Gastkommentar zur EU-Cybersicherheitspolitik: Menschliche Sicherheit kommt zu kurz

Die Sicherheitspolitik der Europäischen Union ist von traditionellem Denken und einer mangelnden Bereitschaft geprägt, der eigenen menschenrechtlichen Rhetorik die angemessenen Taten folgen zu lassen. Dies ändert auch die jüngst von der EU-Kommission vorgestellte Cybersicherheitsstrategie nicht. Sie widmet sich der Widerstandsfähigkeit der eigenen Netzstrukturen, der Bekämpfung von Cyberkriminalität und dem Aufbau von Kapazitäten gegen Angriffe auf kritische Infrastrukturen. Der Schutz der menschlichen Sicherheit aber bleibt unkonkret.

Menschliche Sicherheit, im englischsprachigen Raum als Human Security bezeichnet, geht von einem erweiterten Sicherheitsbegriff aus, der im Gegensatz zu traditionellen Sicherheitskonzepten nicht den Schutz des Staates, sondern den des Individuums und seiner Menschenwürde in den Mittelpunkt der Betrachtung stellt. Diesen Sicherheitsbegriff legt die Kommission zugrunde, wenn sie in ihrer Cybersicherheitsstrategie auf die "No disconnect"-Strategie verweist. Mit dieser setzt sich die EU das Ziel, Menschenrechte und Grundfreiheiten sowohl online als auch offline zu wahren und das Internet und die Informations- und Kommunikationstechnik zugunsten politischer Freiheit, demokratischer Entwicklung und wirtschaftlichen Wachstums auszubauen. Offenbar mangelt es aber an Durchsetzungskraft, wenn es darum geht, dieses Ziel mit konkreten Handlungsschritten zu untermauern.

Gerade in der Cybersicherheitspolitik ist ein die eigene Sicherheit und die Sicherheit der anderen vernetzendes Denken dringend geboten. Die Menschenrechtsorganisation Privacy International hat weltweit rund 160 Unternehmen erfasst, deren Softwareprodukte auch zur Überwachung oder Unterdrückung von Oppositionellen benutzt werden können. Ein Großteil dieser Unternehmen hat seinen Standort in Europa.

Mit dem Export ihrer Software unterstützen sie Autokraten in der ganzen Welt darin, die freie Meinungsäußerung zu unterdrücken und Menschenrechte zu verletzen. Die Ausbreitung der Demokratie wird damit behindert und die nachhaltige Stabilisierung unserer internationalen Umwelt unterminiert.

Die Exportkontrolle bei Spionagesoftware muss erweitert werden

Um dies zu unterbinden, sollte die EU-Cybersicherheitsstrategie um konkrete Vorschläge zur Umsetzung einer transparenten und strikteren Exportkontrolle bei Überwachungs- und Spionagesoftware erweitert werden. Reformen könnten an zwei Punkten ansetzen: der Stärkung der Eigenverantwortung der exportierenden Unternehmen einerseits und der Stärkung der Exportkontrollregime in den EU-Staaten andererseits.

In Politik und Fachwelt werden zurzeit folgende Vorschläge diskutiert: Unternehmen sollten dazu verpflichtet werden, den Nachweis zu erbringen, dass sie kritische Software, also solche, die unter anderem zu Spionage- oder Überwachungszwecken eingesetzt werden kann, nur in Länder exportieren, die die Menschenrechte einhalten bzw. der Opposition eine freie und ungehinderte Meinungsäußerung zugestehen. Die Einhaltung von Menschenrechtsstandards ist nach diesem Vorschlag Voraussetzung für die Erteilung einer Nutzungslizenz auf Zeit. Stellt sich später heraus, dass die Menschenrechte nicht eingehalten werden, müsste die Lizenz wieder entzogen werden.

Ein weiterer Vorschlag sieht vor, jede Software mit einem Label zu versehen, das ausweist, wofür sie im Detail verwendet werden darf. Unternehmen könnten auf dieser Grundlage dazu verpflichtet werden nachzuweisen, dass die Software zweckgebunden eingesetzt wird.

Was das staatliche Handeln betrifft, so hat die EU im September 2011 zwar Exporte von Gütern mit doppeltem Verwendungszweck, sogenannter Dual-use-Güter, also Gegenstände, Technologien und Kenntnisse, die sowohl zivilen als auch militärischen Zwecken dienen können, in Länder verboten, die einem Waffenembargo unterliegen. Systematische Vorabkontrollen in Hinblick auf die Menschenrechtslage in Empfängerländern aber sind in diesem Bereich nicht vorgeschrieben.

Dies könnte sich im Zuge der anstehenden Reform der Dual-use-Verordnung der EU nun ändern. Einzelne EU-Staaten wie die Niederlande und Dänemark haben bereits vorgeschlagen, auf der Grundlage von Menschenrechts- und Demokratieklauseln strikte Kontrollmechanismen in die Verordnung aufzunehmen. Über die Dual-Use-Verordnung hinaus könnten zudem einzelne Überwachungsinstrumente wie Trojaner als digitale Waffen eingestuft und damit einer strikten Genehmigungspflicht unterworfen werden.

Das Europäische Parlament sollte nun darauf drängen, die Eigenverantwortung der Exporteure sowie striktere Kontrollmechanismen als konkrete Ziele in die EU-Strategie zur Cybersicherheit aufzunehmen. Die Europäische Cybersicherheitspolitik sollte ihrem hehren Ziel, die menschliche Sicherheit in den Mittelpunkt zu stellen, endlich Taten folgen lassen.

Annegret Bendiek forscht bei der Stiftung Wissenschaft und Politik (SWP) u.a. zu europäischer Cybersicherheitspolitik. Die Stiftung berät Bundestag und Bundesregierung in allen Fragen der Außen- und Sicherheitspolitik. Der Artikel erscheint auf der SWP-Homepage in der Rubrik "Kurz gesagt".

Annegret Bendieck