Die Suche der EU nach strengen Cybersicherheitsstandards

Cybersicherheitsrahmen der EU soll zum "neuen globalen Standard für Vertrauen" werde. [EPA-EFE/SASCHA STEINBACH]

This article is part of our special report Die digitale Zukunft: Sicherheit, Freiheit, Macht.

Der neue Leiter der EU-Agentur für Cybersicherheit ENISA, Juhan Lepassaar, sagte letzte Woche vor den Mitgliedern des Industrieausschusses des Europäischen Parlaments, er hoffe, dass der kürzlich verabschiedete Cybersicherheitsrahmen der EU zum „neuen globalen Standard für Vertrauen“ werde.

Lepassaar hat einen Führungsplatz im Brüsseler Cybersicherheitsbereich eingenommen, während die EU versucht, ihre Schlagkraft auf diesem Gebiet weltweit zu verstärken. Zusammen mit einer neuen Kommission, die darauf abzielt, die strategische Autonomie der EU zu gewährleisten, während sich neue Technologien schneller entwickeln als reguliert werden können, ist Lepassaar in der Lage, die Richtung der EU in Sachen Cybersicherheit wesentlich zu beeinflussen.

Der neue ENISA-Chef ist aus dem gleichen Holz geschnitzt wie zahlreiche EU-Beamte, die im Bereich der Cybersicherheit tätig sind. Er betrachtet das Thema „Vertrauen“ als eine wesentliche Facette des Verbraucherschutzes und hofft, dass das kürzlich verabschiedete Cybersicherheitsgesetz der EU, ebenso wie die Datenschutzstandards der EU, die Europäische Union als Hüterin der Bürgerrechte hervorheben kann.

Nachdem er zuvor Kabinettschef von Andrus Ansip, dem digitalen Vizepräsidenten der Kommission, war, hat Lepassaar zweifellos Einfluss von seinem ehemaligen Vorgesetzten genommen. Ansip betonte zu Beginn dieses Jahres gegenüber EURACTIV, dass “Vertrauen ein Muss” bei der Entwicklung von Technologien der nächsten Generation ist und dass der Verbraucherschutz in der Cybersicherheit zu den Prioritäten der EU für die kommenden Jahre zählen sollte.

Vor den Wahlen: EU testet Cybersicherheitssysteme

Die EU-Institutionen haben vergangenen Freitag ihre Cyber-Sicherheitssysteme getestet.

Europas unmittelbare Sorgen

Die neue Kommissionspräsidentin Ursula von der Leyen wird im Bereich der Cybersicherheit eine Reihe von politisch heiklen Hürden zu überwinden haben. Nicht zuletzt im Bereich 5G, wo die EU unter zunehmendem Druck amerikanischer Kollegen steht, die eine feindliche Position gegenüber Technologien der nächsten Generation aus Fernost eingenommen haben.

Letzte Woche unterzeichnete Washington eine gemeinsame Erklärung mit Polen, um bei der 5G-Sicherheit zusammenzuarbeiten. Mike Pence, Vizepräsident der USA, versprach anschließend, dass dies „ein wichtiges Beispiel für den Rest Europas sein werde“.

Darüber hinaus gab das französische Telekommunikationsunternehmen Iliad in der vergangenen Woche bekannt, dass es den finnischen Netzbetreiber Nokia als Partner für den Ausbau seines 5G-Netzes ausgewählt hat. Dies wird von einigen als Zeichen dafür gewertet, dass sich die strategische Autonomie Europas bei der Entwicklung von Technologien der nächsten Generation als eine Priorität der Branche erweisen wird.

Die Nachricht kam nicht lange, nachdem Frankreich am Rande des G7-Treffens im Rahmen der indo-französischen Roadmap für Cybersicherheit und digitale Technologie weitere Verpflichtungen zur Cybersicherheit eingegangen war, in der sich die Länder für „verantwortungsbewusstes staatliches Verhalten im Cyberspace sowie Vertrauens- und Kapazitätsaufbaumaßnahmen im Rahmen der Vereinten Nationen“ einsetzten.

Chinas Cybersicherheitsgesetz: Eine "geladene Waffe"

Chinas Cybersicherheitsgesetz erlaube es dem Staat, Spionageprojekte im Ausland durchzuführen und sei vergleichbar mit einer „geladenen Waffe“ an der Schläfe des Rests der Welt, so ein hochrangiger US-Beamter.

