Die EU-Mitgliedstaaten können nach Brüssel nicht warten, wenn es um die Stärkung ihrer Cyber-Offensivfähigkeiten geht

Die europäische Cyberabwehr ist schwach und anfällig. In Zeiten geopolitischer Spannungen sind die Computersysteme unseres Kontinents ein leichtes Ziel für Hacker und feindliche Nationen. Wir müssen uns besser schützen. schreibt Antonia-Laura Pup.

Während der Block Fortschritte bei der Stärkung einiger Cyber-Abwehr-Infrastrukturen machte, unter anderem durch seine jüngste Cyber-Resilienz-GesetzDie EU hinkt bei der Entwicklung robuster offensiver Cyberfähigkeiten weiterhin hinter Russland, China und den USA hinterher. Dieses Problem lässt sich leicht lösen. Es reicht aus, die Regeln zu lockern, damit die EU-Mitgliedstaaten leichter zusammenarbeiten können. Europa braucht Interoperabilität und mehr gemeinsame Übungen zwischen Ländern, die bereits über diese Fähigkeiten verfügen und eine gemeinsame Bedrohungsanalyse durchführen.

Die Natur des Cyberkonflikts macht die Unterscheidung zwischen Friedens- und Kriegszeiten obsolet. Staatliche Akteure mit undurchsichtigen strategischen Absichten wie Russland und China sowie nichtstaatliche Akteure wie kriminelle Gruppen und Hacktivisten können kritische Infrastrukturen angreifen, wertvolle Informationen sammeln und Störangriffe starten, ohne dabei die Schwelle eines bewaffneten Konflikts zu überschreiten. Das bedeutet, dass Europa seine Reaktion sorgfältig abwägen muss.

Vor der Präsidentschaftswahl im Jahr 2024 85,000 Cyberangriffe Rumäniens Wahlsystem getroffen. Dies veranlasste den rumänischen Geheimdienst, öffentlich bekräftigen Websites zu nationalen Wahlen wurden Stunden vor den Wahlen auf russischen Cybercrime-Plattformen veröffentlicht. Im Jahr 2024 knüpften chinesische Hacker Verbindungen zum nationalen Geheimdienst MSS. zielte durch Cyberangriffe auf antichinesische europäische Gesetzgeber um sensible Daten zu sammeln.

In der Grauzone des Cyber-Bereichs ist die defensive und passive Haltung der EU unzureichend. Ohne robuste Cyber-Fähigkeiten kann die EU keine Vergeltungsschläge androhen, die ein wesentlicher Bestandteil der Abschreckung und ein Schlüsselelement für die Glaubwürdigkeit des Blocks in sein Versuch, militärisch relevanter zu werden.

Die Europäische Kommission erkannte diese Dringlichkeit in ihrem Weißbuch zur europäischen Verteidigung, veröffentlicht im März 2025, der dem EU-Cyberbereich den dringend benötigten Pragmatismus verlieh. „Um den Schutz und die Handlungsfreiheit im Cyberspace zu gewährleisten, sind sowohl defensive als auch offensive Cyberfähigkeiten erforderlich“, hieß es darin.

Die europäische Sicherheit kann jedoch nicht auf die Entwicklung neuer Unterstützungsprogramme oder gemeinsamer Cyber-Offensivfähigkeiten im gesamten Block warten. Das Problem ist grundlegender. Es fehlt sogar an einem gemeinsamen Verständnis darüber, was ein Cyber-Risiko darstellt. Für Ungarn, das eine bedeutende Partnerschaft mit Huawei für die digitale Transformationist es viel unwahrscheinlicher, dass ihre politischen Führer zustimmen würden, dass China ein Cyberrisiko darstellt.

Auch die slowakische Regierung unter Führung von Russland-Sympathisant Fico, könnte sich als Hindernis für die EU-Bemühungen erweisen, offensive Operationen gegen Moskau durchzuführen. Allein diese beiden Länder könnten eine Initiative zur Entwicklung gemeinsamer Cyber-Offensivfähigkeiten im Rahmen der Gemeinsame europäische Sicherheits- und Verteidigungspolitik, die für ihre politischen Entscheidungen Einstimmigkeit benötigt. Ohne eine gemeinsame Sichtweise auf die Sicherheitsbedrohung würden EU-weite Bemühungen um gemeinsame Angriffsfähigkeiten im Cyberspace zu einem hohlen Projekt, bevor sie überhaupt begonnen haben.

