Direkt zum Seiteninhalt springen

Das Janus-Prinzip: Fünf zentrale Reformansätze für die europäische Cybersicherheitspolitik

SWP-Aktuell 2025/A 39, 22.08.2025, 8 Seiten

doi:10.18449/2025A39

Forschungsgebiete

Die Bedrohung im Cyber- und Informationsraum geht maßgeblich von autoritären Staaten wie Russland, China, Nordkorea und Iran aus, die hybride Netzwerke aus staatlichen und nichtstaatlichen Akteuren einsetzen, um Verantwortung zu verschleiern und Konflikte zu eskalieren. Langfristige Analysen verdeutlichen ihre hohe operative Aktivität und die zunehmende Vermischung von Akteursrollen. Die EU reagiert darauf mit einem umfangreichen diplomatischen Reaktionsrahmen, dessen Wirkung aber höchst umstritten ist. Eine grundlegende Reform der europäischen Cybersicherheitspolitik sollte daher dem Janus-Prinzip folgen: Sie sollte sich kon­sequent einem Check-up ineffizienter Strukturen und Prozesse stellen und dabei gleichzeitig die technologischen Entwicklungen in den Blick nehmen. Fünf konkrete Reformansätze bieten sich für die EU Cyber Posture an, um Synergien zu heben und eine wirksame, belastbare Antwort auf die dynamischen Bedrohungen zu finden.

Die Bewertung technologiegetriebener Bedro­hungen, wie sie sich im Cyber- und Informationsraum (CIR) ergeben, kreist häufig um den Fortschritt des technisch Machbaren. In zugespitzter Form zeigt sich das an der Diskussion über die Auswirkungen von KI-Entwicklungen auf die Cyber­sicherheit. Diese Debatten vermitteln den Eindruck, dass sich Sicherheit im Wettstreit um einen technologischen Durchbruch und einen damit verbundenen, nicht auszugleichenden Vorteil entscheidet. Diese Wahr­nehmung führt dann in der Regel zu dem Schluss, die künftige Bedrohungslandschaft gestalte sich danach, ob es gelingt, ein tech­nisches Gleichgewicht zwischen Offen­sive und Defensive herzustellen. Aus dem Im­puls, dieses neue Gleichgewicht zu bestim­men, ergibt sich die Tendenz, in Analysen die Aufmerksamkeit allein auf den techno­logischen Entwicklungshorizont zu richten. Über den Einsatz von Cyberfähigkeiten ent­scheiden indes vielmehr strategische Über­legungen, institutionelle Pfadabhängig­keiten und diplomatische Verhaltensweisen, die langfristigen Trendlinien folgen.

Eine umfassende Bewertung der Bedro­hungen im CIR erfordert aber nicht nur eine vorwärtsgewandte Einschätzung künftiger technologischer Entwicklungen (ex-ante), sondern auch eine rückwärtsgerichtete kritische Selbstevaluation, also Ex-post-Betrachtung, der eingeschlagenen institutio­nellen Pfade, die eine zielgerichtete euro­päische Cyberabwehr hemmen. Dieser Janusblick in beide Richtungen ist die Be­dingung dafür, das technisch Mögliche mit dem eigenen strategischen Anspruch, eine europäische Cybersicherheitspolitik zu entwickeln, in Abstimmung zu bringen. Gerade gegenüber den strategischen Herausforderern ist es unverzichtbar, den Blick auf eine vorwärtsgewandte Gefahren­abwehr zu richten und zugleich die Fehler der Vergangenheit in der europäischen Cybersicherheitspolitik nicht zu wieder­holen. Insbesondere im Hinblick auf jene Reaktionen auf EU-Ebene, die mit einem hohen Kommunikationsaufwand zwischen den Politikebenen von der EU-Ebene bis hin zur föderalen Ebene in der Bundesrepublik Deutschland einhergehen, ist ein derartiger Janusblick die Voraussetzung dafür, dass erwogene Schutz- und Gegenmaßnahmen auf ihre tatsächliche Wirksamkeit hin überprüft werden können.

