Jump directly to page content

Attribution als Herausforderung für EU-Cybersanktionen

Eine Analyse von WannaCry, NotPetya, Cloud Hopper, Bundestag-Hack, OVCW

SWP-Studie 2021/S 17, 13.10.2021, 47 Pages

doi:10.18449/2021S17v02

Research Areas
  • Die Attribution von Cyberangriffen ist ein souveräner Akt der EU-Mit­gliedstaaten. Diese haben jedoch unterschiedliche technische und geheim­dienstliche Fähigkeiten. Das führt zu Inkohärenzen in der europäischen Cyberdiplomatie, etwa bei der Verhängung von Cybersanktionen.

  • Die Analyse der politischen Reaktionen auf die Cybervorfälle WannaCry, Not‑Petya, Cloud Hopper, OVCW und Bundestag-Hack offenbart folgende Probleme: Die Attribution dauert lange und ist auf Erkenntnisse von Nato-Partnern angewiesen; die technischen Realitäten und die rechtlichen Tatbestandsmerkmale zur Klassifikation und Verfolgung von Cyber­angriffen passen nicht immer zusammen; die Gewichtung der Tatbestands­merkmale ist unklar.

  • Cybersanktionen sollen gezielte Maßnahmen und vor allem in ihrer Intensität verhältnismäßig sein: Destruktive Angriffe wie WannaCry oder NotPetya sollten härtere Konsequenzen nach sich ziehen als alltägliche Fälle von Cyberspionage wie Cloud Hopper oder Bundestag-Hack. Hier muss die EU ihre Werkzeuge genauer konfigurieren.

  • Die EU sollte die rechtlichen Tatbestandsmerkmale schärfen und Beweis­standards zur Attribution vereinheitlichen. Die Gemeinsame Cyber-Stelle der EU und EU INTCEN im Europäischen Auswärtigen Dienst sollten ge­stärkt werden, um den Austausch forensischer Informationen zu verbessern und die Politik der Attribution effektiver koordinieren zu können.

  • Die EU-Mitgliedstaaten und ihre alliierten Partner müssen Angreifer häu­figer gemeinsam verurteilen, damit die davon ausgehende politische Bot­schaft wirklich deutlich wird. Dazu wäre es sinnvoll, für den Erlass von Cybersanktionen qualifizierte Mehrheitsentscheidungen zuzulassen.

Problemstellung und Empfehlungen

Die Europäische Union hat im Juli 2020 erstmals so­genannte Cybersanktionen gegenüber Einzelpersonen verhängt, die mit dem russischen, nordkoreanischen oder chinesischen Staat in Verbindung gebracht wer­den. Die Maßnahmen umfassen Einreiseverbote und das Einfrieren von Vermögenswerten. Sie gelten in der EU-27 und sind als diplomatische bzw. politische Antwort auf zahlreiche schwerwiegende und bös­artige Cyberoperationen gegen die EU beschlossen worden. Cybersanktionen sind nur ein Instrument aus dem »gemeinsamen diplomatischen Werkzeugkasten« (Cyber Diplomacy Toolbox) und sie liegen unterhalb der Schwelle eines bewaffneten Konfliktaustrags. Seit 2017 versuchen die EU-Mitgliedstaaten mit dieser Toolbox, im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der EU (GASP) auf schwerwiegende Cyberoperationen koordiniert zu antworten. Eine verhältnismäßige, kohärente und vor allem rechts­sichere Erwiderung der EU auf solche Cyberangriffe zu zeigen, ist allerdings in der Umsetzung höchst anspruchsvoll. Die diplomatische Reaktion muss in ihrer rechtlichen, technischen und politischen Dimen­sion konsistent sein, für den Fall, dass gelistete Personen die restriktiven Maßnahmen der EU, also gegen sie individuell verhängte Finanzsanktionen oder Reisebeschränkungen, gerichtlich anfechten. Denn über das Mittel der Nichtigkeitsklage nach Arti­kel 263 IV des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) genießen die Adressaten derartiger Strafmaßnahmen uneingeschränkten Rechtsschutz vor dem Europäischen Gerichtshof.

Will die EU rechtmäßige Cybersanktionen verhängen, ist zunächst eine sorgfältige und nachvollzieh­bare Ermittlung der Urheberschaft (Attribution) von Cyberangriffen erforderlich. Allerdings ist das Verfah­ren der Attribution, das heißt die technische, recht­liche und politische Zuordnung von Cyberattacken zu verantwortlichen Personen, auf EU-Ebene inkohärent und teilweise widersprüchlich. Die Gründe dafür sind vielfältig: Attribution ist ein souveräner Akt der Mit­gliedstaaten, die zugleich recht unterschiedliche tech­nische und geheimdienstliche Fähigkeiten haben. Die EU soll zunächst koordinieren, forensische Be­weise sammeln und Erkenntnisse austauschen. Der Prozess der Attribution bis hin zur Verhängung von Cyber­sanktionen ist für die EU ein Novum. Ihn sorgfältig durchzuführen ist angesichts der gestiegenen Anzahl und Intensität von Angriffen im Cyber- und Informa­tionsraum (CIR) dringend geboten.

Die zentrale Fragestellung dieser Studie lautet daher: Wie funktioniert die Attribution von Cyber­angriffen auf der rechtlichen, technischen und poli­tischen Ebene innerhalb der EU? Welche Defizite, Inkohärenzen und Widersprüche gibt es in diesem Prozess? Welche Folgen hat dies für den Erlass von Cybersanktionen durch die EU? Und wie können die identifizierten Defizite überwunden werden?

Die Untersuchung von fünf großen Cyberattacken (WannaCry 2017, NotPetya 2017, Operation Cloud Hopper 2016, des Bundestag-Hacks 2015 sowie des verhinderten Angriffs auf die Organisation für das Verbot chemischer Waffen 2018) kommt zu folgenden Ergebnissen:

Erstens ist festzustellen, dass die Attributions­fähigkeit der EU hochgradig auf den Informations­austausch (»intelligence sharing«) mit den USA und Großbritannien angewiesen ist. Während die Five-Eyes-Nachrichtendienstallianz (bestehend aus den USA, Großbritannien, Kanada, Australien und Neu­seeland) ihre Attribution und ihr öffentliches »nam­ing and shaming« medienwirksam koordinieren, lau­fen die Abstimmungsprozesse in der EU-27 natur­gemäß langsamer ab: Zwischen einem Cybervorfall und dem Erlass von Sanktionen vergehen Monate, wenn nicht Jahre. Damit die Signalwirkung restrik­tiver Maß­nahmen künftig schneller ausgelöst wird und die Angreifer früher zur Rechenschaft gezogen werden können, ist es erforderlich, dass die EU die Verantwortungszuschreibung möglichst rasch vor­nimmt.

Zweitens entspricht der Rechtsrahmen, der für EU-Cybersanktionen entwickelt wurde, nicht immer den technischen Realitäten von Cyberoperationen. Die Tatbestandsmerkmale, die ein Cybervorfall erfüllen muss, damit angemessene Sanktionen als Rechtsfolge begründet werden können, sind zu schärfen. Es sollte stärker zwischen erfolgreichen Attacken und inten­dierten Angriffsversuchen differenziert werden. Die Definition der Angriffsmotivation lässt sich mitunter nicht rechtssicher aus technischen Indikatoren ablei­ten. Gleichwohl ist sie zentral für die rechtliche Be­wertung eines Angriffs und die daran anschließende Begründung eines Sanktionsbeschlusses.

Drittens sollte bei Cybervorfällen stärker nach der Intensität und nach technischen Merkmalen differen­ziert werden, um die diplomatischen Reaktionen der EU und auch die Sanktionen proportional darauf abstimmen zu können: WannaCry und NotPetya ver­ursachten weltweit Milliardenschäden und hätten weitaus härtere Strafmaßnahmen als Kontensperrungen nach sich ziehen können.

Viertens wären die EU-Staaten gut beraten, die für eine Attribution erforderlichen Beweisstandards zu vereinheitlichen und für eine weitgehend transparente Attributionsevidenz Sorge zu tragen, ohne dabei nach­richtendienstliche Zugänge aufs Spiel zu setzen. Alle Mitgliedstaaten sollten ein vergleichbares stan­dardisiertes System (Probability Yardstick) verwenden, um bei Aussagen zur Verantwortlichkeit, die nicht zum Beispiel forensisch bewiesen sind, eine Einordnung zu ermöglichen.

Schließlich müssen Informationen über Indicators of Compromise (IoCs), also Merkmale und Daten, die auf die Kompromittierung eines Systems oder Netz­werks hindeuten, durch die Gemeinsame Cyber-Stelle in der EU-Kommission (Joint Cyber Unit) und das EU INTCEN beim Europäischen Auswärtigen Dienst (EAD) allen Beteiligten zur Verfügung gestellt werden, damit jeder an den angebotenen Lösungen teilhaben kann. Beide Institutionen sollten kompetenzrechtlich gestärkt werden, um die Cyberlagebilderfassung zu verbessern.

Vor diesem Hintergrund wäre der Bundesregierung zu empfehlen, die Initiative der französischen Rats­präsidentschaft zur Reform des »EU-Instrumentariums für die Cyberdiplomatie« tatkräftig zu unterstützen, damit Angriffe auf die kritische Infrastruktur, auf Ver­sorgungsketten und demokratische Institutionen der EU künftig wirkungsvoller abgewehrt werden können. Dies deckt sich mit den Anforderungen für die Umsetzung der Cybersicherheitsstrategie vom Dezember 2020.

Zur Genese der Cyber­diplomatie und der Attributionsproblematik

Seit 2013 erarbeitet die Europäische Union als Rechts­gemeinschaft politische und regulative Maßnahmen, um auf »böswillige« Cyberoperationen reagieren zu können, die sich von Drittstaaten aus gegen die EU richten.1 Sie tritt im Rahmen ihrer Cyberdiplomatie für eine friedliche Lösung internationaler Streitig­keiten ein und betont die Bedeutung eines »globalen, offenen, freien, stabilen und sicheren Cyberraums«.2 Diese Grundhaltung prägte schon die erste Cyber­sicherheitsstrategie 2013 und wurde zuletzt im Dezember 2020 mit der aktuell gültigen Strategie be­stätigt.3 Erklärtes Ziel ist es, die Stabilität, die Sicher­heit und die Vorteile des Internets zu erhalten und die Nutzung von Informations- und Kommunika­tionstechnologien zu gewährleisten.4 Die EU-Mitglied­staaten wirken seither in multilateralen Foren wie der Governmental Group of Experts und der Open Ended Working Group auf Ebene der Vereinten Nationen (UN) maßgeblich daran mit, Cyber-Normen im gelten­den Völkerrecht zu verankern und eine regelbasierte internationale Ordnung im Cyber- und Informations­raum (CIR) zu etablieren und durchzusetzen.5 Die Staatengemeinschaft einigte sich 2015 darauf, dass eine Reaktion auf Cyberangriffe proportional sein sollte bzw. dass Gegenreaktionen erst dann völkerrechtlich legitimiert sind, wenn die Attacken einen bestimmten Umfang haben und bestimmte Effekte hervorrufen, also in ihrer Intensität einem bewaffneten Angriff ähneln. Unter das Gebot der Verhältnismäßigkeit fällt zum Beispiel der Verzicht auf Cyber­operationen gegen kritische Infrastrukturen. Eine aktive Cyberabwehr ist erlaubt, wenn Staaten ihre Sorgfaltspflichten vernachlässigen.6 Diese Normen sind für die EU handlungsleitend.

Mit den spektakulären Cyberoperationen Wanna­Cry und NotPetya (beide im Frühjahr 2017) ist der politische Handlungsdruck gestiegen, gegen diese Form des Angriffs aktiv vorzugehen.7 WannaCry gilt bis dato als die umfänglichste Cyberattacke mit »Opfern« in über 150 Ländern, NotPetya als einer der bislang kostspieligsten und destruktivsten Angriffe.8 Wenige Monate später, im Juni 2017, einigte sich der Rat der EU in einem GASP-Beschluss darauf, einen »diplomatischen Reaktionsrahmen« (bekannt als Cyber Diplomacy Toolbox) zu erarbeiten, um die Union in den Stand zu versetzen, eine gemeinsame, koordinierte diplomatische Gegenreaktion auf schwer­wiegende Cybervorfälle unterhalb der Schwelle eines bewaffneten Konflikts zu zeigen. Angreifer sollen durch Androhung von Vergeltungsmaßnahmen (»naming and shaming«) dazu bewegt werden, Angriffe gegen die EU zu unterlassen. Der Rat ver­kündete folgerichtig im April 2018, dass er den Missbrauch von Informations- und Kommunikationstechnologie (IKT) für »böswillige« Zwecke nicht mehr länger hinnehmen werde.9 Am 17. Mai 2019 wurde das Cybersanktionsregime mit der Verordnung (EU) 2019/796 über restriktive Maßnahmen gegen Cyber­angriffe komplettiert und sozusagen scharfgeschaltet.10

Im Juli 2020, also erst Jahre nach den Vorfällen, verhängte der Rat der EU Cybersanktionen gegen nordkoreanische, chinesische und russische Angreifer, denen er unter anderem die Verantwortung für die Cybervorfälle WannaCry, Cloud Hopper und NotPetya zuschreibt.11 Die Verzögerung erklärt sich unter ande­rem daraus, dass eine Ermittlung der Urheberschaft von Cyberangriffen, konkret die technische, recht­liche und politische Attribution, anspruchsvoll ist und IT-forensische und nachrichtendienstliche Fähig­keiten voraussetzt. Nur wenige Mitgliedstaaten, unter anderem Schweden, die Niederlande, Estland, Öster­reich, Frankreich oder Deutschland, verfügen über diese Attributionsfähigkeiten und bringen die (nicht bei allen gleichmäßig ausgeprägte) Bereitschaft mit, Informationen über EU INTCEN, die geheimdienst­liche Analyseabteilung des Europäischen Auswärtigen Dienstes (EAD), mit anderen Mitgliedstaaten zu teilen. Voraussetzung für einen Brüsseler Sanktionserlass als Reaktion auf schwerwiegende Cyberangriffe ist, dass die EU Urheber und »böswillige« Absicht plausibel machen kann. Dies gestaltet sich nicht nur wegen der genuin dezentralen Struktur des Cyber- und Informationsraums, sondern auch wegen der unterschied­lichen mitgliedstaatlichen Ausgangsbedingungen und mangelnden Analysefähigkeiten im EAD bzw. auf EU-Ebene als ein recht komplexes Unterfangen.

Ein kollektiver, gemeinsamer Prozess der Attribution findet innerhalb der EU nur punktuell statt.

Die Attribution ist ein zentrales Problem in der Cyberkonfliktforschung und stellt eine besondere Herausforderung für die Cyberdiplomatie und das Cybersanktionsregime der EU dar.12 Sicherheitspolitik und die Attribution von Cyberangriffen sind Präroga­tive der EU-Mitgliedstaaten. Diese sind zurückhaltend, wenn es darum geht, sensible Informationen zu Cyberangriffen auf EU-Ebene zu teilen, da sie Rück­schlüsse auf einzelstaatliche Cyberabwehrfähigkeiten ermöglichen. Die Weitergabe von Erkenntnissen könnte staatliche Quellen und geheime Zugänge kom­promittieren. Ein kollektiver, gemeinsamer Prozess der Attribution findet innerhalb der EU nur punk­tuell statt: In der Regel attribuiert jeder Mitgliedstaat autonom für sich. Die EU versucht lediglich die rele­vanten Informationen zu bündeln und die politische Reaktion auf Cyberangriffe zu koordinieren. Dieser Umstand erschwert auch ein gemeinsames Auftreten der Mitgliedstaaten beim »naming and shaming« von Angreifern in der EU-Cyberdiplomatie. Ungeachtet dessen ist eine zwischen den Mitgliedstaaten und den EU-Institutionen koordinierte Attribution eine not­wendige Vorbedingung für die Aktivierung des diplo­matischen Reaktionsrahmens und für Sanktionen der EU.

Ein fragmentierter Attributionsprozess schwächt die Glaubwürdigkeit, Legitimität und Effektivität der EU-Cyberdiplomatie. Inkohärentes Handeln ist eine Folge davon: Die russischen Geheimdienstmitarbeiter, gegen die 2020 Cybersanktionen in Form von Ein­reise­verboten und Kontensperrungen verhängt wur­den, waren bereits wenige Jahre zuvor mit den glei­chen restriktiven Maßnahmen durch ein anderes EU-Sanktionsregime belegt worden. Die Maßnahmen dupli­zierten sich also und hatten keinen zusätzlichen Effekt.13 Abgesehen von der Redundanz dieses Schrit­tes ist außerdem zu fragen, inwiefern Reisebeschränkungen und eingefrorene Konten wirklich eine ab­schreckende Wirkung auf Angreifer haben oder letzt­lich nur Symbolpolitik sind.14 Zudem leiden die Effek­tivität und die Legitimität von Cybersanktionen, wenn das öffentliche »naming and shaming« der Urheber von Cyberangriffen nicht durch die mitgliedstaat­lichen Regierungen unterstützend mitgetragen wird.

Es obliegt jeder Regierung zu entscheiden, ob sie sich den veröffentlichten Attributionen anderer EU-Staaten anschließt.

Es obliegt jeder Regierung zu entscheiden, ob sie sich den veröffentlichten Attributionen anderer EU-Staaten diplomatisch und/oder medial anschließt. Nur 6 der 27 EU-Staaten haben beispielsweise die Sanktio­nen von 2020 gegen Russland durch Regierungserklärungen oder diplomatische Statements bekräftigt.15 Obwohl Deutschland die Cybersanktionen nach dem Bundestag-Hack im Jahr 2015 auf EU-Ebene mit auf den Weg gebracht hatte, konnte sich die Bundesregierung nur zögernd zu einer öffentlichen Verurteilung der Täter durchringen. Durch diese Halbherzigkeit werden die Signalwirkung und die politische Schlag­kraft der Cybersanktionen unnötig gemindert. Ist die politische Botschaft inkohärent, also das »signaling« der EU-Staaten, bei gleichzeitigem Einstimmigkeits­erfordernis im Rat, verliert die Androhung von Straf­maßnahmen an Stringenz. Dies hat zur Folge, dass Cyberangreifer derzeit nicht in ausreichendem Maße davon abgehalten werden, Attacken zu verüben.16 Das Vetorecht und die Vielstimmigkeit der Mitgliedstaaten schaden der außenpolitischen Glaubwürdigkeit der Europäer auch in der internationalen Cyber­diplomatie. Und nicht nur das: Die EU-Staaten unter­laufen mit diesem Verhalten die im Rahmen der Vereinten Nationen beschlossene und auch für sie verbindliche Sorgfaltspflicht.

Im Wissen um diese Defizite haben die EU und die französische Regierung mit Blick auf ihre anstehende Ratspräsidentschaft angekündigt, die Cyber Diplomacy Toolbox zu evaluieren, inklusive der darin katalogisierten Cybersanktionen. Wenn die EU Sanktionen erlässt, muss sie rechtsstaatliche Mindeststandards gegenüber den betroffenen Personen einhalten. Da­mit einher gehen qualitative Anforderungen an die Attribution. Die vorliegende Studie wird im Folgenden die Dringlichkeit einer Reform des diplomatischen Reaktionsrahmens darlegen und Ansatzpunkte für dessen Neugestaltung aufzeigen. Dafür werden zunächst die Cybervorfälle, die das Cyber-Sanktions­regime auf EU-Ebene im Jahr 2020 erstmals auslösten, namentlich der Bundestag-Hack 2015, WannaCry, NotPetya (beide 2017), der Angriff auf die Organisa­tion für das Verbot chemischer Waffen (OVCW) und die Operation Cloud Hopper im Hinblick darauf unter­sucht, wie kohärent die EU diese Attacken tech­nisch, rechtlich und politisch eingeordnet hat. Nicht analysiert werden indes die operativen Verfahren der Attribution, die zwischen den Sicherheitsbehörden praktiziert werden, ihr Informations- und Wissens­austausch und die Effektivität des Sanktionsregimes im Sinne ihrer Wirkung auf die Adressaten.

