»Hybride Bedrohungen«: Vom Strategischen Kompass zur Nationalen Sicherheitsstrategie

Die EU-Reaktionen

Die europäische Debatte über hybride Be­dro­hungen reicht bis in die späten 2000er Jahre zurück. Aber erst nachdem Russland die Krim annektiert hatte, wurden substan­tielle Abwehrmaßnahmen ver­einbart. Als Erste handelte die Nato und investierte vor allem in nachrichtendienstliche Früherken­nung und strategische Kommunikation, um Russlands Kampagnen etwas entgegenzusetzen. Der EAD folgte und beschloss 2015, eine »Task Force« zur strategischen Kommunikation zu gründen. 2016 ver­­ab­schiedete die EU ein »Playbook«, also einen Leitfaden für eine politisch und insti­tu­tionell koordinierte Antwort auf hybride Angriffe. Parallel dazu wurde die »Hybrid Fusion Cell« im Analysezentrum INTCEN-SIAC des EAD eingerichtet, um ein gemein­sames europäisches Lagebild zu ermög­lichen. Ferner formulierten EU und Nato eine Erklärung für ihre Zusam­menarbeit bei der Abwehr. Unter anderem wurde in Helsinki ein Exzellenzzentrum zur Analyse hybrider Bedro­hungen eröffnet, und es wurden regelmäßige Übungen für den Krisenfall abgehalten. Bisher wurden aller­dings im Rahmen der jeweiligen vertrag­lichen Grundlagen von Nato und EU keine Regeln für eine verbindliche grenzüberschreitende Solidarität als Antwort auf hybride Angriffe festgelegt.

Als die russische Einflussnahme auf die US-amerika­nischen Präsi­dentschaftswahlen des Jahres 2016 schrittweise aufgedeckt wurde und Cyberangriffe auf Regierungsnetze in Europa einschließlich Deutschlands be­kannt wurden, mehrten sich ab etwa 2018 die Sorgen um die Integrität von Wahlen und der öffentlichen Meinungs­bildung. Um Desinformation einzudämmen, vereinbarte die EU einen Ver­haltenskodex mit den gro­ßen Platt­formanbietern. Vor der Europawahl im Mai 2019 wurden zu­dem neue Überwachungs- und Warnmechanis­men geschaffen. Überdies nahm eine Hori­zontale Gruppe »Stärkung der Resilienz und Abwehr hybrider Bedrohungen« ihre Arbeit auf. Weiterhin wurde im EAD in Ab­stim­mung mit der G7 ein Schnellalarmsystem zu hybriden Bedrohungen eingerichtet. Vor­­rangig mit Blick auf China wurde außer­dem ein EU-Rechtsrahmen verabschiedet. Damit sollen ausländische Direktinvestitionen darauf überprüft werden können, ob sie die Verwundbarkeit kritischer Infra­strukturen erhöhen und technologische Abhängig­keiten erzeugen.

Während der Corona-Pandemie wurden die Bemühungen intensiviert, Desinformation zu bekämpfen und demokratische Willensbildung zu stärken. So initiierte die Europäische Kommission Ende 2020 einen »Aktionsplan für Demokratie in Europa«. Weitere Gesetzesvorhaben und institutionelle Refor­men zum Resilienzauf­bau wurden auf den Weg gebracht, etwa zum erweiterten Schutz kri­tischer Infrastrukturen und zur aktiven Cyberabwehr. Seither wächst die Bandbreite der Themen, die hybride Bedrohungen und eine ent­sprechende EU-Sicherheitspolitik betreffen. Im Herbst 2021 führten vor allem die mittel- und ost­euro­päischen EU-Mit­glie­der die Flüchtlings­bewegungen in Bela­rus auf eine »hybride« Gesamtstrategie Russ­lands zur Destabilisierung Europas zurück.

