EU-Strategie zur Cybersicherheit: Desiderat Cyberdiplomatie
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
NR. 12 FEBRUAR 2021 Einleitung EU-Strategie zur Cybersicherheit: Desiderat Cyberdiplomatie Annegret Bendiek / Matthias C. Kettemann Im Dezember 2020 hat die Europäische Union (EU) ihre neue Strategie zur Cyber- sicherheit vorgelegt mit dem Ziel, Europas technologische und digitale Souveränität zu stärken. Das Dokument listet Reformvorhaben auf, die die Cybersicherheit enger mit den neuen EU-Regeln zu Daten, Algorithmen, Märkten und Internetdiensten ver- binden sollen. Eindeutig zu kurz geraten ist dabei jedoch der Aufbau einer europäi- schen Cyberdiplomatie, die sowohl der »strategischen Offenheit« als auch dem Schutz des digitalen Binnenmarktes verpflichtet ist. Um dies zu erreichen, sollte die EU-Cyber- diplomatie in ihrer supranationalen, demokratischen und wirtschaftlichen bzw. technologischen Dimension kohärenter ausgestaltet werden. Deutschland kann hier- zu einen wichtigen Beitrag leisten, indem es dem Europäischen Auswärtigen Dienst (EAD) die notwendigen rechtlichen, fachlichen und finanziellen Ressourcen zur Verfügung stellt. Die EU registrierte 2019 rund 450 Angriffe winnenden Technologie- und Rüstungs- auf kritische Infrastrukturen (KRITIS) der wettlauf zwischen Staaten. Der Direktor des Energie- und Wasserversorgung sowie der Technology and National Security Program Informations- und Kommunikationstech- am Center for a New American Security, nologien im Gesundheits-, Verkehrs- und Paul Scharre, hat schon vor einiger Zeit Finanzwesen. Die Vulnerabilitäten techno- darauf verwiesen, dass der Technologiewett- logisch interdependenter Gesellschaften lauf das Sicherheitsdilemma des Nuklear- sind während der Covid-19-Pandemie be- zeitalters zu wiederholen drohe (Foreign sonders deutlich geworden. Im vergange- Affairs, Mai/Juni 2019). Wie reagiert nun die nen Dezember haben Cyberkriminelle EU strategisch auf die veränderten welt- die Europäische Arzneimittel-Agentur ins politischen Rahmenbedingungen? Welche Visier genommen. Um ihr gesellschafts- Rolle kann sie spielen, damit Cyberangriffe politisches Modell bewahren zu können, zum Beispiel auf Kraftwerke im Vorfeld muss sich die EU in einem sicherheits- verhindert werden können? Existieren euro- politischen Umfeld behaupten, das geprägt päisch abgestimmte Verfahren, um im ist von wechselseitigen Bedrohungswahr- Bedarfsfall unverzüglich und umfassend nehmungen und einem an Dynamik ge- handeln zu können?
EU-Strategie zur Cybersicherheit Kommission will ein EU-weites »Netz von
Sicherheitseinsatzzentren« aufbauen. Es
Die EU arbeitet bereits seit 2015 an ihren soll den für Cybersicherheit zuständigen
Reaktionsmöglichkeiten auf Attacken aus zivilen und militärischen Behörden von
dem und Konflikte im Cyber- und Informa- Union und Mitgliedstaaten als Kooperations-
tionsraum (CIR). Einige außen- und sicher- plattform dienen und die Koordination bei
heitspolitische Initiativen sind in den letz- großen Angriffen verbessern. Zum Schutz
ten Jahren auf den Weg gebracht worden kritischer Infrastrukturen sollen geltendes
(vgl. SWP-Aktuell 22/2018). Zu nennen sind EU-Recht und die EU-Richtlinie zur Netz-
hier unter anderem der Diplomatische werk- und Informationssicherheit (NIS-
Reaktionsrahmen (Cyber Diplomacy Tool- Richtlinie) von 2016 überarbeitet und Künst-
box) und der Politikrahmen für die Cyber- liche Intelligenz stärker genutzt werden,
abwehr (Cyber Defence Policy Framework) um Cyberattacken gegen Krankenhäuser,
(beide 2018), der Rechtsakt zur Cybersicher- Versorgungseinrichtungen oder Verkehrs-
heit und die 5G-Toolbox (beide 2019), die netze zu identifizieren.
Strategie für die Sicherheitsunion und das Seit 2018 verfügt die EU über die Cyber
Screening von (Digital-)Investitionen (2020). Diplomacy Toolbox, um schwerwiegende
Seit 2020 konzentriert die EU ihre Aktivi- Cyberangriffe abwehren zu können (vgl.
täten zusammen mit den Mitgliedstaaten SWP-Aktuell 22/2018). Sie hat damit ein eige-
auf den Aufbau operativer Kapazitäten zur nes Sanktionsregime gegen IT-Angriffe kon-
Prävention und Abschreckung von sowie zipiert, das im Juli 2020 im Zuge der techni-
Reaktion auf schwerwiegende Cybervorfälle schen und rechtlichen Aufarbeitung der
in Europa. Den aktuellen Rahmen setzt die Hackerangriffe auf den Bundestag 2015 zum
im Dezember 2020 von der EU-Kommission Einsatz kam. Zur Umsetzung der Cybersicher-
und dem Hohen Vertreter für Außen- und heitsstrategie sollen im Rahmen der Gemein-
Sicherheitspolitik, Josep Borrell, vorgestellte samen Außen- und Sicherheitspolitik (GASP)
neue Strategie der EU für Cybersicherheit Vorschläge für eine Erweiterung des »EU-Inst-
und Resilienz. Sie ist eng mit anderen Ini- rumentariums für die Cyberdiplomatie« un-
tiativen der Union verknüpft, etwa zur digi- terbreitet werden, damit Attacken auf die kri-
talen Zukunft des Binnenmarktes, mit dem tische Infrastruktur, Versorgungsketten und
Konjunkturprogramm der Kommission die demokratischen Institutionen und Pro-
und der Strategie für die Sicherheitsunion zesse wirkungsvoll begegnet werden kann.
2020–2025. Zwar verweist die Cybersicherheits-
Die neue Cybersicherheitsstrategie be- strategie auf EU-Initiativen wie diejenige
inhaltet Folgendes: Eine »gemeinsame Cyber- zur Bekämpfung hybrider Bedrohungen,
stelle« wird eingerichtet. Sie hat die Aufgabe, auf den Europäischen Aktionsplan für
die IT-Fähigkeiten von »Verteidigungskrei- Demokratie und das Notfall- und Krisen-
se[n] im Bereich der Cybersicherheit« und management in der EU; die Vertiefung der
die der Strafverfolgungsbehörden in Koope- vertrauens- und sicherheitsbildenden Maß-
ration mit »zivile[n] und diplomatische[n] nahmen der EU-Cyberdiplomatie gegenüber
Gemeinschaften« zu stärken. Laut der Stra- Drittstaaten bleibt indes weitgehend unter-
tegie wird die EU sich auch auf die Arbeiten belichtet. Die Notwendigkeit solcher Maß-
der Europäischen Verteidigungsagentur stüt- nahmen wird festgestellt, jedoch ohne kon-
zen und die Zusammenarbeit im militäri- krete Beispiele zu nennen oder institutio-
schen Bereich fördern, wobei sie auf den nelle Orte, die sie umsetzen sollen. Damit
neu geschaffenen Europäischen Verteidi- bringt die Cybersicherheitsstrategie ein ver-
gungsfonds zurückgreifen kann. Des Weite- einseitigtes Verständnis von Sicherheitspoli-
ren soll die EU einen »›Cybersicherheits- tik zum Ausdruck, das von einem geringen
schutzschild‹« erhalten, um Gefahren früh- Bewusstsein dafür zeugt, dass technische
zeitig zu erkennen und Gegenmaßnahmen und technokratische Maßnahmen diploma-
einzuleiten, bevor Schäden entstehen. Die tisch begleitet werden müssen.
SWP-Aktuell 12
Februar 2021
2Desiderat Cyberdiplomatie Noch wenig konsentiert sind darüber
hinaus Normen zur Reaktion auf Cyber-
Die Einseitigkeit der EU-Cybersicherheits- maßnahmen unterhalb völkerrechtlich
strategie ist ein Problem, weil internationale relevanter Schwellen (Retorsion), Normen
Normenbildung ein zentrales Element für für die Zulassung von Hard- und Software,
Vertrauen und Sicherheit im Cyber- und zum Umgang mit Lieferkettenabhängig-
Informationsraum ist. Der EAD muss genau keiten und zum Schwachstellenmanage-
für diese Aufgabe der Cyberdiplomatie be- ment. Auch das »Non-Paper« von Deutsch-
fähigt werden, indem sein Mandat ent- land und fünf weiteren EU-Mitgliedstaaten
sprechend ausgerichtet wird. Die derzeitige vom 19. November 2020 bleibt im Hinblick
Strategie vernachlässigt die wichtige Lehre auf konkrete Maßnahmen unklar. Die Gefah-
des Nuklearzeitalters, dass Abrüstung und ren, die von Proxys, also nichtstaatlichen
vertrauensbildende Maßnahmen zu all- Akteuren, die im staatlichen Auftrag han-
gemein erhöhter Sicherheit führten. Der deln, ausgehen, schmälern die Effektivität
Politikwissenschaftler Joseph S. Nye argu- vertrauens- und sicherheitsbildender Maß-
mentiert etwa, entgegen weitläufiger nahmen. Die Budapest-Konvention des
Meinung könne Abschreckung im Cyber- Europarats soll entsprechend überarbeitet
