Annegret Bendiek, Martin Schallbruch

Europas dritter Weg im Cyberraum

Der Beitrag der neuen Cybersicherheitsverordnung

SWP-Aktuell 2019/A 60, November 2019, 8 Seiten

doi:10.18449/2019A60

Cybersicherheit ist für Europa zu einer Schlüsselfrage in der globalen digitalen Trans­formation geworden. Mit dem Cybersecurity Act, also der Cybersicherheitsverordnung, hat die EU einen rechtlichen Rahmen mit dem Anspruch globaler Ausstrahlung vorgelegt. Eingebettet in eine Politik, die digitale Souveränität mit strategischer Ver­flechtung kombiniert, kann die Verordnung das Tor zu einem dritten Weg Europas im Cyberraum sein, der zwischen dem US-amerikanischen Modell der Marktfreiheit und dem chinesischen Modell des autoritären Staatskapitalismus verläuft. Der Cyber­security Act wird verbindlicher Handlungsrahmen und Rückenwind für die bundes­deutsche Cybersicherheitspolitik sein.

Cyberbedrohungen sind ein Bestandteil und zugleich die Speerspitze des globalen Wett­bewerbs zwischen liberalen Demokratien und autoritären Systemen. Das unterschied­liche Verständnis von Cyber- bzw. Informationssicherheit zwischen westlichen Län­dern einerseits und Staaten wie China und Russland andererseits ist ein zentraler Kon­flikt in der internationalen Politik. Eine Über­einkunft über globale Normen und Regulie­rungen ist nach über 10 Jahren er­folgloser Verhandlungen vor dem Hintergrund einer wachsenden Rivalität zwischen den USA und China in weite Ferne gerückt. Die EU versucht, jenseits dieser Rivalität einen drit­ten Weg zu finden. Dies wird unter ande­rem in der 5G-Debatte deutlich. Die Kommission ist geneigt zuzulassen, dass das chinesische Unternehmen Huawei am Aufbau der europäischen Infrastrukturen beteiligt wird, unter der Voraussetzung einer engen Kontrolle und nur, wenn alle Marktteilnehmer strenge Zertifizierungskriterien für Hard- und Software erfüllen. Die Frage der Vertrauenswürdigkeit chinesischer Telekommunikationskomponenten wird zugunsten einer Marktregulierungs­lösung zurückgestellt. Bereits mit der Daten­schutz-Grundverordnung (DSGVO), die die Mitgliedstaaten seit Mai 2018 anwenden müssen, und mit ihrem konsequenten Auf­treten in der Wettbewerbspolitik hat die EU eine effektive und weltweit beachtete Rolle als Regulierungsmacht eingenommen und dabei einen Ausgleich hergestellt zwischen dem Schutz der Konsumenten und der Wett­bewerbsfähigkeit der Industrie. Mit dem EU Cybersecurity Act, der Cybersicherheits­verordnung, wird diese europäische Regulie­rungsmacht noch gestärkt. Die mit dem Inkrafttreten der Verordnung im Juni 2019 definierte europäische Cybersicherheits­zertifizierung wird aber nur dann Modellcharakter auf globaler Ebene entfalten können, wenn sie durch eine europäische Strategie für den digitalen Raum flankiert wird. Regulierung, Wettbewerbs- und In­dustriepolitik und Innovationsförderung müs­sen in Beziehung gesetzt werden zur Sicherheits- und Cyber-Außenpolitik. Die wesentliche Frage wird sein, ob und wie es der EU gelingt, einerseits die europäische digitale Souveränität zu stärken, die unsere liberalen demokratischen Traditionen im digitalen Raum bewahrt, und andererseits eine nötige strategische Verflechtung mit anderen Weltregionen zu gewährleisten.

Cybersicherheit im Brennpunkt globaler Konflikte

Die aktuellen Konflikte zwischen den USA, China und der EU gehen in ihrer Relevanz weit über handels- und investi­tionspoli­tische Fragen hinaus. Sie sind deshalb so brisant, weil digitale Technologien die kom­munikative Infrastruktur hochentwickelter Informationsgesellschaften bilden. Wer die Kontrolle über Hard- und Software hat, der bestimmt auch darüber, welche Innovationen und Geschäftsmodelle möglich sind und wer auf welche Informationen Zugriff hat. Zu beobachten ist eine immer engere Kooperation zwischen privaten Technologiekonzernen und Institutionen, die hoheit­liche Aufgaben wahrnehmen, zum Beispiel beim Schutz Kritischer Infrastrukturen. Diese Tendenz lässt sich in der EU und in den USA feststellen, weit stärker aber in China und Russland, deren Führungen Cybersicherheit in noch viel höherem Maße als Eckpfeiler ihres staatlichen Kontroll­anspruchs im Cyberraum ansehen. Kon­zerne, die in China und Russland an der Ausweitung der gesellschaftlichen Über­wachung arbeiten oder die in den USA mit der NSA kooperieren, behandelt die EU nicht mehr nur als unpolitische, rein markt­wirtschaftliche Akteure.

