Cybersicherheitsstrategie: EU will sich für den Krieg im Netz rüsten
Die EU arbeitet am Aufbau "operativer Kapazitäten zur Prävention, Abschreckung und Reaktion" bei Cyberangriffen und einer Reform der IT-Sicherheitsrichtlinie.
(Bild: Outflow_Designs / Shutterstock.com)
Die EU-Kommission hat am Mittwoch zusammen mit dem EU-Außenbeauftragten Josep Borrell eine neue Cybersicherheitsstrategie vorgestellt. Die Kommission nehme das Szenario eines Cyberwars ernst und arbeite bereits mit den Mitgliedsstaaten am "Aufbau operativer Kapazitäten zur Prävention, Abschreckung und Reaktion" gegen größere Hackerangriffe, hieß es dazu. Eine "gemeinsame Cybereinheit" werde vorbereitet.
Vorbereitungen auf böswillige Attacken
Diese Cybereinheit soll die IT-Fähigkeiten von "Verteidigungskreisen im Bereich der Cybersicherheit" und der Strafverfolgungsbehörden in Kooperation mit "zivilem und diplomatischen Gemeinschaften" stärken. Borrell will zudem Vorschläge für ein "EU-Instrumentarium für die Cyberdiplomatie" unterbreiten, um böswillige Attacken insbesondere auf die kritische Infrastruktur, Versorgungsketten und die demokratischen Institutionen und Prozesse zu verhindern.
Die EU will sich auch dafür einsetzen, die Kooperation im Bereich der Cyberabwehr zu verbessern und modernste Fertigkeiten auf diesem Gebiet zu entwickeln. Sie wird sich dabei laut der Strategie auf die Arbeiten der Europäischen Verteidigungsagentur stützen und die Mitgliedstaaten auffordern, die Zusammenarbeit im militärischen Bereich und den EU-Verteidigungsfonds in vollem Umfang zu nutzen. Seit Kurzem verfügt die EU bereits über ein eigenes Sanktionsregime gegen IT-Angriffe, das wegen der Hackerangriffe auf den Bundestag jüngst zum Einsatz kam.
"Die Zeit der Unschuld ist vorbei", erklärte der für die europäische Lebensweise zuständige Kommissionsvizepräsident Margaritis Schinas laut einem Bericht der FAZ bei der Präsentation der Agenda. "Wir wissen, dass wir ein Ziel sind". Es gehe nun darum, Angriffen "standzuhalten und darauf zu antworten". Binnenmarkt-Kommissar Thierry Breton betonte demnach: "Wir müssen uns für diesen neuen Krieg wappnen." Zu möglichen Gegenangriffen in Form der hierzulande heftig umstrittenen Hackbacks wollte er sich nicht äußern. Das sei vertraulich und Sache der Mitgliedstaaten, die hart daran arbeiteten.
Hunderte Angriffe in Europa
Nach Kommissionsangaben registrierte die EU 2019 rund 450 Angriffe auf kritische Infrastrukturen (Kritis) wie die Sektoren Energie- und Wasserversorgung, Informations- und Kommunikationstechnologien, Gesundheit, Verkehr und Finanzen. Die Bundesregierung verwies jüngst auf deutlich mehr Cyberangriffe auf Kliniken und Versorger. Schinas beklagte den "ersten Cyber-Todesfall in Europa" nach einer Hackerattacke auf die Düsseldorfer Uni-Klinik. Erst vorige Woche hätten Cyberkriminelle die Europäische Arzneimittel-Agentur ins Visier genommen und so Verspätungen bei der Prüfung von Impfstoffen gegen Covid-19 riskiert.
Mit dem Paket schlägt die Kommission auch eine Reform der Richtlinie über Netzwerk- und Informationssicherheit (NIS) vor. Ziel der vorgesehenen "Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit" ist es, die Abwehrfähigkeit kritischer öffentlicher und privater Sektoren zu verbessern. Die Brüsseler Exekutivinstanz hat hier vor allem Krankenhäuser, Energienetze, Eisenbahnen, Rechenzentren, öffentliche Verwaltungen, Forschungslabore sowie sonstige Kritis-Betreiber im Blick.
Ein "Cybersicherheitsschutzschild" für Europa
So sollen mehr Bereiche erfasst werden als bisher, für die zugleich höhere Sicherheitsanforderungen gelten. Lieferketten und Beziehungen zwischen den Anbietern werden dem Plan nach erstmals mit erfasst. Berichterstattungspflichten sollen vereinfacht, die Aufsicht und die Durchsetzung der erforderlichen Aktivitäten etwa durch einen einheitlichen Sanktionsrahmen verbessert werden.
Ferner umreißt die Kommission ein Netz von Sicherheitseinsatzzentren in der gesamten EU mithilfe Künstlicher Intelligenz (KI). Damit soll über die EU ein "Cybersicherheitsschutzschild" gespannt werden mit der Fähigkeit, frühzeitige Signale für drohende Hackerangriffe zu erkennen und präventiv zu handeln. Dazu kommen soll eine neue Richtlinie über die "Widerstandsfähigkeit kritischer Einrichtungen". Damit sollen die seit 2008 bestehenden Pflichten für Kritis-Betreiber erweitert, eben den klassischen Bereichen etwa auch die Raumfahrt und die öffentliche Verwaltung insgesamt erfasst werden. Mitgliedstaaten müssen demnach nationale Strategien zur Gewährleistung der Widerstandsfähigkeit kritischer Institutionen festlegen und regelmäßige Risikobewertungen durchführen.
Auf Basis eines Berichts zur 5G-Toolbox mahnte die Kommission zudem verstärkte Anstrengungen der EU-Länder an, die "Exposition gegenüber Hochrisikoanbietern zu minimieren und die Abhängigkeit" von solchen Ausrüstern wie Huawei zu vermeiden. Die beiden Richtlinienentwürfe müssen noch mit dem EU-Parlament und dem Ministerrat abgestimmt werden. Fest steht schon, dass das geplante IT-Sicherheitsgesetz 2.0 so nicht lange Bestand haben wird und Deutschland hier bald wieder nachjustieren muss. Der eco-Verband der Internetwirtschaft fordert daher, gleich die Arbeiten zur "NIS 2.0" abzuwarten.
(mho)
