Die Europäische Kommission und der diplomatische Dienst der EU gründen zwei konkurrierende Initiativen, um mit privaten Unternehmen bei der Abwehr von Cyberbedrohungen zusammenzuarbeiten.
In den letzten Monaten hat der Europäische Auswärtige Dienst (EAD) an einer Aktualisierung der sogenannten Toolbox zur Cyber-Diplomatie gearbeitet. Diese soll im Falle von bösartigen Cyberaktivitäten die Antwort der EU-Mitgliedsstaaten – wie beispielsweise Sanktionen – koordinieren.
Der Vorschlag, der in der EU-Militärstrategie, dem so genannten Strategischen Kompass, kurz vorgestellt wurde, war im vergangenen Jahr für die Umsetzung von Präventivmaßnahmen und Sanktionen gegen externe Akteure für „bösartige Cyber-Aktivitäten gegen die Union und ihre Mitgliedstaaten“ vorgesehen.
Als Teil der Überarbeitung hat der EAD mit Cybersicherheitsunternehmen und -verbänden zusammengearbeitet, um eine öffentlich-private Partnerschaft zu entwickeln, wie aus einer Reihe von Dokumenten hervorgeht, die EURACTIV vorliegen.
In einem Diskussionspapier zu dieser Initiative heißt es: „Der EAD prüft die Einrichtung einer strukturierten und regelmäßigen Zusammenarbeit mit dem Privatsektor, die eine Plattform für den Austausch von hochrangigen Beobachtungen zu strategischen Cybersicherheitstrends im Kontext der Außen- und Sicherheitspolitik sein könnte“.
In Anlehnung an das ukrainische Modell soll für den Privatsektor ein neuer Rahmen geschaffen werden, in dem Informationen über Cyber-Bedrohungen zusammengeführt werden, um die Reaktionen auf bösartige Cyber-Aktionen zu koordinieren.
Werkzeugkasten der Cyberdiplomatie
Der diplomatische Dienst der EU hat in den letzten Monaten in Zusammenarbeit mit der European Cyber Agora, einer von Microsoft und dem German Marshall Fund of the United States vorangetriebenen Multi-Stakeholder-Initiative, Workshops unter Ausschluss der Öffentlichkeit organisiert.
Das erste Treffen im November fand in den Räumlichkeiten von Microsoft statt, einem führenden Unternehmen im Bereich der Cybersicherheit, das sich regelmäßig mit den US-Sicherheitsdiensten austauscht.
Am vergangenen Donnerstag (16. März) fand der zweite Workshop statt, der sich mit der Verwendung von Fällen für Cyber-Bedrohungsinformationen befasste.
Der letzte Workshop wird voraussichtlich in der kommenden Woche stattfinden und sich auf die Erprobung der ermittelten Lösungen konzentrieren. Die endgültige Reform soll auf der Konferenz European Cyber Agora am 25. und 26. April vorgestellt werden.
Allerdings ist die Form dieser öffentlich-privaten Partnerschaft einen Monat vor dem Start noch immer nicht festgelegt, da private Unternehmen derzeit keinen Vorteil darin sehen, Bedrohungsdaten mit dem Dienst zu teilen, wie Quellen berichten, die mit der Angelegenheit vertraut sind.
Erschwerend kommt hinzu, dass die Europäische Kommission ebenfalls an einer ähnlichen, aber separaten Initiative arbeitet.
Europäische Cyber-Reserve
Neben der Initiative des EAD, wird die Kommission nächsten Monat den Cyber-Solidaritätsakt vorlegen. Dieser sieht vor einen rechtlichen Rahmen für die Verteilung von Finanzmitteln aus dem Fonds für Cybersicherheitsnotfälle zu schaffen, um kritischen Einrichtungen Reaktionsmöglichkeiten auf Zwischenfälle und Cybersicherheitsaudits zu bieten.
Die privaten Unternehmen, die diese Dienstleistungen erbringen, müssen sich über ein Cybersicherheitszertifikat qualifizieren und werden eine Cyber-Reserve bilden. Als Gegenleistung für diesen privilegierten Zugang zu öffentlich finanzierten Aufträgen wird von den vertrauenswürdigen Dienstleistern höchstwahrscheinlich erwartet, dass sie Bedrohungsdaten weitergeben.
Ein entscheidender Teil der Cyber-Solidaritätsinitiative ist die Einrichtung einer europäischen Detektionsinfrastruktur, die eine sichere Plattform für den Austausch von Bedrohungsdaten bieten soll.
Dabei geht es jedoch nicht nur um Rohdaten, sondern vor allem um die Fähigkeit, diese in Echtzeit zu analysieren. In diesem Zusammenhang hat die Kommission vor kurzem einen Zuschuss für die Einrichtung eines Situationsraums zur Bewältigung von Cybersicherheitsvorfällen in Europa bereitgestellt.
Mit anderen Worten: Die EU-Exekutive konzentriert sich hauptsächlich auf die Reaktion auf große Cyberangriffe, während der EAD lediglich daran interessiert ist, den böswilligen Akteuren die Verantwortung zuzuweisen, um die diplomatischen Reaktionen der EU, wie etwa Wirtschaftssanktionen, zu untermauern.
Die beiden EU-Dienststellen arbeiten in getrennten Gruppen mit unterschiedlichen Ansätzen. Der EAD lud die Kommission zur Teilnahme an seinem zweiten Workshop ein, aber die EU-Exekutive entsandte keinen Vertreter.
Schwachstellen
Ein besonderes Problem bilden Schwachstellen, die Hacker ausnutzen, um sich unbefugten Zugang zu verschaffen.
Wie mit ausgenutzten Schwachstellen umzugehen ist, ist ein heikles Thema in den Diskussionen über den Cyber Resilience Act, einen Gesetzesentwurf zur Einführung von Cybersicherheitsanforderungen für vernetzte Geräte.
Der ursprüngliche Kommissionsvorschlag sah vor, dass die Produkthersteller diese Schwachstellen an die ENISA, die EU-Agentur für Cybersicherheit, melden sollten.
Viele äußerten jedoch Zweifel daran, dass die EU-Agentur möglicherweise nicht die Kapazität hat, eine solche Datenmenge zu verwalten, und dass ein zentraler Speicher für solch sensible Informationen für böswillige Akteure sehr attraktiv wäre.
Stattdessen wollen die EU-Länder, dass diese Meldungen an die nationalen Cyber Security Incident Response Teams (CSIRTs) geschickt werden. Im Kompromisstext zum Entwurf des Cybersicherheitsgesetzes von letzter Woche wurde die Formulierung sogar noch weiter gefasst, so dass ein nationales CSIRT die Weitergabe von Informationen an seine Kollegen verweigern kann.
Darüber hinaus berichtete Heise letzte Woche, dass die deutsche Bundespolizei und das Bundesamt für Informationstechnik seit Oktober 2021 mit Behörden in Frankreich, den Niederlanden und Norwegen zusammenarbeiten, um Zero-Day-Exploits zu identifizieren.
Ziel des vom französischen Innenminister koordinierten Projekts, dessen Budget von 4,2 Millionen Euro zu 90 Prozent von der EU finanziert wird, ist es, die Art von Sicherheitslücken zu finden, die es den Strafverfolgungsbehörden ermöglichen, Passwörter zu knacken und verschlüsselte Smartphones auszuspionieren.
Zero-Day-Exploits sind der Heilige Gral der Sicherheitslücken, da sie dem Softwareanbieter unbekannt sind. Sie gelten als hochsensibel, da sie nicht nur zum Hacken von kriminellen Organisationen, sondern auch von sensiblen Zielen im Ausland verwendet werden können.
[Bearbeitet von Alexandra Brzozowski/Zoran Radosavljevic]