Mehr Power für die ENISA

Headergrafik Cybersec Month

Cyberangriffe sind heute an der Tagesordnung. Der jährliche European Cyber Security Month (ECSM), der heute startet, sensibilisiert für die Gefahren. Organisiert wird der ECSM seit 2012 von den Mitgliedsstaaten der EU und ihrer Agentur für Cybersicherheit ENISA. Zeit, die ENISA und ihre aktuelle Neuausrichtung einmal vorzustellen.

2019: Kompetenzen, Ressourcen und Mittel ausgeweitet

Die Netz- und Informationssicherheit innerhalb der Europäischen Union zu wahren – das war die Aufgabe, als die Agentur der Europäischen Union für Cybersicherheit (ENISA, englisch: European Network and Information Security Agency) 2004 gegründet wurde. Auf griechischen Wunsch hin fand sie ihren Sitz in Heraklion (Kreta), inzwischen gibt es auch ein Büro in Athen. Seit 2009 wird sie von dem ehemaligen Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI) Prof. Dr. Udo Helmbrecht geführt, der 2014 wiedergewählt wurde. Durch die Arbeit der ENISA ist „eine Kultur der Netz- und Informationssicherheit entstanden, die den europäischen Binnenmarkt fördert und den Bürgern Sicherheit und Vertrauen in den Nutzen der Informations- und Kommunikationstechnologie bietet“, so Helmbrecht. Mit ihrer Mission, Europas Informationsgesellschaft zu sichern, sei die ENISA ein Schrittmacher für Netz- und Informationssicherheit geworden, sagte Helmbrecht bei seiner Nominierung. Sein Anspruch lautete: Die ENISA müsse eine Marke für Informationssicherheit in Europa werden. Helmbrechts Amtszeit endet regulär im Oktober 2019, dann soll er von dem Esten Juhan Lepassaar abgelöst werden. Lepassaar war bis vor Kurzem Kabinettschef von Andrus Ansip, Letzterer bis 2019 digitaler Vizepräsident der EU-Kommission und Kommissar für den digitalen Binnenmarkt.

Ursprünglich war die ENISA für fünf Jahre angelegt, seit 2019 ist ihr Mandat unbefristet. Ein solches dauerhaftes Mandat für die ENISA zu erhalten, hatte sich Helmbrecht bereits bei Amtsantritt vorgenommen.

Im ENISA-Papier „Cybersicherheit nach 2020“ fand sich der Vorschlag, die Agentur zur zentralen Binnenmarktbehörde für Cybersicherheit auszubauen und dafür auch enger mit der Privatwirtschaft zusammenarbeiten zu dürfen1. Mit der am 27. Juni 2019 in Kraft getretenen Verordnung über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik (kurz: Cybersecurity Act) hat sich dann auch der Aufgabenzuschnitt der ENISA verändert: Künftig ist ihre Kernaufgabe, die Europäische Kommission und die Mitgliedsstaaten mit Leitlinien zu technischen Aspekten der Netz- und Informationssicherheit zu unterstützen und zu beraten. Zugleich soll sie die Umsetzung der Unionspolitik und des Unionsrechts auf dem Gebiet der Cybersicherheit fördern. Dafür soll sie Stellungnahmen abgeben sowie Beratung und bewährte Verfahren zu Themen wie Risikomanagement, Meldung von Sicherheitsvorfällen und Informationsaustausch anbieten. Bis dato wurden Cybersicherheit und Datenschutz überwiegend getrennt voneinander betrachtet. Um dies zu ändern, wird das Mandat der ENISA auch auf die Entwicklung und Umsetzung des europäischen Datenschutzes ausgedehnt. Die Agentur soll die europäische Datenschutzbehörde bei deren Leitlinienerstellung beraten, insbesondere im technischen Bereich. Die ENISA soll neben Daten zu Cybersicherheitsattacken auch Daten zu Datenschutzverletzungen bündeln und zu beiden Themen Empfehlungen abgeben.

