Die EU-Kommission will Cyber-Angriffen entschlossener begegnen und hält dabei auch offensive Mittel für legitim. „Die Zeit der Unschuld ist vorbei. Wir wissen, dass wir ein Ziel sind und bauen jetzt die Fähigkeit auf, dem standzuhalten und darauf zu antworten“, sagte der für Sicherheit verantwortliche Vizepräsident Margaritis Schinas bei der Vorstellung einer neuen Strategie für die Cybersicherheit am Mittwoch. Binnenmarkt-Kommissar Thierry Breton sagte: „Wir müssen uns für diesen neuen Krieg wappnen.“ Zu möglichen Gegenangriffen wollte er sich nicht äußern. Das sei vertraulich und Sache der Mitgliedstaaten. „Die arbeiten hart daran“, fügte der Franzose hinzu.

In dem Strategiepapier heißt es, der EU-Außenbeauftragte Josep Borrell werde mit der Kommission eine Position zur „Cyber-Abschreckung“ erarbeiten. Dabei werde er insbesondere Orientierungshilfen dafür geben, „wie Angriffe zurückgeschlagen werden können, die die größte Wirkung erzielen, weil sie unsere kritische Infrastruktur, demokratischen Institutionen und Prozesse beeinträchtigen“. Es gehe darum, wie die EU „politische, wirtschaftliche, diplomatische, rechtliche und kommunikationsstrategische Werkzeuge“ einsetzen könne, um Angriffen entgegenzutreten. Die direkte Vergeltung von Angriffen wird nicht ausdrücklich erwähnt, einer Frage dazu wich Borrell aus. Doch deuteten der Begriff „Abschreckung“ und die Bemerkungen der anderen Kommissare darauf hin, dass sogenannte „Hackbacks“ nicht mehr ausgeschlossen werden.

Im vergangenen Jahr verzeichnete die EU fast 450 Angriffe auf kritische Infrastrukturen, also Systeme, die für eine Gesellschaft lebenswichtig sind. Dazu gehören Energie- und Verkehrsnetze ebenso wie die Gesundheitsversorgung. Erst vorige Woche erbeuteten Hacker bei der Europäischen Arzneimittelbehörde  Zulassungsdaten von Impfstoffherstellern. Schinas verwies zudem auf einen Angriff, der im September die gesamte IT des Universitätsklinikums Düsseldorf lahmlegte; eine Patientin musste abgewiesen werden und starb kurze Zeit später. Dies sei der „erste Cyber-Todesfall in Europa“ gewesen. „Es gibt viele staatliche und nichtstaatliche Akteure, die sehen wollen wie Europa scheitert“, sagte Schinas. Außerdem gebe es viele strategische Wettbewerber, die Schwächen ausnutzten, um sich einen Wettbewerbsvorteil zu verschaffen.

Seit Mai vergangenen Jahres verfügt die EU über ein eigenes Sanktionsregime gegen Cyberangriffe. In diesem Rahmen hat sie Reise- und Kontosperren gegen insgesamt acht Chinesen und russische Mitarbeiter des Militärgeheimdienstes GRU verhängt, unter anderem wegen des Hacker-Angriffs auf den Deutschen Bundestag 2015. Borrell schlug am Mittwoch vor, solche Entscheidungen künftig nicht mehr einstimmig, sondern mit qualifizierter Mehrheit zu treffen. Dagegen sperren sich die Mitgliedstaaten jedoch. Die Cybersicherheitsstrategie sieht außerdem den Aufbau einer „Gemeinsamen Cybereinheit“ vor, in der sich Fachleute aus EU-Behörden und den Mitgliedstaaten regelmäßig austauschen und  Gegenmaßnahmen koordinieren. Die Kommission will dazu im Februar kommenden Jahres einen konkreten Vorschlag präsentieren.