Die Politik der Attribution

Attribution beschreibt den Prozess, in dessen Verlauf die Verantwortung für einen Cyberangriff einem Akteur zugeschrieben wird. Es geht also um die Frage: Wer war es?17 Die Verlässlichkeit der Attribution verändert sich im Zuge der Zeit, da sich das Wissen über einen Cybervorfall nach und nach mehrt und die Unsicherheit über die Verantwortlichkeit poten­tiell abnimmt. Je mehr Zeit und analytische Fähig­keiten zur Verfügung stehen, desto größer ist in der Regel die Gewissheit der Attribution. Der Prozess hat drei Ebenen: eine technische, eine rechtliche und eine politische (siehe Grafik 1, S. 12). Sie bauen auf­einander auf, doch bisweilen gibt es Zielkonflikte zwischen ihnen:

Die Kombination dieser drei Ebenen lässt sich als Politik der Attribution definieren. Gemeint ist damit also der Prozess der technischen und rechtlichen Auf­klärung und öffentlichen (Nicht-)Benennung von Urhebern eines Cyberangriffs sowie das Initiieren von Gegenmaßnahmen.

Nach einem Cybervorfall erfolgt zunächst die tech­nische Attribution. Dabei werden mit Mitteln der IT-Forensik technische Artefakte und Indizien wie Netz­werklogs oder Malware-Spuren (sogenannte Indicators of Compromise, IoCs) in den Computern ausgewertet, die von dem Angriff betroffen sind. Diese werden mit den Tools, Techniques/Tactics & Procedures (TTP) vergangener Vorfälle verglichen und in Beziehung zueinander gesetzt. Daraus lassen sich, ähnlich wie bei kriminalistischen Ermittlungen, konkurrierende Hypothesen über Angreifer generieren und oft direkt Indizien für die Urheberschaft ableiten. Plakativ formuliert ist das Ziel der technischen Attribution, Wissen über das Vorgehen des Angreifers zu sam­meln (»den Angreifer kennen«). Dieser Vorgang ist taktischer Natur, denn aus simplen Netzwerk­artefakten lässt sich nur schwer auf die strategische oder politische Motivation eines Cybervorfalls schlie­ßen.18 Auch die »soziopolitische Frage«, welcher Akteur sich hinter einem angreifenden Computer verbarg und in wessen Auftrag er handelte, lässt sich basierend auf TTPs nur schwer abschließend beant­worten. Es kommt immer wieder vor, dass gleiche oder ähnliche Malware von verschiedenen Hackergruppen genutzt wird. Daher kann mittels der tech­nischen Analyse nicht unmittelbar beantwortet wer­den, wer einen Angriff verursacht hat. Technische Indizien wie Spracheinstellungen von Systemen kön­nen Hinweise liefern, aber genauso gut auch absicht­lich platzierte falsche Fährten sein (»false flag«).19

Im Zuge der rechtlichen und politischen Attribu­tion, die nicht immer trennscharf unterscheidbar sind, versucht der angegriffene Staat eher akteurs­bezogene Fragen zu beantworten: Welche Person bzw. welche Organisation ist für den Hack verantwort­lich? Wer gab den Befehl dafür? Welche stra­tegische oder politische Motivation war maßgebend für eine Operation? Hier geht es also nicht mehr nur um rein technische Indikatoren, sondern auch um politische Faktoren wie nationale Sicherheitsstrategien und geopolitische Kontexte.20 Das Kernelement der politischen Attribution ist das »naming and shaming« des Angreifers, entweder bilateral über nichtöffent­liche, diplomatische Kanäle oder medial, mit dem Ziel, einen Urheber öffentlich bloßzustellen. Leitend für die politische Attribution ist die Hoffnung, dass der Verursacher sein Verhalten überdenkt und von zukünftigen Angriffen ablässt. Politische Attribution kann also öffentliche Attribution sein, etwa im Verbund mit Alliierten und Partnern, um die Legitimität einer Ver­urteilung vor der internationalen Öffentlichkeit zu stärken. Ein Staat kann aber auch auf öffentliche Attribution bewusst verzichten, wenn die politische Situation für ein »naming and shaming« nicht oppor­tun erscheint, etwa während einer politischen Krise, wenn die Beweislage dünn ist oder wenn eigene Quellen nicht kompromittiert werden sollen.21 Zu­dem muss ein öffentlich attribuierender Staat unter Umständen mit Gegenmaßnahmen wie Sanktionen rechnen. Politische Attribution findet also immer im Kontext der internationalen Beziehungen und Mächte­dynamik statt. Oft erfordert politische Attribution eine Ermessensentscheidung, einen »judgement call«, weil die technischen Indikatoren nicht eindeutig sind. Politische Attribution zielt also darauf ab, den Urheber nicht nur zu kennen, sondern auch zu benennen.

Grafik 1

Die rechtliche Attribution ist dann wesentlich und unerlässlich, wenn eine rechtmäßige politische Reak­tion auf Cyber­vorfälle erfolgen soll. Rechtliche Attri­bution beschreibt die strafrechtliche Schuldzuweisung bzw. Anklage. Die politische Attribution und die rechtliche Verantwortlichkeitszuweisung sind nach dem Völker­recht formal voneinander zu unterscheidende staat­liche Handlungen.22 Wichtig bei der recht­lichen Attribution ist die Unterscheidung zwischen indivi­dueller und staatlicher Verantwortlichkeit.23 Not­wendige Vorbedingung jeder rechtlichen Ver­antwortungszuweisung ist die rechtliche Klassifika­tion des Vorfalls: Cyberkriminalität ist nach anderen Rechtsstatuten zu behandeln als eine völkerrechtliche Straf­tat. Sie lässt individuelle Sanktionen zu, wäh­rend eine Handlung gegen das Völkerrecht unter genau definierten Umständen auch kollektiv wirkende Maß­nahmen legitimieren kann. Cyberkriminalität ist wiederum von der Cyberspionage zu unterscheiden, die international nicht verboten ist, strafrechtlich jedoch individuell geahndet werden kann. Und diese ist wiederum von Cyberattacken mit der Eigenschaft eines bewaffneten Angriffs abzugrenzen, die nach Artikel 2.4 der UN-Charta völkerrechtswidrig sind. Letztere können sogar das Recht auf Selbstvertei­digung nach Artikel 51 UN-Charta begründen und den Einsatz militärischer Maßnahmen rechtfertigen.

Eine angemessene und verhältnismäßige rechtliche Gegenreaktion auf Cyberangriffe setzt detaillierte tech­nische und politische Kompetenzen zur Charakteri­sierung von Vorfällen voraus. Staaten können den­selben Cybervorfall, je nach ihren Detektions- und Ermittlungsfähigkeiten, rechtlich unterschiedlich bewerten – und ihn entweder dem Deliktfeld der Cyberkriminalität zuordnen oder als eine verborgene Spionageaktion einstufen. Zudem gibt es je nach Klas­sifikation auch unterschiedliche Erfordernisse an Beweis­standards. Rechtliche Attribution zielt auch darauf ab, einzelne Individuen, also den Menschen hinter der Maschine, mit den Mechanismen der Straf­verfolgung zur Rechenschaft zu ziehen. Dabei gelten höhere Beweisstandards als bei dem politischen Pro­zess des »naming und shaming«. Beweise müssen gerichtsfest sein, nachrichtendienstliche Quellen sind nur bedingt verwertbar. Politische und rechtliche Attribution laufen dementsprechend nicht zwingend synchron und sind bisweilen inkohärent. Es kann zum Beispiel vorkommen, dass in der Frühphase nach einem Cyberangriff, wenn die Unsicherheit groß und die Beweislage noch dünn ist, fälschlicherweise ein Akteur öffentlich verantwortlich gemacht wird, um dann später im Zuge der rechtlichen Attribution fest­zustellen, dass es sich um eine False-Flag-Operation handelte. Ein Beispiel hierfür ist der Cyberangriff auf den französischen Sender TV5 Monde im Jahr 2015, der im Kontext der Terrorangriffe zunächst dem »Isla­mischen Staat« (IS) zugeschrieben worden ist, später aber als russische Operation unter falscher Flagge klassifiziert wurde.24

Attributionsentscheidungen können bei staat­lichen Organisationen, etwa bei Judikative und Exe­kutive, unterschiedlich und inkohärent ausfallen, etwa wenn die Ermittlungsergebnisse die politischen Annahmen nicht decken. Ein Akteur kann verantwortlich erklärt werden, weil es politisch zwar oppor­tun erscheint, die technische und rechtliche Beweislage aber eine andere Sprache spricht. In Anbetracht all dieser Imponderabilien wird deutlich, wie essen­tiell es für die kollektive Attribution innerhalb der EU-Cyberdiplomatie ist, ein gemeinsames Verständnis davon zu entwickeln, was unter einem schwerwiegen­den Cyberangriff zu verstehen ist. Genauso wichtig ist eine enge Abstimmung attribuierender Organisationen auf staatlicher Ebene (Nachrichtendienste, Straf­verfolgungsbehörden) sowie auf supra- bzw. inter-staatlicher Ebene.

Was ist ein schwerwiegender Cyberangriff auf die EU?

Unter einer schwerwiegenden Cyberattacke versteht die EU laut ihrer Verordnung vom 17. Mai 2019 (Art. 1 Abs. 1 VO) eine äußere Bedrohung für die Union oder ihre Mitgliedstaaten durch einen tatsäch­lichen oder versuchten Cyberangriff, der erhebliche oder potentiell erhebliche Auswirkungen hat.25 Eine äußere Bedrohung der Mitgliedstaaten liegt vor, wenn Cyberangriffe gegen kritische Infrastrukturen, Dienst­leistungen oder staatliche Institutionen und Prozesse ausgeführt werden, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder der Gesundheit, Sicherheit und des Wohlergehens der Bevölkerung sind, insbesondere in den Bereichen Energie, Verkehr, Banken, Gesundheits­wesen, Trinkwasserversorgung oder digitale Infra­struktur (Art. 1 Abs. 4 VO). Ein Cyberangriff (oder ein versuchter Cyberangriff) ist jede Handlung, die den Zugang bzw. Eingriff in Informations- und Kom­munikationssysteme umfasst. Als Informations­systeme gelten Systeme zur automatischen Verarbeitung digitaler Daten; in ein solches System wird ein­gegriffen, wenn sein Betrieb durch Beschädigung, Löschung, Veränderung, Unterdrückung oder die Übermittlung digitaler Daten behindert oder gestört wird. Cyberangriffe liegen aber auch dann vor, wenn in Daten eingegriffen wird oder diese abgefangen werden. Es reicht also auch schon beispielsweise der Diebstahl von Daten, Geldern, wirtschaftlichen Ressourcen oder geistigem Eigentum (Art. 1 Abs. 3 und 7 VO). Ob ein Cyberangriff (potentiell) erhebliche Auswirkungen hat, bemisst sich unter anderem nach dem Umfang, dem Ausmaß, der Wirkung oder der Schwere der (versuchten) Störung für wirtschaftliche und gesellschaftliche Tätigkeiten, nach der Höhe des materiellen Schadens und des vom Täter erlangten wirt­schaftlichen Nutzens sowie nach der Menge und Art der gestohlenen Daten, auf die zugegriffen wurde (Art. 2 VO).

Tabelle 1 bietet eine Übersicht über die rechtlichen Merkmale, mit denen Cyberangriffe klassifiziert werden. Mit diesen Tatbestandsmerkmalen definiert die EU verbotene Verhaltensweisen und bestimmt, welche Charakteristika ein Cybervorfall gemäß EU-Recht haben muss, um eine bestimmte rechtliche Kon­sequenz auszulösen, die sogenannte Rechtsfolge.

Tabelle 1 Kriterien für die rechtliche Attribution von Cybervorfällen

Kriterium

Erforderliche Merkmale

Cyberangriff

(Art. 1 Abs. 3 und 7 Ver­ordnung [EU] 2019/796)

Handlungen, die

a. den Zugang zu Informationssystemen

b. den Eingriff in Informationssysteme

c. den Eingriff in Daten oder

d. das Abfangen von Daten

umfassen, wenn diese Handlungen vom Eigentümer oder einem anderen Rechtsinhaber des Systems oder der Daten oder eines Teils des Systems oder der Daten nicht ordnungsgemäß gestattet wurden oder nach dem Recht der Union oder des betreffenden Mitgliedstaats nicht zulässig sind.

Einschließlich versuchter Cyberangriffe

Angreiferbestimmung

(Art. 1 Abs. 2 und 4
Verordnung [EU] 2019/796)

Angreifer

a. sind außerhalb der EU ansässig (natürliche/juristische Personen, Organisationen oder Einrichtungen) oder operieren von außerhalb

b. nutzen außerhalb der EU gelegene Infrastrukturen.

Opfer

innerhalb der EU (kritische Infrastrukturen, inkl. Seekabel und Weltraum-Objekte mit Kritis-Funktion)

Schäden und Umfang

(Art. 2 Verordnung [EU] 2019/796)

Feststellung der »erheblichen Auswirkung« bemisst sich nach

a. Umfang, Ausmaß, Wirkung oder Schwere der verursachten Störung für wirtschaftliche und gesellschaftliche Tätigkeiten, wesentliche Dienste, kritische staatliche Funktionen, die öffentliche Ordnung oder die öffentliche Sicherheit;

b. der Zahl der betroffenen natürlichen oder juristischen Personen, Organisationen oder Einrichtungen;

c. der Zahl der betroffenen Mitgliedstaaten;

d. der Höhe des wirtschaftlichen Schadens, der zum Beispiel durch einen groß angelegten Diebstahl von Geldern, wirtschaftlichen Ressourcen oder geistigem Eigentum verursacht wurde;

e. dem vom Täter für sich selbst oder für andere erlangten wirtschaft­lichen Nutzen;

f. der Menge oder Art der gestohlenen Daten oder dem Ausmaß der Datenschutzverstöße oder

g. der Art der wirtschaftlich sensiblen Daten, auf die zugegriffen wurde.

Tabelle 1 (Forts.) Kriterien für die rechtliche Attribution von Cybervorfällen

Kriterium

Erforderliche Merkmale

Operationsziel bzw. Opfer

(Art. 1 Abs. 4 Verordnung [EU] 2019/796)

a. kritische Infrastrukturen, einschließlich Seekabel und in den Weltraum gestartete Gegenstände, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind;

b. Dienstleistungen, die für die Aufrechterhaltung wesent­licher sozialer und/oder wirtschaftlicher Tätigkeiten erforderlich sind, insbesondere in den Sektoren

1. Energie (Elektrizität, Öl und Gas)

2. Verkehr (Luft, Schiene, Wasser und Straße)

3. Bankenwesen, Finanzmarktinfrastrukturen

4. Gesundheitswesen (Gesundheitsdienstleister, Krankenhäuser und Privatkliniken)

5. Trinkwasserlieferung und -versorgung

6. digitale Infrastruktur

7. und in anderen Sektoren, die für den betreffenden Mitgliedstaat von wesentlicher Bedeutung sind;

c. kritische staatliche Funktionen, insbesondere in den Bereichen

1. Verteidigung

2. Staatsführung und

3. Institutionen, die für das Funktionieren des Staates wesentlich sind, zum Beispiel Wahlen

4. Institutionen, die für das Funktionieren der wirtschaftlichen und der zivilen Infrastruktur wesentlich sind

5. innere Sicherheit

6. Außenbeziehungen, einschließlich diplomatische Missionen;

d. Vorrichtungen zur Speicherung oder Verarbeitung von Verschlusssachen;

e. Katastrophenstäbe der Regierungen.

Quelle: Eigene Darstellung

Welche Institutionen und Verfahren bestimmen die Attribution?

Für die Attribution wird auf den allgemeinen Rechts­grundsatz (General Principle, Art. 38 Abs. 1c IGH-Sta­tut) verwiesen, dass jeder Staat die Verpflichtung hat, nicht wissentlich zuzulassen, dass sein Hoheitsgebiet für Handlungen genutzt wird, die die Rechte anderer Staaten verletzen.26 Nach diesen Prinzipien ist es jedem Mitgliedstaat freigestellt, welche Methode und welches Verfahren er zur Attribution wählt. Die poli­tische Attribution bleibt zwar ein souveräner Akt der Mitgliedstaaten, zugleich hat die EU aber eine wesent­liche Koordinierungsfunktion.27 Eine klare Hierarchie in der »Befehlskette« existiert nicht. Der Attributionsprozess läuft somit institutionell parallel zwischen Kommission, Rat und Europol sowie in Abstimmung mit den 27 Mitgliedstaaten ab (siehe Grafik 2, S. 17).

Die Kommission hat die Prinzipien des EU-Han­delns festgelegt, die auch für die anderen EU-Institu­tionen maßgebend sind. Im September 2017 hat sie einen Entwurf für eine koordinierte Reaktion auf grenzüberschreitende Cybersicherheitsvorfälle großen Ausmaßes ausgearbeitet (kurz: Blueprint).28 Leitprinzipien sind die Beachtung der Verhältnismäßigkeit, der Subsidiarität, der Komplementarität und der Ver­trau­lichkeit von Informationen bei der politischen Reak­tion auf Cyberangriffe.29 Zahllose Angriffe sind nur möglich, weil die Basissoftware (das Betriebssystem, Browser-Anwendungen, VPN etc.) fehlerhaft ist. In ihrem Entwurf legte die EU-Kommission den Schwer­punkt auf den Aufbau einer resilienten IKT-Struktur, auf den Schutz des Binnenmarkts und auf die Um­setzung eines Cyberkrisen-Reaktionsprozesses. Dieser sogenannte Blueprint-Mechanismus läuft parallel zum Krisenmanagement der GASP. Divergierende institutionelle Interessen können vorhandene Wider­sprüche und Inkohärenzen durchaus verschärfen, doch zeichnet sich schon jetzt ab, dass der EAD mit seiner neu eingerichteten Analyseeinheit für hybride Bedrohungen, der Hybrid Fusion Cell, in seine Rolle hineingewachsen ist und der Informa­tionsaustausch über Cybervorfälle einen kollektiven Mehrwert bietet. Der EAD übernimmt mittlerweile auch die Funktion, über die Informationskriegs­doktrin von Drittstaaten aufzuklären.

Der Rahmen für eine gemeinsame diplomatische Antwort auf böswillige Cyberaktivitäten, der soge­nannte diplomatische Reaktionsrahmen, greift dann, wenn der Rat sich darüber verständigt hat, dass eine äußere Bedrohung vorliegt (siehe Grafik 2, S. 17). Jeder Mitgliedstaat kann einen Vorschlag unter­brei­ten, um eine bestimmte Maßnahme aus dem Reper­toire der Cyber Diplomacy Toolbox zu aktivieren. Die vorbereitenden Absprachen zum Ratsbeschluss tref­fen das Politische und Sicherheitspolitische Komitee (PSK), die Horizontale Arbeitsgruppe »Cyberangelegen­heiten« (Horizontal Working Party on Cyber Issues, HWPCI, kurz HWP Cyber), die Kommissionspräsidentin und deren Stellvertreter sowie der Hohe Vertreter für Außen- und Sicherheitspolitik (siehe Grafik 2, Mitte).

