Dienstag, 5. November 2024
Startseite / Allgemein / Erstmals verhängt die Europäische Union Sanktionen wegen Cyber-Angriffen

Erstmals verhängt die Europäische Union Sanktionen wegen Cyber-Angriffen

Bild © CC0 Creative Commons, Pixabay (Ausschnitt)

Komplexität und Dynamik in den Bemühungen der EU zur Erhöhung der Sicherheit im Cyber-Raum

 

Einführung

Am 30. Juli 2020 verhängte der Rat der EU erstmals restriktive Maßnahmen gegen sechs physische Personen – vier Russen und zwei Chinesen – sowie gegen drei chinesische, nordkoreanische und russische Unternehmen, die für eine Reihe von verschiedenen Cyber-Attacken verantwortlich, oder zumindest an diesen nachgewiesener Maßen beteiligt, waren. Diese bestanden unter anderem in unbefugten Zugriffen auf wirtschaftlich sensible Daten von Internationalen Organisationen bzw. multinationalen Unternehmen, die sich vor allem gegen die „Organisation für das Verbot chemischer Waffen“ („Organisation for the Prohibition of Chemical Weapons“, OPCW) mit Sitz in Den Haag in den Niederlanden richteten und in der fachkundigen Öffentlichkeit als „WannaCry“, „NotPetya“ oder „EternalPetya“ und „Operation Cloud Hopper“ bekannt sind.

Obwohl diese Cyber-Angriffe nicht unmittelbar gegen die EU oder deren Mitgliedstaaten gerichtet waren, konnten sie deswegen seitens der EU sanktioniert werden, da diese Mitte Mai 2019 eine Verordnung über restriktive Maßnahmen gegen Cyberangriffe, die die Union oder ihre Mitgliedstaaten bedrohen, erlassen hatte. Diese Verordnung gehörte zu den Maßnahmen, die im Rahmen der EU für eine gemeinsame diplomatische Reaktion auf böswilliger Cyber-Aktivitäten – im Sinn des bereits im Juni 2017 konzipierten „gemeinsamen Instrumentenkasten“ („Cyber Diplomacy Toolbox“) – vorgesehen waren.

Das Interessante an diesem ersten Einsatz der Cyber-Sanktionen ist der Umstand, dass es eigentlich einigermaßen lange gedauert hat, bis diese zum Einsatz gekommen sind. Seit nunmehr beinahe zehn Jahren bemüht sich die EU, Maßnahmen zur Bekämpfung der Cyberkriminalität zu ergreifen, nachdem bereits 2012 bekannt wurde, dass jeden Tag weltweit schätzungsweise 1 Mio. Menschen Opfer von Cyberstraftaten werden und sich der dadurch entstandene finanzielle Schaden auf weltweit rund 388 Mrd. US-$ jährlich beläuft.[1]

Für die genaue Nachvollziehbarkeit dieser extrem komplexen Vorgänge und deren vertieftes Verständnis soll zunächst ein Blick auf die tatsächliche Lage der Gefährdungen im Cyber-Raum geworfen und danach die ersten Maßnahmen der EU zur Erhöhung der Cybersicherheit dargestellt werden. In der Folge soll dann die Umsetzung dieser operativen und strategischen Bemühungen durch konkrete Rechtsakte veranschaulicht werden, wobei – ganz bewusst in chronologischer Folge – auf die jeweiligen Rechtsakte detailliert verwiesen wird. Erst dann ergibt sich nämlich ein genaues Bild, wie die EU, im Rahmen ihrer begrenzten Kompetenzen, überhaupt in der Lage war, auf die jeweiligen Herausforderungen im Cyber-Raum entsprechend zu reagieren.  

Verwundbarkeit des Cyber-Raumes

Mit der weltweiten Nutzung von Netz- und Informationssystemen sowie elektronischer Kommunikationsnetze und -dienste und der damit verbundenen Probleme ergab sich auch für die EU die Notwendigkeit, an der Schaffung einer kohärenten internationalen Cyber-Raumpolitik maßgeblich mitzuwirken. Nach Ansicht der EU sollten dabei die gleichen Normen, Grundsätze und Werte, für die die EU außerhalb des Internets („offline“) eintritt – wie zB Demokratie, Menschenrechte, Rechtsstaatlichkeit uam – auch innerhalb desselben („online“) im Cyber-Raum gelten und dort auch entsprechend geschützt werden.

