EU-Strategie zur Cybersicherheit: Desiderat Cyberdiplomatie

EU-Strategie zur Cybersicherheit

Die EU arbeitet bereits seit 2015 an ihren Reak­tionsmöglichkeiten auf Attacken aus dem und Konflikte im Cyber- und Informations­raum (CIR). Einige außen- und sicher­heits­poli­ti­sche Initiativen sind in den letz­ten Jahren auf den Weg gebracht worden (vgl. SWP-Aktuell 22/2018). Zu nennen sind hier unter ande­rem der Diplo­mati­sche Reaktionsrahmen (Cyber Diplomacy Tool­box) und der Politikrahmen für die Cyber­abwehr (Cyber Defence Policy Frame­work) (beide 2018), der Rechtsakt zur Cyber­sicher­heit und die 5G-Tool­box (beide 2019), die Strate­gie für die Sicherheitsunion und das Screening von (Digital‑)In­vesti­tionen (2020). Seit 2020 konzen­triert die EU ihre Aktivi­täten zusammen mit den Mitglied­staaten auf den Aufbau opera­tiver Kapazi­täten zur Prä­vention und Abschreckung von sowie Reaktion auf schwerwiegende Cyber­vorfälle in Europa. Den aktuellen Rahmen setzt die im Dezember 2020 von der EU-Kommission und dem Hohen Ver­treter für Außen- und Sicherheitspolitik, Josep Borrell, vorgestellte neue Strategie der EU für Cybersicherheit und Resilienz. Sie ist eng mit anderen Ini­tia­tiven der Union verknüpft, etwa zur digi­talen Zukunft des Bin­nenmarktes, mit dem Konjunkturprogramm der Kommission und der Strategie für die Sicherheitsunion 2020–2025.

Die neue Cybersicherheitsstrategie be­inhaltet Folgendes: Eine »gemeinsame Cyber­stelle« wird eingerichtet. Sie hat die Aufgabe, die IT-Fähigkeiten von »Verteidigungskreise[n] im Bereich der Cybersicherheit« und die der Strafverfolgungsbehörden in Koope­ration mit »zivile[n] und diplomatische[n] Gemeinschaften« zu stärken. Laut der Stra­tegie wird die EU sich auch auf die Arbeiten der Europäischen Verteidigungs­agentur stüt­zen und die Zusam­men­arbeit im militärischen Bereich fördern, wobei sie auf den neu geschaffenen Europäischen Vertei­di­gungs­fonds zurückgreifen kann. Des Weite­ren soll die EU einen »›Cybersicher­heits­schutz­schild‹« erhalten, um Gefahren früh­zeitig zu erken­nen und Gegenmaßnah­men einzuleiten, bevor Schäden ent­stehen. Die Kommission will ein EU-weites »Netz von Sicherheitseinsatzzentren« aufbauen. Es soll den für Cyber­sicherheit zuständigen zivilen und mili­tärischen Behörden von Union und Mit­glied­staaten als Kooperations­plattform dienen und die Koordination bei großen Angriffen verbessern. Zum Schutz kritischer Infrastrukturen sollen gel­tendes EU-Recht und die EU-Richtlinie zur Netz­werk- und Informationssicherheit (NIS-Richt­linie) von 2016 überarbeitet und Künst­liche Intelligenz stärker genutzt werden, um Cyberattacken gegen Krankenhäuser, Versorgungseinrichtungen oder Verkehrsnetze zu identifizieren.

Seit 2018 verfügt die EU über die Cyber Diplomacy Toolbox, um schwerwiegende Cyberangriffe ab­wehren zu können (vgl. SWP-­Aktuell 22/2018). Sie hat damit ein eige­nes Sanktions­regime gegen IT-Angriffe kon­zi­piert, das im Juli 2020 im Zuge der techni­schen und rechtlichen Aufarbeitung der Hackerangriffe auf den Bundestag 2015 zum Einsatz kam. Zur Umsetzung der Cyber­sicher­heitsstrategie sollen im Rahmen der Gemein­samen Außen- und Sicherheitspolitik (GASP) Vorschläge für eine Erweiterung des »EU-Inst­rumentariums für die Cyberdiploma­tie« un­ter­breitet werden, damit Attacken auf die kri­tische Infrastruktur, Versorgungs­ket­ten und die demokratischen Institutionen und Pro­zesse wirkungsvoll begegnet werden kann.