Im Anschluss an eine Empfehlung der Kommission für einen gemeinsamen EU-Ansatz zur Sicherheit von 5G-Netzen haben die Mitgliedstaaten kürzlich europaweit nationale Risikobewertungen vorgelegt, die einen Überblick über ihre dringendsten Bedenken bei der künftigen Entwicklung der 5G-Infrastruktur geben. Diese Bewertungen werden in die nächste Phase einfließen, eine EU-weite Risikobewertung, die bis zum 1. Oktober abgeschlossen sein soll.

Von der Leyen ist gut positioniert, um die Richtung der EU in diesem Bereich vorzugeben, da sie zwischen 2013 und 2019 Verteidigungsministerin Deutschlands war, als sie das erste militärische Cyberkommando des Landes einrichtete. Sie hob sich auch auf der internationalen Verteidigungsebene hervor, wobei der ehemalige britische Verteidigungsminister Michael Fallon sie als „führende Persönlichkeit in der NATO-Gemeinschaft“ bezeichnete.

Nach früheren Rechtsvorschriften wie der NIS-Richtlinie 2016 und dem Anfang dieses Jahres verabschiedeten Cybersicherheitsgesetz gibt es einen breiteren Hintergrund dafür, wie das Vertrauen für die Zukunft gesichert werden kann. Hinzu kommt, dass es keinen Mangel an Menschen gibt, die glauben, dass der Cybersicherheitsansatz der EU im Rahmen des bevorstehenden Mandats der Kommission durchaus verstärkt werden könnte.

Von der Leyens unfertige Cyberagentur

Ursula von der Leyens prestigeträchtige „Agentur für Innovation in der Cybersicherheit“ strauchelt. Die Finanzierung fehlt, der Bundesrechnungshof kritisiert. Sollte von der Leyen EU-Kommissionspräsidentin werden, wird sich ihre Nachfolgerin oder ihr Nachfolger darum kümmern müssen.

Zertifizierung

Als Teil des EU-Cybersicherheitsgesetzes können Zertifizierungssysteme für die Cybersicherheit zum alltäglichen Bestandteil eines vielfältigen Angebots an Waren und Dienstleistungen werden – deren Umfang von der Kommission in Zusammenarbeit mit der ENISA noch nicht ausgeschöpft ist.

EURACTIV ist sich bewusst, dass die Priorität für die EU darin besteht, sicherzustellen, dass hackbare Geräte, die an ein breiteres Netzwerk von Endgeräten angeschlossen sind, wahrscheinlich in den Geltungsbereich des Zertifizierungsrahmens fallen – einschließlich Geräte für die 5G-Infrastruktur, Internet der Dinge-Geräte und Cloud-Services.

Dennoch drängten einige in Brüssel zum Zeitpunkt der Verabschiedung des Cybersicherheitsgesetzes auf ein verbindliches Zertifizierungsinstrument in der EU und nannten ähnliche Gründe wie der neue Chef der ENISA, Lepassaar, um zu erfahren, wie ein solcher Ansatz die EU langfristig unterstützen könnte.

Ein Beamter des deutschen Telekommunikationsriesen Deutsche Telekom (DT) teilte EURACTIV mit, dass ein verbindlicher Ansatz dem Markt helfen würde, die Standards zu konvergieren.

„Für uns wäre ein verbindlicher Zertifizierungsrahmen wünschenswert gewesen“, erklärte der DT-Beamte. „Das ist der beste Weg, um der Welt unser Engagement für erstklassige Cybersicherheitsstandards ohne Kompromisse zu demonstrieren.“

Deutschland plant neue Cyberabwehr – hinter verschlossenen Türen

Deutschland plant eine neue Cyberabwehrstrategie und setzt erstmals auf Gegenangriffe. Dazu braucht es Änderungen des Grundgesetzes – doch die gesehenen unter Ausschluss der Öffentlichkeit.

Dennoch darf eine verbindliche Regelung nicht lange auf sich warten lassen. Nach der Einführung des freiwilligen Rahmens hofft man, dass der Markt über den Wert der Zertifizierung entscheiden kann, bevor eine Bewertung der Kommission, von der die erste vor Ende 2023 stattfinden soll, prüft, ob eine obligatorische Zertifizierung erforderlich ist.

EURACTIV traf sich mit einem Insider, der in der Cybersicherheitsbranche beschäftigt war. Er sagte, die Industrie sollte sich auf einen härteren EU-Ansatz in den kommenden Jahren vorbereiten. 

„Bei der Produktzertifizierung werden in den kommenden Jahren wahrscheinlich verbindliche Systeme in Betracht gezogen“, sagte die Quelle. Die mögliche Fragmentierung des Marktes im Bereich der Cybersicherheit sei seiner Meinung nach ein Risiko, das der Block berücksichtigen sollte. 

„Um nicht von den Zielen des EU-Cybersicherheitsgesetzes abzuweichen, sollte die obligatorische Zertifizierung nicht auf nationaler, sondern auf EU-Ebene in Betracht gezogen werden, sie sollte marktrelevant sein und von geeigneten Übergangs- oder Umsetzungsphasen begleitet werden“, so die Quelle.

Apple-CEO: USA sollten beim Datenschutz "dem Beispiel der EU" folgen

Die Menschheit lebe inmitten eines „Datenindustriekomplexes, in dem unsere eigenen Informationen mit militärischer Effizienz gegen uns gerichtet sind“, so Tim Cook.

Quantumtechnologien

Tatsächlich wird die EU nicht nur im privaten Sektor versuchen, sich im Bereich der Cybersicherheit durchzusetzen. Es ist geplant, die europäische Richtlinie zum Schutz kritischer Infrastrukturen aus dem Jahr 2008 zu modernisieren und einen europäischen Cybersicherheitsschutz aufzubauen. In jüngster Zeit hat die EU auch eine Reihe wichtiger Schritte unternommen, um die Sicherheit ihrer kritischen Infrastrukturen zu verbessern.

Nach Gesprächen im Juni in der Digital Assembly in Bukarest einigte sich eine Gruppe von sieben EU-Mitgliedstaaten darauf, die ersten Schritte bei der Entwicklung und Bereitstellung einer Quantenkommunikationsinfrastruktur (QCI) in der gesamten EU im nächsten Jahrzehnt zu unternehmen.

Die EU ist der Hoffnung, dass die Maßnahmen eine hochsichere Datenübertragung und -speicherung sowie die Verknüpfung von Kommunikationsmitteln im gesamten Block ermöglichen, die Sicherheit kritischer Infrastrukturen vor Cyberbedrohungen erhöhen und intelligente Energienetze, die Flugsicherheit, Banken, Gesundheitseinrichtungen und andere vor Hacking schützen.

Die Maßnahmen werden dazu beitragen, „die Übertragung, den Schutz und die langfristige Speicherung sensibler Daten sicher zu halten und die Souveränität sensibler Regierungsinformationen zu gewährleisten“, sagte der scheidende EU-Kommissar für Digitalisierung, Ansip, Anfang dieses Jahres.

Zuckerberg will mehr Internetregulierung; EU reagiert mit Kritik

Mit seiner Forderung nach mehr staatlicher Internet-Regulierung wird Mark Zuckerberg nicht von den anderen Problemen Facebooks ablenken können, so EU-Justizkommissarin Věra Jourová.

Erst letzte Woche haben die Pilotprojekte für die europäischen Quantum-Internetpläne begonnen, wobei in den nächsten drei Jahren Tests in Österreich, Spanien, Polen, Deutschland, den Niederlanden, der Schweiz, Frankreich, Italien, Großbritannien, Griechenland und der Tschechischen Republik geplant sind.

Helmut Leopold, Leiter des Zentrums für digitale Sicherheit am Österreichischen Technologieinstitut, welches das Projekt koordiniert, war sich einig über die Bedeutung der Quantentechnologien für den Schutz des europäischen Cyberspace. Außerdem müsse sichergestellt werden, dass das Engagement von Lepassaar für einen vertrauenswürdigen Cyberspace zum Tragen kommt.

„Dies wird ein innovatives Ökosystem ermöglichen, um eine neue Perspektive für unser sicheres digitales Europa zu schaffen und die Grundlage für Kommunikationstechnologien der nächsten Generation zu schaffen“, versprach er.

[Bearbeitet von Zoran Radosavljevic und Britta Weppner]

Subscribe to our newsletters

Subscribe

Wissen was in Europas Hauptstädten passiert - abonnieren Sie jetzt unseren neuen 10 Uhr Newsletter.