Die strategischen Herausforderer

Kontinuierliche Auswertungen, wie sie das European Repository of Cyber Incidents (EuRepoC) über einen Zeitraum von nahezu 25 Jahren ermöglicht, stellen für ein (öffent­lich zugängliches) Lagebild der europäischen Cybersicherheit eine wichtige Grund­lage bereit. In diesen Langzeitbeobach­tungen zeichnet sich eine anhaltend hohe Aktivität von Seiten eines Clusters von autoritären Staaten ab. Knapp drei Viertel der seit 2000 öffentlich berichteten Cyber­operationen mit staatlichem Hintergrund sind nach EuRepoC-Daten auf vier Länder zurückzuführen – China, Iran, Nordkorea und Russland. Gleichzeitig belegen Daten des Repositorys für diese Zeitspanne eine Erweiterung des Akteursfelds. Staatliche Gruppen sind demnach für weniger als ein Drittel der Cyberoperationen mit politischer Tragweite verantwortlich. Eine Auswertung der einzelnen Operationen zeigt allerdings, dass diese Trennung nach Akteurstypen ge­rade für Aktivitäten mit Ursprung in auto­ritären Staaten weit weniger statisch ist. Der Konstante eines Clusters autoritärer Staaten als Bedrohungs­quelle steht eine Dynamisierung des Verhältnisses zwischen staatlichen und nichtstaatlichen Akteuren gegenüber, welche die Grenzen zwischen diesen Grup­pen zunehmend verschwimmen lässt.

Insbesondere Russland und China haben gezielt hybride Strukturen entwickelt, in denen staatliche und nichtstaatliche Ak­teure – etwa kriminelle Gruppen oder pri­vate Hacker-Dienstleister – eng mit­einan­der verzahnt vorgehen. Kriminelle Grup­pen, die in Russland ein Rückzugsgebiet gefunden haben und von dort gegen aus­ländische Ziele straffrei agieren können, werden im Gegenzug von russischen Dien­sten in staatlich gesteuerte Operationen ein­bezogen. In China hat sich unter Führung des Ministeriums für Staatliche Sicherheit ein verzweigtes Netzwerk kommerzieller Dienstleister ausgebildet. Im staatlichen Auf­trag spähen diese Firmen Schwachstellen aus und erschließen Zugänge zu Hochwert­zielen im Ausland. Über die Einbindung solcher Proxy-Gruppen ohne vermeint­lichen Staatsbezug versuchen Staaten, die Aufklärung ihrer Cyberaktivitäten zu be­hindern und die dahinterstehenden Ab­sichten zu verschleiern. Hinter dieser Kulisse starten sie gezielte Angriffe auf kritische Infrastrukturen, politische Insti­tutionen oder zivilgesellschaftliche Akteure in der EU. Zu beobachten ist eine strategisch bewusst angelegte Integration nichtstaat­licher Ressourcen in staatliche Planungs- und Kommandostrukturen. Diese Vor­gehensweise erschwert die politische Attri­bution, unterminiert internationale Normen und setzt die Resilienz offener Gesellschaften permanent unter Druck.

Die EU Cyber Posture: Ungenutzte Synergiepotentiale

Gerade Europa steht vor der besonderen Her­ausforderung, die von der Vielschichtigkeit dieser Hybrid­modelle autoritärer Staaten ausgeht. Die EU hat dafür eine Vielzahl an Cybersicherheitsinstrumenten kreiert, darunter die Cyber Diplomacy Tool­box (CDT), das horizontale Cybersanktions­regime, militärische Reaktionsmechanismen im Rahmen von PESCO und regulatorische Initiativen zur Stärkung der Produkt­sicherheit wie die Cyberresilienz-Verord­nung. Der neue EU Cyber Blueprint vom Juni 2025 ergänzt und integriert bestehende Initia­tiven wie:

Diese hier nur kursorisch aufgelisteten EU-Instrumente spiegeln das breite sicher­heits- und technologiepolitische Spektrum Europas wider. Zahlreiche Analysen haben aufgezeigt, dass die Wirkung der EU-Cyber­sicherheitspolitik durch fragmentierte Zu­ständig­keiten und sektorale Abschottung begrenzt bleibt. Auch ist vielfach darauf hingewiesen worden, dass durch die feh­lende strategische Ver­knüpfung Synergiepotentiale ungenutzt bleiben, die durch eine stärkere Verzahnung von Kommissions- und Ratsinitiativen durchaus erschlossen werden könnten. Im Sinne des Janusblicks sind aber gerade die konstruktiven Ele­mente der EU-Cybersicherheitspolitik in den Blick zu nehmen.