Wertekonflikt

Die Hoffnung, dass das Internet überall Freiheit und Menschenrechte befördert, ist spätestens seit den Enthüllungen Edward Snowdens und der Nutzung digitaler Tech­nologien für staatliche Überwachung nur noch bedingt realistisch. Es ist evident, dass das Internet heute ein Raum ist, in dem Verteilungs- und Wertekonflikte ausgetragen und die zukünftigen Modalitäten der individuellen und gesellschaftlichen Selbst­bestimmung ausgehandelt werden. Die Technologie des Netzes und die dazugehörigen Anwendungen sind keine wertneutralen Instrumente, sondern sie normieren Entscheidungen und Handlungsweisen. Sie sind Instrumente wertebezogener Politik, wie der Streit um den chinesischen Techno­logie­konzern Huawei zeigt. In der US-Admi­nistration wird Huawei nicht nur als Markt­teilnehmer, sondern zugleich als trojanisches Pferd einer nicht wohlgesonnenen Regierung wahrgenommen. Peking ver­wahrt sich gegen diese Vorwürfe und be­trachtet den Aus­schluss des Konzerns vom US-Markt als eine Maßnahme, die gegen Chinas Position auf dem Weltmarkt ins­gesamt gerichtet ist.

Der Konflikt um Huawei markiert einen Bruch mit der rein marktwirtschaftlichen Logik globaler Handelsbeziehungen und forciert einen wachsenden digitalen Mer­kantilismus. Viele sehen in dem Zusammenwachsen der Märkte heute nicht mehr nur eine Chance für Wohlstandsverbes­se­rung, sondern eine Gefahr für Selbstbestim­mung und öffentliche Sicherheit. Sie argu­mentieren, dass die digitalen Produkte ge­eignet seien, Werteordnungen auszuhöhlen und die staatliche Gestaltungs- und Steue­rungskompetenz durch technische Hinter­türen zu unterlaufen. Begriffe wie »techno­logische Souveränität« und »ökonomische Verwundbarkeit« sind ein Indikator für die wachsende Bereitschaft, Innovation und Wettbewerb in Bezug auf digitale Produkte und Dienste einzuschränken. Die neue Kon­flikthaftigkeit in der digitalen Welt ist aller­dings nicht auf das Verhältnis zwischen dem Westen und China beschränkt. Auch in den transatlantischen Beziehungen pral­len heute Wert­vorstellungen aufeinander, die schwer miteinander vereinbar sind. Die vielbeschwo­rene transatlantische Wertegemeinschaft stößt dort an ihre Grenzen, wo die Idee des freien (digitalen) Binnenmarkts mit dem Gebot des Schutzes persön­licher Daten und der informationellen Selbstbestimmung und mit dem europäischen Wettbewerbsrecht kollidiert. Die von der Politik lange igno­rierte Dominanz der US-Internetkonzerne zwingt Europa zu einem Kurs der digitalen Selbst­behauptung – vom Datenschutz über das Wettbewerbsrecht bis zur Besteuerung.

