Cybersicherheit: Frankreich und Deutschland warnen vor „Schritt zurück“

Die Vorreiter Frankreich und Deutschland würden „einen Schritt zurück“ machen, wenn der Vorschlag für ein EU-Cybersicherheitsgesetz in seiner aktuellen Form angenommen wird, glaubt Guillaume Poupard. [Ivan David Gomez Arce/Flickr]

Neue EU-Gesetzesvorschläge könnten zum Problem für Mitgliedstaaten wie Frankreich und Deutschland werden, die bereits weitergehende Cybersicherheits-Regularien haben, warnte der Chef der französischen Cybersicherheitsagentur im Gespräch mit EURACTIV.

Frankreich und Deutschland könnten gezwungen werden, „einen Schritt zurück“ zu machen, wenn der Vorschlag für ein EU-Cybersicherheitsgesetz in seiner aktuellen Form angenommen wird, glaubt Guillaume Poupard, Direktor der französischen Sicherheitsagentur ANSSI.

Frankreich und Deutschland sind die schärfsten Kritiker des Kommissionsvorschlags vom vergangenen Jahr.

Die beiden Länder sind besonders misstrauisch gegenüber einer Maßnahme, die die Schaffung eines Systems zur Zertifizierung des Cybersicherheitsniveaus von Technologieprodukten vorschlägt. Der Vorschlag der Kommission würde der in Athen ansässigen EU-Agentur ENISA neue Befugnisse zur Überwachung der Zertifizierungsstufen in diesem System übertragen.

Poupard und sein Gegenpart Arne Schönbohm vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) fordern, die ENISA solle sich eher zurückhalten, da die Agentur weder ausreichend Erfahrung noch Belegschaft habe, um diese neue Rolle zu übernehmen. Stattdessen sollten die einzelnen Mitgliedstaaten die Diskussionen führen.

ANSSI und BSI sind zwei der größten europäischen Agenturen für Cybersicherheit, die insbesondere auf Hackerangriffe gegen Unternehmen oder Regierungsbehörden reagieren.

EU erarbeitet neue Sicherheitsregeln: Wer haftet bei Cyber-Attacken?

Es muss mehr Debatten über die Haftung bei Cyberattacken geben, sagt Steve Purser von der Europäischen Agentur für Netz- und Informationssicherheit.

ENISA: Ein Zwerg

Die Europäische Kommission will der ENISA mehr Geld und Mitarbeiter zur Verfügung stellen – aber selbst mit dieser Steigerung würde sie von den größeren französischen und deutschen Agenturen weiterhin in den Schatten gestellt.

„Wir wissen wie man’s macht. Wir haben 20 Jahre Erfahrung,“ unterstrich Poupard mit Blick auf Frankreichs eigenes Zertifizierungssystem. Er fügte hinzu: „Wir wollen ein System auf europäischer Ebene, aber dieses System sollte nicht die Staaten als Hauptakteure ablösen.“

Wenn die Handhabung des neuen Systems durch die ENISA scheitert, bedeute dies, dass langwierige Gesetzgebungsgespräche absolut nutzlos waren und potenziell nicht ausreichende Zertifizierungskriterien die Cybersicherheitsbranche in allen EU-Mitgliedstaaten schwächen könnten – nicht nur in Frankreich und Deutschland, so Poupard.

„Europa verliert hier sehr wichtige Zeit: Alles geht sehr schnell, die Hacker sind sehr effizient. Wenn wir jetzt fünf Jahre vergeuden, ist das eine halbe Ewigkeit,“ kritisierte er.

Der Vorschlag der Kommission, der im vergangenen September vorgelegt wurde, war bereits in Planung, bevor die massiven Hackerangriffe WannaCry und NotPetya im Mai/Juni 2017 Unternehmen in ganz Europa lahmlegten. Die EU-Exekutive hat diese Vorfälle später dennoch als Grund genannt, warum neue Gesetze durchgesetzt werden müssten.

Laut Gesetzesentwurf müsste die ENISA Unternehmen und Mitgliedstaaten konsultieren, bevor sie Kriterien für das Zertifizierungssystem festlegt. Nachdem die ENISA verschiedene Sicherheitsstufen genehmigt hätte, müssten dann die Diplomaten der Nationalstaaten in einem beschleunigten Gesetzgebungsverfahren, einem so genannten Durchführungsrechtsakt, darüber abstimmen.

Meltdown und Spectre: Wie Deutschland mit IT-Schwachstellen umgehen sollte

Anstatt die gängige Praxis von Sicherheitsbehörden, Sicherheitslücken für Spionagezwecke auszunutzen, sollten sie eher für ihre Schließung zu sorgen, meint Matthias Schulze.

„Wir sind überzeugt, dass es schiefgeht“

Doch aus Sicht der Chefs der deutschen und französischen Cybersicherheitsagenturen würde auch diese Regelung der ENISA zu viel Einfluss geben.

Poupard sagte deutlich: „Wir sind überzeugt, dass es schiefgeht.“ Der Franzose weiter: „Wir sind nicht zufrieden mit dem, was vorgeschlagen wurde. Allein schon, weil nicht alle Fragen beantwortet werden und das System sehr viel weniger effizient wäre.“

Die Kommission hingegen argumentiert, der Druck Frankreichs und Deutschlands gegen die Aufsicht der ENISA über das neue System würde den Übergang zu einer EU-weit gültigen Cybersicherheitszertifizierung nur verlangsamen.

