Direkt zum Seiteninhalt springen

Paradigmenwechsel in der europäischen Cyberabwehr

Für den Sprung von der reaktiven zur aktiven Abwehr braucht es Transparenz über die normativen Grenzen und Grundlagen

SWP-Aktuell 2023/A 49, 20.07.2023, 8 Seiten

doi:10.18449/2023A49

Forschungsgebiete

Für EU-Staaten, die in Abstimmung mit Verbündeten eine aktive Cyberabwehr be­treiben wollen, sind die rechtlichen und politischen Befugnisse noch nicht ausreichend ausbuchstabiert worden. Im Sinne des Prinzips der Sorgfaltsverantwortung sind die EU und ihre Mitgliedstaaten in der Pflicht, die normativen Grundlagen für einen Einsatz aktiver Cyberabwehrmaßnahmen festzulegen, bevor diese ergriffen werden. Eine Militarisierung des Cyber- und Informationsraums gilt es zu vermeiden.

Seit November 2022 gehen die australische Bundespolizei und das Australian Signals Directorate (ASD) in einem neu geschaffenen Einsatzverbund (JSO) gegen Cyber­kriminelle vor. Zuvor hatten Hacker die größte landesweite australische Krankenkasse Medibank und einen der führenden Telekommunikationsanbieter des Landes, Optus, angegriffen. Im großen Maßstab wurden dabei persönliche und sensible Gesundheitsdaten von rund 40 Prozent der australischen Bevölkerung gestohlen und veröffentlicht. Im Unterschied zu klassischen Strafverfolgungsmethoden der Polizei reagiert die hundertköpfige JSO nicht mehr erst, nachdem Verbrechen begangen wur­den, son­dern versucht Cyberkriminelle bereits vorher an ihren Taten zu hindern.

Ereignisse wie die in Australien verdeut­lichen, wie zunehmend wichtig es ist, Cyber­angriffe zu entschärfen und inter­national zu kooperieren, um Cyberkriminelle zur Rechen­schaft zu ziehen. Die jüngsten Entwicklungen standen auch im Hintergrund der Beratungen über die Natio­nale Sicherheitsstrategie, in deren Rahmen neben Überlegungen zur Stärkung der Resilienz auch über aktive Cyberabwehrmaßnahmen nachgedacht wurde, um Schäden durch Cyberangriffe schon im Vorfeld zu verhindern. Dafür wäre eine Grundgesetzänderung erforderlich, die die Bundesregierung auch anstrebt. In der im Juni 2023 vorgestellten Nationalen Sicher­heitsstrategie bekennt sie sich dazu, die bestehenden Befugnisse zur Cyberabwehr und die dafür erforderlichen Fähigkeiten zu überprüfen. Anerkannte Rechtsprinzipien der Sorgfaltsverantwortung, der Verhältnis­mäßigkeit von Gegenmaßnahmen und internationale Normen zum verantwort­lichen Staatenverhalten im Cyberraum sind hierbei handlungsleitend. Hackbacks als Mittel der Cyberabwehr schließt die Bundes­regierung dem Dokument zufolge aus. Die deutsche Cyberbotschafterin Regine Grien­berger weist nicht ohne Grund auf die hohen rechtlichen Hürden eines proaktiven Einschreitens gegen Gefahren aus dem Cyberraum hin. Bedingung dafür ist die ver­lässliche und belastbare Zuordnung von Angriffen, was wiederum eine Identifizierung des Angreifers in technischer, poli­tischer und rechtlicher Hinsicht voraussetzt. Die Durchsetzung des bestehenden Rechts hängt zwangsläufig auch davon ab, ob die dafür notwendigen Fähigkeiten zur Cyberkriminalitätsbekämpfung und zur Strafverfolgung vor­handen sind.

Das 2022 beschlossene neue strategische Konzept der Nato beschreibt den Cyberraum als fortlaufend umkämpft. David van Weel, der Stellvertretende Generalsekretär für neue Sicherheitsherausforderungen, machte vor kurzem deutlich, dass diese Einschätzung unabhängig davon gelte, ob man sich in einem bewaffneten Konflikt­austrag befindet. Im Rahmen des Bündnisgipfels in Vilnius stellten sich die Nato-Mitgliedstaaten im Juli daher hinter ein neues Cyberverteidigungskonzept mit dem Ziel, zu jeder Zeit – sei es in Friedens-, Kri­sen- oder Konfliktsituationen – eine zivil-militärische Zusammenarbeit zu ge­währ­leisten, auch unter Einbeziehung privat­wirtschaftlicher Akteure.