Der Strategische Kompass und Russlands Angriffskrieg

Die vielfältigen Initiativen und Rechtsakte, die einen europäischen Mehrwert bei der Bekämpfung hybrider Bedrohungen bringen sollen, werden seit Jahren in Arbeitsdokumenten meist nur katalogisiert. Bislang exi­stiert keine klar nachvollziehbare Stra­tegie zum Umgang mit hybriden Bedrohungen. Der im März 2022 vorgestellte Strategische Kompass soll nun explizit als Leitdokument für die Sicherheits- und Verteidigungs­politik der EU dienen. Auf der Basis einer umfassenden Bedrohungsanalyse sollen Ziele ab­geleitet werden, wie die EU in den nächsten fünf bis zehn Jah­ren zum Schutz der EU sicherheits- und verteidigungspolitische Investitionen tätigen und Partner hier­zu engagieren kann.

Zahlreich sind die Kritikpunkte an dem Dokument. Die Auflistung verschiedener Bedrohungen übersetzt sich nicht in einen neuen Katalog an grundlegenden Reformen und dringlichen verteidigungspolitischen Aufwendungen. Stattdessen werden darin vorwiegend rüstungspolitische Vorhaben bekräftigt, über die seit Jah­ren wenig erfolg­reich in der Gemeinsamen Sicherheits- und Verteidigungspolitik (GSVP) debattiert wird. Allerdings wird im Kompass die Thematik der hybriden Bedro­hung deutlich stärker hervorgehoben als in früheren Strategie­dokumenten. So fallen auf den 47 Seiten des Kompasses in der englischsprachigen Originalversion tatsächlich 47-mal in unter­schiedlicher Diktion die Be­zeichnungen hy­bri­der Angriff, hybri­de Tak­tik oder hybride Bedro­hung. Die jeweiligen Bezüge reichen von Cyberangriffen sowie der Manipulation der öffentlichen Meinung über die zuneh­mende Verwundbarkeit durch die technologische oder wirtschaft­liche Vernetzung – vor allem mit Blick auf China – bis hin zur Destabilisierung der europäischen Nachbarschaft durch Russ­land. Insofern könnte irr­tümlich der Schluss gezogen werden, dass die EU mit diesem Dokument hybride Be­drohungen zur zen­tralen Priorität erklärt hat. Diesen Eindruck verstärken die mittler­weile sechs Sanktionspakete gegenüber Russland, die Anstrengungen zum Umbau der Liefer­ketten und Zulieferstrukturen von fossilen Energien sowie weitere Maßnahmen zur Erhöhung der Cybersicherheit und zur Eindämmung von Propaganda und Des­infor­mation. Zu letzteren gehört das EU-weite Verbot der russi­schen Medien Sputnik und Russia Today.

Die EU kann durchaus ihre Markt- und Regulierungsmacht nutzen, um mehr Ent­flechtung oder Widerstandsfähigkeit in wirtschaftlichen, gesellschaftlichen und technologischen Bereichen zu erwirken – mit dem Ergebnis, dass die Angriffs­fläche für hybride Bedrohungen kleiner wird. Diese Stoßrichtung zeigt sich ebenso in den jüngsten Zwischenberichten des EU-US Trade and Technology Council. Sowohl die EU als auch die USA befürworten eine weit­aus intensivere Zusam­menarbeit in vielen entscheidenden Themenbereichen, um ge­meinsam unabhängiger gegenüber Russland und China agieren zu können. Angesichts der (digitalen) geo­politischen Dynamiken ist es umso wich­tiger, Ziele klar zu umreißen und Instrumente zu schärfen. Doch der Strategische Kompass enthält gravierende konzeptionelle Defizite und Unklarheiten hinsichtlich hybrider Bedro­hungen. Das schlägt sich im man­gelhaften Detailgrad von Reformvorschlägen nieder.

Erstens: Begriffliche Schärfung

»Verdeckte Operationen«, »aktive Maßnahmen« oder andere Formen der »Subversion« waren im Kalten Krieg an der Tagesordnung. Der digitale Wandel und die wirt­schaftliche Globalisierung haben allerdings die Kon­text­bedingungen internationaler Sicherheits­politik strukturell verscho­ben. Entgegen klassischen liberalen An­nahmen zur kon­flikthemmenden Wirkung von Interdependenz wird diese seit Anfang der 2000er Jahre verstärkt als Machtmittel oder gar als Waffe eingesetzt (»weaponized interdependence«). Waren es zuvor die westlichen Ord­nungsmächte und die USA, die Interdependenz in ihrem Sinne ausgestalteten, ver­suchen nun häufiger autoritäre Staaten, die liberale Ordnung der Wirtschaft und des Internets herauszufordern. Um diese Kon­fronta­tion zu beschreiben, wird im US-ame­rikanischen Diskurs oftmals von »gray zone conflicts« und in Europa von hybriden Bedrohungen gesprochen.

In einer Gesamtschau listet das European Centre of Excellence for Countering Hybrid Threats in Helsinki derzeit über 40 Instru­mente auf, die sowohl staatliche wie nicht­staatliche Akteure für hybride Angriffe in mindestens 13 gesellschaft­lichen, wirtschaftlichen oder poli­tischen Sektoren nutzen. Die Bandbreite dieser Instrumente reicht von einer Störung von Informationszugängen über gezielte Manipulation von Daten bis hin zu krie­gerischen Maßnahmen. Inten­tion und Gesamtstrategie gegnerischer Akteure manifestieren sich in zahlreichen Einfluss- und Angriffswegen. All dies gilt es zu bewerten. Einzelne Cyber­angriffe zum Beispiel sind nicht per se eine hybride Be­drohung, sondern erst im Zusam­menhang umfassender gegnerischer Kam­pagnen. Das European Centre of Excellence versteht hybride Bedrohungen demnach als »koordi­nierte und synchronisierte Maßnahmen, die mit einer Vielzahl von Mitteln auf die systemischen Schwach­stellen demokratischer Staaten und Institutionen abzielen« und so konzipiert sind, dass sie unterhalb klarer Schwellen der Erkennung und ent­sprechender Gegenmaßnahmen bleiben.

Mit dem Begriff hybride Bedrohung konkurriert die Bezeichnung »ausländische Einmischung« (»foreign interference« oder »foreign information manipulation and interference«). Damit ist gemeint, dass geg­nerische Regierungen beabsichtigen, die Funktionen kritischer gesellschaftlicher Bereiche zu stören sowie zum Teil mit ille­ga­len Mitteln vor allem Medien, die öffent­liche Meinungsbildung und demokratische Wahlen in ihrem Sinne zu beeinflussen. Inhaltlich lässt sich dieser Terminus also teil­weise vom Begriff hybride Bedrohung abgrenzen, denn Letzte­re kann auch offen­sivere, wenngleich ver­deckte Angriffe ein­schließen und sich auf weitere wirtschaft­liche Sektoren richten. Zudem werden bei hybriden Bedrohungen ver­stärkt Proxy-Akteure und konspirative Methoden genutzt, während der Terminus ausländische Einmischung sich hauptsächlich auf staat­liche Akteure bezieht. In der politischen Praxis auf EU-Ebene verschwim­men aller­dings die Begriffe. Supranationale Akteure sprechen eher von ausländischer Ein­mischung. Dagegen favorisieren die Mit­gliedstaaten die Bezeichnung hybride Be­drohung, wohl um anzudeuten, dass das Problem in ihren exklusiven Kompetenz­bereich der nationalen Sicherheit fällt.

Das Nebeneinander der Begriffe hybride Bedrohung, ausländische Einmischung, Desinformation und Cybersicherheit stiftet Verwirrung in Fachkreisen und mündet in institutionelle Kom­pe­tenzstreitigkeiten. Differenzierung tut not, um die Intensität der Einflussnahme zu erfassen und verhält­nismäßige Gegenmaßnahmen zu treffen.

Zweitens: Verhältnismäßigkeit und politische Verantwortlichkeit

Die Forderung nach klar definierten Begrif­fen ist kein Allgemeinplatz. Ein besonders sensibles Beispiel betrifft die Verbindung von irregulärer Migration und hybriden Bedrohungen. So ist umstritten, ob Belarus mit der zeit­weilig gezielten Steuerung der Migration in die EU die böswillige Absicht verfolgte, die Schengen-Zone zu destabilisieren. Auch unabhängig vom nachrichtendienstlichen Lagebild gilt es, eine separate politische Bewertung vorzunehmen, der wiederum unterschiedliche Werturteile im Hinblick auf die Problematik von Flucht und Migra­tion zugrunde liegen. Konkret ist also strit­tig, ob irreguläre Zuwanderung grundsätzlich in den Zusammenhang hybri­der Bedro­hungen gerückt werden sollte. Mit einer solchen Einordnung werden verstärkt mili­tärische Maßnahmen oder Akteure so­wie weitaus schärfere Grenzsicherungsmaß­nah­men legitimiert, bis hin zur systematischen Verweigerung des Zugangs zu Asyl­verfahren. In dieser Gemengelage schlug die Euro­päische Kommission den Mitgliedstaaten vor, nicht von hybrider Bedrohung, sondern von illegitimer »Instrumentalisie­rung« irregulärer Migration durch Drittstaaten zu sprechen. Während im Rat jüngst eine politische Einigung zur Anpassung des Schengen-Rechts erzielt wurde, bleiben die Folgewirkungen für Asylverfahren höchst umstritten und erfor­dern weitere Verhandlungen im Europäischen Parlament.

Maßnahmen gegen hybride Angriffe mögen also im günstigen Fall ab­schreckend wirken, im ungünstigen Fall jedoch negative Folgen für liberale und offene Gesellschaften haben. Verbote, Regulierungen und forcier­te Kappungen der Vernetzung, die eine An­griffs­fläche für hybride Attacken bietet, soll­ten dem Verständnis nach mit der freiheitlich-demokratischen Grundordnung ver­einbar sein. Die »stra­tegische Ambiguität« des Strategischen Kompasses, in sehr unter­schiedlichen Zusammenhängen von hybri­den Taktiken, Angriffen oder Bedrohungen zu sprechen, ist daher nicht unproblematisch.

Sinnvoll hingegen ist die im Kompass vorgeschlagene Aufwertung der nachrichten­dienstlichen Auswertung und der Hybrid Fusion Cell im EAD. Es bedarf der Früh­erken­nung und fallspezifischen Einordnung, ob in der Auseinandersetzung mit Drittstaaten hybride Bedrohungen auftreten. Die EU ist zudem seit dem Brexit darauf angewiesen, strategisch wichtige Attributionen und ver­trauliche Informationen über den Nach­rich­tendienstverbund der Five Eyes (USA, Ver­einigtes Königreich, Australien, Kanada, Neuseeland) zu importie­ren. Einige Mitglied­staaten reagieren auf diese Informations­abhängigkeiten sehr sen­sibel. Insofern wäre es ratsam, die Zulieferung und systematische Auswertung nach­richtendienstlicher Infor­mationen auf EU-Ebene weiter zu ver­stetigen. Konkrete Optio­nen für eine ver­stärkte Zusammenarbeit in diesem Bereich werden im Strategischen Kompass allerdings nicht benannt.

Darüber hinaus gilt es, die politischen Entscheidungsstrukturen auf EU-Ebene weiterzuentwickeln, die hybride Bedrohungen betreffen und auf nachrichtendienst­liche Einschätzungen im INTCEN-SIAC zu­rückgreifen. Die institutionellen Verfahren und undurchsichtigen Strukturen wie die Horizontale Gruppe im Rat oder auch das »Playbook« aus dem Jahr 2016 werden in diesem Kontext den Anfor­derungen an exe­kutive und demokratische Verantwortlichkeit in der Europapolitik nicht gerecht.

Drittens: Mehr als Werkzeug­kästen und statische Resilienz

Die genannten Heraus­forderungen – also die frühzeitige Erkennung und Einordnung hybrider Angriffe und eine verhältnismäßige Reak­tion darauf – lassen sich mit einer eher allgemeinen, passiv ausgerichteten Strategie der »Deterrence« oder »Resilience by Denial« entschärfen. Regu­lative Maßnah­men, die weit über jene der Sicherheit und Verteidigung hinausgehen, tragen durchaus dazu bei, Demokratien wehrhaft zu machen. Ansätze zur Stärkung von IT-Mindest­sicher­heitsstandards sowie gesamtgesellschaft­liche Cyberhygienemaßnahmen sind hilf­reich und können Einfallstore für böswillige Handlungen schließen. Angestrebt wird eine gesamtgesellschaftliche Resilienz, die unterschiedliche Politikbereiche und Be­hör­den (»whole of government«) sowie privat­wirtschaftliche und gesellschaftliche Akteu­re (»whole of society«) einbezieht. Darüber hinaus sollte smarte Resilienz weniger als Fähigkeit zur Wiederherstellung des ur­sprünglichen Zustands begriffen werden, sondern vielmehr als Ausgangsbedingung für und Ergebnis von kreati­ven Anpassungen an Krisen und Herausforderungen.

Der Strategische Kompass wird der Viel­schichtigkeit des Resilienzkonzepts ebenso wenig gerecht wie der Vielfalt der Strategien einer Resilience by Denial. Zwar soll der Kompass die bisherige breit angelegte Politik der EU zu hybriden Bedro­hungen neu bündeln. Praktisch beschränkt sich dies aber darauf, dass im Rahmen der GSVP zwei »Werkzeugkästen« geschaffen werden sollen, einer zu hybriden Bedrohungen und einer zu ausländischer Einmischung.

Offensichtlich ist der Begriff Werkzeugkasten von der bereits bestehenden »Cyber­diplomacy Toolbox« in der GASP inspiriert. Darin hat die EU in Grundzügen festgelegt, wie sie in abgestufter Weise auf Cyber­angriffe reagie­ren will, bis hin zu restriktiven Maßnahmen. Inhaltliche Details zu den beiden angekündigten Werkzeugkästen feh­len aber im Kom­pass vollständig. Wie­derum wurden die Begriffe nicht eindeutig defi­niert, so dass unklar bleibt, welche Werk­zeuge, Rechts­akte oder andere Maßnahmen mit welchen Verfahren jeweils welchem Werkzeug­kasten zugeordnet werden könn­ten. Ungewiss ist auch, ob ana­log zur Cyber­diplomacy Tool­box eine Stufenlogik bis hin zu Sanktions­entscheidungen greifen soll. Die Bezeichnung Werkzeug suggeriert, dass eine Repa­ratur oder zielgerichtete Gegenmaß­nah­men notwendig sind. Angesichts stark politisch gefärbter und kontext­abhängiger Bewertungen hybrider Bedro­hun­gen ist diese technische Metapher wenig konstruktiv.

Ein weiteres grundsätzliches Defizit der »Werkzeugkastenlogik« ist, dass damit ein systemischer Blick auf Resilienz verloren geht. So könnte eine Strategie der Resilienz dazu anleiten, Angriffe und Störun­gen in Kauf zu nehmen, und darauf setzen, dass offene wirtschaftliche und gesellschaftliche Systeme aus sich heraus einer Destabilisierung und Unterwanderung widerstehen können. Statt aktiver Eingriffe im Einzelfall, etwa dem Verbot bestimmter Medien oder der Löschung von Falschnachrichten, genösse die Aufrechterhaltung eines mög­lichst pluralistischen Medien­sektors Vor­rang. Gewiss können eher systemische An­sätze zur Resilienz (wie indirekte Regulierung, Aufsicht und Wettbewerb) mit einzel­nen Eingriffen kombiniert werden, wie es zunehmend auch in der Cybersicherheit gehandhabt wird. Insofern wären eine Aus­differenzierung und eine Handlungslogik jenseits von Werkzeugkästen ratsam. Schon rein rechtlich bietet die GSVP, auf die sich der Strategische Kompass primär bezieht, keine Grundlage, um eine umfassende Sicherheitspolitik gegen hybride Bedrohungen zu koordinieren.

Das Beispiel Cybersicherheit und Hybrid

Die begrifflichen Probleme und das schwie­rige Zusammenspiel von verhältnismäßiger Abschreckung und Resilience by Denial lassen sich exemplarisch in der Cybersicher­heit beobachten. Laut der Agentur der EU für Cybersicherheit (ENISA) ist die Energieinfrastruktur ein besonders attraktives Ziel für Cyberangriffe, da die Folgen weitreichend sein und als Hebel für Erpressungen oder als Ausgangspunkt für militärische Opera­tionen genutzt werden können. Für die Unternehmen des Energie­sektors, die schon unter die alte Richt­linie der EU über die Sicherheit von Netz- und Informationssystemen (NIS) aus dem Jahr 2017 fielen, bedeuten die neuen Auflagen gemäß der NIS-2-Richtlinie strengere Berichts­pflichten. Cyber­angriffe müssen die Firmen binnen 24 Stunden melden, Details darüber binnen 72 Stunden. Andernfalls drohen ihnen Strafen von bis zu 10 Millionen Euro. Der Geltungsbereich der Richtlinien wurde auf elektrische Stromladeeinrichtungen erwei­tert. Sie ergänzen damit die als kritisch eingestuften Erzeugungs- und Transport­infrastrukturen der Energieuntersektoren Erdgas, Fernwärme, Erdöl, Elektrizität und Wasserstoff. Auf diese Weise wird in Frie­denszeiten regulären Sorgfaltspflichten zur IT-Sicher­heit Rechnung getragen. Dies ist eine von zahlreichen Maßnahmen zum Resilienzaufbau. Zum Eigenschutz und zur Gefahrenabwehr greifen Regierungen in einem weiteren Schritt auf elektronische Aufklärung zurück, scan­nen Schwach­stellen und setzen gegebenenfalls Trojaner zur Strafverfolgung ein.

Im Kontinuum zwischen Frieden und Krieg werden Cyberangriffe erst dann als hybrid eingestuft, wenn sie mit der bös­willigen Absicht zur Manipulation oder Störung gezielt auf Infra­strukturen gerich­tet werden. Solche flächendeckend ange­legten Nadelstiche gehen auf das Konto von Hackergruppen, die zielgerichtet im Auf­trag von Staaten oder mit deren Duldung vor­gehen. Bei den jüngsten DDoS-Attacken des pro­russischen Hacker­verbunds »Killnet« seit Mai 2022 handelt es sich bislang um vergleichsweise harm­lose Störangriffe, die nur die Webseiten-Präsenz westlicher Regie­rungsstellen beeinträchtigten. Auf ihrem Tele­gram-Kanal hatten die Killnet-Hacker eine Liste mit Webadressen deutscher »Ziele« veröffentlicht, vermutlich um ihre Anhängerschaft über ihr Vorhaben zu informieren und zur Teilnahme zu animie­ren. Aufgelistet waren Webseiten der Post­bank und der Wiesbadener Aareal Bank sowie von Kliniken und Universitäten. Es stellt sich die Frage, ob dies schon als hybri­de Bedrohung einzustufen wäre.

