Cybersanktionen: Zunehmende Anwendung eines neuen Instruments

Abstract

Am 15. April 2021 hat US-Präsident Joe Biden umfangreiche Sanktionen gegen Russland wegen Cyberangriffen in Kraft gesetzt. Unter anderem wurden zehn russische Diplomaten ausgewiesen und 38 Organisationen, Unternehmen und Personen direkt sanktioniert. Die Regierung wirft ihnen vor, in die US-Wahlen eingegriffen und weitere Hackerangriffe (sogenannte SolarWinds-Hacks) ausgeführt zu haben. Im Vergleich dazu setzt die EU das Instrument der Cybersanktionen noch zurückhaltend ein. Im Jahr 2020 verhängte die EU erstmals Kontensperrungen und Einreisebeschränkungen gegen Individuen und Organisationen, die an Cyberangriffen auf Firmen, Behörden und den Deutschen Bundestag beteiligt waren. Eine zentrale Voraussetzung für die Anwendung von Cybersanktionen ist die technische Zurechnung eines Cyberangriffs, d.h. die Ermittlung der Täterinnen und Täter. Zunehmend handeln diese offensichtlich auch im Auftrag von Staaten wie Nordkorea oder Russland. Die EU betont jedoch, dass die politische Zuschreibung staatlicher Verantwortung weiter die souveräne Entscheidung eines jeden einzelnen EU-Mitgliedsstaates bleibt. Die Cybersanktionen zielen auf die für Hackerangriffe verantwortlichen Personen und sollen als Strafe, aber auch als weithin sichtbares Signal nach außen wirken. Dagegen ist zweifelhaft, ob Cybersanktionen bei den Täterinnen und Tätern zu einer Verhaltensänderung führen. Dies wird als zentrales Ziel für traditionelle Sanktionen formuliert. Die Koordination mit internationalen Partnern wie den USA, die bereits seit dem Jahr 2015 über ein Cybersanktionsregime verfügen, oder auch den Vereinten Nationen verläuft nur schleppend. Cybersanktionen dienen auch zur Abschreckung zukünftiger Cyberangriffe. Daher können Hackerangriffe auf Drittstaaten oder internationale Organisationen ebenfalls sanktioniert werden. Es fehlt jedoch innerhalb der EU, vor allem aber im globalen Süden, an technischen Voraussetzungen, um die immer häufiger werdenden Angriffe aufspüren und zuordnen zu können. Die EU sollte daher in die Stärkung eigener technischer Kapazitäten für die Prävention und Reaktion (und in "Cyberentwicklungszusammenarbeit") investieren.