In den vergangenen Jahrzehnten wurden zum einen die enormen Vorteile der Digitalisierung, zum anderen aber auch die Anfälligkeiten des digitalen Umfeldes gegenüber böswilligen bzw. strafbaren Handlungen immer deutlicher. Die Bedrohungen können dabei auf unterschiedliche Ursachen zurückgeführt werden: sie können kriminell oder politisch motiviert sein, und es kann sich auch um terroristische oder staatlich unterstützte Anschläge, Naturkatastrophen oder unbeabsichtigte Fehler handeln. Dabei muss zwischen Cybercrime im engeren Sinn – das sind kriminelle Handlungen, bei denen Angriffe auf Daten oder Computersysteme unter Ausnutzung der Informations- und Kommunikationstechnik begangen werden – und Cybercrime im weiteren Sinn – bei dem es sich um Straftaten handelt, bei denen die Informations- und Kommunikationstechnik als Mittel zur Planung, Vorbereitung und Ausführung von herkömmlichen Kriminaldelikten, wie etwa Betrugsdelikten – eingesetzt wird.

Es wird dabei immer deutlicher, dass für die notwendige Cybersicherheit entsprechende Vorgaben in Bezug auf Transparenz, Verantwortlichkeit und Sicherheit notwendig sind. Neben der nationalstaatlichen und völkerrechtlichen Ebene ist in diesem Zusammenhang auch die EU aufgefordert, unionsrechtlich für „Cybersicherheit“ zu sorgen und „Cyberkriminalität“ zu sanktionieren.

Die ENISA als prototypisches Element des Wandels im Cyber-Raum

Als Reaktion auf die Schlussfolgerung des Europäischen Rates auf seiner Tagung vom 23./24. März 2001, dass der Rat, in Zusammenarbeit mit der Kommission, eine umfassende Strategie für die Sicherheit elektronischer Netze, einschließlich praktischer Durchführungsmaßnahmen, entwickeln soll, legte die Kommission am 6. Juni 2001 eine Mitteilung über „Sicherheit der Netze und Informationen: Vorschlag für einen europäischen Politikansatz[2] vor. In der Folge erließen das Europäische Parlament und der Rat am 7. März 2002 die Richtlinie 2002/21/EG über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste (Rahmenrichtlinie)[3], gemäß derer die nationalstaatlichen Regulierungsbehörden unter anderem sowohl untereinander als auch mit der Kommission zusammenarbeiten sollen, um die Integrität und Sicherheit der öffentlichen Kommunikationsnetze zu gewährleisten.

Dazu bedurfte es aber zunächst der Schaffung eines Fachzentrums auf europäischer Ebene, das Orientierungshilfe, Beratung und auf Anfrage auch Unterstützung anbieten, und das vom Europäischen Parlament, der Kommission oder von den in den einzelnen Mitgliedstaaten benannten zuständigen Stellen in Anspruch genommen werden kann. Dementsprechend wurde durch die, auf Art. 95 EGV[4] gestützte, Verordnung (EG) Nr. 460/2004 vom 10. März 2004[5] auch die „Europäische Agentur für Netz- und Informationssicherheit(ENISA) (ENISA I) eingerichtet und gem. ihrem Art. 27 auf fünf Jahre terminisiert. Durch zwei weitere Verordnungen[6] wurde das Mandat der Agentur dann bis zum 13. September 2013 verlängert.

In der Folge wurde die, nunmehr bereits auf Art. 114 AEUV gestützte, Verordnung über die Errichtung der (ENISA I) durch die weiterführende Verordnung (EU) Nr. 526/2013 vom 21. Mai 2013 über die Agentur der EU für Netz- und Informationssicherheit (ENISA)[7] (ENISA II) aufgehoben, die besser auf die sich dramatisch geänderten Umständen für die Gewährleistung einer hohen und effektiven Netz- und Informationssicherheit reagieren sollte. Der zeitliche Geltungsbereich der als Rechtsnachfolgerin der (ENISA I) errichteten (ENISA II) wurde gem. Art. 36 auf weitere sieben Jahre, dh bis zum 19. Juni 2020 erstreckt.

