EU erarbeitet neue Sicherheitsregeln: Wer haftet bei Cyber-Attacken?

Die ENISA sucht nach der richtigen Balance zwischen Cyber-Sicherheit und Wettbewerbsfähigkeit. [Ivan David Gomez Arce/Flickr]

Es muss mehr Debatten über die Haftung bei Cyberattacken geben, sagt Steve Purser, Leitender Direktor bei der Europäischen Agentur für Netz- und Informationssicherheit (ENISA), im Interview mit EURACTIV.com.

Die ENISA erarbeitet derzeit Regeln für eine Cybersicherheits-Zertifizierung für Produkte, die in der gesamten EU sicher verwendet werden können. Der Vorschlag der EU-Kommission, die Verantwortung für dieses Sicherheitsprogramm an die Athener Behörde zu übertragen, wurde von Technikfirmen sehr unterschiedlich aufgenommen.

Euractiv: Die ENISA ist nun verantwortlich dafür, die Kriterien für eine neue Cybersicherheitszertifizierung aufzustellen. Das ist unter Tech-Firmen umstritten. Warum müssen die bisherigen Sicherheitszertifikate überhaupt überarbeitet werden?

Steve Purser: Dafür gibt es mehrere Gründe. Einer ist, dass wir zwar einige sehr gute nationale Systeme haben, aber kein europäisches. Dadurch entsteht das Risiko, dass eine Firma vielleicht eine sehr gute Zertifizierung in Deutschland oder Frankreich hat, diese Zertifizierung aber in Bulgarien oder den Niederlanden oder irgendeinem anderen EU-Staat nicht anerkannt wird. Wir sind da noch immer auf nationaler Ebene. Insgesamt funktioniert dies ganz gut, aber eben bei weitem nicht perfekt. Deswegen glaube ich, dass ein europaweites System eine gute Sache wäre. Zweitens könnte sich so die Rolle der Industrie ändern. Sie hätte eine gewichtigere Stimme, weil Produkte und Dienstleistungen zumindest innerhalb Europas einfacher über Grenzen hinweg angeboten werden können. Das ist sehr wichtig. Der Markt ändert sich gerade enorm.

Und die Systeme, die im Moment ganz gut funktionieren… Um es hart zu sagen: Sie sind klobig. Sie sind teuer und langsam. Das ist keine Kritik an den Menschen, die diese Zertifizierungen durchführen – sie machen einen sehr guten Job. Es ist eher die Feststellung, dass der Markt heute durch eine massiv größere Skalierbarkeit und viel kürzere Zeitvorgaben und Fristen gekennzeichnet ist. Es ist klar, dass wir uns in Zukunft nicht mehr auf die Methoden verlassen werden können, die in der Vergangenheit funktioniert haben. Ich denke da an Themen wie das Internet der Dinge, Roboter, künstliche Intelligenz und ähnliche neue Entwicklungen.

Maaßen: Industrie 4.0 erhöht Risiko der Cyber-Spionage

Die Industriestaaten laufen Gefahr, zunehmend Cyber-Spionage durch kleinere Staaten ausgesetzt zu sein, warnt Verfassungsschutz-Präsident Hans-Georg Maaßen.

Bevor die Kommission ihre Vorschläge präsentiert hat, gab es die Diskussion, ob Firmen rechtlich bindende Standards einhalten müssen, die die Sicherheit ihrer Produkte garantieren. In den Vorschlägen der Kommission findet sich dies nicht mehr. Glauben Sie, dass es dennoch bindende Standards für die Cybersicherheitzertifizierung geben sollte?

Ich glaube, in einigen Bereichen hätte es Vorteile, solche Standards zu haben – in anderen aber definitiv nicht. Das ist ein Balanceakt. Auf der einen Seite haben wir Dinge, bei denen Sicherheit essenziell ist, zum Beispiel bei wichtiger Infrastruktur. Da sehe ich auf jeden Fall den Bedarf für Standards. Solche Standards können in anderen Marktsegmenten aber dazu führen, dass Innovationen behindert und Barrieren aufgebaut werden, die den Erfolg auf den globalen Märkten verhindern. Ich denke, da müsste auf Einzelfallbasis entschieden werden.

