Trendreport

IT-Security in Europa: Mit Sicherheit nicht genug

(Illustration: Hubertus Krohne)

Die Angriffsflächen für Cyberattacken nehmen zu. Die EU reagiert mit einem Cyber-Security-Act, der Experten aber nicht weit genug geht. Zudem fehlen klare Zuständigkeiten, wenn es zum Ernstfall kommt. Wie sicher ist Europas digitaler Raum?

Im April 2019 ist bekannt geworden, dass der Leverkusener Pharmakonzern Bayer mit der sogenannten „Winnti“-Schadsoftware angegriffen worden ist. Möglicherweise steckt eine chinesische Hackergruppe dahinter. Die Angreifer seien hoch professionell vorgegangen, hieß es in einer Pressemitteilung. Sie hätten Systeme an der Schnittstelle vom Intranet zum Internet infiziert und von dort aus versucht, tiefer ins Unternehmen einzudringen. Informationen konnte Winnti offenbar nicht stehlen. Beruhigen sollte uns das aber nicht: Winnti ist bei mindestens drei weiteren deutschen Unternehmen aktiv gewesen. Die Bedrohungslage im Cyberraum ist seit Jahren ernst – und die europäische Politik? Setzt ihr eine kleine Agentur in Malta entgegen, die derzeit ein freiwilliges Zertifikat als großen Erfolg feiert.

Gemeint ist die European Network and Information Security ­Agency (ENISA), die kürzlich in Brüssel ihr 15-jähriges Jubiläum beging. Sie wurde gegründet, um die Netz- und Informations­sicherheit innerhalb der Europäischen Union zu wahren. Ihr Sitz ist Malta, ihr 2019er Budget mit rund 17 Millionen Euro überschaubar. Zum Vergleich: Die Europäische Behörde für Lebensmittelsicherheit (EFSA) kann in diesem Jahr auf fast 80 Millionen Euro zurückgreifen. Die Stimmung auf der Jubiläumsfeier war dennoch optimistisch. Anfang des Jahres gelang der ENISA nach eigener Einschätzung ein großer Erfolg: Die EU-Kommission verabschiedete den von ihr vorgeschlagenen Cyber-Security-Act. Darin verpflichtet sich die EU, ein Zertifizierungsverfahren für digitale Produkte, sei es Smart Home, Industrielösungen oder kritische Infrastrukturen zu realisieren. Für Unternehmen ist es allerdings freiwillig.

Die ENISA sieht sich dabei als zentrales Kompetenz­zentrum Cyber Security, das die Zertifizierung regelt und den Informations­austausch zwischen den Mitgliedstaaten sowie die Forschung vorantreibt. ­Cyber-Security sei in der Politik angekommen, hieß es mehrfach in den Reden in Brüssel. Die Bedrohung sei ernst und jetzt werde sie ernst genommen.

Der Beweis dafür ist allerdings alles andere als erbracht. Mit ENISA und dem Cyber-Security-Act schlägt die EU laut Experten zwar den richtigen Weg ein, das allerdings reichlich spät. Für andere Bedrohungen fehlt die länderübergreifende Koordination in der Union auch weiterhin –, das macht es für die agilen Angreifer umso leichter.
Gütesiegel für Security?

(Abbildung: t3n)

(Abbildung: t3n)

Die Zertifizierung ist immerhin ein Anfang. „Wir wollen erreichen, dass der Endverbraucher besser einschätzen kann, ob ein Produkt sicherer ist als andere Produkte“, sagt ENISA-Direktor Udo Helmbrecht. „Das Zertifikat ist vergleichbar mit den Energie­labeln bei Kühlschränken oder den Zertifikaten für Kinderautositze: Die Hersteller verpflichten sich bei Teilnahme, ­bestimmte Standards einzuhalten.“ Helmbrecht hofft, dass sich damit Marktvorteile für EU-Unternehmen ergeben: „Wenn Standards auf den Markt kommen, werden Firmen investieren. Der Markt honoriert Sicherheit.“

Ein sicherer Markt ist das vorrangige Ziel der ENISA, und genau da liegt gleichzeitig ein Problem. Die ENISA ist keine Behörde der Verteidigung. „Der Artikel, auf dem die Agentur begründet ist, steht in Zusammenhang mit wirtschaftlichem Wachstum in der EU, und das setzt auch einen sicheren digitalen Raum voraus“, sagt Helmbrecht. „Deshalb beschäftigen wir uns mit Risiken, die sich für Unternehmen und Konsumenten durch solche Technologien ergeben. Geheimdienst- und Militärthemen wie zum Beispiel Spionage sind nicht Teil unseres Mandats. Lediglich Industrie­spionage ist eine Grauzone.“ Bei Letzterem gehe es um Prävention.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung