Ein Großaufgebot von vier Kommissarinnen und Kommissaren erschien am Donnerstag im Presseraum des Berlaymont-Gebäudes, um über die Sicherheit der Europäischen Union in Zeiten des Ukraine-Kriegs zu reden. Es ging um die Abwehr von Cyberattacken sowie die schnellere Verlegung von Truppen innerhalb der EU. So ein Auftrieb an Personal ist häufig ein gutes Mittel, um eigene Machtlosigkeit oder Tatenlosigkeit zu übertünchen. In der Tat hat die EU wenig zu sagen bei diesen Themen – sie fallen in die Zuständigkeit der Mitgliedstaaten. Und es wirkte auch wenig vertrauenerweckend, als Margarete Vestager, die Vizepräsidentin der Kommission, erklärte, Wladimir Putins Angriffskrieg sei ein “Weckruf” für die EU gewesen. Hatte die EU wirklich geschlafen bis zum 24. Februar 2022?
Vestager sah sich später genötigt, ihre Bemerkung zu relativieren: Es gehe darum, noch mehr zu tun als bislang, vor allem: gemeinsam zu tun. Die Kommission kann nur Aktionspläne erstellen und Empfehlungen aussprechen und muss dann darauf hoffen, dass die 27 Mitgliedstaaten auch wirklich mitziehen. In diesem Sinne stellte Vestager gemeinsam mit dem Außenbeauftragten Josep Borrell, dem Binnenmarkt-Kommissar Thierry Breton sowie der für Verkehr zuständigen Kommissarin Adina Vălean zwei Projekte vor, die in Zusammenarbeit mit der Nato Lehren aus dem Ukraine-Krieg ziehen sollen.
Die EU will, erstens, prüfen, wie Soldatinnen und Soldaten samt Waffen und sonstiger Ausrüstung in Europa schneller und sicherer an ihren Einsatzort gelangen können. “Vor allem natürlich von West nach Ost”, gab Borrell die Richtung vor. Straßen, Tunnel und Gleise sollen ausgebaut werden, Lücken im Bereich des Luft- und Seetransports sind zu schließen. Auch die sichere Versorgung mit Treibstoff ist ein großes Thema.
Durch einen Angriff fiel die Kommunikation mit deutschen Windrädern aus
Und zweitens soll die EU gemeinsame Strategien für die Abwehr von Cyberattacken entwickeln. Josep Borrell erinnerte daran, dass Russland Angriff auf die Ukraine eingeleitet wurde mit einer Cyberattacke auf ein von dem US-Unternehmen Viacom betriebenes Satellitennetzwerk. Der Angriff hatte zur Folge, dass ukrainisches Militär und ukrainische Polizei in ihrer Kommunikation gelähmt waren, weil sie kein Internet mehr hatten – wie nebenbei auch einige Tausend deutsche Windkraftanlagen. So verschwimmen die Grenzen zwischen Angriffen auf militärische und zivile Infrastruktur.
“Der Cyberkrieg ist Teil der modernen Kriegsführung geworden”, sagte Borrell, darauf müsse sich Europa einstellen. Um militärische und zivile Kompetenz zu bündeln, soll es demnächst ein europäisches Koordinationszentrum für Cyberverteidigung geben. Gezielt soll Personal für den Cyberkrieg geschult werden – was dieses Personal können muss, darüber ließen sich die Kommissare in Nuancen durchaus unterschiedlich aus. Europa müsse Angriffe verhindern, entdecken und abwehren (“prevent, detect, deter”) können, sagte Josep Borrell. Kommissar Breton sagte dagegen, Europa müsse die Fähigkeit besitzen, seinerseits auch anzugreifen zu können. Das ist aus deutscher Sicht ein durchaus heikler Punkt.
Im Aktionsplan der EU steht, die europäischen Staaten sollten über das volle Spektrum von Fähigkeit zur Cyberverteidigung von Fähigkeiten verfügen, einschließlich der “Fähigkeit zur aktiven Verteidigung”. Das klingt danach, als befürworte die EU auch sogenannte “Hackbacks”. Diese lehnte das Ampel-Bündnis in Berlin im Koalitionsvertrag “als Mittel der Cyberabwehr grundsätzlich ab”.
An der grundlegenden Haltung hat sich nichts geändert, wenn damit etwa Gegenangriffe auf die IT-Infrastruktur eines Angreifers gemeint sind. Allerdings heißt es in Regierungskreisen in Berlin, Interventionen in fremden Netzen seien im Rahmen der völkerrechtlichen Bestimmungen in engen Grenzen nicht ausgeschlossen, um etwa einen unmittelbar bevorstehenden Angriff abzuwenden. Grundsätzlich können Cyberattacken nach überwiegender Auffassung von Völkerrechtlern die Schwelle eine bewaffneten Angriffs erreichen, der Staaten zur Selbstverteidigung berechtigt.
Baerbock beklagt Kompetenzwirrwarr bei der Gefahrenabwehr
In Deutschland arbeitet die Bundesregierung im Zuge der Erstellung der Nationalen Sicherheitsstrategie auch an Elementen, um die Cyberabwehr zu stärken; die Federführung liegt, wie im Koalitionsvertrag festgeschrieben, beim Auswärtige Amt. Bundesaußenministerin Annalena Baerbock (Grüne) will erreichen, dass der Bund eine Zuständigkeit und Kompetenz für die Gefahrenabwehr im zivilen Bereich erhält, die derzeit bei den Ländern liegt. Dafür müsse nötigenfalls das Grundgesetz geändert werden, sagte sie in einer Grundsatzrede Ende September im Hasso-Plattner-Institut in Potsdam.
Es gebe “zu viele unterschiedliche Verfahren und Institutionen in unseren verschiedenen Bundesländern und Städten”. Das müsse sich ändern. “Wenn wir wirksamer agieren wollen, müssen wir die Verantwortlichkeiten für die Cyberabwehr klar zuweisen, auch unterhalb der Schwelle militärischer Angriffe”, forderte sie. Um Cyberangriffe frühzeitig abzuwenden, brauche Deutschland ein starkes Nationales Cyber-Abwehrzentrum.
Derzeit sind die Zuständigkeiten zersplittert, was auch durch die in Deutschland verfassungsrechtlich bedingte strikte Trennung zwischen Militär, Nachrichtendiensten, Polizeibehörden und weiteren zivilen Regierungsinstitutionen, wie dem Bundesamt für die Sicherheit in der Informationstechnik (BSI), vorgezeichnet ist. Dazu kommt, dass in der Privatwirtschaft, sofern nicht kritische Infrastrukturen davon betroffen sind, die jeweiligen Unternehmen für die Sicherung ihrer Netze verantwortlich sind. Es muss sich also in den kommenden Wochen zeigen, welche der EU-Empfehlungen die Bundesregierung umsetzen will.