Europäische Cybersicherheitsstrategie – Kampf gegen Internetkriminalität

von | 13. Dez 2023 | IT-Service

Viele Menschen haben beim Thema „Sicherheit in der IT“ das Gefühl überfordert zu sein und oftmals entsteht der Eindruck „es wird schon gut gehen“. Der jetzt vorliegende Blogbeitrag soll daher einen Startpunkt markieren, für eine kleine Themenreihe „Sicherheit in der IT“. Wir werden auf der Grundlage der Cybersicherheitsstrategie der EU einzelne hier beschriebene Bausteine herauspicken, um deren Bedeutung und mögliche Umsetzungsszenarien für kleine und mittlere Unternehmen zu illustrieren. Seien Sie gespannt.

 

Bereits im Dezember 2020 erschien eine gemeinsame Mitteilung an das Europäische Parlament und den Rat. Der Titel „Cybersicherheitsstrategie der EU für die digitale Dekade“. Im Kern geht es dabei um die Bedeutung und den Umgang mit den Themen „Sicherheit“, „Cybersicherheit“ und „Strategie“. Die EU hat dabei erkannt, dass „Cybersicherheit ein integraler Bestandteil der Sicherheit der Europäerinnen und Europäer ist. Unabhängig davon, ob es sich um vernetzte Geräte, Stromnetze oder Banken, Flugzeuge, öffentliche Verwaltungen oder Krankenhäuser handelt, die sie nutzen oder aufsuchen, verdienen die Menschen dabei die Gewissheit, dass sie vor Cyberbedrohungen geschützt werden. Wirtschaft, Demokratie und Gesellschaft in der EU hängen mehr denn je von sicheren und zuverlässigen digitalen Instrumenten und Verbindungen ab. Die Cybersicherheit ist daher von entscheidender Bedeutung, um ein resilientes, grünes und digitales Europa aufzubauen“[1].

 

Blick über den Tellerrand: Digitale Dekade

Die Digitale Dekade der EU ist eine Initiative der Europäischen Union, die darauf abzielt, die digitale Transformation in Europa voranzutreiben und die EU bis 2030 zu einem globalen Vorreiter im digitalen Bereich zu machen. Damit verbunden sind vier Ziele, die die einzelnen Mitgliedsstaaten der EU in erfüllen sollen:

  1. eine digital qualifizierte Bevölkerung und hochqualifizierte digitale Fachkräfte
  2. sichere und nachhaltige digitale Infrastrukturen
  3. digitale Transformation von Unternehmen
  4. Digitalisierung öffentlicher Dienstleistungen.
digital_decade_compass_updated_January_weiss

Abbildung 1: Digitale Kampagne – Ziele

Aus dem folgenden Umstand ergibt sich für unser tägliches Handeln eine große Bedeutung für das Themenfeld „Cybersicherheit“. Denn bereits im Jahr 2010 lag die Zahl der Internet-nutzer in Deutschland bei 70%. Im Jahr 2023 sind inzwischen 95% der Deutschen „online“ (Vgl. Abbildung 2)[2].

zeitreihe-internetnutzung

Abbildung 2: IT Nutzung in Deutschland (Werte aus 2021 & 2022 fehlen; eigene Darstellung)

 

Erfasst wurde hierbei die allgemeine Internetnutzung, sei es im Bereich Informations-beschaffung, Onlineshopping, Social Media oder Onlinebanking. Auch beachtlich ist die Zahl der sog. Internet-of-Things-Geräte (IoT), die kleinen digitalen Helferlein, die smarten Endgeräte, wie zum Beispiel Lautsprecher, Thermostate, Beleuchtungselemente, Sensoren und mehr. Diese werden sich laut einer Umfrage von Statista voraussichtlich von 15,14 Milliarden im Jahr 2023 auf über 29 Milliarden Geräte im Jahr 2030 fast verdoppeln[3].