Einige Europaabgeordnete fordern EU-Richtlinien zur Haftbarkeit von Firmen im Falle von Cyberattacken. Sollte das weiter diskutiert werden?

Absolut. Das ist ein gutes Beispiel für Konzepte, die sich schwer aus der realen Welt in die Internetwelt übertragen lassen. Die Verantwortung und der Haftungsumfang können im Internet riesig sein. Ein Beispiel: Ein Auto wird heute nicht mehr wirklich am Stück hergestellt, es wird aus sehr vielen Komponenten zusammengesetzt, und alle Komponenten haben eine sehr komplexe Lieferkette. Das macht es für Autohersteller sehr schwierig, alle Elemente der Kette zu überprüfen. Ich glaube, wir müssen unseren Begriff von Haftung darauf anpassen, was im Markt tatsächlich passiert. Es gibt hochkomplexe Lieferketten und kurzfristige Marktentwicklungen. Wir müssen verstehen, wo die Haftung wirklich liegt.

Noch ein Beispiel: Sie haben einen Autounfall. Der Grund dafür war ein Chip in einem der vielen elektronischen Systeme in Ihrem Wagen. Da muss man einige Schritte zurückgehen: Wie verteilt sich die Haftung? Und wie kann man in diesen komplexen Systemen sicher sagen, dass dieser Chip tatsächlich die Ursache war? Ich kann Ihnen dazu keine richtige Antwort geben, aber ich glaube, es ist wirklich an der Zeit, dass wir diese Haftungsfragen diskutieren und bessere Modelle erarbeiten, die in solchen Fragen greifen. Vielleicht kann es ein Lieferketten-Modell für Haftungsfragen geben, so wie wir ein Lieferkettenmodell für die Mehrwertsteuer haben.

EU-Digital-Beamtin: Digitale Gefahren kennen keine Grenzen

Linda Cogruedo Steneberg erklärt, wie die Kommission den Breitbandzugang ausbauen, das Internet demokratisieren und die Online-Sicherheit verbessern will.

Ein Kritikpunkt der Technikindustrie am Kommissionsvorschlag für EU-weite Zertifizierung war, dass neue Barrieren zu Drittstaaten außerhalb der EU aufgebaut werden könnten – gerade, wenn die Sicherheitsstandards in der EU sehr hoch sind.

Das kann ich ehrlich gesagt im Moment nicht nachvollziehen. Das ist ja momentan nur eine Idee, ein Konzept. Man kann jetzt gerade gar nicht voraussagen, was am Ende dabei rauskommt. Für uns ist es das Wichtigste, dass wir behutsam bei Zertifizierungsänderungen vorgehen. Wir bemühen uns auf EU-Ebene sehr darum, pragmatisch zu sein. Ich glaube nicht, dass es das Ziel ist, alles platt zu machen und die gemeinsamen Kriterien, die gut funktionieren, zu ändern. Es gibt aber sehr viele Bereiche, in denen es überhaupt keine Standards gibt, zum Beispiel beim Internet der Dinge.

Ich kann mir da zwei Lösungen vorstellen, die dem Markt zugutekommen würden, wenn sie richtig angegangen werden. Das sind die Zertifizierung von Kleingeräten und Labeling. Beides bietet große Vorteile – aber auch Nachteile. Wir können in Zukunft nicht davon ausgehen, dass solche Kleingeräte für 50 Euro auf die gleiche Weise gesichert werden wie Server, die Abertausende von Euros kosten. Das macht keinen Sinn. Wir müssen da unsere Hausaufgaben machen und die Chancen und Risiken richtig bewerten. Wir müssen Richtlinien entwerfen, die sich auf das wirklich Wichtige konzentrieren. Und vielleicht stellen wir fest, dass wir nicht immer und für alle Geräte die drakonischsten Sicherheitsvorschriften haben müssen. Das wäre ein wichtiger Schritt, weil er die Märkte stützt. Wenn solche Richtlinien sinnvoll und korrekt umgesetzt werden, würde Europa wettbewerbsfähiger werden. Das wäre ein tolles Alleinstellungsmerkmal und Verkaufsargument.