Paris und Berlin fordern, dass die Mitgliedstaaten eine zusätzliche Kontrolle haben, um Zertifikate zu genehmigen, bevor die ENISA sie durchsetzt.

Despina Spanou, eine der führenden Beamtinnen der Kommission, die für die Gesetzgebung zuständig ist, sagte am Montag im Industrieausschuss des Europäischen Parlaments (ITRE), auch diese Art von Kontrolle könnte zeitliche Probleme mit sich bringen.

Sie warnte, eine stärkere Beteiligung der Mitgliedstaaten könnte die Genehmigung der Zertifizierungskriterien um „ein weiteres Jahr hinauszögern, was die angedachten Programme weiter verzögern würde.“

Zertifizierung

Im Europäischen Parlament konzentrierten sich die Debatten der Abgeordneten über den Gesetzentwurf darauf, ob Unternehmen verpflichtet werden sollten, ihre Produkte zu zertifizieren, bevor sie in den Verkauf gehen dürfen. Der Vorschlag der Kommission sieht nur eine freiwillige Zertifizierung vor.

Poupard hingegen fordert, die Gesetzgebung müsse eine Zertifizierung für Produkte vorschreiben, die ernsthafte Sicherheitsrisiken darstellen können – wie digitale Gesundheitstechnologien und mit dem Internet verbundene Autos.

Aber er sagte auch, er stimme ansonsten dem Hauptgedanken des Kommissionsvorschlags zu: Die Cybersicherheitszertifizierung solle EU-weit erfolgen, um den Unternehmen weitere Kosten zu ersparen. Im Vorschlag der Kommission wurden ebenfalls die teuren Antragsverfahren für die Zertifizierung in einigen Ländern als ein Grund für die neuen, EU-weit gültigen Rechtsvorschriften genannt.

EU-Digital-Beamtin: Digitale Gefahren kennen keine Grenzen

Linda Cogruedo Steneberg erklärt, wie die Kommission den Breitbandzugang ausbauen, das Internet demokratisieren und die Online-Sicherheit verbessern will.

„Wir brauchen etwas wirklich Europaweites,“ glaubt auch Poupard.

Er betonte, das System müsse mehr sein als lediglich eine Vereinbarung zwischen den Mitgliedstaaten zur Anerkennung nationaler Zertifizierungen des jeweils anderen. Stattdessen müssten die nationalen Agenturen wirklich identische Kriterien für die Festlegung der Sicherheitsstufen verwenden. Es wäre „ein echter Alptraum“, wenn einige Länder schwache Schutzmaßnahmen für Produkte genehmigen würden, bevor sie dann in anderen Mitgliedstaaten verkauft werden dürfen, warnte Poupard.

ANSSI beschäftigt sich seit kurzem mit neuen Technologien – im Einklang mit der politischen Agenda von Präsident Emmanuel Macron, der Feldern wie der künstlichen Intelligenz immer mehr Bedeutung einräumt. Im vergangenen Monat kündigte Macron an, Frankreich werde bis 2022 rund 1,5 Milliarden Euro an öffentlichen Forschungsgeldern für neue Technologien bereitstellen.

Frankreich plant Entwicklung einer sicheren Messaging-App

Poupard ist Mitglied von JEDI, der Joint European Disruption Initiative, einer weiteren Initiative von Macron, mit der französische und deutsche Experten bei der Entwicklung modernster Technik unterstützt werden sollen.

So bezeichnete Poupard einen neuen Plan der französischen Regierung, eine sichere Messaging-App zu entwickeln, als ein „wichtiges Upgrade“, da amerikanische und asiatische Dienste wahrscheinlich Daten außerhalb Europas speichern.

Letzte Woche teilte das französische Digitalministerium mit, es entwickele eine sichere Messaging-App für Regierungsangestellte, die anstelle von WhatsApp, das Facebook gehört, verwendet werden soll.

Es gebe inzwischen mehr öffentliches Interesse an sicheren Technologien, nachdem im vergangenen Monat bekannt wurde, dass mehr als 87 Millionen Facebook-Nutzerdaten ohne Wissen der User von der Politikberatung Cambridge Analytica verarbeitet worden waren, so Poupard. Der Skandal habe „den Menschen mehr und mehr die Notwendigkeit aufgezeigt, ihre Daten zu schützen“.

„Der Ort, wo es Sinn macht, Daten zu speichern, wo es ökonomisch, ethisch und rechtlich sinnvoll ist, ist eindeutig Europa,“ unterstrich er.

Das entspricht auch den Zielen von JEDI und der französischen Regierung sowie den Plänen der Europäischen Kommission, in einheimische Technologien zu investieren, die mit den amerikanischen Technologieriesen konkurrieren können.

„Wir müssen in Europa vor allem unsere digitale Autonomie weiterentwickeln“, forderte Poupard.

24 EU-Staaten unterzeichnen Vereinbarung über Künstliche Intelligenz

24 EU-Länder wollen einen „europäischen Ansatz“ für Künstliche Intelligenz erschaffen, um so mit amerikanischen und asiatischen Technologieriesen konkurrieren zu können.

Subscribe to our newsletters

Subscribe

Wissen was in Europas Hauptstädten passiert - abonnieren Sie jetzt unseren neuen 10 Uhr Newsletter.