Der Schritt, der wie jede außenpolitische Maßnahme der EU einstimmig erfolgen muss, signalisiert, dass die Europäer Angriffe auf Stromnetze ebenso wenig tolerieren wollen wie den Diebstahl von Daten ihrer Bürger und Unternehmen. Die Reaktionen zeigen die geopolitische Brisanz: Lob kommt von US-Außenminister Mike Pompeo, der jüngst die Verbündeten aufgerufen hatte, gemeinsam gegen China vorzugehen. Wenn er betont, dass man auf beiden Seiten des Atlantiks die Vision "eines offenen, zuverlässigen und sicheren Cyberspace" teile, der gegen Destabilisierung verteidigt werden müsse, dürfte Pompeo vor allem China meinen.

Peking zeigte sich "tief besorgt" über die EU-Sanktionen. Außenamtssprecher Wang Wenbin sagte, die Entwicklung werde genau verfolgt und betonte, dass China selbst Opfer von Cyber-Angriffen sei. Brüssel wirft Qiang Gao und Shilong Zhang vor, Teil der Hacker-Gruppe APT 10 zu sein. Laut EU hatte sie 2016 in der "Operation Cloud Hopper" die IT-Systeme von Firmen auf sechs Kontinenten angegriffen, um Geschäftsgeheimnisse zu erbeuten. Russlands Außenministerium teilte mit, dass ein solch unfreundlicher Akt natürlich nicht unbeantwortet bleiben dürfe. Die Reaktion werde wie immer in der Diplomatie "spiegelbildlich" sein.

Um Personen oder Organisationen mit Sanktionen zu belegen, muss ein EU-Mitgliedstaat dies beantragen und Beweise vorlegen. Diese müssen aus frei verfügbaren Quellen stammen, damit die Maßnahmen vor Gericht Bestand haben können. Die US-Regierung rechtfertigt Strafen hingegen stärker mit Geheimdiensterkenntnissen. Kürzlich hatte die Bundesregierung beantragt, den Russen Dmitrij Badin wegen des Hackerangriffs auf den Bundestag 2015 auf die EU-Sanktionsliste zu setzen. Über den Antrag wird noch beraten. Die Firma Chosun Expo aus Nordkorea wird für Angriffe mit dem Schadprogramm WannaCry bestraft.