Attribution als Herausforderung für EU-Cybersanktionen: eine Analyse von WannaCry, NotPetya, Cloud Hopper, Bundestag-Hack, OVCW

Abstract

Die Attribution von Cyberangriffen ist ein souveräner Akt der EU-Mit­gliedstaaten. Diese haben jedoch unterschiedliche technische und geheim­dienstliche Fähigkeiten. Das führt zu Inkohärenzen in der europäischen Cyberdiplomatie, etwa bei der Verhängung von Cybersanktionen. Die Analyse der politischen Reaktionen auf die Cybervorfälle WannaCry, Not‑Petya, Cloud Hopper, OVCW und Bundestag-Hack offenbart folgende Probleme: Die Attribution dauert lange und ist auf Erkenntnisse von Nato-Partnern angewiesen; die technischen Realitäten und die rechtlichen Tatbestandsmerkmale zur Klassifikation und Verfolgung von Cyber­angriffen passen nicht immer zusammen; die Gewichtung der Tatbestands­merkmale ist unklar. Cybersanktionen sollen gezielte Maßnahmen und vor allem in ihrer Intensität verhältnismäßig sein: Destruktive Angriffe wie WannaCry oder NotPetya sollten härtere Konsequenzen nach sich ziehen als alltägliche Fälle von Cyberspionage wie Cloud Hopper oder Bundestag-Hack. Hier muss die EU ihre Werkzeuge genauer konfigurieren. Die EU sollte die rechtlichen Tatbestandsmerkmale schärfen und Beweis­standards zur Attribution vereinheitlichen. Die Gemeinsame Cyber-Stelle der EU und EU INTCEN im Europäischen Auswärtigen Dienst sollten ge­stärkt werden, um den Austausch forensischer Informationen zu verbessern und die Politik der Attribution effektiver koordinieren zu können. Die EU-Mitgliedstaaten und ihre alliierten Partner müssen Angreifer häu­figer gemeinsam verurteilen, damit die davon ausgehende politische Bot­schaft wirklich deutlich wird. Dazu wäre es sinnvoll, für den Erlass von Cybersanktionen qualifizierte Mehrheitsentscheidungen zuzulassen. (Autorenreferat)