Die liberalen Demokratien der EU werden bedroht wie noch nie. Nicht nur sind die Amerikaner kein verlässlicher Partner mehr, sondern auf dem direkten Weg in den Autoritarismus. Trump und Vance machen keinen Hehl daraus, dass sie die EU verachten und von innen heraus zersetzen wollen. Ähnliche Ziele teilen auch Russland und zum Teil China.
Manuel "HonkHase" Atug ist Cyber-Sicherheitsexperte mit dem Schwerpunkt Schutz kritischer Infrastrukturen und als Berater und Prüfer tätig. Er ist Gründer und Sprecher der unabhängigen AG KRITIS.
Matthias Schulze ist Cyber-Sicherheitsexperte mit jahrelanger Erfahrung in diesem Bereich. Er leitet den Forschungsschwerpunkt Internationale Cybersicherheit am Institut für Friedensforschung und Sicherheitspolitik in Hamburg (IFSH) und hostet den Percepticon.de Podcast.
Eine kluge, vorausschauende Politik sollte da vom Schlimmsten ausgehen. Im Worst Case stehen die EU-Demokratien in wenigen Jahren alleine da, umgeben von autoritären Mächten. Autoritäre Staaten nutzen die ihnen zur Verfügung stehenden Mittel, ob nun Gaspipelines wie Nord Stream oder technologische oder wirtschaftliche Abhängigkeiten, immer wieder für eine Politik der Erpressung. US-Vizepräsident Vance hat bereits angedeutet, dass die US-Sicherheitsgarantien für EU- und NATO-Staaten durch die EU-Techregulierung amerikanischer Unternehmen entfallen könnten. Die Abhängigkeit von US-Technik ist damit für die EU zum nationalen Sicherheitsrisiko geworden.
Tech-Abhängigkeiten
Europa ist in zahlreichen Technologiefeldern wie Netzwerkkomponenten (Cisco, F5, Fortigate, Palo Alto, Extreme Networks), Infrastruktur-Software (Microsoft Active Directory, Sharepoint), Virtualisierung und Cloud-Computing (Azure, AWS und Google haben zusammen über 70 Prozent Marktanteil in Europa), Datenbanken (Oracle, IBM), Mainframes (IBM) oder Betriebssysteme (Windows, macOS, iOS, Android) von US-Konzernen abhängig. US-Firmen besitzen einen Großteil aller für die EU relevanten Unterseeglasfaserkabel. Meta investiert gerade zehn Milliarden US-Dollar in neue Glasfaserleitungen weltweit. Dazu kommen Abhängigkeiten bei Halbleitern, Quantentechnologien, KI und Überwachungssoftware bei Strafverfolgungsbehörden und Geheimdiensten (Palantir).
Die damit einhergehenden Risiken gehen weit über das Überwachen und Ausspionieren europäischer Daten mittels CLOUD Act, Patriot Act und Foreign Intelligence Surveillance Act (FISA) hinaus. Wenn man vom Schlimmsten ausgeht, könnten US-Firmen gezwungen werden, Dienstleistungen oder den Verkauf von Produkten in Europa zu begrenzen oder an Bedingungen zu knüpfen. Diese Politik setzen die Amerikaner bereits gegenüber China ein – Stichwort Halbleiter. Die Biden-Regierung ordnete ähnliche Maßnahmen als Teil der Sanktionen gegen Russland an, sodass US-Unternehmen ihre Software-Dienste gegenüber Russland einschränkten.
Trump könnte Microsoft, Apple, Google, Amazon, Meta, IBM und Palantir anweisen, europäische Daten, Unternehmens- und Behördenumgebungen in US-Clouds, aber auch lokalen Umgebungen unzugänglich zu machen und diese erst bei Erfüllung von politischen Konzessionen wieder freigeben. Politisch motivierter "Denial of Service", also die Androhung der Abschaltung wesentlicher Dienste wie Starlink in der Ukraine, könnte auch als Druckmittel gegen Europa eingesetzt werden. Dies wiegt umso schwerer, da inzwischen viele kritische Infrastrukturen (KRITIS) ebenso wie Regierungen und Behörden-Einrichtungen aus Europa auf US-Cloud-Umgebungen und KI aus den USA setzen.