Der außerordentlichen Dynamik im Cyber-Raum geschuldet, wurde auch die, ebenfalls auf Art. 114 AEUV gestützte, Verordnung zur Errichtung von ENISA (II), in der Folge durch die weitere Verordnung (EU) 2019/881 vom 17. April 2019[8] über die ENISA und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik (ENISA III), aber wieder aufgehoben. Diese (ENISA III)-Verordnung trat am 27. Juni 2019 in Kraft und richtete ein zusätzliches System für die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnologien (IKT) ein. Unberührt bleiben von dieser Verordnung die Zuständigkeiten der Mitgliedstaaten für Tätigkeiten mit Bezug auf die öffentliche Sicherheit, die Landesverteidigung, die nationale Sicherheit und das staatliche Handeln im strafrechtlichen Bereich. Gem. ihrem Art. 68 Abs. 4 wird die (ENISA III) nunmehr auf unbegrenzte Zeit errichtet.

Weitere Maßnahmen der EU zur Erhöhung der Cybersicherheit

Nachstehend sollen, in aller Kürze, die wichtigsten strategischen Maßnahmen der EU zur Erhöhung der Cybersicherheit aufgelistet werden – und zwar, zur leichteren Nachverfolgbarkeit, mit genauer Angabe ihres Erlasses.

So legte die Kommission am 19. Mai 2010 eine Mitteilung über eine „Digitale Agenda für Europa[9] vor, die sich mit Fragen der Cyberkriminalität, der Computersicherheit, der Sicherheit im Internet und des Datenschutzes befasste, die für das Vertrauen der Nutzer des Internet und deren Schutz von grundlegender Bedeutung sind.

Am 22. November 2010 nahm die Kommission eine „EU-Strategie der inneren Sicherheit“ an[10], in der sie ihre Absicht, ein „Europäisches Zentrum zur Bekämpfung der Cyberkriminalität und zum Verbraucherschutz beim elektronischen Geschäftsverkehr“ zu schaffen, ankündigte[11], das in der Folge am 11. Januar 2013 im Schoß des Europäischen Polizeiamtes (Europol) in Den Haag, unter der Leitung von Troels Oerting, tatsächlich eingerichtet wurde.[12]

In der Folge arbeiteten die Kommission und die Hohe Vertreterin der EU für Außen- und Sicherheitspolitik am 7. Februar 2013 die „Cybersicherheitsstrategie der EU – ein offener, sicherer und geschützter Cyberraum[13] aus, in der folgende fünf strategische Prioritäten festgelegt wurden:

  • Widerstandsfähigkeit gegenüber Cyberangriffen,
  • drastische Eindämmung der Cyberkriminalität,
  • Entwicklung einer Cyberverteidigungspolitik und von Cyberverteidigungskapazitäten im Zusammenhang mit der Gemeinsamen Sicherheits- und Verteidigungspolitik (GSVP) der EU,
  • Entwicklung der industriellen und technischen Ressourcen für die Cybersicherheit und
  • Entwicklung einer einheitlichen Cyberraum-Strategie der EU auf internationaler Ebene und Förderung der Grundwerte der EU.

Am 7. Mai 2014 legte die Kommission ihre Vorschläge zur „Internet-Politik und Internet-Governance – Europas Rolle bei der Mitgestaltung der Zukunft der Internet-Governance[14] vor, und am 11. Februar 2015 erließ der Rat (Allgemeine Angelegenheiten) schließlich „Schlussfolgerungen zur Cyberdiplomatie[15], die die Ausbildung einer gemeinsamen Cyber-Strategie anregten.

Dabei stimmte der Rat zu, einen Rahmen für eine gemeinsame diplomatische Reaktion der EU auf böswillige Cyberaktivitäten zu entwickeln, wozu er am 19. Juni 2017 auch die „Toolbox für Cyberdiplomatie“ („Cyber Diplomacy Toolbox“)[16] einrichtete, einen „gemeinsamen Instrumentenkasten“, aus dem die entsprechenden Sanktionen gegen die jeweiligen Cyberattacken entnommen werden sollten. Diese Sanktionen müssten allerdings in einem angemessenen Verhältnis zu Umfang, Dauer, Intensität, Komplexität und Auswirkungen der Cyberaktivitäten stehen.[17]

Am 16. April 2018 nahm der Rat in der Folge Schlussfolgerungen zu böswilligen Cyberaktivitäten an und äußerte sich dabei besorgt über die Zunahme der Aktivitäten krimineller Akteure. Am 28. Juni 2018 und am 18. Oktober 2018 forderte auch der Europäische Rat die Intensivierung der Arbeiten zur Verbesserung der Fähigkeiten, auf Cyber-Angriffe zu reagieren und diese entsprechend abzuwehren. Am 12. April 2019 wiederum gab der Hohe Vertreter der Union für Außen- und Sicherheitspolitik, Josep Borrell, im Namen der EU eine Erklärung ab, in der er die Notwendigkeit betonte, die auf Regeln basierende Ordnung im Cyberspace zu respektieren, die Akteure im Netz aufforderte, keine böswilligen Cyberaktivitäten – einschließlich des Diebstahls von geistigem Eigentum – mehr durchzuführen und alle Partner dazu aufforderte, die internationale Zusammenarbeit zu intensivieren, um die Sicherheit und Stabilität im Cyberspace zu stärken.[18] 

Unter Bezugnahme auf „Coronavirus-bedingte“ böswillige Cyberaktivitäten, die vor allem kritische Infrastrukturen betreffen, emittierte der Hohe Vertreter der Union für Außen- und Sicherheitspolitik, Josep Borrell, am 30. April 2020 eine weitere Erklärung im Namen der EU über die „Gewährleistung der Cybersicherheit in Zeiten von Coronavirus“.[19] Seit Beginn der Pandemie wurden bedeutende Phishing- und Malware-Verteilungskampagnen, Scan-Aktivitäten und DDoS-Angriffe (Distributed Denial-of-Service) festgestellt, von denen einige kritische Infrastrukturen betreffen, die für die Bewältigung dieser Krise unerlässlich sind.

Zur Veranschaulichung der Dimension der Cyber-Attacken sei in diesem Zusammenhang nur auf das österreichische Beispiel verwiesen: So wurden 2019 österreichweit 28.439 Cybercrime-Delikte angezeigt, während es 2018 noch 19.627 waren, was eine Zunahme um gut 45 Prozent bedeutet.[20]

Konkrete Rechtsakte zur Verhängung von Sanktionen

Unter Berücksichtigung all dieser strategischen  und operativen Vorgaben nahm der Rat am 17. Mai 2019 den auf Art. 29 EUV gestützten „Beschluss (GASP) 2019/797 über restriktive Maßnahmen gegen Cyberangriffe, die die Union oder ihre Mitgliedstaaten bedrohen[21], an, in dem festgestellt wird, dass gezielte restriktive Maßnahmen gegen Cyber-Angriffe mit erheblichen Auswirkungen, die eine externe Bedrohung für die Union oder ihre Mitgliedstaaten darstellen, zu den Maßnahmen gehören, die im Rahmen der Union für eine gemeinsame diplomatische Reaktion auf böswillige Cyber-Aktivitäten iSd vorerwähnten „Toolbox für Cyberdiplomatie“ enthalten sind. Restriktive Maßnahmen können auch als Reaktion auf Cyber-Angriffe mit erheblichen Auswirkungen auf Drittstaaten oder Internationale Organisationen angewendet werden, sofern dies zur Erreichung der in Art. 21 EUV festgelegten gemeinsamen außen- und sicherheitspolitischen Ziele (GASP) als notwendig erachtet wird. Der Beschluss (GASP) 2019/797 galt bis zum 18. Mai 2020, konnte aber gem. seinem Art. 10 bis zum 18. Mai 2021 verlängert werden, was durch den Beschluss (GASP) 2020/651 des Rates vom 14. Mai 2020[22] auch geschah.

Der Beschluss (GASP) 2019/797 wurde in der Folge durch den auf der Basis von Art. 29 EUV fußenden Beschluss (GASP) 2020/1127 des Rates vom 30. Juli 2020 zur Änderung des Beschlusses (GASP) 2019/797[23] hinsichtlich seines Anhangs geändert, womit auf den versuchten Cyberangriff zur Untergrabung der Integrität der „Organisation für das Verbot chemischer Waffen“ (OPCW) sowie auf die öffentlich als „WannaCry“, „NotPetya“ bzw. „EternalPetya“ und „Operation Cloud Hopper“ bekannten Cyber-Angriffe reagiert werden sollte. In diesem Zusammenhang werden sechs natürliche Personen und drei Körperschaften in die Liste der natürlichen und juristischen Personen aufgenommen, die restriktiven Maßnahmen unterliegen, „um zu verhindern, zu entmutigen, abzuschrecken und auf anhaltendes und zunehmendes böswilliges Verhalten im Cyberspace zu reagieren“.