Doch wo Licht ist, da gibt es auch Schatten: der große Erfolg und die ununterbrochene Nutzung des Internets ruft Initiativen hervor, die einen eigenen Nutzung daraus ziehen. Ob Datendiebstahl, digitale Erpressung oder etwa virtuelles Stalking – die Kreativität in Sachen Computerkriminalität ist hoch und betrifft global sowohl einzelne Personen als auch Unternehmen, Behörden sowie Bildungseinrichtungen.

 

205,9 Milliarden Euro Schaden

Diese Zahl, entnommen aus einer Umfrage von Statista aus dem Jahr 2023, spiegelt den enormen Einfluss der Cyberkriminalität auf die deutsche Wirtschaft wider. „Nach der Selbsteinschätzung der befragten Unternehmen entfielen 16,1 Milliarden Euro der hochgerechneten Gesamtschadenssumme in Höhe von 205,9 Milliarden Euro in den letzten 12 Monaten auf Kosten für Erpressung mit gestohlenen oder verschlüsselten Daten. Neben privaten Haushalten sind besonders Unternehmen im Visier von Cyberkriminellen. Im Fokus sind besonders kleine und mittlere Unternehmen. Dort können Phishing- oder Ransomware-Attacken existenzbedrohende Auswirkungen haben. Inzwischen lautet die Frage für Unternehmen nicht, ob, sondern wann sie Opfer von Cyberkriminalität werden“[4].

 

Cybersicherheit für die digitale Dekade

Um den umfangreichen und ständig wechselnden Bedrohungslagen begegnen zu können, hat die Europäische Union daher ihre Initiative zur Cybersicherheit für die digitale Dekade bekannt gegeben. Die europäische Cybersicherheitsstrategie soll als umfangreicher Masterplan für die Zukunft der digitalen Sicherheit in Europa als auch darüber hinaus gelten. Sie hat das Ziel, einen digitalen Raum zu schaffen, welcher zuverlässig ist und die Grundwerte sowie Grundrechte der EU-Bürger, der Wirtschaft sowie der Gesellschaft schützt.

 

Die Europäische Union (EU) hat drei Hauptbereiche in ihrer Cybersicherheitsstrategie:

  1. Widerstandsfähigkeit: Dieser Bereich konzentriert sich darauf, die Fähigkeit der EU und ihrer Mitgliedstaaten zu stärken, auf Cyberangriffe zu reagieren und sich gegen diese zu verteidigen. Dies beinhaltet die Förderung von Kooperationen zwischen den Mitgliedstaaten, die Stärkung der Infrastruktur und die Entwicklung von Mechanismen zur Früherkennung und Reaktion auf Cyberbedrohungen.
  2. Abschreckung und Reaktion: Die EU setzt auf Maßnahmen zur Abschreckung von Cyberangriffen durch die Festlegung klarer Regeln und Standards sowie die Entwicklung einer angemessenen Reaktionsfähigkeit für den Fall von Angriffen. Hierbei geht es auch um die Zusammenarbeit mit internationalen Partnern, um gemeinsame Standards für ein verantwortungsvolles Verhalten im Cyberspace zu fördern.
  3. Globaler Ansatz: Dieser Bereich zielt darauf ab, die EU als globalen Akteur im Bereich Cybersicherheit zu positionieren und Partnerschaften mit anderen Ländern und Organisationen aufzubauen. Ziel ist es, gemeinsame Normen und Regeln für die Cybersicherheit zu entwickeln, um ein sicheres und vertrauenswürdiges Internet weltweit zu fördern.

 

Kritik? Erwünscht.

„Milton Mueller, Professor am Georgia Institute of Technology, stellt in einem 2020 erschienenen Beitrag fest, dass das Konzept der digitalen Souveränität in Bezug auf den digitalen Raum höchst fragwürdig ist. Die technische Architektur und die derzeitige Konfiguration des digitalen Raums, Territorialität und Autorität nicht miteinander zu vereinen sind. Ein auf nationaler Souveränität basierender digitaler Raum würde viele der über das Internet angebotenen Dienste fragmentieren und damit den Wettbewerb und den freien Handel untergraben. Eine solche Nationalisierung des digitalen Raumes könnte die einheitlichen technischen Standards untergraben, auf denen das Internet aufbaut. Wenn nationale Souveränität wichtiger wird als Kompatibilität und globaler Zugang, dann sind auch unterschiedliche nationale technische Standards für Betriebssysteme, Datenkommunikationsprotokolle, Anwendungen und Verschlüsselung gerechtfertigt. Darüber hinaus bedarf es einer breiten Diskussion, wie souveräne Macht im Digitalen demokratisch legitimiert und somit kontrolliert werden kann. Akteure in Deutschland und Europa müssen ein Verständnis von digitaler Selbstbestimmung entwickeln, welches demokratische Werte und die Entscheidungshoheit der Bürgerinnen und Bürger stärkt“[5].

