Agentur-Chef: EU-Mechanismus zur Meldung von Cybervorfällen funktioniert nicht

"Unser System zur Meldung von Vorfällen funktioniert nicht", sagte Juhan Lepassaar, Exekutivdirektor der Agentur der Europäischen Union für Cybersicherheit (ENISA), am Dienstag (26. April) bei einem Rundtischgespräch über Cybersicherheit. [Shutterstock/g0d4ather]

Der Leiter der EU-Agentur für Cybersicherheit hat davor gewarnt, dass ihr Meldesystem für Vorfälle viel zu bürokratisch ist und „nicht funktioniert“. Er forderte ein widerstandsfähigeres System sowie ein besseres gesetzliches Umfeld und einen besseren Informationsaustausch mit den Mitgliedsstaaten.

Im Rahmen eines Rundtischgesprächs zur Cybersicherheit am Dienstag (26. April) äußerte Juhan Lepassaar, Exekutivdirektor der Agentur der Europäischen Union für Cybersicherheit (ENISA), seine Bedenken.

Auch andere Expert:innen für Cybersicherheit haben sich besorgt über die Wirksamkeit des Mechanismus zur Meldung von und Reaktion auf Cyberbedrohungen geäußert. Eine Aktualisierung der EU-Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS), die diese Mängel beheben soll, wird derzeit verhandelt.

„Wir brauchen etwas, das agil ist, das funktioniert und wo Informationen auf sichere Weise ausgetauscht werden können“, fügte Lepassaar hinzu. „Mehr Widerstandsfähigkeit in kritischen Sektoren ist definitiv etwas, das wir uns näher ansehen müssen.“

Bart Groothuis, der EU-Gesetzgeber, der die Überarbeitung der NIS-Richtlinie leitet, erklärte gegenüber EURACTIV, dass neben dem Problem des Informationsaustauschs auch die Computer Security Incident Response Teams (CSIRTs) durch die neue Gesetzgebung verbessert werden müssen.

Russische Antivirus-Software Kaspersky wird zur Gefahr

Die Nationale Cyber-Agentur Tschechiens hat vor russischer Antivirus-Software gewarnt. Russische Unternehmen, die von den EU-Sanktionen betroffen sind, können ihre Software nicht mehr aktualisieren, sodass ihre Kunden viel anfälliger für potenzielle Cyberangriffe sind.

Meldung von Cyber-Vorfällen  

Laut ENISA sei die Meldung von Cybersicherheitsverletzungen von entscheidender Bedeutung, nicht nur für die Öffentlichkeit, sondern auch, damit die Behörden aktuelle Trends und Schwachstellen erkennen und darauf reagieren können. Im Jahr 2018 wurden mit der NIS-Richtlinie Regeln für die Meldung von Cybervorfällen für Betreiber von wesentlichen Diensten in kritischen Sektoren eingeführt.

Dennoch ist der Exekutivdirektor der ENISA der Ansicht, dass das derzeitige gesetzliche Umfeld nicht funktioniere. So wurden im Jahr 2021 im Rahmen der NIS-Richtlinie keine grenzüberschreitenden Vorfälle gemeldet, obwohl der SharkBot-Trojaner eine Reihe von Banken angegriffen hat und ein Angriff auf eine europäische E-Ticketing-Plattform verübt wurde.

„Das Problem ist, dass wir von den Informationen abhängig sind, die wir von den Mitgliedstaaten erhalten“, fügte Lepassaar hinzu und stellte fest, dass der mangelnde Informationsaustausch die Fähigkeit der Agentur gefährdete, zu reagieren und die europäische Strategie für Cybersicherheit und Widerstandsfähigkeit zu verbessern.

In seinem derzeitigen Zustand sei das System zur Meldung von Cybervorfällen zu „umständlich“ und “ bürokratisch“, so Lepassaar. Dies erkläre, warum die Mitgliedsstaaten es nicht nutzen würden. Er fordert einen dynamischeren Ansatz, eine bessere Kommunikation und mehr Widerstandsfähigkeit in kritischen Sektoren.

Einbeziehung des Privatsektors

Was die Bereitschaft der Mitgliedstaaten zum Informationsaustausch betrifft, so betonte Luukas Ilves, der Informationsbeauftragte Estlands, dass sich die Situation erheblich verbessert habe. Er befürwortete ebenfalls den zunehmenden Einsatz automatisierter Informationsaustauschverfahren.

Dennoch, so Ilves, bleibe noch viel zu tun. Neben der Zusammenarbeit zwischen den EU-Institutionen, den Mitgliedstaaten und verschiedenen öffentlichen Stellen „ist die Meldung von Vorfällen durch den privaten Sektor ebenso wichtig.“

Ähnlich äußerte sich Anouck Teiller, eine hochrangige Beamtin der französischen Nationalen Agentur für die Sicherheit von Informationssystemen (ANSSI), die betonte, dass der Privatsektor sowohl bei der Prävention als auch bei der Reaktion auf Cyberbedrohungen eine größere Rolle spielen sollte.

Iva Tasheva, Expertin für Cybersicherheit bei der Beratungsfirma CyEn, erklärte gegenüber EURACTIV, dass „die jährlichen Berichte der Bedrohungslandschaft der ENISA um sektorale Bedrohungslandschaften erweitert werden sollte“.

Außerdem sollten Organisationen, die Informationen austauschen und Bedrohungen analysieren, sich mit der Industrie und Regierungsbehörden zusammenschließen, um „die technischen und organisatorischen Schwachstellen zu diskutieren und zu überlegen, wie die Bedrohungen behoben werden können“.

Kommission zögert, neuem Cybersicherheitszentrum volle Autonomie zu gewähren

Die Europäische Kommission hat die Ernennung eines ständigen Exekutivdirektors für ihr neues Cybersicherheitsgremium verschoben, um die Organisation teilweise unter Kontrolle zu halten, so mehrere EU-Diplomat:innen gegenüber EURACTIV.

Bessere Meldung und Reaktion 

Derzeit wird über eine Aktualisierung der Richtlinie, die NIS2, verhandelt. Die nächsten Gespräche zwischen dem Europäischen Parlament, der Kommission und dem Rat werden voraussichtlich am 12. Mai stattfinden.

Bart Groothuis erklärte gegenüber EURACTIV, dass er die Bedenken der ENISA nachvollziehen könne und dass die Kommission daher vorgeschlagen habe, eine Meldepflicht für potenzielle Bedrohungen und Beinaheunfälle aufzunehmen.

Groothuis bezweifelte jedoch, dass dies das Problem lösen würde.

„Wenn man zu viele falsche Daten hat, ist die Aussagekraft der Ergebnisse zu gering“, erklärte er. Stattdessen will er ein System aushandeln, in dem signifikante Daten gemeldet werden, und sicherstellen, dass es ein Ökosystem gibt, das operativ auf diese Daten reagiert.

Abgesehen davon, dass zu wenig Daten ausgetauscht werden, sollten die CSIRTs (Computer Security Incident Response Teams) auch mehr tun, um „sinnvoll auf diesen Datenaustausch zu reagieren und vorzubeugen, entschärfen und die Gesellschaft mit diesen Informationen zu unterstützen“, sagte Groothuis. Daher, so fügte er hinzu, müssen sowohl die Berichterstattung als auch die Reaktion in der NIS2 behandelt werden.

Um die Berichterstattung zu verbessern, sollten bewährte Praktiken ausgetauscht und ein Schwellenwert für „signifikante Vorfälle“ auf EU-Ebene festgelegt werden, fügte Iva Tasheva hinzu.

[Bearbietet von Luca Bertuzzi und Zoran Radosavljevic]

Subscribe to our newsletters

Subscribe