Dementsprechend wurde der Anhang zum Beschluss (GASP) 2019/797 nunmehr wie folgt geändert (Art. 1):

Anhang

Die folgenden Personen und Organisationen bzw. Einrichtungen werden in die Liste der natürlichen und juristischen Personen, Organisationen und Einrichtungen im Anhang des Beschlusses (GASP) 2019/797[24] aufgenommen:

A. Natürliche Personen

  1. GAO Qiang: Chinese, beteiligt an der „Operation Cloud Hopper“, die auf das „Hacken“ von Informationssystemen von Multinationalen Unternehmen auf sechs Kontinenten – darunter Unternehmen in der EU – abzielte, und dabei unerlaubten Zugriff auf wirtschaftlich sensible Daten erlangte, was zu erheblichen wirtschaftlichen Verlusten führte. Die „Operation Cloud Hopper“ wurde von dem öffentlich als „APT10“ („Advanced Persistent Threat 10“) bezeichneten Täter – auch bekannt als „Red Apollo“, „CVNX“, „Stone Panda“, „MenuPass“ und „Potassium“ – durchgeführt. Gao Qiang kann aber nicht nur mit APT10 in Verbindung gebracht werden, sondern auch mit dem Unternehmen Huaying Haitai, das für die Unterstützung der „Operation Cloud Hopper“ zuständig ist. Ebenso verfügt er über persönliche Kontakte zu Zhang Shilong.
  2. ZHANG Shilong: Chinese, ebenfalls an der „Operation Cloud Hopper“ beteiligt und dementsprechend auch sowohl mit Huaying Haitai, als auch mit Gao Qiang, in Verbindung. Zhang Shilong kann auch mit APT10 in Verbindung gebracht werden, und zwar über die Schadsoftware, die er im Zusammenhang mit den Cyberangriffen von APT10 entwickelt und getestet hat.
  3. MININ Alexey Valeryevich : Russe, als für „human intelligence“ zuständiger Mitarbeiter der Hauptdirektion des Generalstabs der Streitkräfte der Russischen Föderation (GU/GRU), gehörte Alexey Minin einem Team von vier Beamten des russischen Militärgeheimdienstes an, die im April 2018 versuchten, sich unbefugt Zugang zum WiFi-Netz der „Organisation für das Verbot chemischer Waffen“ (OPCW) in Den Haag zu verschaffen. Der niederländische militärische Nachrichten- und Sicherheitsdienst (Militaire Inlichtingen- en Veiligheidsdienst, MIVD) wehrte aber diese versuchte Cyberattacke ab und bewahrte damit die OPCW vor schwerem Schaden.
  4. MORENETS Aleksei Sergeyvich: Russe, ebenfalls am versuchten Cyber-Angriff auf das WiFi-Netzwerk der „Organisation für das Verbot chemischer Waffen“ (OPCW) in Den Haag im April 2018 beteiligt.
  5. SEREBRIAKOV Evgenii Mikhaylovich: Russe, ebenfalls am versuchten Cyber-Angriff auf das WiFi-Netzwerk der „Organisation für das Verbot chemischer Waffen“ (OPCW) in Den Haag im April 2018 beteiligt.
  6. SOTNIKOV Mikhaylovich: Russe, ebenfalls am versuchten Cyber-Angriff auf das WiFi-Netzwerk der „Organisation für das Verbot chemischer Waffen“ (OPCW) in Den Haag im April 2018 beteiligt.

