Üben, üben, üben: Wie die EU sich auf den Cyber-Ernstfall vorbereitet

Die ENISA – European Union Agency for Network and Information Security – beschäftigt sich unter anderem mit „Cyber Europe“, der bislang größten Cybersicherheitsübung der EU

Der Cyberism der Bundesregierung ist uns wohlbekannt, doch auch die große europäische Schwester steht dem inflationären Gebrauch der fünf Buchstaben, die Modernität vorspiegeln sollen und doch dabei eher deplaziert wirken, in nichts nach. Besonders häufig fiel der Cyberpräfix im Oktober, denn der wurde von der EU zum „Cyber Security Month“ ausgerufen.

Unter der italienischen Ratspräsidentschaft fand dazu unter anderem Ende Oktober in Rom eine Konferenz mit dem Titel „The role of Cyber defence to protect and sustain EU Economy“ statt. Auf der Agenda standen unter anderem „Cyber Defence and Security: How to Innovate Public-Private Partnership Models and Foster Collaborative Education, Training & Exercises“.

Weitere Konferenzen, die von EU-Vertretern besucht wurden, fanden im September in Israel zur Einweihung eines neuen Forschungszentrums an der Universität Tel Aviv und der Vorstellung eines neuen High-Tech Campus in Ber-Sheeva statt. Israel, so die Bundesregierung in einer Antwort auf eine Kleine Anfrage der Linken zum Thema, sei ein Land, das „Cybersicherheit als strategische Priorität behandelt“.

Doch die EU vernetzt und informiert sich nicht nur auf Tagungen und Konferenzen, es fanden und finden auch diverse Übungen statt, die den Cyber-Zwischenfall proben. So enthielt die zweite „Multi-Layer“-Krisenübung – ML14 – der EU, die vom 30. September bis zum 23. Oktober stattfand, eine gute Prise Cyberspace. In der oben zitierten Kleinen Anfrage zu „Zivil-militärischen Krisenübungen der Europäischen Union zu Störungen des Internets“ ist das dort konstruierte Krisenszenario folgendermaßen beschrieben:

Der fiktive Staat „Sarunia“ muss auf bewaffnete Auseinandersetzungen an seinen Grenzen reagieren, wo sich die Staaten „Ranua“ und „Celego“ Scharmützel liefern. Eine EU-Militärmission greift ein. Nach einem Angriff auf einen Öltanker droht eine Ölpest, während zahlreiche Staatsangehörige von EU-Mitgliedstaaten in einer Ölraffinerie von einer Entführung bedroht sind. Schließlich wird eine Stadt „Batela“ Ziel eines „Cyber-Angriffs“. In „Batela“ befinden sich EU-Kommunikationssysteme.

Ziel der Übung ist es, …

… die Fähigkeit der EU, ihrer Institutionen und der Mitgliedstaaten zu stärken und auszubauen, um auf entstehende Krisen rechtzeitig und geschlossen antworten zu können. Dadurch soll die EU in die Lage versetzt werden, effektiv und gut vorbereitet ihre Rolle als globaler außen- und sicherheitspolitisch handelnder Akteur wahrzunehmen. Im Rahmen solcher Übungen wird sowohl der Einsatz der personellen als auch der systemischen Ressourcen geübt, einschließlich der Strukturen, Konzepte und Prozesse.

Kurz nach Beendigung der ML14-Übung, deren Auswertungsbericht Anfang 2015 erwartet wird, startete bereits eine weitere Übung für den Cyber-Ernstfall. Der zweite Teil von „Cyber Europe 2014“, der bislang größten Simulation von Cybervorfällen innerhalb der EU, begann am 30. Oktober. Federführend von der Europäischen Agentur für Netz- und Informationssicherheit geplant, nimmt auch das deutsche Bundesamt für Sicherheit in der Informationstechnik teil. Eine dritte Phase wird Anfang 2015 anvisiert.

Doch damit nicht genug: Neben den ersten beiden Übungen wird es Ende November eine dritte geben, die „sich inhaltlich an die CyberEurope 2014 anlehnt.“ Knackpunkt ist hier die vom Rat im Sommer beschlossene Solidaritätsklausel, die als Ausgangsbasis der Übung dienen wird, das wurde am 14. Oktober in der Sitzung der „Gruppe der Freunde der Präsidentschaft zum EU-Krisenreaktionsmechanismus (ICPR) und zur Umsetzung der Solidaritätsklausel“ konkretisiert. Die Solidaritätsklausel beinhaltet Folgendes:

Die Union und ihre Mitgliedstaaten handeln gemeinsam im Geiste der Solidarität, wenn ein Mitgliedstaat von einem Terroranschlag, einer Naturkatastrophe oder einer vom Menschen verursachten Katastrophe betroffen ist.

Das legt die Grundlagen dafür, dass EU-weite polizeiliche und militärische Bündnisse agieren können, wenn der „Ernstfall“ einer Katastrophe oder eines Terroranschlages eintritt. Und in modernen Zeiten dürfen dabei, so das EU-Parlament im letzten Jahr, „keine bedeutenden Gefahren, wie Cyberangriffe, Pandemien oder Energieengpässe“ vergessen werden.

Auch die aktuelle Antwort der Bundesregierung deutet an, dass man Bedrohungen aus dem Cyberraum als mögliche Grundlage für die Anwendung der Solidaritätsklausel ansieht.

„Cyberangriffe“ können ein Ausmaß erreichen, das Wohlstand, Sicherheit und Stabilität in den Mitgliedstaaten der NATO gefährdet. Eine Entscheidung, wann ein „Cyberangriff“ den kollektiven
Beistand nach Artikel 5 des Nordatlantikvertrages auslöst und welche Maßnahmen gegebenenfalls zu ergreifen sind, trifft der Nordatlantikrat im Einzelfall. Die „Solidaritätsklausel“ (Art. 222 Abs. 1 AEUV) legt fest, dass die EU und ihre Mitgliedstaaten gemeinsam im Geiste der Solidarität handeln, wenn ein Mitgliedstaat von einem Terroranschlag, einer Naturkatastrophe oder einer vom Menschen verursachten Katastrophe betroffen ist. Bei einem „Cyberangriff“ müsste im Einzelfall konkret geprüft werden, ob die Voraussetzungen gegeben sind.

Das heißt de facto, dass nicht-militärische „Cyberangriffe“ mit militärischen, polizeilichen und geheimdienstlichen Maßnahmen beantwortet werden können. Und wieder stellt sich die Frage, wer die Ernsthaftigkeit eines „Angriffs“ beurteilen darf. Wie die Bundesregierung an der geplanten „Integrated Political Crisis Response“-Übung teilnehmen wird, in der ein solcher Angriff konstruiert werden wird, ist noch unklar, bislang sei sie nicht in die Planungen involviert.

Über die EU hinaus geht das Manöver „Cyber Coalition“, dass die NATO 2015 wie in den Vorjahren durchführen wird. Ähnlich international ist die Operation „Cyber Storm“, die vom US-Ministerium für Heimatschutz geplant wird, an dem aber mittlerweile auch deutsche Behörden teilnehmen. 2011 gab es mit „Cyber Atlantic“ eine Übung, die ausdrücklich die transatlantische Kooperation zwischen der EU und den USA im Cyber-Angriffsfall simulieren sollte.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

2 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.