Trendreport

IT-Security in Europa: Mit Sicherheit nicht genug

Seite 2 / 3

Die Frage, wer für was zuständig ist, ist das große ­Dilemma der EU. Laut der sogenannten NIS-Direktive (Network ­Information Systems) von 2016 müssen die Länder Strukturen zur Cyber-­Security aufbauen und an Übungen teilnehmen. Aber wie sie Ersteres machen, ist relativ frei: Griechenland hat ein ­Ministerium für digitale Politik, ­Telekommunikation und Medien. In Litauen ist Cyber-Security im Verteidigungsministerium angesiedelt. Entsprechend unterschiedlich sind die Interessenschwerpunkte der einzelnen Mitgliedstaaten, wie Helmbrecht bestätigt. Deutschland etwa ist derzeit auf kritische Infrastrukturen fixiert – ein Thema des Innenministeriums, in dessen Geschäftsbereich das Bundesamt für Sicherheit in der Informationstechnik (BSI) folgerichtig angesiedelt ist.

Große Rechtsunsicherheit

Dieser Flickenteppich spiegelt sich auf EU-Ebene: Neben der ­ENISA gibt es das Computer Emergency Response Team (CERT-EU), das bei Angriffen auf die IT in EU-Einrichtungen reagiert. Das European ­Cybercrime Centre (EC3) bei Europol wird aktiv, wenn entsprechende Anfragen aus dem Europol-Cyber-­Intelligenzteam kommen, das sich wiederum aus dem National Network of ­Computer Security Incident Response Teams (CSIRT) zusammensetzt – den nationalen Pendants zum CERT-EU. Die European Defence Agency (EDA) ist für die Cyber-­Security im Rahmen der gemeinsamen Sicherheits- und Verteidigungs­politik der EU zuständig, hat aber ähnlich wie die ENISA keine eigenen Einsatzkräfte, sondern ist eher ein Kompetenzzentrum. Die ­European Agency for the operational Management of large-­scale IT Systems (eu-LISA) verwaltet und schützt große Informations­systeme wie Visa (VIS) und Fingerabdrücke (EURODAC). Die ­European ­Aviation Safety Agency (EASA) beschäftigt sich mit der Cyber-Security in der Luftfahrt – ähnliche Einrichtungen gibt es für Schienen- und Schiffsverkehr. Neu hinzu gekommen ist ein Cybersecurity Industrial, Technology and Research Centre sowie ein Cybersecurity Competence Network – beide könnten Aufgaben der ENISA übernehmen, wenn die mit der Zertifizierung ausgelastet ist.

Folge der Aufteilung sei eine große Rechtsunsicherheit, sagt ­Ursula Pachl, stellvertretende Generaldirektorin der European ­Consumer Organisation, in der unter anderem die deutsche Verbraucherzentrale Mitglied ist. Ein Beispiel für diese Unsicherheit sei der jüngste Umgang mit einer Reihe von Smartwatches für Kinder, die auf den Markt kamen. Mit diesen Uhren können ­Eltern mit ihrem Kind kommunizieren sowie dessen Aufenthaltsort bestimmen. Vor Kurzem wurden in den Geräten eklatante Sicherheitsmängel gefunden: Es ist relativ leicht für einen Hacker, über ein Internetportal die Kontrolle über die Uhr zu übernehmen. Er könnte das Kind verfolgen und mit ihm kommunizieren, gleichzeitig könnte er den Eltern einen falschen Standort vorgaukeln. Die Daten werden zudem unverschlüsselt übertragen und gespeichert. Nutzer können sie nicht einmal löschen. Ein SOS-Button, den das Kind drücken kann, falls es in Gefahr ist, funktioniert unzuverlässig. So hätten Eltern das Gefühl, ihre Kinder mit der Uhr zu schützen, setzten sie aber einer erhöhten Gefahr aus, sagt Pachl: „Solche Geräte sollten in Europa nicht verkauft werden. Wir haben also alle möglichen Institutionen angeschrieben – ­Datenschutz, Verbraucherschutz, die Kommission; es ist nichts passiert.“

Vor einem Monat jedoch reagierte Island, nahm eine der ­Uhren, die Enox Safe-Kid-One, vom Markt und gab einen „Alert“ innerhalb des „Safety Gates“ heraus. Dabei handelt es sich um ein Schnellwarnsystem zum Informationsaustausch über ­potenziell verbrauchergefährdende Non-Food-Produkte, an dem ­neben den EU-Mitgliedsstaaten auch die Länder des Europäischen Wirtschaftsraums (EWR) teilnehmen. Auch in Island hatte es zunächst ein Zuständigkeitsproblem gegeben, da man nicht so genau wusste, ob die Einrichtung für Datenschutz, der Verbraucher­schutz oder gar die Wettbewerbsbehörde zuständig sei. Aber Island hat ein System, bei dem im Zweifelsfall eine Behörde die Zuständigkeit übertragen bekommt, in diesem Fall die für Verbraucherschutz. In keinem anderen Land gibt es eine derartige Regelung. Nicht-EU-Mitglied Island macht es also vor: Die digitale Wirtschaft der Union bräuchte einen vergleichbaren Ansatz, um bei der Vielzahl an Institutionen für klare Zuständigkeiten zu sorgen.

Denn Cyber-Security ist inzwischen bei fast allen Produkten ein ­Thema. Es geht längst nicht mehr um die klassischen ­kritischen Infra­strukturen – auch Alltagsprodukte sind heute Angriffsflächen für Hacker. Hersteller von Spielwaren beispielsweise kostet es nur wenige Cents, ihre Produkte mit einem Chip zu versehen. Der liefert ihnen dann Daten, sei es darüber, ob das Produkt defekt ist oder wo und wie es zum Einsatz kommt. Für den Hersteller sind solche Informationen kostbar. Das führt dazu, dass immer mehr Branchen digitale Produkte entwickeln, obwohl sie keine Erfahrung mit Cyber-Security haben und sie mitunter nicht ernst nehmen. Auch Helmbrecht sagt, dass das Thema bei vielen Firmen offensichtlich noch nicht angekommen sei.

„Es ist zu wenig Kapital da, und Securityexperten verdienen in den USA ­deutlich besser.“

Auf der anderen Seite sind die Zulassungsverfahren veraltet – bei Spielzeug geht es zum Beispiel ausschließlich um die Frage, ob eine Verletzungsgefahr oder eine Gefahr durch ­Schadstoffe besteht. Der Chip wäre also ein Problem, wenn Kinder ihn verschlucken könnten. Das von der ENISA eingeführte Zertifikat würde dies zwar ändern, aber es ist freiwillig. „Eine solche Selbst­regulierung ist unzureichend“, sagt Pachl. „Wir fürchten, dass das Zertifikat für Unternehmen nicht attraktiv genug ist, da Verbraucher bei Cyber-Security nicht sensibilisiert genug sind, um sie einzufordern.“

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung