Standard: Sie haben unlängst einen Bericht zu Cybersecurity vor dem EU-Parlament vorgestellt und darin 23 Empfehlungen gegeben. Was genau haben Sie gefordert?

Klimburg: Unsere Studie ist vier Monate alt, wurde aber erst vor wenigen Tagen präsentiert. Einige unserer Empfehlungen sind inzwischen umgesetzt, wie das CERT (Computer Emergency Response Team, eine Art Erste Hilfe in IT-Fragen, Anm.) für die EU-Institutionen. Grundsätzlich sind drei Punkte wichtig: Die EU-Informationssicherheitsmaßnahmen sind absolut unzureichend, das CERT ist nur ein erster Schritt in die richtige Richtung. Zweitens: Ab einer bestimmten Geheimhaltungsstufe sind Verschlüsselungstechniken für E-Mails vorgeschrieben, werden aber teilweise nicht angewandt. Punkt drei: Sehr wenige Personen, die sich mit Cybersicherheit beschäftigen, haben tatsächlich auch eine europäische Sicherheitsüberprüfung. Das bedeutet, dass wichtige Informationen über Cyberangriffe nicht ausreichend im System kommuniziert werden. Da muss es sofort Änderungen geben.

Standard:
Wer koordiniert die EU-Cyberpolitik?

Klimburg: Es gibt kein europäisches Cyberzentrum, aber tausende verschiedene kleine Programme, die sich etwa mit Cyberkriminalität oder dem Schutz kritischer Infrastruktur befassen. Einen gemeinsamen Ansatz, wie man die Cyber-Domäne als außenpolitische Konstante behandeln will, fehlt. Sie wird nicht in die Gemeinsame Außen- und Sicherheitspolitik eingearbeitet. Zur Zeit ist es etwa nicht möglich, dass die Staats- und Regierungschefs zu Cyberfragen gebrieft werden. Das ändert sich aber hoffentlich bald.

Standard: Welche Konstanten gibt es in diesem Politikfeld?

Klimburg: Man spricht einerseits von Abschreckungsstrategien, andererseits vom Aufbau von Widerstandsfähigkeit gegen Angriffe aus dem Cyberspace. Die Amerikaner gehen eher auf Abschreckung, weil sie nicht der Meinung sind, dass sie ihre Systeme ausreichend sichern können. Deswegen hört man in letzter Zeit auch so viel über ihre Strategie. Die Europäer dagegen zielen auf Widerstandsfähigkeit. Allerdings: Zu hundert Prozent kann man auf keinen der Ansätze setzen. Auch in Europa braucht es Abschreckung.

Standard: Wie kann die aussehen?

Klimburg: Das Wenigste ist, dass es ein starkes gemeinsames Signal an Angreifer aus Brüssel geben muss.

Standard:
Die wenigsten EU-Staaten haben in ihren Streitkräften offensive Cyberkapazitäten. Tut sich da nicht eine Kluft auf?

Klimburg: Das ist eine Kernfrage. Im Gegensatz zu anderen Domänen kann ein europäischer Kleinstaat durch einen Cyberangriff in die Knie gezwungen werden. Unternimmt die EU nichts dagegen, wäre das ein Skandal sondergleichen, den die Union möglicherweise selbst nicht überleben würde. Die Frage nach dem Gegenangriff ist also berechtigt. Der kann politisch sein, wirtschaftlich oder im Cyberspace erfolgen. Ein Angriff mit herkömmlichem Militär dagegen ist eher ausgeschlossen, weil Cyberangriffe in neun von zehn Fällen nicht genau zugeordnet werden können. Die Frage also ist, wie die großen Staaten wie Deutschland, Großbritannien oder Frankreich mit Cyberkapazitäten die kleinen unterstützen wollen. (Das gespräch führte  Christoph Prantner, DER STANDARD Printausgabe, 28. Juni 2011)