Der neue Cybersicherheitsrahmen der EU muss zum globalen Standard für Vertrauen werden.
Juhan Lepassaar, künftiger Direktor der ENISA

Neuer globaler Standard für Vertrauen

Der künftige Executive Director Lepassaar verbindet mit der Erweiterung der ENISA-Kompetenzen die Hoffnung, dass der neue Cybersicherheitsrahmen der EU zum „neuen globalen Standard für Vertrauen“2 werde. Für Andrus Ansip ist „Vertrauen ein Muss bei der Entwicklung von Technologien der nächsten Generation und deshalb sollte der Verbraucherschutz in der Cybersicherheit zu den Prioritäten der EU für die kommenden Jahre zählen“3. Der Cybersecurity Act soll unter anderem dazu beitragen, dass IT-Produkte, -Dienste und -Prozesse künftig bereits in ihrer Entwicklung Anforderungen an die Cybersicherheit berücksichtigen und umsetzen. Die Agentur soll deshalb künftig auch für die Zertifizierung internetfähiger Geräte zuständig sein und dafür ein europäisches Zertifizierungssystem für Cybersicherheit erarbeiten. Auch diese Forderung fand sich bereits im ENISA-Papier von 2017. Dabei soll auch die Öffentlichkeit in Form eines offenen und transparenten Konsultationsprozesses beteiligt werden.

Laut EU-Kommissarin Mariya Gabriel, bislang zuständig für digitale Wirtschaft und Gesellschaft und künftige Kommissarin für Innovation und Jugend, reagiere die EU mit der Verordnung „auf die Alarmglocken, die Angriffswellen über Trojaner wie WannaCry oder NotPetya zum Schrillen gebracht hätten“4. Die parlamentarische Berichterstatterin Angelika Niebler (CDU) sprach von einem „Meilenstein für Europa auf dem Weg, ein Global Player bei der Cybersicherheit zu werden“.

Cybersicherheitszertifizierung entlastet vor allem KMU

Mit den Cybersicherheitszertifizierungen will die EU einen unionsweiten Sicherheitsstandard erreichen. Dann müssen Unternehmen keine nationalen Einzelzertifikate mehr einholen, was vor allem kleine und mittlere Unternehmen (KMU) entlasten soll. Hersteller von vernetzten Spielzeugen, Haushaltsgeräten oder auch automatischen Steuerungssystemen für die Industrie können künftig EU-Sicherheitszertifikate für ihre Produkte beantragen.

Wir wollen [mit der Zertifizierung von Hardware und Software] ein ganz anderes Qualitätsniveau für IT-Produkte erreichen.
Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI)

„Das Zertifikat ist vergleichbar mit den Energielabeln bei Kühlschränken oder den Zertifikaten für Kinderautositze: Die Hersteller verpflichten sich bei Teilnahme, bestimmte Standards einzuhalten“, so der scheidende ENISA-Direktor Helmbrecht5. Er hofft, dass sich damit Marktvorteile für EU-Unternehmen ergeben: „Wenn Standards auf den Markt kommen, werden Firmen investieren. Der Markt honoriert Sicherheit.“

Künftig soll es drei Sicherheitsstufen geben:

  • Erste Stufe: Produkt oder Prozess sind funktional sicher und verfügen über ein angemessenes Maß an Vertrauen in die IT-Sicherheit.
  • Zweite Stufe: Produkt oder Prozess sind im Wesentlichen sicher und verfügen über ein mittleres Maß an Vertrauen.
  • Dritte Stufe: Produkt oder Prozess sind äußerst sicher und verfügen über ein erhöhtes Maß an Vertrauen in die Sicherheit.