space doch funktionieren. Er sei überzeugt, werden, um mit einem zweiten Zusatzpro-
die bisher sehr begrenzte internationale tokoll effektiver gegen nichtstaatliche Cyber-
Normenentwicklung zeige durchaus posi- kriminalität vorgehen zu können. Eine
tive Effekte auf die Sicherheit im CIR. Hier- weitere nicht zu unterschätzende Gefahren-
für sei wesentlich, das Prinzip der Abschre- quelle ist die hohe Zahl niederschwelliger
ckung nicht auf die klassische territoriale Angriffe, etwa gegen mittelständische
Verteidigung und unmittelbare Vergeltung Unternehmen. Geklärt werden muss noch,
zu beschränken. Vielmehr würden Kosten- was als kritischer IT-Sicherheitsvorfall gilt,
Nutzen-Analysen zu nichtintendierten Folge- der gemeldet werden muss, auch Partner-
kosten potentielle Angreifer von Attacken staaten außerhalb Europas: Wenn der An-
abhalten. greifer ins Netzwerk eindringt und es stört
Die Tatsache, dass ein »Cyberwar« bislang oder schon dann, wenn er die Infrastruktur
noch nicht stattgefunden hat, kann als Indiz einer potentiellen KRITIS-Anlage scannt
für die Wirksamkeit dieser Strategie gewer- und versucht Schwachstellen zu finden?
tet werden. Auch können internationale Die Cybersicherheitsstrategie erwähnt
Normenprozesse staatliche Akteure von Maß- ferner ein gemeinsames, zwischen Nato und
nahmen gegen kritische Infrastrukturen EU abgestimmtes Lagebild im CIR, bleibt
abbringen. Die Normen für verantwort- aber unspezifisch, was dessen Umsetzung
liches Staatenverhalten im Cyberspace, ent- betrifft. Das Potential des in Helsinki an-
wickelt von der Group of Governmental sässigen European Centre of Excellence on
Experts (GGE) der Vereinten Nationen (VN), Countering Hybrid Threats zum Aufbau der
verbieten Angriffe gegen kritische Infra- »Legal Resilience« in Bezug auf staatliche
strukturen. Die Verhandlungen der VN- Einmischungen wird für die EU–Nato-Zu-
Generalversammlung belegen, dass trotz sammenarbeit ebenso wenig ausgeschöpft.
politischer Differenzen an gemeinsamen Die einen Regierungen sprechen sich für
Normen für rechtmäßiges staatliches Ver- aktive Gegenmaßnahmen nach dem Vorbild
halten und an Sorgfaltspflichten im Cyber- der USA aus, die im Cyberspace ihre Vor-
raum gearbeitet wird. Im Rahmen der machtstellung demonstrieren. Andere da-
Cyber Diplomacy Toolbox ist die Horizontale gegen plädieren für die Ausarbeitung eines
Ratsarbeitsgruppe zu Cyberfragen (HWP konsentierten Referenzrahmens, der den
ERCHT) mit diesen Fragen betraut; bisher Staaten Rechenschaftspflichten hinsichtlich
hat sie jedoch nur eine koordinierende und ihrer Resilienzmaßnahmen zuweist, um Kon-
keine gestaltende Funktion innerhalb der flikteskalation im Cyber- und Informations-
EU-Cyberdiplomatie. raum zu verhindern. Beide Ansätze ver-
SWP-Aktuell 12
Februar 2021
3sucht die EU-Strategie besser als bisher zu Insbesondere sollten systematisch erfasst
integrieren. Um diese Ambition umzusetzen, werden: die Vorbereitung und der Einsatz
muss der EAD künftig personell, finanziell von Cyberangriffen; das Manipulieren und
und rechtlich stärker mandatiert werden. Sabotieren von Unternehmen, Finanz- und
Digitale Souveränität und Resilienz sind Industriemärkten; die steigende Anfälligkeit
nur als gesamteuropäische und -gesellschaft- kritischer Infrastrukturen; die wachsende
liche Aufgabe in enger Abstimmung auf Bedrohung der Zuverlässigkeit traditionel-
EU-Ebene und mit demokratischen Partnern ler Verteidigungssysteme durch militärische
zu erreichen, zudem muss wirtschaftspoli- Hacker. Der neue Strategische Kompass zur
tische und technologische Kompetenz aus- Bedrohungslage soll zwar gemeinsame EU-
drücklich einbezogen werden. Das bedeutet: Lagebilder ermöglichen; hierzu müssen
Die EU-Cyberdiplomatie muss hierfür die aber Sicherheitsbehörden in der inneren und
Rahmenbedingungen setzen, da der CIR äußeren Cybersicherheit bereit sein, ihre
nicht an Zuständigkeiten und Grenzen der Erkenntnisse im benötigten Umfang im EAD
einzelnen Länder gebunden ist. Öffentliche zu bündeln. Die Lagebild-Erstellung soll zu-
Institutionen, Wirtschaft, Wissenschaft und mindest in einem ersten Schritt durch eine
Zivilgesellschaft müssen viel intensiver als »horizon scanning«-Fazilität untermauert
bislang europäisch Hand in Hand arbeiten. werden. Künstliche Intelligenz soll dabei hel-
Die Einrichtung eines Europäischen Kompe- fen, eine Krisenfrüherkennung zu etablieren.
tenzzentrums für Cybersicherheit in Indust- Daran anknüpfen sollte die Entwicklung
rie, Technologie und Forschung und eines eines Attributionsverfahrens im GASP-Ver-
Netzes nationaler Koordinierungszentren fahren. Bis dato gibt es keine gemeinsamen
sind ein erster richtiger Schritt. Die Cyber- Standards, um den Verursacher eines Cyber-
diplomatie kann EU-intern wie nach außen angriffs eindeutig zu identifizieren. In den
die supranationalen, demokratischen, wirt- »Draft Implementing Guidelines for the
schaftlichen und technologischen Vorausset- Framework on a Joint EU Diplomatic Re-
zungen schaffen, um die dafür notwendige sponse to Malicious Cyber Activities« (DIG)
Infrastruktur, das Know-how und die nötige heißt es, dass die Mitgliedstaaten unter-
Spitzentechnologie vorhalten zu können. schiedliche Methoden und Verfahren für
die Zuordnung böswilliger Cyberaktivitäten
sowie unterschiedliche Definitionen und
Die supranationale Dimension Kriterien anwenden können, »um einen
gewissen Grad an Sicherheit für die Zuord-
Sektoral konzipierte Politiksilos, in denen nung einer böswilligen Cyberaktivität zu
die digitale Dimension von Außen-, Vertei- erreichen«. Die Methoden, Verfahren, Defi-
digungs- und Innenpolitik nebeneinander nitionen und Kriterien der Mitgliedstaaten
gedacht wird, eignen sich bekanntermaßen sollen jedoch nicht harmonisiert werden,
wenig für die Cybersicherheit. Sinnvoll er- da die Attribution ein hoheitlicher Akt
scheint hingegen ein von der EU-Kommis- bleiben soll. Der EAD mit seinem Intelli-
sion unterstütztes Ineinandergreifen von gence Analysis Centre (EU INTCEN) müsste
Regulierungen des Binnenmarktes, Bekämp- neue personelle und fachliche Kompeten-
fung der Cyberkriminalität, GASP bzw. Ge- zen erhalten, soll er öffentlich darlegen
meinsamer Sicherheits- und Verteidigungs- (können), wer für Cybervorfälle verantwort-
politik (GSVP) sowie Initiativen der Ständi- lich ist; dies wäre gerade zur Abwehr hybri-
gen Strukturierten Zusammenarbeit (PESCO). der Bedrohungen, worunter auch Des-
Ein jährlicher Umsetzungsbericht, angelehnt information fällt, von Belang. Maßnahmen
an die Fortschrittsberichte zur Umsetzung im Rahmen der Cyber Diplomacy Toolbox
der Sicherheitsunion, wäre förderlich und erfordern nicht in jedem Fall eine rechtlich
sollte bisher vernachlässigte Aspekte, wie abgesicherte Attribution. Sie zielen vielmehr
die technische Aufklärung und den Infor- darauf ab, Cybervorfälle mit politisch-kom-
mationsaustausch, stärker berücksichtigen. munikativen und technischen Mitteln abzu-
SWP-Aktuell 12
Februar 2021
4wehren. Der Mitteleinsatz soll je nach Kon- Die maßgebliche Integration aller gesell-
fliktsituation zugeschnitten werden können. schaftlichen Stakeholder hat sich aber im
Darüber hinaus ist zu überlegen, wie die Endeffekt als grundrechtswahrender Faktor
in der Toolbox vorgesehenen Maßnahmen erwiesen. Besonders eine Reform der glo-
bei einem Ausfall wichtiger Infrastrukturen balen Kooperationsinfrastruktur ist so nötig
so eingesetzt werden können, dass die Füh- wie wichtig, wobei die ›demokratische‹
rungs-, Handlungs- und Funktionsfähigkeit Dimension gestärkt werden muss, etwa
erhalten bleibt. Einerseits sollten auf EU- indem die Rolle des Internet Governance
Ebene EAD und Kommission in enger Ko- Forum (IGF) als globales Stakeholdertreffen
operation darüber beraten, andererseits die ausgebaut wird, Parlamentsvertreter kon-
EU mit den Mitgliedstaaten. Dieses Krisen- sequent an IGF-Treffen beteiligt und lokale
management existiert bislang als Blueprint wie regionale Initiativen miteinbezogen
und muss personell, finanziell und kom- werden. In diesem Rahmen wird die EU-
petenzrechtlich durch die Mitgliedstaaten Cyberaußenpolitik, mandatiert durch die
