Attribution als Herausforderung für EU-Cybersanktionen: Eine Analyse von WannaCry, NotPetya, Cloud Hopper, Bundestag-Hack, OVCW
- 13 Oktober 2021
- Bendiek, Annegret; Schulze, Matthias
- DE
Die Europäische Union hat im Juli 2020 erstmals sogenannte Cybersanktionen gegenüber Einzelpersonen verhängt, die mit dem russischen, nordkoreanischen oder chinesischen Staat in Verbindung gebracht werden. Die Maßnahmen umfassen Einreiseverbote und das Einfrieren von Vermögenswerten. Sie gelten in der EU-27 und sind als diplomatische bzw. politische Antwort auf zahlreiche schwerwiegende und bösartige Cyberoperationen gegen die EU beschlossen worden. Cybersanktionen sind nur ein Instrument aus dem »gemeinsamen diplomatischen Werkzeugkasten« (Cyber Diplomacy Toolbox) und sie liegen unterhalb der Schwelle eines bewaffneten Konfliktaustrags. Seit 2017 versuchen die EU-Mitgliedstaaten mit dieser Toolbox, im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der EU (GASP) auf schwerwiegende Cyberoperationen koordiniert zu antworten. Eine verhältnismäßige, kohärente und vor allem rechtssichere Erwiderung der EU auf solche Cyberangriffe zu zeigen, ist allerdings in der Umsetzung höchst anspruchsvoll. Die diplomatische Reaktion muss in ihrer rechtlichen, technischen und politischen Dimension konsistent sein, für den Fall, dass gelistete Personen die restriktiven Maßnahmen der EU, also gegen sie individuell verhängte Finanzsanktionen oder Reisebeschränkungen, gerichtlich anfechten. Denn über das Mittel der Nichtigkeitsklage nach Artikel 263 IV des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) genießen die Adressaten derartiger Strafmaßnahmen uneingeschränkten Rechtsschutz vor dem Europäischen Gerichtshof.
Will die EU rechtmäßige Cybersanktionen verhängen, ist zunächst eine sorgfältige und nachvollziehbare Ermittlung der Urheberschaft (Attribution) von Cyberangriffen erforderlich. Allerdings ist das Verfahren der Attribution, das heißt die technische, rechtliche und politische Zuordnung von Cyberattacken zu verantwortlichen Personen, auf EU-Ebene inkohärent und teilweise widersprüchlich. Die Gründe dafür sind vielfältig: Attribution ist ein souveräner Akt der Mitgliedstaaten, die zugleich recht unterschiedliche technische und geheimdienstliche Fähigkeiten haben. Die EU soll zunächst koordinieren, forensische Beweise sammeln und Erkenntnisse austauschen. Der Prozess der Attribution bis hin zur Verhängung von Cybersanktionen ist für die EU ein Novum. Ihn sorgfältig durchzuführen ist angesichts der gestiegenen Anzahl und Intensität von Angriffen im Cyber- und Informationsraum (CIR) dringend geboten.
Mehr Publikationen
- Research and Analysis