Zwar verweist die Cybersicherheits­strategie auf EU-Initiativen wie diejenige zur Bekämp­fung hybrider Bedrohungen, auf den Europäischen Aktionsplan für Demo­kra­tie und das Notfall- und Krisenmanagement in der EU; die Vertiefung der ver­trauens- und sicherheitsbildenden Maß­nahmen der EU-Cyberdiplomatie gegen­über Drittstaaten bleibt indes weitgehend unter­belichtet. Die Notwendigkeit solcher Maß­nahmen wird festgestellt, jedoch ohne kon­krete Beispiele zu nennen oder institutionelle Orte, die sie umsetzen sollen. Damit bringt die Cybersicherheitsstrategie ein ver­einseitigtes Verständnis von Sicher­heits­poli­tik zum Ausdruck, das von einem geringen Bewusstsein dafür zeugt, dass technische und technokratische Maßnahmen diplomatisch begleitet werden müssen.

Desiderat Cyberdiplomatie

Die Einseitigkeit der EU-Cybersicherheits­strategie ist ein Problem, weil internationale Normenbildung ein zentrales Element für Vertrauen und Sicherheit im Cyber- und Informationsraum ist. Der EAD muss genau für diese Aufgabe der Cyberdiplomatie be­fähigt werden, indem sein Mandat ent­sprechend ausgerichtet wird. Die derzeitige Strategie vernachlässigt die wich­tige Lehre des Nuklearzeit­alters, dass Abrüs­tung und vertrauensbildende Maßnahmen zu all­gemein erhöhter Sicher­heit führten. Der Politik­wissen­schaftler Joseph S. Nye argu­men­tiert etwa, entgegen weitläufi­ger Meinung könne Abschreckung im Cyberspace doch funktionieren. Er sei überzeugt, die bisher sehr be­grenzte inter­nationale Nor­men­entwicklung zeige durch­aus posi­tive Effekte auf die Sicherheit im CIR. Hier­für sei wesentlich, das Prinzip der Abschreckung nicht auf die klassische territoriale Vertei­digung und unmittelbare Vergeltung zu beschränken. Vielmehr würden Kosten-Nutzen-Analysen zu nichtintendierten Folge­kosten poten­tielle Angreifer von Attacken abhalten.

Die Tatsache, dass ein »Cyberwar« bislang noch nicht stattgefunden hat, kann als Indiz für die Wirksamkeit dieser Strategie gewer­tet werden. Auch können internationale Normenprozesse staatliche Akteure von Maß­nahmen gegen kritische Infrastrukturen abbringen. Die Normen für ver­antwort­liches Staatenverhalten im Cyber­space, ent­wickelt von der Group of Govern­mental Experts (GGE) der Vereinten Natio­nen (VN), ver­bieten Angriffe gegen kritische Infrastrukturen. Die Ver­handlungen der VN-Generalversammlung belegen, dass trotz politischer Differenzen an gemein­samen Normen für recht­mäßiges staatliches Ver­halten und an Sorg­falts­pflichten im Cyber­raum gearbeitet wird. Im Rahmen der Cyber Diplomacy Tool­box ist die Horizontale Ratsarbeitsgruppe zu Cyber­fragen (HWP ERCHT) mit diesen Fragen be­traut; bis­her hat sie jedoch nur eine ko­ordi­nierende und keine gestaltende Funktion innerhalb der EU-Cyberdiplomatie.

