Europa wird mit jedem Tag ein Stück digitaler. Mehr als 80 Prozent der EU-Bevölkerung verfügen über eine Internetanbindung. Die Allgegenwärtigkeit digitaler Plattformen für gesellschaftliche und wirtschaftliche Interaktionen sowie das "Internet der Dinge" ermöglichen neue Geschäftsmodelle. Die bisherigen Normen und Arbeitsweisen werden in Frage gestellt. Angesichts der großen gesellschaftlichen Herausforderungen, die mit diesem Wandel zu einer datengestützten Wirtschaft und Gesellschaft einhergehen, gilt es, vertrauenswürdige und belastbare digitale Infrastrukturen und Dienste zu schaffen. Daher kommt es sowohl für unseren Wohlstand als auch unsere Gesellschaft auf Cybersicherheit an – also auf die Gesamtheit belastbarer und sicherer Komponenten, Geräte, Daten und Prozesse, die die Unzulänglichkeiten menschlichen Verhaltens berücksichtigen.

Die Spitze des Eisbergs

Im Mai 2017 wurden mehr als 230.000 Rechner in über 150 Ländern mit der Ransomware WannaCry angegriffen – mit europaweiten Folgen zum Beispiel für den Eisenbahn-, Gesundheits- und Telekommunikationssektor. Einen Monat später erfolgte gleich ein weiterer großer Cyberangriff mit dem Schadprogramm "NotPetya" und Anfang dieses Jahres wurden Sicherheitslücken bei kritischer Hardware offengelegt. Diese Vorkommnisse sind allerdings nur die Spitze des Eisbergs.

Unsere Netze sind ständigen Angriffen ausgesetzt, mit denen versucht wird, Schwachstellen zu entdecken, um das Vertrauen, die Integrität und Verfügbarkeit wertvollen digitalen Vermögens zu untergraben. Komplexität und Umfang dieser Angriffe nehmen ständig zu. So wurden Cyberangriffe mit Online-Desinformationen kombiniert, um Einfluss auf die Entscheidungsprozesse in unseren liberalen Demokratien zu nehmen. Beunruhigend dabei ist, dass Cyberangriffe mit der zunehmenden Digitalisierung sicherheitskritischer Systeme (Flugzeuge, Autos) mittlerweile auch zum Verlust von Menschenleben führen können.

Mindeststandards in Cybersicherheit

Doch die EU bleibt nicht untätig. Die erste EU-Vorschrift zur Cybersicherheit, die Richtlinie über die Netz- und Informationssicherheit (NIS-Richtlinie), ist seit Mai dieses Jahres in vollem Umfang verbindlich. Sie verpflichtet alle Mitgliedstaaten, Mindeststandards zur Cybersicherheit einzuhalten. So schafft die Richtlinie einen Rahmen für die Zusammenarbeit zwischen den operativen Cybersicherheitsbehörden der Mitgliedstaaten und sieht einen risikoabhängigen Ansatz für wichtige Dienste in den Sektoren Energie, Finanzen, Verkehr, Gesundheitswesen, Wasserversorgung und Digitales vor. Mehrere Mitgliedstaaten sind derzeit noch damit befasst, die NIS-Richtlinie in ihr einzelstaatliches Recht umzusetzen, während andere diese wichtigen Arbeiten bereits fristgerecht abgeschlossen haben.

Derzeit beraten die EU-Gesetzgeber über einen ehrgeizigen Legislativvorschlag für ein Cybersicherheitsgesetz, mit dem der ENISA, der EU-Agentur für Cybersicherheit, ein dauerhaftes und breiter gefasstes Mandat erteilt wird und ein neuer EU-Zertifizierungsrahmen geschaffen werden soll. Mit dem neuen Mandat soll die ENISA vor allem gestärkt und effizienter im Umgang mit Cybersicherheitsfragen werden, indem sie die Mitgliedstaaten, EU-Einrichtungen, Unternehmen und Bürger aktiv unterstützt. Der vorgeschlagene EU-Rechtsrahmen für die Cybersicherheitszertifizierung soll eine Fragmentierung des Markts verhindern und es für den Nutzer leichter erkennbar machen, ob IKT-Produkte und ‑Dienste cybersicher sind. Nutzer müssen IT-Lösungen vertrauen können. Zudem bietet sich Europa mit seiner starken Industriebasis die Chance, eine Führungsposition auf dem Markt für Cybersicherheitsprodukte und ‑dienste einzunehmen. Wir sind zuversichtlich, dass das Europäische Parlament und der Rat in den nächsten Monaten entscheidende Fortschritte und bis Ende des Jahres eine politische Einigung über das Cybersicherheitsgesetz erzielen können.

Ressourcen bündeln

Der nächste Schritt: Zur Stärkung der Investitionen in den EU-Cybersicherheitsmarkt und der Widerstandsfähigkeit schlägt die Kommission die Einrichtung eines Europäischen Kompetenzzentrums für Cybersicherheitsforschung mit einem Netz nationaler Koordinierungszentren vor. Diese Initiative wird zur Entwicklung und Einführung der Werkzeuge und Technologien beitragen, die benötigt werden, um mit der sich ständig verändernden Bedrohungslandschaft mithalten zu können, um sicherzustellen, dass unsere Abwehr dem Stand der Technik entspricht und um den Aufbau einer eigenen europäischen Industriebasis im Bereich der Cybersicherheit zu unterstützen. Im Zusammenhang mit dem nächsten mehrjährigen Finanzrahmen wird dieser Vorschlag sowohl auf das Forschungsprogramm "Horizont Europa" als auch auf das Programm "Digitales Europa" zurückgreifen, mit dem zwei Milliarden Euro für die Cybersicherheit bereitgestellt werden.

Diese Beträge nehmen sich im Vergleich zu den Mitteln, die in anderen Teilen der Welt für die technischen Kapazitäten im Bereich der Cybersicherheit bereitgestellt werden, allerdings recht bescheiden aus. Es ist daher notwendig, Ressourcen zu bündeln und zusammen mit allen EU-Mitgliedstaaten und der Industrie gemeinsame Investitionen zu tätigen. Die Cybersicherheit ist eine Herausforderung, der wir uns am besten gemeinsam stellen. (Mariya Gabriel, Paul Rübig, 25.10.2018)