Die Europäische Behörde für Netz- und Informationssicherheit (ENISA) soll zur zentralen IT-Gefahren-Abwehr-Einheit ausgebaut werden – wie bewerten Sie das? Die ENISA soll auch die Zertifizierung elektronischer Geräte innerhalb Europas regeln. Braucht es ein europäisches Zertifizierungs-System?
Das derzeitige Mandat der ENISA läuft im Jahr 2020 aus. Kommissionspräsident Juncker sprach in seiner Rede zur 'Lage der Europäischen Union' bereits die Notwendigkeit eines permanenten Mandates für die ENISA an. Die ENISA gewährt den EU-Institutionen den unmittelbaren Zugang zu technischem Knowhow im Bereich von Cybersecurity. Die Kommission kann etwa Arbeitsgruppen zu speziellen technischen Fragestellungen einsetzen. Weiters ist auch der von der ENISA stammende technische Input für EUROPOL zur Bekämpfung der Cyberkriminalität unerlässlich. Für mich ist die Gestaltung der ENISA in Form einer eigenen EU-Agentur und daher als EU-interner Ansprechpartner hinsichtlich des Umgangs mit sensiblen Informationen von Vorteil.
Im Vorschlag der Kommission soll die ENISA in einem ersten Schritt eine Koordinierungsrolle bei der Etablierung eines europaweiten Zertifizierungsverfahrens für elektronische Geräte, sofern über sie ein Informationsaustausch über das Internet erfolgt, als auch für Dienste (Services) übernehmen. Derzeit wird die Zertifizierung auf nationalstaatlicher Ebene geregelt. Dies führt dazu, dass es 28 verschiedene Zertifizierungsstandards von unterschiedlichem Niveau gibt, die teilweise miteinander im Widerspruch stehen. Das angedachte Zertifizierungssystem soll das Schutzniveau von IT-Produkten und Diensten international vergleichbar machen. Sofern nationale Zertifizierungssysteme gewisse Mindeststandards erfüllen, sollen sie EU-weit anerkannt werden. Langfristig betrachtet ist nicht nur eine Anerkennung nationaler Standards, sondern vielmehr eine vollständige Harmonisierung der Zertifizierung durch einen eigenen europäischen Rechtsakt erstrebenswert.
Insgesamt ist für mich die Einführung eines europäischen Zertifizierungssystems nicht nur aufgrund der Gewährleistung europaweit vergleichbarer Standards absolut erforderlich, sondern stärkt meiner Meinung nach auch die Position der EU im internationalen Handel im Zusammenhang mit dem 'Internet of Things' gegenüber Drittstaaten.
Die Einführung des geplanten Zertifizierungssystems macht den Ausbau der ENISA in Form der Aufstockung des Personals sowie der finanziellen Ressourcen jedenfalls erforderlich. Unabhängig davon ist ein solcher aber bereits seit der Richtlinie zur Sicherheit von Netz- und Informationssystemen in der EU (NIS-RL), die die ENISA als Sekretariat zur Unterstützung der in den Mitgliedsstaaten eingerichteten Computer Security Incident Response Teams (CSIRT) vorsieht, notwendig.
Um die IT-Sicherheit kümmern sich je nach Mitgliedsland verschiedenste Polizei- oder Spezialbehörden, sowie Militäreinheiten – wie lässt sich eine sinnvolle Zusammenarbeit gestalten?
Die nationale Sicherheit sowie Verteidigungsangelegenheiten liegen nach wie vor in der Kompetenz der Mitgliedsstaaten. Abgesehen vom Verteidigungsaspekt (Cyber defense) werden vom Begriff 'IT-Sicherheit' auch der strafrechtliche Bereich (Cyber crime) und jener des Nachrichtendienstes umfasst. Das Problem ist, dass die Grenzen zwischen diesen Themen fließend sind. Größere EU-Mitgliedstaaten, wie etwa Deutschland oder Frankreich, weisen meist klar voneinander getrennte Behörden für die angesprochenen Bereiche auf, wohingegen die IT-Sicherheit in den kleineren Mitgliedstaaten meist gebündelt von ein- und denselben Behörden besorgt wird. Absolut notwendig ist daher eine politische Diskussion, um eine klare Abgrenzung der verschiedenen Angelegenheiten zu treffen. Es muss geklärt werden, welche Themenbereiche zur aktiven Verteidigung gehören, welche vom Nachrichtendienst und welche von den Strafverfolgungsbehörden zu erledigen sind. Auf europäischer Ebene ist davon insbesondere die Zusammenarbeit zwischen der EDA, der ENISA und EUROPOL betroffen.
Einzelne Behörden in den Mitgliedsländern wollen ihrerseits Schadsoftware zur Gefahrenabwehr oder Ermittlung verwenden. Welches Konfliktpotenzial mit der ENISA sehen hier?
Diesbezüglich besteht auch aus Expertensicht kein Konfliktpotenzial, da die ENISA den Urheber von Angriffen (hier im weitesten Sinn verwendet) oder Malware/Spyware nicht kennt und daher keinen Unterschied machen kann, ob ein Angriff rechtlich gedeckt ist (also z.B. von einer Behörde kommt) oder nicht. ENISAs Aufgabe ist die Sicherstellung der Unversehrtheit der Kommunikationsnetze, und aus praktischer Sicht wird es nie möglich sein, ENISA mit den notwendigen Informationen zu versorgen, die es ENISA erlauben würden, behördliche Schadsoftware anders zu behandeln als kriminelle Malware.