Kooperation mit Politik, Mitgliedsstaaten und Privatwirtschaft

Die ENISA arbeitet nicht nur eng mit der EU-Politik, sondern auch mit den Mitgliedsstaaten und der Privatwirtschaft zusammen. So entwickelt und bewertet sie etwa nationale Cybersicherheitsstrategien oder führt europaweite Cybersicherheitsübungen durch. Bei diesen Übungen können Unternehmen überprüfen, ob sie adäquat auf plötzliche Angriffe und Ausfälle reagieren.

Ein aktuelles Thema bei der ENISA ist die Cyberabwehr. Es seien viel zu wenige deutsche und europäische Firmen für die Cyberabwehr am Start, beklagte Helmbrecht in diesem Sommer bei einer Bundeswehr-Tagung6. Die Frage hier sei: „Wie können wir die Industrie besser zusammenbringen und wie können wir zum Beispiel Ausschreibungsverfahren auf europäischer Ebene besser nutzen, um europäische Firmen dann ins Rennen zu bekommen.“

Augenblicklich sehe Deutschlands Anteil an Informations- und Kommunikationstechnologie aus „wie ein Salatblatt in einem Hamburger zwischen China und den USA“. Der ehemalige Vizepräsident der EU-Kommission Ansip forderte größere Anstrengungen der nationalen Regierungen: „Wir können das nicht allein von Brüssel aus machen, die Koordinierung mit den Mitgliedstaaten ist extrem wichtig.“7

Damit die Agentur die vielen neuen Aufgaben leisten kann, wird sie auch personell und finanziell ausgebaut. Für die ersten fünf Jahre stand der ENISA ein Budget von 34,3 Millionen Euro zur Verfügung. In den Jahren danach waren es zwischen gut elf Millionen Euro (2017) und 17 Millionen Euro (2019)8 und 48 Mitarbeiter. Zum Vergleich: Das „mit sehr viel mehr Kompetenzen ausgestattete“9 deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) erhielt 2016 aus dem Bundeshaushalt 88,7 Millionen Euro bei 661,5 Planstellen.

 

1.) https://www.heise.de/newsticker/meldung/EU-IT-Sicherheitsbehoerde-ENISA-will-deutlichen-Kompetenzzuwachs-3687230.html

2.) https://www.euractiv.de/section/digitale-agenda/news/die-suche-der-eu-nach-strengen-cybersicherheitsstandards/

3.) https://www.euractiv.de/section/digitale-agenda/news/die-suche-der-eu-nach-strengen-cybersicherheitsstandards/

4.) https://www.heise.de/newsticker/meldung/EU-Gremien-einig-Sicherheit-vernetzter-Geraete-soll-zertifiziert-werden-4247937.html

5.) https://t3n.de/magazin/it-security-in-europa-mit-nicht-248242/

6.) https://www.br.de/nachrichten/deutschland-welt/bundeswehr-konferenz-wie-steht-es-um-deutschlands-cyberabwehr,RVwM41N

7.) https://www.handelsblatt.com/politik/international/wahlbeeinflussung-eu-kommission-ruestet-vor-europawahl-taskforce-gegen-hacker-und-trolle-auf/23702598.html?ticket=ST-3188745-YsYhD6zcg46sDpMBUjel-ap4

8.) https://t3n.de/magazin/it-security-in-europa-mit-nicht-248242/

9.) https://www.heise.de/newsticker/meldung/EU-IT-Sicherheitsbehoerde-ENISA-will-deutlichen-Kompetenzzuwachs-3687230.html

 

Themen & Trends

Das neue Cybersicherheitspaket der Europäischen Kommission

Cyberkriminalität

Cyber-Gefahren - drei akute Einfallstore in Ihr Unternehmen

Die Gefahren der Industrie 4.0 stellen den Mittelstand vor Herausforderungen.

Cyberkriminalität

Cyberkriminalität: deutsche Unternehmen beliebtes Ziel der Attacken

Erfahren Sie, vor welchen Cyber-Gefahren Sie Ihr Unternehmen schützen müssen.