unterfüttert werden. Mitgliedstaaten, weiter darauf hinarbeiten
Die EU-Staaten sollten anerkennen, dass können, dass zentrale Institutionen wie die
die Digitalisierung die klassische Diploma- Internet Corporation for Assigned Names
tie insofern auf nationaler Ebene heraus- and Numbers (ICANN) und die Internet
fordert, als sich die außenpolitische Rolle Engineering Task Force (IETF) auf Inklusi-
der EU-Kommission im Zuge der Umset- vität und Partizipation aller gesellschaft-
zung der EU-Digitalstrategie ändert: Ihre lichen Gruppen ausgerichtet werden und
Rolle bekommt mehr Gewicht in der Cyber- nicht nur auf die Interessen der Wirtschaft
diplomatie. Es ist die EU-Kommission, die (vgl. SWP-Studie 12/2019). Gerade parla-
die Mitgliedstaaten dazu drängt, in Bezug mentarische Expertise ist hier gefragt, wie
auf Spaltungsversuche von außen und sie zuletzt in den Internet Governance
innen wachsam zu sein. Diese Aufforde- Foren zunehmend genutzt wurde.
rung zur Wachsamkeit bei ausländischen Die technologieinduzierte Verunsiche-
Direktinvestitionen bzw. bei der Über- rung in der globalen Politik schlägt sich auf
nahme strategischer Wirtschaftsgüter, allen Ebenen deutlich in einer grundlegend
gerade in der Digitalwirtschaft, durch Dritt- veränderten Wahrnehmung der Chancen
staaten könnte sogar noch stärker die Risi- und Gefahren zwischenstaatlicher Inter-
ken berücksichtigen, die durch die Vola- dependenz nieder. Die US-amerikanischen
tilität oder die Unterbewertung der euro- Politologen Henry Farrell und Abraham L.
päischen Aktienmärkte entstehen. Newman weisen darauf hin, dass Interde-
pendenz nicht nur Versprechen, sondern
auch Gefahr sei (International Security, Juli
Die demokratische Dimension 2019). Globale Netzwerke und Lieferketten
im Finanz- und Handelssystem, in der Ver-
Die digitale Außenpolitik bzw. Cyberdiplo- waltung des Internets und der globalen
matie muss stärker als klassische Außen- Kommunikationsordnung seien stark asym-
und Sicherheitspolitiken darauf achten, metrisch geprägt und könnten von mäch-
nichtstaatliche Interessengruppen und tigen Staaten als Waffe gegenüber politi-
unabhängige Wissenschaftler in den Poli- schen Gegnern verwendet werden. Die
tikprozess einzubeziehen und dem Multi- Corona-Pandemie und das selbstbewusste
stakeholder-Ansatz möglichst breite Geltung Auftreten amerikanischer und chinesischer
zu verleihen. Zwar ist die bisherige Praxis Internetkonzerne haben diesen Eindruck
der Multistakeholder-Governance dafür wirkmächtig werden lassen. In vielen Fragen,
kritisiert worden, von den großen Digital- angefangen beim Zugang zum Weltwäh-
konzernen als Instrument der Globalisie- rungssystem und zu innovativer Technolo-
rung eigener Interessen und technischer gie bis hin zu benötigten Medikamenten
Standards missbraucht worden zu sein. und digitaler Kommunikations- und Netz-
SWP-Aktuell 12
Februar 2021
5infrastruktur, bilden von privaten Akteuren Cyberangriffe unter den Mitgliedern wären
kontrollierte Foren, Podien und Lieferketten untersagt. Freilich entsprechen diese Ziele
eine Machtressource. Staaten sehen sich im Wesentlichen den VN-Normen für ver-
derzeit überfordert, wenn ihren Präsidenten antwortungsvolles Staatenverhalten, gehen
von Digital-CEOs ihre virtuellen Megaphone aber über diese hinaus. Eine derartige Alli-
entzogen werden können. anz der Techdiplomacy sollte die verschie-
Die Revitalisierung der bilateralen Cyber- denen Cybersicherheitsprogramme der EU
diplomatie in Form eines Handels- und Tech- in den westlichen Balkanstaaten und den
nologierats zwischen der EU und den USA sechs Ländern der Östlichen Partnerschaft
nimmt vor diesem Hintergrund seit der Wahl in unmittelbarer Nachbarschaft der EU so-
Bidens zum US-Präsidenten eine besondere wie in anderen Ländern weltweit einbinden.
