Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden

Donnerstag, 18. Mai 2017, Ausgabe Nr. 20

Donnerstag, 18. Mai 2017, Ausgabe Nr. 20

Sicherheit

EU verlangt mehr Cybersicherheit

Von Christiane Schulzki-Haddouti | 5. Februar 2016 | Ausgabe 05

Transport- und Energieunternehmen werden künftig sicherstellen müssen, dass ihre digitale Infrastruktur Cyberattacken widerstehen kann. Die neue EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS) verlangt ein höheres Sicherheitsniveau, als es bisher üblich war.

Der Begriff „kritische Infrastrukturen“ ist sperrig, doch er umfasst alles, was für die Daseinsfürsorge wichtig ist: Strom, Wasser, Geld, Telekommunikation und Verkehr. Kritisch sind diese Bereiche deshalb, weil ein einziger Fehler Kettenreaktionen auslösen kann, die in weitere Bereiche ausstrahlen. Fällt etwa der Strom in einer Bank aus, können Bankautomaten keine Gelder mehr ausgeben. Eine gestörte Wasserleitung kann lebenswichtige Kühlprozesse unterbrechen und unterbrochene Telekommunikationsverbindungen können den digitalen Handel lahmlegen.

Kritisch an den kritischen Infrastrukturen ist nun, dass sie heute vielfach von Computern und Netzwerken abhängig sind. Da viele Prozesse nicht mehr an nationalen Grenzen haltmachen, sind auch grenzüberschreitende Sicherungsregelungen wichtig. Die Europäischen Agentur für Netz- und Informationssicherheit (Enisa) zeigt sich besorgt, weil die Zahl der Cyberbedrohungen bei kritischen Infrastrukturen steigt. Sie schätzt, dass Unternehmen deshalb jedes Jahr Verluste erleiden, die auf 260 Mrd € bis 340 Mrd. € beziffert werden.

Die Enisa verlangt daher eine bessere Zusammenarbeit zwischen den privaten und öffentlichen Sektoren. Damit dies europaweit effektiver funktioniert, übernimmt sie jetzt eine wichtige Aufgabe: Sie soll das Netzwerk von sogenannten „Computer Security Incident Response Teams“ (CSIRTs) koordinieren. Diesem Netzwerk gehören Vertreter der jeweils zuständigen nationalen Behörden an.

Dies sieht die vor Kurzem vom Europäischen Parlament verabschiedete europäische Richtlinie zur Netzwerk- und Informationssicherheit (NIS) vor. Sie ist die europäische Variante des IT-Sicherheitsgesetzes, das letztes Jahr in Deutschland verabschiedet wurde. Die NIS-Richtlinie verlangt ähnlich wie das deutsche IT-Sicherheitsgesetz von Unternehmen, die in kritischen Bereichen wie Energie, Verkehr oder Finanzen aktiv sind, den nationalen Behörden bei sicherheitsrelevanten Vorfällen umgehend Meldung zu erstatten. Die Höhe der Sanktionen bei Nichtbefolgung legen die Mitgliedstaaten fest. Das deutsche IT-Sicherheitsgesetz sieht hierfür Bußgelder bis zu 25 000 € vor.

Diskutiert wird im Moment, welche Cloud-Betreiber, soziale Netzwerke oder Suchmaschinen als „essential services“, also als kritisch, eingestuft werden. Die Mitgliedstaaten sollen jetzt konkret jene Betreiber benennen, die sie für entscheidend wichtig halten, wobei kleine und kleinste Unternehmen davon in Deutschland ausgenommen sein sollen. Kommen die Staaten zu keinem Ergebnis, darf die EU-Kommission bis Ende 2017 über eine Verordnung definieren, welche Unternehmen genau betroffen sind.

Für die Umsetzung der NIS-Direktive haben die Mitgliedstaaten nach dem Inkrafttreten 21 Monate Zeit. Außerdem verpflichtet die Richtlinie die EU-Staaten dazu, nationale Strategien zur Internetsicherheit vorzulegen. Der grüne Europaabgeordnete Jan Philipp Albrecht vermisst aber „weiterhin einen generellen Mindeststandard für die Sicherheit von Hard- und Software sowie eine Produkthaftung in diesem Bereich“. Jede fehlerhafte App könne heute bereits schwerwiegende Konsequenzen haben.

Dies wird wohl eine Nachfolge-Richtlinie regeln müssen. Im Moment steht schon die relativ einfach gestrickte NIS-Richtline vor einem Umsetzungsproblem: Enisa-Chef Udo Helmbrecht erklärt gegenüber den VDI nachrichten: „Auf europäischer Ebene haben wir die Schwierigkeit, überhaupt erst einmal eine Governance-Struktur aufzubauen.“ In manchen Ländern gebe es derzeit noch gar keine Stellen, die dafür zuständig seien. In anderen Ländern kümmerten sich gerade mal ein oder zwei Leute in den Behörden um das Thema IT-Sicherheit.

Foto: Enisa

„Das, was Deutschland schon länger hat, fängt jetzt in Europa erst einmal an.“ Udo Helmbrecht, Chef der Europäischen Agentur für Netz- und Informationssicherheit (Enisa) zu Umsetzungsproblemen bei der Richtlinie zur Netz- und Informationssicherheit.

Helmbrecht: „Wenn Digitalisierungskommissar Günther Oettinger einlädt, sitzt er ganz verschiedenen Ministern gegenüber.“ Ein Land entsende den Verteidigungsminister, andere Wirtschafts- oder Innenminister. Zudem müsse der Informationsaustausch über Sicherheitsvorfälle zwischen Unternehmen und Behörden noch geregelt werden. Helmbrecht: „Das, was Deutschland schon länger hat, fängt jetzt in Europa erst einmal an.“ Aber auch in Deutschland ist das Thema noch längst nicht durchgeregelt: So arbeitet das Bundesinnenministerium im Moment ebenfalls an einer Verordnung zum IT-Sicherheitsgesetz, die beschreiben wird, welche Unternehmen betroffen sind und welchen technischen Mindeststandard sie einhalten müssen. Dabei werden wohl auch Zertifizierungen nach anerkannten Standards wie ISO/IEC 27001 eine wichtige Rolle spielen. Die Abstimmungen mit den verschiedenen Branchen gestalten sich „spannend“ – so ist aus Beobachterkreisen zu hören. Den Betroffenen ist es wichtig, dass es keine wesentlichen Unterschiede zwischen der nationalen und europäischen Verordnung geben wird.

EU-weit ist die Abstimmung noch weitaus schwieriger, da es in einigen Ländern für bestimmte Branchen noch keine Regulierungsvorgaben und damit auch keine Behörden gibt, die als Ansprechpartner in Sachen IT-Sicherheit funktionieren könnten.

Über Mindestanforderungen an die IT-Sicherheit wird daher noch nicht gesprochen. Enisa-Chef Helmbrecht will den Prozess vorantreiben. Die große Herausforderung ist es, ein einheitliches, hohes Sicherheitniveau zu finden. Dafür müssten die Standards der derzeit noch wenig aktiven Länder auf das Level der führenden Nationen angehoben werden.

stellenangebote

mehr