Weiter Gerangel im Ministerrat um Kompetenzen für Europol
Von Erich Moechel
Am Montag hat der EU-Ministerrat einen Ansatz für eine neue Cybersicherheitsstrategie beschlossen. Ein Netz aus „Security Operation Centers“ quer durch Europa soll ein Frühwarnsystem vor Angriffen bilden, ein neuer „Joint Cyber Unit“ für das Krisenmanagement zuständig sein. Außerdem will man gemeinsam starke Verschlüsselungsmethoden forcieren - aber mit Hintertüren für Strafverfolger.
Ob aus dieser Ansammlung von Schlagworten auch tatsächlich eine EU-weit umgesetzte Strategie wird, steht sehr in Frage. Die laufenden Diskussionen im Ministerrat über die geplanten neuen Befugnisse von Europol geben da wenig Grund zu Optimismus. Wie es derzeit aussieht, wird es für Europol nicht einmal die Befugnis geben, etwa im Fall eines Cyber-Großangriffs selbst transnationale Ermittlungen zu veranlassen.
EU Ministerrat
Keine koordinierende Rolle für Europol
Österreich hat bis jetzt vor allem Einwände gegen geplante neue Befugnisse geäußert, die Ermittlungen im Finanzbereich betreffen.
Sowohl die Ratsschwergewichte Frankreich und Deutschland, aber auch Rumänien, Ungarn oder Tschechien haben sich grundsätzlich dagegen ausgesprochen, dass Europol von sich aus transnationale Ermittlungen in Auftrag geben kann, auch wenn der Tatbestand selbst direkt unter das Mandat von Europol fällt. Das umfasst alle schweren Delikte, die mehr als zwei Mitgliedsstaaten betreffen, was zum Beispiel typisch für die seit Jahren grassierenden Angriffe internationaler Verschlüsselungserpresserbanden ist.
So heißt es etwa in der Eingabe Rumäniens: „Eine Ermächtigung, Ermittlungen anzustoßen, würde die Grenzen des Europol-Mandats überschreiten, weil Europol darin eine koordinierende Rolle hätte.“ Als dezidiertes Unterstützerland konnte in der geleakten Kompilation des Ministerrats bis jetzt nur Spanien ausgemacht werden. „In diesem Sinne sehen wir die Einleitung von Ermittlungen durch Artikel sechs der Europol-Mandats abgedeckt, eine Änderung der Verordnung sei deshalb nicht erforderlich“.
EU-Ministerrat
Anfang März hatte der EuGH die neuen Vorratsdatenpläne von Europol zum Start zurückbeordert.
Hoheitsrechte, technische Expertise
Rumänien hält auch eine Ausweitung der Befugnisse von Europol zur „Bekämpfung von Verbrechen im Zusammenhang mit dem Internet“ insbesondere aber die Koordination der Abwehr von Cyberattacken unangebracht, zumal die im Europol-Mandat nicht enthalten seien. Tschechien kann sich immerhin vorstellen, dass Europol eine solche Koordinationsrolle ausübt, wenngleich nur nach einer Aufforderung durch einen Mitgliedsstaat. Spanien hingegen verweist in Zusammenhang mit „großangelegten Cybervorfällen“ auf eine Empfehlung der EU-Kommission von 2017 und schlägt vor, beim Auftreten von „ein Vorfall von derart hoher technischer oder politischer Signifikanz“, das als Krisensituation zu betrachten, „die eine zeitnahe Koordination und Gegenmaßnahmen auf Unionsebene verlangt.“
Wie aus den Wortmeldungen Spaniens unschwer abzulesen ist, verfügt diese Delegation offenbar über genügend technische Expertise, um die Sachverhalte und vor allem die Erfordernisse im Cyberraum realistisch einzuschätzen. Von den anderen bekannten Länderpositionen lässt sich das beim besten Willen nicht behaupten, denn da regiert das Beharren auf eigenen Hoheitsrechten, auch wenn die Ausübung derselben im Falle eines konzertierten Cyberangriffs einfach illusorisch ist.
EU-Ministerrat
„Cyber-Intelligence auf freiwilliger Basis“
„Auch wenn die nationale Sicherheit in die alleinige Zuständigkeit jedes Mitgliedѕstaats“ falle, sei eine strategische Zusammenarbeit im Bereich „Intelligence“ unerlässlich Rahmen der gemeinsamen Strategie, so heißt es in der am Montag verabschiedeten Erklärung des Ministerrats. Die Mitgliedsstaaten seien daher eingeladen, über ihre dafür zuständigen Behörden zur INTCEN-Arbeitsgruppe beizutragen. Dort geht es Lagebilder und Bedrohungsanalysen, welche nationalen Dienste zur „Nachrichtenaufklärung“ welche und wieviele Informationen einwerfen, ist nicht näher bekannt. Besonders zufriedensstellend dürfte das nicht sein, denn der Rat erwägt auch, „einen Vorschlag für die mögliche Einrichtung einer Arbeitsgruppe der Mitgliedsstaaten für Cyber-Intelligence auszuloten.“ Das alles „auf freiwilliger Basis und ohne auf die Zuständigkeit der Mitglіedsstaaten Einfluss auszuüben.“
Das liest sich ungefähr so überzeugend, wie die unter der deutschen Ratspräsidentschaft formulierte Position des Rats zur Sicherheit von Verschlüsselung, die mittlerweile als Mantra in jedem zweiten Ratsbeschluss zu Sicherheitsfragen enthalten ist: „Sicherheit durch Verschlüsselung, Sicherheit trotz Verschlüsselung.“ Übersetzt heißt das: „Ende-zu-Ende-Verschlüsselung, die keine Ende-zu-Ende-Verschlüsselung ist“.
Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Publiziert am 24.03.2021