Europäische Sicherheitsübung: "Kein Anlass zur Sorge"
Bei der ersten pan-europäischen Sicherheitsübung "Cyber Europe 2010" sind nach Ansicht der federführenden ENISA nur kleine Schwachstellen etwa bei unklaren Zuständigkeiten aufgetreten.
Bei einer pan-europäischen Übung eines simulierten Netzausfalls etwa durch einen Hacker-Angriff hat es nach Angaben der federführenden Europäischen Agentur für Netz- und Informationssicherheit (ENISA) keine größeren Probleme gegeben. "Dabei ist nichts aufgetaucht, was Anlass zur Sorge gibt", sagte ENISA-Chef Udo Helmbrecht laut dpa am Mittwoch in Berlin. Es seien aber auch Schwächen deutlich geworden. Neben sprachlichen Hürden seien Unklarheiten über die Zuständigkeiten in den einzelnen Ländern aufgetreten.
Für den Test "Cyber Europe 2010" hatten sich Vertreter von 22 Ländern in einem Raum in Athen versammelt. Ziel war, die Kommunikation zwischen nationalen Behörden im Fall von Internetausfällen zu testen: "Wen muss ich anrufen, wer spricht mit wem?", erläuterte Helmbrecht. Insgesamt seien 320 Einzelfälle durchgespielt worden. "Die Kommunikation hat funktioniert", sagte Helmbrecht, ein früherer Präsident des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI). Zugleich räumte er ein, dass die europäische Zusammenarbeit bei der IT-Sicherheit sich erst langsam entwickele. "Wir stehen noch ganz am Anfang."
"Es ist auf europäischer Ebene schon ein wahnsinniger Erfolg, dass wir so viele Menschen an einen Tisch bekommen haben", sagte Helmbrecht. Ein Gewinn sei schon das Bewusstsein, dass das Internet nicht an der Landesgrenze aufhört. Auch die unterschiedlichen Strukturen in den einzelnen Ländern erschwerten die Kommunikation. In Deutschland etwa seien das BSI, die Bundesnetzagentur und das Innenministerium verantwortlich. In Griechenland liege die Zuständigkeit für das Internet hingegen beim Transportministerium, in Spanien beim Ministerium für Tourismus.
Eine Reaktion auf Gefahren aus dem Netz werde in Europa auch durch die getrennten Verantwortungsfelder verschiedener Behörden verlangsamt, räumte Helmbrecht ein. "Wir müssen immer erst feststellen, wer ist jetzt eigentlich zuständig." Bei Cyber-Angriffen wisse man zunächst aber oft nicht, ob er einen kriminellen oder politischen Hintergrund habe – was in Europa unterschiedliche Reaktions-Mechanismen auslösen würde. Bei einem nächsten Test sollte auch die Telekommunikations-Industrie eingebunden werden, sagte Helmbrecht. Eine gesamteuropäische Statistik zu Angriffen aus dem Netz gebe es nicht, es sei eine der Aufgaben der ENISA, diese zu erarbeiten.
Ein Warnschuss für Europa war der Hacker-Angriff auf Estland im Jahr 2007, der die Internet-Infrastruktur des Landes weitgehend lahmlegte. Aus den damaligen Kommunikationsproblemen zwischen den Behörden habe man gelernt: "Wenn es morgen einen Angriff wie in Estland gäbe, dann könnte dem Land kurzfristig geholfen werden."
Mit einem Test, bei dem geprüft wird, wie widerstandfähig die europäische IT-Infrastruktur gegenüber einem Hacker-Angriff wäre, rechnet Helmbrecht erst in einigen Jahren. Die eineinhalbtätige Übung "Cyber Europe 2010" habe mit rund einjähriger Vorbereitung etwa 100 000 Euro gekostet, sagte Helmbrecht. "Die USA geben Millionen dafür aus." (vbr)
