Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden

Sonntag, 21. Januar 2018

Informationstechnik

Europäische Sicherheitsbehörde Enisa erhält mehr Kompetenzen

Von Christiane Schulzki-Haddouti | 28. September 2017 | Ausgabe 39

Die europäische Kommission will verbindliche Standards für IT-Sicherheit und plant ein europaweit einheitliches Zertifizierungsverfahren.

x - Cybersecurity BU
Foto: Ralf Hirschberger/dpa-Zentralbild

Cybersicherheit soll in Zukunft noch besser europaweit koordiniert werden. Federführend dafür wird die EU-IT-Sicherheitsbehörde Enisa auf Kreta sein.

Wie stark Firmen und Behörden ihre IT-Systeme gegenüber Angreifern absichern und welche Sicherheitsniveaus sie wählen, ist europaweit bislang nicht einheitlich geregelt. Viele Datenflüsse aber sind grenzüberschreitend, daher hat die EU-Kommission eine Initiative für eine weitgehende Neuregelung gestartet.

Das Thema ist auf oberster politischer Ebene angekommen. In seiner „State of the European Union“-Rede vorletzte Woche warnte Kommissionschef Jean-Claude Juncker: „Cyberangriffe können für die Stabilität der Demokratie und der Wirtschaft gefährlicher sein als Kanonen und Panzer.“ In ihrem Cybersecurity-Paket sieht die Kommission unter anderem vor, dass Hersteller für IT-Systeme, -Produkte und -Dienste sich künftig freiwillig zertifizieren lassen müssen.

Die europäische IT-Sicherheitsbehörde Enisa soll von der griechischen Insel Kreta aus die Einführung des europaweit einheitlichen Zertifizierungsverfahrens koordinieren. Derzeit sind die Kosten für Zertifizierungen je nach EU-Mitgliedstaat unterschiedlich hoch. Während das Bundesamt für Sicherheit in der Informationstechnik (BSI) von Unternehmen mehr als 1 Mio. € für die Zertifizierung von Smart Metern verlange, bezahlten Unternehmen in Frankreich und Großbritannien nur rund 150 000 €, berichtet der EU-Informationsdienst Euractiv.

Die IT-Sicherheits-Richtlinie (NIS) wurde 2016 verabschiedet und schreibt EU-weit ein Mindestsicherheitsniveau für digitale Technologien und Dienste vor. Die Enisa soll nun die Mitgliedstaaten bei der Umsetzung der Richtlinie unterstützen und europaweit jährliche Cybersecurity-Übungen durchführen. Sie erhält damit ähnliche Befugnisse wie das deutsche BSI, das aber über rund fünfmal so viele Mitarbeiter verfügt. Enisa soll immerhin statt der bisher 84 Mitarbeiter 125 bekommen.

Enisa-Chef Udo Helmbrecht ist zufrieden: „Wir haben mehr bekommen als erwartet. Wir haben ein stärkeres Mandat, mehr Kompetenz und sind künftig für Zertifizierungen verantwortlich.“ Auch für den Ernstfall will die Kommission vorsorgen. Laut Jean-Claude Juncker haben 80 % der europäischen Unternehmen im vergangenen Jahr mindestens einen Cybersecurity-Zwischenfall erlebt. Täglich seien 4000 Angriffe von Erpressungstrojanern registriert worden. Deshalb soll ein Notfallfonds eingerichtet werden, der einzelnen Mitgliedstaaten bei größeren „Cyberzwischenfällen“ rasch beisteht.

Die europäische Polizeibehörde Europol soll Kapazitäten erhalten, um das Darknet besser zu überwachen. Von einer Regulierung kryptografischer Produkte ist im Moment keine Rede. Derzeit evaluiert die Kommission, welche Vor- und Nachteile mit dem Gebrauch kryptografischer Produkte aus Perspektive von Unternehmen wie auch der Strafverfolgung verbunden sind. Im Oktober will sie erste Schlussfolgerungen vorstellen. Die Frage der Produkthaftung von Softwareherstellern will die Kommission im Juni 2018 angehen.

Bis Mitte November nimmt die Kommission Stellungnahmen von Verbänden entgegen. Der VDMA begrüßte bereits den Schritt, da für den Maschinenbau das Thema Cybersecurity immer wichtiger wird. Es sei gut, IT-Zertifizierungsverfahren künftig auf europäischer Ebene zu regeln, um einen „Flickenteppich aus nationalen Initiativen“ zu vermeiden. Eine verpflichtende Drittzertifizierung lehnt der VDMA jedoch ab.

Die Grünen im Europaparlament begrüßten die Pläne der Kommission, forderten aber darüber hinaus eine verpflichtende Ende-zu-Ende-Verschlüsselung vernetzter Geräte. Zudem sollten Hersteller für Folgeschäden eines Hackerangriffs haften, wenn sie z. B. Sicherheitsupdates nicht umgehend bereitgestellt haben. Angesichts der Dominanz von Microsoft in der öffentlichen Verwaltung forderten sie, dass dort nur noch Software mit offenen Quellcodes eingesetzt werden dürfe, die auch sicherheitstechnisch von Dritten jederzeit überprüft werden könne. swe

stellenangebote

mehr