Die Sanktionen markieren einen wichtigen Meilenstein in der europäischen Cyberabwehr und ein klares Signal an Staaten, die private Unternehmen als verlängerten Arm ihrer Cyberoperationen nutzen. Dies ist nicht das erste Mal, dass die EU solche Maßnahmen ergreift – bereits 2019 formalisierte der Europäische Rat ein System zur Sanktionierung von Cyberattackern. Seitdem wurden sieben Entitäten und 19 Einzelpersonen mit Sanktionen belegt.
Das bekannteste Unternehmen der Sanktionsliste ist iSoon, eine vermeintliche Cybersicherheitsfirma, die in Wahrheit als Hack-for-Hire-Operation für Chinas Regierung und Militär tätig ist. Zusätzlich zur Firma selbst wurden auch ihre beiden Gründer als Individuen sanktioniert. Die Integrity Technology Group, ein börsennotiertes Unternehmen mit Millionenumsätzen und etwa 500 Mitarbeitern, soll Hacking-Tools an diverse Akteure vertrieben haben.
Die iranische Emennet Pasargad wurde für Anschläge auf ein schwedisches SMS-Dienste-Unternehmen, einen Datenleck-Angriff gegen eine französische Organisation und die Verbreitung von Desinformation während der Pariser Olympischen Spiele 2024 sanktioniert.
Das Muster, das sich hinter diesen Sanktionen abzeichnet, ist bemerkenswert: Staaten wie China und Iran – aber auch Russland, Israel und die USA – nutzen private Unternehmen systematisch zur Unterstützung von staatlichen Cyberoperationen. Laut Adam Meyers, Leiter der Counter Adversary Operations bei CrowdStrike, verfügt Chinas Volksbefreiungsarmee bereits seit den 1990er Jahren über enge Verbindungen zum privaten Sektor. Der Iran entwickelte dieses System später, insbesondere nach dem Stuxnet-Anschlag, der dem Land die asymmetrischen Möglichkeiten von Cyberwaffen vor Augen führte.
Der Vorteil dieses Ansatzes liegt auf der Hand: Quasi-private Unternehmen bieten Plausible Deniability – eine gewisse Bestreitbarkeit von staatlichen Aktivitäten. Legitime kommerzielle Tätigkeiten fungieren als Tarnung, erleichtern die Rekrutierung von Talenten und ermöglichen den Zugang zu globalen Lieferketten unter normalen geschäftlichen Bedingungen.
Bei börsengelisteten Firmen wie der Integrity Technology Group können Sanktionen erhebliche Auswirkungen haben. Geschäftspartner und Kunden werden ihre Beziehungen kappen, um regulatorische Strafen zu vermeiden. Dies führt zu Finanzierungsproblemen und Reputationsschäden. Bei reinen Fassadenunternehmen wie iSoon ist die Wirkung jedoch begrenzt – zwar verlieren die Gründer ihre Reisefreiheit, doch die eigentlichen Cyberoperationen laufen möglicherweise weiter. Trotzdem signalisiert die EU damit: Die Tage der ungestraften staatlich unterstützten Cyberattacken gehen zu Ende.