 

Als weiteren Baustein innerhalb der EU-Cybersicherheitsstrategie existieren wichtige Regelungen, die die digitale Resilienz der Mitgliedstaaten stärken und einen soliden digitalen Raum schaffen sollen. Im Folgenden werden einige Regelungen ausführlich erläutert:

  • Initiative zur Kollaboration in der Cybersicherheit: Dies beinhaltet die Verbesserung der Kooperation zwischen den EU-Mitgliedstaaten, Behörden, Unternehmen und anderen relevanten Akteuren. Durch den Austausch von Informationen, bewährten Praktiken und Ressourcen können sie gemeinsam effektiver auf Cyberbedrohungen reagieren.
  • Aufbau von Widerstandsfähigkeit und Schutzinfrastrukturen: Hier geht es darum, die Sicherheit von kritischen Infrastrukturen wie Energieversorgung, Finanzdienstleistungen und Gesundheitswesen zu stärken. Dies beinhaltet die Förderung von Investitionen in Sicherheitstechnologien, Schulungen und Kapazitätsaufbau, um den Schutz vor Cyberangriffen zu verbessern.
  • Entwicklung von internationalen Normen und Regeln: Die EU strebt die Förderung gemeinsamer internationaler Normen und Regeln für die Cybersicherheit an. Dies bedeutet die Zusammenarbeit mit anderen Ländern und Organisationen, um Standards für verantwortungsvolles Verhalten im Cyberspace zu etablieren und die Sicherheit, Offenheit und Stabilität des Internets weltweit zu fördern.
  • Investition in Forschung und Innovation: Die EU setzt auf Investitionen in Forschung und Innovation im Bereich Cybersicherheit, um fortgeschrittene Technologien und Lösungen zu entwickeln, die den aktuellen und zukünftigen Herausforderungen gerecht werden können.

 

Im Kern spiegeln die o.a. Regelungen einen kollaborativen Ansatz der Cybersicherheits-strategie wider: 27 Mitgliedsstaaten (Stand Dezember 2023) mit 448 Millionen Einwohnern[6] bedürfen einer gemeinschaftlichen Anstrengung.

bpb_grafik_beitrittskandidaten_1200

Abbildung 3: Mitglieder mit Beitrittskandidaten der Europäischen Union. Grafik: bpb Quelle: Europäische Kommission

 

Dieser koordinierte Ansatz ermöglicht die Generierung eines einheitlichen Regelungsrahmens, der die Harmonisierung und Optimierung der Cybersicherheitspraktiken in den einzelnen Mitgliedstaaten vereinfacht. Zudem wird sichergestellt, dass alle Mitgliedstaaten einen gleich hohen Standard im Management ihrer Internetsicherheit einhalten, wodurch das Risiko erfolgreicher Internetangriffe minimiert wird.

So wird nicht nur eine homogene Front gegen Internetrisiken aufgebaut, sondern auch die Zusammenarbeit sowie der Austausch zwischen den Mitgliedstaaten unterstützt. Dies ist die Grundlage sowohl zur Erhöhung der generellen Sicherheit als auch Resilienz im digitalen Raum der EU und hat ebenso relevante Bedeutung für die wirtschaftliche Stabilität und das grundsätzliche Wohl der EU-Bürger.