Cybersicherheitskonflikt

Cyberangriffe und ihre Abwehr sind eine gravierende Herausforderung für die inter­nationale Kooperation. Während die Kom­plexität und die Interdependenz von digi­talen Systemen schnell zunehmen, bleibt die Qualität der hierfür verwendeten Hard­ware und Software mangelhaft und fehlen die nötigen personellen Kapazitäten zu deren Absicherung. Permanent entstehen im Cyberraum neue Angriffsvektoren und ‑ziele. Die kriminelle Nutzung von Schwachstellen, zum Beispiel der Einsatz von Ransomware zur Erpressung von Unter­nehmen, und staatliche Cyberattacken, die der Aufklärung oder Destabilisierung dienen sollen oder Teil der hybriden Kriegs­führung sind, verstärken sich gegenseitig negativ. Extremstes Beispiel ist Nordkorea, das mit globalen Cyberoperationen Ein­nah­men zur Beschaffung von Raketentechnologie gene­riert. Zwar hat eine Gruppe von Regierungsexperten (GGE) auf VN-Ebene in fünf Ver­handlungsrunden über die inter­nationale Ächtung bzw. Beschränkung von Cyberangriffen und über die Einrichtung einer völkerrechtlich verankerten Organisation zur Cyberabwehr debattiert – aber erfolglos. Auch von der aktuellen sechsten Runde der GGE sind kurzfristig keine Fort­schritte zu erwarten, genauso wenig wie von den Verhandlungen, die parallel auf Initiative Russlands in einer Open Ended Working Group (OEWG) geführt werden.

Handelskonflikt

Der Handelskonflikt zwischen den USA und China speist sich wesentlich aus der Ent­wicklung der Märkte hin zu einer stärkeren Bedeutung digitaler Produkte und Dienste. Die digitale Transformation der globalen Märkte geht nicht nur mit einer wachsenden ökonomischen Interdependenz einher, sie hat gleichzeitig auch die Steue­rungs­fähig­keit der Staaten zunehmend reduziert. Wenn US-Präsident Trump Han­dels­beschrän­kungen anordnet, so ist dies auch Ausdruck eines Versuchs, die Kontrolle über die Auswirkungen eines von Innovationen befeuerten weltweiten Wettbewerbs auf die USA zurückzugewinnen. Gleich­zeitig sind die Produkte und Dienste der amerikanischen Tech-Unternehmen für Washington ein wesentliches Instrument der staatlichen Kontrolle und der internationalen Einflussnahme. Die Diskussion über die Produkte von Huawei hat aber einen Aspekt, der weit darüber hinausweist: Komplexe digitale Systeme wie die Netzwerktechnik für 5G könnten sich als kaum kontrollierbare Technologie erweisen, die für Jahrzehnte in den Infrastrukturen eines Staates verbaut ist und letztlich der Steuerung durch einen autoritären Staat unterliegt. Netzwerk­produkte entwickeln sich derzeit zu einer im Wesentlichen auf Software gestützten Technologie weiter. Die dafür er­forder­lichen regelmäßigen Updates bringen für den einsetzenden Betreiber kaum nach­vollziehbare Neuerungen in der Funktio­nalität mit sich. Gleichzeitig verändert die digitale Transformation alle Marktsegmente, von landwirtschaftlichen Produkten über die Medizintechnik bis zum Maschinen­bau. Handelsfragen werden immer stärker verschränkt mit dem Ringen um digitale Kontrollfähigkeit.

Die EU als Regulierungsmacht

Um sich in dieser konfliktträchtigen Welt ohne Grenzen behaupten zu können, greift die EU zum Mittel der Regulierung. Europa steht hierbei für einen sehr spezifischen Weg, der sich grundlegend sowohl vom libertären Modell des Silicon Valley als auch dem autoritären chinesischen Modell unterscheidet. Der europäische Regulierungsansatz basiert auf den europäischen Verträgen. Er geht von der Prämisse aus, dass die Freiheit des Einzelnen und seine Verantwortung gegenüber der Gesellschaft (Art. 2 EUV) gleichrangige Güter sind. Im Einklang mit dem Gebot eines rechtsstaatlich-demokratischen Verfahrens wird der Marktteilnehmer als Regulierungsadressat bei der Formulierung von Rechtsakten und bei deren Umsetzung im Rahmen der EU-Komitologie eingebunden.

