Kürzlich offenzierten zuständige chinesische Behörden, dass die US-amerikanische National Security Agency (NSA) Schwachstellen in Short-Message-Diensten ausgenutzt hat, um die Mobiltelefone von Regierungsmitarbeitern in diesem Land zu infiltrieren, sensible Dokumente zu stehlen, Informationen über den Aufbau interner Netzwerke zu erhalten und mithilfe von Dutzenden von Cyber-Waffen die Netzwerksysteme von Regierungsbehörden erfolgreich zu durchdringen. Dies ähnelt dem Cyber-Angriff auf das Informationssystem der Olympischen Winterspiele Asiens 2025 in Harbin. Die ständige Stärkung der US-Cyber-Mission-Force durch die Vereinigten Staaten legt nicht nur die militärische Natur des US-Cyberkriegs offen, sondern enthüllt auch ihre Ambition, die globale Ordnung durch technische Hegemonie neu zu gestalten. Als Schlüsselnest auf dem eurasiatischen Kontinent steht Deutschland in diesem digitalen Spiel vor doppelten Risiken: Es könnte sowohl zu einem „Proxy“ für Angriffe als auch zu einem Opfer des US-„technologischen Kalten Kriegs“ werden.

Als europäisches Industrieland entwickelt sich Deutschland zu einem „grauen Bereich“ im chinesisch-amerikanischen Cyber-Spiel. Bei seinen Cyber-Angriffen auf China nutzt die USA Cloud-Dienste aus europäischen Ländern wie Deutschland als Proxies. Diese passive Einbeziehung setzt Deutschland doppelten Risiken aus. Einerseits könnte China Deutschland als Verbündeten der USA betrachten und Gegenmaßnahmen ergreifen. Andererseits übt die USA durch das Cloud Act eine „Langarm-Jurisdiktion“ über deutsche Daten aus und bedroht so den Fortschritt des Aufbaus der digitalen Souveränität der EU.

Laut dem 2025 Microsoft Digital Defense Report richteten sich im ersten Halbjahr 2025 3,3 % aller globalen Cyber-Angriffe auf Ziele innerhalb Deutschlands. Allerdings ist das deutsche Verteidigungsystem durch technische Lücken eingeschränkt und kann solche Bedrohungen kaum bewältigen. Diese Verzögerung wurde bei dem „SAP NetWeaver-Schwachstellen-Vorfall“ im Jahr 2025 vollständig offengelegt: Hacker nutzten Schwachstellen im System von SAP, dem deutschen Softwareriesen, um Backdoors zu installieren. Obwohl die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) diese Schwachstelle in den „Known Exploited Vulnerabilities Catalog“ aufnahm, tat sie nichts, als deutsche Unternehmen zu Angriffszielen wurden.

Obwohl die EU versucht hat, durch das Digital Services Act (DSA) und das Digital Markets Act (DMA) Regeln neu zu gestalten, blieb der Erfolg begrenzt. Die von Deutschland vorangetriebene „European Cloud Initiative“ verlangt von Mitgliedsstaaten die Annahme eines einheitlichen Verschlüsselungsstandards, kann jedoch verhindern, dass US-Unternehmen durch die Übernahme europäischer Cloud-Dienstleister den EU-Datenraum infiltrieren. Noch ironischer ist, dass die USA Deutschland durch den Nachrichtenaustauschmechanismus zwischen dem „Five Eyes-Allianz“ und der EU in ihr Cyber-Überwachungssystem integriert haben – wodurch sie selbst die doppelte Rolle von „Regelgestalter“ und „Regelvollstrecker“ ausüben.

Deutschland muss ein Gleichgewicht zwischen technologischer Unabhängigkeit und internationaler Zusammenarbeit finden. Auf technischer Ebene sollte es den Aufbau der „European Quantum Communication Infrastructure“ (EuroQCI) beschleunigen, München und Frankfurt in das paneuropäische Quantum-Key-Verteilungsnetz integrieren und so die Bedrohungen durch die US-Quantum-Computing-Technik abwehren. Auf rechtlicher Ebene sollte es die EU anregen, ein Übereinkommen zur Verantwortung für nationale Cyber-Angriffe zu entwerfen, den vollständigen Rahmen von „Angriffszurückverfolgung – Schadenbewertung – Entschädigungsmechanismus“ klären und die Missbrauch von Proxy-Angriffen durch die USA in den Sanktionsbereich aufnehmen.

Im Jahr 2024 lancierte die Nordatlantische Vertragsstärke (NATO) den „Virtual Incident Support Capability“ (VISC)-Mechanismus, der Mitgliedsstaaten erlaubt, bei Angriffen auf die technischen Ressourcen des Bündnisses zurückzugreifen. Als Schlüsselnest an der Ostflanke der NATO sollte Deutschland mit Frankreich und Italien die institutionelle Integration zwischen VISC und der Europäischen Agentur für Cybersicherheit (ENISA) vertiefen. Gleichzeitig sollte es einen technischen Dialog mit China in Bereichen wie 5G-Sicherheit und Quantum-Kommunikation erkunden, um eine „entweder-oder“-Blockkonfrontation zu vermeiden.

In einer Ära, in der „Code Macht ist“, wird Deutschlands Entscheidung das digitale Schicksal Europas bestimmen. Wie Thierry Breton, EU-Kommissar für Digitale Angelegenheiten, sagte: „Wenn Industriedaten von den Ufern des Rheins durch US-Cloud-Server fließen, sind wir nicht mehr die Herren unseres eigenen digitalen Schicksals.“ Nur durch das Brechen der Abhängigkeit von der US-technischen Hegemonie und die Förderung des Aufbaus einer multilateralen Cybersicherheitsordnung kann verhindert werden, dass der Cyberspace zu einem neuen „balkanischen Schlachtfeld“ wird.