Cyberangriffe werden in der Horizontalen Arbeitsgruppe besprochen, dem fachlich zuständigen Gre­mium innerhalb der EU, und dort auch abschließend behandelt. Die HWP ERCHT koordiniert das Vorgehen der EU-Mitgliedstaaten. Ihr werden Beweise vorgelegt, die durch die Strafverfolgungsbehörden und Geheim­dienste der Mitgliedstaaten ermittelt und überprüft werden, in Zusammenarbeit mit den Computer Secu­rity Incident Response Teams (CSIRT), dem European Cybercrime Centre (EC3), der European Union Agency for Cybersecurity (ENISA) oder dem Computer Emer­gency Response Team der EU (CERT-EU) (siehe Grafik 2, oben rechts).

Grafik 2

Im EAD werden die Informationen gebündelt (Grafik 2, links). Hier liegt die Zuständigkeit beim stellvertretenden Generalsekretär für Krisenreaktion, bei der Single Intelligence Analysis Capacity (SIAC, die wiederum aus Vertretern von EU INTCEN und der Abteilung Aufklärung des Militärstabs der EU, EUMS INT, besteht) und bei der Analyseeinheit für hybride Bedrohungen (EU Hybrid Fusion Cell). Außerdem sind weitere EU-Einrichtungen wie die ENISA, Europol/EC3 und das CERT-EU zu informieren.30 Die zentrale Stelle für eine koordinierte Reaktion ist das Europäische Zentrum für Cyberkriminalität (EC3) von Europol. Schwerwiegende Cybervorfälle sollen Europol gemel­det werden. Die oberste Polizeibehörde der EU iden­tifiziert, bewertet und klassifiziert abschließend die Cybervorfälle nach einer Bedrohungsmatrix.31 Infor­mationen für die Beurteilung des Gefahren- und Schadenpotentials werden über die Mitgliedstaaten zusammengetragen.

Im Rat beschäftigt sich der Ratsvorsitz (der zugleich Vorsitzender der Horizontalen Gruppe »Fragen des Cyberraums« [HWPCI] ist) oder der Ausschuss der Stän­digen Vertreter (AStV) mit Cybersicherheitsvorfällen. Unterstützt wird er dabei durch das Generalsekre­tariat des Rates oder das Politische und Sicherheits­politische Komitee (PSK, Grafik 2, rechts Mitte). Auf der Arbeitsebene ist die HWP Cyber die zentrale In­stanz für die Attribution.32 Hier wird insbesondere mit Hilfe der Rechtsabteilung der faktische juristische Gehalt und die Verlässlichkeit der Information hin­terfragt. Letzteres erfordert stets eine Rückfrage an INTCEN/SIAC. Die Einstufung des Cybervorfalls folgt einem sprachlich festgelegten Codex (Probability Yard­stick). Die Mitgliedstaaten verwenden ein ver­gleich­bares standardisiertes System, um Aussagen, die forensisch nicht bewiesen sind, überhaupt einordnen zu kön­nen. Für die HWP Cyber ist das Ziel der poli­tischen Attribution, zu einem gemeinsamen Lagebild zu gelangen. Die Bereitschaft der Mitgliedstaaten, an dieser Arbeit mitzuwirken, ist mit der Vielzahl öffent­lich zugänglicher forensischer Fakten über die Indi­cators of Compromise (IoC) gestiegen. Diese werden oftmals von privaten Sicherheitsanalyse­firmen doku­mentiert und sind allgemein verfügbar.

Als Beweise zum Erlass von Cybersanktionen kom­men umfassende nachrichtendienstliche Erkenntnisse, öffentlich zugängliche Informationen, auch solche über die möglichen Interessen des Angreifers, aber ebenso technische Daten in Frage. Die Beweise kön­nen aber durchaus auch für Ermittlungen in Straf­verfahren fundamental sein.33 Auf EU-Ebene folgt eine Beratung im Ausschuss der Ständigen Vertreter (AStV II). Dort wird entschieden, ob weitere Ermittlungen für notwendig erachtet werden oder ob der Rat Sanktionen erlassen kann. Gemäß Artikel 31 Absatz 1 EU-Vertrag (EUV) muss der Rat die Beschlüsse einstimmig fassen. Die verantwortlichen natürlichen oder juristischen Personen, Organisationen oder Einrichtungen können dann in die Durchführungsverord­nung aufgenommen, sprich auf die Sanktionsliste gesetzt werden.34 Bei einem Ratsbeschluss zur GASP handelt es um einen Rechtsakt ohne Gesetzes­cha­rak­ter, jedoch sind die Umsetzungsbeschlüsse und Ver­ordnungen des Rates nach Artikel 28 Absatz 2 EUV über Cybersanktionen bindend.35

Die Cyber Diplomacy Toolbox als Stufenplan

Der Europäische Rat bzw. der Rat für auswärtige Angelegenheiten stimmt der Attribution zu und ist für die Gegenreaktion auf Cyberangriffe zuständig. Das Maßnahmenrepertoire der Cyber Diplomacy Toolbox deckt sich weitgehend mit dem klassischen GASP-Instrumentarium. Allerdings ist die Toolbox als konkreter Stufenplan mit steigendem Eskalations­potential konzipiert. Die Zuordnung eines Cyber­angriffs zu einem Urheber ist hierfür eine notwendige Vorbedingung. Jede einzelne Eskalationsstufe mit der entsprechenden diplomatischen, politischen bzw. völ­ker­rechtskonformen Reaktion setzt einen einstim­migen Ratsbeschluss voraus (siehe Tabelle 2, S. 20).

In der Cyberdiplomatie kann ein breites Spektrum an GASP-Instru­menten eingesetzt werden.

Die GASP-Instrumente, die in der Cyberdiplomatie zum Einsatz kommen können, erstrecken sich über ein Spektrum, das von präventiven, kooperativen, stabilisierenden, restriktiven Maßnahmen bis hin zu völkerrechtskonformen Strafmaßnahmen zur Selbst­verteidigung reicht. Intensität und Tragweite mög­licher Reaktionen auf Cyberangriffe nehmen ent­sprechend dem Stufenplan zu.36 Die EU-Cyber-Diplo­macy-Toolbox und die darin katalogisierten Cyber­sanktionen erfüllen eine »signaling«-Funktion. Die EU macht damit für jede Konflikteskalationsstufe ihre zu erwartende diplomatische Gegenreaktion transpa­rent.37 Potentielle Angreifer sollen durch die Andro­hung rechtlicher, wirtschaftlicher und militärischer Sanktionen von böswilligen Handlungen abgehalten werden: »Sanktionen sind als eine der Optionen, die der EU-Rahmen für eine gemeinsame diplomatische Reaktion der EU auf böswillige Cyberaktivitäten (die sogenannte Cyber Diplomacy Toolbox) zur Verfügung stellt, darauf ausgerichtet, fortgesetzte und zunehmende böswillige Handlungen im Cyberraum zu verhindern, von ihnen abzuschrecken und auf sie zu reagieren38

So kann der Toolbox je nach Schwere eines Cybervorfalls eine passgenaue diplomatische und/oder an­gemessene völkerrechtskonforme Reaktion entnom­men werden. Während die präventiven und kooperativen Maßnahmen weitgehend den klassischen Instru­menten der diplomatischen Vermittlung ähneln, zielen die stabilisierenden und restriktiven Maßnahmen auf die konkrete Gefahrenabwehr. Die völkerrechtskonforme Reaktion wird autonom von den Staats- und Regierungschefs der EU beschlossen.

Diese Einstufung trägt dazu bei, dass das Handeln der EU für Dritte erwartbar und damit verlässlicher erscheint.

Präventive Maßnahmen haben eine geringe Inten­sität und erfordern nicht unbedingt eine Attribution. Unter diese Kategorie fallen Formate für politische Dialoge mit Drittstaaten, die mit der Hoffnung ver­bunden sind, durch Informationsaustausch und eine Ver­tiefung der Zusammenarbeit auf das Verhalten und die Position der Partner Einfluss nehmen zu können.

Kooperative Maßnahmen umfassen zum Beispiel EU-Demarchen, also diplomatische Protestnoten, die auf Weisung des Hohen Vertreters (HR) von der EU-Dele­gation im jeweiligen Gastland übergeben werden können. Demarchen können auch gemeinsam mit Drittstaaten vorgetragen werden.

Stabilisierende Maßnahmen: Hierbei einigt sich der Rat einstimmig auf eine Aktion oder einen Gemeinsamen Standpunkt der EU. Umsetzungsakte setzen einen einstimmigen Beschluss voraus. Artikel 31 Absatz 2 EUV lässt aber zu, dass Durchführungs­beschlüsse mit qualifizierter Mehrheit gefasst werden, es sei denn, sie hätten militärische oder verteidigungspolitische Bezüge. Dies könnte entsprechenden Entscheidungen im Bereich der Cyberdiplomatie die Tür öffnen. Bisher wurde von dieser Möglichkeit nicht Gebrauch gemacht. Ein schwächeres Signal kann der Hohe Vertreter im Namen der EU aussenden, indem er eine Erklärung abgibt, zu der der Rat zuvor seine Einwilligung geben muss. Eine Erklärung des HR »im Namen der EU« ergeht zumeist in den­jeni­gen Fällen, in denen ein EU-Standpunkt angesichts einer neuen Situation erst erarbeitet oder eine beste­hende Position angepasst werden muss. Der HR kann aber durchaus auch eine Erklärung in eigener Ver­antwortung abgeben, wenn eine schnelle Reaktion erforderlich und eine Abstimmung im Kreis der EU‑27 nicht möglich ist. Allerdings wird in der internatio­nalen Diplomatie registriert, ob alle EU-Staaten dieser Erklärung zugestimmt haben oder eben nicht. Ent­sprechend ist ihre Wirkung einzustufen.

Restriktive Maßnahmen: Die EU kann zur Durchsetzung politischer Ziele infolge von schwerwiegenden Cyberangriffen restriktive Maßnahmen verhängen. Solche Sanktionen stellen aktuell die höchste Eskala­tionsstufe vor den völkerrechtskonformen Reaktionen dar. Sie sind sozusagen der »Hammer« im EU-Werk­zeug­kasten (und werden auch als solche bezeichnet), da sie schmerzhafte ökonomische Effekte bei Dritt­akteuren auslösen sollen. Restriktive Maßnahmen richten sich in der Regel gegen Vertreter von Regie­run­gen bestimmter Drittstaaten, aber auch gegen Staatsfirmen oder andere juristische und natürliche Personen. Sie müssen vom Rat einstimmig beschlossen werden und im Einklang mit den in Artikel 24 EUV genannten Zielen der GASP stehen.

In der EU gilt das Gebot, dass Sanktionen immer gezielt sein sollten (targeted sanctions).39 Nachdem sich Handelsembargos in der Vergangenheit als wenig wirksam erwiesen haben, verhängt die EU als Reak­tion auf böswillige Aktivitäten im Cyber- und Infor­mationsraum in der Regel gezielte Maßnahmen wie Kontensperrungen sowie Einreise- und Investitions­verbote.40 Listungen von Personen und Unternehmen, Kontensperrungen oder Einreisebeschränkungen gel­ten in allen Mitgliedstaaten. Die Betroffenen haben grundsätzlich die Möglichkeit, gegen den Erlass von Sanktionen mit rechtsstaatlichen Mitteln vorzugehen. Gegen die Listung im Wege einer Durchführungs­verordnung besteht Rechtsschutz über die Nichtig­keits­klage nach Artikel 263 IV AEUV vor dem Euro­päischen Gerichtshof (EuGH).

Tabelle 2 Cyberdiplomatischer Reaktionsrahmen der EU (Cyber Diplomacy Toolbox), extrahiert aus: siehe Quelle

Präventive Maßnahmen

Kooperative Maßnahmen

Stabilisierende Maßnahmen

Restriktive Maßnahmen

Völkerrechts­konforme Maßnahmen

  • Vertrauens- und sicherheitsbildende Dialoge

  • Kapazitätsaufbau in Drittstaaten

  • awareness raising

  • EU-Demarchen (ggf. in Kooperation mit Drittstaaten)

  • Diplomatische Protestnoten

  • Gemeinsamer Standpunkt des Europäischen Rates

  • GASP-Beschluss

  • Erklärungen des HR im Namen des Rates

  • Erklärung des HR

  • Maßnahmen nach Art. 215 AEUV/ GASP-Beschluss Titel V Kapitel 2 EUV

  • Kontensperrungen

  • Reisebeschränkun­gen

  • Solidaritätsklausel (Art. 222 AEUV)

  • Beistandsklausel (Art. 42 (7) EUV) im Einklang mit Arti­kel 51 UN-Charta (Recht auf Selbst­verteidigung)

Resilienz (Resilience)

Abwehr (Denial)

Vergeltung (Retaliation)

Beispiele:

Beispiele:

Beispiele:

  • (Non public)
    Demarche »on the need to respect the rules-based order in cyberspace« (
    April 2019)

  • (Non public)
    Demarche »on the need to respect the rules-based order in cyberspace« (November 2019)

  • Ratsschlussfol­gerungen zu WannaCry und NotPetya (April 2018)

  • »Common mes­sages« (2018)

  • Erklärung HR/VP, Präsidenten von Europäischem Rat und EU-Kommis­sion zum OVCW-Angriff (Oktober 2018)

  • Erklärung des HR im Namen der EU »to respect the rules-based order in cyberspace« (April 2019)

  • Horizontales Cyber­sanktionsregime (Mai 2019)

  • »Koordinierte Attri­bution auf EU-Ebene« (Annex zu den Umsetzungs­richtlinien, Juni 2019)

  • Ratsverordnungen (Juli 2020)

Quellen: Rat der Europäischen Union, Entwurf von Schlussfolgerungen des Rates über einen Rahmen für eine gemeinsame diplo­matische Reaktion der EU auf böswillige Cyberaktivitäten (»Cyber Diplomacy Toolbox«) – Annahme, Brüssel, 7.6.2017, und Council of the European Union, Draft Implementing Guidelines for the Framework on a Joint EU Diplomatic Response to Malicious Cyber Activities, Brüssel, 9.10.2017.

Restriktive Maßnahmen im Rahmen der GASP sind das invasivste Instrument, das die Cyber Diplomacy Toolbox unterhalb der Schwelle eines bewaffneten Konflikts vorsieht. Allerdings klafft im Werkzeug­kasten eine große Lücke zwischen den Mitteln, die für den zivilen, und denen, die für den militärischen Kon­fliktaustrag als höchste Eskalationsstufe zur Ver­fügung stehen.

Völkerrechtskonforme Reaktion: Die Anwendung der Solidaritäts- und Beistandsklauseln, die erst mit dem Vertrag von Lissabon Teil des EU-Acquis geworden sind, ist ebenfalls eine Option im Falle eines schwerwiegenden Cyberangriffs gegen einen Mitgliedstaat oder die EU als Ganze. Die Solidaritätsklausel nach Artikel 222 AEUV sieht vor, dass sich die EU-Staaten gegenseitig unterstützen, wenn einer oder mehrere von ihnen Opfer von Terroranschlägen, Naturkatas­tro­phen oder von Menschen verursachten Kata­strophen – und damit auch von schwerwiegenden Cybervorfällen – geworden ist bzw. sind.

Das schärfste Reaktionsmittel wäre die Aktivierung der Beistandsklausel nach Artikel 42 Absatz 7 EUV. Die Bestimmung entspricht in etwa Artikel 5 des Nato-Vertrags, verhält sich jedoch für Nato-Mitglieder hierzu subsidiär. Konkret heißt dies, dass »im Falle eines bewaffneten Angriffs auf das Hoheitsgebiet eines Mitgliedstaats« die anderen Mitgliedstaaten im Einklang mit Artikel 51 der UN-Charta (Recht zur Selbstverteidigung) Hilfe leisten müssen.41 Beide Klauseln können nur bei Cyberangriffen angewandt werden, die einen Verstoß gegen das Gewaltverbot (Art. 2.4 UN-Charta) als jus cogens darstellen.

Das Recht auf eine militärische Selbstverteidigung gegen Cyberattacken geht allerdings mit hohen An­forderungen einher: Zum einen muss eine Cyber­operation hinsichtlich Umfang und Wirkung mit dem Einsatz von Waffengewalt vergleichbar sein, um entsprechend eingestuft werden zu können. Außerdem muss die Operation entweder direkt oder indi­rekt einem Staat zurechenbar sein bzw. muss sich dessen Verantwortlichkeit (gerichtsfest) nachweisen lassen.

Nur wenige Mitgliedstaaten sind technisch zu reaktiven defensiven Cyber-Gegenschlägen oder eigenen Cyberoperationen in der Lage.

Cybersanktionen müssen nicht notwendigerweise auf die oben beschriebenen klassischen Instrumente der Gemeinsamen Außen und Sicherheitspolitik oder der Gemeinsamen Sicherheits- und Verteidigungs­politik der EU beschränkt bleiben. Sie können von den Mitgliedstaaten auch digital im Cyber- und Infor­mationsraum beantwortet werden.42 So haben die Staats- und Regierungschefs im Rat die Möglichkeit, als letztes Mittel der Toolbox eine »aktive« Cyber­verteidigung in Form eines digitalen Vergeltungsschlags (»hack back«) zu beschließen, wie er auch von anderen Cybermächten, zum Beispiel den USA oder Israel, durchgeführt wird. Reaktive defensive Cyber-Gegenschläge bzw. eigene Cyberoperationen in Dritt­staaten sind unter bestimmten Voraussetzungen mög­lich, etwa zur Gefahrenabwehr. Aktuell sind aber nur einige wenige Mitgliedstaaten technisch dazu in der Lage.

Solche Gegenschläge zielen auf IT-Sicherheits­schwachstellen, deren Ausnutzung die EU im Ein­klang mit ihrer Cybersicherheitsstrategie grundsätzlich vermeiden will. Cyberoperationen in fremden Netzen in Friedenszeiten können eine Souveränitätsverletzung darstellen.43 Das Risiko, statt des Täters ein anderes Opfer auszuschalten oder erhebliche Kollate­ral­schäden bei Unbeteiligten zu erzeugen, ist schwer zu bemessen. Auch dies steht im Widerspruch zur EU-Cyberstrategie, die auf Konfliktprävention statt Eskalation, auf das Mitigieren statt Ausnutzen von IT-Unsicherheiten sowie auf vertrauens- und sicherheits­bildende Maßnahmen und eine rechtsstaatlich und völkerrechtlich legitimierte Cyberdiplomatie setzt.

Fallstudien: EU‑Cybersanktionen und ihre Attributionen

Die im Folgenden dargestellten Cyberangriffe WannaCry 2017, NotPetya 2017, Operation Cloud Hopper 2017, Bundestag-Hack 2015 und der ver­suchte Angriff auf die Organisation für das Verbot chemischer Waffen (OVCW) 2018 bildeten die Grund­lage für die Verhängung der ersten EU-Cybersanktio­nen durch den Rat der Europäischen Union im Juli 2020. Bereits im Mai 2019 hatte der Rat sie als bös­willige Cyberangriffe mit erheblichen Auswirkungen auf die Sicherheit der Union und ihrer Mitglied­staaten eingestuft.44 Die Europäische Kommission und die Hohe Vertreterin haben den Erlass von Cyber­sanktionen mit einer hybriden Bedrohung der Union begründet.45 Die genannten Fälle werden im Folgen­den untersucht, um das Verfahren der Attribution der EU auf der technischen, politischen und rechtlichen Ebene nachzuvollziehen. Die Analyse erfolgt entlang der in der Ratsverordnung (EU) 2019/796 und im Rats­beschluss (GASP) 2019/797 definierten Tatbestands­merkmale (vgl. oben, Tabelle 1, S. 14f).46 Im Folgenden werden anhand des ersten Cybersanktions­regimes und der Cybervorfälle, die ihm zugrunde lie­gen, die Diskrepanzen verdeutlicht zwischen einer rechtlich notwendigen und einer politisch hinreichen­den Attribution.