In Artikel 3 und 10 EUV betont die EU mit dem Bekenntnis zu den Marktfreiheiten und zur Demokratie die individuelle Selbst­bestimmungsfähigkeit der Bürger Europas. Sie bindet verschiedene Stakeholder bzw. Marktteilnehmer in die EU-Verfahren ein, wo sie beispielsweise zu grundlegenden ethischen Fragen Position beziehen. Der Europa­rat, der Europäische Rat, das Euro­päische Parlament und die Kommission haben in den letzten Jahren eine Reihe von Grundsätzen formuliert, in denen sich die Idee einer gleichzeitig gesellschafts- und individualzentrierten digitalen Gesellschaft widerspiegelt. Neue Technologien müssen sich demnach auch daran messen lassen, ob sie der Demokratie förderlich sind und mit ihrem Einsatz die Menschenrechte gewahrt werden. Regulierungsmaßnahmen können hier den entscheidenden Beitrag leisten, um einen Ausgleich zu schaffen zwischen Chancen und Risiken einer Technologie, zwischen den Interessen von Unternehmen, Verbrauchern, Staat und Zivilgesellschaft. Ein eindrückliches Beispiel für diesen regu­lativen Zugriff sind die Leitlinien der EU in Sachen Künstliche Intelligenz (KI). KI wird darin nicht als Selbstzweck verstanden, sondern als »a tool operating in the service of humanity and the public good«. Der im April 2019 er­schienene Ab­schlussbericht einer von der Kommission eingesetzten Expertengruppe betont die Notwendigkeit, im Rahmen des Einsatzes von KI mensch­liche Autonomie zu wahren, Schäden für Menschen zu ver­meiden und allgemein den Prinzipien von Fairness und Verstehbarkeit Rechnung zu tragen. Trotz des grundlegenden europäischen Konsenses in dem Punkt, dass Marktfreiheit, Datenschutz und Sicher­heit in einer engen Ver­bindung zueinander stehen und regulatorisch ausgeglichen wer­den müssen, gibt es allerdings noch kaum Einigkeit darüber, wie nationale Standards im Sicherheits­bereich mit der liberalen Marktlogik in Einklang gebracht werden können. Sehr deutlich wird dies beim Um­gang mit dem chine­sischen Konzern Huawei.

Datenschutz und Datensicherheit als EU-Interesse

Der spezifisch europäische Zugriff beim Thema Digitalisierung kommt gerade in den Rechtsakten der EU zum Datenschutz und zur Datensicherheit zum Ausdruck. Die Datenschutz-Grundverordnung, die seit Mai 2018 bereits von allen Unternehmen anzuwenden ist, setzte neue Maßstäbe bei der Aufgabe, eine Balance zwischen dem Schutz personenbezogener Daten und der Gestaltung eines freien Datenverkehrs im Binnenmarkt zu finden. Datenschutz und Cybersicherheit wurden bislang getrennt betrachtet. Tatsächlich wachsen beide Mate­rien zunehmend zusammen. Dies zeigt sich beispielsweise bei den digitalen Strom­zäh­lern (SmartMeter). An deren Betrieb müssen nicht nur hohe Sicherheits-, sondern auch höchste Datenschutzanforderungen gestellt werden, damit die Nutzer nicht in ihren häuslichen Gewohnheiten ausgeforscht werden können. Indem sie ein umfassendes System der Definition und Zertifizierung technischer Cybersicherheit etabliert, unter­nimmt die EU einen großen Schritt, um ihre Rolle als Regulierungsmacht, die sie mit der DSGVO erfolgreich ausgefüllt hat, in der Aus­gestaltung des digitalen Raums weiter zu festigen.

Cybersicherheitsverordnung

Am 10. Dezember 2018 haben sich das Europäische Parlament, der Europäische Rat und die Europäische Kommission poli­tisch über einen Rechtsakt zur Cybersicherheit geeinigt. Die Verordnung über die EU-Cybersicherheitsagentur (ENISA) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik (»Rechtsakt zur Cybersicherheit«) wurde im Juni 2019 verkündet. Der Rechtsakt beinhal­tet zwei wesentliche Reformen: Die EU-Cybersicherheitsagentur (Agentur der Euro­päischen Union für Netz- und Informations­sicherheit, ENISA) erhält ein über das Jahr 2020 hinaus geltendes Mandat, um die Mit­gliedstaaten im Umgang mit Cyberangriffen unterstützen zu können. Es wird eine Cyber­sicherheitszertifizierung von Produkten, Verfahren und Diensten eingeführt (euro­päischer Zertifizierungsrahmen). Zertifizierung basiert auf der Idee, dass sich mit Standards und Normen ein Ausgleich schaf­fen lässt zwischen dem Gebot des Konsu­mentenschutzes und dem legitimen An­spruch der Industrie auf Wettbewerbsfähig­keit. Beides sind hohe Prinzipien, die mit­einander vereinbart werden müssen. Kon­sumentenschutz bedeutet, dass Ver­brau­cher vor negativen Konsequenzen wie einer nicht-autorisierten Weitergabe und Ver­wendung ihrer Daten bewahrt und ihnen generell verlässliche und qualitativ hoch­wertige Produkte zur Verfügung ge­stellt werden müssen. Diese Ziele können unter Umständen allerdings mit Fragen der Kon­kurrenzfähigkeit von Produktanbietern konfligieren. Zum Beispiel betrachten Unternehmen hohe Standards im Datenschutz und in der Datensicherheit häufig als Hürde im Wettbewerb.