Grundsätzlich legt die Cyber Posture vom Mai 2022 die Aufgaben der EU richtigerweise breit an, indem sie fünf Arbeits­bereiche definiert: Stärkung der Widerstandsfähigkeit und der eigenen Schutz­kapazitäten; Stärkung der Solidarität und Verbesserung des umfassenden Krisen­managements; internationale cyberpolitische Positionierung der EU; Intensivierung der Zusammenarbeit mit Partnerländern und internationalen Organisationen; und Prävention, Abwehr und Reaktion auf Cyber­angriffe. Der Aufbau und die Ausrichtung dieser Cyber Posture unterstreicht auch den spezifischen kollektiven Beitrag von EU-Institutionen und -Akteuren bei der Koordi­nation, die ein gemeinsames Vorgehen in der europäischen Cybersicherheitspolitik überhaupt erst ermöglicht. Diese vielfach unterschätzten Koordinationsbemühungen erstrecken sich über mehrere Ebenen. Im November 2024 verständigten sich die Mit­gliedstaaten auf eine gemeinsame Erklärung zur Anwen­dung des Völkerrechts im Cyber­raum, an der sich auch andere Drittstaaten außerhalb der EU orientieren. Der im Juni 2025 angenommene Cyber Blueprint zur Verbesserung des Cyberkrisenmanagements regelt die Verantwortlichkeiten zwischen Akteuren auf Unionsebene. Auch dieses Konzept dient insbesondere anderen Regionalorganisationen als Vorbild. Die Einbindung der Ukraine in Überlegungen, wie sich die CDT noch wirkungsvoller zur Abschreckung von Cyber­angriffen ein­setzen lässt, verdeutlicht nicht zuletzt, wie intensiv sich die EU um die Abstimmung mit internationalen Partnern bemüht. Auch die EU-Initiativen zur horizontalen, verti­kalen und drittstaatsorientierten Kohärenzsteigerung ihrer Cybersicherheitspolitik sind Beleg für den Ansatz, Sorgfaltspflichten und das internationale Recht zu stärken. Als normativer Ausgangspunkt der EU-Cyber­sicherheitspolitik kommt ihnen darüber hinaus eine zentrale Bedeutung zu.

Sorgfaltsverantwortung als Ausgangspunkt

Angesichts der systematischen Offensive autoritärer Akteure im CIR hat die EU vor allem Maßnahmen ergriffen, um ihren eige­nen cybersicherheitspolitischen Sorg­faltspflichten nachzukommen. Die EU will im CIR auf internationaler Ebene eine regel­basierte Strategie verfolgen, die auf der Ach­tung des Völkerrechts und der UN-Normen basiert und von vertrauens- und sicherheits­bildendem Handeln begleitet ist. Diese Hal­tung soll Erwartungsverlässlichkeit erzeu­gen und wird durch zentrale Dokumente und Instrumente wie die EU Cyber Posture (2022), die überarbeitete Cyber Diplomacy Toolbox (2023), den Strategischen Kompass, die Mitteilung zur Cyber­verteidigung (2024) und die Erklärung zur Anwendung des Völkerrechts im Cyberraum (2024) bekräf­tigt. Diese Dokumente betonen die Geltung humanitärer und internationaler Normen, die Bedeutung normsetzender Diplomatie und die Ver­pflichtung der EU zu verantwortungsvollem staatlichem Handeln im digitalen Raum. Im Zentrum des diploma­tischen Reaktionsrahmens der EU steht die überarbeitete Cyber Diplomacy Toolbox (CDT) mit ihren bisher vier verabschiedeten Sanktionspaketen.

Daneben gibt es, wie bereits weiter oben aufgelistet, eine Vielzahl von verbindlichen Rechtsakten der EU-Kommission, die vor allem seit 2022 erlassen wurden. Verbun­den sind sie durch das übergeordnete Ziel, die Resilienz innerhalb des Binnenmarkts zu steigern. Durch Vorgaben für Hard- und Software, für die Netzwerkinfrastruktur und durch die Festschreibung internationaler Verpflichtungen aus der Grundrechtecharta und dem internationalen Recht werden alle Marktteilnehmer im Binnenmarkt damit mittelbar an euro­päische Normen und Standards gebunden.

Der Cyberkapazitätsaufbau über die EU hinaus findet häufig im Rahmen der Ge­mein­samen Sicherheits- und Verteidigungs­politik (GSVP) statt, vor allem über zivile Ausbildungsmissionen (z. B. EUAM Ukraine, EUCAP Sahel). Diese Missionen bieten An­knüpfungspunkte zur normen­gebundenen Cyberdiplomatie, etwa durch die Vermittlung europäischen Rechts oder technischer Schutzmaßnahmen, zum Teil über private IT-Sicherheitsanbieter. Jedoch ist das Poten­tial solcher Missionen als Beitrag zur gesamt­strategischen Cybersicherheitsarchitektur der EU bislang kaum genutzt worden.

