24.07.2020 Brüssel. Die von Cyberkriminalität verursachten Kosten könnten sich weltweit bis Ende 2020 auf 5,5 Billionen Euro belaufen. Das ist ein steiler Anstieg gegenüber 2,7 Billionen Euro im Jahr 2015 und wäre der größte Transfer von Wirtschaftsvermögen in der Geschichte. Cyberkriminalität wäre dann profitabler als der globale Drogenhandel. Dies geht aus einem heute (Freitag) von der Gemeinsamen Forschungsstelle (GFS) der Kommission vorgestellten Bericht Cybersecurity – Our Digital Anchor hervor. Der Bericht informiert zur Entwicklung der Cybersicherheit in den letzten 40 Jahren und zeigt Schwachstellen in der aktuellen digitalen Entwicklung und mögliche Handlungsfelder für Politik, Unternehmen und Bürger auf.
Mariya Gabriel, EU-Kommissarin für Innovation, Forschung, Kultur, Bildung und Jugend, erklärte: „Die Absicherung unserer digitalen Gesellschaft ist heute wichtiger denn je. Der digitale Raum ist ein zentrales Element unseres Lebens: Arbeit, Bildung, Interaktion mit Familie und Freunden, alles findet online statt. Dies kann uns aber auch anfällig für Cyberbedrohungen machen. Der Bericht ‚Cybersecurity: our digital anchor‘ präsentiert einen neuen, systemischen Ansatz, mit dem wir uns vor diesen Bedrohungen schützen können und bei dem insbesondere Bildung und digitale Kompetenzen eine wichtige Rolle spielen. Wir sollten uns alle darum bemühen, Teil der Lösung zu sein.“
Thierry Breton, EU-Kommissar für den Binnenmarkt, fügte hinzu: „Cybersicherheit ist keine isolierte Herausforderung und erfordert einen ganzheitlichen Ansatz. Um auf neue und sich noch entwickelnde Bedrohungen reagieren zu können, müssen wir unsere Cyber-Resilienz erhöhen und auf allen Ebenen zusammenarbeiten, von Bürgerinnen und Bürgern über Unternehmen bis hin zu den Mitgliedstaaten. Der Bericht bestätigt wieder einmal, dass Europa aufgrund seines Fachwissens in diesem Bereich eine Führungsrolle übernehmen kann.“
Der Bericht fordert einen Paradigmenwechsel in der Art und Weise, wie Netzsicherheit gestaltet und eingesetzt wird. Sie muss proaktiver gestaltet und besser mit den Bedürfnissen der Gesellschaft verknüpft werden. Da Daten das Lebenselixier der digitalen Gesellschaft sind, müssen digitale Dienste sicher und zuverlässig funktionieren und gleichzeitig die Privatsphäre und den Datenschutz der Bürger garantieren. Daher entwickelt sich die Netzsicherheit von einer technologischen „Option“ zu einem gesellschaftlichen Muss. Eine gesellschaftsübergreifende Netzsicherheitsstrategie muss in allen Schichten der europäischen Gesellschaft umgesetzt werden. Sie sollte nicht nur die technologischen Aspekte, sondern auch die gesellschaftlichen Dimensionen des „cybersicheren Verhaltens“ umfassen.
Der Bericht stellt Maßnahmen vor, die von allen Schichten der europäischen Gesellschaft umgesetzt werden können:
Ausbildung und Weiterbildung
Der Arbeitsmarkt ist derzeit nicht in der Lage, auf die wachsende Nachfrage nach Fachkräften im Bereich der Netzsicherheit zu reagieren. Eine sichtbare Folge davon ist der Mangel an einer Million Fachkräften in dem Bereich, der in Zukunft noch zunehmen dürfte. Eine kurzfristige Antwort auf dieses Problem besteht darin, die Arbeitnehmer zu ermutigen, sich an Weiterbildungsprogrammen zur Cybersicherheit zu beteiligen. Eine längerfristige Lösung ist es, die Vermittlung von Fähigkeiten im Bereich der Netzsicherheit in die Lehrpläne von Schulen und Universitäten zu integrieren. Dies könnte mehr junge Menschen ermutigen, Berufe in der Cybersicherheit zu ergreifen. Besser ausgebildete Nutzer werden auch mehr sichere digitale Produkte und Dienstleistungen nachfragen, was zusätzliche Anreize für die Industrie schafft.
Haftungsgesetzgebung für Produkte und Dienstleistungen
Erörtert wird auch die Entwicklung einer Haftungsgesetzgebung für Produkte und Dienstleistungen unter dem Gesichtspunkt der Netzsicherheit. Wenn sie für Verstöße gegen ihre Verpflichtungen im Bereich der Cybersicherheit haftbar gemacht werden könnten, würde dies den Druck auf Unternehmen erhöhen, mehr in Netzsicherheit zu investieren und über Cyberattacken transparenter zu berichten. Obwohl dies die Sicherheit der Verbraucher durchaus verbessern könnte, stellt die Durchsetzung solcher Gesetze eine Herausforderung dar. Sicherheit muss nicht nur in den ursprünglichen Entwurf eines Produkts oder einer Dienstleistung integriert werden. Schwachstellen können während des gesamten Lebenszyklus von Produkten und Dienstleistungen auftauchen, daher ist Sicherheit auch hier von Anfang an eingeplant werden. Auch Leitlinien zur Offenlegung von Schwachstellen sind unerlässlich.
Normen
Normen könnten sicherstellen, dass bei der Gestaltung von Produkten und Dienstleistungen künftige Cybersicherheitsrisiken eingeplant werden. Es gibt bereits internationale Zertifizierungssysteme, die von der Industrie anerkannt sind, wie z.B. der Certified Information Systems Security Professional (CISSP). Ein europäisches System könnte so gestaltet werden, dass es besser auf die Art von Fachwissen eingeht, die derzeit in Europa benötigt wird.
Verbesserte Koordination der Forschung
Die Netzsicherheit muss mit der gleichen Geschwindigkeit oder sogar noch schneller voranschreiten als die digitale Gesellschaft, um den steigenden Bedrohungen vorgreifen zu können. Eine kürzlich von der GFS durchgeführte Studie zur Forschungs- und Entwicklungskapazitäten im Bereich der Netzsicherheit in Europa zeigt, dass die Finanzierung der Forschung zur Computer- und Netzsicherheit in der gesamten EU besser koordiniert werden muss. Patentanmeldungen werden von China dominiert, gefolgt von den USA, während die EU keine herausragende Stellung einnimmt. Dies führt zur Abhängigkeit von Produkten und Dienstleistungen, die auf dem EU-Binnenmarkt nicht verfügbar sind. Schwache wirtschaftliche Anreize in diesem Sektor bedeuten, dass Unternehmen weniger in Forschung und Innovation und damit auch weniger in Cybersicherheit investieren.
Zusammenarbeit in der Netzsicherheit
Ein verstärkter Austausch von Erkenntnissen über Cyber-Bedrohungen ermöglicht beispielsweise die Entwicklung der wirksamsten Eindämmungstechniken und Widerstandmechanismen. Eine gemeinsame Kultur der Zusammenarbeit könnte Unternehmen dazu ermutigen, Verstöße gegen die Netzsicherheit aufzudecken. Ein möglicher Schritt auf dem Weg wäre die Einrichtung einer zentralen europäischen Plattform für Schwachstellenmanagement, die die Netzsicherheitsgemeinschaft koordiniert und fördert.
Vorgaben durch die Politik
Da die Digitaltechnik immer mehr Bereiche der Politik- und Rechtsetzung durchdringt, sollten Überlegungen zur Netzsicherheit von Anfang an in die Prozesse von Politikgestaltung und Governance einbezogen werden. Ein europäischer Rahmen könnte zur Angleichung der Initiativen der Cybersicherheitspolitik auf EU- und mitgliedstaatlicher Ebene beitragen. Eine solche Initiative wird der Schlüssel zur Harmonisierung der Netzsicherheit in Europa sein und ist ein wichtiger Schritt zum Aufbau einer sicheren digitalen Gesellschaft für alle europäischen Bürger.
Hintergrund
2016 ist die Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie) in Kraft getreten. Seit ihrer Verabschiedung hat die NIS-Richtlinie dafür gesorgt, dass die Mitgliedstaaten besser auf Cyber-Vorfälle vorbereitet sind und ihre Zusammenarbeit in der NIS-Kooperationsgruppe verstärkt haben. Sie verpflichtet Unternehmen, die wesentliche Dienstleistungen in lebenswichtigen Bereichen wie Energie, Verkehr und Bankwesen erbringen, sowie Anbieter digitaler Dienste wie Suchmaschinen, Cloud-Computing-Dienste oder Online-Marktplätze, ihre informationstechnologischen Systeme zu schützen und größere Vorfälle im Bereich der Cybersicherheit den nationalen Behörden zu melden.
Die NIS-Richtlinie ist die erste EU-weite Rechtsvorschrift über Cybersicherheit. Ihr Ziel ist es, ein gleichmäßig hohes Sicherheitsniveau von Netz- und Informationssystemen in der gesamten EU zu erreichen, und zwar durch:
- erhöhte Kapazitäten im Bereich der Cybersicherheit auf nationaler Ebene,
- verstärkte Zusammenarbeit auf EU-Ebene,
- Verpflichtungen für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste in den Bereichen Risikomanagement und Meldung von Sicherheitsvorfällen.
Im Rahmen des Cybersicherheitspakets, das im September 2017 angenommen wurde, hat die Kommission auch die Mitteilung „Bestmögliche Netz- und Informationssicherheit – hin zu einer wirksamen Umsetzung der Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“ veröffentlicht. Sie soll den Mitgliedstaaten Leitlinien und Beispiele für bewährte Verfahren an die Hand geben und zu einer einheitlichen Umsetzung der neuen Regeln beitragen. Da sich die Cyberbedrohungen verändert haben seit 2016, will die Kommission die NIS-Richtlinie überarbeiten und hat dazu kürzlich eine öffentliche Konsultation gestartet.
Links zum Thema:
Cybersecurity: Commission report details policies and skills needed for a more secure digital society
Nachricht der EU-Kommission vom 24.07.2020.
GFS-Bericht: How to put cybersecurity at the centre of society: JRC report connects the dots
Maßnahmen der EU zur Stärkung der Kapazitäten im Bereich der Cybersicherheit
Fragen & Antworten zur Cybersicherheit
Arbeit der NIS-Kooperationsgruppe
Quelle dieser Informationen: EU-Nachrichten der Vertretung der EU-Kommission in Deutschland.