Labels sind ebenfalls eine gute Idee. Denken Sie an die Energie-Sticker auf Kühlschränken, zum Beispiel. Die sind leicht zu verstehen. Wenn die Verbraucher ein energieeffizientes Gerät kaufen wollen, suchen sie nach A+. In der IT ist das natürlich sehr viel komplexer und wahrscheinlich können wir nicht das gleiche Level an Einfachheit erreichen. Aber wir können dennoch versuchen, Labels zu entwerfen, die den Verbrauchern eine klare Idee davon vermitteln, wie sicher ein Gerät ist.

Damit könnten wir etwas wirklich Großes erreichen. Wir könnten mit relativ niedrigen Kosten die Märkte stimulieren und gleichzeitig die Sicherheit erhöhen. Wir müssen dafür aber umdenken. Wir müssen verstehen, dass wir für die neuen und zukünftigen, größeren Systeme und Zusammenhänge nicht mehr die selben Kriterien aus der Vergangenheit anwenden können. Das funktioniert nicht.

Umfrage unter Millenials: Roboter werden mehr Jobs schaffen, als zerstören

Junge Menschen sind weiterhin optimistisch, was den zukünftigen Einfluss von Robotern und künstlicher Intelligenz auf die Arbeitswelt angeht.

Die Kommission hat ein solches Zertifizierungsprogramm erst im vergangenen Monat vorgeschlagen. Es liegt jetzt an der ENISA, dieses Programm und seine Auswirkungen auf Firmen konkret auszuarbeiten.

I hoffe nicht. Mein Blick darauf ist ein wenig anders. Es gibt sehr unterschiedliche Ansichten zum Thema Zertifizierung: Die Mitgliedstaaten haben andere Ansichten, und auch in der Industrie gibt es Differenzen: Einige Leute wollen die Zertifizierung, andere nicht. Ich glaube, es wäre eine gute Idee, sich des Themas auf Sektor-Basis anzunehmen. Da gibt es sehr viel einheitlichere Meinungen. Wenn man die grundsätzlichen Fragestellungen so herunterbricht, opfert man natürlich etwas. Gleichzeitig erreicht man aber in Einzelbereichen sehr viel. Natürlich will man am Ende allgemein gültige Regeln haben, die für Alle gelten. Aber die ENISA wird dieses Problem angehen, wie wir es immer machen. Wir werden in einem strukturierten Ansatz mit allen Interessenvertretern reden. Wir arbeiten mit winzigen Schritten auf ein langfristiges Ziel hin. Wir wollen die Welt nicht über Nacht verändern, aber wir haben eine sehr ambitionierte Strategie, die wir mit diesen kleinen Schritten angehen.

Welche Kriterien halten Sie für wichtig; welche Kritereien sollten in den verschiedenen zukünftigen Zertifizierungen enthalten sein?

Zu technischen Kriterien möchte ich mich noch nicht äußern, aber generell wollen wir proportionale Zertifizierungskriterien aufstellen. Kriterien, bei denen klar ist, dass ein Haus kein Atomkraftwerk ist, dass die Gefahren dort niedriger sind. Wir wollen aber das Bewusstsein erhöhen und den Konsumenten sagen: „Wenn ihr ein Schloss an eurer Tür habt, das mit dem Internet der Dinge verbunden ist, solltet ihr vorsichtig sein, weil es gehackt werden kann. Je nach Schloss erhöht oder vermindert sich die Sicherheit.“

Wir werden einen Ansatz entwickeln, der auch die wirtschaftlichen Bedenken ausräumt. Die EU muss sich diese neuen Märkte erschließen und dabei ein angemessenes Sicherheitslevel halten. Wir müssen nicht das sicherste System der Welt haben, das wäre der wirtschaftliche Tod. Aber wir müssen genug Sicherheit bieten, dass die Dinge trotzdem laufen. Denken Sie noch einmal an das Automobil. Die Gefahr beim Auto ist, dass jemand überfahren wird. Es gibt schreckliche Dinge, die im Zusammenhang mit Autos geschehen. Das wissen wir Alle, aber wir akzeptieren es und versuchen auf unterschiedliche Weise, damit umzugehen oder darauf zu reagieren. Das gleiche wird beim Internet der Dinge, bei der künstlichen Intelligenz, bei Robotern und bei anderen Technologie-Entwicklungen passieren.

Unterstützer

HUAWEI

Huawei Technologies ist einer der weltweit führenden Anbieter von Informationstechnologie und Telekommunikationslösungen

Von Twitter