zurück zum Artikel

Im Blindflug

Grenzübergreifende IT-Sicherheit in Europa

Trends & News | News

Angriffe auf die Netze von Unternehmen und Behörden werden komplexer, die Schäden größer. Die europäische IT-Sicherheitsbehörde Enisa will die Abwehr besser koordinieren, stößt dabei aber auf Probleme.

Flame, Stuxnet, Duqu – diese Sabotage- und Spionageviren sind nur die prominentesten Beispiele für eine kaum überschaubare, aber offenbar immer umfassendere Bedrohungslage. „Die Qualität der Cyber-Angriffe steigt, mit denen Unternehmen und Behörden konfrontiert werden“, warnt Michael Hange, Leiter des Bundesamts für Sicherheit in der Informationstechnik (BSI). Er mahnt eine „verstärkte Kooperation zwischen Staat, Wirtschaft und Wissenschaft“ an. Für ein möglichst umfassendes Lagebild sollten Betroffene dem BSI Sicherheitsvorfälle melden. Die Meldungen solle dann die „Allianz für Cyber-Sicherheit“ entgegennehmen, die gemeinsam von BSI und dem Branchenverband Bitkom eingerichtet wurde und kürzlich in den Pilotbetrieb ging.

Freiwillig melden Unternehmen bisher allerdings kaum etwas. So ist etwa in Deutschland die Zahlenlage derart prekär, dass Bundesinnenminister Hans-Peter Friedrich (CSU) mit der Einführung einer gesetzlichen Meldepflicht für Branchen wie Energie- und Wasserversorgung und Verkehr drohte. In den USA wurde aus demselben Grund der „Cyber Intelligence Sharing and Protection Act“ (CISPA) aus der Taufe gehoben. Der Gesetzesentwurf soll Unternehmen verpflichten, ihre Erkenntnisse rasch an die Sicherheitsbehörden zu übermitteln, und ist heftig umstritten. Große Unternehmen wie Microsoft hatten ihre Unterstützung zugesagt, Bürgerrechtsgruppen und Mozilla hatten hingegen kritisiert, dass CISPA den Datenschutz verletze. Auch Präsident Obama hat bereits sein Veto gegen das Gesetz angekündigt. Derzeit muss es noch vom Senat gebilligt werden.

Weltweit befinden sich die Behörden offenbar im Blindflug, was das tatsächliche Ausmaß von IT-Gefährdungen für kritische Infrastrukturen betrifft. Von „hohen Dunkelziffern“ wird gesprochen, nur die „Spitze des Eisbergs“ sei bekannt. In der Europäischen Union gibt es nur Meldepflichten für Internet-Service-Provider und Telekommunikationsunternehmen. Die Meldungen gehen an die nationalen Regulierungsbehörden, in Deutschland melden die Unternehmen die Vorkommnisse der Bundesnetzagentur. Diese geben die Informationen dann an die europäische Behörde Enisa (European Network and Information Security Agency) weiter.

Dürftige Datenbasis

Die Zahlenbasis hält sich bislang jedoch in Grenzen. Erst seit 2012 ist die sogenannte „Data Breach Notification“ in Kraft und bisher wurden 34 Fälle gemeldet, berichtet Enisa-Direktor Udo Helmbrecht. Weitere Daten liegen der Enisa nicht vor, obwohl in der Politik bereits seit Jahren die Einführung einschlägiger Statistiken gefordert wird. Trends sind gleichwohl zu erkennen: Helmbrecht erwartet etwa, dass künftig zunehmend Hacker-Attacken auf Clouds gefahren werden. Auf der Fachkonferenz Cyber-Security Ende Mai in Bonn sagte er, dass auch in den Service-Level-Agreements für Clouds die Frage der Verfügbarkeit zwar geregelt sei, doch Aspekte des Datenschutzes und der IT-Sicherheit meist fehlten.

Eine weitere Lücke wurde bereits während der ersten europaweiten Übung „Cyber Europe 2010“ festgestellt. Dieser Test für die Reaktionsfähigkeit auf Netzangriffe zeigte Helmbrecht zufolge deutlich, „dass die Verbindung zwischen Technik und Politik fehlt“. Anders als bei der deutschen Regierung gebe es auf europäischer Ebene keinen CIO oder IT-Rat, der bei einem Sicherheitsvorfall zuständig wäre. In Deutschland hingegen seien für Cybercrime-Fälle die Eskalationswege bis ins Bundeskanzleramt definiert. Helmbrecht: „Das Problem ist in Brüssel erkannt, doch die Lösung ist unklar.“ Die europäische IT-Sicherheitsbehörde Enisa beschäftigt sich allerdings ausschließlich mit den zivilen Fragen der IT-Sicherheit. Sie ist dabei nicht koordinierend als Zentralstelle tätig, sondern steht den nationalen und europäischen Institutionen lediglich beratend zur Seite. Sobald es um Vorfälle geht, die dem Thema Cyberwar zugeordnet werden, sind die nationalen Streitkräfte beziehungsweise das Nato-Bündnis gefragt. So arbeitet beispielsweise das im estnischen Tallin angesiedelte Cyberverteidigungszentrum seit 2008 der Nato zu.

Neue EU-Strategie

Gespannt darf man auf die „Internet Security Strategy“ sein, die die EU-Kommission zurzeit ausarbeitet. Darin sollen der Aufbau eines europäischen Frühwarnsystems, der Umgang mit Sicherheitsvorfällen sowie entsprechende Förderschwerpunkte im kommenden Forschungsrahmenprogramm konkretisiert werden. Ende des Jahres soll die neue Strategie vorgestellt werden.

Ebenfalls bis Jahresende soll auch mit Unterstützung der Enisa ein Netz nationaler staatlicher „Computer Emergency Response Teams“ (CERTs) in allen Mitgliedstaaten errichtet werden. Die letzten nationalen CERTs werden gerade in Malta und Irland zusammengestellt. Vor sechs Monaten wurde in Brüssel zudem ein CERT-EU für europäische Institutionen in Betrieb genommen. Laut Enisa gibt es in der Europäischen Union inzwischen 173 staatliche und private CERT-Einrichtungen. Ein mobiles Assistenz-Team der Enisa wurde im Athener Büro der Behörde eingerichtet, um den Mitgliedstaaten jederzeit Unterstützung anbieten zu können. In einem weiteren Schritt soll ein Europäisches Informations- und Warnsystem (EISAS) für Bürger und Unternehmen bis 2013 errichtet werden. (axk)


URL dieses Artikels:
http://www.heise.de/-2341773