Ob Finanzkrise, Migration oder Corona — das vergangene Jahrzehnt hat gezeigt, dass Deutschland seine internationalen Ziele ohne die EU kaum umsetzen kann. Dieser Fakt wird in der am 8. September verabschiedeten deutschen Cybersicherheitsstrategie kaum beachtet. Die Positionierung Deutschlands in der europäischen und internationalen Cybersicherheitspolitik wird als letztes von vier priorisierten Handlungsfeldern angeführt. Ein Großteil der Handlungsfelder ist innenpolitischer Natur. Das gilt auch für den deutschen Diskurs zum Thema IT-Sicherheit: Vertreterinnen und Vertreter der digitalen Zivilgesellschaft, der Verband der Internetwirtschaft (eco) sowie einige Informatikprofessorinnen und Informatikprofessoren kritisieren zwar den geplanten Aufbau einer aktiven Cyberverteidigung — inklusive der Möglichkeit zu digitalen Gegenschlägen, sogenannter Hackbacks.* Sie diskutieren jedoch vorrangig innenpolitische föderale Kompetenzen oder grundrechtliche Fragen wie das Trennungsgebot. Dabei gibt es vier Gründe, warum die EU viel mehr berücksichtigt werden müsste, damit die Strategie aufgeht.
Europäische Imperative
Erstens steigt die Zahl schwerwiegender Cybersicherheitsvorfälle, die EU- Dienstleistungen in ihrer Daseinsvorsorge beeinträchtigen, weiter an. Diplomatisches Vorgehen, Reisebeschränkungen und Kontensperrungen etwa von russischen Geheimdienstmitarbeitern, die für Cyberangriffe verantwortlich gemacht werden, haben sich hier in der Vergangenheit als schwerfällig, inkohärent und ineffektiv erwiesen. Eine rein nationale Perspektive führt dazu, dass die EU-Mitgliedstaaten nicht einheitlich auf Cybervorfälle reagieren.
Zweitens ist die EU nicht nur Handlungsrahmen deutscher Politik, sondern über die Direktwirkung europäischen Rechts untrennbar mit ihr verschränkt. Mit dem Urteil zur Vorratsdatenspeicherung des Europäischen Gerichtshofs 2014 sind nicht nur Anforderungen an den Datenschutz formuliert worden, sondern auch zur Datensicherheit. Genauso ist das Cybersicherheitsgesetz der EU von 2019 eine Verordnung und verpflichtet damit alle Mitgliedstaaten, sie umzusetzen. Die Bedeutung des EU-Rechts und der Rechtsprechung des Europäischen Gerichtshofs (EuGH) wird in der deutschen Cybersicherheitsstrategie jedoch unterschätzt. Dabei sind sie zentrale Referenzpunkte für die deutsche Gesetzgebung. Auf der anderen Seite kann Deutschland ohne die EU weder Cybersanktionen gegen Drittstaaten noch deren sogenannte Proxys erlassen.
Drittens kann die Bundesregierung die EU nicht auf eine koordinierende Rolle reduzieren — schon allein weil der Binnenmarktschutz ohne die Kommission als supranationales Organ nicht denkbar ist. Die Sicherheit und Stabilität der Union ist nicht allein Aufgabe der Mitgliedstaaten. So wird die EU-Kommission bis 2023 eine gemeinsame Cybereinheit aufbauen, um gemeinsam gegen Angreifer vorzugehen. Ein Teil der erforderlichen Investitionen soll über das Programm »Digitales Europa« bereitgestellt werden. Die Entwicklung der Cyberabwehrfähigkeiten wird aus dem Europäischen Verteidigungsfonds (EDF) finanziert. In ihrer Rede zur Lage der Europäischen Union kündigte EU-Präsidentin Ursula von der Leyen am Mittwoch auch ein Gesetz zur Cyber-Widerstandsfähigkeit, Cyber Resilience Act (CRA), an, der gemeinsame Standards definieren soll.
Viertens lässt sich länderübergreifende Cyberkriminalität rein national nicht effektiv aufklären. Europol und dem Europäischen Zentrum zur Bekämpfung der Cyberkriminalität (EC3) wird gerade aufgrund ihrer länderübergreifenden Ermittlungserfolge von anderen Staaten eine Vorbildfunktion in der internationalen Cyberkriminalitätsbekämpfung zugesprochen. Der Ruf nach einer europäischen Ermittlungsbehörde nach Vorbild des FBI wird daher in der Cybersicherheitspolitik immer lauter.
Insgesamt wird hier deutlich, dass Cybersicherheit in der EU keine nationale Angelegenheit mehr ist, sondern als Bestandteil seiner geteilten Souveränität verstanden werden muss.
Deutschland im globalen Kontext
Die notwendige Einbindung in die deutsche Cybersicherheitsstrategie beschränkt sich allerdings nicht nur auf die EU; sie muss auch mit einer starken transatlantischen Kooperation zwischen der EU und den USA verkoppelt sein. Viel zu oft wird transatlantische Zusammenarbeit über die nationale bilaterale Zusammenarbeit gedacht. Hierfür spricht zuerst einmal, dass die Bündnissolidarität die Bundesregierung verpflichtet, eine aktive Cyberabwehr auch in Friedenszeiten vorzuhalten. Eine anspruchsvolle technische, rechtliche und politische Attribution kann aber weder ohne den Europäischen Auswärtigen Dienst koordiniert noch ohne US-amerikanische Kooperation realisiert werden. Dafür muss Deutschland wiederum in enger Abstimmung mit seinen EU-Partnern wie Frankreich, die Niederlande, Dänemark oder Schweden handeln. Einen Alleingang Deutschlands in der Cyberabwehr schließt schon seine transnational angelegte kritische Infrastruktur faktisch aus, auch weil die Expertise für anspruchsvolle technische Lösungen in Deutschland nicht im ausreichenden Maße vorhanden ist.
Eine überzeugende Sicherheitsstrategie bedarf daher der engen Zusammenarbeit mit internationalen Expertinnen und Experten sowie der auf EU-Ebene über Europol in Abstimmung mit den Cybersecurity Research Center und der Agentur der Europäischen Union für Cybersicherheit (ENISA) vermittelten Kenntnisse. Auch die nachhaltige Einwirkung auf globale Standard- und Normensetzung in den Multistakeholder-Foren der Internet Governance kann nur dann langfristig erfolgreich sein, wenn sich die demokratischen Staaten koordinieren. Angesicht einer immer komplexeren Globalpolitik sollte die neue Bundesregierung die Cybersicherheitsstrategie zeitnah europäisieren, so dass sie sich als Teil der EU-Cyberstrategie 2020 versteht und, im globalen Kontext, der Zusammenarbeit mit seinen demokratischen Bündnispartnern dient.
*Dr. Matthias Schulze war Teil dieser Initiative.
