Straßburg Sie tragen Namen wie WannaCry oder Petya und infizieren oft hunderttausende Computer gleichzeitig: Es sind Schadprogramme, die die Daten der Nutzer auf den Rechnern verschlüsseln oder Informationen stehlen. Der wirtschaftliche Schaden durch derartige Angriffe hat sich seit 2013 verfünffacht und summierte sich laut der Polizeibehörde Europol zuletzt auf 265 Milliarden Euro im Jahr.
Die EU-Kommission will den Kampf gegen die Angriffe aus dem Netz deswegen jetzt verschärfen. „Es könnte verheerende Folgen haben wenn es uns nicht gelingt, die Technik hinter unseren Stromnetzen, Autos und Verkehrssystemen, unseren Fabriken, Kliniken und Häusern zu schützen“, warnt die Brüsseler Behörde in ihrer neuen Cybersicherheitsstrategie, die in Kürze veröffentlicht werden soll. Schließlich würden in den kommenden Jahren Milliarden zusätzliche Geräte an das Internet angeschlossen, von Haushaltsgeräten bis hin zu Industrieanlagen.
Um der exponentiell wachsenden Gefahr Herr zu werden, sollen Hard- und Software künftig mehr auf Sicherheitslücken überprüft und zertifiziert werden. Die Kommission will dafür einen einheitlichen Rahmen vorgeben, nachdem in den EU-Staaten die Tests entwickelt und für den Konsumenten erkennbar mit Sicherheitslabeln gekennzeichnet werden sollen. Zudem sollen die Fördermittel für die Erforschung neuer Sicherheitstechnologien aufgestockt werden.
Daneben will die Behörde dafür sorgen, dass die bislang informelle Zusammenarbeit der nationalen IT-Sicherheitsbehörden im Angriffsfall auf einen festen Boden gestellt wird. Dazu wird die Kommission eine „Blaupause“ für die Abläufe vorlegen, entlang derer die Zuständigen in den Mitgliedsstaaten und den EU-Agenturen auf Cyberattacken reagieren sollen. Die Europäische Agentur für Netz- und Informationssicherheit (Enisa) soll dafür mehr operative Kompetenzen bekommen und besser ausgestattet werden als bisher.
Die kleine EU-Agentur mit Sitz in Griechenland verfügt derzeit nur über rund 50 IT-Sicherheitsexperten und beschränkt sich darauf, die Bedrohungslage zu analysieren und grundsätzliche Handlungsempfehlungen zu geben. Experten bezweifeln daher, dass sie schnell eine tragende Rolle im Netz der nationalen Sicherheitsbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik(BSI) einnehmen kann: „Die europäischen Behörden verfügen hier über kein überragendes Wissen“, sagt Martin Schallbruch, langjähriger IT-Direktor im Bundesinnenministerium und heute Vize-Direktor am Digital Society Institute der privaten Hochschule ESMT.
Eine stärkere operative Rolle für Enisa sei daher nur sinnvoll, wenn es sich um einen großangelegten Angriff handele, dessen Folgen in etlichen Mitgliedsstaaten zu spüren seien. „In anderen Fällen wäre eine Koordination durch Brüssel nur hinderlich“, so Schallbruch.
Nur ein „gemeinsamer Rahmen“
Das System der Sicherheitszertifizierung für Geräte und Programme auszubauen, sei hingegen durchaus sinnvoll. Entscheidend sei aber die konkrete Ausgestaltung: „Man kann nicht einfach abstrakt Anforderungen definieren, die gleichermaßen für Fitnessarmbänder und vernetzte Industrieanlagen gelten“, sagt er. Die existierenden Testverfahren seien zu aufwendig und zu teuer für den Konsumgütermarkt, deshalb nutzten etwa die Hersteller von Smart-TV-Geräten sie kaum.
Die Kommission will es weitgehend den Mitgliedsstaaten überlassen, die konkreten Anforderungen an die Geräte festzulegen und nur einen „gemeinsamen Rahmen“ für die Prüfverfahren festlegen, wie es im Entwurf der Strategie heißt. Die IT-Unternehmen sollen weiter nicht verpflichtet werden, ihre Produkte testen und zertifizieren zu lassen. Die Hersteller, häufig US-amerikanische und asiatische Firmen, wehrten sich heftig gegen verbindliche Vorgaben, heißt es in Brüssel.
Kritikern gehen die Brüsseler Vorschläge aber nicht weit genug: „Die Kommission drückt sich vor der Auseinandersetzung mit der Industrie“, sagt der Grünen-Innenpolitiker im Europaparlament, Jan Philipp Albrecht. „Sie sollte gegenüber den Herstellern von Hard- und Software verbindliche Standards durchsetzen anstatt es auf die Verbraucher abzuwälzen, die Sicherheit der Produkte zu beurteilen.“
Albrecht fordert auch, die Haftung der Hersteller für ihre Produkte zu verschärfen. „Es ist nicht einzusehen, dass die Autohersteller für selbstverschuldete Sicherheitsmängel haften, nicht aber die IT-Unternehmen“, sagt er. Die Kommission aber hält sich bei dem Thema noch zurück: In Gesprächen mit allen Beteiligten solle bis 2018 geprüft werden, ob „die Haftungsregeln ergänzt werden sollten“, heißt es im Strategieentwurf zurückhaltend.
Auch Experte Schallbruch gehen die Pläne der Kommission nicht weit genug: „Ich kann in den Vorschlägen keinen großen Wurf erkennen“. Die Kommission sollte lieber dafür sorgen, dass Sicherheitsstandards für die Industrie durchgesetzt werden.
