Mit den Sanktionen dürfen die betroffenen Unternehmen keine Geschäfte mehr in der EU tätigen; etwaige Vermögenswerte innerhalb der Union werden eingefroren. Den beiden Mitgründern von iSoon ist zudem die Einreise in EU-Länder untersagt.

Laut öffentlich verfügbaren Berichten setzen China und der Iran private Unternehmen großzügig ein, um staatliche Cyberoperationen zu unterstützen — sie sind dabei aber nicht allein. Auch Russland, Israel und die USA haben diese Grenze nachweislich überschritten. “Das ist verbreitet”, sagt Adam Meyers, Leiter der Abteilung für Gegnerbekämpfung bei CrowdStrike. Die Staaten deckten über Unternehmen letztlich denselben Bedarf ihrer Militäreinheiten ab — an technischen Fähigkeiten, am Aufbau von Infrastruktur, an der Entwicklung von Exploits und an Planung.

In China, so Meyers, pflege die Volksbefreiungsarmee seit den 1990er-Jahren enge Verbindungen zur Privatwirtschaft und zur Wissenschaft. Der Iran habe einen anderen Weg genommen: Stuxnet sei ein Wendepunkt gewesen, an dem das Land das asymmetrische Potenzial von Cyberfähigkeiten erkannt habe. Daraufhin habe man beobachtet, wie Akteure ihre Hacker-Pseudonyme ablegten und sich professionelle Profile auf LinkedIn aufbauten. Sie gründeten Firmen, boten Schulungen an und bedienten so die Nachfrage des Geheimdienstministeriums (MOIS) und der Revolutionsgarden (IRGC).

Ein offensichtlicher Vorteil, Cyberangriffe über quasi-private Einrichtungen laufen zu lassen, ist die glaubhafte Abstreitbarkeit für den Staat — besonders dann, wenn diese Einrichtungen mehr sind als bloße Briefkastenfirmen. “Ein legitimes kommerzielles Angebot stärkt die Tarnung einer Organisation und erschwert es Strafverfolgern, seriöse Arbeit von schädlichem Verhalten zu unterscheiden”, sagt Crystal Morin, leitende Cybersicherheitsstrategin bei Sysdig.

Firmen stünden zudem Ressourcen offen, die Staaten — zumal geächteten — verschlossen blieben. “Als ‘Unternehmen’ zu existieren, erleichtert die Anwerbung von Talenten, die womöglich nichts von den Aktivitäten hinter den Kulissen wissen”, so Morin. Infrastruktur und Werkzeuge ließen sich über die globale Lieferkette unter dem Deckmantel normaler Geschäftstätigkeit beschaffen, mit legitimen Steuernummern und Zugangsdaten. Eine privatisierte Belegschaft arbeite überdies mit weniger bürokratischen Zwängen als Behörden.

Die Sanktionen waren Jahre in der Entwicklung. Nachdem Europa Mitte der 2010er-Jahre wiederholt von schweren Cyberangriffen getroffen wurde — darunter WannaCry, NotPetya, Kampagnen zur Wahlbeeinflussung und Abschaltungen von Stromnetzen —, schuf der Europäische Rat im Juni 2017 einen “Cyber Diplomacy Toolbox”. Sanktionen waren das schärfste der darin vorgesehenen Instrumente; im Mai 2019 formalisierte der Rat ihre praktische Umsetzung. Seither wurden sie gegen sieben Einrichtungen und 19 Einzelpersonen verhängt.

Für manche Betroffene wiegen die Strafen schwer. Die Integrity Technology Group etwa ist an der Börse Shanghai notiert, mit zweistelligem Millionenumsatz in Dollar und rund 500 Beschäftigten. Legitime Geschäftspartner und Kunden würden die Verbindung kappen, um regulatorische Sanktionen zu vermeiden, sagt Morin; das schränke den Zugang zu Finanzierung, Infrastruktur und globalen Lieferketten rasch ein. Für Scheinfirmen wie iSoon falle die Wirkung geringer aus. Ob die Sanktionen ihre Geschäftsfähigkeit wesentlich beeinträchtigten, bezweifelt Meyers — ebenso, dass die Gründer künftig in Disneyland Urlaub machen.