Mit diesem politischen Kalkül ist keine Zeit zu verlieren. Die Mitgliedstaaten sollten nicht auf eine EU-weite gemeinsame Angriffsfähigkeit im Cyberbereich warten. Sie sollten jetzt beginnen, durch mehr freiwillige gemeinsame Übungen der europäischen Verbündeten und mehr Interoperabilität, einschließlich der EU-Beitrittskandidaten mit Erfahrung in der Durchführung offensiver Cyberoperationen, wie zum Beispiel Ukraine.

Sie könnten sich beispielsweise mit der PESCO befassen (Ständige strukturierte Zusammenarbeit). Der im Dezember 2017 auf EU-Ebene geschaffene Rahmen ermöglicht es willigen und fähigen EU-Mitgliedern, im Bereich Sicherheit und Verteidigung enger zusammenzuarbeiten, ohne dass die einstimmige Zustimmung anderer Mitgliedstaaten erforderlich ist. Als freiwillige Plattform ermöglicht er den Mitgliedstaaten, gemeinsame Verteidigungsfähigkeiten zu entwickeln, in gemeinsame Projekte zu investieren und durch eine engere Zusammenarbeit die Einsatzbereitschaft zu erhöhen.

Im Rahmen der PESCO laufen bereits Cyber-Initiativen. Cyber-Schnellreaktionsteams (CRRT) Das PESCO-Projekt erreichte im Mai 2021 als erstes derartiges Projekt seine volle Einsatzfähigkeit. Es vereint acht bis zwölf Cybersicherheitsexperten aus den sechs teilnehmenden EU-Ländern (Kroatien, Estland, Litauen, Niederlande, Polen und Rumänien), um bei Cybervorfällen in der Umgebung von EU-Mitgliedsländern, Institutionen und Partnerländern Unterstützung zu leisten. Auch EU-Kandidatenländer mit Erfahrung in der Bekämpfung von Cyberangriffen könnten sich diesem PESCO-Projekt anschließen und es erweitern. Diese breitere Allianz kann dann ihren Fokus auf gemeinsame offensive Cyberübungen erweitern.

PESCO ist reif für eine Erweiterung. Die Mitgliedstaaten sollten eine Ausweitung in Erwägung ziehen, indem sie den EU-Beitrittsländern die Beteiligung ermöglichen, aber auch den Cyber-Fokus auf offensive Fähigkeiten und gemeinsame Cyber-Offensivübungen ausweiten.

Auch die Interoperabilität muss Priorität haben. In diesem Fall Zentren für Informationsaustausch und -analyse (ISAC) sollen die Zusammenarbeit zwischen Cybersicherheitsgemeinschaften verschiedener Wirtschaftssektoren fördern. Die Entwicklung von ISACs für offensive Cyberfähigkeiten würde Konsultationen mit mehreren Interessengruppen ermöglichen und die Ermittlung des Unterstützungsbedarfs von Unternehmen ermöglichen, unter anderem durch den Abbau bürokratischer Hürden für Start-ups, die sich an der Entwicklung offensiver Cyberfähigkeiten für die EU beteiligen möchten.

Die EU muss ihre offensiven Cyberfähigkeiten flexibler ausbauen – durch mehr gemeinsame Übungen, mehr Interoperabilität durch Informationsaustausch und weniger Bürokratie für Wirtschaftsakteure, die diese Anstrengungen schultern wollen. Auf politischen Konsens und gemeinsame Reife auf Blockebene zu warten, ist jedoch kontraproduktiv und würde die Europäische Union gegenüber staatlichen Akteuren, die die Cyberoffensive bereits mit großem Geschick einsetzen, noch weiter zurückwerfen. Mit Pragmatismus muss die EU ihre offensiven Cyberfähigkeiten weiter ausbauen, und sei es nur, indem sie diejenigen zusammenbringt, die bereits einsatzbereit sind.

Antonia-Laura Pup ist Policy Fellow bei Young Voices Europe. Sie studiert Sicherheitswissenschaften an der Georgetown University und forscht dort zum Einfluss Chinas in der Schwarzmeerregion. Die gebürtige Rumänin beriet zuvor den Vorsitzenden des Verteidigungsausschusses im rumänischen Parlament. Zuvor war sie für die OECD und das Europäische Parlament tätig.

Teile diesen Artikel: