Anzeige
Anzeige
Trendreport
Artikel merken

IT-Security in Europa: Mit Sicherheit nicht genug

Die Angriffsflächen für Cyberattacken nehmen zu. Die EU reagiert mit einem Cyber-Security-Act, der Experten aber nicht weit genug geht. Zudem fehlen klare Zuständigkeiten, wenn es zum Ernstfall kommt. Wie sicher ist Europas digitaler Raum?

Von Boris Hänßler
10 Min. Lesezeit
Anzeige
Anzeige

(Illustration: Hubertus Krohne)

Im April 2019 ist bekannt geworden, dass der Leverkusener Pharmakonzern Bayer mit der sogenannten „Winnti“-Schadsoftware angegriffen worden ist. Möglicherweise steckt eine chinesische Hackergruppe dahinter. Die Angreifer seien hoch professionell vorgegangen, hieß es in einer Pressemitteilung. Sie hätten Systeme an der Schnittstelle vom Intranet zum Internet infiziert und von dort aus versucht, tiefer ins Unternehmen einzudringen. Informationen konnte Winnti offenbar nicht stehlen. Beruhigen sollte uns das aber nicht: Winnti ist bei mindestens drei weiteren deutschen Unternehmen aktiv gewesen. Die Bedrohungslage im Cyberraum ist seit Jahren ernst – und die europäische Politik? Setzt ihr eine kleine Agentur in Malta entgegen, die derzeit ein freiwilliges Zertifikat als großen Erfolg feiert.

Anzeige
Anzeige

Gemeint ist die European Network and Information Security ­Agency (ENISA), die kürzlich in Brüssel ihr 15-jähriges Jubiläum beging. Sie wurde gegründet, um die Netz- und Informations­sicherheit innerhalb der Europäischen Union zu wahren. Ihr Sitz ist Malta, ihr 2019er Budget mit rund 17 Millionen Euro überschaubar. Zum Vergleich: Die Europäische Behörde für Lebensmittelsicherheit (EFSA) kann in diesem Jahr auf fast 80 Millionen Euro zurückgreifen. Die Stimmung auf der Jubiläumsfeier war dennoch optimistisch. Anfang des Jahres gelang der ENISA nach eigener Einschätzung ein großer Erfolg: Die EU-Kommission verabschiedete den von ihr vorgeschlagenen Cyber-Security-Act. Darin verpflichtet sich die EU, ein Zertifizierungsverfahren für digitale Produkte, sei es Smart Home, Industrielösungen oder kritische Infrastrukturen zu realisieren. Für Unternehmen ist es allerdings freiwillig.

Die ENISA sieht sich dabei als zentrales Kompetenz­zentrum Cyber Security, das die Zertifizierung regelt und den Informations­austausch zwischen den Mitgliedstaaten sowie die Forschung vorantreibt. ­Cyber-Security sei in der Politik angekommen, hieß es mehrfach in den Reden in Brüssel. Die Bedrohung sei ernst und jetzt werde sie ernst genommen.

Anzeige
Anzeige

Der Beweis dafür ist allerdings alles andere als erbracht. Mit ENISA und dem Cyber-Security-Act schlägt die EU laut Experten zwar den richtigen Weg ein, das allerdings reichlich spät. Für andere Bedrohungen fehlt die länderübergreifende Koordination in der Union auch weiterhin –, das macht es für die agilen Angreifer umso leichter.
Gütesiegel für Security?

Anzeige
Anzeige
(Abbildung: t3n)

(Abbildung: t3n)

Die Zertifizierung ist immerhin ein Anfang. „Wir wollen erreichen, dass der Endverbraucher besser einschätzen kann, ob ein Produkt sicherer ist als andere Produkte“, sagt ENISA-Direktor Udo Helmbrecht. „Das Zertifikat ist vergleichbar mit den Energie­labeln bei Kühlschränken oder den Zertifikaten für Kinderautositze: Die Hersteller verpflichten sich bei Teilnahme, ­bestimmte Standards einzuhalten.“ Helmbrecht hofft, dass sich damit Marktvorteile für EU-Unternehmen ergeben: „Wenn Standards auf den Markt kommen, werden Firmen investieren. Der Markt honoriert Sicherheit.“

Ein sicherer Markt ist das vorrangige Ziel der ENISA, und genau da liegt gleichzeitig ein Problem. Die ENISA ist keine Behörde der Verteidigung. „Der Artikel, auf dem die Agentur begründet ist, steht in Zusammenhang mit wirtschaftlichem Wachstum in der EU, und das setzt auch einen sicheren digitalen Raum voraus“, sagt Helmbrecht. „Deshalb beschäftigen wir uns mit Risiken, die sich für Unternehmen und Konsumenten durch solche Technologien ergeben. Geheimdienst- und Militärthemen wie zum Beispiel Spionage sind nicht Teil unseres Mandats. Lediglich Industrie­spionage ist eine Grauzone.“ Bei Letzterem gehe es um Prävention.

Anzeige
Anzeige

Die Frage, wer für was zuständig ist, ist das große ­Dilemma der EU. Laut der sogenannten NIS-Direktive (Network ­Information Systems) von 2016 müssen die Länder Strukturen zur Cyber-­Security aufbauen und an Übungen teilnehmen. Aber wie sie Ersteres machen, ist relativ frei: Griechenland hat ein ­Ministerium für digitale Politik, ­Telekommunikation und Medien. In Litauen ist Cyber-Security im Verteidigungsministerium angesiedelt. Entsprechend unterschiedlich sind die Interessenschwerpunkte der einzelnen Mitgliedstaaten, wie Helmbrecht bestätigt. Deutschland etwa ist derzeit auf kritische Infrastrukturen fixiert – ein Thema des Innenministeriums, in dessen Geschäftsbereich das Bundesamt für Sicherheit in der Informationstechnik (BSI) folgerichtig angesiedelt ist.

Große Rechtsunsicherheit

Dieser Flickenteppich spiegelt sich auf EU-Ebene: Neben der ­ENISA gibt es das Computer Emergency Response Team (CERT-EU), das bei Angriffen auf die IT in EU-Einrichtungen reagiert. Das European ­Cybercrime Centre (EC3) bei Europol wird aktiv, wenn entsprechende Anfragen aus dem Europol-Cyber-­Intelligenzteam kommen, das sich wiederum aus dem National Network of ­Computer Security Incident Response Teams (CSIRT) zusammensetzt – den nationalen Pendants zum CERT-EU. Die European Defence Agency (EDA) ist für die Cyber-­Security im Rahmen der gemeinsamen Sicherheits- und Verteidigungs­politik der EU zuständig, hat aber ähnlich wie die ENISA keine eigenen Einsatzkräfte, sondern ist eher ein Kompetenzzentrum. Die ­European Agency for the operational Management of large-­scale IT Systems (eu-LISA) verwaltet und schützt große Informations­systeme wie Visa (VIS) und Fingerabdrücke (EURODAC). Die ­European ­Aviation Safety Agency (EASA) beschäftigt sich mit der Cyber-Security in der Luftfahrt – ähnliche Einrichtungen gibt es für Schienen- und Schiffsverkehr. Neu hinzu gekommen ist ein Cybersecurity Industrial, Technology and Research Centre sowie ein Cybersecurity Competence Network – beide könnten Aufgaben der ENISA übernehmen, wenn die mit der Zertifizierung ausgelastet ist.

Folge der Aufteilung sei eine große Rechtsunsicherheit, sagt ­Ursula Pachl, stellvertretende Generaldirektorin der European ­Consumer Organisation, in der unter anderem die deutsche Verbraucherzentrale Mitglied ist. Ein Beispiel für diese Unsicherheit sei der jüngste Umgang mit einer Reihe von Smartwatches für Kinder, die auf den Markt kamen. Mit diesen Uhren können ­Eltern mit ihrem Kind kommunizieren sowie dessen Aufenthaltsort bestimmen. Vor Kurzem wurden in den Geräten eklatante Sicherheitsmängel gefunden: Es ist relativ leicht für einen Hacker, über ein Internetportal die Kontrolle über die Uhr zu übernehmen. Er könnte das Kind verfolgen und mit ihm kommunizieren, gleichzeitig könnte er den Eltern einen falschen Standort vorgaukeln. Die Daten werden zudem unverschlüsselt übertragen und gespeichert. Nutzer können sie nicht einmal löschen. Ein SOS-Button, den das Kind drücken kann, falls es in Gefahr ist, funktioniert unzuverlässig. So hätten Eltern das Gefühl, ihre Kinder mit der Uhr zu schützen, setzten sie aber einer erhöhten Gefahr aus, sagt Pachl: „Solche Geräte sollten in Europa nicht verkauft werden. Wir haben also alle möglichen Institutionen angeschrieben – ­Datenschutz, Verbraucherschutz, die Kommission; es ist nichts passiert.“

Anzeige
Anzeige

Vor einem Monat jedoch reagierte Island, nahm eine der ­Uhren, die Enox Safe-Kid-One, vom Markt und gab einen „Alert“ innerhalb des „Safety Gates“ heraus. Dabei handelt es sich um ein Schnellwarnsystem zum Informationsaustausch über ­potenziell verbrauchergefährdende Non-Food-Produkte, an dem ­neben den EU-Mitgliedsstaaten auch die Länder des Europäischen Wirtschaftsraums (EWR) teilnehmen. Auch in Island hatte es zunächst ein Zuständigkeitsproblem gegeben, da man nicht so genau wusste, ob die Einrichtung für Datenschutz, der Verbraucher­schutz oder gar die Wettbewerbsbehörde zuständig sei. Aber Island hat ein System, bei dem im Zweifelsfall eine Behörde die Zuständigkeit übertragen bekommt, in diesem Fall die für Verbraucherschutz. In keinem anderen Land gibt es eine derartige Regelung. Nicht-EU-Mitglied Island macht es also vor: Die digitale Wirtschaft der Union bräuchte einen vergleichbaren Ansatz, um bei der Vielzahl an Institutionen für klare Zuständigkeiten zu sorgen.

Denn Cyber-Security ist inzwischen bei fast allen Produkten ein ­Thema. Es geht längst nicht mehr um die klassischen ­kritischen Infra­strukturen – auch Alltagsprodukte sind heute Angriffsflächen für Hacker. Hersteller von Spielwaren beispielsweise kostet es nur wenige Cents, ihre Produkte mit einem Chip zu versehen. Der liefert ihnen dann Daten, sei es darüber, ob das Produkt defekt ist oder wo und wie es zum Einsatz kommt. Für den Hersteller sind solche Informationen kostbar. Das führt dazu, dass immer mehr Branchen digitale Produkte entwickeln, obwohl sie keine Erfahrung mit Cyber-Security haben und sie mitunter nicht ernst nehmen. Auch Helmbrecht sagt, dass das Thema bei vielen Firmen offensichtlich noch nicht angekommen sei.

„Es ist zu wenig Kapital da, und Securityexperten verdienen in den USA ­deutlich besser.“

Auf der anderen Seite sind die Zulassungsverfahren veraltet – bei Spielzeug geht es zum Beispiel ausschließlich um die Frage, ob eine Verletzungsgefahr oder eine Gefahr durch ­Schadstoffe besteht. Der Chip wäre also ein Problem, wenn Kinder ihn verschlucken könnten. Das von der ENISA eingeführte Zertifikat würde dies zwar ändern, aber es ist freiwillig. „Eine solche Selbst­regulierung ist unzureichend“, sagt Pachl. „Wir fürchten, dass das Zertifikat für Unternehmen nicht attraktiv genug ist, da Verbraucher bei Cyber-Security nicht sensibilisiert genug sind, um sie einzufordern.“

Anzeige
Anzeige

Experten für Internetsicherheit sind ebenfalls skeptisch. ­Sergej Epp, Chief Security Officer für Zentraleuropa beim amerikanischen Unternehmen Palo Alto Networks, warnt vor der Zunahme an Angriffsflächen dank ständig neuer Geräte, die wir nicht einmal mehr als digital wahrnehmen, sowie der gleichzeitigen Zunahme an Angriffsversuchen. „Jeder kann theoretisch einen Angriff durchführen“, sagt er. „Es reicht, mit dem Internet verbunden zu sein. Sie können aus jeder Ecke der Welt die größten Unternehmen lahmlegen. Dafür brauchen Sie weder Geld noch ausgefeilte Geräte. Sie müssen nur wissen, wie es geht.“ Heutzutage könne man sich über das Internet einen entsprechenden Bildungsstand aneignen.

Bis ein Angriff entdeckt wird, vergehen meist Monate, manchmal Jahre. Auch Bayer gab bekannt, es lasse sich nicht rekonstruieren, wie lange die Hacker im Netz des Unternehmens waren. „Das liegt oft daran, dass die Experten in Firmen nicht die Möglichkeit haben, genug Transparenz zu schaffen“, sagt Epp. ­Regelungen wie das Bundes­datenschutzgesetz (BDSG) würden die Risiken, denen Unternehmen ausgesetzt sind, zu wenig berücksichtigen. Es müsse Ausnahmefälle bei einem Angriffsverdacht geben. Um Angriffsstrategien wirklich zu verstehen, müssten Securityexperten alle Daten analysieren, die auf den Unternehmensservern liegen – auch solche, die sonst zurecht geschützt sind.

EU-Wirtschaft investiert zu wenig

Epp sieht die EU nicht gut aufgestellt. Das hat zum Teil geo­politische Ursachen. Die Länder waren lange Zeit weniger stark unter Beschuss als etwa die Vereinigten Staaten. Diese hätten schon vor Jahren Milliarden in Cyber-Security investiert, sowohl in der Wirtschaft als auch beim Militär. In der EU investierten Politik und Unternehmen zu wenig. Letztere würden noch immer eher reagieren, statt auf präventive Maßnahmen zu setzen. Ein Zertifikat wäre ein Schritt nach vorne. „Die Regulatoren dürfen aber das Thema Cyber-Security nicht wie eine Compliance-Blackbox behandeln und mit einer Checkliste prüfen, welche Features ein Produkt hat und welche nicht“, sagt Epp. „Ähnlich wie bei einem Autocrashtest müssten die Hersteller nachweisen, dass ihr Produkt im Einsatz innerhalb des Gesamtsystems sicher ist – in einer Simulation, in der es realen Angriffen ausgesetzt ist.“ Vorbildlich sei etwa das Framework for Threat intelligence-based Ethical Red Teaming, kurz TIBER-EU, das die Europäische Zentralbank im vergangenen Jahr verabschiedet hat: ein gemeinsamer Rahmen für die Finanzindustrie, um zum Beispiel in sogenannten Cyber Ranges Systeme zu testen und Resilienz aufzubauen.

Anzeige
Anzeige
(Illustration: Hubertus Krohne)

(Illustration: Hubertus Krohne)

In Finnland hat die JAMK University of Applied Sciences ein derartiges Trainingszentrum, JYVSECTEC, aufgebaut. In deren Cyber-Range, einer Art Trainingsplattform, können sich ­Banken, Regierungsorganisationen und Unternehmen unter realen ­Bedingungen mit Attacken auseinandersetzen. Es wird zum Beispiel User-Traffic simuliert. Die finnischen Entwickler stellen ein „Red Team“ zusammen – ­Security ­Experten, die in die Rolle von ­Hackern schlüpfen, also Kriminelle, Hacktivisten oder ­Hacker von Regierungen.