Aktuelle Überlegungen in der Allianz, auf EU-Ebene, aber auch in einigen EU-Staaten bewegen sich weg von einem re­aktiven Verständnis der Cyberabwehr und hin zu einem proaktiven Vorgehen bei Gefah­renlage bzw. zu einer aktiven Cyber­verteidigung im militärischen Bereich. Die definitorische und exekutive Hoheit da­rüber, welche Maßnahmen der (in die Sphäre der zivilen Strafverfolgung fallen­den) aktiven Cyberabwehr und welche der (militärischen) aktiven Cyberverteidigung zuzuordnen sind, liegt bei den Mitglied­staaten. Zeichnet sich also aktuell ein Para­digmenwechsel im europäischen Umgang mit Cyberbedrohungen ab – von einem reaktiven hin zu einem verstärkt proaktiven Abwehransatz? Der Blick auf die bis­herige Staatenpraxis lässt Rückschlüsse darauf zu, in welchen Fragen Europa zu einer Position finden muss, denn enge Part­ner wie die USA, das Vereinigte Königreich, Australien oder Japan zeigen bereits, welche aktiven Einwirk­mittel zur Gefahrenabwehr im Einsatz sind. Die Staaten­praxis muss grundsätzlich dem Prinzip der Sorgfalts­verantwortung Rechnung tragen.

Unklare Definitionen

In der im November 2022 vorgelegten Mit­teilung über eine EU-Cyberabwehrpolitik fordert die Europäische Kommission die Mitgliedstaaten dazu auf, Fähigkeiten im Bereich der Cyberabwehr zu entwickeln, und zwar innerhalb des gesamten Spek­trums von defensiven bis hin zu aktiven Maßnahmen. In den Schlussfolgerungen des Rates zur Cyberabwehrpolitik vom Mai 2023 wird zu­dem die Bedeutung der mili­tärisch-zivilen Zusammenarbeit betont. Fähigkeiten zur Früherkennung, Abwehr und Abschreckung von Cyberbedrohungen müssten das Portfolio der Verteidigungs­instrumente ergänzen. Der Rat unterstreicht auch, dass es sich hierbei um nationalstaatliche Kompetenzen handelt, der Einsatz von Cyberabwehrmaßnahmen allein von den Regierungen der Mitgliedstaaten ver­ant­wortet werden muss und entsprechende Akte defensiven Charakter haben. Welcher Techniken und Vorgehensweisen sich eine aktive Cyberabwehr bzw. aktive Cyber­verteidigung bedienen soll, wird in den Schlussfolgerungen offengelassen. Statt­dessen werden die Mitgliedstaaten auf­gefordert, selbst Ziele anzugeben und Maß­nahmen auf dem Weg dorthin zu umreißen. Die bisher in Policy Papers, Interviews und durch spärliche Beispiele aus der Staatenpraxis dokumentierten Methoden der aktiven Cyberabwehr umfassen unter anderem die Ableitung schädlichen Daten­verkehrs, die Deaktivierung von Botnetzen und die Übernahme von Servern oder Inter­net-Domänen durch Straf­verfolgungs­behörden, so dass die Angreifer den Zugriff auf ihre Infrastruktur verlieren. Zum Ab­wehrinstrumentarium zählen darüber hinaus die Identifikation und Deaktivierung von Schadsoftware in IT-Systemen und die Inter­vention in angreifende IT-Infra­strukturen außerhalb der Systeme der be­troffenen Opfer. In den Bereich der aktiven Cyberverteidigung fallen des Weiteren die Manipulation ausländischer Medien, die elektronische (Zer-)Störung von Servern und die Unterbindung von Datenverkehr im Ausland.

Das Prinzip der Sorgfaltsverantwortung

Die Bundesregierung, die Mitgliedstaaten der EU und die Union orientieren sich bei der Umsetzung ihrer Cybersicherheits­strategien prinzipiell am Gebot der »Due Diligence«. Diese Norm verpflichtet Staaten, in Friedenszeiten dafür zu sorgen, dass von ihrem Territorium keine Handlungen aus­gehen, welche die Rechte anderer Staaten verletzen. Alle Cybersicherheitsstrategien der Union weisen darauf hin, dass der Schutz von Computersystemen und Netz­werken für einen modernen, hochtechnologisierten und digitalisierten Industriestaat essentiell ist. Deshalb sollen die Resilienz der Infrastruktur, die Fähigkeit zur Abwehr und Aufklärung von (auch staatlich gelenk­ter) Cyberkriminalität und die Sensibilität für Des­informationskampagnen gestärkt werden.

Die EU und Deutschland verfolgen eine auf internationalen Übereinkünften auf­bauende defensiv ausgerichtete Cyber­sicher­heitsstrategie. Das Konzept der Sorgfaltsverantwortung steht grundsätzlich nicht im Widerspruch zur Cyberabwehr. Es schließt in jedem Fall eine Art politischer Regulierung ein. In geg­nerische Cyber­operationen einzugreifen, stellt die staat­liche Sorgfaltspflicht in Friedenszeiten vor neue Herausforderungen, wenngleich der­artige Aktionen im Sinne einer Abwehr von »Gefahr im Verzug« begründbar sein mögen. Internationale Normen bilden einen Anker­punkt für die Ausgestaltung aktiver Cyber­abwehrmaßnahmen. Eine proaktive Cyber­abwehr erfordert demzufolge die Offen­legung von normverletzendem Verhalten, um in vergleichbaren Fällen rechtfertigen zu können, dass der Eingriff zur Gefahrenabwehr bzw. im Rahmen einer Gefahren­lage erfolgte. Deutlich wird dies unter ande­rem an der wiederholt unter Beweis ge­stell­ten Bereitschaft der USA, nachrichtendienst­liche Erkenntnisse für Anklageerhebungen gegen Bedrohungsakteure zu nutzen und öffentlich zu machen, selbst wenn sich die Verantwortlichen mit diesen Rechtsmitteln absehbar nicht belangen lassen.

Die Preisgabe dieser Informationen signa­lisiert die Verbindlichkeit von Attri­butionsbemühungen gegenüber Verbündeten. Dieses Vorgehen dient dem Aufbau einer internationalen »Koalition für Attri­bution« unter EU- und Nato-Staaten sowie internationalen Wertepartnern. Auf diese Weise werden Grenzen von verantwort­lichem Verhalten markiert, was wiederum eine Handlungsgrundlage bildet für das Unterbinden von Aktionen, die diese Gren­zen überschreiten. Ein solches proaktives Einwirken auf Cyberbedrohungen wirft unter anderem die Frage auf, in welchem Umfang es für Staaten opportun ist, ihre eigenen Bemühungen, Cyberangriffe zu unterbinden, in ihren öffentlichen Lage­beschreibungen darzulegen, um die inter­nationalen Normen und Rechtsgrundsätze zu stärken. Denn gleichzeitig besteht das Risiko, dass sie es ihren Sicherheitsbehörden erschweren, ihre Aufgaben zu erfüllen.

Die Staatenpraxis aktiver Cyberabwehr bzw. -verteidigung

Das US-Verteidigungsministerium gab 2018 einen Wechsel in seiner Cyberabwehrpolitik bekannt. Unter der Maxime »Defend For­ward« will es böswillige Hackeraktionen künftig mit einer vorwärtsgerichteten und proaktiven Strategie bekämpfen. Das US Cyber Command, für das diese Doktrin seither handlungsleitend ist, setzt darauf, Bedrohungsaktivitäten möglichst nah an deren Ursprung zu begegnen, um Schaden frühzeitig abzuwenden und feindlich ge­sinnte Akteure zu blockieren. Es verfolgt diesen Ansatz durch »persistent engagement« – dem gezielten Stoppen von Cyber­bedrohungen und der Beeinträchtigung gegnerischer Fähigkeiten –, um Angreifer mit Kosten zu belegen und auf Verhaltens­weisen einzuwirken, die durch andere Instrumente schwer oder nur nachträglich beeinflusst werden können. In der im März veröffentlichten Nationalen Cybersicherheitsstrategie wurde dieser Ansatz noch weiterentwickelt. Er bildet nun eine eigene Säule der Störung und Schwächung von Bedrohungsakteuren. Nach Einschätzung von General Paul Nakasone, US-Cyber­komman­dant und Direktor der NSA, baut die zwei Monate später beschlossene und als geheim eingestufte neue Cyberstrategie des US-Verteidigungsministeriums auf dem 2018 vorgenommenen Kurswechsel auf.

Grundsätzlich ist wenig über den Einsatz aktiver Abwehrmaßnahmen bekannt. Die Vereinigten Staaten zum Beispiel haben bisher nur wenige operationelle Details öffentlich gemacht. Der erste bekannte Fall eines aktiven Ein­schreitens des US-Cyber­kommandos zielte im Herbst 2020 darauf ab, das Botnet Trick­bot von Command-and-Control-Servern zu trennen, um einer even­tuellen Ransom­ware-Kampagne im Vorfeld der US-Wahlen entgegenzuwirken.

Die Cyberspace Solarium Commission, ein Gremium, das der US-Kongress zur Er­arbeitung eines Konzepts für die Verteidigung gegen gravierende Cyberangriffe ein­gesetzt hat, schlug 2020 eine erweiterte Aus­legung von »Defend Forward« vor. Danach erfordert eine konsequente Umsetzung der Doktrin nicht mehr länger nur den Rück­griff auf rein militärische, sondern den auf alle staatlichen Instrumente (Diplo­matie, Regulierungskompetenzen etc.), ins­beson­dere um Erkenntnisse über Bedrohungs­aktivitäten zugänglich zu machen und darüber die eigene Resilienz zu steigern. Die Auslegung der Kommission zeigt deut­lich, dass eine »Defend Forward«-Politik auch daran zu messen sein wird, ob und in wel­chem Umfang sie zur Stärkung der inter­nationalen Verhaltensnormen beiträgt.

Um eine Verhaltensänderung des Gegners herbeizuführen, reicht es nicht aus, dessen Kampagnen zu kon­tern. Ebenso wichtig ist es, dem Angreifer die Fähigkeit zur Abwehrbereitschaft und die Entschlossenheit dazu zu signalisieren. Nach Angaben von General Nakasone haben die USA als Reaktion auf die russische Invasion im Früh­jahr 2022 neben defensiven auch offen­sive Cyberoperationen zur Unterstützung der Ukraine durch­geführt.

Aber auch andere Staaten beabsichtigen, operative Einwirkungsmöglichkeiten zu nutzen, um böswillige Cyber­attacken aktiv zu unterbinden. Neben der erwähnten Ein­setzung der australischen JSO zur Cyber­abwehr gab die australische Regierung zu Beginn des Jahres bekannt, dass sie die Investitionen in offensive Cyberabwehr­kapazitäten verdreifachen wird.

Das Vereinigte Königreich hat seit dem russischen Angriff auf die Ukraine im Februar 2022 eine Reihe von Hilfsmaßnah­men öffentlich gemacht. Teil des Programms sind die Unterstützung kritischer Infrastrukturen und ukrainischer Regierungsstellen im Umgang mit Cybervorfällen, die Abwendung von Sabotageversuchen gegen die Stromversorgung, forensische Aufklärung, die Bereitstellung von Sicherheits­lösungen und die Einschränkung von An­griffszugängen, um Hochwertziele vor zu­künftigen Attacken zu schützen. Unter den EU-Mitgliedstaaten sind diese Hilfsleistun­gen nicht uneingeschränkt konsensfähig. Auch werden nicht alle dazu erforderlichen technischen Cyberfähigkeiten im gleichen Umfang von allen Mitgliedstaaten vorgehalten. Die Widerstandsfähigkeit der Ukraine gegenüber russischen Angriffsversuchen deutet indes darauf hin, dass das Land hier ebenfalls von vorausschauenden Cyber­abwehrmaßnahmen profitiert hat. Kiew stützte sich bei seiner proaktiven Kalibrierung von Abwehranstrengungen unter anderem auf Ergebnisse von Hunt-Forward-Operationen (HFOs), die das US-Cyber­kommando gemeinsam mit ukrai­nischen Partnern zwischen Dezember 2021 und März 2022 durchgeführt hat.

Hunt Forward als aktive Gefahrenabwehr

In der Auslegung des US-Cyberkommandos sind HFOs defensive Bemühungen, bei denen interne Schutzteams auf Ersuchen befreundeter Staaten vor Ort Netzwerke auf Schadsoftware durchforsten, um etwaige neue Angriffsmuster frühzeitig zu erken­nen und Sicherheitslücken und Hintertüren zu schließen. Der entscheidende Vorteil der Hunt-Forward-Methode ist nach Ansicht von General Nakasone, dass Bedrohungs­akteure und ihre Werkzeuge schon im Vorfeld aufgedeckt werden können. Bisher hat das US-Cyber­kommando über 47 HFOs mit mindestens 22 Ländern durchgeführt. Partner waren unter anderem mehrere EU-Mitgliedstaaten und Nato-Verbündete, darunter Albanien, Montenegro und Nord­mazedonien. Kurz nach Russlands Invasion der Ukraine im Februar 2022 wurden Teams nach Litauen und später Lettland entsandt. Europäische Partner haben also nicht nur bereits bilateral an HFOs mitgewirkt, son­dern fordern diese eigenständig an.

Für Deutschland und andere EU-Staaten bieten sich dabei grundsätzlich drei von­einander unabhängige Möglichkeiten, um sich zu beteiligen. Der gemeinsame Einsatz in eigenen Netzen erlaubt es, bei der Auf­klärung von Angriffsaktivitäten zu einem Grad auf analyti­sche Fähigkeiten inter­natio­naler Partner zurückzugreifen, der über einen bloßen Informationsaustausch nicht zu erreichen wäre.

In umgekehrter Richtung kann ein solcher Einsatz zur Unterstützung inter­nationaler Partner neue Erkenntnisse über Taktiken und Angriffswerkzeuge liefern, die in Erprobung sind. Dieses Wissen erwei­tert die Möglichkeiten, sich auf Angriffs­versuche und, im Idealfall, auf deren Ver­eitelung vorzubereiten, noch bevor diese Scha­den anrichten können.

Europäische Staaten stellen sich zunehmend die Frage, ob der Aufbau von Fähig­keiten zur Vorausschau ähnliche Programme unter eigener Führung verlangt. Ohne dass die Mitgliedstaaten verpflichtet wären, sich unmittelbar zu beteiligen, ließe sich ein europäisches Projekt aufsetzen mit dem Ziel, eigenständige Fähigkeiten vorzuhalten und für den Bedarfsfall die Einsatzmodalitäten abgeklärt zu haben. Die Ständige Strukturierte Zusammenarbeit (SSZ) der EU bietet einen geeigneten Rahmen, innerhalb dessen die Mitgliedstaaten in HFO investie­ren könnten.

Europäische Reaktionen

Eine strategische Neuausrichtung auf eine aktive Cyberabwehr ist unter den Mitgliedstaaten politisch umstritten. Der Leiter des fran­zösischen Cyberdefense-Kommandos, General Aymeric Bonnemaison, brachte in einer Anhörung der Nationalversammlung im Dezember 2022 entsprechende Vor­behalte zum Ausdruck. Selbst defensive Ein­sätze, die dazu dienen, gegnerische Aktio­nen in verbündeten Netz­werken auszukundschaften, seien aggressiv. Diese Unterstützung vor allem osteuropäischer Länder stelle für diese zwar eine Form der Beruhigung dar, setze aber einen weit­reichenden Eingriff in die betreffenden Netze voraus und erfordere eine starke operative Präsenz. Unabdingbar seien ein begleitendes Engagement der Diplomatie und der Aufbau von Kapazitäten vor Ort. Nach Auf­fassung des französischen Cyber­kommandanten wäre eine europäische Cyber-Eingreifgruppe, die wie die US-amerikanische Hilfsangebote macht, aber durchaus denkbar. Solche Unterstützungsleistungen sollten sich an Länder richten, die längerfristigen Sicherheitsherausforderungen begeg­nen müssen und in denen der Einsatz­zeitraum somit nicht überschaubar ist. Diese Ausgangslage könne einen vor­übergehend tiefgreifenden Zugriff auf sensible Netze verlangen.

Auf niedrigschwelliger Ebene bieten EU Cyber Rapid Response Teams (EU-CRRTs) bereits jetzt Drittstaaten Unterstützung an bei der Beobachtung und Bekämpfung von Cyberbedrohungen. Ein Zusammenschluss von acht Mitgliedstaaten hat im Rahmen der SSZ entsprechende Fähigkeiten auf­gebaut. Die EU-CRRTs, die acht bis zwölf nationale Experten und Expertinnen um­fassen, waren die ersten einsatzfähigen Einheiten im Rahmen der SSZ. Über die Mobilisierung entscheiden allein die am SSZ-Projekt beteiligten Staaten. Obwohl seit 2019 einsatzbereit, wurde ein EU-CRRT zum ersten Mal auf Anfrage der Ukraine im Februar 2022, kurz vor Beginn des russi­schen Angriffskriegs, aktiviert. Nach an­fänglichen Bestrebungen, die Kräfte sowohl vor Ort als auch remote einzusetzen, machte die russische Invasion einen Kurswechsel hin zu einem vollständig virtuellen Support nötig. Die Entsendung einer weiteren Truppe in die Republik Moldau befindet sich in Vorbereitung. Auch hat die EU im Rahmen der Europäischen Friedensfazilität im Dezember 2022 Ausrüstung für ein Cyberlabor an die ukrainischen Streitkräfte geliefert. Das Labor wird als Trainings­umgebung dienen, in der durch Echtzeit­simulationen weitere Fähigkeiten auf­gebaut werden, um Versuche des Eindringens in ukrainische Netzwerke entdecken, nach­vollziehen und abwehren zu können.

Normative Grundlagen fehlen

Die bisherige Staatenpraxis zeigt, dass es durchaus gute Gründe gibt, bei einer Ge­fahrenlage eine aktive Cyberabwehr zu betrei­ben. Die Vereinigten Staaten, das Vereinigte Königreich und Australien haben bereits aktive Abwehrmaßnahmen ergriffen. Diese Akteure müssen im Sinne der Sorgfaltsverantwortung sicherstellen, dass derartige Einsätze angemessen sind, und Rechenschaftspflichten einhalten. Aktive Cyberabwehr setzt zunächst eine Auseinandersetzung mit der Frage voraus, welche Maßnahmen von welchen Akteuren in welchen Partnerschaften sinnvollerweise verfolgt werden sollen. Daneben braucht es Klarheit darüber, in welcher Weise diese Aktionen dazu geeignet sind, zur eigenen Sicherheit und zur Stärkung von Partnern beizutragen. In einem zunehmend un­übersichtlichen strategischen Umfeld der EU sind die normativen Grundlagen einer aktiven Gefahrenabwehr legitimierbar, jedoch mangelt es derzeit mindestens noch in folgenden Punkten an Transparenz:

  • Aktive Abwehrmaßnahmen sollten eng an feste Einsatzprinzipien und eine sorg­fältige Folgen­abschätzung geknüpft werden. Das stellt hohe Anforderungen vor allem an die Einordnung des notwendigerweise vorwärts gerichteten Charakters von defensiven und zugleich disruptiven Aktionen. Ihr Zweck, offensive Operationen zu stören, ist klar von solchen Aktionen mit gezielter Schadens­absicht abzugrenzen. Überlegungen zu den Auswirkungen dürfen sich nicht allein auf die Beeinflussung des gegne­rischen Kalküls beschränken, sondern sollten nachgelagerte Konsequenzen für die globale Stabilität im Cyber- und In­formationsraum mit­einbeziehen. Analog braucht es Evalua­tionsgrundlagen und Metriken, die eine integrierte strategische, operative und taktische Auswertung jenseits der bloßen Anzahl der durch­geführten Operationen oder ihrer unmittelbaren taktischen Effekte ermöglichen.

  • Die Solarium-Kommission hebt hervor, dass die taktische und operative Umsetzung der Defend-Forward-Policy den Einsatz in Netzwerken von Partnern und Verbündeten miteinschließt, wenn dis­ruptive Maßnahmen nur auf diesem Weg ihr Ziel erreichen können. Wie das Beispiel der Löschung von Propagandamaterial des »Islamischen Staats« von einem deutschen Server zeigt, setzen solche grenzüberschreitenden aktiven Cyberabwehreingriffe eine Verständigung voraus. Vor diesem Hintergrund verwies die Kommission darauf, dass entsprechende Aktionen, wann immer möglich, mit der Unterstützung von Ver­bündeten und Partnern durchzuführen seien. Unabhängig von deren Bereitschaft, aktive Cyberabwehrfähigkeiten zu entwickeln, erfordert dies aus US-Perspektive eine enge Koordination mit Alliierten und anderen gleichgesinnten Regierungen. Auf EU-Seite könnte das geplante Cyberabwehr-Koordinations­zentrum (EUCDCC) zukünftig eine Platt­form zur Abstimmung mit internatio­nalen Partnern sein. Dessen Bemühun­gen, ein Lagebild über laufende Cyber­operationen zu erstellen, werden sich zu­nächst auf GSVP-Missionen und -Opera­tionen konzentrieren.

  • Bestehende Formate für die ge­mein­same Nutzung von freiwillig bereitgestellten Cyberfähigkeiten, wie zum Beispiel das SCEPVA-Programm der Nato (Sovereign Cyber Effects Provided Voluntarily by Allies), zeigen, wie schwierig es ist, Ko­operationsvorhaben in diesem Bereich in die Tat umzusetzen. Alle Akteure sind daran interessiert, ihre eigenen Fähig­keiten nicht unbegrenzt offenzulegen. In der Praxis werden Fähigkeiten daher nicht gemeinsam genutzt, sondern auf Ersuchen der Verbündeten eingesetzt. Bei der aktiven Abwehr erweisen sich diese Hindernisse als besonders hoch (da sie kontinuierlich und proaktiv ist). Die aktive Abwehr nimmt Aktivitäten unterhalb der Schwelle eines bewaffneten Angriffs in den Blick und ist daher viel breiter angelegt als das Arbeitsfeld von SCEPVA, das auf Operationen und Mis­sionen des Bündnisses beschränkt ist.

    Diese Dynamik erhöht den Druck, aktive Cyberabwehrmaßnahmen zumindest in Ansätzen zu verfolgen oder andernfalls zu riskieren, ins Hintertreffen zu geraten. Bei der Entwicklung nationaler Fähig­kei­ten stellt sich die Frage, welche Auswirkungen die Verdrängung bösartiger Akti­vitäten aus dem eigenen Einsatzbereich hat, wenn diese nicht zielspezifisch sind (z. B. Ransomware, bestimmte Arten der Wirtschaftsspionage). Solche Verdrängungseffekte bergen die Gefahr, dass sich disruptive Ansätze zu einer »Beggar-thy-Neighbour«-Politik entwickeln, bei der sich Länder, die sich gegen offensive Reaktionen entscheiden, konzentrierten Bedrohungsaktivitäten ausgesetzt sehen. Ein Beispiel dafür ist Australien, dessen Moti­vation für den Aufbau der JSO es war sicherzustellen, dass es sich nicht als weiches Ziel präsentiert.

  • Informationen darüber, wie die neuen Befugnisse ausgeübt werden, sollten ein integraler Bestandteil eines Paradigmenwechsels sein. Die Aufdeckung gegnerischer Aktivitäten und die Unterscheidung zwischen verbündeten Aktionen und feindlichen Operationen sind wichtig, um verantwortungsbewusstes Verhalten und die Einhaltung von Normen zu belegen. Ein gemeinsames stabilisierendes Verständnis von aktiven Cyberabwehrmaßnahmen ist nur dann zu erreichen, wenn Präzedenzfälle die zu unterbindenden offensiven Operationen und ergriffenen Gegenmaßnahmen in eine klare Beziehung zur Normdebatte über staatliches Verhalten im Cyberraum setzen.

  • Die Offenlegung von Angriffsoperationen steht nicht zwangsläufig im Widerspruch zum Schutz von Quellen und Methoden. Im Gegenteil: Transparenz über die Gründe, das Ziel und die erzielte Wirkung einer aktiven Abwehrmaßnah­me kann die Verbindlichkeit von Normen stärken und die handlungsleitende Doktrin stützen. Es mag zwar Fälle von operativen Störungen geben, bei denen die Gegner keine Einmischung von außen vermuten, doch die allgemeine Annahme, dass die Kommunikation über diese Punkte von der Preisgabe nachrichtendienstlicher Mittel abhängt, greift zu kurz.

  • Ähnliche Mechanismen, die das Gebot verantwortungsvoller Transparenz be­kräftigen sollen, gibt es bereits für die proaktive Nutzung von FBI-Befugnissen zur Löschung von Schadsoftware, die in Zielen hinterlegt ist. Die solchen Maßnahmen zugrundeliegende vereidigte Versicherung der Strafverfolgungsbehörde, dass die entsprechenden digitalen Säuberungsaktionen notwendig sind, wird bereits regelmäßig veröffentlicht.

    Ein Anfang April 2023 publik gemachtes Leitdokument der britischen National Cyber Force bewertet aktive Cyberabwehr als Ausdruck einer verantwortungsvollen Ausübung von »Cyber Power«. Das Papier liefert Ansätze, wie disruptive Abwehrmaßnahmen mit der demonstrativen Einhaltung und Stärkung von internatio­nal an­erkannten UN-Normen und mit dem Völkerrecht verknüpft und in Ein­klang gebracht werden können.

    Dazu entwirft das britische Strategie­papier ein Raster operativer Voraussetzungen und benennt Kategorien, um aktive Cyberabwehrmaßnahmen in ihrer Wirkung und am Anspruch zu messen, dass von ihnen ein stabilisierender Einfluss aus­gehen muss. Wie sich die Leitlinien in der Praxis zu einem »verantwortlichen«, »präzisen« und »an­gepassten« Vorgehen fügen sollen, lässt sich allerdings ohne konkrete operative Beispiele nur begrenzt erfassen.

    Das Leitdokument weist in diesem Zu­sammenhang darauf hin, dass Trans­parenz vor der Öffentlichkeit ein wesentlicher Baustein der »Licence to Operate« ist. Begründet wird dies unter anderem mit den zusätzlichen finanziellen Mitteln, die die Londoner Regierung in die Entwicklung von Cyberfähigkeiten inves­tiert hat. Dieser Begründung verantwortungsvoller Transparenz ist vor allem der Sachverhalt der grundsätzlichen Vor­verlagerung der Einsatzmöglichkeiten von Cyberfähigkeiten hinzuzufügen. Diese Erweiterung des Handlungsraums zeichnet sich in Deutschland nicht zu­letzt durch die angestrebte Grund­gesetz­änderung ab, mit der neue Befugnisse erteilt werden sollen, und gewinnt mit Blick auf den Anspruch, entsprechende Fähigkeiten demokratisch abgestützt und verantwortungsvoll einzusetzen, an Gewicht.

Die USA haben in Anklageschriften und in Zusammenarbeit mit europäischen Partnern in Form von Sanktionsmitteilungen die Verantwortlichkeiten der einzelnen Akteure und die zeitliche Abfolge ihrer Aktionen detailliert dargelegt. In der Tat haben die Bemühungen, die Urheberschaft von Cyberangriffen öffentlich zuzurechnen, den Grundstein für die Kostenauferlegung gelegt, auf die sich jede Befürwortung einer aktiven Abwehr stützen müsste. Im Rah­men ihrer jeweiligen Cyberabwehrdoktrin müssen Staaten überlegen, unter welchen Umständen sie Informationen über den Einsatz aktiver Abwehrmaßnahmen ver­öffentlichen können, insbesondere wenn diese Informationen dem Gegner bereits bekannt sind. Solche Daten liefern auch die Grundlage für die Beurteilung, ob aktive Abwehrmaßnahmen ihren erklärten Zweck erfüllen.

Ein Paradigmenwechsel in der strategischen Kultur europäischer Cybersicherheit von einer reaktiven hin zu einer defensiv ausgelegten aktiven Cyberabwehr sollte den oben genannten Anforderungen Rechnung tragen. Die Entwicklung von Tools zur Evaluation derartiger Einsätze, insbesondere solcher, mit denen sich die Risiken einer Konflikteskalation und von Kollateral­schäden bzw. negativen Folgen abschätzen lassen, ist in den Ausgestaltungsprozess neuer Befugnisse von Anfang an mit ein­zubeziehen. Europäische Cybersicherheit muss sich an den eigenen Prinzipien zur Einhaltung von Sorgfaltspflichten messen lassen. Ein Paradigmenwechsel von einer reaktiven hin zu einer aktiven Cyberabwehr ist nur mit demokratischem Rückhalt ver­antwortbar. Dieser ist nur zu bekommen, wenn ein gesellschaftliches Verständnis für das strategische Umfeld vorhanden ist und damit für die Tatsache, dass der Cyberraum inzwischen ein permanent um­kämpftes Konfliktfeld darstellt. Die hierfür notwendigen Informationen können auch durch eine evidenzbasierte Cyberkonflikt- bzw. Friedensforschung generiert und vermittelt werden. Öffentliche Datenerhebungen zur Entwicklung von Cyberbedrohungen und staatlichen Reaktionen darauf, wie sie das Forschungskonsortium European Repository of Cyber Incidents (EuRepoC) betreibt, können einen wichtigen Beitrag dazu leis­ten, dass über Cyberabwehrüberlegungen verantwortungsvoll diskutiert wird und diese demokratisch abgestützt werden.

Dr. Annegret Bendiek ist Stellvertretende Leiterin der Forschungsgruppe EU / Europa.
Jakob Bund ist Wissenschaftler im Projekt »European Repository of Cyber Incidents (EuRepoC)« und Senior Researcher der European Cyber Conflict Research Initiative (ECCRI).

© Stiftung Wissenschaft und Politik, 2023

SWP

Stiftung Wissenschaft und Politik

ISSN (Print) 1611-6364

ISSN (Online) 2747-5018