Noch gibt es keine militärische Cyber­doktrin, die vorsieht, Cyberangriffe zusam­men mit traditioneller militärischer Gewalt gegen einen gleichrangigen oder nahezu gleichrangigen Gegner einzusetzen. Viele der Theorien über die möglichen Aus­wir­kungen von Cyberangriffen in modernen Konflikten werden derzeit in der Reali­tät getestet. Die Ukraine erlebte bis zum Beginn der Invasion massive Attacken auf die digitale Infrastruktur des Landes, auf Webseiten, Banken, Regierungs- und Militär­stellen. Seither sind jedoch neue weitreichende oder noch schwerere Cyber­angriffe durch Russland ausgeblieben oder waren eher wirkungslos. Eine Ausnahme bildete der Angriff auf Schaltstellen der Satellitenverbindung (ViaSat), welche die Ukraine unter ande­rem für die Zielerfassung und ‑füh­rung ihrer Artillerie nutzte. Dieser russische Cyberangriff führte Anfang März auch zu Ausfällen der Steuerung von Wind­rädern in Deutschland. Da aber der Unter­nehmer Elon Musk über das Satelliten­system Starlink ein alternatives Kommu­nikations­netz bereitstellte, wurde Russlands strate­gische Intention, die Ukraine militä­risch zu schwächen, vereitelt.

Welche Lehren sich auch für EU-eigene Informationsinfrastrukturen aus diesen Angriffen ziehen lassen, muss noch syste­ma­tisch untersucht werden. Europa ist jeden­falls potentielles Ziel weiterer Attacken von Hackern, die taktische Interessen in geo­strategischen Konflikten verfolgen. Bei­spielsweise hatte die russische Cybereinheit Sandworm, die auch den Strom­ausfall in der Ukraine 2015 ver­ursacht hatte, die Kon­trolle über zahlreiche Router in kleinen und mittleren Betrieben übernommen. Ob dieses Netzwerk und die verwendete Schad­software »Cyclops Blink« durch Gegen­maßnahmen unter Führung des FBI mittler­weile vollständig ausgeschaltet werden konnten, ist noch nicht gesichert. Die russi­schen Staats­hacker scheinen nach weiteren Lücken zu suchen. Das Bundesamt für Sicherheit in der Infor­mationstechnik und der Verfassungsschutz warnen vor aggres­­siven Scan-Aktivitäten, mit denen Sicher­heitslücken aufgespürt werden sollen. Wann also ist die Schwelle überschritten, dass die Beistandsklausel in der EU aktiviert oder der Nato-Bündnisfall ausgerufen wer­den müsste? Nicht nur ist es außerordent­lich schwierig, Faktoren fest­zu­legen, anhand derer eine solche Entscheidung getroffen werden kann. Politisch ist es sogar beab­sichtigt, sich unklar darüber zu äußern, was eine Kriegs­handlung im Cyber- und Infor­mationsraum darstellt und was nicht. Der Gegner soll laut Verteidigungsstrategen im Ungewissen gelas­sen werden, damit er nicht ermutigt werde, sich an eine definier­te Schwelle heranzutasten, deren Erreichen eine ent­sprechende Reaktion auslösen könnte. Diese fehlende Klarheit über die Kriegseintrittsschwelle ist proble­matisch, weil sie nicht zur Erwartungsverlässlichkeit von Akteurshandeln beiträgt, die prinzipiell konfliktentschärfend wirkt. So gilt für EU und Nato im Cyber- und Informationsraum zurzeit das Konzept der strategischen Doppel­deutig­keit. Die Nato hat fest­gelegt, dass ein Hackerangriff Artikel 5 des Nato-Ver­trages, also den Bünd­nisfall auslösen kann. Wie bei konventionellen Angriffen hat die Alli­anz bewusst offengelassen, wann genau dieser Fall ein­tritt. In der EU ließe sich Arti­kel 222 EUV oder die militä­rische Beistands­klausel gemäß Artikel 42 Absatz 7 EUV aktivieren.

