Nicht selten sind nationale Ansätze Reaktionen auf geopolitische Kräfteverhältnisse. 2019 wurde das Thema digitale Souveränität zuletzt stark durch die Diskussionen um chinesische Netzwerkausrüster und Geschäftsbeziehungen mit anderen meist privaten IT-Anbietern außerhalb der EU angeheizt. Sicherheitsbedenken gegen Tech-Unternehmen aus China und den USA sowie die Angst vor Spionage prägten die Debatte. Im selben Atemzug nahm das Thema Widerstandsfähigkeit (Resilienz) im Cyberraum Fahrt auf und es wurde viel über offensive Gegenmaßnahmen nachgedacht. In der Sicherheitsdebatte um den chinesischen Telekomriesen Huawei forderte beispielsweise BSI-Chef Arne Schönbohm, dass Deutschland auch die Fähigkeit haben sollte, auf Hackerangriffe aus dem Ausland mit Gegenangriffen (Hackback-Operationen) zu reagieren (Heise, 2019). Dies korreliert mit Forderungen der Bundeswehr aus 2016 man müsse sich verstärkt im Bereich der Cyberverteidigung aufstellen (BMVg, 2016).
Erinnern lässt das stark an die gegenwärtig dominante Ausrichtung in der globalen Cybersicherheitspolitik: Da wäre zum einen die US-amerikanische oder israelische Ausrichtung, die sich die Nutzung von offensiven Cyberoperationen in Ergänzung zu defensiven Maßnahmen zu eigen macht. Daneben stehen andere dominante Strömungen, die vorwiegend offensive Cyberoperationen zum Schaden des Gegners und der Überwachung der eigenen Bevölkerung ohne besonderen Fokus auf defensive Maßnahmen nutzen. Staaten wie China, Russland und VAE haben eine lange Historie in dieser Ausrichtung (Schulze, 2020).
Zentrale Herausforderung im Kontext Cyber-Attacken ist meist die Attribution, sprich die Nachweisbarkeit von Attacken. Angriffe erfolgen häufig unterschwellig, konterkariert und sind nur schwer attributierbar - gerade, wenn Kommunikationsschnittstellen wie Proxies als Vermittler in Computernetzwerke verwendet wurden und Angriffe durch nicht-staatliche Akteure verübt werden. Ohne eindeutige Verantwortungszuschreibung besteht laut Kriegsvölkerrecht (ius ad bellum) kein Recht auf Gegenmaßnahmen (souveränes Selbstverteidigungsrecht, Artikel 51 UN-Charta).
Auch ist bislang nicht geregelt, ob Staaten für Handlungen nicht-staatlicher Akteure (z. B. politisierte und teilweise institutionalisierte patriotische Akteure) verantwortlich gemacht werden können.
Beruhigend ist, dass trotz seriöser Herausforderungen im internationalen Raum verbindliche Rechtsrahmen vorhanden sind.
Im Zuge bestehender Sicherheitsdebatten und -herausforderungen im internationalen Umfeld sollte insbesondere ein europäischer Rahmen im Umgang mit Cyberangriffen auf IT-Systeme und Kritische Infrastrukturen formuliert werden. Hier besteht das Potential in Abgrenzung von USA und Israel einerseits, und China und Russland andererseits einen europäischen Gegenentwurf, der auf Resilienz und den Fähigkeiten zum Krisenmanagement fokussiert, für die Cybersicherheit selbst zu gestalten.