 

B. Juristische Personen, Organisationen und Körperschaften

  1. Tianjin Huaying Haitai: Chinesisches Unternehmen, leistete finanzielle, technische oder materielle Unterstützung für die Durchführung der „Operation Cloud Hopper“. Huaying Haitai kann daher mit APT10 verknüpft werden und beschäftigte darüber hinaus Gao Qiang und Zhang Shilong.
  2. Chosun Expo : Nordkoreanisches Unternehmen, leistete finanzielle, technische oder materielle Unterstützung von Cyber-Angriffen, wie „WannaCry“, die vom öffentlich als „APT38“ (Advanced Persistent Threat 38“) oder als „Lazarus Group“ bekannten Täter durchgeführt wurden. Ebenso führte es Cyber-Angriffe gegen die polnische Finanzaufsichtsbehörde und Sony Pictures Entertainment durch. Daneben ist es für Cyber-Diebstähle von Daten der Bangladesh Bank und versuchter Cyber-Diebstähle von Daten der Vietnam Tien Phong Bank verantwortlich.
  3. Hauptzentrum für Spezialtechnologien (GTsST) der Hauptdirektion des Generalstabs der Streitkräfte der Russischen Föderation (GU/GRU): Russisches Unternehmen, führte ua Cyber-Angriffe gegen das ukrainische Stromnetz in den Wintermonaten 2015 und 2016 durch, die zu einer Abschaltung von Teilen des Netzes führten. Ebenso richtete es auch im Juni 2017 weitere Cyber-Attacken gegen eine Reihe von Unternehmen, die als „NotPetya“ oder „EternalPetya“ bekannt wurden. Die Cyber-Angriffe „NotPetya“ oder „EternalPetya“ machten Daten in einer Reihe von Unternehmen nicht nur in der EU, sondern in ganz Europa bzw. sogar weltweit unzugänglich, indem sie auf Computer mit Ransomware abzielten und den Zugriff auf Daten blockierten. Die Planung dafür ging von dem öffentlich als „Sandworm“ bekannten Täter – auch bekannt als „Sandworm Team“, „BlackEnergy Group“, „Voodoo Bear“, „Quedagh“, „Olympic Destroyer“ und „Telebots“ – aus.

Parallel dazu erließ der Rat am 17. Mai 2019 die Verordnung (EU) 2019/796 über restriktive Maßnahmen gegen Cyberangriffe, die die Union oder ihre Mitgliedstaaten bedrohen[25]. Diese, auf Art. 215 AEUV gestützte, Verordnung, gilt für Cyber-Angriffe mit erheblicher Auswirkung, einschließlich versuchter Cyber-Angriffe mit potenziell erheblichen Auswirkungen, die eine externe Bedrohung für die Union oder ihre Mitgliedstaaten darstellen (Art. 1).

Auch diese Verordnung wurde in der Folge durch die Durchführungsverordnung (EU) 2020/1125 des Rates vom 30. Juli 2020[26], dahingehend ergänzt, dass in sie ein identer Anhang – wie derjenige zum vorstehenden Beschluss (GASP) 2019/797 – aufgenommen wurde.

Die restriktiven Maßnahmen bestehen in diesem Zusammenhang in einem Reiseverbot sowie dem Einfrieren von Vermögenswerten für natürliche Personen sowie für Unternehmen oder Einrichtungen. Darüber hinaus ist es Personen und Organisationen in der EU untersagt, den aufgeführten Personen bzw. Organisationen oder Körperschaften direkt oder indirekt Mittel zur Verfügung zu stellen.[27] Die Sanktionen sind Optionen aus der vorerwähnten „Toolbox“, auf die sich die Mitgliedstaaten bereits im Juni 2017 verständigt hatten.

Eine Motivation für die Verhängung der Sanktionen zum jetzigen Zeitpunkt scheint die drastische Zunahme cyber-krimineller Aktivitäten im Zuge der Corona-Pandemie zu sein, die sich unter anderem gegen das Gesundheitswesen sowie andere kritische Infrastrukturen richten.[28] Am 30. April 2020 hatte der Hohe Vertreter der EU für Außen- und Sicherheitspolitik, Josep Borrell, in einer Erklärung, die er im Namen der EU abgab, bekräftigt, dass Versuche, „die Funktionsfähigkeit kritischer Infrastrukturen zu beeinträchtigen“, nicht hingenommen werden können.[29] 