Während der regulatorische Anspruch der EU weltweit Beachtung findet, wird ihre Fähigkeit, Cyberbedrohungen abzuwehren, von einer Reihe von Defiziten beschränkt, unter denen vor allem zu nennen wären: fehlende horizontale Strategiekohärenz, die einseitige Fokussierung auf die Attribution, Schwächen bei der Anschlussfähigkeit zur aktiven Kooperation mit anderen Partnern, ein Mangel an EU-interner vertikaler Ko­härenz und die starre Trennung zwischen zivil und militärischer Zusammenarbeit. Reformansätze sollten stärker nach den Konfliktstrukturen unterscheiden, weniger auf die Attribution und Sanktionen ab­heben und auf die Verbesserung der inter­nationalen Anschlussfähigkeit durch öffent­lich-private Partnerschaften sowie eine Ver­tiefung der zivil-militärischen Kooperation abzielen.

Erstens: Stärker zwischen Bedrohungen differenzieren

Die Reform der CDT 2023 war ein wichtiger Schritt, aber sie hat keine substantiellen Durchbrüche bei Attribution, Sanktionierung oder operativer Resilienz gebracht. Der diplomatische Reaktionsrahmen der GASP fokussiert stark auf staatliche Bedro­hungsakteure, vor allem auf Advanced Persistent Threats (APTs), die staatlichen Stellen zugeschrieben werden können. Diese Engführung blendet jedoch die zunehmende Verwischung der Trennlinie zwischen staatlichem und nichtstaatlichem Handeln aus. Autoritäre Staaten wie Russland und China integrieren kriminelle Strukturen systematisch in ihre Cyberoperationen, sei es durch Schutzräume oder operative Ko­ordination.

Zentrale Herausforderungen ergeben sich aus der fortschreitenden Verwässerung der Grenzen zwischen staatlichem und nichtstaatlichem Handeln – insbesondere im russischen Fall, wo kriminelle Gruppen als verlängerter Arm des Staates agieren und Schutzräume genießen. Dies reduziert die Wirksamkeit der bisherigen EU-Instru­mente gegenüber Cyberkriminalität, beson­ders im Bereich von Ransomware, wie die jüngsten Operationen gegen Krankenhäuser und Wasserwerke zeigen.

Die EU hat zwar mit der Toolbox ein In­strumentarium zur Reaktion auf hybride Bedrohungen beschlossen, das unter ande­rem Cyberoperationen umfasst; doch auch hier fehlt es an einer systematischen Inte­gra­tion mit CDT-Maßnahmen. Auch der Einsatz hybrider Rapid Response Teams wird bisher weder strategisch gesteuert noch regelmäßig geübt – ein Missstand, der im Cyber Blueprint 2025 selbstkritisch benannt wird.

Bislang mangelt es an einer institutio­nellen horizontalen Kohärenz in der euro­päischen Cybersicherheit: Während bei­spielsweise in Großbritannien das National Cyber Security Centre landesweit Einsatzmöglichkeiten für Täuschungsmaßnahmen (Honeypots etc.) prüft, verfügt die EU noch über keinen vergleichbaren Ansatz, obwohl die Größe des Binnenmarkts hier einen Vorteil darstellen würde. Zwar sehen die 2023 überarbeiteten Leitlinien der CDT zum Beispiel den gemeinsamen Einsatz von Maßnahmen aus den EU-Toolboxen für den Umgang mit hybriden Bedrohungen und ausländischen Beeinflussungsversuchen vor. Die Schaffung von Synergien zwischen den verschiedenen EU-Strategien verharrt allerdings bislang auf konzeptioneller Ebene. Auch dieses Defizit hat die EU Cyber Posture benannt.

Im Hinblick auf zwischenstaatliche Kon­flikte hat die EU sich klar zur Geltung des humanitären Völkerrechts im Cyberraum bekannt – zuletzt in der erwähnten Er­klärung vom November 2024. Um diesem Bekenntnis Wirkung zu verleihen, braucht es Konkretisierungen, wie solche roten Linien in der militärischen Verteidigungsdimension operationalisiert werden sollen. Ein wichtiger Schritt in dieser Richtung wäre die Aus­arbeitung von Leitlinien zur Anwendung des humanitären Völkerrechts auf offensive Cyberoperationen im Kontext von Artikel 42(7) EUV oder Artikel 222 AEUV (Solidaritätsklausel), damit strategischen Herausforderern im Vorfeld Hand­lungsfähigkeit signalisiert wird.

Zweitens: Unabhängig von Attribution handeln

Der Reaktionsrahmen der EU bleibt stark attributionsabhängig, also fokussiert auf die Zuschreibung von Verantwortung. Die EU betont zwar im Hinblick auf die CDT, dass nicht alle restriktiven Maßnahmen eine Attribution voraussetzen. Faktisch aber ist die Anwendung der Tools an eine vorherige Attribution geknüpft. Obwohl die CDT 2023 überarbeitet wurde, gibt es nach wie vor kaum Maßnahmen, die ohne vorausgegangene Attribution wirksam werden können.

Auch fehlen im Arsenal der CDT bisher explizite Optionen für Maßnahmen, die sich gegen technische Infrastrukturen wie Crypto-Mixer, Anbieter von Bulletproof-Hosting-Diensten oder Botnet-Controller richten – also Instrumente, die unabhängig vom Akteur Wirkung entfalten können. Reaktive Maßnahmen wie das Unterbrechen technischer Infrastrukturen (z. B. Botnet-Zerschlagung, Server­abschaltungen, De­platforming) können grundsätzlich un­abhängig von der Attribution erfolgen und gleichzeitig effektiv zur Schadensminimierung beitragen. Dieses Potential wurde im Zuge der CDT-Reform 2023 nicht systematisch opera­tionalisiert. Strategische Partner der EU sind in ihrer Zusammenarbeit deut­lich weiter. Die USA, Großbritannien und Australien haben wiederholt in enger Ab­stimmung Plattformen, wie etwa die inten­siv von Cyberkriminellen genutzten rus­sischen Bulletproof-Hosting-Provider Zservers und Aeza, sanktioniert. Eine ver­gleichbare Option fehlt in der EU, obwohl gerade solche Maßnahmen die Fähigkeit zur Reaktion gegenüber Bedrohungsakteuren, die gezielt staatliche und nichtstaat­liche Handlungsregister vermischen, erheb­lich steigern könnten. Die EU erkennt zwar die Rolle technischer Attribution durchaus an – etwa wenn es darum geht, den Inter­nationalen Strafgerichtshof (IStGH) bei Ermittlungen zu Cyberkriegsverbrechen gegen die Ukraine zu unterstützen. Gleich­wohl bleiben diese Ansätze isoliert. Eine systematische Verzahnung mit diploma­tischen Mechanismen erfolgt nicht. Tech­nische Attribution sollte künftig Teil der Cyberdiplomatie werden, um handlungs­fähig zu bleiben, gerade dann, wenn poli­tische Attribution nicht unmittelbar mög­lich ist.

Drittens: Internationale Anschlussfähigkeit verbessern

Die CDT ist eingebettet in die EU Cyber Posture von 2022. Diese enthält ein Be­kenntnis zu einem regelbasierten inter­nationalen System, das sich auf die UN-GGE- und OEWG-Berichte sowie geltendes Völkerrecht stützt. Der Verweis auf inter­nationale Normen ist essentieller Bestandteil der diplomatischen Bemühungen der EU. Gleichzeitig bleibt unklar, wie diese Prinzipien bei konkreten Vorfällen in Europa umgesetzt werden.

Das im Mai 2025 verlängerte horizontale Cybersanktionsregime sieht zwar explizit die Möglichkeit vor, internationale Normen durchzusetzen. Die Sanktionspraxis der EU ist allerdings von Zurückhaltung geprägt, auch wegen der hohen Anforderungen an die Beweislast und die implizite Abhängigkeit von Attribution. Darüber hinaus ist die EU bei ihren Reaktionen durch den Konsens­zwang der Mitgliedstaaten eingeschränkt. Die politische Attribution erfolgt indivi­duell durch die einzelnen Mitgliedstaaten. Eine einheitliche Außenwirkung lässt sich damit kaum erzielen.

Der Vergleich mit den Five-Eyes-Staaten zeigt: EU-Reaktionen erfolgen langsamer, weniger koordiniert und basieren seltener auf geheimdienstlicher Vorarbeit. Die Fähig­keit der EU, international abgestimmte Maß­nahmen umzusetzen, ist aber von zentraler Bedeutung. Die USA und Groß­britannien nutzen technische Beweismittel und Geheimdienstinformationen oft gezielt, um Sanktionen zu verhängen. Dieser prag­matische Zugriff erlaubt es ihnen, schnell zu reagieren, und zeigt, dass eine flexible Handhabung von Attributionserfordernis­sen ein Erfolgsfaktor im Hinblick auf die internationale Koordination ist.

Die fehlende Integration technischer Attribution in die Cyberdiplomatie schwächt die strategische Position der EU und macht es schwieriger für sie, mit Partnerstaaten abgestimmte Maßnahmen zu ergreifen. Auch operative Maßnahmen wie die ko­ordinierten Takedowns bei der »Operation Endgame« bleiben in der EU bislang allein auf den strafrechtlichen Arbeitsbereich, bei­spielsweise von Europol, innerhalb der EU Cyber Posture konzentriert. Die Wirkung solcher Maßnahmen zur präventiven Zer­schlagung krimineller Infrastrukturen könnte viel ein­schneidender und nach­haltiger sein, wenn die systematische Offen­legung von Angriffswerkzeugen unter ver­mehrter Einbindung von ENISA und dem EU-CSIRT-Netzwerk mit dem flankierenden Einsatz von Sanktionen über die CDT strate­gisch verknüpft würde. Eine solche Ver­schränkung von bestehenden, aber bisher nebeneinanderstehenden EU-Maßnahmen würde es ermöglichen, den strategischen Herausforderern ernsthaft die Bereitschaft zu signalisieren, sie mit Kosten zu belegen. Bisher war es eine der Limitierungen bei der Anwendung der CDT, Bedrohungs­akteuren wirklich substantielle Konsequenzen aufzuerlegen. Eine Eingliederung der CDT in die operative Bedrohungsbekämpfung kann hier – auch ohne Anpassungen im Maß­nahmenkatalog – neue Handlungsräume erschließen.

Viertens: Partnerschaften pragmatisch ausbauen

In bisherigen Überlegungen zur Anwendung der CDT scheinen Bezüge zu Initiativen der Euro­päischen Kommission zur Cybersicher­heit bisher kaum eine Rolle zu spielen. Da­bei ist für die Wirksamkeit der Maßnahmen des Cyber Resilience Act und des Solidarity Act die Einbindung nichtstaatlicher Stake­holder, etwa aus der Zivilgesellschaft und der Industrie, oder von Wissensträgern in Technologienischen, wie dem Blockchain-Bereich, die selbst stark von kriminellen Aktivitäten betroffen sind, zur Einhegung dieser Machenschaften zentral. Gerade diese Akteure sind entscheidend für die Umsetzung technischer Resilienz, bei der Frühwarnung vor Bedrohungen und für die effektive Attribution. Kooperationen mit Akteuren im Kryptowährungssektor sind wenig entwickelt, dabei könnten sie helfen, den Missbrauch von anonymisierenden Infrastrukturen (z. B. Crypto-Mixern) zu re­duzieren. Gleichzeitig wäre ein vertrauens­basierter Austausch mit Tech-Providern äußerst wichtig für die Identifikation von Angriffspfaden und Supply-Chain-Risiken.

Die überarbeitete CDT enthält zwar Aus­führungen zur Rolle privater Akteure im Bereich der Cybersicherheit: Insbesondere Sicherheitsdienste, Computer Emergency Response Teams (CERTs) und Technologieanbieter sollen systematischer in die Lage­beurteilung (situational awareness) und vorausschauende Reaktion (preparedness) eingebunden werden. Die Implementierung bleibt jedoch fragmentiert. Wesentliche Gruppen – etwa die Krypto-Community, technische Forschungseinrichtungen oder Open-Source-Communities – sind bislang kaum Teil des Reaktionsrahmens. Dabei ist ihre Bedeutung offensichtlich: Ransom­ware-Gruppen nutzen zunehmend Dual-use-Technologien wie File-Transfer-Tools oder legitime Fernwartungssoftware. Ohne Einbindung der genannten Akteure lässt sich der Missbrauch solcher Systeme nicht verhindern.

