“Wer sind Sie? Wie sind Sie in unsere Besprechung gekommen? General, was sollen wir tun? General, Sie haben Recht: Wir müssen in Datenschutz investieren.” So reagierte Josep Borrell, Hoher Vertreter der Europäischen Union für Außen- und Sicherheitspolitik, als im vergangenen Jahr eine geheime Videokonferenz der EU-Verteidigungsminister gehackt wurde . Der niederländische Verteidigungsminister hatte zuvor versehentlich ein Bild auf Twitter geteilt, in dem man den Zugangscode für das Meeting erkennen konnte. Ein Landsmann von ihm, Journalist von Beruf, bemerkte das Versehen und schaltete sich bei der geheimen Besprechung zu – die EU-Institution war brüskiert.

Abgesehen von den chaotischen Umständen dieser Datenpanne zeigte der Vorfall die andauernden Schwierigkeiten der EU beim Thema Cybersicherheit auf: In einem Club von 27 Ländern, deren vertrauliche Meetings und Gespräche eigentlich persönlich stattfinden müssten, aufgrund der logistischen Probleme nun aber online abgehalten werden, lässt sich kaum verhindern, dass die eine oder andere Tür für Unbefugte geöffnet bleibt. In einer vernetzten Welt wie der unseren ist es dieses enorme Risiko, das die EU dazu gezwungen hat, sich gegen digitale Angriffe aller Art zu rüsten, wann und wo auch immer sie auftreten.

Die Bedrohung mag unhörbar sein, unsichtbar ist sie nicht. Die Europäische Agentur für Cybersicherheit (ENISA) hat 2020 erfolgreich 304 böswillige Angriffe gegen „kritische Bereiche“ identifiziert, mehr als doppelt so viele wie im Jahr 2019. Viele von ihnen waren gegen Krankenhäuser und Gesundheitsdienste gerichtet, Einrichtungen, die während der Pandemie sehr wertvolle Informationen zur Entwicklung von Covid und zu Impfprojekten in ihrem Besitz hatten. 

Die Ziele dieser Hackerangriffe können vielfältig sein, vom Datendiebstahl bis hin zur Lahmlegung zentraler Infrastruktur, mit oftmals verheerenden Folgen für das Land, auf das der Angriff abzielt. Eines der spektakulärsten Beispiele der jüngeren Geschichte ist die 

Attacke auf die Colonial-Pipeline , das größte Ölpipelinesystem der USA, im Mai 2021. Der von einer apolitischen Gruppe professioneller Hacker namens Darkside durchgeführte Angriff zwang die Betreiber zur Unterbrechung des Pipeline-Betriebs, was zu Kraftstoffknappheit an der ganzen Ostküste der USA führte und das Ölunternehmen die Summe von 75 Bitcoins (umgerechnet 3,8 Mio. Euro) kostete, die sie an die Hackergruppe als Lösegeld zahlen musste.

Zum Glück für die EU-Bürger verfügt die EU über einen Plan, so dass die gehackte Sitzung der Verteidigungsminister zwar eine amüsante Anekdote, aber keine Cyberattacke darstellte, in der die gesamte Sicherheit der Europäischen Gemeinschaft auf dem Spiel stand. Im Dezember 2020 legte die Europäische Kommission eine neue Cybersicherheits-Strategie und einen Vorschlag vor, die Richtlinie für Maßnahmen zur Erhöhung der Cybersicherheit in Gemeinschaften in der EU zu verstärken (Richtlinie NIS2) .

Ein neues Wettrüsten

Seit 2013 rüstet sich die Europäische Union gegen digitale Angriffe. In den letzten Jahren hat sie verschiedene Initiativen gestartet, eine gemeinschaftliche Abwehr- und Sicherheitsstrategie voranzubringen.

Prominente Maßnahmen sind in diesem Zusammenhang die gemeinsame „Cyber Diplomacy Toolbox“ sowie ein gemeinsamer EU-Politikrahmen für die Cyberabwehr , die beide 2018 verabschiedet wurden und die Koordination zwischen Mitgliedsstaaten verbessern sollen, das Gesetz zur Cybersicherheit (2019), welches das Mandat der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) verlängerte und ihren Namen in Agentur der Europäischen Union für Cybersicherheit änderte und das EU-Instrumentarium für 5G-Sicherheit , ebenfalls 2019 verabschiedet. 