Die Cybersicherheitsverordnung sieht eine sogenannte freiwillige »Konformitätsbewertung« für Produkte der Informations- und Kom­munikationstechnik (IKT) vor, also einen EU-weit geltenden europäischen Zer­tifizierungsrahmen für die Cybersicherheit von Produkten, Diensten und Verfahren. Das Prozedere der Festlegung von Mindeststandards und von deren Überprüfung ist bereits aus den Regulierungen zur all­gemei­nen Produktsicherheit bekannt. Die Verord­nung richtet sich insoweit auf die Harmonisierung von Sicherheitsstandards. Die Ein­haltung der festgelegten Cybersicherheits­merkmale von IKT-Produkten, ‑Diensten und ‑Prozessen soll durch die jeweils zu­stän­dige nationale Stelle überprüfbar sein. Voraussetzung für die positive Konformitätsbewertung einer Produktkategorie ist die Erfüllung entsprechen­der Prüfkriterien, von der Verordnung als »Schema für die Cybersicherheitszertifizierung« bezeichnet. Für welche Produkte solche Schemata er­stellt werden, legen Europäische Kommis­sion, Vertreter der Mitgliedstaaten und der Stakeholder gemeinsam fest. Die ENISA er­arbeitet die Entwürfe der Schemata. Natio­nale Schemata werden verdrängt, sobald für die Produktgruppen europäische Schemata verabschiedet wurden.

ENISA wird Sicherheitsstufen für IKT-Pro­dukte und ‑Dienste festlegen. Für die jewei­lige Cybersicherheitszertifizierung wird das einzelne IKT-Produkt bzw. der IKT-Dienst einer dieser Sicherheitsstufen zugeordnet. Künftig sollen drei Sicherheitsstufen An­wendung finden, »niedrig«, »mittel« und »hoch«, je nachdem, wie resilient die Pro­dukte und Dienste gegen Cyberangriffe sind und welcher Grad an Vertrauenswürdigkeit mit ihnen verknüpft werden kann. Die Ent­scheidung zur Zertifizierung eines Produkts nach einem vorhandenen Schema ist für den Hersteller freiwillig. Die Zertifizierung kann, je nach angestrebter Sicherheitsstufe, durch Herstellererklärungen oder durch un­abhängige Konformitätsbewertungsstellen erfolgen. Das Vertrauen in IKT-Produkte von Unternehmen soll im Rahmen der Zer­tifizierung durch diverse Maßnahmen ge­festigt wer­den. So müssen Hersteller:

  • für ihre Produkte sichere Voreinstellungen wählen;

  • den Endnutzern Hilfsmittel für einen sicheren Einsatz des Produkts bereit­stellen;

  • Sicherheitslücken bekanntmachen;

  • Endkunden informieren, wenn die Unter­stützung bzw. der Support für die individuell erteilte Sicherheitsgarantie endet.

Die ENISA wird schließlich Checklisten führen und öffentlich zur Verfügung stel­len, um das Cyberrisiko des jeweiligen IKT-Produkts und -Dienstes vorab einzuschätzen. Sie soll ferner eine Liste von IKT-Pro­dukten und ‑Diensten führen und fortwährend aktualisieren, für die sie eine Cyber­sicherheitszertifizierung für notwendig erachtet (Priority-List).

Allein schon wegen der Größe des europäischen Marktes wird das europäische Cybersicherheitszertifikat eine globale Rele­vanz erhalten. Zudem sorgen zwei ergän­zende Mechanismen für eine schnel­lere Verbreitung der Zertifikate nach der Cyber­sicherheitsverordnung: In ihrer IT-Sicher­heitsgesetzgebung für kritische Infrastrukturen und digitale Dienste (NIS-Richtlinie) fordert die EU von den Betreibern entsprechender Dienste, dass sie IT-Sicherheits­maßnahmen »nach dem Stand der Technik« ergreifen. Dem Betreiber selbst obliegt es, diese unbestimmte rechtliche Vorgabe zu erfüllen. Die Nutzung von zertifizierten Produkten wird es ihm erleichtern nach­zuweisen, dass er sich am Stand der Technik orientiert hat. Zudem schränkt die Verord­nung die Freiwilligkeit der Zertifizierung durch den ausdrücklichen Hinweis ein, dass das EU-Recht an anderer Stelle, zum Bei­spiel sektoral, eine Zertifizierung fordern wird. Es ist anzunehmen, dass Kommission und Parlament von dieser Einladung Gebrauch machen werden, um die Konformität neuer technischer Anwen­dungen mit den Cyber­sicherheitsanforderungen sicherzustellen.

Wie effektiv die neue europäische Cybersicherheitszertifizierung ist, wird maßgeblich davon abhängen, wie die EU bei der Erarbeitung der Schemata vorgeht. Manche Äußerungen der Kommission lassen darauf schließen, dass sie eine Priorität bei ver­netzten Gegenständen (Internet of Things, IoT) im Verbrauchermarkt sieht. An anderer Stelle plädiert sie für einen Start der Zerti­fizierung im Bereich industrieller Anwendungen. Bereits beste­hende Zertifizierungsschemata im Hoch­sicherheitsbereich, die vor allem für staat­liche Anwendungen genutzt werden, sollen in das europäische System überführt werden.

Auch die nationale Gesetzgebung in Deutschland wird die Zertifizierung voraus­sichtlich ausweiten. Die Entwürfe für ein IT-Sicherheitsgesetz 2.0 enthalten zum Bei­spiel eine neue System-Kategorie »KRITIS-Kernkomponenten«. Gemeint sind IT-Syste­me, die für das Funktionieren einer kriti­schen Infrastruktur von besonderer Bedeu­tung sind. Für sie soll Zertifizierung obliga­torisch werden können. Die Bundesnetz­agentur will gemeinsam mit dem Bundes­amt für Sicherheit in der Informationstech­nik (BSI) ersten Gebrauch von den neuen Bestimmungen machen und – gemäß dem unlängst vorgestellten Sicherheitskatalog – die Zertifizierung von Kernkomponenten der Telekommunikationsnetze anordnen. Dieser Schritt ist eine direkte Folge der Debatte über die zweifelhafte Vertrauens­würdigkeit von Huawei-Produkten für 5G-Netze.

Wie könnte eine Strategie des Dritten Weges gestaltet sein?

Mit der Verschmelzung der digitalen Märkte entwickeln sich global verschiedene Typen von regulatorischen Ordnungsmodellen. Das chinesische Vorbild, dem in ähnlicher Form Russland, der Iran und einige arabi­sche Staaten folgen, steht für ein Modell der autoritären Reglementierung des digitalen Raums, das mit dem Anspruch gleichwerti­ger Legitimität neben das Modell der libera­len und offenen Gesellschaft tritt. Bereits heute lassen sich in einigen Mitgliedstaaten der EU Versuche beobachten, illiberale Ent­wicklungswege einzuschlagen. Angesichts der oben beschriebenen Konflikte drängt sich auch im Hinblick auf den digitalen Raum die Frage auf, welcher Umgang mit anderen Weltregionen angemessen ist. Sollte Europa in diesem Bereich eine kon­sequen­te Politik der digitalen Souveränität ein­schlagen? Und sollte es in der Folge mit Hilfe nationaler Förderprogramme eigene 5G-Mobilfunkdatennetze entwickeln, ein eigenes Google, ein eigenes WhatsApp und so weiter? So über­zeugend eine solche Idee auf den ersten Blick zu sein scheint, so ris­kant könn­ten die langfristigen Konsequen­zen eines Autonomiestrebens sein – inno­va­tions­politisch wie sicherheitspolitisch.

