Cybersicherheit: Eine überfällige EU-Strategie

Eine europäische Strategie für die vernetze Welt

In einer vernetzten Welt spielt Cybersicherheit eine immer bedeutendere Rolle - es ist folgerichtig, dass diese Frage endlich stärker in den Fokus des europäischen Handelns rückt. Digitale Angriffe auf öffentliche Einrichtungen oder Unternehmen, etwa Energie- oder Wasserversorger, auf Infrastrukturen wie Verkehrsbetriebe oder auf Finanzinstitute, können die Funktionsfähigkeit unserer Gesellschaften fundamental beeinträchtigen.

Im 21. Jahrhundert ist es daher unabdingbar unsere Fähigkeit zu stärken, sich solchen Bedrohungen effektiv zu widersetzen, und alle Bereiche des öffentlichen Lebens gegen digital geführte Angriffe abzusichern. Diese Bemühungen dürfen in einer Welt des staatenübergreifenden digitalen Austausches aber nicht an den nationalen Grenzen enden. Der vorliegende Vorschlag der Europäischen Kommission markiert hier den Beginn einer Diskussion und nicht deren Ende.

Cybercrime ist eine Gefahr für die öffentliche Ordnung

Dass kriminelle Energie nicht nur unmittelbare Gefahren für unsere Bürger mit sich bringt, sondern auch für staatliche Institutionen und sogar für Staaten als solche, soll folgendes Beispiel verdeutlichen [1]:

Am 28. April 2007 stellte das so genannte Zyklon Security Team eine Software auf seiner Webseite bereit, die ein Tool zur Durchführung so genannter Distributed Denial of Service (DDoS) Attacks enthielt. Der Link enthielt den Zusatz „Special for attacking fuc*ing Estonian sites“. Das Zyklon Security Team bestand aus einer Gruppe russischer Hacker, deren Motivation offensichtlich darauf zurückzuführen war, dass sie die estnischen Behörden „bestrafen“ wollten, hatten diese doch am Vortag ein Kriegsdenkmal aus der sowjetischen Besatzungszeit entfernt. Die darauf folgende Bereitstellung der Schadsoftware und der damit kaum verhohlene Aufruf, estnische Internetseiten anzugreifen, führte zu einer bis dahin unbekannten Welle konzertierter Cyberattacken gegen offizielle estnische Internetseiten. Die dann in Estland folgenden Ereignisse führen die gravierenden Folgen eines koordinierten Angriffes auf informationstechnische Systeme eines Staates und seiner Einrichtungen, inklusive der daraus resultierenden gesellschaftlichen Nebeneffekte, beispielhaft vor Augen.

Sechs Jahre später haben organisierte Kriminalität und einige Staaten massiv aufgerüstet und die Verwundbarkeit IT-basierter Systeme längst als neues Angriffsziel für sich entdeckt. Die Entdeckung von ”Stuxnet„,”Flame„ oder ”Red October„ geben einen kleinen Hinweis auf die Dimension der möglichen Gefährdungen, die im Cyberspace lauern.

Die neue EU-Strategie war überfällig

Es war also überfällig, dass sich auch die EU-Kommission mit diesem Thema befasst. Neelie Kroes, Vizepräsidentin der Europäischen Kommission, Cecilia Malmström, Kommissarin für Inneres und Catherine Ashton, die Hohe Vertreterin der Union für Außen- und Sicherheitspolitik, haben jetzt gemeinsam eine EU-Cybersecurity Strategie vorgelegt, die gute Ansätze enthält. Jetzt gilt es, diese auch rasch und staatenübergreifend umzusetzen.

Die fünf Kernpunkte der Strategie sind laut EU-Kommission:

1. Stärkung der Widerstandsfähigkeit von Cyberstrukturen
2. Drastische Reduzierung der Cyberkriminalität
3. Entwicklung von Kompetenzen im Bereich der Cyberverteidigung und Ressourcen im Feld der Europäischen Sicherheits- und Verteidigungspolitik
4. Aufbau industrieller und technologischer Fertigkeiten im Bereich Cybersicherheit
5. Ein kohärenter Ansatz für den Cyberspace der Europäischen Union und die Verbreitung der Grundwerte der EU

Umgesetzt werden soll die Strategie unter anderem von so genannten Computer Emergency Response Teams (CERTs), die in den Mitgliedstaaten aufgebaut werden sollen, in denen diese noch nicht existieren, um so digitale Bedrohungen in Zusammenarbeit zu identifizieren, zu analysieren und diese letztendlich auch abzuwehren. Zudem sollen die Mitgliedstaaten nationale Agenturen für die Netzwerk- und Informationssicherheit (NIS) aufbauen, die eine NIS Strategie und einen NIS Kooperationsplan entwickeln sollen. Die Mitgliedstaaten werden dabei von der EU, u.a. seitens der Europäischen Agentur für Netz- und Informationssicherheit (ENISA), mit Informationen und Sachverstand unterstützt.

Privatwirtschaft und internationale Organisationen müssen eingebunden werden

Wichtig ist, auch die Privatwirtschaft sehr eng einzubinden. Sie ist wichtiger Kooperationspartner, z.B. durch Nutzung ihrer aus sicherheitsrelevanten Vorfällen gewonnenen IT-Erkenntnisse. Unternehmen sind stark an Cybersicherheit interessiert, eine eventuelle „Meldepflicht“ müsste allerdings strengsten Anforderungen genügen.

Laut des Papiers der Kommission sei die europäische „Public-Private Partnerschaft für die Widerstandsfähigkeit von Cyberstrukturen“ ein hierfür geeignetes Instrument, welches es auszubauen gelte. Auch werde die Europäische Union mit der seit 2010 begonnenen Praxis der Cyberübungen unter Teilnahme der Mitgliedstaaten und des Privatsektors fortfahren.

Insbesondere betont die vorgelegte Strategie die Notwendigkeit zur Zusammenarbeit der EU und ihrer Mitgliedstaaten mit relevanten internationalen Organisationen wie der NATO, der OSZE oder der European Defence Agency (EDA). Durch diese Kooperationen, durch die Nutzung verbesserter Technologien und mit besserem Verständnis von Angriffen wird auch die Verteidigung des Cyberraums besser gelingen.

Strafverfolgung im Netz: Das European Cybercrime Center EC³

Kriminelle und verbrecherische Aktivitäten im digitalen Raum lassen sich durch ein breites Problembewusstsein zwar minimieren, aber nicht gänzlich verhindern. Daher muss auch die Strafverfolgung solcher Aktivitäten verbessert werden. Die Europäische Union hat dafür vor kurzem das European Cybercrime Center (EC³) in Den Haag eröffnet. Es wird Strafverfolger in den Mitgliedstaaten dabei unterstützen ihre Fähigkeiten in der Online-Verbrechensbekämpfung auf- und auszubauen und die Kooperation zwischen den staatlichen Behörden zu ermöglichen.

Bei allen Bemühungen Sicherheit im Cyberraum zu erhöhen und auszubauen, stellt die EU-Kommission sehr deutlich klar, dass dies nur im Einklang mit den Werten und Grundrechten der EU geschehen kann. In diesem Zusammenhang wird betont, dass die Union sich hierbei nicht Mitteln der Generalüberwachung oder der Zensur bedienen wird. Vielmehr wird die Kommission Kryptographieverfahren3 unterstützen und „dual use“– Grundsätzen, d.h. der Mehrfachverwendung von Gütern und Technologien zu unterschiedlichen Zwecken, zukünftig den angemessenen Stellenwert einräumen.

Die Europäische Union wird sich mit ihrem dezentralen und interdisziplinären Ansatz im Bereich der Cybersicherheit weltweit für die Erhaltung eines freien, offenen und sicheren Internets einsetzen. Mehr Sicherheit. Aber auch mehr Freiheit.

SERIE: "Gebt dem EU Parlament eine Stimme!"

Zwei Wochen bringen wir Gastbeiträge von Abgeordneten des Europäischen Parlaments.

• Teil 1: Jutta Steinruck MdEP (S&D/SPD): Armut in Europa muss endlich wirksam bekämpft werden
• Teil 2: Michael Gahler MdEP (EVP/CDU): Gut gebrüllt, Löwe - Europäische Aktivitäten und Unterlassungen im Mali-Konflikt
• Teil 3: Dr. Eva Lichtenberger MdEP (GRÜNE): Die Transeuropäischen Verkehrsnetze (TEN-T): Nationale Prestigeprojekte verhindern europäische Verkehrspolitik!
• Teil 4: Prof. Dr. Lothar Bisky (LINKE): Düstere Aussichten für EU-Mobilitätsprogramme
• Teil 5: Alexander Alvaro MdEP (ALDE/FDP): Cybersicherheit: Eine überfällige EU-Strategie