Das Angriffsteam arbeitet mit Tools und Methoden, die im Umlauf sind: DDOS-Angriffe, Botnets, Ransomware, Phishing, Malware, Trojanische Pferde oder „Watering Holes“. Bei dieser Methode beobachten Hacker, welche unsicheren Websites Mitarbeiter eines Unternehmens häufig besuchen, dann infiltrieren sie die Seite und warten auf einen unvorsichtigen Mitarbeiter. Er ist dann die Eintrittskarte zum eigentlichen Ziel. „Es ist wichtig, nicht nur auf technologischer Seite vorbereitet zu sein“, sagt Jani Päijänen, Projektleiter von JYVSECTEC. „Das Management ­sollte beim Training ebenso involviert sein wie Produktion, Vertrieb, PR- oder Personalabteilung – je nach Unternehmen.“

Was typische Schwachstellen sind, möchte Päijänen nicht sagen. Aber allgemein sei die Kommunikation ein Problem – so müssten die Mitarbeiter im Bereich Technik, Management und PR besser zusammenarbeiten – etwa mittels Tools für eine Echtzeitberichterstattung – sodass bei einem Angriff alle jederzeit auf dem gleichen Stand sind und gemeinsame Strategien entwickeln können, wie sie die Situation in der Öffentlichkeit oder mit den Geschäftspartnern kommunizieren. Die Kommunikation ­während eines Angriffs ist ein komplexer Prozess.

Anzeige
Anzeige

Die Forscher kooperieren mit F-Secure, einem finnischen Security­unternehmen, um möglichst alle aktuellen Bedrohungen im Blick zu haben. Päijänen sagt: „Es ist sehr aufwendig, die ­Cyber-Range aktuell zu halten, da immer wieder neue Malware und neue Strategien auftauchen.“ Aber nur so seien die Teilnehmer vorbereitet.

Vor allem auch kleinere Unternehmen profitieren von solchen Übungen, auch sie müssen die Angriffssystematik und die Folgen verstehen. Dabei sind sie bei der Security meist auf externe Firmen angewiesen. Allerdings sind die ökonomischen Rahmenbedin­gungen für Securityunternehmen in der EU nicht besonders gut. „Es ist zu wenig Kapital da, und Securityexperten verdienen in den USA deutlich besser“, sagt Wirtschaftsinfor­matiker Kai Rannenberg von der ­Goethe-Universität. Er koordiniert das EU-Forschungsprojekt ­Cybersec4europe. Das Ziel: eine Securityindustrie in Europa eta­blieren. Die Forscher möchten bei verschiedene Fallbeispielen wie im Banken- und Gesundheits­wesen, Identitätsmanagement oder Smart Cities, Unternehmen mit Securitypartnern verbinden: „Wir können keine Startups fördern, aber die Bedürfnisse der Branchen ermitteln und diese mit Securityexperten zusammenbringen. So können sich Partner­schaften etablieren.“ Die Unternehmen sehen dann vielleicht, dass sie mehr investieren müssen. Immerhin kostet ein gelungener Angriff im Schnitt deutlich mehr als jeglicher Schutz davor – im Schnitt mehr als eine Million Euro.

Dabei ist die Expertise in Europa ja durchaus vorhanden. Auch der Weg, den die ENISA vorgibt, ist grundsätzlich richtig, aber er ist nicht konsequent genug. Europa braucht nicht nur ein gutes Umfeld für die Forschung, sondern auch IT-Security­firmen und die entsprechenden Investitionen – ebenso wie bindende ­Sicherheitsstandards, klare Zuständigkeiten in den Ländern ­sowie ein EU-weites Kompetenzzen­trum mit ausreichendem Budget. Und all das am besten, bevor es zum ersten richtigen Ernstfall kommt.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Schreib den ersten Kommentar!
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige