Die Europäische Union hat im Juli 2020 erstmals so­genannte Cybersanktionen gegenüber Einzelpersonen verhängt, die mit dem russischen, nordkoreanischen oder chinesischen Staat in Verbindung gebracht wer­den. Die Maßnahmen umfassen Einreiseverbote und das Einfrieren von Vermögenswerten. Sie gelten in der EU-27 und sind als diplomatische bzw. politische Antwort auf zahlreiche schwerwiegende und bös­artige Cyberoperationen gegen die EU beschlossen worden. Cybersanktionen sind nur ein Instrument aus dem »gemeinsamen diplomatischen Werkzeugkasten« (Cyber Diplomacy Toolbox) und sie liegen unterhalb der Schwelle eines bewaffneten Konfliktaustrags. Seit 2017 versuchen die EU-Mitgliedstaaten mit dieser Toolbox, im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der EU (GASP) auf schwerwiegende Cyberoperationen koordiniert zu antworten. Eine verhältnismäßige, kohärente und vor allem rechts­sichere Erwiderung der EU auf solche Cyberangriffe zu zeigen, ist allerdings in der Umsetzung höchst anspruchsvoll. Die diplomatische Reaktion muss in ihrer rechtlichen, technischen und politischen Dimen­sion konsistent sein, für den Fall, dass gelistete Personen die restriktiven Maßnahmen der EU, also gegen sie individuell verhängte Finanzsanktionen oder Reisebeschränkungen, gerichtlich anfechten. Denn über das Mittel der Nichtigkeitsklage nach Arti­kel 263 IV des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) genießen die Adressaten derartiger Strafmaßnahmen uneingeschränkten Rechtsschutz vor dem Europäischen Gerichtshof.

Will die EU rechtmäßige Cybersanktionen verhängen, ist zunächst eine sorgfältige und nachvollzieh­bare Ermittlung der Urheberschaft (Attribution) von Cyberangriffen erforderlich. Allerdings ist das Verfah­ren der Attribution, das heißt die technische, recht­liche und politische Zuordnung von Cyberattacken zu verantwortlichen Personen, auf EU-Ebene inkohärent und teilweise widersprüchlich. Die Gründe dafür sind vielfältig: Attribution ist ein souveräner Akt der Mit­gliedstaaten, die zugleich recht unterschiedliche tech­nische und geheimdienstliche Fähigkeiten haben. Die EU soll zunächst koordinieren, forensische Be­weise sammeln und Erkenntnisse austauschen. Der Prozess der Attribution bis hin zur Verhängung von Cyber­sanktionen ist für die EU ein Novum. Ihn sorgfältig durchzuführen ist angesichts der gestiegenen Anzahl und Intensität von Angriffen im Cyber- und Informa­tionsraum (CIR) dringend geboten.