EU-Report
Netzwerk-Sicherheit als EU-Vorgabe
Beim Ausfall kritischer Infrastrukturen drohen Verluste in Milliardenhöhe. Für die IT-Netzwerke in Europa wird es in Zukunft deshalb verbindliche Sicherheitstests und eine Meldepflicht für Angriffe geben.
Neben dem Datenklau durch westliche oder östliche Nachrichtendienste, Mitbewerber und Lohn-Hacker dürfte der provozierte oder fahrlässige Ausfall der IT-Infrastruktur für Unternehmen und Organisationen zu den schlimmsten Bedrohungsszenarien zählen. Im Extremfall mit volkswirtschaftlich katastrophalen Auswirkungen. Nach Angaben des Weltwirtschaftsforums besteht eine zehnprozentige Wahrscheinlichkeit, dass es im kommenden Jahrzehnt zu einem großen Ausfall kritischer Infrastrukturen kommt, der Schäden in Höhe von 250 Milliarden US-Dollar verursachen könnte. Auch Szenarien dieser Art hatte die EU-Kommission im Auge, als sie im Februar 2013 einen Richtlinienvorschlag zur Netz- und Informationssicherheit (NIS) veröffentlichte, als Teil einer Gesamtstrategie zum Schutz von Unternehmen und Bürgern vor Online-Kriminalität.
Vernachlässigte Vorsorge
Die EU-Kommission reagierte damit auf das trotz der großen Risiken verbreitete laxe Sicherheitsbewusstsein. Obwohl einerseits mehr als die Hälfte von befragten Firmen gravierende "NIS-Vorfälle" verzeichneten, hatten andererseits Eurostat-Zahlen belegt, dass im Januar 2012 nur 26 Prozent der Unternehmen in der EU förmlich festgelegte Sicherheitsvorgaben für die Informations- und Kommunikationstechnik hatten.
Seither ist die Lage nicht besser geworden. "Ich bin besorgt über die zunehmend komplexen Formen neu auftauchender Malware, dabei haben wir bislang nur die Spitze des Eisbergs gesehen", warnte Troels Oerting, Leiter des vor einem Jahr gegründeten European Cybercrime Center EC3, bei der kürzlichen Vorlage seines EC3-Reports 2014.
Bislang sind nur Telekommunikationsunternehmen rechtlich dazu verpflichtet, Maßnahmen für das Risikomanagement zu ergreifen und gravierende NIS-Vorfälle zu melden. Aber auch andere Branchen sind von funktionierenden Netzen und Informationssystemen abhängig und sollen durch die neue Richtlinie erfasst werden.
Im Blick hat die EU-Kommission Banken und Börsen, die Energiebranche, den Luft-, Schienen- und Seeverkehr sowie die Logistik, das Gesundheitswesen und öffentliche Verwaltungen. Auch Internetdienste sollen nach dem Willen der EU-Kommission Risikomanagementmethoden einführen und große Sicherheitsvorfälle in ihren Kerndiensten melden.
Meldepflicht geplant
Fast genau ein Jahr nach ihrer Vorlage durch die EU-Kommission hat der Binnenmarktausschuss des EU-Parlaments Ende Januar seine Position zur Richtlinie verabschiedet. Wie Andreas Schwab (CDU), zuständiger Berichterstatter des Europaparlaments, aus dem Ausschuss mitteilt, sollen IT-Netzwerke sogenannter kritischer Infrastrukturen in Zukunft regelmäßigen Sicherheitstests unterzogen werden.
Kleinere Unternehmen sollen das selbst durchführen können. In besonders kritischen Wirtschaftssektoren wie etwa Energie, Gesundheit oder Verkehr sollen die Tests von externen Prüfern durchgeführt werden. Zuständig sind die nationalen Behörden, im FalleDeutschlands das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Unternehmen müssen zudem Angriffe auf ihre IT-Netzwerke den zuständigen nationalen Behörden melden, die wiederum in einem europäischen Netzwerk zusammenarbeiten und Informationen austauschen. Bis zum Herbst dieses Jahres wollen sich EU-Parlamentund Mitgliedstaaten über den endgültigen Text der Richtlinie einigen. Die neuen Standards könnten dann 2016 in Kraft treten.