Noch wenig konsentiert sind darüber hin­aus Normen zur Reaktion auf Cybermaßnahmen unterhalb völkerrechtlich rele­vanter Schwellen (Retorsion), Normen für die Zulassung von Hard- und Software, zum Umgang mit Lieferketten­abhängig­keiten und zum Schwachstellen­manage­ment. Auch das »Non-Paper« von Deutschland und fünf wei­teren EU-Mit­gliedstaaten vom 19. November 2020 bleibt im Hinblick auf konkrete Maß­nahmen unklar. Die Gefah­ren, die von Proxys, also nichtstaatlichen Akteu­ren, die im staat­lichen Auftrag han­deln, ausgehen, schmälern die Effek­tivität ver­trauens- und sicherheitsbildender Maß­nah­men. Die Budapest-Konvention des Europa­rats soll entsprechend überarbeitet werden, um mit einem zweiten Zusatzproto­koll effektiver gegen nichtstaatliche Cyber­krimi­nalität vorgehen zu können. Eine weitere nicht zu unterschätzende Gefahrenquelle ist die hohe Zahl niederschwelliger An­griffe, etwa gegen mittelständische Unter­nehmen. Geklärt werden muss noch, was als kritischer IT-Sicher­heits­vorfall gilt, der gemeldet werden muss, auch Partnerstaaten außerhalb Europas: Wenn der An­greifer ins Netzwerk eindringt und es stört oder schon dann, wenn er die Infra­struktur einer potentiellen KRITIS-Anlage scannt und versucht Schwachstellen zu finden?

Die Cybersicherheitsstrategie erwähnt ferner ein gemeinsames, zwischen Nato und EU abgestimmtes Lagebild im CIR, bleibt aber unspezifisch, was dessen Umset­zung betrifft. Das Potential des in Helsinki an­sässigen European Centre of Excellence on Countering Hybrid Threats zum Aufbau der »Legal Resilience« in Bezug auf staatliche Ein­mi­schungen wird für die EU–Nato-Zu­sam­men­arbeit ebenso wenig ausgeschöpft. Die einen Regierungen sprechen sich für ak­tive Gegenmaßnahmen nach dem Vorbild der USA aus, die im Cyber­space ihre Vor­macht­stellung demonst­rie­ren. Andere da­gegen plä­dieren für die Ausarbeitung eines konsentierten Referenzrahmens, der den Staaten Rechenschaftspflichten hin­sichtlich ihrer Resilienzmaßnahmen zu­weist, um Kon­flikt­eskala­tion im Cyber- und Infor­ma­tions­raum zu verhindern. Beide Ansätze ver­sucht die EU-Strategie besser als bisher zu integrieren. Um diese Ambition umzusetzen, muss der EAD künftig perso­nell, finanziell und rechtlich stärker mandatiert werden.

Digitale Souveränität und Resilienz sind nur als gesamteuropäische und -gesell­schaft­liche Aufgabe in enger Abstimmung auf EU-Ebene und mit demokratischen Partnern zu erreichen, zudem muss wirt­schaftspoli­tische und technologische Kompetenz aus­drücklich einbezogen werden. Das bedeu­tet: Die EU-Cyberdiplomatie muss hierfür die Rah­menbedingungen setzen, da der CIR nicht an Zuständigkeiten und Grenzen der einzelnen Länder gebunden ist. Öffentliche Institutionen, Wirtschaft, Wissenschaft und Zivilgesellschaft müssen viel intensiver als bislang europäisch Hand in Hand arbeiten. Die Einrichtung eines Europäischen Kom­pe­tenz­zentrums für Cybersicherheit in Indust­rie, Technologie und Forschung und eines Netzes nationaler Koordinierungszentren sind ein erster richti­ger Schritt. Die Cyber­diplomatie kann EU-intern wie nach außen die supranationalen, demokratischen, wirt­schaftlichen und technologischen Voraus­set­zungen schaffen, um die dafür notwendige Infra­struktur, das Know-how und die nötig­e Spitzen­technologie vorhalten zu können.

Die supranationale Dimension

Sektoral konzipierte Politiksilos, in denen die digitale Dimension von Außen-, Vertei­digungs- und Innenpolitik nebeneinander gedacht wird, eignen sich bekannter­maßen wenig für die Cybersicherheit. Sinnvoll er­scheint hingegen ein von der EU-Kom­mis­sion unterstütztes Ineinandergreifen von Regu­lierun­gen des Binnenmarktes, Be­kämp­fung der Cyber­kriminalität, GASP bzw. Ge­meinsamer Sicherheits- und Vertei­di­gungs­politik (GSVP) sowie Ini­tia­tiven der Ständi­gen Strukturierten Zusam­menarbeit (PESCO). Ein jähr­licher Umsetzungsbericht, angelehnt an die Fortschrittsberichte zur Umset­zung der Sicher­heitsunion, wäre förderlich und sollte bisher vernachlässigte Aspekte, wie die technische Aufklärung und den Infor­mationsaustausch, stärker berücksichtigen.

Insbesondere sollten systematisch erfasst werden: die Vorbereitung und der Einsatz von Cyberangriffen; das Manipulieren und Sabotieren von Unternehmen, Finanz- und Industriemärkten; die steigende Anfälligkeit kritischer Infrastrukturen; die wach­sen­de Bedrohung der Zuverlässigkeit traditioneller Verteidigungssysteme durch militärische Hacker. Der neue Strategische Kom­pass zur Bedrohungslage soll zwar gemein­same EU-Lagebilder ermöglichen; hierzu müssen aber Sicherheitsbehörden in der inneren und äußeren Cybersicherheit bereit sein, ihre Erkenntnisse im benötigten Umfang im EAD zu bündeln. Die Lagebild-Erstellung soll zu­mindest in einem ersten Schritt durch eine »horizon scanning«-Fazi­lität untermauert werden. Künstliche Intel­ligenz soll dabei hel­fen, eine Krisenfrüh­erkennung zu etablieren.

Daran anknüpfen sollte die Entwicklung eines Attributionsverfahrens im GASP-Ver­fahren. Bis dato gibt es keine gemeinsamen Standards, um den Verursacher eines Cyber­angriffs eindeutig zu identifizieren. In den »Draft Implementing Guidelines for the Frame­work on a Joint EU Diplomatic Re­sponse to Malicious Cyber Activities« (DIG) heißt es, dass die Mitgliedstaaten unter­schied­liche Methoden und Verfahren für die Zuordnung böswilliger Cyberaktivi­täten sowie unterschiedliche Definitionen und Kriterien anwenden können, »um einen gewissen Grad an Sicherheit für die Zuord­nung einer böswilligen Cyberaktivität zu erreichen«. Die Methoden, Verfahren, Defi­nitionen und Kriterien der Mitglied­staaten sollen jedoch nicht harmonisiert werden, da die Attribution ein hoheitlicher Akt bleiben soll. Der EAD mit seinem Intelligence Analysis Centre (EU INTCEN) müsste neue per­sonelle und fachliche Kompetenzen erhal­ten, soll er öffentlich darlegen (können), wer für Cybervorfälle verantwortlich ist; dies wäre gerade zur Abwehr hybri­der Bedrohungen, worunter auch Des­information fällt, von Belang. Maßnahmen im Rahmen der Cyber Diplomacy Toolbox erfor­dern nicht in jedem Fall eine rechtlich abgesicherte Attribution. Sie zielen viel­mehr darauf ab, Cybervorfälle mit politisch-kom­munikativen und tech­nischen Mitteln abzu­wehren. Der Mitteleinsatz soll je nach Kon­flikt­situation zugeschnitten werden können.

Darüber hinaus ist zu überlegen, wie die in der Toolbox vorgesehenen Maßnahmen bei einem Ausfall wich­ti­ger Infrastrukturen so eingesetzt werden können, dass die Füh­rungs-, Hand­lungs- und Funktionsfähigkeit erhalten bleibt. Einerseits sollten auf EU-Ebene EAD und Kommission in enger Ko­ope­ration darüber beraten, ande­rer­seits die EU mit den Mit­gliedstaaten. Dieses Krisen­management existiert bislang als Blueprint und muss personell, finanziell und kom­petenz­rechtlich durch die Mit­glied­staaten unterfüttert werden.

Die EU-Staaten sollten anerkennen, dass die Digitalisierung die klassische Diplomatie insofern auf nationaler Ebene herausfordert, als sich die außenpolitische Rolle der EU-Kommission im Zuge der Umsetzung der EU-Digitalstrategie ändert: Ihre Rolle bekommt mehr Gewicht in der Cyber­diplomatie. Es ist die EU-Kommission, die die Mitgliedstaaten dazu drängt, in Bezug auf Spaltungsversuche von außen und innen wach­sam zu sein. Diese Auf­forde­rung zur Wachsamkeit bei ausländischen Direktinvestitionen bzw. bei der Über­nahme strategischer Wirtschaftsgüter, gerade in der Digitalwirtschaft, durch Dritt­staaten könnte sogar noch stärker die Risi­ken berücksichtigen, die durch die Vola­tilität oder die Unterbewertung der euro­päischen Aktienmärkte entstehen.

Die demokratische Dimension

Die digitale Außenpolitik bzw. Cyberdiplo­matie muss stärker als klassische Außen- und Sicherheitspolitiken darauf achten, nichtstaatliche Interessengruppen und unabhängige Wissenschaftler in den Poli­tik­prozess einzubeziehen und dem Multi­stakeholder-Ansatz möglichst breite Gel­tung zu verleihen. Zwar ist die bisherige Praxis der Multistakeholder-Governance dafür kritisiert worden, von den großen Digitalkonzernen als Instrument der Globa­li­sie­rung eigener Interessen und technischer Standards missbraucht worden zu sein. Die maßgebliche Integration aller gesellschaftlichen Stakeholder hat sich aber im End­effekt als grundrechtswahrender Faktor erwiesen. Besonders eine Reform der glo­balen Kooperationsinfrastruktur ist so nötig wie wichtig, wobei die ›demokratische‹ Dimension gestärkt werden muss, etwa indem die Rolle des Internet Governance Forum (IGF) als globales Stakeholder­treffen ausgebaut wird, Parlamentsvertreter kon­sequent an IGF-Treffen beteiligt und lokale wie regionale Initiativen mit­einbezogen werden. In diesem Rahmen wird die EU-Cyberaußenpolitik, mandatiert durch die Mitgliedstaaten, weiter darauf hin­arbeiten kön­nen, dass zentrale Institutionen wie die Internet Corporation for Assigned Names and Numbers (ICANN) und die Inter­net Engineering Task Force (IETF) auf Inklu­si­vität und Partizipation aller gesell­schaft­lichen Gruppen ausgerichtet werden und nicht nur auf die Interessen der Wirt­schaft (vgl. SWP-Studie 12/2019). Gerade parla­men­tarische Expertise ist hier gefragt, wie sie zuletzt in den Internet Governance Foren zunehmend genutzt wurde.

Die technologieinduzierte Verunsicherung in der globalen Politik schlägt sich auf allen Ebenen deutlich in einer grundlegend ver­änderten Wahrnehmung der Chancen und Gefahren zwischenstaatlicher Inter­dependenz nieder. Die US-amerikanischen Politologen Henry Farrell und Abraham L. Newman weisen darauf hin, dass Interdependenz nicht nur Versprechen, sondern auch Gefahr sei (International Security, Juli 2019). Globale Netz­werke und Lieferketten im Finanz- und Han­delssystem, in der Ver­wal­tung des In­ter­nets und der globalen Kom­mu­nikations­ordnung seien stark asym­metrisch geprägt und könnten von mäch­tigen Staaten als Waffe gegenüber politischen Gegnern ver­wendet werden. Die Corona-Pandemie und das selbstbewusste Auftreten amerikanischer und chinesischer Internetkonzerne haben diesen Eindruck wirkmächtig wer­den lassen. In vielen Fragen, angefangen beim Zugang zum Weltwährungssystem und zu innovativer Technologie bis hin zu benötigten Medikamenten und digitaler Kommunikations- und Netz­infrastruktur, bilden von privaten Akteuren kontrollierte Foren, Podien und Lieferketten eine Machtressource. Staaten sehen sich der­zeit überfordert, wenn ihren Präsidenten von Digital-CEOs ihre virtuellen Megaphone entzogen werden können.

Die Revitalisierung der bilateralen Cyber­diplomatie in Form eines Handels- und Tech­nologierats zwischen der EU und den USA nimmt vor diesem Hintergrund seit der Wahl Bidens zum US-Präsidenten eine beson­dere Stellung für die transatlantische Zusammen­arbeit ein. Jede Neuaufstellung einer euro­pä­ischen Cyberaußen- und Sicher­heits­poli­tik soll aus US-Perspek­tive auf einer Allianz der demokratischen Multi­lateralisten grün­den, die die USA mitein­beziehen muss. Nur zu­sammen mit Kanada, Australien, Japan, den USA und anderen vielleicht auch nur kurz­fristig kooperierenden Staa­ten (Ad-hoc-Koalitio­nen) wird Europa stark genug sein, um sich langfristig gegen China und andere auto­ritäre Staaten behaupten zu können.

Hierzu finden sich in der Literatur bereits konkrete Vorschläge mit teilweise weit­reichenden Konsequenzen. In der Foreign Affairs plädieren Richard A. Clarke und Rob Knake bereits im Oktober 2019 für die Grün­dung einer von den USA geführten »Inter­net Freedom League«, die alle die­jenigen Staaten umfassen solle, die sich für ein freies, offenes und demokratisches Internet einsetzten. Sie sollte analog zum europäischen Schengenraum einen digi­talen Block bilden, innerhalb dessen Daten, Dienstleistungen und Produkte sich frei bewegen könnten, während alle diejenigen Staaten, die die Meinungsfreiheit und den Schutz von Privatheit nicht achteten sowie Cyber­kriminalität zuließen, ausgeschlossen wären: »The goal should be a digital version of the Schengen Agreement.« In diesem nach US-amerikanischer Sichtweise noch auszugestaltenden Cyber- und Informations­raum würden – angelehnt an die Koordinierung globaler Gesundheitspolitik durch die Welt­gesundheitsorganisation – verletz­liche Online-Systeme iden­tifiziert werden, ihre Be­treiber informiert und gemeinsam an deren Resilienz gearbeitet; Schadsoftware und Botnets würden frühzeitig besei­tigt; Cyberangriffe unter den Mitgliedern wären untersagt. Frei­lich entsprechen diese Ziele im Wesent­lichen den VN-Normen für ver­antwortungs­volles Staatenverhalten, gehen aber über diese hinaus. Eine der­artige Alli­anz der Techdiplomacy sollte die ver­schie­de­nen Cybersicherheitsprogramme der EU in den westlichen Balkanstaaten und den sechs Ländern der Östlichen Partnerschaft in un­mittelbarer Nachbarschaft der EU so­wie in anderen Ländern weltweit einbinden.

Die wirtschaftlich-technologische Dimension

In seiner einflussreichen Studie zur Gefahr der Fragmentierung des globalen Internets be­schreibt der Politologe Milton L. Mueller eindringlich, dass alle Hoffnungen auf ein globales Internet direkt davon ab­hingen, dass nichtstaatliche Akteure auch weiterhin eine wesentliche Rolle in seiner Governance innehätten. Es gebe keine Garan­tie dafür, dass einzelne europäische Mitglied­staaten die von Russ­land und China betrie­benen Maß­nahmen der Inter­net­zensur mithilfe von »Deep Packet Inspection«-In­st­rumenten und des Verbots von VPNs nicht imitierten, wenn ihnen kein star­kes gesell­schaftliches und rechtliches Kor­rek­tiv gegen­übergestellt werde. Dieses Korrektiv kann kognitiv wie machtpolitisch wirken. In der EU-Kommis­sion ist zur Vor­bereitung einschlägiger Rechts­akte zu digitalen Märkten, Diensten, Algorithmen und Daten eine – in Abgren­zung zu amerikanischen, chine­sischen und russi­schen Normierungen – herausragende Fachkompetenz aufgebaut worden. Dieses Wissen über Regu­lierung, Standards und Normen wird stark nachgefragt von diver­sen internationalen Akteu­ren wie der Afrikanischen Union, den Asean-Staaten, Brasilien, Australien oder Südkorea.

Europas Rolle als Normenexporteur in der Daten-, Informations- und Cybersicherheit hat überdies wirtschaftliche Folgen für Ak­teure auf dem internationalen Markt, die weiterhin im Binnen­markt tätig sein wollen – trotz der hohen Anforderungen etwa zur Ein­haltung von Standardvertragsklauseln beim Datentransfer, die durch die restriktive Rechtsprechung des Europäischen Gerichts­hofs im Juli 2020 noch verschärft wurden. Die Cyberdiplo­matie der EU muss die künf­ti­gen weltweiten Standardvertragsklauseln zum Daten­transfer sowie ein neues trans­atlan­tisches Privacy Shield mit den USA im gemeinsamen Rat für Handel und Technologie aus­handeln.

EU-Ansätze zur Adminis­tration kritischer Internetressourcen wer­den in Zukunft noch striktere Ziele als bisher ins Auge fassen: Abhängigkeiten von einzelnen Lieferanten sollen diversifiziert werden. Die Auditierung durch ein EU-weites IT-Sicherheits­kennzeichen soll den Marktzugang für alle Marktteilnehmer an Minimalstandards und Zertifizierungen knüpfen. Verschlüsselungs­technologien sollen zu­künf­tig hohe euro­päische Sicherheitsstandards gewährleisten, um die Integrität und Sicherheit von Daten zu garantieren. Entschlüsselungs­pflichten oder Generalschlüssel für Straf­verfolgungs­behörden, wie sie einzelne Regierungen fordern, werden indes von Zivilgesellschaft und Wirtschaft kritisch beurteilt.

Eine für die Sicherung europäischer Datenhoheit wichtige Initiative ist die Stär­kung des europäischen Cloud- und Daten­infrastrukturprojekts GAIA-X. Um sich gegen die außereuropäische Marktmacht zu behaupten, versuchen führende Mitgliedstaaten und die EU-Kommission europäische Unternehmen zu bündeln und die eigenen Werte als Standortvorteil gegen­über Dritten auszuspielen. Datenschutz und Privatsphäre sollen nicht länger als Hemmschuh technologischer Entwicklung, sondern als Treiber von Innovation ange­sehen werden – gerade vor dem Hintergrund, dass Quantencomputing bereits heute noch gängige Methoden der Kryptographie um­gehen kann.

Europäische Souveränität ist komplex, bedeutet aber im Umkehrschluss nicht, nun alles autark über die EU vorzunehmen, sondern eine technisch anspruchsvolle stra­te­gische Auswahl zu treffen, um jene Kom­ponenten zu kontrollieren, die wirk­lich kritisch sind. Cyberdiplomatie des EAD in enger Absprache mit der EU-Kommission setzt eine intensive Partnerschaft zwischen öffentlichen und privaten Akteuren voraus, wenn sie technisch konkurrenzfähig sein will. Daher sollte sie anstreben, die Ent­wick­lung von vertrauenswürdiger IT durch diese Partnerschaften zu befördern. Künst­liche Intelligenz kann assoziativ zum Ein­satz kommen, zur Früherkennung von An­grif­fen auf automatisierte Systeme. Schließ­lich müssen Informationen über Indi­cators of Compromise (IoC), also Merk­male und Daten, die auf Kompromittierung eines Sys­tems oder Netzwerks hindeuten, allen Betei­ligten zur Verfügung gestellt werden, sodass jeder an den angebotenen Lösungen teil­haben kann.

Die Cyber­diplomatie des EAD in Koopera­tion mit der Kommission bzw. der Agen­tur für Cybersicherheit (ENISA) sollte in die Lage versetzt werden, diese technologischen Vor­aussetzungen auf die Ebene der euro­päi­schen Infrastrukturen zu heben, damit Wirt­schaft und KRITIS von den Ergebnissen pro­fitieren können. Nicht zuletzt beabsichtigt die Kommission den KRITIS-Bereich zu er­weitern. Neben den klassischen Sekto­ren wie Energie werden auch Institutionen im natio­nalen und strategischen Interesse in den Blick genom­men. Künftig kommt der Kom­mission eine noch größere Rolle zu, wenn es darum geht, Verfügbarkeit, Inte­grität und Ver­traulichkeit europäischer Daten durch eine Binnenmarktaußen­poli­tik sicherzustellen.

Update der Cyberdiplomatie nötig

Eine zusammenwachsende Welt braucht gemeinsame Regeln und einen verbind­lichen Rechtsrahmen, damit sich gemeinsame Märkte entwickeln und das Sicherheitsdilemma abbauen kann. Die Nachkriegszeit wird nur dann nicht zur digitalen Vorkriegszeit werden, wenn sich die EU-Mit­gliedstaaten einer Cyberdiplomatie zu­wenden, die in ihrer institutionellen, demo­kratischen und wirtschaftlichen Di­men­sion an der Maxime der »strategischen Offenheit« orientiert ist. Letztere ist für die Auf­recht­erhaltung des Binnenmarktes zentral, um den Sirenen­gesängen merkantilistischer Abschottung und territorialen Souveränitätsdenkens auch im digitalen Zeitalter wirksam begeg­nen zu können. Die digitale Selbstbehauptung der EU manifestiert sich darin, dass Abhängigkeiten redu­ziert, die Stärkung der Rechte von Bürgern gefördert, Plattformen zur Rechenschaft gezogen und die Wett­bewerbsfähigkeit der europäischen Wirt­schaft gesteigert wird.