Schlussbetrachtungen

Der erstmalige Einsatz des neuen Sanktionsregimes der EU gegen Cyberangriffe richtet sich spektakulär gegen die weltweit wichtigsten staatlichen Akteure in dieser Materie, nämlich den russischen Militärgeheimdienst GRU sowie den chinesischen Staatssicherheitsdienst. Konkret sind von den angedrohten Maßnahmen – wie Einfrieren von in der EU belegenen Vermögen, oder Einreiseverbote – physisch vier russische GU/GRU-Agenten und zwei Chinesen, denen ein Naheverhältnis zum Staatssicherheitsdienst nachgesagt wird, betroffen.[30]

Sowohl die russischen, als auch die chinesischen Aktivisten sind bereits durch frühere Cyber-Attacken bekannt. So wurden die vier Russen im Jahr 2000 dabei ertappt, wie sie versuchten, die Labors der OPCW in Den Haag zu „hacken“, in denen unter anderem der Ursprung des russischen Nervengifts Nowitschok untersucht wurde, mit dem andere GU/GRU-Agenten zwei Jahre zuvor, nämlich am 4. März 2018, in Salisbury einen Mordanschlag auf Sergei Skripal und dessen Tochter Julija verübt hatten.[31] Die beiden chinesischen Spione sowie ihr Unternehmen Tianjin Huaying Haitai wiederum hatten von spätestens 2006 bis 2018 mindesten 45 westliche Technologiefirmen bestohlen. Im Übrigen seien sie bereits von den USA sanktioniert worden.[32]

Was hingegen die Sanktionierung juristischer Personen betrifft, so sind davon eine chinesische Scheinfirma und ein staatliches nordkoreanisches Unternehmen erfasst, das unter anderem auch hinter dem Datendiebstahl beim Filmstudio Sony Pictures steht.

Bei diesen Sanktionen ist aber grundsätzlich festzuhalten, dass die EU expressis verbis nicht die Regierungen Russlands, Chinas und Nordkoreas beschuldigt, wenngleich die sanktionierten Personen als „Staatsbeamte“ und die Scheinfirmen als „staatsnah“ eingestuft werden müssen.

Die Reaktionen von Russland und China auf diese Sanktionen der EU erfolgten prompt und unmissverständlich: Das russische Außenministerium betrachtete die Sanktionen als „unfreundlichen Akt“, der nicht unbeantwortet bleiben dürfe, und drohte mit Maßnahmen, die, wie immer in der Diplomatie, „spiegelbildlich“ sein würden. Die chinesische Regierung wiederum zeigte sich „tief besorgt“ über die Sanktionen der EU, und der Sprecher des Außenministeriums, Wang Wenbin, erklärte am 31. Juli 2020 vor der Presse, dass Peking die Entwicklung genau verfolgen werde. Zum einen sei die Nachverfolgung von Cyber-Attacken hoch komplex und heikel, und zum anderen habe die EU selbst erklärt, dass die Sanktionen nicht auf ein bestimmtes Land abzielen würden. China hoffe, dass die EU „nicht zu strafenden oder konfrontativen Maßnahmen“ greifen werde, und im Übrigen sei China selbst eines der Opfer von Cyber-Angriffen.[33]

Am 13. Juli 2020 kündigte die im Vorsitz befindliche deutsche Bundesregierung an, dass seitens der EU gegen russische Hacker, die für den Cyberangriff auf den deutschen Bundestag im Jahr 2015 verantwortlich waren, Sanktionen verhängt werden sollten. Dabei wurden rund 16 Gigabyte an Daten, Dokumenten und E-Mails aus dem Bundestagsnetz gestohlen, darunter auch Tausende von E-Mails aus dem Büro von Bundeskanzlerin Angela Merkel. Sollte dies tatsächlich der Fall sein, dann wäre es nicht nur der zweite Sanktionsfall der EU an sich, sondern auch der erste, der sich direkt gegen Russland richten würde.[34]    

_________________________________________

[1] EU-Zentrum zur Bekämpfung der Cyberkriminalität und zum Verbraucherschutz beim elektronischen Geschäftsverkehr, IP/12/317, S. 1.

[2] KOM(2001) 298 endg.

[3] ABl. 2002, L 108, S. 33 ff.

[4] Jetzt Art. 114 AEUV; diese Bestimmung regelt die Rechtsangleichung im Binnenmarkt.

[5] ABl. 2004, L 77, S. 1 ff.

[6] VO (EG) Nr. 1007/2008 (ABl. 2008, L 293, S. 1) und VO (EG) Nr. 580/2011 (ABl. 2011, L 165, S. 3).

