Restriktive Maßnahmen der EU gegen Cyberangriffe

Bereits im Mai 2019 hat die EU mit zwei Maßnahmen auf die Gefahr von Cyberangriffen von außen reagiert, die bisher nicht wirklich öffentliche Aufmerksamkeit hatten.

Update: Am 30. Juli 2020 wurden erstmals in diesem Zusammenhang Maßnahmen gegen hacker ergriffen

Im Fall eines erheblichen Angriffs, der seinen Ursprung von außerhalb der EU hat und sich gegen kritische Infrastrukturen oder bedeutende Einrichtungen der EU bzw. der Mitgliedstaaten richtet, kann die EU über ihre Mitgliedstaaten inzwischen zweigleisig vorgehen:

  1. Gelder einfrieren: Sämtliche Finanzmittel und Vermögenswerte können sofort eingefroren werden mit der Verordnung 2019/796 – dies bei natürlichen und juristischen Personen und dabei ausdrücklich auch von Hinterleuten und Helfern.
  2. Einreiseverbot: Mit dem Beschluss des Rates der Europäischen Union 2019/797 sowie der zugehörigen Durchführungsverordnung 2020/1125 soll darüber hinaus natürlichen Personen durch den Mitgliedstaaten die Einreise verweigert werden, die Staaten ergreifen entsprechende Maßnahmen. Zum einen wenn sie für (versuchte) Cyberangriffe verantwortlich sind oder finanzielle, technische oder materielle Unterstützung für Cyberangriffe leisten -aber auch, wenn sie auf andere Weise behilflich sind, etwa durch Planung, Vorbereitung, Mitwirkung, Steuerung, Unterstützung oder Ermutigung, gleich ob sie dabei nur daran beteiligt sind oder eine Handlung oder Unterlassung vorliegt.

Die entsprechenden betroffenen Personen und Organisationen werden (später) in den jeweiligen Anhängen aufgelistet werden. Es zeigt sich damit, dass zumindest auf EU-Ebene recht hart gegen (potentielle) Angreifer vorgegangen werden soll und ganz erhebliche Konsequenzen drohen.

Update 2020

Erstmals wurden zum 30. Juli 2020 – in Form einer Änderung des bisherigen Beschlusses, weil man die Anlagen inhaltlich umgestalten muss! – 6 ausländische Hacker sowie drei juristische Personen benannt, gegen die sich dann weitere Maßnahmen richten (können). Bemerkenswert ist, dass sich bei den juristischen Personen eben nicht nur Hacker-verbünde im eigentlichen Sinne befinden, sondern direkt auch eine staatliche Organisation, nämlich das „Hauptzentrum für Spezialtechnologien (GTsST) der Hauptdirektion des Generalstabs der Streitkräfte der Russischen Föderation (GU/GRU)“, dem man Mitverantwortung für NotPetya und Sandworm zuschiebt (dazu auch ein Bericht bei Heise)

Es zeigt sich damit zunehmend eine Verschärfung der auf nationaler Ebene ausgeführten Hackangriffe und Gegenmaßnahmen. Es dürfte eine weitere Verschärfung einerseits sein, dass nun offiziell die Russische Föderation von der EU benannt wird; andererseits – und dies ist zunehmend kurios – werden zwar weite Teile eines auf nationaler Ebene fortlaufenden „kalten Cyberkriegs“ öffentlich gemacht, von der Öffentlichkeit aber gar nicht (ernsthaft) wahrgenommen.

Fachanwalt für IT-Recht Jens Ferner