Weiter Gerangel im Ministerrat um Kompetenzen für Europol
Von Erich Moechel
Am Montag hat der EU-Ministerrat einen Ansatz für eine neue Cybersicherheitsstrategie beschlossen. Ein Netz aus „Security Operation Centers“ quer durch Europa soll ein Frühwarnsystem vor Angriffen bilden, ein neuer „Joint Cyber Unit“ für das Krisenmanagement zuständig sein. Außerdem will man gemeinsam starke Verschlüsselungsmethoden forcieren - aber mit Hintertüren für Strafverfolger.
Ob aus dieser Ansammlung von Schlagworten auch tatsächlich eine EU-weit umgesetzte Strategie wird, steht sehr in Frage. Die laufenden Diskussionen im Ministerrat über die geplanten neuen Befugnisse von Europol geben da wenig Grund zu Optimismus. Wie es derzeit aussieht, wird es für Europol nicht einmal die Befugnis geben, etwa im Fall eines Cyber-Großangriffs selbst transnationale Ermittlungen zu veranlassen.
EU Ministerrat
Dieser Entwurf wurde vom Ministerrat am Montag unter dem Titel Schlussfolgerungen der EU-Cybersicherheitstrategie für die Digitale Dekade verabschiedet.
Keine koordinierende Rolle für Europol
Österreich hat bis jetzt vor allem Einwände gegen geplante neue Befugnisse geäußert, die Ermittlungen im Finanzbereich betreffen.
Sowohl die Ratsschwergewichte Frankreich und Deutschland, aber auch Rumänien, Ungarn oder Tschechien haben sich grundsätzlich dagegen ausgesprochen, dass Europol von sich aus transnationale Ermittlungen in Auftrag geben kann, auch wenn der Tatbestand selbst direkt unter das Mandat von Europol fällt. Das umfasst alle schweren Delikte, die mehr als zwei Mitgliedsstaaten betreffen, was zum Beispiel typisch für die seit Jahren grassierenden Angriffe internationaler Verschlüsselungserpresserbanden ist.
So heißt es etwa in der Eingabe Rumäniens: „Eine Ermächtigung, Ermittlungen anzustoßen, würde die Grenzen des Europol-Mandats überschreiten, weil Europol darin eine koordinierende Rolle hätte.“ Als dezidiertes Unterstützerland konnte in der geleakten Kompilation des Ministerrats bis jetzt nur Spanien ausgemacht werden. „In diesem Sinne sehen wir die Einleitung von Ermittlungen durch Artikel sechs der Europol-Mandats abgedeckt, eine Änderung der Verordnung sei deshalb nicht erforderlich“.
EU-Ministerrat
Die ungarische Position war so zwar zu erwarten gewesen, denn Ungarn ist bekanntlich ein jedes bisschen mehr Europa stets zu viel. Dass aber Deutschland und Frankreich im Rat dieselbe Position einnehmen, war weniger erwartet worden. Diese wie die Passage im Screenshot weiter unten stammen aus einem geleakten Konvolut, das alle einzelnen Stellungnahmen der Mitgliedsstaaten auflistet. Die Stellungnahmen beziehen sich auf den Kommissionsentwurf vom Dezember 2020. Der Kommissionsentwurf wiederum listet nur die geplanten Neuregelungen auf, der Kontext aber fehlt, daher muss noch ein drittes Dokument zum Vergleich herangezogen werden, nämlich die Europol-Verordnung von Rat und Parlament von 2016.
Anfang März hatte der EuGH die neuen Vorratsdatenpläne von Europol zum Start zurückbeordert.
Hoheitsrechte, technische Expertise
Rumänien hält auch eine Ausweitung der Befugnisse von Europol zur „Bekämpfung von Verbrechen im Zusammenhang mit dem Internet“ insbesondere aber die Koordination der Abwehr von Cyberattacken unangebracht, zumal die im Europol-Mandat nicht enthalten seien. Tschechien kann sich immerhin vorstellen, dass Europol eine solche Koordinationsrolle ausübt, wenngleich nur nach einer Aufforderung durch einen Mitgliedsstaat. Spanien hingegen verweist in Zusammenhang mit „großangelegten Cybervorfällen“ auf eine Empfehlung der EU-Kommission von 2017 und schlägt vor, beim Auftreten von „ein Vorfall von derart hoher technischer oder politischer Signifikanz“, das als Krisensituation zu betrachten, „die eine zeitnahe Koordination und Gegenmaßnahmen auf Unionsebene verlangt.“
Wie aus den Wortmeldungen Spaniens unschwer abzulesen ist, verfügt diese Delegation offenbar über genügend technische Expertise, um die Sachverhalte und vor allem die Erfordernisse im Cyberraum realistisch einzuschätzen. Von den anderen bekannten Länderpositionen lässt sich das beim besten Willen nicht behaupten, denn da regiert das Beharren auf eigenen Hoheitsrechten, auch wenn die Ausübung derselben im Falle eines konzertierten Cyberangriffs einfach illusorisch ist.
EU-Ministerrat
Auch in Tschechien dürfte erkannt worden sein, dass bei Cyberangriffen eine Koordination auf Unionsebene erforderlich ist. In besseren Zeiten hätte dieser ebenso bauernschlaue wie charmante Kompromiss auch von Österreich kommen können: Nach strikter Auslegung des Mandats steht Europol zwar de lege keine Koordinatorenrolle zu. Außer es gibt einen (einzigen) Mitgliedsstaat, der sagt, dass er das wünscht.
„Cyber-Intelligence auf freiwilliger Basis“
„Auch wenn die nationale Sicherheit in die alleinige Zuständigkeit jedes Mitgliedѕstaats“ falle, sei eine strategische Zusammenarbeit im Bereich „Intelligence“ unerlässlich Rahmen der gemeinsamen Strategie, so heißt es in der am Montag verabschiedeten Erklärung des Ministerrats. Die Mitgliedsstaaten seien daher eingeladen, über ihre dafür zuständigen Behörden zur INTCEN-Arbeitsgruppe beizutragen. Dort geht es Lagebilder und Bedrohungsanalysen, welche nationalen Dienste zur „Nachrichtenaufklärung“ welche und wieviele Informationen einwerfen, ist nicht näher bekannt. Besonders zufriedensstellend dürfte das nicht sein, denn der Rat erwägt auch, „einen Vorschlag für die mögliche Einrichtung einer Arbeitsgruppe der Mitgliedsstaaten für Cyber-Intelligence auszuloten.“ Das alles „auf freiwilliger Basis und ohne auf die Zuständigkeit der Mitglіedsstaaten Einfluss auszuüben.“
Das liest sich ungefähr so überzeugend, wie die unter der deutschen Ratspräsidentschaft formulierte Position des Rats zur Sicherheit von Verschlüsselung, die mittlerweile als Mantra in jedem zweiten Ratsbeschluss zu Sicherheitsfragen enthalten ist: „Sicherheit durch Verschlüsselung, Sicherheit trotz Verschlüsselung.“ Übersetzt heißt das: „Ende-zu-Ende-Verschlüsselung, die keine Ende-zu-Ende-Verschlüsselung ist“.
Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Publiziert am 24.03.2021
