SWP

Cybersecurity incidents cause harm – for example, when adversarial states paralyse critical infrastructure or steal sensitive data. Many such incidents are only possible because many software products have known vulnerabilities. Software vendors could fix these, but they have little incentive to invest in the security of their products. To date, cybersecurity policy and protective measures have primarily addressed the symptoms of insecure software, rather than the root cause, namely software insecu­rity itself. This calls for regulation, specifically in the areas of product safety law, pro­duct liability regulations, and cybersecurity requirements for providers of software services. The European Union (EU) has already adopted initial rules, but regulatory gaps remain, and it is unclear whether member states will strictly enforce them. The German government should therefore now advocate for comprehensive European product liability regulations for software, and the Federal Office for Information Security (BSI) should impose fines on companies that violate existing rules.

Cybersicherheitsvorfälle verursachen Schäden – etwa, wenn gegnerische Staaten kri­tische Infrastrukturen lahmlegen oder sensible Daten erbeuten. Viele solcher Vorfälle sind nur deshalb möglich, weil zahlreiche Softwareprodukte bekannte Schwachstellen haben. Softwarehersteller könnten diese schließen, haben jedoch kaum Anreize, in die Sicherheit ihrer Produkte zu investieren. Mit Cybersicherheitspolitik und Schutzmaßnahmen werden bisher vor allem die Symptome unsicherer Software bekämpft, nicht aber die Grundursache, nämlich deren Unsicherheit. Daher besteht politischer Rege­lungsbedarf – konkret in den Bereichen des Produktsicherheitsrechts, der Produkthaftungsregelungen und der Cybersicherheitsanforderungen für die Anbieter von Software-Dienstleistungen. Die EU hat bereits erste Vorschriften erlassen, aller­dings bestehen Regelungslücken und Zweifel an der konsequenten Durchsetzung. Daher sollte sich die Bundesregierung jetzt für eine umfassende europäische Produkt­haftungsregelung für Software einsetzen und das Bundesamt für Sicherheit in der Informationstechnik (BSI) sollte Unternehmen, die gegen bestehende Regeln verstoßen, konsequent mit Bußgeldern belegen.

Im Januar 2027 steht die ersten Vertragsstaatenkonferenz des neuen Hochseeschutzabkommens der Vereinten Nationen an. Auf der Tagung dürften zentrale Konflikte zwischen Meeresschutz und Meeresnutzung im Kontext des Klimawandels verhandelt werden. Erneut in den Fokus rückt damit auch die 2024 ergangene Stellungnahme des Internationalen Seegerichtshofs zum Klimaschutz. Viele hatten erwartet, mit dem Gutachten würde das klimapolitische Verhältnis zwischen Schutz und Nutzung der Ozeane eindeutiger definiert. Besonders wichtig ist diese Klärung mit Blick auf neue marine CO2-Entnahmetechnologien (mCDR). Sie sollen eine höhere Aufnahme von Kohlenstoff durch das Meer ermöglichen, um den Klimawandel abzuschwächen. Der Seegerichtshof stellte klar, dass Staaten die Ozeane vor Verschmutzung durch atmo­sphärisches CO2 schützen müssen. Interpretationsspielraum blieb jedoch in der Frage, ob mCDR als Meeresverschmutzung oder als Beitrag zum Meeresschutz gilt. Diese Mehrdeutigkeit lässt sich politisch nutzen, um marine CO2-Entnahme entweder zu fördern oder einzuschränken. Internationale Organisationen, EU-Institutionen und nationale Behörden sollten darauf vorbereitet sein, dass unterschiedliche Auslegungen des Gerichtsentscheids die zukünftige Klima- und Meerespolitik beeinflussen werden.

Deutschland ist mit seiner Bewerbung um einen Sitz im UN-Sicherheitsrat gescheitert. Im Interview spricht der Politikwissenschaftler Volker Perthes über die Gründe – und was daraus folgen muss. Wie groß ist der Reputationsschaden für die Bundesrepublik wirklich?