Stellung für die transatlantische Zusammen-
arbeit ein. Jede Neuaufstellung einer europä-
ischen Cyberaußen- und Sicherheitspolitik Die wirtschaftlich-technologische
soll aus US-Perspektive auf einer Allianz der Dimension
demokratischen Multilateralisten gründen,
die die USA miteinbeziehen muss. Nur zu- In seiner einflussreichen Studie zur Gefahr
sammen mit Kanada, Australien, Japan, den der Fragmentierung des globalen Internets
USA und anderen vielleicht auch nur kurz- beschreibt der Politologe Milton L. Mueller
fristig kooperierenden Staaten (Ad-hoc- eindringlich, dass alle Hoffnungen auf ein
Koalitionen) wird Europa stark genug sein, globales Internet direkt davon abhingen,
um sich langfristig gegen China und andere dass nichtstaatliche Akteure auch weiterhin
autoritäre Staaten behaupten zu können. eine wesentliche Rolle in seiner Governance
Hierzu finden sich in der Literatur bereits innehätten. Es gebe keine Garantie dafür,
konkrete Vorschläge mit teilweise weit- dass einzelne europäische Mitgliedstaaten
reichenden Konsequenzen. In der Foreign die von Russland und China betriebenen
Affairs plädieren Richard A. Clarke und Rob Maßnahmen der Internetzensur mithilfe
Knake bereits im Oktober 2019 für die Grün- von »Deep Packet Inspection«-Instrumenten
dung einer von den USA geführten »Inter- und des Verbots von VPNs nicht imitierten,
net Freedom League«, die alle diejenigen wenn ihnen kein starkes gesellschaftliches
Staaten umfassen solle, die sich für ein und rechtliches Korrektiv gegenübergestellt
freies, offenes und demokratisches Internet werde. Dieses Korrektiv kann kognitiv wie
einsetzten. Sie sollte analog zum europäi- machtpolitisch wirken. In der EU-Kommis-
schen Schengenraum einen digitalen Block sion ist zur Vorbereitung einschlägiger
bilden, innerhalb dessen Daten, Dienstleis- Rechtsakte zu digitalen Märkten, Diensten,
tungen und Produkte sich frei bewegen Algorithmen und Daten eine – in Abgren-
könnten, während alle diejenigen Staaten, zung zu amerikanischen, chinesischen und
die die Meinungsfreiheit und den Schutz russischen Normierungen – herausragende
von Privatheit nicht achteten sowie Cyber- Fachkompetenz aufgebaut worden. Dieses
kriminalität zuließen, ausgeschlossen wären: Wissen über Regulierung, Standards und
»The goal should be a digital version of the Normen wird stark nachgefragt von diversen
Schengen Agreement.« In diesem nach US- internationalen Akteuren wie der Afrikani-
amerikanischer Sichtweise noch auszuge- schen Union, den Asean-Staaten, Brasilien,
staltenden Cyber- und Informationsraum Australien oder Südkorea.
würden – angelehnt an die Koordinierung Europas Rolle als Normenexporteur in der
globaler Gesundheitspolitik durch die Welt- Daten-, Informations- und Cybersicherheit
gesundheitsorganisation – verletzliche hat überdies wirtschaftliche Folgen für Ak-
Online-Systeme identifiziert werden, ihre teure auf dem internationalen Markt, die
Betreiber informiert und gemeinsam an weiterhin im Binnenmarkt tätig sein wollen
deren Resilienz gearbeitet; Schadsoftware – trotz der hohen Anforderungen etwa zur
und Botnets würden frühzeitig beseitigt; Einhaltung von Standardvertragsklauseln
SWP-Aktuell 12
Februar 2021
6beim Datentransfer, die durch die restriktive setzt eine intensive Partnerschaft zwischen
Rechtsprechung des Europäischen Gerichts- öffentlichen und privaten Akteuren voraus,
hofs im Juli 2020 noch verschärft wurden. wenn sie technisch konkurrenzfähig sein
Die Cyberdiplomatie der EU muss die künf- will. Daher sollte sie anstreben, die Entwick-
tigen weltweiten Standardvertragsklauseln lung von vertrauenswürdiger IT durch diese
zum Datentransfer sowie ein neues trans- Partnerschaften zu befördern. Künstliche
atlantisches Privacy Shield mit den USA im Intelligenz kann assoziativ zum Einsatz
gemeinsamen Rat für Handel und Techno- kommen, zur Früherkennung von Angriffen
logie aushandeln. auf automatisierte Systeme. Schließlich
EU-Ansätze zur Administration kritischer müssen Informationen über Indicators of
Internetressourcen werden in Zukunft noch Compromise (IoC), also Merkmale und Daten,
striktere Ziele als bisher ins Auge fassen: die auf Kompromittierung eines Systems oder
Abhängigkeiten von einzelnen Lieferanten Netzwerks hindeuten, allen Beteiligten zur
sollen diversifiziert werden. Die Auditie- Verfügung gestellt werden, sodass jeder an
rung durch ein EU-weites IT-Sicherheits- den angebotenen Lösungen teilhaben kann.
kennzeichen soll den Marktzugang für alle Die Cyberdiplomatie des EAD in Koopera-
Marktteilnehmer an Minimalstandards und tion mit der Kommission bzw. der Agentur
Zertifizierungen knüpfen. Verschlüsselungs- für Cybersicherheit (ENISA) sollte in die
technologien sollen zukünftig hohe euro- Lage versetzt werden, diese technologischen
päische Sicherheitsstandards gewährleisten, Voraussetzungen auf die Ebene der euro-
um die Integrität und Sicherheit von Daten päischen Infrastrukturen zu heben, damit
zu garantieren. Entschlüsselungspflichten Wirtschaft und KRITIS von den Ergebnissen
oder Generalschlüssel für Strafverfolgungs- profitieren können. Nicht zuletzt beabsich-
behörden, wie sie einzelne Regierungen tigt die Kommission den KRITIS-Bereich
fordern, werden indes von Zivilgesellschaft zu erweitern. Neben den klassischen Sekto-
und Wirtschaft kritisch beurteilt. ren wie Energie werden auch Institutionen
Eine für die Sicherung europäischer im nationalen und strategischen Interesse
Datenhoheit wichtige Initiative ist die Stär- in den Blick genommen. Künftig kommt
kung des europäischen Cloud- und Daten- der Kommission eine noch größere Rolle
infrastrukturprojekts GAIA-X. Um sich zu, wenn es darum geht, Verfügbarkeit,
gegen die außereuropäische Marktmacht zu Integrität und Vertraulichkeit europäischer
behaupten, versuchen führende Mitglied- Daten durch eine Binnenmarktaußenpoli-
staaten und die EU-Kommission europäi- tik sicherzustellen.
sche Unternehmen zu bündeln und die
eigenen Werte als Standortvorteil gegen-
über Dritten auszuspielen. Datenschutz Update der Cyberdiplomatie nötig
und Privatsphäre sollen nicht länger als
Hemmschuh technologischer Entwicklung, Eine zusammenwachsende Welt braucht
sondern als Treiber von Innovation ange- gemeinsame Regeln und einen verbind-
sehen werden – gerade vor dem Hinter- lichen Rechtsrahmen, damit sich gemein-
grund, dass Quantencomputing bereits same Märkte entwickeln und das Sicher-
heute noch gängige Methoden der Krypto- heitsdilemma abbauen kann. Die Nach-
graphie umgehen kann. kriegszeit wird nur dann nicht zur digitalen
Europäische Souveränität ist komplex, Vorkriegszeit werden, wenn sich die EU-
bedeutet aber im Umkehrschluss nicht, nun Mitgliedstaaten einer Cyberdiplomatie zu-
alles autark über die EU vorzunehmen, wenden, die in ihrer institutionellen, demo-
sondern eine technisch anspruchsvolle stra- kratischen und wirtschaftlichen Dimension
tegische Auswahl zu treffen, um jene Kom- an der Maxime der »strategischen Offen-
ponenten zu kontrollieren, die wirklich heit« orientiert ist. Letztere ist für die Auf-
kritisch sind. Cyberdiplomatie des EAD in rechterhaltung des Binnenmarktes zentral,
enger Absprache mit der EU-Kommission um den Sirenengesängen merkantilistischer
SWP-Aktuell 12
Februar 2021
7Abschottung und territorialen Souveräni- men in Europa und zuletzt zur Cybersicher-
tätsdenkens auch im digitalen Zeitalter heit. Wenn die Union dergestalt voran-
wirksam begegnen zu können. Die digitale schreitet, sollten die Mitgliedstaaten auch
Selbstbehauptung der EU manifestiert sich bereit sein, das machtpolitische Narrativ
darin, dass Abhängigkeiten reduziert, die Europas im digitalen Zeitalter einem Update
Stärkung der Rechte von Bürgern gefördert, zu unterziehen, und zwar mittels einer
Plattformen zur Rechenschaft gezogen und robusteren, besser aufeinander abgestimm-
die Wettbewerbsfähigkeit der europäischen ten Außen-, Sicherheits- und Verteidigungs-
Wirtschaft gesteigert wird. politik und indem seine strategische Aus-
Mit diesem Anspruch vor Augen sollte richtung und institutionelle Verankerung
© Stiftung Wissenschaft die EU-Cyberdiplomatie erstens dazu beitra- in der EU-Cyberdiplomatie gewürdigt wird.