Lessons learned für die Nationale Sicherheitsstrategie

Die bisherigen EU-Dokumente, allen voran der Strategische Kompass, weisen einige Defi­zite auf: Erstens mangelt es dem Termi­nus hybride Bedrohung an Präzision und besonders an der Abgrenzung gegenüber dem verwandten Begriff ausländische Ein­mischung (durch feindliche Regierungen). Allerdings markiert die intendierte begriff­liche Unschärfe, die im Fall hoch­intensiver Cyberkonflikte zur Abschreckung dient, der­zeit das obe­re Ende der Eskalationsdynamik. Dies gilt es nochmals kritisch zu hinterfragen, nämlich darauf, ob davon eine konflikt­verschärfende Wirkung aus­gehen kann. Am unteren Ende der Eska­la­tionsspirale, also im Falle wiederkehrender Praktiken der Einmischung, sollten die Begriffe auf jeden Fall klarer sein, Verlässlichkeit im Akteurs­handeln schaffen und deeskalierend wirken. Während in vielen EU-Konzept­papieren versucht wurde, den Terminus hybride Bedrohung zu definieren, gibt es bislang keine Definition des Begriffs ausländische Ein­mischung.

Zweitens werden die Abwägungen und deren Konsequenzen zur Einstufung von Angriffen oder Sicherheitsrisiken als hybri­de Bedrohungen nicht genauer spezifiziert. In der EU wird vor allem über die Verbindung zwischen irregulärer Migration und hybriden Bedrohungen debattiert. Eine Klärung ist auch des­halb notwendig, da diese Debatte bereits auf die Nato und ihr nächstes strategisches Konzept ausstrahlt. Drittens beschränkt sich die Ausgestaltung der breit angelegten EU-Politik zur Stär­kung der passiven Wider­standskraft gegen­über hybriden Bedrohungen darauf, bisher nicht genauer definierte »Werkzeugkästen« zu entwickeln. Ein dyna­misches, wissenschaftlich fundiertes Verständnis von Resi­lienz fehlt gänzlich.

In der Diskussion über Deutschlands ge­plante Nationale Sicher­heitsstrategie sollten diese Fehler nicht wiederholt werden. Gleichzeitig ist das Weißbuch von 2016 veraltet, da es konzeptionell und operativ durch die entsprechenden EU-Ansätze zu hybriden Bedrohungen überholt wurde. Eine tiefergehende Auseinandersetzung mit dieser Problematik ist daher dringend angeraten. 2018 wurde eine Arbeitsgruppe für die interministerielle Ab­stimmung zu hybriden Bedrohungen geschaffen, die seit 2019 vom Bundesministerium des Innern geleitet wird. Bislang fehlt allerdings eine weitergehende Konzep­tion, um im Föde­ralismus bzw. auf regio­naler Ebene in der EU sowie in Bezug auf die europäische Integration eine kohärente Herangehensweise verfolgen zu können.

Angesichts der ebenenübergreifenden Dynamik hybri­der Bedrohungen kann der Prozess hin zu einer Natio­nalen Sicherheits­strategie ein wichtiger deutscher Beitrag zu einem gesamteuropäischen Ansatz sein. Im Bereich Medien und Desinfor­mation gibt es bereits zahlreiche Ansatzpunkte für eine enge Verschränkung. Das liegt nicht zuletzt an der sich rasch ent­wi­ckelnden EU-Gesetz­gebung, besonders am Digital Services Act und am Digital Markets Act. Themenübergreifend sollte ein flexi­bles Verständnis der Sub­sidiarität angelegt werden. Auf supra­nationaler Ebene sollten im Rahmen der längst überfälligen Reform des EAD die Vor­schläge des Strategischen Kompasses zur nach­richtendienstlichen Auswertungs- und Ana­lysefähigkeit umge­setzt werden. Hierzu könnte die Bundes­regierung sowohl die Verstärkte Zusammen­arbeit über die GASP-Verfahren nach Arti­kel 328 und 329 AEUV als auch die Ständi­ge Struktu­rierte Zusammenarbeit nach Arti­kel 42 EUV in Erwägung ziehen. Benötigt wer­den weni­ger neue Werkzeugkästen, sondern eher eine supranationale Attributionsstelle, um in puncto Verantwortlichkeiten Ross und Reiter zu nennen.