EU-Kommission will hastig weiteres Cyber Centre aufbauen
Russlands Angriffskrieg veranlasst die EU-Kommission, eine eigene Stelle zur Beobachtung des virtuellen Raums einzurichten. Es eilt.
(Bild: Dmitry Demidovich/Shutterstock.com)
"Dringenden Bedarf zur Verbesserung der Fähigkeiten der EU-Kommission, IT-Bedrohungen, -Ereignisse und -Vorfälle zu beobachten und ihre potenziellen Auswirkungen auf wichtige Infrastruktur einzuschätzen" ortet die EU-Kommission bei sich selbst. Dafür könnte sie bestehende Einrichtungen wie CERT-EU, Enisa und Cyclone stärken. Die Behörde hat sich allerdings dafür entschieden, ein eigenes "EU cybersecurity situational awareness and analysis centre" zu errichten.
Flott soll es gehen. Die Ausschreibung vom 25. Oktober läuft nur bis 14. November, also knapp drei Wochen, die Hälfte der üblichen Mindestspanne – weil es dringend ist, begründet die ausschreibende Generaldirektion Connect der EU-Kommission, "(…) vor dem Hintergrund der aktuellen, anhaltenden Hybrid-Bedrohung durch Russlands Angriff auf die Ukraine und des Risikos des Überschwappens auf die EU, die gesteigerte Bedrohung einer Eskalation, und die Drohungen und Warnungen vor direkten Angriffen auf EU-Mitgliedsstaaten und wichtige Infrastruktur" (Kritis).
Hybride Bedrohungen meint hier die Gefahr, dass ein Außenstehender versucht, die Entscheidungen demokratischer Organe zu beeinflussen. Der Angreifer kann sich dabei politischer, wirtschaftlicher, militärischer und/oder elektronischer Mittel bedienen, samt Desinformationskampagnen und der Aufstachelung zu ziviler Unruhe.
Zuerst ein Dashboard, später eine Übersicht
22 Millionen Euro budgetiert die EU-Kommission für ihren Schnellauftrag, der 48 Monate lang laufen soll. Binnen einer Woche ab Vertragsbeginn soll der Auftragnehmer ein "Dashboard" programmiert haben, das der EU-Kommission dazu verhilft, Daten über IT-Vorfälle und -Bedrohungen in Echtzeit zu sammeln, zu analysieren und anzuzeigen. Das Dashboard soll dann Teil eines größeren virtuellen Lagezentrums werden.
In der zweiten Phase soll der Auftragnehmer Best Practices für den Aufbau eines physischen Lagezentrums in Erfahrung bringen und dessen Aufbau unterstützen. Die EU-Kommission wünscht dafür mindestens zehn Schreibtische, einen Besprechungsraum und redundante Telefonleitungen. Das neue Cyber Centre der EU-Kommission muss "voll interoperabel mit EU-Einrichtungen, die für die Erfassung der Lage der IT-Sicherheit und deren Analyse zuständig sind" gewährleisten. Ist das Zentrum einmal in Vollbetrieb, soll es dabei helfen, Abhilfe gegen Bedrohungen, Sicherheitslücken und Vorfälle zu schaffen, die wichtige Infrastruktur in der EU, Nachbarstaaten und bisweilen weltweit betreffen.
Erst im 27. Monat ist ein Bericht fällig, der bestehende und geplante IT-Sicherheitsinstitutionen auflistet, deren Aufbau und Fähigkeiten schildert, Zusammenarbeit und Interoperabilität evaluiert und Vorschläge für deren Verbesserung unterbreitet. Für die Umsetzung dieser Empfehlungen soll der Auftragnehmer mindestens vier IT System Architects zur Verfügung stellen.
Yet Another Cyber Centre
Die Ausschreibung sorgt für Stirnrunzeln in der europäischen IT-Sicherheitsszene. Manche feixen, die kurze Ausschreibungsfrist schüre den Verdacht, der Auftragnehmer sei längst ausgemachte Sache. Vor allem aber wird der Schritt eines eigenen Cyber Centres als Ausdruck eines Machtanspruchs der EU-Kommission gesehen, der zu Doppelgleisigkeiten führe.
Mehrere von heise online kontaktierte Branchenkenner würden lieber zusätzliche Mittel für bestehende Einrichtungen wie Enisa (European Union Agency for Cybersecurity) samt Cyclone (Cyber Crisis Liaison Organisation Network) oder CERT-EU (Computer Emergency Response Team der Europäischen Union) sehen, als eine weitere, artverwandte Einrichtung der EU-Kommission. Bei Enisa und Cyclone haben die Mitgliedsstaaten viel Einfluss, bei CERT-EU das Europäische Parlament, weniger die EU-Kommission. Sie hat Arbeit, möchte sie Kritiker vom Mehrwert ihres eigenen Cyber Centre überzeugen – zumal die für Juni 2022 angekündigte Joint Cyber Unit auch noch auf sich warten lässt.
- Das Hauptdokument der Ausschreibung CNET /2022 /OP /0088 vom 25. Oktober 2022
(ds)