Digitale Souveränität und

Der Begriff digitale Souveränität bezeichnet die Fähigkeit eines Völkerrechtssubjekts zur Kontrolle und Steuerung des Cyberraums. Die Zertifizierungsschemata und die Daten­schutzregeln der EU sind Instrumente zur Ausübung digitaler Souveränität, denn mit ihnen signalisiert die Union, dass sie sich das Recht vorbehält zu bestimmen, wie digi­tale Produkte und Dienste auf der Grund­lage unserer Verfassungsprinzipien und eines demokratisch legitimierten Interessenausgleichs unter den Marktteilnehmern auszugestalten und einzusetzen sind. Dieser Anspruch, der sich aus dem Binnenmarktprinzip ergibt, gilt so lange und reicht so weit, wie der EU-Regulierungsansatz fak­tische Wirkung entfaltet und entsprechende Produkte und Dienste verfügbar sind. Leitplanken allein sorgen jedoch noch nicht für fahrfähige Autos. Teil der Ausübung digitaler Souveränität müsste es darüber hinaus auch sein, die Fähigkeit und vor allem die Innovationskraft der europäischen Ökonomie so zu fördern, dass diese geeig­nete Lösungen entwickeln kann. Schlüssel dazu sind (1) die Erhaltung und der Ausbau der globalen Wettbewerbsfähigkeit, (2) mög­lichst faire Wettbewerbsregeln und (3) In­vestitionen in digitale Infrastrukturen. Die EU hat einen eigenen Wertekosmos und auch gute Gründe, diesen in den Mittel­punkt ihrer Binnenmarktpolitik zu stellen. Sie beweist ihre digitale Souveränität, in­dem sie diese Werte in die Regulierung digitaler Produkte und deren Anwendung sowie bei der Steuerung und Implementie­rung von Innovationen einbringt.

Die Orientierung am Leitbild der digitalen Souveränität droht indes auch alte Kon­frontationsmuster wiederzubeleben, denn das Konzept setzt auf Gefahrenabwehr und Territorialverteidigung. Im Bestreben, weni­ger anfällig zu sein für äußere Risiken und Bedrohungen, sollte Europa nicht den Feh­ler begehen, genau das zu befördern, was es eigentlich zu verhindern beabsichtigt. Nicht Abschottung, sondern vertrauens- und sicher­heitsbildende Maßnahmen auf der Grund­lage eigener Beurteilungs- und Steuerungsfähigkeiten müssen das Mittel der Wahl sein. Ein angemessenes Ziel ist vor diesem Hintergrund, digitale Souveränität mit stra­tegischer Verflechtung zu verbinden.

… strategische Verflechtung

Unter strategischer Verflechtung ist eine Strategie zu verstehen, die die Komplexität der Realität unter den Bedingungen der Glo­balisierung und Digitalisierung anerkennt. Sicherheit wird in diesem Denken nicht durch Abgrenzung vom Anderen, sondern als Ergebnis eines Prozesses der ökonomi­schen und politischen Integration und der Steigerung wechselseitiger Abhängigkeit er­reicht. Kooperatives Schnittstellenmanage­ment wie zum Beispiel die gegenseitige An­erkennung von Zertifizierungen im Bereich Produktsicherheit tritt an die Stelle kon­frontativer Abgrenzung. Die europäische Integration ist das beste Beispiel dafür, wie durch Verflechtung Frieden und Stabilität in Europa geschaffen werden konnte.

Es gibt Stimmen, die einen solchen euro­päischen Weg »naiv« nennen und befürchten, dass die hohen Standards der EU Wett­bewerbsnachteile bedeuten und dass die EU noch weiter hinter die USA und China zu­rückfallen werde. Konsumenten wären nicht bereit, für anspruchsvolle Standards zu bezahlen. Wie zuvor schon beim Daten­schutz stellt sich auch beim Thema Cyber­sicherheit die Frage der Relevanz und Durch­setzungsfähigkeit europäischer Vorgaben: Muss Europa erst globaler Technologieführer werden, um sich anspruchsvolle lokale Standards leisten zu können? Ein genauerer Blick auf das Argument zeigt schnell, dass dessen Prämissen unplausibel sind: Europa, so die erste Annahme, sei nicht in der Lage, eigenständige Standards zu setzen, da der Ort der Standardsetzung nicht der Binnen‑, sondern der Weltmarkt ist. Hier aber wür­den, so die zweite Annahme, die USA und China so lange dominieren, wie sie die leistungsfähigeren Produkte entwickelten. Diese Vorherrschaft qua Leistungsfähigkeit werde wiederum dadurch noch zementiert, so die dritte Annahme, dass Konsumenten nicht bereit wären, ethische Standards als Leistungsmerkmale anzuerkennen und ent­sprechend dafür zu bezahlen.

