News

Deutschland und der „Fancy Bear“: Kommen bald erstmals EU-Cybersanktionen?

22.06.2020

Im Frühjahr 2015 sorgte ein Hack für Furore, der sich u. a. gegen das IT-System des Deutschen Bundestags gerichtet hatte. Dahinter soll die auch als „Fancy Bear“ bekannte Einheit 26165 des russischen Militärgeheimdienstes GRU stehen. In diesem Zusammenhang will sich Deutschland nunmehr auf EU-Ebene für sog. Cybersanktionen engagieren.

Neues Cybersanktionsregime

Am 29.04.2020 übergab das Auswärtige Amt dem russischen Botschafter Netschajew einen Haftbefehl gegen den russischen Staatsangehörigen Dmitrij Badin, der hinter der Attacke von 2015 vermutet wird. Doch dabei blieb es nicht: Staatssekretär Berger kündigte an, Deutschland wolle sich für die Nutzung des EU-Cybersanktionsregimes einsetzen. Damit nimmt Deutschland die noch recht junge Verordnung (EU) 2019/796 des Rates vom 17.05.2019 „über restriktive Maßnahmen gegen Cyberangriffe, die die Union oder ihre Mitgliedstaaten bedrohen“, ins Visier.

Sanktionen auf ihrer Grundlage wären zwar ein Novum. Art. 3 der Cybersanktions-Verordnung bedient sich allerdings zweier Instrumente, die aus dem allgemeinen Sanktions- und Embargorecht bestens bekannt sind: des Bereitstellungsverbots einer- und des Einfriergebots andererseits. Sanktionierten Personen, nach deutschen Vorstellungen etwa GRU-Chef Igor Kostyukov, dürften dann weder Gelder noch sonst wirtschaftliche Ressourcen zur Verfügung gestellt werden. Gehaltene oder kontrollierte Gelder bzw. sonstige Ressourcen wären unzugänglich zu machen. Einzelfallausnahmen blieben nach der Cybersanktions-Verordnung möglich. Derzeit ist noch nicht absehbar, ob bzw. in welchem Umfang und wann die Cybersanktionen in Kraft treten könnten.

Sanktionlistenscreening zwingend, Compliance Management dringend zu empfehlen

Der deutsche Vorstoß darf zunächst als weiterer Grund dafür gesehen werden, dass Unternehmen über ein IT-basiertes, automatisiertes Sanktionslistenscreening verfügen sollten (es sei denn, dies wäre unverhältnismäßig), um Neu- wie Bestandskunden tagesaktuell zu prüfen. Im Hinblick auf existierende Compliance Management Systeme ließe sich untersuchen, ob die Anwendungsvoraussetzungen einzelner Compliance-Maßnahmen womöglich einen zu starken Länderkonnex aufweisen, bspw. im Kontext vorgesehener Überprüfungen von Anteilseignern der Geschäftspartner. Denn nicht nur Cybersanktionen wirken entgrenzend, weil sie mit der klassischen Beschränkung auf klar definierte Embargoländer brechen. Gleiches gilt für zunehmend zu beobachtende Sanktionen nach dem „Magnitsky-Muster“ im Zusammenhang mit Menschenrechtsverletzungen. Nicht zuletzt setzt sich ein ganz allgemeiner Trend der letzten Jahre fort – dass nämlich Compliance im Außenwirtschaftsrecht Unternehmen kontinuierlich mehr abverlangen wird. Sofern Unternehmen noch kein veritables Compliance Management System etabliert haben, wäre heute daher ein besserer Zeitpunkt als morgen.

Regulierung & Governmental Affairs
Cyber Risks
Compliance & Interne Untersuchungen
Digital Business

Share