WannaCry 2017

Der WannaCry-Cyberangriff begann am 12. Mai 2017 und dauerte nur einige Tage an. WannaCry war eine Erpressersoftware (Ransomware). Bei Angriffen dieser Art findet ein Eingriff in Informationssysteme statt, auf das Zielsystem wird eine Schadsoftware auf­gespielt, die Daten werden verschlüsselt. Diese sind für die Nutzerin und den Nutzer so lange nicht ver­füg­bar, bis sie durch Lösegeldzahlungen meist in Bit­coin wieder freigekauft werden.47 Die Schadsoftware verbreitete sich selbständig, genauer gesagt wurm­artig auf verwundbaren Zielsystemen.48 Diese Ver­breitungstechnik basierte auf einem zuvor von der US-amerika­nischen National Security Agency (NSA) entwendeten Exploit namens Eternalblue, der auch in der NotPetya-Attacke und in chinesischen APT-(Advanced Persistent Threat)-Kampagnen entdeckt wurde.49 Eternalblue nutzte dabei eine fehlerhafte Implementierung des SMB-Protokolls von Microsoft, um auf Dateien und Drucker anderer Rechner des­selben Netzwerks zuzu­greifen. Dadurch konnte sich die Schadsoftware ohne eine vorangegangene Nutzer­interaktion von Rechner zu Rechner schlängeln, so­lange Microsoft die Sicher­heitslücken in seinem Windows-Betriebssystem durch neueste Patches nicht schließen konnte.50

Opfer, Schäden und Operationsziel

Nach Medienberichten waren etwa 230.000 Computer in rund 150 Ländern von dem WannaCry-Angriff betrof­fen, darunter auch EU-Mitgliedstaaten. Die so­genannte Wurmfähigkeit der Software ermöglichte WannaCry eine unkontrollierbare Verbreitung und löste zahlreiche Kollateraleffekte aus. Zur Entschlüsselung von Daten wurden Lösegeldzahlungen in Höhe von circa 35.000 US-Dollar geleistet. Der Gesamt­schaden wurde auf rund vier Milliarden US-Dollar geschätzt.51 Opfer der Attacke waren Unternehmen wie Télefonica und O2 (Spanien und EU), DB Schenker (eine Tochterfirma der Deutschen Bahn), FedEX (USA), Renault (Frankreich), Nissan in Großbritannien, Sony Pictures (USA), die Telekommunikationsunternehmen Vivo (Brasilien) und MegaFon (Russland), Sandvik (Schweden), PetroChina und chinesische Tankstellen. Ferner waren der Banco Bilbao Vizcaya Argentaria (Spanien), die Bangladesh-Bank, die Tien Phong Bank (Vietnam),52 das russische Innen- und Katastrophenschutzministerium, das rumänische Außenministe­rium und die polnische Finanzaufsichtsbehörde betrof­fen.53 Die UK National Health Services und zahlreiche britische Krankenhäuser mussten ihre Arbeit einstellen.54 Der Schaden in Großbritannien wurde auf circa 92 Millionen Pfund beziffert. Mehr als 19.000 Behandlungen konnten nicht durchgeführt werden. Auswirkungen auf die Gesundheit und das Leben von Patienten nahmen die Hacker in Kauf.55 Die Ticketautomaten der Deutschen Bahn fielen aus, Erpressernachrichten erschienen auf zahlreichen Anzeigetafeln.56

Das strategische Ziel der Operation ist vergleichsweise schwer zu bestimmen. Der Wurm-Charakter, die Verwendung eines NSA-Exploits, der eingebaute »Notausschalter«, ein sogenannter Kill-Switch (über einen im Schadcode oder im Firewall-Log nachles­baren Domainnamen), und die Notwendigkeit einer manuellen Entschlüsselung infizierter Rechner spre­chen dafür, dass WannaCry auf eine kleinere Disrup­tion und einen Konflikt mit der NSA ausgerichtet war. Gegen kriminelle Motive spricht ein gewisser Dilettantismus, der nicht mit einer professionellen Ransomwarekampagne zu vereinbaren ist: »Hoher Schaden, hohe Publicity, sehr hohe Sichtbarkeit für Strafverfolgungsbehörden und vermutlich die gering­ste Profitmarge, die wir bisher von moderaten oder gar kleinen Ransomwarekampagnen gesehen haben«, so der Cybersecurity-Forscher Craig Williams.57 Ver­mutet wurde auch, dass es sich um ein Ablenkungsmanöver gehandelt haben könnte, um andere Spio­nageoperationen zu verdecken oder die NSA-Machen­schaften bloßzustellen. WannaCry könnte schließlich auch ein »last resort effort« gewesen sein, also eine Maßnahme, mit der noch politisches Kapital aus einer zuvor aufgeflogenen Geheimdienstoperation geschlagen werden sollte.58

Attribution der Angreifer

Im Juni 2017, nur zwei Monate später, trugen die NSA und der britische Nachrichtendienst GCHQ (Govern­ment Communications Headquarters) mit »moderater Gewissheit« vor, dass Nordkoreas »Generalbüro für Aufklärung« mit dem Cyberangriff »WannaCry« in Verbindung stehe.59 Die öffentliche politische Attri­bution an Nordkorea durch die Regierungen Groß­britanniens und der USA erfolgte ein halbes Jahr spä­ter am 18. Dezember 2017. Sanktionen haben die USA nicht umgehend verhängt.60 Das UK National Cyber Security Centre (NCSC) erklärte, mit einer »hohen Wahrscheinlichkeit« sei die nordkoreanische Gruppe »Lazarus« bzw. »APT 38« für die Angriffe verantwortlich. Die Five Eyes (Großbritannien, USA, Australien, Neuseeland, Kanada) und Japan stellten sich hinter diese Verurteilung. Konkrete Beweise legten die Regierungen nicht vor. Umso bemerkenswerter ist es, dass die Symantec-Mitarbeiterin Amy L. Johnson bereits einige Monate zuvor, Ende Mai 2017, eine Verbindung zur APT-Gruppe Lazarus gezogen hatte.61 Die Security-Researcher Rafael Amado und Pasquale Stirparo vermuteten den Ursprung von WannaCry hingegen nicht in Nordkorea.62 Ebenfalls im Mai 2017 hatte die Sicherheitsfirma Symantec aufgedeckt, dass frühere, im Internet kursierende Versionen von WannaCry, die vermutlich auf Mal­ware-Testläufe zurückzuführen sind, Ähnlichkeiten mit den TTPs (Tools, Techniques/Tactics & Procedures) der Lazarus-Gruppe aufwiesen.63 Komponenten von WannaCry seien als eine Weiterentwicklung der Cyberoperation gegen Sony Pictures aus dem Jahr 2014 identifiziert worden. Dass bei WannaCry und Sony-Hack dieselben Passwörter für Zip-Dateien ver­wendet wurden, wird als Indiz dafür gesehen, dass die Malware von derselben Gruppe geschrieben wurde.64 Zudem glichen sich die Bitcoin-Konten der Kampagnen, was auf einen identischen Urheber hin­deutet.65 Dafür, dass es sich um die gleiche Akteursgruppe handelt, sprechen außerdem die IP-Adressen der Command & Control-Server (C2) und die Verwendung ähnlicher Verschlüsselungstechniken zur siche­ren Kommunikation. Die US-Regierung hat etwa ein Jahr später, im September 2018, die Softwareentwickler Park Jin Hyok, Jon Chang Hyok und Kim Il als Mit­arbeiter der E-Commerce-Firma Chosun Expo ange­klagt. Die Firma gehört dem nordkoreanischen Staat.66 In den TTPs von Lazarus fanden sich Rückbezüge auf Nutzerinnenaccounts, gefälschte Online-Identitäten (Fake Online Personas), Passwörter, mehrfach verwen­deter Software-Code und IP-Adressen, die der Firma Chosun Expo gehörten bzw. zugeordnet werden können.67

EU-Reaktion auf WannaCry

Am 16. April 2018 veröffentlichte der Rat Schluss­folgerungen, in denen er die böswillige Nutzung von Informations- und Kommunikationstechnologien in Form der WannaCry- und NotPetya-Attacke verurteilte. Erst zwei Jahre später aber, Ende Juli 2020, verhängte er mit der Durchführungsverordnung 2020/112568 wirtschaftliche Strafmaßnahmen gegen das Unternehmen Chosun Expo.69 Es handelt sich um gezielte Sanktionen (»Smart Sanctions«). Dabei wurden sämtliche Gelder und wirtschaftlichen Ressourcen eingefroren, die Eigentum oder Besitz der natür­lichen oder juristischen Personen, Organisationen oder Einrichtungen sind oder von diesen gehalten oder kontrolliert werden. Den sanktionierten Perso­nen, Organisationen oder Einrichtungen dürfen weder unmittelbar noch mittelbar Gelder oder wirt­schaft­liche Ressourcen zur Verfügung gestellt werden.

Der Verantwortungszuschreibung an Lazarus/APT38 gingen aufwendige diplomatische Bemühungen voraus.

Der Verantwortungszuschreibung an Lazarus/ APT38 gingen aufwendige diplomatische Bemühungen voraus. Die Attribution stützte sich vorwiegend auf Informationen von US-Sicherheitsdiensten. Die Anklage gegen Park Jin Hyok – laut US-Justiz70 ein Mitarbeiter einer Strohfirma im Dienst der nord­koreanischen Regierung – beruhte auf rund 1.000 beschlagnahmten E-Mail- und Social-Media-Konten, 85 internationalen Rechtshilfeersuchen und profitierte von der Zuarbeit der Firmen Mandiant und Fire­Eye.71 Die Klageschrift (»Criminal Complaint«) gegen Park Jin Hyok zeigt auf, wie Person, E-Mail-Adressen, die IT-Infrastruktur für den Angriff, Opfer und Mal­ware-Familien zusammenhängen.72

Estland,73 die Niederlande,74 Frankreich,75 Groß­britannien,76 Australien77 und die USA78 begrüßten ebenfalls die restriktiven Maßnahmen der EU, um die Signalwirkung gegen die Verantwortlichen zu verstärken. Die USA attribuierten den Angriff im Juni 2017 an Nordkorea,79 Großbritannien80 folgte im Oktober 2017.81 Das UN-Büro für Drogen- und Ver­brechensbekämpfung, namentlich dessen Chef Neil Walsh, verurteilte zwar die WannaCry-Attacke als kriminellen Akt, völkerrechtliche Maßnahmen wur­den aber nicht ergriffen.82

NotPetya 2017

Am 27. Juni 2017, dem Vorabend des ukrainischen »Tags der Verfassung«, setzte eine Wiper-Malware zahlreiche Rechner weltweit, vor allem aber in der Ukraine außer Betrieb, indem sie Festplatten löschte.83 Die Malware NotPetya gelangte über einen Supply-Chain-Angriff auf den Update-Mechanismus der ukrainischen Steuerverwaltungssoftware M.E.Doc in ein lokales Netz.84 Die Malware breitete sich selb­ständig wurmartig auf Unternehmen aus, die die genannte Software nutzten. Unternehmen in zahl­reichen Staaten wurden mit NotPetya infiziert.85

Wie ging NotPetya vor? Ist der Brückenkopf gebildet, versucht ein Modul im Arbeitsspeicher mit Hilfe des Tools Mimikatz User-Anmeldeinformationen (»credentials«) auszulesen, auch solche von Usern mit administrativen Rechten. Unter Verwendung dieser Daten wird die Schadsoftware auf andere Rechner kopiert. Der neu infizierte Rechner startet diesen Ver­teilungsmechanismus seinerseits. Alternativ erfolgt die Streuung in Unternehmensnetzwerken über die­selbe Komponente Eternalblue, die auch WannaCry zugrunde lag.86 Analysen von Ende Juni 2017 klassi­fizierten die Schadsoftware aufgrund von Ähnlich­keiten im Code zunächst als eine Variante der Petya-Ransomware-Familie, die von Cyber-Kriminellen seit 2016 genutzt wird.87 Das Vorgehen der Malware ähnelte Petya: Die Festplatte wird verschlüsselt, der Microsoft-Bootloader durch eine Zahlungsaufforde­rung ersetzt. Die Angreifer verlangten 300 US-Dollar in Bitcoin. Um Informationen zur Wiederherstellung der Daten zu erlangen, sollten die Betroffenen eine E‑Mail an eine Adresse beim Berliner Provider Posteo senden. Der Anbieter sperrte das E‑Mail-Konto umgehend.88

Opfer, Schäden und Operationsziel

Die Cyberangriffe NotPetya und EternalPetya haben weltweit 65 Länder und rund 49.000 Systeme geschä­digt. Unter den Opfern waren zahlreiche Unterneh­men in der EU.89 Die eingeschleuste Ransomware blockierte den Zugriff auf Daten. Betroffene Konzerne waren unter anderem Maersk (Dänemark), Rosneft (Russland), Merck Sharp & Dohme (USA), Mondelez (USA), FedEx/TNT (USA/Niederlande), Reckitt Bencki­ser (UK), Saint-Gobain (Frankreich) und Beiersdorf (Deutschland). In den USA legte die Malware die Daten­verarbeitungsstrukturen von 80 Kranken­häusern und medizinischen Einrichtungen des US Heritage Valley Health System lahm.90 Den Angrei­fern gelang es, die ukrainischen IT-Netze, Systeme der Zentralbank, den internationalen Flughafen Kiew-Borispyl, die U-Bahn der Hauptstadt und die Agentur für die Verwaltung der Sperrzone um das havarierte Kernkraftwerk in Tschernobyl zu infiltrieren.91 Viele der betroffenen Unternehmen sind für die Aufrechterhaltung wesentlicher Dienstleistungen der Daseins­vorsorge – teilweise in den EU-Staaten – erforder­lich.92 Welt­weit verursachte der Cyberangriff einen wirtschaft­lichen Gesamtschaden von circa 10 Mil­liarden US-Dollar.93 Einzelne Firmen konnten ihre IT-Infra­strukturen über mehrere Wochen nicht wieder­herstellen. Die dänische Reederei Maersk und der Frachtdienstleister TNT Express bezifferten ihren Schaden jeweils auf über 300 Millionen US-Dollar. NotPetya wird als eine der schwerwiegendsten und kostspieligsten Cybervorfälle angesehen.

Das Operationsziel lässt sich recht klar bestimmen: Bestimmte technische Indikatoren, wie die einzige Kontakt-E-Mail-Adresse, die einen »single point of failure« darstellt, der den Erpressungsvorgang durch simple Gegenmaßnahmen abwenden lässt, sind un­typisch für kriminelles Vorgehen. Die unprofessio­nelle Vorgehensweise bei der Lösegeldabwicklung ließ Zweifel aufkommen, ob ein staatlicher Akteur in Frage käme. Erst später entdeckte man die Wiper-Funktionalität des Virus, also dessen Fähigkeit, einen möglichst großen Datenverlust bei den Betroffenen zu verursachen. NotPetya tarnte sich als Standard-Petya-Ransomware. Ausgerichtet war die Malware aber auf eine professionell durchgeführte politische Sabotageaktion. Im Laufe der Attribution verfestigte sich die These, dass es sich bei der NotPetya-Attacke sogar um eine großflächige Zerstörungs- und Zerset­zungskampagne handelte, die gegen die Ukraine gerichtet war. Der Angriffsvektor über eine Software in der Ukraine spricht jedenfalls für eine derartige Zielfokussierung. Ob die erheblichen weltweiten Kollateralschäden intendiert waren, ist bis heute unklar; immerhin waren auch russische Unter­nehmen betroffen. Es ist also auch denkbar, dass NotPetya aufgrund seiner hohen Sichtbarkeit im Sinne eines »signaling« bzw. »tacit bargaining« als diplomatisches Druckmittel gegen die Ukraine eingesetzt wurde.94

Attribution der Angreifer

Die technische Attribution ist im Fall NotPetya kaum rekapitulierbar. Die Schadsoftware wird mit Ad­vanced Persistent Threats in Verbindung gebracht, Angriffskampagnen, die in der IT-Sicherheitsindustrie unter Codenamen wie »Sandworm«, »BlackEnergy Group«, »Voodoo Bear«, »Iron Viking«, »Quedagh«, »Olympic Destroyer« und »Telebots« bekannt sind. Wie sich diese APT-Gruppen zueinander verhalten, ob sie iden­tisch sind oder nur punktuell zusammenarbeiten bzw. in welcher Beziehung sie zu staatlichen Stellen in Russland stehen, war zum Zeitpunkt des Cyber­vorfalls nicht bekannt.

NotPetya reiht sich ein in eine mehrjährige Folge von zahlreichen Cyberangriffen dieser Akteure gegen ukrainische Unternehmen, Behörden und Energie­versorger.95 Der slowakischen IT-Sicherheitsfirma ESET zufolge nutzte die APT-Gruppe Telebots ab April 2018 eine neue Backdoor-Komponente, die Ähnlichkeiten mit Industroyer-Malware-Frameworks aufwies. Mit dem Schadprogramm Industroyer war im Dezem­ber 2016 bereits das ukrainische Stromnetz angegriffen worden.96 Code, Angriffsinfrastruktur, IoCs und Operationsziel ließen zu dem Zeitpunkt noch keine eindeutige politische und rechtliche Attribution an einen Akteur zu.97 Gemeinsamkeiten und Verwandtschaften in der Schadsoftware verschiedener Angriffs­kampagnen sind nur ein unsicheres Indiz, denn diese weisen lediglich auf ähnliche Entwickler, nicht aber zwangsläufig auf dieselben operativen Angreifer hin.98 Die Cyberkriminalität ist nämlich arbeitsteilig organisiert und funktionell differenziert, verschiedene Grup­pen kopieren zudem TTPs untereinander.99 Die Ent­wicklung und Durchführung von Attacken kann in unterschiedlichen Händen liegen. FireEye führte bei der Attribution an Russland recht vage Argumente an, dass nämlich russischsprachige Dokumente auf einem C2-Server der APT-Gruppe gefunden wurden und dass die Gruppe in einigen Cyberoperationen eine Zero-Day-Lücke verwendete, die zuvor auf einer russischen Hackerkonferenz präsentiert worden war.100

Die CIA geht davon aus, dass das russische Militär hinter NotPetya gestanden habe. Beweise wurden aber nicht präsentiert.

Die politische und rechtliche Attribution gestal­tete sich holprig. Das Bundeskriminalamt (BKA) hatte 2017 Ermittlungen aufgenommen, ohne aber eine Anklage oder einen Haftbefehl zu erlassen. Dieser Umstand lässt jedenfalls die Vermutung zu, dass weder für einen »hinreichenden« noch für einen »dringenden Tatverdacht« genügend Beweise ermit­telt werden konnten. Die CIA ging einem Bericht der Washington Post im Januar 2018 zufolge mit »hoher Gewissheit« davon aus, dass das russische Militär (genauer: der Militärnachrichtendienst GRU, und dort das Hauptzentrum für Spezialtechnologien; GTsST) hinter NotPetya gestanden habe. Beweise wurden aber nicht präsentiert.101 Die öffentliche politische Attribution erfolgte Mitte Februar 2018, indem die Five Eyes die Angriffe der russischen Regierung zurechneten.102 Dänemark, Lettland, Schweden und Finnland erklärten ihre Unterstützung für diese Zu­schreibung. Damit wurde der Akt zu einer der öffent­lichen Attributionen mit dem breitesten Rückhalt.103 Wenige Monate später, Anfang Oktober 2018, sorgte das britische NCSC für mehr Klarheit bei der Frage, welche APT-Gruppen mit dem GRU in Verbindung zu bringen sind. Dazu zählt demnach etwa die APT 28, die auch unter den Namen Fancy Bear und Sofacy operierte. Die ebenfalls GRU-nahe Gruppe Sand­worm ist auch unter den Namen Voodoo Bear und BlackEnergy bekannt.104 Zur formalen rechtlichen Attribution schritten das US-Außenministerium und das britische NCSC erst im Februar 2020. Gemeinsam stellten sie Bezüge zu einer vergleichbaren Cyber­operation in Georgien her, für die die erwähnte GRU-Abteilung GTsST bzw. eine Unit »74455« verantwortlich erklärt wurde. Das britische Außenministerium ergänzte apodiktisch: »Diese GRU-Einheit [GTsST, 74455] war verantwortlich für […] NotPetya«.105 Die USA erhoben schließlich Mitte Okto­ber 2020 formell Anklage gegen sechs russische Staats­bürger.106 Ihnen wird vorgeworfen, als Offiziere des russischen Militär­geheimdienstes GRU in der Militäreinheit 74455 an mehreren bösartigen Cyber­angriffen beteiligt gewe­sen zu sein (u.a. die Attacken mit Stromausfällen in der Ukraine 2015 und 2016, NotPetya, der Cyber­angriff auf die OVCW und der Hack von Emmanuel Macrons Wahlkampfteam während der französischen Präsidentschaftswahlen 2017).

EU-Reaktion auf NotPetya

Der Rat der Europäischen Union hatte am 16. April 2018 die böswillige Nutzung von Informations- und Kommunikationstechnologien verurteilt, einschließlich jener Fälle, die unter dem Namen WannaCry und NotPetya bekannt sind.107 Aber erst zwei Jahre später, am 30. Juli 2020, erließ er mit der Durchführungs­verordnung (EU) 2020/1125108 wirtschaftliche Sank­tionen,109 also gezielte Sanktionen gegen Einzelperso­nen.110 Im Amtsblatt der Europäischen Union wurden die beschuldigten Akteure benannt: »Das Hauptzentrum für Spezialtechnologien (GTsST) der Hauptdirektion des Generalstabs der Streitkräfte der Russischen Föde­ration (GU/GRU), auch unter seiner Feldpostnummer 74455 bekannt, ist verantwortlich für Cyberangriffe mit erheblichen Auswirkungen, die von außerhalb der Union ausgehen und eine externe Bedrohung für die Union bzw. ihre Mitgliedstaaten darstellen[,] und für Cyberangriffe mit erheblichen Auswirkungen auf Drittstaaten; dazu zählen die als ›NotPetya‹ oder ›EternalPetya‹ bekannten Cyberangriffe vom Juni 2017 und die im Winter 2015 und 2016 gegen das ukrainische Stromnetz gerichteten Cyberangriffe.«111 Die Five Eyes und einige wenige EU‑Mitgliedstaaten hatten, wie gesehen, die russische Regierung schon wesentlich früher, im Februar 2018, für verantwortlich erklärt. Zu ihrer kollektiven Reak­tion gelangte die EU somit erst über zwei Jahre später.

Operation Cloud Hopper 2016

Die Aktion Cloud Hopper gilt als Fall von Wirtschaftsspionage.112 Der Angriff, der im Jahr 2016 begann, wird als Supply-Chain-Attacke klassifiziert. Er richtete sich gegen sogenannte »Managed Service Provider« (MSP). Das sind Firmen, die wie Hewlett Packard Enterprise (HPE) und IBM unter anderem über Cloud-Dienste, Applikationen und Infrastruktur wie Server und Netzwerke IT-Dienstleistungen für Drittunterneh­men bzw. Regierungsstellen weltweit übernehmen. Die Hacker drangen in die Cloud-Management-Infra­struktur dieser MSP mit Hilfe von »spear phishing«-E‑Mails ein, die als Nachrichten von Klienten der Serviceanbieter getarnt waren. Laut einer technischen Analyse der Firma Trend Micro hatten die Angreifer einen modifizierten Remote-Access-Trojaner (RAT) aus der PlugX-, Poison-Ivy-, ChChes- und Graftor-Malware-Familie in Word-Dokumente implementiert, die den E-Mails anhingen.113

Die Angreifer »hüpften« (Hopper) sozusagen über verschiedene Cloud-Instanzen und erlangten so Zugriff auf die Systeme.

Einmal ausgeführt, etablierte der Trojaner einen Brückenkopf auf den MSP-Systemen und kommunizierte mit C2-Servern in Tianjin. Zudem wurden Key­logger installiert, die Namen und Passwörter zur Infra­struktur der Klienten protokollierten und aus­leiteten. Diese Zugangsdaten nutzten die Hacker, um lateral über die MSP-Cloud-Infrastruktur auf die Sys­teme ebenjener Klienten zuzugreifen. Aus diesem Modus Operandi erklärt sich der Name Cloud Hopper: Die Angreifer »hüpften« sozusagen über verschiedene Cloud-Instanzen und erlangten so Zugriff auf die Sys­teme. Der Angriff wird allseits als technisch versiert bewertet. Der verwendete Code nutzte Zertifikate gro­ßer IT-Unternehmen, um authentisch zu erscheinen. Eine Abwehr solcher Supply-Chain-Angriffsvektoren gilt grundsätzlich als schwierig.114

Opfer, Schäden, Operationsziel

Neben IBM und HPE waren laut der Nachrichten­agentur Reuters weitere Unternehmen im Visier der Angreifer: Ericsson, SKF (beide Schweden), Valmet (Finnland), Tata Consultancy Services (Indien), Fujitsu, NTT Data (beide Japan), Dimension Data (Südafrika), Computer Sciences Corporation, DXC Technology sowie die NASA (alle USA).115 Das deutsche Bundesamt für die Sicherheit in der Informationstechnik (BSI) warnte im Dezember 2018, dass auch hiesige Unternehmen Opfer der Angriffskampagne sein könn­ten, ohne dies jedoch näher zu spezifizieren.116 Außer den genannten waren noch weitere US-amerikanische Ziele betroffen: die Sabre Corp (US), ein weltweit agie­render Anbieter für Flug- und Hotelbuchungen, sowie die Huntington Ingalls Industries, die größte Werft der USA, die auch Atom-U-Boote für die US Navy baut. 40 Computer der US Navy waren ebenfalls kompro­mittiert. Persönliche Informationen von 100.000 Navy-Mitarbeitern und ‑Mitarbeiterinnen wur­den gestohlen.117 In einer US-Anklageschrift gegen die Urheber ist von mindestens 25 US-Entitäten und 14 weiteren Opfern in 12 Bundesstaaten die Rede.118 Berichte über das Ausmaß des Schadens sind widersprüchlich.119 Ver­glichen mit anderen Vorfällen ist die Informa­tionslage dünn. Die MSP und HPE hielten wegen Haf­tungsfragen und möglichen rechtlichen Konsequen­zen Informationen über ihre Klienten zurück. Einige Unternehmen bestätigten erfolgreiche Intrusionen, konnten aber nicht fest­stellen, ob Daten entwendet wurden. Zu den Kosten gibt es keine Schätzungen.120

Es gibt Hinweise, dass mehrere Angriffsteams mit unterschiedlichen Fähigkeiten arbeitsteilig vorgingen.

Auffällig ist, dass die angegriffenen Systeme vorwiegend zum Bereich der Schwerindustrie gehörten, zur Luft- und Seefahrt, zur Telekommunikation und Satellitentechnik. Operationsziel waren in erster Linie Wirtschaftsspionage bzw. im Fall von Sabre Kundendaten und im Fall der Navy politisch moti­vierte Nach­richtengewinnung.121 Die Attacke war schwer zu detek­tieren und hinterließ kaum Spuren. Es gibt zu­dem Hinweise, dass mehrere Angriffsteams mit unter­schiedlichen Fähigkeiten arbeitsteilig vorgingen, ein Zeichen für die Komplexität der Kampagne. Die TTP sprechen gegen den typischen Modus Operandi von Cyberkriminellen und für eine staatliche Organisa­tion mit ausreichend finanziellen Ressourcen.

Attribution der Angreifer

Im Dezember 2018 rechnete die US-Regierung den Angriff öffentlich der Gruppe APT 10 zu (alias MenuPass, POTASSIUM, Stone Panda, Red Apollo und CVNX), die mit dem chinesischen Ministerium für Staats­sicherheit in Verbindung gebracht wird. Das US-Justiz­ministerium veröffentlichte die Anklagen gegen zwei chinesische Staatsbürger: Zhu Hua und Zhang Shilong.122 Die Beschuldigten arbeiteten für die Hua­ying Haitai Science and Technology Development Company in Tianjin, China. Beide seien Teil der APT-Gruppe, die sich seit 2006 auf den Diebstahl geistigen Eigentums von Industrien im strategischen Interesse Chinas spezialisiert habe. Als technische Beweise gelten die Kommunikation der Malware mit IP-Adres­sen in Tianjin, die Registrierung von über 1.300 DNS-Servern in den USA und die Kongruenz der Angriffsaktivitäten mit den Büroarbeitszeiten in der chinesischen Zeitzone. Die Verantwortungszuweisung stützte sich auf Informationen von InfraGard und Trend Micro.123 Die Five Eyes schlossen sich der politischen Attribution an. Das britische NCSC konstatierte, es sei »äußerst wahrscheinlich« (»highly likely«), dass APT 10 dauerhafte Beziehungen zum chinesischen Ministerium für Staatssicherheit unterhalte und nach dessen Vorgaben operiere.124 Japan, das ebenfalls betrof­fen war, erklärte seine Zustimmung zu der öffent­lichen Attribution.125 Deutschland unterstützte das Vorgehen einen Tag später ebenfalls.126

EU-Reaktion auf Cloud Hopper

Im Laufe des Jahres 2019 entschloss sich die EU im Rahmen der GASP zu einer politischen Reaktion auf die Cloud-Hopper-Attacke. Die damalige Hohe Vertre­terin der Union für Außen- und Sicherheits­politik, Federica Mogherini, erklärte am 12. April 2019, dass böswillige Cyberaktivitäten, die die Integri­tät, Sicherheit und wirtschaftliche Wettbewerbs­fähigkeit der Union durch Diebstahl geistigen Eigen­tums untergraben, zu unterlassen seien. Die Botschaft richtete sich an die Gruppe APT 10.127 Aber erst ein Jahr später, Ende Juli 2020, ging der Rat mit den Durch­führungsverordnungen 2020/1125128 und 2020/1744129 einen Schritt weiter und verhängte im November 2020 Sanktionen. Die unter anderem damit in Kraft getretenen Einreisebeschränkungen gründen sich auf Artikel 4 Beschluss (GASP) 2019/797.130 Sanktioniert wurden die chinesischen Staatsbürger Gao Qiang und Zhang Shilong sowie das Unternehmen Huaying Haitai, die für die Cyber­angriffe in den Jahren von 2014 bis 2017 verantwortlich erklärt werden.131 Zhang Shilong sei der Urheber der Schadsoftware. Zhang sei bei der Firma Huaying Haitai beschäftigt gewesen, die die Operation Cloud Hopper ermöglicht habe. Die Uhrzeiten der Angriffe und die Ziele würden nahelegen, dass die verantwortlichen Hacker aus China heraus agiert und mit der Regierung in Verbindung gestanden hätten.132

Bundestag-Hack 2015

Es wird vermutet, dass eine Mitarbeiterin der Frak­tion Die Linke im Bundestag am 30. April 2015 einen Link in einer E-Mail öffnete, die vermeintlich von der UNO gesendet worden war und Informationen über den Ukraine-Konflikt versprach.133 Der Link führte zu einer kompromittierten Website, die einen Trojaner installierte. Der damalige BSI-Präsident Michael Hange bestätigte später im Bundestagsausschuss, dass sich die Täter am 5. Mai 2015 auf dem Domaincontroller und der Admin-Workstation anmelden konnten. Mit dem Tool Mimikatz ermittelten sie Pass­wörter weite­rer Nutzerkonten. Mit Hilfe extrahierter Passwörter und diverser Fernsteuerungsprogramme seien die An­greifer am 6. Mai 2015 auf bis zu 50 weitere Systeme gelangt.134 Die Eindringlinge erlangten Administra­tions­rechte für die Microsoft-Umgebung von Parla­ment und Fraktionen.

Im Auftrag der Linksfraktion erhielt der IT-Sicher­heits­forscher Claudio Guarnieri früh Zugriff auf Angriffsartefakte.135 Als Mittel zur Erstinfektion ver­mu­tete er Phishing, alternativ auch einen Bug in Win­dows oder im Flash Player. Unklar war zu diesem Zeitpunkt, ob der Angriff auf den Rechner der Links­fraktion Teil des Bundestag-Hacks oder eine eigen­ständige Attacke war. Das Krisennotfallmanagement stellte sich als eine Belastungsprobe für die Gewaltenteilung heraus, weil die IT-Sicherheit der Legislative durch das BSI bzw. das Bundesamt für Verfassungs­schutz als exekutive Instanzen unterstützt werden musste.

Opfer, Schäden und Operationsziel

Durch den Trojanerangriff wurden der zentrale Server der Bundestagsverwaltung und Rechner von Abgeord­neten kompromittiert, sogar das Büro von Bundeskanzlerin Angela Merkel. Es wird angenommen, dass eine beachtliche Anzahl von E-Mail-Unterhaltungen aus den Jahren 2012 bis 2015 entwendet wurden.136 Rund 50 IT-Systeme waren betroffen137 und größere Datenmengen aus dem Bundestag ausgeleitet: »Nach­weislich« wurden mindestens 16 Gigabyte (ggf. mit Duplikaten) »an etwa neun bekannte, weltweit ver­teilte, verdächtige Server« gesendet.138 Das genaue Datenvolumen und der Inhalt der abgeflossenen Daten (Verschlusssachen) sind nicht bekannt.139 Bis September 2015 wendete die Bundestags-IT-Abteilung für »die Abwehr und das Wiederaufsetzen Mittel in Höhe von ca. 1 Mio.« auf. Für das Folgejahr wurden fünf neue Stellen beantragt. Das BSI hat für die Behe­bung der Schäden der Cyberattacke 350 Werktage in Rechnung stellen müssen.140

Mit dem Angriff auf das höchste Verfassungsorgan der Bundesrepublik Deutschland wurde die Funk­tions­fähigkeit der Demokratie in Gefahr gebracht. Gleichwohl war das Ziel der Operation in erster Linie politische Spionage. Im Januar 2017 ließen Unbekannte die Domain »btleaks.com« registrieren, ver­mutlich in der Absicht, analog zum Hack der Partei­zentrale der Demokratischen Partei (DNC Hack) in den USA im Jahr 2016 und der Website dcleaks.com die gestohlenen Daten bei passender Gelegenheit, beispielsweise vor den Bundestagswahlen, zu ver­öffent­lichen.141 »Zwietracht säen oder Unsicherheit schüren« waren zum damaligen Zeitpunkt als Erklä­rungen plausibel, obwohl das gestohlene Material, wie bei klassischen Spionageoperationen üblich, nicht veröffentlicht wurde.142 Der politische Kontext ist aber für die rechtliche und politische Bewertung eines Angriffs zentral.

Attribution der Angreifer

Zwar kann man aus öffentlichen Quellen durchaus etwas über die technischen Merkmale des Angriffs erfahren, doch hielt die Bundesregierung diese attri­butionsrelevanten Details geheim. Entsprechend sind die Berichte des BSI und der Nachrichtendienste als vertraulich eingestuft. Das BKA und die deutschen Strafverfolger griffen bei ihren Ermittlungen auch auf belastende Informationen zurück, die US-Behörden im Zuge ihrer Untersuchung zum DNC-Hack gesam­melt hatten.143 Die IT-Sicherheitsfirma ThreatConnect beschrieb in einem Blog-Eintrag, wie es ihr gelang, zu rekonstruieren, dass beim Angriff auf die US-Demo­kraten im Wahlkampf 2016 dasselbe Zertifikat ver­wen­det wurde wie beim Bundestag-Hack 2015.144

Die Entwicklung des Schad­programms setzte eine solide Finan­zierung und die Unterstützung durch eine etablierte Organisation und warscheinlich einen Staat voraus.

Claudio Guarnieri benannte entsprechend früh im Juni 2015 die in Russland operierende Gruppe APT 28 als möglichen Urheber. Dabei stützte er sich auch auf einen Bericht des IT-Sicherheitsunternehmens FireEye (2014), das behauptete, dass APT 28 vom russischen Staat finanziert würde. FireEye schließt dies aus ver­gangenen Operationen, bei denen ähnliche Malware-Artefakte und TTPs bzw. deren Weiterentwicklungen identifiziert wurden. Die Angriffstools wurden auf Systemen mit russischen Spracheinstellungen zu den in Moskau und St. Petersburg üblichen Bürozeiten kompiliert. Die jahrelange, professionelle Entwick­lung des Schadprogramms setzte eine solide Finan­zierung und darüber hinausgehende Unterstützung durch eine etablierte Organisation und »most likely« einen Staat voraus. Die Cyberoperationsziele seien konsistent mit den gegenwärtigen außenpolitischen Interessen und Methoden Russlands.145 Guarnieris Argumente für die Attribution an APT 28 wurden durch eine Dokumentation des Wirtschaftsberatungs­unternehmens PricewaterhouseCoopers (PwC) erhärtet. Bestimmte IPs und SSL-Zertifikate, die beim Bundes­tag-Hack eine Rolle spiel­ten, wurden dem PwC-Report zufolge bereits zuvor für einen Angriff verwendet, der der Gruppe Sofacy/APT 28 zuzuschreiben ist.146

Im Juni 2015 vermutete der Präsident des Bundesamts für Verfassungsschutz Hans-Georg Maaßen, dass ein ausländischer Geheimdienst für den Angriff verantwortlich sei, ohne aber technische Details zu nennen.147 Ein Jahr später offenbarte Maaßen, dass der russische Staat hinter den Angreifern stecke.148 Die Beweise dafür würden nicht nur aus der tech­nischen Analyse stammen, sondern auch aus nach­richtendienstlichen Erkenntnissen.149

Anfang 2018 machte der niederländische In- und Auslandsgeheimdienst AIVD (Algemene Inlichtingen- en Veiligheidsdienst) Informationen über die Hacker­gruppe APT 29, auch Cozy Bear genannt, publik.150 Medienberichten zufolge hatten sich die Niederländer 2014 in die Netze der APT-Gruppe gehackt, Zugriff auf Überwachungskameras des Gebäudes erlangt, in dem die Hacker ihre Büros hatten, und Mitglieder der APT als Geheimdienstmitarbeiter identifiziert. Erhär­tet wurde dieser Befund wiederum durch die Unter­suchungen des US-Sonderermittlers Robert Mueller. In dessen Bericht von April 2019 und in einer frü­heren Anklageschrift vom Juli 2018 werden zwölf Geheim­dienstmitarbeiter der Einheiten 26165 und 74455 des russischen Militärnachrichtendienstes GRU als Urheber benannt. Der Mueller-Report unter­mauert die These, dass die Angreifer des GRU über ver­schiedene Operationen wie NotPetya, den OVCW-Hack und den Bundestag-Hack hinweg ähnliche TTPs verwendet haben.151

Ab 2018 erklärten weitere Staaten öffentlich die russische Regierung für mehrere Cyberoperationen verantwortlich. Im Herbst 2018 schloss sich die Bun­des­regierung dieser Sichtweise an: »Auch die Bundes­regierung geht mit an Sicherheit grenzender Wahr­schein­lichkeit davon aus, dass hinter der Kampagne APT 28 der russische Militärgeheimdienst GRU steckt […] Diese Einschätzung beruht auf einer insgesamt sehr guten eigenen Fakten- und Quellenlage.«152 Im November 2019 informierte der Generalbundesanwalt über erstmalige Ermittlungen gegen die Gruppe APT28/Fancy Bear.153 Nach deren Abschluss sprach Bundeskanzlerin Merkel im Mai 2020 »von ›harten Evidenzen‹ für eine russische Beteiligung und von einem ›ungeheuerlichen‹ Vorgang.«154