und Politik, 2021 gen, dass Bürger die Selbstbestimmung Das wäre zumindest die logische Konse-
Alle Rechte vorbehalten über ihre persönlichen Daten behalten. quenz. Vonnöten sind sicherlich qualifizierte
Zweitens ist Cyberdiplomatie im Dienste der Mehrheitsentscheidungen, um im Fall
Das Aktuell gibt die Auf-
digitalen Souveränität der EU mit strategi- schwerwiegender Cyberangriffe mit rest-
fassung der Autorin und des
Autors wieder. scher Handlungsfähigkeit verbunden und riktiven Maßnahmen reagieren zu können.
setzt voraus, dass die Union ihre Vorstel- Aber nicht immer ist Harmonisierung
In der Online-Version dieser lungen von Datenschutz und -sicherheit der Weg zur Optimierung. Ein gesamteuro-
Publikation sind Verweise auch international durchsetzen kann. Eine päischer und gesamtgesellschaftlicher An-
auf SWP-Schriften und
europäische »Resouveränisierung« der satz in der Cybersicherheit meint die Forma-
wichtige Quellen anklickbar.
Cyberdiplomatie im digitalen Zeitalter lisierung des Wissensaustauschs zwischen
SWP-Aktuells werden intern meint drittens die Einsicht, dass ein Mindest- Organen, Sicherheitsbehörden, der Wissen-
einem Begutachtungsverfah- maß an Herrschaft bzw. Kontrolle über die schaft und Wirtschaft. Verteidigung und
ren, einem Faktencheck und notwendigerweise genutzten technologi- Diplomatie im Cyber- und Informations-
einem Lektorat unterzogen. schen Ressourcen – von Internetknoten- raum bleiben hoheitliche Aufgaben. Spätes-
Weitere Informationen
punkten über Cloud-Infrastruktur bis hin tens seit dem Urteil des Bundesverfassungs-
zur Qualitätssicherung der
SWP finden Sie auf der SWP- zur internationalen Standardsetzung – die gerichts (BVerfG) zum Bundesnachrichten-
Website unter https://www. digitale Souveränität überhaupt erst mög- dienst vom 19. Mai 2020 und dem Nicht-
swp-berlin.org/ueber-uns/ lich macht. Dazu gehört viertens die Über- annahmebeschluss des BVerfG vom 16. De-
qualitaetssicherung/ prüfbarkeit von Recht und Politik der Digi- zember 2020 ist klar, dass die rechtsstaat-
talität vor der europäischen Gerichtsbar- lichen Verpflichtungen aller deutschen
SWP
Stiftung Wissenschaft und
keit. China und die USA beschränken sich Behörden nicht an der staatlichen Außen-
Politik zum Beispiel bei der kritischen Infrastruk- grenze enden und dass der Staat grundsätz-
Deutsches Institut für tur (Hard- und Software) aus Gründen der lich für Verletzungen von Grundrechten
Internationale Politik und Cybersicherheit im Wesentlichen auf ein- im Ausland haftet – dies gilt auch im CIR.
Sicherheit heimische Anbieter. Fünftens wäre im Sinne Das heißt, eine enge Zusammenarbeit in
der Reziprozität und Wettbewerbsfähigkeit dieser komplexen Cybersicherheitsarchitek-
Ludwigkirchplatz 3–4
10719 Berlin eine Harmonisierung von IT-Sicherheits- tur ist geboten. Zugleich stellt sie in Deutsch-
Telefon +49 30 880 07-0 gesetzgebung sowie von Beschaffungs- und land neue Anforderungen an Verfassungs-
Fax +49 30 880 07-100 Zulassungsregeln auf EU-Ebene folgerichtig. prinzipien wie das Trennungsgebot oder
www.swp-berlin.org Eine Zusammenarbeit der EU mit Demokra- den Einsatz des Militärs im Innern. Cyber-
swp@swp-berlin.org
tien wie USA, Kanada, Singapur, Südkorea diplomatie sollte darauf aufbauen können,
ISSN 1611-6364
oder Taiwan könnte dies begünstigen. das Cybersicherheit auf nationaler Ebene
doi: 10.18449/2021A12 Diesen Zielen dienen die neuen und ge- Bedingungen schafft, um Amtshilfe im
planten Rechtsakte und Strategien der EU europäischen Kontext und mit Allianzpart-
zu Daten, Märkten, Diensten und Algorith- nern rechtssicher zu ermöglichen.
Dr. Annegret Bendiek ist Stellvertretende Leiterin der Forschungsgruppe EU / Europa.
PD Dr. Matthias C. Kettemann, LL.M. (Harvard), ist Forschungsprogrammleiter am Leibniz-Institut für Medienforschung |
Hans-Bredow-Institut (HBI) und Forschungsgruppenleiter am Humboldt Institut für Internet und Gesellschaft und am
Sustainable Computing Lab der Wirtschaftsuniversität Wien.
SWP-Aktuell 12
Februar 2021
8Sie können auch lesen