Und weil so viele Einrichtungen und Unternehmen der EU von US-Diensten abhängig sind, könnte solch ein "Denial of Service" als ökonomisches Zwangsmittel gezielt massive Produktionsausfälle in der Industrie ebenso wie Versorgungsnotstände für die Bevölkerung und Gefährdungen der öffentlichen Sicherheit auslösen. Man denke an den CrowdStrike-Ausfall von 2024, nur statt eines Versehens absichtlich. So etwas wäre technisch möglich, da Sicherheitssoftware oft hohe Systemrechte hat und auf vielen Systemen europäischer Unternehmen und Verwaltungen installiert ist. Da bekommt der Begriff Erpresser-Software oder Ransomware eine völlig neue Bedeutung.
Europa hätte seit 2019 Lehren ziehen können aus der Diskussion um die Causa Lex Huawei und die Frage, ob man dem chinesischen Anbieter beim 5G-Netzausbau vertrauen darf. Aber bisher ist nur wenig passiert. Wann im Rahmen des Risikomanagements EU-Regierungen, die Wirtschaft und insbesondere kritische Infrastrukturen eine neue Bewertung der USA als ehemals zuverlässiger Partner vornehmen werden, ist derzeit nicht absehbar.
Norwegen und Dänemark warnen immerhin inzwischen vor US-Cloud-Anbietern. Zu viele warten allerdings derzeit ab, diskutieren zaghaft und handeln vor allem spät, wie es oft in Krisensituationen der Fall ist. Man fragt sich, ob und wann das Bundesinnenministerium das BSI anweisen wird, eine Warnung vor US-Produkten zu veröffentlichen, wie bei der russischen Antivirensoftware-Firma Kaspersky. Derzeit ist auch an dieser Stelle sehr viel Schweigen im Wald, Bevölkerung und Wirtschaft stehen in dieser schwierigen Situation alleine da.
Schwachstellen
Schlimmstenfalls könnten US-Unternehmen und Geheimdienste angewiesen werden, Sicherheitsupdates und Erkenntnisse über Schwachstellen aktiv zurückzuhalten. Das würde unsere IT-Sicherheit massiv beeinträchtigen und uns noch verwundbarer gegenüber russischen oder chinesischen Cyber-Angriffen, aber auch der organisierten Kriminalität machen. Ebenso könnte der Ringtausch unter Geheimdiensten stärker politisiert werden: "Wir geben euch Informationen, etwa über von uns detektierte Cyberangriffe gegen eure Systeme erst, wenn wir etwas dafür bekommen." Insbesondere das BKA, der BND, aber auch die NATO sind stark abhängig von US-Informationen, sowohl von den US-Geheimdiensten als auch aus dem Privatsektor. Zahlreiche Cyberangriffe konnten offenbar nur aufgrund ausländischer Tipps erkannt werden.
Ähnlich problematisch wäre die Politisierung des Schwachstellenökosystems, das bisher liberalen Globalisierungsidealen folgte: Ethische Hackerinnen und Hacker suchen Schwachstellen und melden sie an Behörden und Unternehmen, damit diese die Hersteller informieren, sodass sie Sicherheitsupdates bereitstellen, um die IT-Sicherheit aller Nutzerinnen und Nutzer kollektiv zu erhöhen. Gefundene Sicherheitslücken werden vornehmlich nach US-Standards katalogisiert, Bug-Bounty-Programme sind vorwiegend auf US-Unternehmen ausgerichtet, zahlen also in die dortige Cybersicherheit ein und nicht in unsere. In einer post-liberalen, autoritären Ordnung kann das zur Waffe werden.
Europa war bis vor kurzem eher langsam und zögerlich gewesen, eigene Strukturen wie Bug-Bounty-Programme und -Plattformen oder auch europaweit koordinierte Vulnerability-Disclosure-Prozesse in Behörden und Unternehmen aufzubauen. Hier gibt es jetzt aber eine klare Verbesserung: Die EU hat in dieser Woche Ihre eigene Schwachstellendatenbank EUVD initial in Betrieb genommen. Das dürfte die viele Jahre herrschende US-Vorreiterrolle relativieren und damit die Unabhängigkeit von den USA stärken.
In Deutschland verhindert nach wie vor der Hackerparagraf 202c im Strafgesetzbuch (StGB) die Teilhabe an der nationalen IT-Sicherheit, da sich Sicherheitsforscher stets selbst gefährden, wenn sie eine Schwachstelle in Deutschland melden. Auch der § 5 "Abhörverbot, Geheimhaltungspflicht der Betreiber von Funkanlagen" des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) macht die Lage in Deutschland nicht besser. Die Ampel-Regierung wollte hier dringend benötigte Reformen anstoßen, was aber vor dem Koalitionsende nicht gelang.
English (US) ·