EU-Reaktion auf den Bundestag-Hack

Am 22. Oktober 2020 erließ der Rat der Europäischen Union mit der Durchführungsverordnung (EU) 2020/ 1536 Sanktionen gegen das 85. Hauptzentrum für Spezialdienste (GTsSS) der Hauptdirektion des Gene­ralstabs der Streitkräfte der Russischen Föderation (GU/GRU) und dessen Militärgeheimdienstbeamte Dmitry Badin und Igor Kostyukov.155 Bei den gezielten Strafmaßnahmen handelt es sich um wirtschaftliche Sanktionen gemäß Artikel 3 der VO (EU) 2019/796 und Ein­reisebeschränkungen nach Artikel 4 Beschluss (GASP) 2019/797.156 In der Begründung heißt es, dass Dmitry Badin als Agent des GTsST an der Cyber­attacke mit erheblichen Auswirkungen gegen den Deutschen Bundestag im April und Mai 2015 beteiligt gewesen sei. Igor Kostyukov habe als Leiter der Haupt­direktion der »Militäreinheit 26165« – in Fachkreisen bekannt unter den Beinamen »APT28«, »Fancy Bear«, »Sofacy Group«, »Pawn Storm« und »Strontium« – den Hack durchgeführt. Beide GRU-Mitarbeiter wur­den nicht nur für die Attacke gegen den Deutschen Bundestag, sondern auch für den versuchte Cyber­angriff im April 2018 auf die Organisation für das Verbot chemischer Waffen (OVCW) für verantwortlich erklärt.157

Versuchter Angriff auf die OVCW 2018

Am 13. April 2018 bereiteten vier russische Geheimdienstagenten einen sogenannten WiFi-Spoofing-Angriff 158 auf die Organisation für das Verbot che­mischer Waffen (OVCW/engl. OPCW) in Den Haag vor. Sie stellten auf dem Parkplatz des Marriott-Hotels neben dem OVCW-Gebäude einen Mietwagen ab, der mit einem gefälschten WiFi-Hotspot (einem sogenann­ten WiFi-Pineapple) präpariert war. Der manipulierte Pineapple-Router sollte das Original-WLAN der OVCW imitieren und auf diese Weise die Daten der Nutzerin­nen und Nutzer abgreifen. Ein solches Vorgehen wird als Man-in-the-Middle-Angriff bezeichnet.159 WiFi-Spoofing funktioniert nur, wenn das Fake-WLAN in direkter physischer Nähe zum Original platziert wird. Die Täter müssen dafür unmittelbar vor Ort sein (»close access operation«). In diesem Fall wurden sie dabei bereits vom niederländischen Militärgeheim­dienst (Militaire Inlichtingen- en Veiligheidsdienst, MIVD) observiert und festgenommen. Der Tages­zeitung Guardian zufolge hatten die Niederländer recht­zeitig einen Hinweis von britischen Nachrichten­diensten erhalten.160 Die vier GRU-Mitarbeiter waren am 10. April 2018 über den Amsterdamer Flughafen Schiphol eingereist und seitdem überwacht worden.161 Die niederländischen Sicherheitsbehörden in­ter­venierten frühzeitig, um eine erfolgreiche Kompro­mittierung der OVCW zu verhindern. Sie beschlagnahmten diplomatische Visa, eine größere Summe Bargeld, das technische Equipment, Smartphones, Laptops, Pässe und Reisequittungen.162 Der Angriff blieb damit erfolg- und folgenlos.163

Attribution der Angreifer

Durch die frühzeitige Festnahme der Angreifer gestal­tete sich die Attribution in diesem Fall recht unkompliziert. Die forensische Analyse des beschlagnahmten Equipments ließ Rückschlüsse nicht nur auf das Operationsziel, sondern sogar auch auf vergangene und geplante Operationen zu. Die Ermittler gewannen Informationen zu dem Giftanschlag auf den ehe­maligen GRU-Agenten Sergei Skripal in Salisbury (UK). Der Angriff mit einem Nervenkampfstoff hatte einen Monat zuvor stattgefunden, die OVCW war mit der Analyse beauftragt. Reisebuchungen zeigten, dass das nächste Ziel der Täter ein OVCW-Labor in der Schweiz war. Die WiFi-Logs des Equipments offen­barten zudem, dass die Gruppe zuvor in Malaysia und in Brasilien unterwegs gewesen war. Zeitliche und räum­liche Übereinstimmungen mit den niederländischen Ermittlungen zur Urheberschaft des Abschusses des Airliners MH17 in Malaysia sowie zu den Olym­pischen Spielen 2016 in Brasilien wurden evident.164

Die Logs der beschlagnahmten Mobiltelefone führten direkt ins GRU‑Hauptquartier.

Nach Untersuchungen der Welt-Anti-Doping-Agentur (WADA) waren die russischen Leichtathleten im Juli 2016 wegen Dopingvorwürfen von den Olym­pischen Spielen in Rio de Janeiro ausgeschlossen worden. Im September 2016 war die WADA ebenfalls Opfer eines Cyberangriffs des gleichen Teams gewor­den. Die Logs der beschlagnahmten Mobiltelefone führten direkt ins GRU-Hauptquartier. Visa und Taxi­quittungen, die ein staatlicher Nachrichtendienst für die Abbuchung von Dienstreisen benötigt, bestätigten die Beteiligung der GRU-Einheit 26165, die auch schon in die NotPetya-Attacke und den Bundestag-Hack involviert war.

Die politische Attribution erfolgte am 4. Oktober 2018 durch die niederländische Regierung in einer langen Pressekonferenz, in der alle Ermittlungsdetails erörtert wurden. Die Niederländer konstatierten, dass jeder Vorfall, der die Integrität internationaler Orga­ni­sationen unterminiere, »unakzeptabel« sei. Die Regierung in Den Haag bestellte den russischen Bot­schafter ein, die niederländische Verteidigungsministerin und der britische Botschafter verurteilten den GRU bzw. indirekt die russische Regierung für diese Angriffe.165 In den USA wurde am gleichen Tag der Pressekonferenz Anklage gegen sieben russische Geheimdienstoffiziere erhoben. Sie seien Mitarbeiter der GRU-Einheit 26165,166 die neben dem Angriff auf die OVCW auch Angriffe gegen die Antidopingagenturen USADA, WADA und Canadian Centre for Ethics in Sport (CCED) durchgeführt hätten.167 Zwei Monate zuvor, im August 2018, hatten die USA die Niederlande um Rechtshilfe bei der Verfolgung russischer Cyberoperationen gegen amerikanische und inter­nationale Organisationen gebeten. Die Anschuldigungen und Indizien, die in der Anklage CR 18-263 zum Fall des versuchten OVCW-Angriffs zusammengetragen wurden,168 decken sich mit den Hinweisen des niederländischen Verteidigungsministeriums. Die Logdaten des WiFi-Angriffsequipments bezeugten, dass die Angreifer zur selben Zeit im selben Hotel waren, als der Laptop eines Vertreters der kana­dischen Anti-Dopingbehörde CCED infiltriert wurde.

Bemerkenswert ist das Ausbleiben einer recht­lichen Attribution. Die Niederländer verzichteten auf eine Anklage und setzten die überführten Spione nur kurz­fristig fest. Am Tag nach ihrer Festnahme wur­den sie in ein Flugzeug nach Russland gesetzt und des Landes ver­wiesen. Die GRU-Mitarbeiter verfügten über offizielle Diplomatenpässe, was sie vor Straf­verfolgung schützte. Ein Offizier des niederländischen Nachrichtendienstes begründete den Sachverhalt so: »Hacken ist illegal. Der Versuch zu hacken ist es eben­falls. Die Vorbereitung eines Versuchs ist es allerdings nicht.«169 Der OVCW-Hack ist einzigartig, weil es sich nicht um einen klassischen Cyberangriff handelte. Der Angriff konnte rechtzeitig unterbunden werden und wurde umgehend durch die niederländische Regie­rung bekannt gemacht, wobei sie der EU in einem Umfang Details zur Attribution vorlegte, wie sie kaum in einem anderen Fall des Cybersanktionsregimes zur Verfügung standen. Die Transparenz über die tech­nische, rechtliche und politische Attribution gilt als beispielhaft und lässt wenig Raum für Fehlschlüsse.

EU-Reaktion auf den versuchten Angriff auf die OVCW

Die Präsidenten des Europäischen Rates und der Euro­päischen Kommission sowie die Hohe Vertreterin für Außen- und Sicherheitspolitik äußerten sich erstmals am 4. Oktober 2018 in einer gemeinsamen Erklärung zu dem versuchten Cyberangriff auf die Organisation für das Verbot chemischer Waffen. Sie beschrieben den Vorfall als »einen aggressiven Akt, in dem Ver­achtung für das hohe Ziel der OVCW zum Ausdruck gebracht wurde«.170 In diesem Fall funktionierte das Timing der politischen Attribution: Sie erfolgte zu­mindest stringent und im Konzert mit den Verbündeten, und die Signalwirkung war deutlich. Ende Juli 2020 wurden die EU-Sanktionen erlassen, mit den Durchführungsverordnungen 2020/1125171 und deren Ergänzung 2020/1744172 von Ende November 2020. Die restriktiven Maßnahmen richten sich gegen das 85. Hauptzentrum für Spezialdienste (GTsSS) inner­halb des GRU und gegen dessen Mitarbeiter Alexey Minin, Aleksei Morenets, Evgenii Serebriakov und Oleg Sotnikov.173

Defizite der Politik der Attribution

Die Analyse zeigt, dass die Attributionskompetenz der EU defizitär ist. Sie deckt die Schwachstellen auf, unter denen die technische, politische und rechtliche Identifikation von Verantwortlichen für Cyberangriffe gegenwärtig leidet, und macht deutlich, welch hohe Hürden auf dem langen Weg zu einer effektiven und legitimen »Politik der Attribution« sowohl auf EU- als auch auf intergouvernementaler Ebene noch zu über­winden sind.

Erstens ist die EU maßgeblich auf Hinweise und Expertise verbündeter Drittstaaten wie den Five Eyes und IT-Firmen aus den USA abhängig. Eigene Beweise, die die Sicherheitsdienste von EU-Mitgliedstaaten zutage fördern, sind in der Regel mangel- und lücken­haft. Der OCVW-Angriff wäre ohne den Hinweis der britischen Behörden nicht rechtzeitig aufgedeckt und verhindert worden. Die deutschen Ermittlungen zum Bundestag-Hack basierten auf öffentlich zugänglichen Anklageschriften und einem nichtöffentlichen Aus­tausch mit dem US-amerikanischen FBI. Fraglich ist, ob der für die Attribution notwendige Informations­austausch mit dem Five-Eyes-Mitglied Großbritannien aufrechterhalten wird.

Zweitens ist evident, dass die EU in fast allen beschriebenen Fällen zeitlich verzögert reagiert hat. Die Abstimmungsprozesse und die für Cybersanktionen im Rahmen der GASP erforderliche Einstimmigkeit zwingen zu einer langwierigen Attribution, die zum Teil erst Jahre später nach den Verurteilungen durch die Partner der Five Eyes stattfand. Das mag auf die komplexe technische Forensik zurückzuführen sein, die typisch für Cybervorfälle ist, sicherlich aber auch auf die parallel durchgeführten Verfahren zum Infor­mationsaustausch auf EU- und mitgliedstaat­licher Ebene. Die Zuständigkeiten für die Cyber-Krimi­nalitätsbekämpfung, für Cyberspionage und Spionageabwehr sowie für die militärische Cyber­verteidigung liegen zuvorderst bei den Mitglied­staaten und müssen auf EU-Ebene über Europol, im EAD durch EU INTCEN und künftig auch über die Gemeinsame Cyber-Stelle in der EU-Kommission ko­ordiniert werden.

Mit dem Brexit hat sich die Attributionskompetenz der EU erheblich vermindert.

Drittens zeigt sich, dass die Five Eyes die zur politischen Attribution notwendige Vertraulichkeit beachten: Sie stimmen sich zügig ab und veröffent­lichen zeitgleich Verlautbarungen, die auf umfang­reichen Erkenntnissen beruhen. Damit steht die Legitimität der Attribution beinahe außer Frage. Mit dem Brexit hat sich die Attributionskompetenz der EU erheblich vermindert, da das Vereinigte König­reich geheimdienstliche Erkenntnisse nicht mehr über EU INTCEN teilt, sehr wohl aber noch auf bilate­raler Ebene Informationen mit ausgewählten EU-Staaten austauscht. Im Vergleich zu den Five Eyes erfolgt die politische Attribution unterstützend zu den EU-Cybersanktionen nur vereinzelt und sporadisch. Eine glaubwürdige Politik der Attribution setzt voraus, dass alle Mitgliedstaaten gegenüber Dritten mit einer Stimme sprechen. Die politische Attribution ist nach wie vor die Prärogrative der Mitgliedstaaten. Die Wirkung einer einzelstaatlichen Attribution ist jedoch limitiert. Die Bündelung von Attributions­reports auf EU-Ebene kann die Legitimität und Effek­tivität eines Sanktionsbeschlusses erheblich steigern. Dies gilt in besonderem Maße, wenn die Verantwort­lichkeitszuschreibung zeitgleich in Abstimmung mit internationalen Partnern erfolgt. Die sogenannte »naming and shaming«-Kampagne von Verbündeten kann nur gelingen, wenn die jeweiligen Außen­ministerien koordiniert handeln.

Viertens: Cybersanktionen sollen bei Angriffen mit »erheblichen Auswirkungen« verhängt werden bzw. dann, wenn die entsprechenden Tatbestandsmerkmale erfüllt sind. Allerdings zeigt die Analyse, dass sich aus technischen Indikatoren und IoCs nur schwer bestim­men lässt, ob ein Tatbestandsmerkmal tatsächlich erfüllt ist, was wiederum der Fall sein muss, um eine Rechtsfolge wie Sanktionen legitimieren zu können. Die bekannten Tatbestandsmerkmale der analysierten Cybervorfälle sind recht uneindeutig, berücksichtigen technische Details nicht in angemessenem Maße, ihre Gewichtung ist zudem unklar. So stellt sich etwa die Frage, ob ein Angriff gegen Wahlsysteme schwer­wiegender ist als ein Angriff gegen kritische Infrastruktur. Wiegt ein Angriff gegen zahlreiche weniger kritische Systeme schwerer als ein Angriff auf ein Kran­kenhaus?174 Die Problematik, eine böswillige Absicht nachzuweisen, die von Drittstaaten ausgeht, zeigt sich an den folgenden Tatbestandsmerkmalen:

a)

Das Tatbestandsmerkmal der »böswilligen Nutzung von IKT« lässt sich nicht in allen Fällen eindeutig bestimmen. Bei WannaCry und NotPetya ist tatsächlich ein hinreichender Grad der Böswilligkeit feststellbar: aufgrund der willkürlichen Ziel­auswahl, der Inkaufnahme von Betriebsstörungen kritischer Infrastrukturen wie Krankenhäusern und der Schäden in Milliardenhöhe, die Staaten und Unternehmen entstanden sind. In anderen Fällen ist die Böswilligkeit kaum unzweifelhaft nachzuweisen.

b)

Die Tatbestandsmerkmale, die einen Cyberangriff definieren sollen (Zugang zu-, Eingriff in Informa­tionssysteme und Eingriff in Daten oder das Ab­fangen von Daten), sind aus technischer Sicht nicht eindeutig voneinander zu trennen. Ein Eingriff in Informationssysteme ist immer gleichbedeutend mit dem Eingriff in Daten, da Abwehrsysteme umgangen und Schadsoftware eingebracht wird, also nahezu zwangsläufig Daten auf ein Datei­system geschrieben werden. Gleiches zeigt sich auch bei der Differenzierung zwischen Angriffen und Angriffsversuchen: Organisationen mit guten Detektionssystemen erhalten täglich Tausende Security-Alerts. Diese sind a priori oft nicht als An­griffs­versuche zu erkennen, da sich die Wirkung eines Angriffs erst nach Ausführung von Schad­codes erkennen lässt. Erst wenn durch die Analyse derartiger Malware unter Rückgriff auf Threat-Intelligence-Techniken Informationen zu An­griffsinfrastrukturen oder Tools bekannter APT-Gruppen ermittelt worden sind, können betroffene Organisationen den Vorfall als bedrohlichen Akt interpretieren.

Das strategische Operationsziel lässt sich aus meist rein taktischen IoCs nur schwer bestimmen.

c)

Auch lässt sich das strategische Operationsziel bzw. die Angriffsmotivation aus meist rein taktischen IoCs nur schwer bestimmen. Bei WannaCry ist die An­griffs­motivation zum Beispiel nicht eindeutig. Die Deutung des Bundestag-Hacks als Versuch der Beeinflussung lässt sich ebenfalls nur schwer aus den IoCs schließen. Sie speist sich aus der gängigen Vorstellung einer hybriden Bedrohung, die erst Jahre später, nach dem DNC-Hack, im transatlan­tischen Diskurs vorherrschend wurde.

d)

Die Auswahl der Fälle, die die EU zu Cybersanktionen veranlassten, weist Inkonsistenzen auf. Warum zum Beispiel Fälle klassischer Spionage (Bundestag-Hack und Cloud Hopper) in das Cybersanktions­regime einbezogen wurden, konkrete Versuche der Wahlbeeinflussung (Macron-Leaks) aber nicht, ist nicht plausibel und wird in der Begründung der einzelnen Sanktionen auch nicht plausibel gemacht. Spionage gehört seit Jahrzehnten zur Staaten­praxis. Sie ist zwar in so gut wie allen nationalen Rechtsordnungen strafbewehrt, nicht aber nach internationalem Recht rechtswidrig.175 Beim Hack der E-Mails von Emmanuel Macrons Wahlkampfteam im Jahr 2017 wurden Kommunikationsinhalte gestohlen und analog zum DNC-Hack auch geleakt, und dies zwei Tage vor dem Stichwahltag.176 Anders als beim Bundestag-Hack liegt hier eindeutig das Tatbestandsmerkmal der Beeinflussung eines Wahlprozesses vor, was über politische Spionage hinausgeht und als Verletzung staatlicher Souveränität betrachtet werden kann. Wenn man ein starkes politisches Signal hätte aus­senden wollen, hätte dieser Vorfall in das Cyber­sanktionsregime von 2020 aufgenommen werden müssen. Die US-Strafverfolgungsbehörden hatten im Kontext der NotPetya-Anklage hinsichtlich der Macron-Leaks im Rahmen einer rechtlichen Attribution den russischen GRU verantwortlich gemacht.177

Bürozeiten und IP-Adressen im Kontext einer Cyberattacke sind lediglich Indizien für die Urheberschaft eines Akteurs.

e)

Zudem ist fraglich, inwiefern die technische Attribu­tion einen plausiblen Nachweis der rechtlichen Verantwortlichkeit erlaubt. Aus der Analyse der bisherigen Cyberangriffe in der EU wird nicht immer deutlich, welche technischen IoCs eine angemessene Grundlage für eine rechtlich-normative Attribution von Cyberangriffen nach europarechtlicher (oder auch völkerrechtlicher) Bewertung darstellen. Büro­zeiten und IP-Adressen im Kontext einer Cyber­attacke sind lediglich Indizien, aber keine Belege für die Urheberschaft eines im staatlichen Auftrag agierenden Akteurs. Taxiquittungen, Mobilfunk­logs und gehackte Überwachungskameras im GRU-Hauptquartier haben dagegen eine größere Beweis­kraft. Die Diskrepanz zwischen den technischen Indikatoren und den rechtlich erforderlichen Tat­bestandsmerkmalen ist evident: In den Fällen Bundestag-Hhack und Cloud Hopper sind die Infor­mationen spärlich, die die EU bzw. die Bundes­regierung veröffentlichte, verglichen mit den öffentlich einsehbaren Erkenntnissen der IT-Sicher­heits­unternehmen, den technischen Details in US‑amerikanischen Anklageschriften in ähnlich gelagerten Fällen und der Transparenzoffensive der niederländischen Regierung nach dem OVCW-Vorfall.

f)

Die Uneinheitlichkeit der Beweislage und die man­gelnde Transparenz der rechtlichen Beweisführung beeinträchtigen die Legitimität der Sanktionen. Eine möglichst breite und von der Öffentlichkeit nachvollziehbare Fundierung der Forensik würde dazu beitragen, die Sanktionen plausibler zu machen. Die US-Anklageschriften in den hier dis­kutierten Fällen leisten dies in weit größerem Umfang, als die EU dies mit ihren im Amtsblatt ver­öffentlichten Begründungen vermag, und sie tragen die Belege auch offensiver vor. Die Mitgliedstaaten sollten für eine technisch versierte und rechtlich fundierte Legitimierung von Cybersanktionen eintreten, im wohlverstandenen Eigeninteresse übrigens, denn EU-Sanktionsentscheidungen können vor dem Europäischen Gerichtshof juristisch angefochten werden.178

g)

Eine weitere Uneinheitlichkeit zeigt sich bei den Beweisstandards, insbesondere im Fall des Bundestag-Hacks. Die diesbezüglich vorgenommene Attri­bution beruht laut Bundesregierung auf einer »insgesamt sehr guten eigenen Fakten- und Quellen­lage«.179 In den anderen Fällen sind sich die euro­päischen, US-amerikanischen und britischen Sicherheitsbehörden mal »mit an Sicherheit grenzender Wahrscheinlichkeit«, mal nur »mit hoher Gewissheit« sicher bei ihrer Attribution. Eine europaweite, besser noch transatlantisch vereinheitlichte Terminologie und Methodik wäre allein schon bei Rechtshilfeersuchen hilfreich. Wenn dann noch die Informationen zur Beweislage künf­tig systematischer aufgearbeitet, kategorisiert und in enger Absprache mit verbündeten Staaten ver­öffentlicht werden, könnten Cybersanktionen auf EU-Ebene deutlich plausibler gemacht werden als bisher.

Diskussionswürdig ist letztlich auch die Qualität der Gegenreaktionen, also der Sanktionen selber. In allen Fällen wurden Reisebeschränkungen verhängt und Konten eingefroren. Für die Cyberangriffe Cloud Hopper, Bundestag-Hack und den OVCW-Vorfall mag dies adäquat und proportional sein. WannaCry und NotPetya dagegen sind viel schwerwiegendere Fälle. Sie erfüllen weitaus mehr und vor allem gewichtigere Tatbestandsmerkmale wie große finanzielle Schäden und die Sabotage kritischer Infrastrukturen. NotPetya ist nach Rechtsauffassung einiger Beobachter sogar unmittelbar an der Schwelle zu einem bewaffneten Angriff zu verorten.180 Die Intensität der Sanktionen erscheint hier nicht in einem angemessenen Verhält­nis zur Intensität der Angriffe. Es ließe sich durchaus argumentieren, dass in beiden Fällen deutliche Sou­veränitätsverletzungen begangen wurden, die völker­rechtliche Gegenmaßnahmen erlaubt hätten.181 Schnelle und differenzierte EU-Sanktionen als Reak­tion auf Cyberangriffe werden auf absehbare Zeit die Ausnahme bleiben. Die Kohärenz des Sanktionsvorgangs sollte durch einen reformierten Blueprint der Kommission (siehe oben, S. 16) verbessert werden. Die neu geschaffene Gemeinsame Cyber-Stelle (Joint Cyber Unit) der Kommission wird künftig eine wich­tige Rolle in der europäischen Cybersicherheit spie­len, neben Europol, ENISA und dem EU-CERT. Die von der EU betriebene Politik der Attribution wird aber künf­tig sicherlich nicht allein von der EU-Kommission gesteuert werden können. Die Kommission wird gerade in dieser Frage auf eine enge Absprache mit der Ratsarbeitsgruppe HWP Cyber angewiesen sein.

Schlussfolgerungen

In der Attributionspolitik der EU zeigt sich, dass die vertikale, horizontale und institutionelle Kohärenz im auswärtigen Handeln der EU und zwischen den EU-Mitgliedstaaten zu wünschen übrig lässt. Der Zwang, im Rat einstimmig zu entscheiden, und die mangelnde rechtliche und finanzielle Ausstattung des EAD machen es der EU schwer, sich in der inter­nationalen Cyberdiplomatie zu profilieren. Die Bun­desregierung sollte die französische Ratspräsidentschaft dabei unterstützen, für den Erlass von EU-Cybersanktionen qualifizierte Mehrheitsentscheidun­gen als Regelfall einzuführen. Im Interesse der Sicher­heit der Union und ihres Binnenmarkts ist es geboten, restriktive Maßnahmen der GASP, wie EU-Cyber­sanktionen, schneller als bisher zu initiieren und zuverlässig zu verhängen, um Täter und Angreifer umgehend zur Rechenschaft zu ziehen.

Die rechtlichen Begriffe in den EU-Verordnungen sollten geschärft und mit der technischen Forensik stärker in Beziehung gesetzt werden. Bei der prak­tischen Umsetzung dieser Aufgabe muss eine Reihe von Voraussetzungen erfüllt werden. Denn für eine eindeutige technische Attribution, die Aufschlüsse über die Angriffsmotivation zulässt, sind hohe recht­liche Hürden zu überwinden, wenn die in der ein­schlägigen Verordnung dargelegten Kriterien erfüllt werden sollen, die für die Bestimmung der Urheberschaft unabdingbar sind. Idealerweise müsste die Politik der Attribution hinsichtlich der rechtlichen Vorgaben angepasst werden. Gelingt dies nicht, wäre gegebenenfalls das Recht anzupassen. Die Einführung einer Unterscheidung zwischen notwendigen und hinreichenden Attributionsstandards gemäß einem einheitlichen Bewertungssystem (Propability Yard­stick) wäre mit den rechtsstaatlichen Erfordernissen des Unionsrechts und den gegenwärtigen Möglich­keiten der technischen Forensik zumindest abzuglei­chen. Auch Erfahrungen aus anderen internationalen Cyberattacken können herangezogen werden. So gab es zum Beispiel schon vor der Operation Cloud Hopper vergleichbare Supply-Chain-Angriffe. Cloud Hopper hat böswilligen Hackern die Attraktivität eines der­artigen Angriffs auf den Binnenmarkt bestätigt, frei nach dem Motto »hacke einmal, ernte vielmals«. Die Reaktion auf Versorgungskettenangriffe sollte daher – entsprechend den Empfehlungen der Kommission in dem Blueprint-Dokument – durch Cyberabwehrübungen der ENISA eingeübt werden.

Laut der neuen EU-Cybersicherheitsstrategie von 2020 sollen private Unternehmen, öffentliche Ein­rich­tungen und nationale Behörden ihre Informationen über Cybervorfälle systematisch und umfassend austauschen. Dies wird als Voraussetzung für eine ge­meinsame Reaktion der EU angesehen. Die Gemein­same Cyber-Stelle bei der EU-Kommission soll als »vir­tuelle und physische Plattform für die Zusammen­arbeit der verschiedenen Cybersicherheitskreise in der EU dienen«. Ihr Schwerpunkt soll dabei auf »der ope­rativen und technischen Koordinierung bei schwerwiegenden grenzüberschreitenden Cybervorfällen und Bedrohungen« liegen. Diese operative Zusammen­arbeit im Dienste der Cybersicherheit soll gemäß der Sorgfaltsverantwortung der Cyberdiplomatie inten­siviert werden. Die Cyber-Stelle soll auch eine Dreh­scheibe für die Kommunikation mit den Five Eyes sein, damit über die Grenzen der EU hinaus gemein­same, öffentliche Attributionen möglich werden.

Inzwischen gibt es auch eine Debatte darüber, in­wieweit EU-Regierungen und die EU sich dafür rüsten sollten, Gegenschläge auszuführen. Auch die Cyber­sicherheitsstrategie enthält darauf bereits einen Hin­weis. Fälle wie WannaCry und NotPetya unterstrei­chen die Dringlichkeit. Demnach will die EU einen »Vor­schlag zur näheren Definition der EU-Cyberabschre­ckung« erarbeiten. Aktive Cyberabwehrmaßnahmen wären nach der Cyber Diplomacy Toolbox die höchste Eskalationsstufe nach vorausgehender Aktivierung der vertraglich verankerten Solidaritäts- bzw. Bei­standsklausel. Sie können nur ergriffen werden, so­weit sie im Einklang mit dem humanitären Völkerrecht sind. Die letzte Stufe des Krisenmanagements bestünde darin, einen laufenden Angriff durch aktive Gegenwehr zu stoppen. Ultima Ratio wäre ein so­genannter Hackback, also das gezielte Ausschalten eines Servers, von dem ein Angriff ausgeht. Im Sinne der Sorgfaltsverantwortung wäre dies nur dann zu rechtfertigen, wenn ein laufender Angriff schwere, existenzbedrohende Folgen hat und alle anderen Mittel ausgereizt sind. Die dafür notwendigen recht­lichen Rahmenbedingungen und die Kompetenz­verteilung sind noch nicht festgelegt, selbst auf natio­naler Ebene nicht, geschweige denn, dass das hierfür erforderliche Attributionsverfahren auf EU-Ebene bereits rechtlich formalisiert wäre. Ein Krisenmanage­ment, bei dem alle 27 Mitgliedstaaten zustimmen müssten, eine digitale Cyberabwehr zu aktivieren, dürfte sich nach derzeitigem Stand im Notfall als zu komplex und zu langsam erweisen.

Umso mehr gilt es, die Attributionskompetenz der EU und die IT-Sicherheit im Binnenmarkt zu stärken. Ungeachtet der sicherlich richtigen Erkenntnis, dass für eine solide Attribution viele Voraussetzungen erfüllt sein müssen, ist es ein Erfordernis für die Durchsetzung des Rechtsstaatsprinzips, dass Täter und Angreifer zur Rechenschaft gezogen werden. Deshalb ist die Schaffung von Analysefähigkeiten eine notwendige Bedingung, in die es zu investieren lohnt. Ebenso muss ein verbindlicher IT-Grundschutz in der EU gewahrt sein. Neue gesetzliche Vorschrif­ten, wie sie im Zuge der Reform der geltenden Netz­werk- und Informationssicherheitsrichtlinie und durch das von Binnenmarktkommissar Thierry Breton im September 2021 angekündigte Cyberresilienz­gesetz zu erwarten sind, werden sich zu Recht auf die Absicherung von Infrastrukturen, Cloud-Diensten und Lieferketten im weiteren Sinne konzentrieren. Die Vorgabe für Kapitalgesellschaften, gegen Cyber­sicher­heitsbedrohungen Vorsorge zu treffen, führt derzeit aber nicht dazu, dass die nötigen finanziellen Mittel in den Aufbau widerstandsfähiger IT‑Systeme inves­tiert werden; Mittel fließen stattdessen in den Ab­schluss von Versicherungspolicen. Die Ursachen für zahlreiche Angriffe und deren Erfolg liegen in der unzureichenden Absicherung der Basissoftware, die oft aus den USA stammt, wo Firmen nicht für deren Sicherheitsmängel zur Verantwortung zu ziehen sind. Auch an diesem Punkt ist folglich eine enge trans­atlantische Abstimmung notwendig, will man ver­meiden, dass sich die Rechtsvorschriften auf beiden Seiten des Atlantiks nicht konterkarieren.

Die wichtigsten und dauerhaft wirksamsten Maßnahmen der operativen Zusammenarbeit innerhalb der Union und mit den Partnern der Five Eyes sind Prävention und Detektion. Wie anhand der Diskrepanz zwischen der Detektion der technischen IoCs und der politischen bzw. rechtlichen Attribution gezeigt wurde, spielt die politische Bewertung eines Vorfalls im Rah­men eines strategischen Lagebilds durch die Hybrid Fusion Cell im EAD eine besondere Rolle. Sie muss das Gesamtbild der Vorfälle im Cyber­raum berücksichtigen, weil auch mit militärisch rele­vanten hybri­den Bedrohungen zu rechnen ist. Dazu wäre es sinn­voll, vergangene und aktuelle Angriffskampagnen, vermutete Urheber, Ziele, die Zahl der betroffenen Mitgliedstaaten, aufgetretene Schäden und deren rechtliche Einordnung in einer Art Cyber-Konflikt­datenbank zu sammeln und diese Informa­tionen den Mitgliedstaaten zur Verfügung zu stellen. Das führt mit größerer Wahrscheinlichkeit zu einem gemeinsamen Verständnis der Vorfälle und im Ideal­fall zu einer kohärenten Reaktion. Dafür wäre der EAD mit mehr technisch versiertem und rechtlich qualifiziertem wissenschaftlichem Personal zu beset­zen. Erst eine fundierte Forensik ermöglicht eine stra­tegisch substanzielle Lagebilderstellung.

Für einen vergleichbaren Austausch zum Schutz kritischer Infrastruktur ist das bisherige CSIRT-Netz in der EU mit seinen technischen Kompetenzen zwar hilfreich; für ein verbessertes Attributionsmanagement der EU gilt es aber, die Joint Cyber Unit in der EU-Kommission auszubauen. Cyberdiplomatie setzt eine kontinuierliche Kommunikation zwischen den nationalen Sicherheitsbehörden, der Wirtschaft und Wissenschaft voraus. Diese Aufgabe obliegt der Ge­meinsamen Cyber-Stelle, die sie wiederum nur in enger Absprache mit dem EAD in der Single Intelligence Analysis Capacity erfüllen kann. Öffentliche und private CERT-Verbünde und Zusammenschlüsse in der Industrie sind ebenfalls unverzichtbar, wenn es darum geht, Expertenwissen zur Cyberdiplomatie zu bündeln. Es könnte, wie erwähnt, erwogen werden, zwischen hinreichenden und notwendigen Attribu­tions­standards zu unterscheiden. Damit bei dieser The­matik die Schnittstellen zwischen dem Rat und der Kommission künftig reibungsloser funktionieren, können neben EU INTCEN auch die Joint Cyber Unit der Kommission und Europol (EC3) diese Knotenpunkte gemeinsam managen. Als Institution wäre Euro­pol in besonderem Maße prädestiniert, die Kom­petenzgrenzen zwischen dem GASP-Verfahren des EAD und dem Krisenmanagementverfahren der Kom­mission aufzuweichen. Ultima Ratio wäre die Schaf­fung eines Doppelhuts auf höchster Ebene in der Funktion des Präsidenten des Europäischen Rates und der Kommissionspräsidentin. Im Falle der Fusion läge dann die strategische Lagebilderstellung zum Schutz des Binnenmarkts und zur EU-Sicherheitsunion in supranationaler Kompetenz.

Anhang

Glossar

Advanced Persistent Threat (APT)

Ein Advanced Persistent Threat liegt dann vor, wenn ein gut ausgebildeter, typischerweise staatlich ge­steuer­ter Angreifender zu Zwecken der Spionage oder Sabotage über einen längeren Zeitraum hinweg sehr gezielt ein Netz oder System angreift, sich unter Umständen darin bewegt und/oder ausbreitet und so Informationen sammelt oder Manipulationen vor­nimmt.

<https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfeh lungen/Empfehlungen-nach-Gefaehrdungen/APT/ apt.html>

Backdoor

Eine Backdoor ist ein üblicherweise durch Viren, Würmer oder Trojanische Pferde installiertes Pro­gramm, das Dritten einen unbefugten Zugang (»Hin­tertür«) zum Computer verschafft, jedoch versteckt und unter Umgehung der üblichen Sicherheits­einrichtungen. Backdoors werden oft für Denial-of-Service-Angriffe benutzt, die sich gegen die Verfügbarkeit von Diensten, Webseiten, einzelnen Systemen oder ganzen Netzen richten.

<https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfeh lungen/Glossar-der-Cyber-Sicherheit/Functions/glossar. html?nn=522504&cms_lv2=132796>

Bootloader

Ein Bootloader ist ein Startprogramm, das durch die Firmware eines Rechners von einem startfähigen Medium geladen und anschließend ausgeführt wird. Der Bootloader lädt dann weitere Teile des Betriebssystems, gewöhnlich einen Kernel.

<https://de.wikipedia.org/wiki/Bootloader>

Bug / Schwachstelle / Sicherheitslücke

Mit Bugs werden Fehler in Programmen bezeichnet. Eine Schwachstelle ist ein sicherheitsrelevanter Fehler eines IT-Systems oder einer Institution. Ursachen können in der Konzeption, den verwendeten Algo­rithmen, der Implementation, der Konfiguration, dem Betrieb sowie der Organisation liegen. Eine Schwachstelle kann dazu führen, dass eine Bedrohung wirk­sam und eine Institution oder ein System geschädigt wird. Existiert eine Schwachstelle, ist ein Objekt (eine Institution oder ein System) anfällig für Bedrohun­gen.

<https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfeh lungen/Glossar-der-Cyber-Sicherheit/Functions/glossar. html?nn=522504&cms_lv2=132814>

Command & Control Server (C2)

Die meisten Schadprogramme nehmen nach der Infek­tion eines Systems Kontakt zu einem Kontroll­server (C&C-Server) der Angreifer im Internet auf, um von dort weiteren Schadcode nachzuladen, Instruk­tionen zu empfangen oder auf dem infizierten System ausgespähte Informationen (wie Benutzernamen und Passwörter) an diesen Server zu übermitteln. Die Kon­takt­aufnahme erfolgt häufig unter Verwendung von Domainnamen, die von den Tätern speziell für diesen Zweck registriert wurden.

<https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfeh lungen/Glossar-der-Cyber-Sicherheit/Functions/glossar. html?nn=522504&cms_lv2=132798>

DNS

Das Domain Name System (DNS) ordnet den im Internet genutzten Adressen und Namen, wie bei­spielsweise www.bsi.bund.de, die zugehörige IP-Adresse zu.

<https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfeh lungen/Glossar-der-Cyber-Sicherheit/Functions/glossar. html?nn=522504&cms_lv2=132772>

Domaincontroller

Der Domain- oder Domänencontroller ist ein Server, der eine Domäne und seine verschiedenen Objekte zentral verwaltet und kontrolliert. Anwender, die sich an einer Netzwerkdomäne anmelden möchten, wen­den sich zuerst an den für ihre Domäne zuständigen Domänencontroller.

<https://www.ip-insider.de/was-ist-ein-domaenen controller-a-626094/>

Eternalblue

Eternalblue ist ein 🡪 Exploit, der Programmierfehler in der 🡪 SMB-Implementierung (auch NetBIOS bzw. Common Internet File System) des Betriebssystems Windows ausnutzt. Die Lücke wird als CVE-2017-0144 (SMB Remote Windows Kernel Pool Corruption) bezeichnet.

<https://de.wikipedia.org/wiki/EternalBlue>

Exploit

Als Exploit bezeichnet man eine Methode oder einen Programmcode, mit dem über eine Schwachstelle in Hard- oder Software-Komponenten nicht vorgesehene Befehle oder Funktionen ausgeführt werden können. Je nach Art der Schwachstelle lässt sich mit Hilfe eines Exploits zum Beispiel ein Programm zum Ab­sturz bringen, lassen sich Benutzerrechte ausweiten oder beliebiger Programmcode ausführen.

<https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfeh lungen/Glossar-der-Cyber-Sicherheit/Functions/glossar. html?nn=522504&cms_lv2=132800>

Five Eyes

Nachrichtendienstallianz, bestehend aus den USA, Großbritannien, Kanada, Australien und Neuseeland.

