Neue Cyberwar-Strategie der EU ganz ohne die USA

Die neue EU-Doktrin, die diese Woche vom Ministerrat erstmals vorgestellt wurde, ist rein defensiv ausgerichtet und zielt auf „strategische Autonomie Europas“ bei der Abwehr von Cyberangriffen. Die NATO wird darin nur nebenbei erwähnt, die USA gar nicht.

von Erich Möchel

Am Dienstag hat der EU-Ministerrat für mehr „Abwehrfähigkeit, Abschreckung und Abwehr“ gestimmt, „um die Cybersicherheit in der EU wirksam zu erhöhen“. Die EU-Cyberabwehrstrategie von 2014 müsse nun aktualisiert und zügig vorangetrieben werden, heißt es im Beschluss. Der damalige Strategieansatz, eine erste Reaktion Europas auf die NSA-Enthüllungen Edward Snowdens, war aber bald danach liegen geblieben. Im nun aktualisierten Ansatz wird die NATO zum Schluss gerade noch erwähnt, die USA kommen überhaupt nicht mehr vor.

Erklärtes Ziel des Ministerrats ist nämlich „die strategische Autonomie Europas“ bei der Abwehr von Cyberattacken aus Drittstaaten. Dazu wurde ein Aktionsplan zur schnellen Umsetzung beschlossen, der noch heuer verabschiedet werden soll. Hauptgrund für die Eile ist die explosive Zunahme staatlich gelenkter Cyberattacken der letzten Monate gegen Ziele in den USA. Seit der Präsidentschaft Donald Trumps werden die USA von EU-Europa als nicht mehr paktfähig angesehen, was die kommenden Jahre betrifft.

Neuer EU-Kurs, Absturz eines Mythos

Der Ratsbeschluss ist eine völlige Abkehr vom bisherigen EU-Kurs, der in Bezug auf die Verteidigungspolitik ziemlich kritiklos transatlantisch ausgerichtet war. Auch in der digitalen Domäne waren Maßnahmen der USA in Europa jahrelang unhinterfragt kopiert worden, weil die USA hier ebenso als Vorreiter galten, wie im konventionellen militärischen Bereich. Die Serien von Großeinbrüchen von Akteuren aus unfreundlichen Drittsstaaten in amerikanische Firmen und Behörden und die offenbare Hilflosigkeit der US-Geheimdienste dagegen haben den Mythos ihrer strategischen Überlegenheit im sogenannten Cyberraum untergraben.

Als 2016 je ein riesiges Arsenal von NSA und CIA an Spionage- und anderer Schadsoftware gestohlen und diese Angriffswaffen samt Steuerungsysteme und Bedienungsanleitungen im Laufe eines Jahres veröffentlicht wurden, hat sich dieser Mythos von der US-Lufthoheit über den Cyberraum dann erledigt. Warum das so kam wie es eigentlich kommen musste, wird weiter unten ausgeführt.

„Böswillige Cyberaktivitäten“

So heißt gleich einleitend in Rezital 5, es seien „weitere Anstrengungen zu unternehmen, um die Einhaltung des Völkerrechts im Cyberraum sicherzustellen“. Im nächsten Rezital ist von „einem Rahmen für eine gemeinsame diplomatische Reaktion der EU auf böswillige Cyberaktivitäten“ die Rede. Es geht also ganz klar um staatliche Angriffe, während bei früheren EU-Beschlüssen zur Sicherung des Cyberraums stets Cyberkriminalität an die erste Stelle geschoben wurden, so wird sie im neuen Ansatz nur noch nachrangig erwähnt.

Folgerichtig beziehen sich Abschnitte über Informationsaustausch zur Stärkung der operativen Zusammenarbeit nur auf die EU-Mitgliedstaaten und zwar unter Berücksichtigung des Austritts Großbritanniens. Einer der aggressivsten Militärgeheimdienste weltweit, das britische GCHQ, wird ja in Kürze der Geheimdienst eines Drittstaats sein. Wie die Enthüllungen Edward Snowdens zeigten, hatte das GCHQ bereits während der EU-Mitgliedschaft Englands Institutionen, Telekoms und andere Firmen im EU-Raum nach Belieben angegriffen.In allen diesen Fällen hat das britische GCHQ als verlängerter Arm der NSA agiert.

„Strategische Cybersicherheitsübungen“

In diesem Ratsbeschluss ist auch bereits ein Ansatz für den kommenden EU-Aktionsplan enthalten. In Rezital 19 rufen die Mitgliedsstaaten einander gegenseitig dazu auf, „regelmäßig strategische Cybersicherheitsübungen in verschiedenen Ratsformationen durchzuführen und dabei auf den Erfahrungen aufzubauen, die bei der Übung EU CYBRID 2017 gemacht wurden.“ Diese Übung unter der Ägide der noch wenig bekannten EU Defense Agency auf höchster Ebene - es waren alle EU-Verteidigungsminister beteiligt - fand erst am 7. September in Talinn statt.

Wie der Codename schon sagt war es eine hybride Übung, das Szenario war ein konzertierter Cyberangriff auf einen EU-Mitgliedsstaat kombiniert mit militärischen Aktionen gegen die Verteidigungsstrukturen von EU-Staaten. Auch wenn es offiziell eine Übung mit fiktiven Gegnern war, so macht allein das Setting der Übung in Estland klar, dass hier sehr wohl ein konkreter Gegner gemeint war, nämlich Russland, mit dessen Führung der Präsident des ehemals engsten EU-Verbündeten ganz offen sympathisiert.

Sicherheitslücken, Cybertruppen, Strafverfolger

Wie aber passen die permanenten Forderungen zum Zugang von verschlüsselter Information für europäische Strafverfolger im selben EU-Ministerrat zu dieser neuen Strategie? In Rezital 42 wіrd zwar „die Arbeit der EU und ihrer Mitgliedstaaten bei der Bewältigung der Herausforderungen durch Systeme, die Kriminellen und Terroristen die Kommunikation ohne Zugriffsmöglichkeiten für die zuständigen Behörden ermöglichen“ begrüßt. Im nächsten Satz wird allerdings betont, „dass eine starke und zuverlässige Verschlüsselung von großer Bedeutung für die Cybersicherheit, das Vertrauen in den digitalen Binnenmarkt und die Gewährleistung der Achtung der Menschenrechte und Grundfreiheiten ist“.

Bereits in Rezital 27, also in den Prioritäten deutlich vorrangig, wird die Offenlegung von Sicherheitslücken durcht zivile Sicherheitsforscher entsprechend gewürdigt und die Mitgliedsstaaten aufgefordert, Informationsstrukturen zur koordinierten Offenlegung dieser Sicherheitslücken aufzubauen. Für überwachungswütige, europäische Innen- und Justizminister sind das keine guten Nachrichten, zumal in vielen Ländern der Einsatz von Trojaner-Schadsoftware durch die Strafverfolger geplant ist. Diese Polizeitrojaner setzen auf den nämlichen Sicherheitslücken auf, über die staatliche Cybertruppen die Netzwerke der Zivilgesellschaft attackieren.

„America first?“ - „Europe first“

Dieser Ratsbeschluss nimmt also die Forderungen der Strafverfolger als berechtigt zur Kenntnis, reiht sie unter den Prioritäten in der zweiten Reihe an. Damit sind wohl die Forderungen vor allem Frankreichs nach generellen Hintertüren in Verschlüsselungsprogrammen für Strafverfolger endgültig vom Tisch.Mit diesem überraschend klaren und eindeutigen Strategiepapier hat der Ministerrat eine neue Linie unterstrichen, die sich bereits in der Handelspolitik abgezeichnet hatte.

Dass die neue US-Administration unter Donald Trump binnen kürzester Zeit mit TPP, TTIP und NAFTA die drei weltweit größten Freihandelsabkommen in die Luft gejagt hat, wurde in der eng verbündeten Wirtschaftsunion EU - wie sich zeigte - mit einem Strategiewechsel in der internationalen Wirtschaftspolitik beantwortet. Dasselbe zeichnet sich nun im Cyberraum ab, den die Militärs gern als ihre „fünfte Domäne“ bezeichnen, obwohl diese militärische Domäne in den Kommunikations- und Informationsnetzen der Zivilgesellschaften angesiedelt ist.

Mehr zu diesem Thema

Der Ratsbeschluss im Volltext sowie die Übung CYBRID 2017 im September