Keine der drei Annahmen hält allerdings einer näheren Überprüfung stand: Die Datenschutz-Grundverordnung hat deutlich gezeigt, dass Europa durchaus in der Lage ist, eigenständig anspruchsvolle Standards zu setzen und ihre Anwendung europaweit zu gewährleisten. Europäische Standards wirken sogar weit über die EU hinaus. Japan orientiert sich am europäischen Recht eben­so wie Indien und – ab 2020 – Brasilien. Für viele weltweit aktive Konzerne ist es sinnvoller, die anspruchsvollen EU-Regu­larien überall anzuwenden, als auf unter­schiedlichen Märkten mit unterschied­lichen Standards zu operieren. Facebook fordert mittlerweile eine globale Regulierung nach dem Vorbild der DSGVO. Gerade in Dritt­märkten außerhalb Europas (und außerhalb der USA, Chinas und Russlands) haben europäische Standards gute Chancen. Im Bereich der globalen Produktregulierung greift letztlich die gleiche Logik, die sich auch schon bei der Produktregulierung in der EU beobachten ließ: Der sogenannte California-Effekt sorgt dafür, dass hohe Standards niedrige Standards dann verdrän­gen, wenn sie in relevanten Teilmärkten gesetzlich verbindlich sind. Damit ist dann auch die dritte Annahme falsifiziert, dass Konsumenten nicht bereit wären, für hohe ethische Standards zu bezahlen. Die hohe Qualität europäischer Normen, angefangen bei der Maschinensicherheit und bis hin zur Lebensmittelreinheit, ist ein wesent­licher Bestandteil der Erfolgsgeschichte der europäischen Integration und ein zentraler Wettbewerbsvorteil gegenüber anderen Re­gionen. Es gibt wenig Grund zu der Annah­me, dass sich diese Logik nicht auch auf digi­tale Produkte und deren Cybersicherheit übertragen lässt, zukünftig vielleicht auch auf Komponenten künstlicher Intelligenz.

Die digitale Souveränität Europas lässt sich mit einer strukturellen Offenheit und globalen Vernetzung des digitalen Binnen­markts vereinbaren, wenn diese Güter stra­tegisch miteinander verbunden werden:

1. Europa sollte Kernbereiche digitaler Technologien und Infrastrukturen definie­ren, die eine Beurteilungs- und Steuerungs­fähigkeit erfordern. Netzwerktechnik und Cloud-Dienste zum Beispiel müssen sicher­lich vertrauenswürdig sein.

2. Die europäische Cybersicherheitszerti­fizierung muss in diesen Bereichen schnell und konsequent genutzt werden. Sie muss eine politische Agenda bekommen. Deutsch­land könnte dies während seiner bevorstehenden Ratspräsidentschaft vorantreiben.

3. Interoperabilität von Systemen und Offenheit von Plattformen müssen ein Grund­prinzip europäischer digitaler Dien­ste und Infrastrukturen sein. Die an­stehen­den nationalen und europäischen Regulierungsvorhaben im digitalen Bereich sollten sich noch stärker an dieser Maxime ori­entieren.

4. Europäische Infrastrukturinvestitionen müssen in entsprechende, europäisch zerti­fizierte Dienste gelenkt werden. Das gilt gleichermaßen für die Bereiche Energie­netze, digitale Mobilität oder Gesundheitswesen.

5. Die Fähigkeit, das Wirken ausländischer Technologien in den definierten Kern­bereichen beurteilen und kontrollieren zu können, muss regelmäßig überprüft wer­den. Entsprechende Zulassungen sollten zeitlich begrenzt erteilt werden. Ähnlich wie bei 5G sollten auch für andere Techno­logiebereiche europäische Risk Assessments erarbeitet werden.

6. Die Cyber-Außenpolitik sollte massiv intensiviert werden, um bestehende Beden­ken durch bi- und multilaterale sicherheits- und vertrauensbildende-Maßnahmen auf Grundlage des Prinzips der Reziprozität schrittweise zu reduzieren. Erkenntnisse über die Vertrauenswürdigkeit von Herstel­lern – wie im Beispiel 5G – müssen auf EU-Ebene politisch bewertet und abgestimmt werden. Zweifel können nicht technisch be­seitigt werden.

Dr. Annegret Bendiek ist Wissenschaftlerin in der Forschungsgruppe EU / Europa.
Martin Schallbruch ist stellvertretender Direktor des Digital Society Instituts der ESMT Berlin.

© Stiftung Wissenschaft und Politik, 2019

SWP

Stiftung Wissenschaft und Politik

ISSN 1611-6364

SWP-Studie

Andrea Schmitz
Die Transformation Usbekistans

Strategien und Perspektiven


Moritz Pieper
Russland und die Krise der nuklearen Rüstungskontrolle

Akteure, Interessen, Perspektiven