In unser hypervernetzten Welt, in der hybride Bedrohungen immer ausgefeilter werden und Staaten wetteifern, Technologien zum Schutz ihrer Systeme auszuarbeiten, wird die Gefahr, im Cyberrennen abgehängt zu werden, allerdings ständig größer. In diesem Aspekt ähnelt das Cybersicherheitsrennen dem Wettrüsten im Kalten Krieg, als die Vereinigten Staaten, die Sowjetunion und ihre Verbündeten sich durch die Entwicklung von Atomwaffen einen stillen Krieg lieferten. Genau wie heute wurde jeder Vorsprung eifersüchtig gehütet und die technische Entwicklung zwang jede Seite dazu, immer rascher zu agieren. 

Deshalb überarbeitet die Europäische Union ihre Cybersicherheits-Strategie kontinuierlich und bemüht sich, Cyberkriminellen stets einen Schritt voraus zu sein. So wurde die 2013 verabschiedete Richtlinie 2017 und abermals im Dezember 2020 überarbeitet. 

Dennoch stellt die jüngste Version einen Paradigmenwechsel dar: Den europäischen Institutionen und Mitgliedstaaten stehen inzwischen vereinheitlichte und koordinierte Sicherheitsmaßnahmen zur Verfügung  und die EU beabsichtigt jetzt, Instrumente zu entwickeln, mit denen sie unverzüglich und effektiv auf Cyberattacken reagieren oder besser, diese verhüten kann.

Ein ehrgeiziger Plan

In dieser Hinsicht führt die neue Cybersicherheits-Strategie drei Schlüsselbereiche ein: Erstens soll die Erstellung eines Netzwerks mit Künstlicher Intelligenz betriebener Sicherheitseinsatzzentren im Territorium der EU die gemeinschaftliche Resilienz gegen Cyberattacken stärken; diesem wird eine Reform der Sicherheitsgesetze im Hinblick auf Datennetzwerke und -systeme an die Seite gestellt, die in die Richtlinie NIS2 eingeflossen ist. 

Die 2016 verabschiedete NIS-Richtlinie führte dazu, dass sich der Fokus der Institutionen in den Mitgliedstaaten auf Cybersicherheit änderte. Sie zwang sie dazu, unter anderem eine nationale Cybersicherheitsstrategie auszuarbeiten und Cyber-Einsatzteams für den Notfall aufzustellen. Letztlich hat sich jedoch diese Richtlinie im heutigen Bedrohungskosmos als zu beschränkt erwiesen.

„Die digitale Transformation der Gesellschaft, die durch die Covid-Krise noch intensiviert wurde, hat die Bedrohungsstufe erhöht und neue Herausforderungen erzeugt, die neuartige und angepasste Reaktionen erfordern. Jede Unterbrechung kann heute weitreichende Auswirkungen auf den gesamten Binnenmarkt haben“ – mit diesen Worten begründete die Europäische Kommission die Vorlage ihrer neuen Strategie. 

Diese neuen Maßnahmen sind in der Richtlinie NIS2 gebündelt, die im Oktober grünes Licht vom Europäischen Parlament erhielt , und u.a. die Definition kritischer Branchen erweiterte und die Vorschriften für die 160.000 Unternehmen, die Teil dieser Definition sind, verschärft. Ziel ist es, die Lücke zwischen europäischen und US-amerikanischen Unternehmen zu schließen, die durchschnittlich 41 % mehr in Cybersicherheit investieren als ihre europäischen Pendants. 

Zweitens möchte die Kommission mit ihrer neuen Cybersicherheitsstrategie auch ihre operative Leistungsfähigkeit erweitern, Cyberattacken zu verhüten, abzuschrecken und auf sie zu reagieren, was sich in der Gründung einer geplanten Gemeinsamen Cyber-Einheit ausdrückt. Dieses Team soll koordinierte EU-Reaktionen auf weitreichende Cybervorfälle und Cyberkrisen ausarbeiten und Unterstützung bei der Wiederherstellung nach solchen Attacken bieten. „Diese Bedrohungen sind ein gemeinsamer Feind, deshalb ist es so wichtig, koordiniert vorzugehen, Daten auszutauschen und früh Alarm auszulösen“, so die Kommission weiter.

Drittens setzt sich Brüssel für einen globalen und offenen Cyberspace ein, in dem Länder außerhalb der EU mit Mitgliedstaaten an einen Tisch gebracht werden, um ihre Gesetze weltweit zu harmonisieren und so zur weltweiten Sicherheit beizutragen. Mit anderen Worten zielt diese Strategie darauf, eine dem Kalten Krieg ähnliche Cybersicherheits-Landschaft zu verhindern und stattdessen Nationen im kooperativen Geist zusammenzubringen, um die Welt gegen diese Arten von Bedrohungen zu schützen.