The Indian government is seeking to expand the country’s space programme in order to strengthen national security, promote economic growth and bolster India’s global standing. Its aim is to achieve strategic autonomy in the field of civilian space activities and technological sovereignty in the military sphere. In the area of security policy, India’s quest for sovereign capabilities is a race against time owing to its rivalry with China. But despite improved investment and regulatory conditions, there has not yet been any significant progress towards the development of a robust and competitive space economy. India’s most important strategic partner in the space sector is the US, with which it closely cooperates on trade, security and intelligence matters. In the field of civilian space activities, however, there is a growing interest in cooperation with European actors. India wants to attract more investment into the country, close technology gaps and diversify its partner­ships.

Bundeskanzler Friedrich Merz hat den EU-Spitzen einen Vorschlag unterbreitet: Eine assoziierte Mitgliedschaft für die Ukraine und eine graduelle Integration des Westbalkans sowie gegebenenfalls Moldaus. Ziel ist es, die Perspektive einer Vollmitgliedschaft glaubwürdig zu bekräftigen und den Erweiterungsprozess dynamischer zu gestalten. 

Konkret wird vorgeschlagen, die Ukraine als assoziiertes Mitglied ohne Stimmrecht in Rat, Kommission, Europäisches Parlament und Europäischen Gerichtshof einzubinden, schrittweise einzelne Programme zu öffnen sowie die Anwendung von Art. 42 Abs. 7 des EU-Vertrags als Sicherheitsgarantie anzubieten. Für die Staaten des Westbalkans werden ein privilegierter Zugang zum Binnenmarkt, ein Beobachterstatus in den europäischen Institutionen sowie gemeinsame Sitzungen mit Kommission oder Europäischem Parlament vorgeschlagen. Auch die Mitgliedschaftsperspektive für Moldau wird betont, ohne dass der Brief konkretisiert, ob die Vorschläge für den Westbalkan auch für Moldau gelten. Damit trägt der Bundeskanzler zwar mit eigenen Vorschlägen zur Erweiterungsdebatte bei, wirft jedoch zahlreiche Fragen auf.

Assoziierte Mitgliedschaft und Beobachterstatus als Symbolpolitik

Der Vorschlag bleibt an zentralen Stellen vage. So ist der praktische Unterschied und damit der Sinn der Unterscheidung zwischen einer assoziierten Mitgliedschaft für die Ukraine und einem Beobachterstatus für die Westbalkan-Staaten nicht klar definiert. Auch bleibt offen, wo die Grenzen eines solchen Beobachterstatus liegen würden – angesichts der Tatsache, dass für künftige Mitglieder nahezu alle Politikbereiche relevant sind. 

Vertreter:innen des Westbalkans nehmen bereits heute gelegentlich an Ratssitzungen teil. Hinzu kommen regelmäßige EU-Westbalkan-Gipfel, bilaterale Regierungskonferenzen, Wachstumsplan-Gipfel und der Berlin-Prozess. Welchen Mehrwert neue Formate bieten würden, bleibt unklar. Zudem ist fraglich, ob eine assoziierte Mitgliedschaft in dieser Form ohne Änderung der EU-Verträge möglich wäre. 

Ähnlich verhält es sich beim privilegierten Zugang zum Binnenmarkt: Auch hier genießen die Westbalkanländer bereits Privilegien im Rahmen der Stabilisierungs- und Assoziierungsabkommen. Eine Ausweitung nach dem Vorbild der Freihandelsabkommen mit der Ukraine und Moldau würde Ratifikationsprozesse in allen EU-Mitgliedsstaaten erfordern. Eine vollständige Binnenmarktmitgliedschaft hätte ebenfalls hohe Hürden, unter anderem hinsichtlich der Umsetzung von EU-Standards in der Region, und scheint weiterhin nicht vorgesehen. 