Mit diesem Anspruch vor Augen sollte die EU-Cyberdiplomatie erstens dazu beitra­gen, dass Bürger die Selbstbestimmung über ihre persönlichen Daten behalten. Zweitens ist Cyberdiplomatie im Dien­ste der digitalen Souveränität der EU mit strategischer Hand­lungsfähigkeit verbunden und setzt voraus, dass die Union ihre Vorstellungen von Datenschutz und -sicherheit auch international durch­setzen kann. Eine europäische »Resouveränisierung« der Cyber­diplomatie im digita­len Zeitalter meint drittens die Einsicht, dass ein Mindest­maß an Herrschaft bzw. Kontrolle über die notwendiger­weise genutz­ten technologischen Ressourcen – von Internetknotenpunkten über Cloud-Infra­struktur bis hin zur internationalen Stan­dardsetzung – die digitale Sou­veränität überhaupt erst mög­lich macht. Dazu gehört viertens die Über­prüfbarkeit von Recht und Politik der Digi­talität vor der euro­päischen Gerichtsbarkeit. China und die USA beschränken sich zum Beispiel bei der kri­tischen Infrastruktur (Hard- und Software) aus Gründen der Cyber­sicherheit im Wesentlichen auf ein­heimische Anbie­ter. Fünftens wäre im Sinne der Reziprozität und Wettbewerbsfähigkeit eine Harmonisierung von IT-Sicher­heits­gesetzgebung sowie von Beschaffungs- und Zu­lassungsregeln auf EU-Ebene folgerichtig. Eine Zusammenarbeit der EU mit Demokratien wie USA, Kanada, Singapur, Südkorea oder Taiwan könnte dies begünstigen.

Diesen Zielen dienen die neuen und ge­planten Rechtsakte und Strategien der EU zu Daten, Märk­ten, Diensten und Algorith­men in Europa und zuletzt zur Cybersicher­heit. Wenn die Union dergestalt voranschrei­tet, sollten die Mitgliedstaaten auch bereit sein, das machtpolitische Narrativ Europas im digitalen Zeitalter einem Update zu unter­ziehen, und zwar mittels einer robus­teren, besser aufeinander abge­stimm­ten Außen-, Sicherheits- und Vertei­digungs­politik und in­dem seine stra­te­gi­sche Aus­rich­tung und ins­ti­tutionelle Ver­ankerung in der EU-Cyber­diplo­matie gewür­digt wird. Das wäre zumin­dest die logische Konsequenz. Vonnöten sind sicher­lich qualifizierte Mehr­heitsentschei­dun­gen, um im Fall schwer­wiegender Cyber­angriffe mit rest­riktiven Maßnahmen reagieren zu können.

Aber nicht immer ist Harmonisierung der Weg zur Optimierung. Ein gesamteuropäischer und gesamtgesellschaftlicher An­satz in der Cyber­sicherheit meint die Forma­lisierung des Wissensaustauschs zwischen Organen, Sicherheitsbehörden, der Wissen­schaft und Wirtschaft. Verteidigung und Diplomatie im Cyber- und Infor­mations­raum bleiben hoheitliche Aufgaben. Spätes­tens seit dem Urteil des Bundes­verfassungs­gerichts (BVerfG) zum Bundes­nachrichten­dienst vom 19. Mai 2020 und dem Nicht­annahmebeschluss des BVerfG vom 16. De­zem­ber 2020 ist klar, dass die rechts­staat­lichen Verpflichtungen aller deutschen Behörden nicht an der staat­lichen Außengrenze enden und dass der Staat grundsätzlich für Verletzungen von Grundrechten im Ausland haftet – dies gilt auch im CIR. Das heißt, eine enge Zusammen­arbeit in dieser komplexen Cybersicher­heitsarchi­tek­tur ist geboten. Zugleich stellt sie in Deutsch­land neue Anforderungen an Verfassungsprinzipien wie das Trennungsgebot oder den Einsatz des Mili­tärs im Innern. Cyber­diplomatie sollte dar­auf auf­bauen können, das Cyber­sicher­heit auf nationaler Ebene Bedingungen schafft, um Amtshilfe im europäischen Kontext und mit Allianzpartnern rechts­sicher zu ermöglichen.