ENISA-Studie: Für Cyberkrisen vom allgemeinen Krisenmanagement lernen

Mit ihrem "Report on Cyber Crisis Cooperation and Management - Comparative study on the cyber crisis management and the general crisis management" will die europäische Sicherheitsbehörde ENISA (European Union Agency for Network and Information Security), die in diesem Jahr ihr zehnjähriges Bestehen feiert, beteiligten Akteuren im Fall einer Cyberkrise ein weiteres Hilfsmittel an die Hand geben. Die Studie soll insbesondere Erkenntnisse vermitteln, welche Handlungsfelder bei einem Krisenmanagement im Mittelpunkt stehen und wie man erfolgreich kooperiert sowie kommuniziert.

Dazu haben die Autoren der Untersuchung Mitglieder der wichtigsten nationalen und europäischen Institutionen befragt und aus deren Praxiserfahrungen sowie den Theorien eines allgemeinen Krisenmanagements sechs Schlüsselbereiche für zukünftige Aktivitäten der Cybersicherheit abgeleitet. Der erste Schritt besteht darin, eine gemeinsame Terminologie im europäischen Kontext zu entwickeln. Dieses "Cyber Crisis Management Glossary" soll dann laut Empfehlung der Autoren als Draft veröffentlicht und in der Folge von einer europäischen Organisation wie der ENISA betreut werden.

Als zweiten Schritt empfehlen die Autoren, weitere Studien zum Cyberkrisenmanagement durchzuführen, insbesondere im europäischen Kontext. Themen könnten beispielsweise der Vergleich der Cyberkrisenmaßnahmen der Mitgliedsländer sein, die Rollen der Entscheidungsträger und der technisch Beteiligten sowie ihre Zusammenarbeit oder die Funktion der Cybercenter im Krisenmanagement. Die weiteren Schlüsselbereiche betreffen die Wissensvermittlung an alle Beteiligten durch Workshops und Seminare, spezielle Praxistrainings in Sachen Cyberkrisenmanagement mit Blick auf die kritischen Infrastrukturen, die Entwicklung nationaler und EU-Krisenpläne auf der Basis der gemeinsamen Terminologie und bewährten sowie neu entwickelten Best Practices. Der letzte Punkt schließlich beschäftigt sich mit dem Teilen von Informationen und der Zusammenarbeit zwischen privatwirtschaftlichen und öffentlichen Organisationen.

Die 45-seitige Studie (PDF) ist ein weiterer von zahlreichen Bausteinen in der gesamten Cybersecurity-Strategie der ENISA. Zuletzt veröffentlichte sie die technische Richtlinie vom 24. Oktober zu Mindestsicherheitsmaßnahmen nach Artikel 13 a der europäischen Framework-Direktive für elektronische Kommunikation. Außerdem initiierte die Sicherheitsbehörde im Rahmen der Initiative "Cyber Europe 2014" vor Kurzem die bislang größten europäischen Cyber-Security-Tests unter Beteiligung von 400 Security-Experten und 200 Organisationen aus 29 Ländern. (ur)