Das Bekenntnis zu einer reformbasierten, graduellen EU-Integration ist sinnvoll, bleibt jedoch ohne konkrete operative Schritte wenig belastbar. Graduelle Integration darf nicht nur ein weiterer Beobachterstatus sein; sie muss operativ unterfüttert werden und spürbar über die bisherigen Maßnahmen im Rahmen des Wachstumsplans hinausgehen. Zu prüfen wäre, auf welcher rechtlichen Grundlage EU-Programme, Agenturen oder Prozesse schrittweise für Kandidatenländer geöffnet werden könnten. Eine frühzeitige Integration etwa in den Digital Services Act, den FDI-Screening Mechanismus oder die EU-Staatsanwaltschaft könnte konkrete Vorteile für beide Seiten bringen.

Risiko unterschiedlicher Behandlung

Der derzeitige Vorschlag würde dazu führen, dass innerhalb des gleichen Erweiterungsprozesses unterschiedliche Integrationspfade entstehen: Die Ukraine würde durch eine assoziierte Mitgliedschaft enger angebunden als der Westbalkan über einen Beobachterstatus. Für Moldau bleibt die vorgesehene Rolle unklar. 

Innerhalb der EU-27 gehen die Positionen zur Differenzierung auseinander. Einige Mitgliedstaaten fordern gleiche Angebote für alle Kandidatenländer. Zwar erfordert der russische Angriffskrieg massive finanzielle Unterstützung für die Ukraine und europäische Sicherheitsgarantien. Die Bedingungen für eine EU-Vollmitgliedschaft gelten jedoch für alle Kandidaten gleichermaßen. Reformen des Beitrittsprozesses sollten daher konsistent angewendet werden, um neue politische Spannungen und zusätzliche Zweifel an der Glaubwürdigkeit des Erweiterungsprozesses – insbesondere in den Ländern des Westbalkans – zu vermeiden.

Die entscheidende Frage bleibt zudem: Besteht unter den 27 EU-Mitgliedstaaten tatsächlich der politische Wille, sowohl die Erweiterung voranzutreiben, den Beitrittsprozess substanziell weiterzuentwickeln und gleichzeitig interne Reformen umzusetzen? Symbolische Angebote jedenfalls werden weder dem Kampf der Ukraine gegen die russische Invasion noch der Frustration über die Beitrittsperspektive im Westbalkan gerecht. 

Bei der jetzt wieder aufgeflammten Debatte kommt erneut häufig zum Ausdruck, die Anwesenheit der genannten Flugkörpertypen auf deutschen Boden würde zu einer gravierenden Machtverschiebung in Europa führen. Bei dieser Annahme bleibt jedoch weitgehend unbeachtet, dass die Stationierungsperspektive der Einheiten von Beginn an deutlich begrenzter angelegt war.

Wie will Australien aus Cybersicherheitsvorfällen lernen? Und brauchen wir ein deutsches Institut für KI-Sicherheit? Wir stellen uns die Frage: Wie viele Cyber-Organisationen braucht es in Deutschland noch? Zum Beispiel, um KI besser kontrollieren zu können, Stichwort: AI Safety Institute. Außerdem schauen wir nach Down-Under: In Australien gibt es seit neuestem ein „Cyber Safety Review Board“. Dort kommen Expert:innen zusammen und überlegen, was sie aus Cybersicherheitsvorfällen lernen können um auf zukünftige Vorfälle besser zu reagieren. Welche Handlungsmöglichkeiten hat das Board wirklich? Und braucht es das auch für Deutschland?

Russland bedroht westliche Satelliten im All. Durch Störmanöver soll die Weitergabe von Aufklärungsdaten an die Ukraine verhindert werden.

Few countries have been as profoundly affected by the attacks of October 7th and the subsequent Gaza war as Germany. This is not merely a political controversy. It reflects a deeper structural problem.

Cyberangriffe bedrohen Deutschlands Wirtschaft und Verwaltung zunehmend. Innenminister Dobrindt plant ein härteres Vorgehen: Er will notfalls auch die Infrastruktur von Angreifern zerstören lassen. Doch daran gibt es auch Kritik.