Auch scheinen bei den Initiativen zur Bekämpfung von Ransomware-Angriffen derartige privat-öffentliche Kooperationsformate in der Cyberdiplomatie bislang nicht im Zentrum zu stehen. Zudem fehlt ein strategischer Dialog mit Cloud-Anbie­tern und Plattformunternehmen – obwohl diese für Skalierung, Attribution und Inter­ventionsmöglichkeiten maßgebliche Player sind. Die EU hätte hier die Möglichkeit, über ihre Marktregulierungskompetenz (z. B. Digital Services Act/Cyber Resilience Act) Anreize für präventive Kooperation zu schaffen, etwa im Bereich der Frühwarnung oder bei Löschungen.

Die EU hat mit ihren Kommissions­mitteilungen zur internationalen digitalen Zusammenarbeit (z. B. im Rahmen der Joint Communication on the EU’s International Digital Strategy, 2023) erste Schritte in die skizzierte Richtung unternommen. Diese überwiegend entwicklungs- und handels­politisch orientierten Vorstöße gilt es, systematisch in den diplomatischen Reak­tionsrahmen zu integrieren.

Fünftens: Zivil-militärische Synergien anstreben

Die Analyse des Cyber Activity Balance Reports 2024 von EuRepoC zeigt, dass die Mehrheit der politisch motivierten Cyber­operationen gegen die EU durch Akteure erfolgt, die mit staatlicher Unterstützung handeln. Insbesondere Operationen aus Russland lassen zunehmend destruktive Absichten erkennen. In den USA werden Versuche mutmaßlich chinesischer Akteure registriert, die Störung kritischer Infra­struktur für den Krisenfall vorzubereiten. Solche Beobachtungen weisen auf ein sicher­heitspolitisches Risiko hin, das eine mili­tärische Reaktion nicht ausschließt. Den­noch wird die militärische Cyberabwehr in der Reaktionsarchitektur der EU nicht systematisch berücksichtigt.

Trotz der Ambitionen im Rahmen der EU Cyberdefence Policy (2022) und der PESCO-Projekte (z. B. Cyber Rapid Response Teams, CRRTs) fehlt es bisher an einer stra­tegischen Integration der zivilen und mili­tärischen Säulen europäischer Cybersicherheitspolitik. Die CDT wurde 2023 reformiert, um ein flexibleres Repertoire diplo­matischer Maßnahmen gegen staatliche und nichtstaatliche Cyberakteure zur Ver­fügung zu haben. Allerdings bleibt ihre Wirksamkeit begrenzt, da der Rahmen der Gegenmaßnahmen, den sie umreißt, weit­gehend losgelöst ist von militärischen Ver­teidigungs­ressourcen wie den PESCO-CRRTs und hybri­den Reaktionsteams (HRRTs). Eine strukturelle Ankopplung an militärische Krisenreaktionsmechanismen, wie sie etwa im EU Cyber Defence Coordination Centre (EUCDCC) vorgesehen ist, befindet sich noch im Aufbau. Notwendig wäre eine enge Zu­sammenarbeit zwischen der militärischen und zivilen Krisenreaktionsarchitektur (EU‑CyCLONe, CSIRTs Network). Sie wird aber bisher nur in Form punktueller Ko­operationen und gemeinsamer Übungen angestrebt.

Die PESCO-CRRTs sind eines der wenigen Instrumente, die explizit für Cybersicherheitsoperationen konzipiert wurden. Ihre Nutzung in tatsächlichen EU-Krisenszena­rien bleibt jedoch marginal. Der Grund dafür liegt auch in der strategischen Un­klar­heit über Zuständigkeiten und Einsatz­doktrinen. Die Leitlinien zur Aktivierung dieser Teams im Falle eines hybriden An­griffs oder einer Cyberkrise bleiben vage. Ihr Einsatz unterliegt der Zustimmung des Mitgliedstaats, was den Mehr­wert auf Unionsebene einschränkt.

Die Lageerfassung und operationale Ko­ordination bei grenzüberschreitenden Vor­fällen sind nach wie vor durch ineffiziente Kommunikationswege und eine Fragmentierung der Zuständigkeiten gekenn­zeich­net. Technische Lösungen könnten hier die Koordination vereinfachen. Im universitären Umfeld sind bereits Vor­schläge zur Einrichtung einer gemeinsamen Plattform zur Cyber Situational Awareness (CSA) ent­wickelt wor­den, die auch militärische Stakeholder einbinden könnte. Darauf aufbauend könnte eine institutionalisierte Schnittstelle zwischen nationalen Militär-CSIRTs, zivilen Incident-Response-Teams und diplomatischen Gremien der EU eta­bliert werden, die in Krisenlagen gemeinsam agieren könnten.