[7] ABl. 2013, L 165, S. 41 ff.

[8] ABl. 2019, L 151, S. 15 ff.

[9] KOM(2010) 245 endg.

[10] IP/10/1535; MEMO/10/598.

[11] IP/12/317

[12] https://ec.europa.eu/commission/presscorner/detail/de/IP_13_13

[13] COM JOIN (2013) 1 final, S. 5 ff.

[14] COM(2014) 72 final/2.

[15] Rat Dok 6122/15.

[16] Rat Dok 9916/17 vom 7. Juni 2017, Annex S. 3 ff.; vgl. WK 2569/2017 INIT

[17] Cyber-Angriffe: Die EU ist bereit, mit einer Reihe von Maßnahmen, einschließlich Sanktionen, zu reagieren, Pressemitteilung des Rates der EU vom 19. Juni 2017; https://www.consilium.europa.eu/en/press/press-releases/2017/06/19/cyber-diplomacy-toolbox/

[18] Cyber-Angriffe: Der Rat kann jetzt Sanktionen verhängen, Rat Pressemitteilung vom 17. Mai 2019; https://www.consilium.europa.eu/en/press/press-releases/2019/05/17/cyber-attacks-council-is-now-able-to-impose-sanctions/

[19] Erklärung des Hohen Vertreters Josep Borrell im Namen der EU zu böswilligen Cyberaktivitäten, die die Coronavirus-Pandemie ausnutzen; https://www.consilium.europa.eu/en/press/press-releases/2020/04/30/declaration-by-the-high-representative-josep-borrell-on-behalf-of-the-europe… 

[20] Empl, J. Auf Angriffsszenarien vorbereiten, SN vom 8. August 2020, S. 14.

[21] ABl. 2019, L 129 I, S. 13 ff.

[22] ABl. 2020, L 153, S. 4.

[23] ABl. 2020, L 246, S. 12 ff.

[24] ABl. 2020, L 246, S. ^14 ff.

[25] Verordnung des Rates (EU) 2019/796; ABl. 2019, L 129 I, S. 1 ff. 

[26] ABl. 2020, L 246, S. 4 ff.

[27] Die EU verhängt die ersten Sanktionen gegen Cyber-Angriffe, Pressemitteilung des Rates vom 30. Juli 2020.

[28] Vgl. Roos, U. EU sanktioniert erstmals russische und chinesische Cyberkriminelle; https://www.heise.de/news/EU-sanktioniert-erstmals-russische-und-chinesische-Cyber

[29] Erklärung des Hohen Vertreters Josep Borrell im Namen der EU zu böswilligen Cyberaktivitäten, die die Coronavirus-Pandemie ausnutzen, Pressemitteilung des Rates vom 30. April 2020.

[30] Vgl. Rettman, A. Erster Einsatz neuer EU-Sanktionen gegen Russland, China-Hacker, EUOBSERVER vom 31. Juli 2020; https://euobserver.com/foreign/149086?utm_source=euobs&utm_medium=email

[31] Rüesch, A. Chemiewaffen-Organisation bestätigt Einsatz von Nowitschok, NZZ vom 12. April 2018; https://www.nzz.ch/international/salisbury-opwc-bestaetigt-einsatz-von-nowitschok-ld

[32] Vgl. Grimm, O. EU-Cybersanktionen als Warnung an Russland und China, Die Presse vom 1. August 2020, S. 11.

[33] EU-Sanktionen gegen Hacker: Russland plant Gegenmaßnahmen, China „tief besorgt“; https://www.heise.de/news/EU-Sanktionen-gegen-Hacker-Russland-plant-Gegenmass

[34] Berlin will erstmals EU-Cyber-Sanktionen gegen Russland anwenden, EUOBSERVER, vom 13. 7. 2020; https://euobserver.com/tickers/148923.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Das könnte Sie auch interessieren

OLG Wien – 03. Oktober 2024 – Freispruch für Prof. Gert Schmidt und Mitangeklagten

OLG Wien – 03. Oktober 2024 – Freispruch für Prof. Gert Schmidt und Mitangeklagten

  Mag. Timo Gerersdorfer ist Rechtsanwalt und Strafverteidiger und hat Prof. Gert Schmidt vertreten. Kommentar …