Mehr Kooperation bitte!

Die IT-Sicherheitsgesetze in der EU sind der reinste Flickenteppich: Staaten führen nur nationale Regelungen ein und arbeiten zu wenig mit der Privatwirtschaft zusammen. Die fehlende Einheitlichkeit untergräbt den Schutz vor Cyberangriffen.

Mit IT-Sicherheit beschäftigen sich inzwischen die Chefetagen in der Wirtschaft wie auch Regierungen in aller Welt gleichermaßen. Neue Technologien erleichtern zwar unsere Art zu kommunizieren, produzieren und Probleme zu lösen, bringen aber auch neue Risiken mit sich, mit denen wir umgehen müssen.

Während der Bundestag über das neue IT-Sicherheitsgesetz abstimmt, debattiert Brüssel über die EU-Richtlinie zur Netz- und Informationssicherheit (NIS), die zu einer Harmonisierung der IT-Sicherheitsgesetze in der EU führen soll. Bei 28 Mitgliedstaaten ist das kein einfaches Unterfangen, wie ein kürzlich erschienener Bericht des Softwareverbandes BSA zeigt.

Erhebliche Sicherheitslücken

Das „BSA EU Cybersecurity Dashboard“ ist die erste umfassende Analyse nationaler IT-Sicherheitsgesetze in der EU. Sie zeigt, dass es in Europa einen Flickenteppich von Maßnahmen zum Schutz vor Cyberangriffen gibt. Während einige Länder wie Deutschland, Estland und Großbritannien bereits über einen umfassenden gesetzlichen Rahmen verfügen, haben andere noch viel Arbeit vor sich. Der Bericht zeigt darüber hinaus, dass es oft eine erhebliche Lücke zwischen den gesetzlichen Vorgaben einerseits und den operativen Kapazitäten andererseits gibt. Das führt zu Sicherheitslücken, die ein Risiko für den gesamten Binnenmarkt darstellen.

Immerhin: die meisten EU-Mitgliedstaaten haben erkannt, dass IT-Sicherheit und insbesondere die Widerstandsfähigkeit kritischer Infrastrukturen gegenüber Cyber-Angriffen eine politische Priorität sein müssen. Störungen in der kritischen Infrastruktur (etwa Verkehr, Energie und Bankwesen) würden zweifellos den größten Schaden verursachen.

Deutschland ist ein gutes Beispiel für ein Land, das bereits viele Dinge richtig gemacht hat. Es gibt eine umfassende Cybersicherheitsstrategie sowie ein Bekenntnis zum Schutz vor Cyberangriffen auf höchster Regierungsebene. Allerdings könnten rein nationale Sicherheitsstandards auch zum Hindernis für einheitliche IT-Sicherheitsregeln in der EU werden. Weil IT-Sicherheit nicht an Ländergrenzen Halt macht, spielen international anerkannte und von der Industrie mitentwickelte Standards eine Schlüsselrolle bei der Entwicklung neuer, noch sicherer Produkte, die die IT-Sicherheit für Regierungen, Unternehmen und Bürger verbessern.

Schwachstellen durch fehlende Kooperation

Der Bericht macht auch auf eine Reihe von potenziellen Sicherheitslücken aufmerksam, wie etwa der Mangel an Kooperation zwischen Regierungen und Privatwirtschaft. Obwohl der Großteil der Infrastruktur in Europa in Privatbesitz und öffentlich-private Zusammenarbeit deshalb unverzichtbar ist, verfügen nur fünf Mitgliedstaaten über feste Formate für öffentlich-private Partnerschaften in diesem Bereich.

Je besser sich europäische Regierungen und der private Sektor miteinander abstimmen, desto sicherer wird Europa angesichts wachsender Bedrohungen der IT-Sicherheit sein. Eine wesentliche Verbesserung im Rahmen der EU-Richtlinie zur Netz- und Informationssicherheit wäre die Schaffung von Dialog-Plattformen für den öffentlichen und den privaten Sektor über Bedrohungen der IT-Sicherheit und ein EU-weiter Austausch über Best Practices in diesem Bereich.

Das „EU Cybersecurity Dashboard“ umreißt schließlich einige wesentliche Bestandteile für den rechtlichen Rahmen zur Verbesserung der IT-Sicherheit, etwa gesetzliche Grundlagen, Maßnahmen zur Vertrauensbildung und partnerschaftlicher Zusammenarbeit oder Bildungsmaßnahmen. Diese Kernbestandteile der IT-Sicherheit sollen nationale Regierungen bei der Schaffung und Umsetzung ihrer IT-Sicherheitspolitik unterstützen.

Ohne Zusammenarbeit kein Schutz

Schließlich verweist der Bericht auch auf einige Negativbeispiele, da die Regierungen mancher Länder IT-Sicherheit als Rechtfertigung für protektionistische Regeln nutzen und damit den Schutz vor Cyberangriffen untergraben. Dazu gehören länderspezifische IT-Sicherheitsstandards, Verpflichtungen zur Offenlegung von vertraulichen Informationen wie Quelltexten und Verschlüsselungscodes, Verpflichtungen zur lokalen Speicherung von Daten oder die Bevorzugung einheimischer Anbieter.

IT-Sicherheit kann nicht in nationalen Silos erreicht werden und die politischen Entscheidungsträger in Deutschland sollten die Implikationen ihrer Entscheidungen für Europa und die gesamte Welt berücksichtigen. Das IT-Sicherheitsgesetz sollte weder beabsichtigt noch unbeabsichtigt dazu führen, ausländische Firmen auf dem deutschen Markt zu benachteiligen.

Der schwerwiegende Cyberangriff auf den Deutschen Bundestag zeugt von der Wichtigkeit eines starken und widerstandsfähigen IT-Systems. Kein Land wird dieses Ziel alleine erreichen können. Nur wenn Staat und öffentlicher Sektor gemeinsam verhindern, dass kriminelle Hacker zu den Wegelagerern des 21. Jahrhunderts werden, können wir das Vertrauen in digitale Netze stärken, das Voraussetzung für die Realisierung des Wachstumspotenzials der Digitalwirtschaft ist.

For more Information

Cyber Crime, La cyber-sécurité