abgestuften Verfahren. Wie bei Verstößen gegen das Außenwirtschaftsgesetz werden Personen, Organisationen oder andere "Einrichtungen" auf eine Sanktionsliste gesetzt und mit Einreiseverboten belegt. Ihre Vermögenswerte können beschlagnahmt oder "eingefroren" werden. Sanktionen können zudem gegen Personen oder Einrichtungen verhängt werden, die mit den Betroffenen verbunden sind. Auch die Beihilfe zur Umgehung der EU-Maßnahmen wird bestraft.

Kritische Infrastrukturen und Wahlen im Fokus

Die Cyber-Sanktionen gehören zur "Cyber Diplomacy Toolbox", die der Rat vor zwei Jahren angenommen hat. Damit sollen "etwaige Cyberbedrohungen gemindert" und "Angreifer abgeschreckt" werden. Zur Unterstützung des Vorhabens hat die EU ein Jahr später Schlussfolgerungen "zu böswilligen Cyberaktivitäten" verabschiedet. Sie sollen einen "freien, stabilen und sicheren Cyberraum" sicherstellen.

Als Cyberangriffe gelten in der Verordnung der unrechtmäßige Zugang zu Informationssystemen, die Veränderung und das Abfangen von Daten. Besonders wichtige staatliche und private Infrastrukturen, darunter zur Verteidigung oder "Staatsführung", werden besonders herausgestellt, außerdem "Seekabel und in den Weltraum gestartete Objekte". Genannt werden auch Dienstleistungen in den Bereichen Energie, Verkehr, Banken- und Gesundheitswesen. Auch die Störung von Wahlen soll verfolgt werden.

EU-Geheimdienstzentrum soll aufgewertet werden

Fraglich ist, wie ein "böswilliger Cyberangriff" attribuiert werden soll. Um die Herkunft des Angreifers zu bestimmen, soll das geheimdienstliche Lagezentrum INTCEN in Brüssel mehr Kompetenzen erhalten. Zwar hat die Europäische Union keine Zuständigkeit für die Koordination europäischer Geheimdienste, deshalb darf das INTCEN auch keine eigene Spionage betreiben, sondern lediglich Analysen, Berichte und Einschätzungen aus den Mitgliedstaaten verarbeiten. Trotzdem soll das Zentrum bei der Entscheidungsfindung für eine mögliche Reaktion auf "böswillige Cyberaktivitäten" mitarbeiten.

Ursprünglich sollte das INTCEN die Herkunft "böswilliger Cyberaktivitäten" auf einer Skala einschätzen, die von "entfernte Möglichkeit" (0 bis 5%) bis "fast sicher" (95 bis 100%) reicht. Mehrere Mitgliedstaaten haben einen entsprechenden Vorschlag jedoch eng beschnitten. Strittig ist beispielsweise die Frage, ob vorhandene Erkenntnisse von den nationalen Geheimdiensten offengelegt werden sollen. Ein Papier, das den aktuellen Diskussionsstand beschreibt, nennt jedoch zur Bestimmung eines Angreifers auch Informationen aus Drittstaaten. Vermutlich sind damit vor allem US-Geheimdienste gemeint.

Nationale Geheimdienste mit eigener Agenda

Wenn das INTCEN für seine Einschätzung auf externe Zulieferungen angewiesen ist, müssen diese eine hohe Qualität aufweisen. Ansonsten könnte die geheimdienstliche EU-Einrichtung von einzelnen Regierungen leicht beeinflusst und missbraucht werden. Deutsche Analysen stammen beispielsweise vom Bundesamt für Verfassungsschutz (BfV) und dem Bundesnachrichtendienst (BND), die Behörden haben außerdem eigene Vertreter in das INTCEN entsandt.

Beide Dienste haben immer wieder Behauptungen aufgestellt, die sich im Nachhinein als falsch herausgestellt haben. So hatten die früheren Chefs von BND und BfV erklärt, Edward Snowden sei ein Spion der russischen Regierung. Auch die Geheimdienste in Österreich, die sämtlich von der FPÖ kontrolliert werden, verfolgen offensichtlich eine eigene politische Agenda.

Bundesregierung wollte Mehrheitsabstimmung

Wissentliche oder auch unbeabsichtigte Fehleinschätzungen der Geheimdienste könnten also leicht zur Eskalation eines Konflikts führen. Genau das soll die neue Verordnung aber ausdrücklich verhindern. Die Bundesregierung hatte zudem versucht, den Gesetzestext noch zu verschärfen. Nach den Vorstellungen des Auswärtigen Amtes sollten die Sanktionen nicht einstimmig, sondern mit qualifizierter Mehrheit beschlossen werden können. Dies hätte es ermöglicht, einzelne EU-Mitgliedstaaten, die Zweifel an der Herkunft von Angriffen oder der Wirksamkeit von Sanktionen hegen, zu überstimmen.

Strittig war auch, wer eigentlich für die Umsetzung und Überwachung der Sanktionen zuständig sein soll. Die Europäische Kommission hatte darauf gedrungen, ihr wie in anderen Fällen die entsprechenden Durchführungsbefugnisse zu übertragen. Die Regierungen wollen dies jedoch selbst übernehmen. In einer Protokollerklärung hat die Kommission deshalb darauf hingewiesen, dass der Rat damit auch die Beschwerden von gelisteten Personen und Widerspruchsverfahren vor dem Europäischen Gerichtshof bearbeiten muss. Auch diese Zuständigkeit liegt gewöhnlich bei der Kommission. (Matthias Monroy)