Von der koordinierenden zur integrativen Rolle der EU

Die genannten Reformansätze versprechen erhebliche Synergiepotentiale, die allerdings von einem weiteren Schritt in dieser Koordinationskette abhängen: dem gemein­samen Einsatz der einzelnen Instru­mente, Initiativen und Mechanismen sei­tens der Mitgliedstaaten, der EU-Kommis­sion und des Rates. Über einen solchen integrierten Ansatz können die Bemühungen auf Ebene der Mitgliedstaaten, der EU-Akteure und internationalen Partnern zusammengeführt werden.

Der Beitrag des EU-Reaktionsrahmens zur Eindämmung von Cyberbedrohungen bemisst sich eben nicht an den getroffenen Maßnahmen, sondern danach, wie effektiv sie sind, um die Cybersicherheit der EU zu erhöhen.

Die Einführung einer übergeordneten Ebene zur Koordination der fünf Arbeits­bereiche der EU Cyber Posture würde sicher­stellen, dass einzelne Instrumente nicht in Silos gebunden werden, sondern durch ihren strategisch vernetzten Einsatz Syner­gien freisetzen können, die ihre Durch­schlagskraft weiter steigern.

In den überarbeiteten Leitlinien zur Anwendung der CDT wird die Wirkungs­verstärkung von solchen Koordinations­leistungen explizit als eine Lehre aus dem Einsatz der Toolbox erwähnt. So bekräftigen die Leitlinien ausdrücklich den Anspruch, einen »nachhaltigen, auf die Bedrohung abgestimmten, kohärenten und koordinierten« Ansatz zu verfolgen. Eine Strategie zur Wirkungsverstärkung, die dem Janus-Prinzip folgend den zunehmend vernetzten Sicherheitsherausforderungen die Verbund­effekte vorhandener Instrumente entgegensetzt, schafft dafür die Voraussetzung. Ge­rade angesichts der massiven Bedrohungslage, die sich aus der Vereinnahmung nichtstaatlicher Fähigkeiten durch auto­ritäre Akteure ergibt, liegt in der Koordination und Integration von bestehenden In­strumenten ein spezifischer Mehrwert der EU als cybersicherheitspolitischer Akteur: Mit institutioneller Kohärenz, normativer Klarheit und operativer Anschlussfähigkeit sollten die Mitgliedstaaten nicht nur auf die koor­dinierende Rolle der EU, sondern auf deren integratives Potential setzen, um die strategische Handlungsfähigkeit und Ab­wehrfähigkeit von Bedrohungen im Cyber­raum zu erhöhen. Entlang der Wirkungs­felder der EU Cyber Posture sollten die Reforminitiativen dezidiert dazu beitragen, dass die EU-Cybersicherheitspolitik im Sinne der Sorgfaltsverantwortung den stra­tegischen Herausforderern im Cyber- und Informationsraum eine kollektive Antwort entgegenzusetzen vermag.

Dr. Annegret Bendiek ist Co-Leiterin des Clusters »Cybersicherheit und Digitalpolitik« und Senior Fellow in der Forschungsgruppe EU / Europa.
Jakob Bund ist Wissenschaftler in der Forschungsgruppe EU / Europa. Die Autorin und der Autor sind Mitglieder des Forschungskonsortiums European Repository of Cyber Incidents (EuRepoC, www.eurepoc.eu). Die Recherchen zu diesem Bericht wurden durch die Unterstützung des Auswärtigen Amtes ermöglicht.

Dieses Werk ist lizenziert unter CC BY 4.0

Das Aktuell gibt die Auf­fassung der Autorin und des Autors wieder.

SWP-Aktuells werden intern einem Begutachtungsverfah­ren, einem Faktencheck und einem Lektorat unterzogen. Weitere Informationen zur Qualitätssicherung der SWP finden Sie auf der SWP-Website unter https://www. swp-berlin.org/ueber-uns/ qualitaetssicherung/

SWP

Stiftung Wissenschaft und Politik

Deutsches Institut für Internationale Politik und Sicherheit

Ludwigkirchplatz 3–4
10719 Berlin
Telefon +49 30 880 07-0
Fax +49 30 880 07-100
www.swp-berlin.org
swp@swp-berlin.org

ISSN (Print) 1611-6364

ISSN (Online) 2747-5018

DOI: 10.18449/2025A39