<https://en.wikipedia.org/wiki/Five_Eyes>

Indicators of Compromise

Indicators of Compromise (IoCs) sind technische In­formationen, die zur Detektion einer Infektion mit Schad­software oder einer anderweitigen Kompro­mittierung verwendet werden können. Häufig han­delt es sich dabei um netzwerkbasierte Signaturen wie Domainnamen von Kontrollservern oder um hostbasierte Signaturen, die auf den Endgeräten gesucht werden (wie Hashsummen von Schad­programmen, Einträge in der Windows-Registry o.Ä.).

<https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfeh lungen/Glossar-der-Cyber-Sicherheit/Functions/glossar. html?nn=522504&cms_lv2=132764>

Industroyer

Industroyer ist eine Malware, von der angenommen wird, dass sie bei dem Cyberangriff auf das ukrai­nische Stromnetz am 17. Dezember 2016 verwendet wurde. Der Angriff schnitt ein Fünftel der Hauptstadt Kiew für eine Stunde vom Strom ab. Es ist die erste bekannte Malware, die speziell für den Angriff auf Stromnetze entwickelt wurde.

<https://malpedia.caad.fkie.fraunhofer.de/details/win. industroyer>

IP-Adresse

Eine Adresse, unter der ein Rechner innerhalb eines Netzwerks nach dem Internetprotokoll (IP) erreichbar ist.

<https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfeh lungen/Glossar-der-Cyber-Sicherheit/Functions/glossar. html?nn=522504&cms_lv2=132764>

Keylogger

Ein Keylogger (dt. »Tasten-Protokollierer«) ist eine Hard- oder Software, die dazu verwendet wird, die Eingaben des Benutzers an der Tastatur eines Com­puters zu protokollieren und damit zu überwachen oder zu rekonstruieren.

<https://de.wikipedia.org/wiki/Keylogger>

Mimikatz

Mimikatz ist ein freies und quelloffenes Programm für Microsoft Windows, mit dem, unter Ausnutzung von Schwachstellen, zwischengespeicherte Anmelde­informationen (Credentials) angezeigt werden können.

<https://de.wikipedia.org/wiki/Mimikatz>

MSP

Ein Managed Services Provider (MSP) (engl. für Betrei­bermodellanbieter oder Betreiberlösungsanbieter) ist ein Informationstechnologie-Dienstleister, der die Verantwortung für die Bereitstellung einer defi­nier­ten Reihe von Dienstleistungen für seine Kunden über­nimmt und verwaltet.

<https://de.wikipedia.org/wiki/Managed_Services_ Provider>

Patch

Ein Patch (»Flicken«) ist ein Softwarepaket, mit dem Softwarehersteller Sicherheitslücken in ihren Pro­grammen schließen oder andere Verbesserungen integrieren. Die Einspielung dieser Updates erleichtern viele Programme durch automatische Update-Funktionen. Als Patch-Management bezeichnet man Prozesse und Verfahren, die helfen, verfügbare Patches für die IT-Umgebung möglichst rasch erhal­ten, verwalten und einspielen zu können.

<https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfeh lungen/Glossar-der-Cyber-Sicherheit/Functions/glossar. html?nn=522504&cms_lv2=132810>

Phishing

Das Wort setzt sich aus »Password« und »Fishing« zusammen, zu Deutsch »nach Passwörtern angeln«. Beim Phishing wird zum Beispiel mittels gefälschter E-Mails und/oder Webseiten versucht, Zugangsdaten für einen Dienst oder eine Webseite zu erlangen. Wird diese Manipulation vom Opfer nicht erkannt und die Authentizität einer Nachricht oder Webseite nicht hinterfragt, gibt das Opfer seine Zugangsdaten unter Umständen selbst unwissentlich in die Hände Unberechtigter.

<https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfeh lungen/Glossar-der-Cyber-Sicherheit/Functions/glossar. html?nn=522504&cms_lv2=132810>

Ransomware

Als Ransomware werden Schadprogramme bezeichnet, die den Zugriff auf Daten und Systeme einschrän­ken oder verhindern und diese Ressourcen nur gegen Zahlung eines Lösegeldes (englisch »ransom«) wieder freigeben. Es handelt sich dabei um einen Angriff auf das Sicherheitsziel der Verfügbarkeit und eine Form digitaler Erpressung.

<https://www.allianz-fuer-cybersicherheit.de/Webs/ ACS/DE/Informationen-und-Empfehlungen/ Informationen-und-weiterfuehrende-Angebote/ Glossar-der-Cyber-Sicherheit/Functions/glossar. html?cms_lv2=132812>

RAT (Remote Access Trojan)

Ein Remote-Access-Trojaner (RAT) ist eine Art von Mal­ware, die dem Angreifer die vollständige Fern­kontrolle über ein System ermöglicht. Wenn ein RAT auf einen Computer gelangt, ermöglicht er dem Hacker den einfachen Zugriff auf die lokalen Dateien, die sichere Anmeldeautorisierung und andere sen­sible Informationen, oder er nutzt diese Verbindung, um Viren herunterzuladen, die unbeabsichtigt an andere weitergegeben werden könnten.

<https://heimdalsecurity.com/blog/what-is-a-remote-access-trojan-rat/>

Single Point of Failure

Unter einem Single Point of Failure (kurz SPOF bzw. dt.: einzelner Ausfallpunkt) versteht man einen Be­stand­teil eines technischen Systems, dessen Ausfall den Ausfall des gesamten Systems nach sich zieht.

<https://de.wikipedia.org/wiki/Single_Point_of_Failure>

SMB

Server Message Block (SMB), in einer Ur-Version auch als Common Internet File System (CIFS) bezeichnet, ist ein Netzprotokoll für Datei-, Druck- und andere Server­dienste in Rechnernetzen. Es ist ein zentraler Teil der Netzdienste der Windows-Produktfamilie und erlaubt den Zugriff auf Dateien und Verzeichnisse, die sich auf einem anderen Computer befinden.

<https://de.wikipedia.org/wiki/Server_Message_Block>

SSL-Zertifikat

Ein SSL-Zertifikat ist eine kleine Datei, die einen kryp­tografischen Schlüssel digital an die Details einer Orga­nisation bindet. Wenn es auf einem Webserver instal­liert ist, aktiviert es das https-Protokoll und ermög­licht sichere Verbindungen von einem Webserver zu einem Browser. Typischerweise wird SSL verwendet, um Kreditkarten-Transaktionen, Datentransfers und Logins zu sichern. SSL wird in jüngerer Zeit immer mehr zur Norm bei der Sicherung des Browsens.

<https://www.globalsign.com/de-de/ssl-information-center/was-ist-ein-ssl-zertifikat>

TTP (Tools, Tactics & Procedures)

Das Gesamtbild des Angriffsverhaltens, das sich aus den verwendeten Mitteln, den eingesetzten Taktiken und Techniken und den bevorzugten Abläufen eines Akteurs ergibt. Eine Taktik ist die Beschreibung des Verhaltens auf höchster Ebene; Techniken bieten eine detailliertere Beschreibung des Verhaltens im Kontext einer Taktik; und Prozeduren bieten eine untergeordnete, sehr detaillierte Beschreibung des Verhaltens im Kontext einer Technik.

<https://csrc.nist.gov/glossary/term/Tactics_Techniques_and_Procedures>

Wiper

Ein Wiper ist eine Klasse von Malware, deren Ziel es ist, die Festplatte des von ihr infizierten Computers zu löschen.

<https://en.wikipedia.org/wiki/Wiper_(malware)>

Zero Day

Die Ausnutzung einer Schwachstelle, die nur dem Entdecker bekannt ist, bezeichnet man als Zero-Day-Exploit. Die Öffentlichkeit und insbesondere der Her­steller des betroffenen Produkts erlangen in der Regel erst dann Kenntnis von der Schwachstelle, wenn An­griffe entdeckt werden, die sich diese Schwachstelle zunutze machen. Der Begriff Zero Day leitet sich also davon ab, dass ein entsprechender 🡪 Exploit bereits vor dem ersten Tag der Kenntnis der Schwachstelle durch den Hersteller existierte – also an einem fik­tiven »Tag null«. Der Hersteller hat folglich keine Zeit, die Nutzer vor den ersten Angriffen zu schützen.

<https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfeh lungen/Glossar-der-Cyber-Sicherheit/Functions/glossar. html?nn=522504&cms_lv2=132776>

Abkürzungen

AEUV

Vertrag über die Arbeitsweise der Europäischen Union

AIVD

Algemene Inlichtingen- en Veiligheidsdienst (niederländischer In- und Auslandsgeheimdienst)

APT

Advanced Persistent Threat

AStV/Coreper

Ausschuss der Ständigen Vertreter

BBC

British Broadcasting Corporation

BKA

Bundeskriminalamt

BSI

Bundesamt für die Sicherheit in der Informa­tionstechnik (Bonn)

C2

Command & Control (Server)

CCDCOE

NATO Cooperative Cyber Defence Centre of Excellence

CCED

Canadian Centre for Ethics in Sport (Ottawa)

CERT

Computer Emergency Response Team

CIA

Central Intelligence Agency (USA)

CIR

Cyber- und Informationsraum

CSIRT

Computer Security Incident Response Team

DNC

US Democratic National Committee

DNS

Domain Name System

EAD

Europäischer Auswärtiger Dienst

EC3

European Cybercrime Centre (bei Europol)

ENISA

European Union Agency for Cybersecurity

EuGH

Europäischer Gerichtshof

EU INTCEN

European Union Intelligence and Situation Centre

EU LE ERP

EU Law Enforcement Emergency Response Protocol

EUMS

European Union Military Staff

EUV

Vertrag über die Europäische Union

FBI

Federal Bureau of Investigation (USA)

GASP

Gemeinsame Außen- und Sicherheitspolitik (der EU)

GCHQ

Government Communications Headquarters (UK)

GIGA

German Institute of Global and Area Studies (Hamburg)

GRU

Glawnoje Raswedywatelnoje Uprawlenije (Russischer Militärnachrichtendienst)

GTsSS

Glawnii Zentr Spezial’noj Sluschbi (85. Hauptzentrum für Spezialdienste der Haupt­direktion des Generalstabs der Streitkräfte der Russischen Föderation)

GTsST

Glawnii Zentr Spezial’nych Technologii (Hauptzentrum für Spezialtechnologien der Hauptdirektion des Generalstabs der Streitkräfte der Russischen Föderation)

HR

High Representative (High Representative of the Union for Foreign Affairs and Security Policy)

HWPCI

Horizontal Working Party on Cyber Issues (auch: HWP Cyber)

HWP ERCHT

Horizontal Working Party on Enhancing Resilience and Countering Hybrid Threats

ICDS

International Centre for Defence and Security (Tallinn)

ICJ

International Court of Justice

IGH

Internationaler Gerichtshof

IKT

Informations- und Kommunikationstechnologie

ILC

International Law Commission

INTCEN

siehe EU INTCEN

IoC

Indicator of Compromise (Kompromittierungs­indikator)

IP

Internet Protocol

IPCR

Integrated Political Crisis Response (EU)

IS

»Islamischer Staat«

i.V.m.

in Verbindung mit

JCAT

Joint Cybercrime Action Taskforce (bei Europol)

KRITIS

Kritische Infrastrukturen

MIVD

Militaire Inlichtingen- en Veiligheidsdienst (niederländischer Militärgeheimdienst)

MSP

Managed Service Provider

NCSC

National Cyber Security Centre (UK)

NIS

Network and Information Security (Directive, EU)

NSA

National Security Agency (USA)

OSINT

Open Source Intelligence

OVCW

Organisation für das Verbot chemischer Waffen (Den Haag)

PSK

Politisches und Sicherheitspolitisches Komitee (der EU)

RAT

Remote-Access-Trojaner

SIAC

Single Intelligence Analysis Capacity

SMB

Server Message Block

SOCMINT

Social Media Intelligence

SPOF

Single Point of Failure

TTP

Tools, Techniques/Tactics & Procedures

UN

United Nations/Vereinte Nationen

USADA

United States Anti-Doping Agency

VO

Verordnung

VP

Vizepräsident der EU-Kommission

VPN

Virtual Private Network

WADA

World Anti-Doping Agency (Montreal)

Vergleichstabelle der Fälle (nur online)

Siehe die Tabelle unter https://bit.ly/SWP21S17Anhg

Weitere SWP-Publikationen zum Thema

Matthias Schulze

Ransomware. Technische, nationale und multilaterale Gegenmaßnahmen

SWP-Aktuell 56/2021, 31.8.2021, 8 Seiten

Annegret Bendiek / Matthias C. Kettemann

EU-Strategie zur Cybersicherheit:
Desiderat Cyberdiplomatie

SWP-Aktuell 12/2021, 9.2.2021, 8 Seiten

Annegret Bendiek / Matthias Schulze

Schwachstellen der deutschen Cybersicherheitsstrategie 2021

SWP-Kurz gesagt, 20.9.2021

Endnoten

1

 Wesentliche Ergebnisse dieser Studie verdanken wir den tiefgründigen Recherchen von Anna Sophia Tiedeke, Kerstin Zettl und Andreas Schmidt. Die Genannten haben durch ihre Analysen im Rahmen des Pilotprojekts zur Machbarkeit eines Repositoriums über Cybervorfälle in Europa in Kooperation mit dem Cyberaußenpolitikstab in den Jahren 2020/21 maßgeblich zur Erarbeitung der SWP-Studie beigetragen. Ein besonderer Dank gilt auch Veronika Datzer für ihre Korrekturen.

Die Angriffe werden benannt als »WannaCry«, »NotPetya«, »Operation Cloud Hopper«, »Bundestag-Hack« und »versuchter Angriff auf die Organisation für das Verbot chemischer Waffen (OVCW)«. Die EU hat diese Attacken als böswillige Cyberangriffe und versuchte Cyberangriffe mit potentiell erheblichen Auswirkungen ein­gestuft, »die eine externe Bedrohung für die Union oder ihre Mitgliedstaaten darstellen«.

2

 Rat der Europäischen Union, Schlussfolgerungen des Rates zu böswilligen Cyberaktivitäten – Billigung, Brüssel, 16.4.2018, <https://data.consilium.europa.eu/doc/document/ST-7925-2018-INIT/de/pdf>.

3

 Annegret Bendiek / Matthias C. Kettemann, EU-Strategie zur Cybersicherheit: Desiderat Cyberdiplomatie, Berlin: Stiftung Wis­senschaft und Politik, Februar 2021 (SWP-Aktuell 12/2021), <https://www.swp-berlin.org/publikation/eu-strategie-zur-cybersicherheit-desiderat-cyberdiplomatie>; Annegret Bendiek / Raphael Bossong / Matthias Schulze, Die erneuerte Strategie der EU zur Cybersicherheit. Halbherziger Fortschritt an­gesichts weitreichender Herausforderungen, Berlin: Stiftung Wis­senschaft und Politik, Oktober 2017 (SWP-Aktuell 72/2017), <https://www.swp-berlin.org/publikation/die-erneuerte-strategie-der-eu-zur-cybersicherheit>; Annegret Bendiek, Umstrittene Partnerschaft: Cybersicherheit, Internet Governance und Datenschutz in der transatlantischen Zusammenarbeit, Berlin: Stif­tung Wissenschaft und Politik, Dezember 2013 (SWP-Studie 26/2013), <https://www.swp-berlin.org/publikation/cyber politik-transatlantische-zusammenarbeit>.

4

 Rat der Europäischen Union, Schlussfolgerungen des Rates zu böswilligen Cyberaktivitäten [wie Fn. 2], S. 2.

5

 Vgl. Matthias Schulze, Konflikte im Cyberspace, Berlin: Deutsche Gesellschaft für die Vereinten Nationen, 2020 (UN‑Basis-Informationen 61), <https://dgvn.de/veroeffent lichungen/publikation/einzel/konflikte-im-cyberspace/> (Zugriff am 6.5.2021); Alex Grigsby, »The End of Cyber Norms«, in: Survival, 59 (2017) 6, S. 109–122.

6

 Vgl. Annegret Bendiek, Sorgfaltsverantwortung im Cyber­raum: Leitlinien für eine deutsche Cyber-Außen und Sicherheitspolitik, Berlin: Stiftung Wissenschaft und Politik, März 2016 (SWP-Studie 3/2016) <https://www.swp-berlin.org/publikation/ sorgfaltsverantwortung-im-cyberraum>; dies., European Digital Sovereignty: Combining Self-interest with Due Diligence, Ottawa: Centre for European Studies, Carleton University, Dezember 2020 (EU Policy Brief 5), <https://carleton.ca/ ces/wp-content/uploads/Bendiek-EU-Policy-Brief-Digital-Sovereignty-2.pdf> (Zugriff am 4.6.2021).

7

 Weitere sicherheitspolitische Initiativen der EU sind unter anderem der Politikrahmen für die Cyberabwehr (Cyber Defence Policy Framework, 2018), der Rechtsakt zur Cybersicherheit und die 5G-Toolbox (beide 2019), die Stra­tegie für die Sicherheitsunion und die EU-Verordnung zum Screening von (Digital-)Investitionen (2020).

8

 Andy Greenberg, »White House Blames Russia for NotPetya, the ›Most Costly Cyberattack in History‹«, Wired (online), 15.2.2018, <https://www.wired.com/story/white-house-russia-notpetya-attribution/> (Zugriff am 18.5.2021).

9

 Rat der Europäischen Union, Schlussfolgerungen des Rates zu böswilligen Cyberaktivitäten [wie Fn. 2].

10

 Ebd.

11

 Rat der Europäischen Union, Beschluss (GASP) 2020/1127 des Rates vom 30. Juli 2020 zur Änderung des Beschlusses (GASP) 2019/797 über restriktive Maßnahmen gegen Cyberangriffe, die die Union oder ihre Mitgliedstaaten bedrohen, <https://eur-lex.europa. eu/legal-content/DE/TXT/PDF/?uri=CELEX:32020D1127&from=DE> (Zugriff am 2.6.2021). Auf der rechtlichen Grundlage von Artikel 13 Absatz 1 VO (EU) 2019/796 wurde in Anhang I der VO (EU) 2019/796 die Liste der natürlichen und juristischen Personen, Organisationen und Einrichtungen gemäß Artikel 3 VO (EU) 2019/796 geändert.

12

 Vgl. Florian J. Egloff / Max Smeets, »Publicly Attributing Cyber Attacks: A Framework«, in: Journal of Strategic Studies, (2021), S. 1–32.

13

 Stefan Soesanto, »Europe Has No Strategy on Cyber Sanctions«, Lawfare, 20.11.2020, <www.lawfareblog.com/ europe-has-no-strategy-cyber-sanctions> (Zugriff am 6.5.2020).

14

 Annegret Bendiek / Minna Ålander / Paul Bochtler, GASP: Von der Ergebnis- zur Symbolpolitik. Eine datengestützte Analyse, Berlin: Stiftung Wissenschaft und Politik, November 2020 (SWP-Aktuell 86/2020), <https://www.swp-berlin.org/ publikation/gasp-von-der-ergebnis-zur-symbolpolitik>; vgl. auch Francesco Giumelli / Fabian Hoffmann / Anna Książcza­ková, »The When, What, Where and Why of European Union Sanctions«, in: European Security, 30 (2021) 1, S. 1–23; Niklas Helwig / Juha Jokela / Clara Portela (Hg.), Sharpening EU Sanctions Policy for a Geopolitical Era, Helsinki: Prime Minister’s Office, 2020, <https://julkaisut.valtioneuvosto.fi/bitstream/ handle/10024/162257/VNTEAS_2020_31.pdf> (Zugriff am 4.6.2021); Clara Portela et al., »Consensus against All Odds: Explaining the Persistence of Sanctions on Russia«, in: Journal of European Integration, 43 (2020) 6, S. 1–17.

15

 Soesanto, »Europe Has No Strategy on Cyber Sanctions« [wie Fn. 13]

16

 Erica D. Borghard / Shawn W. Lonergan, »The Logic of Coercion in Cyberspace«, in: Security Studies, 26 (2017) 3, S. 452–481 (463).

17