 

Blick über den Tellerrand: Gesetze & Verordnungen

  • Deutsches BSI-Gesetz: In Deutschland fungiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Regulator für Cybersicherheit. Das BSI-Gesetz erklärt die Zuständigkeiten und Befugnisse jener Institution und leistet einen unverzichtbaren Teil zum Schutz der Informationssicherheit innerhalb Deutschlands.
  • NIS-Direktive: diese Richtlinie auf EU-Ebene konkretisiert sowohl die Verantwortungsbereiche von Wirtschaftsakteuren als auch von Organisationen im Bereich der Internetsicherheit und begünstigt die kollaborative Wechselbeziehung zwischen den Mitgliedstaaten zur Verteidigung von Cybergefahren.
  • eIDAS-Regulierung: Diese Regelung lenkt die Anwendung elektronischer Identifizierungs- und Vertrauensdienste in der EU und garantiert sowohl die Interoperabilität sowie die Integrität und Sicherheit.
  • Nationale Gesetze zur IT-Sicherheit: in den jeweiligen Mitgliedsländern existieren ergänzende Gesetze, die Unternehmungen und Institutionen verpflichten sich gegenüber Internetgefahren abzusichern.
  • EU-DSGVO: Diese Verordnung gibt Richtlinien für die Handhabung von personenbezogenen Daten vor und setzt empfindliche Sanktionen für Verstöße gegen diese Normen fest.

 

Die EU-Cybersicherheitsbehörden

Neben europaweiten und nationalen Richtlinien, Verordnungen und Gesetzen, die das Feld der Cybersicherheitsstrategie betreffen, wurden verschiedene Behörden, Agenturen und Institutionen geschaffen, die sich mit Cybersicherheit befassen. Einige der zentralen EU-Cybersicherheitsbehörden sind:

  1. ENISA (Europäische Agentur für Cybersicherheit): ENISA unterstützt EU-Mitgliedstaaten, EU-Institutionen und private Organisationen bei der Entwicklung und Umsetzung von Maßnahmen zur Cybersicherheit. Sie spielt eine zentrale Rolle bei der Koordination und dem Informationsaustausch zwischen den Mitgliedstaaten und bietet Expertise und Beratung in Cybersicherheitsfragen.
  2. Europol (Europäisches Polizeiamt), insbesondere das European Cybercrime Centre (EC3): Europol unterstützt die Mitgliedstaaten bei der Prävention und Bekämpfung von Cyberkriminalität. Das EC3 ist speziell für die Bekämpfung von Cyberkriminalität zuständig und bietet Unterstützung bei Ermittlungen, Koordination und Analyse von Cyberkriminalitätsfällen.
  3. CERT-EU (Computer Emergency Response Team der EU-Institutionen): CERT-EU ist das Computer Emergency Response Team für die EU-Institutionen, -Einrichtungen und -Agenturen. Es bietet Unterstützung bei der Abwehr und Reaktion auf Cyber-Sicherheitsvorfälle und -bedrohungen.
  4. ECSO (European Cyber Security Organisation): Auch wenn ECSO keine Behörde im eigentlichen Sinne ist, spielt sie eine wichtige Rolle im europäischen Cybersicherheitsökosystem. ECSO ist eine Public-Private-Partnership, die darauf abzielt, die europäische Cybersicherheitsindustrie zu stärken und die Zusammenarbeit zwischen öffentlichen und privaten Akteuren zu fördern.

Die seit 2020 konzertierte Umsetzung dieser Cybersicherheitsstrategie soll zu einer digitalen Dekade der Cybersicherheit in der EU, zur Verwirklichung einer Sicherheitsunion sowie zur Stärkung der Position der EU in der Welt beitragen. Ziel ist es, dass die Europäische Union Standards und Normen für erstklassige Cybersicherheitslösungen und Cybersicherheitsstandards für wesentliche Dienste und kritische Infrastrukturen sowie für die Entwicklung und Anwendung neuer Technologien vorantreiben soll.

 

Abbildungsverzeichnis:

Abbildung 1: Digitale Ziele; https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52020JC0018&from=de; Zugriff 12.12.23

Abbildung 2: eigene Darstellung;  https://de.statista.com/themen/2033/internetnutzung-in-deutschland/#topicOverview und https://www.destatis.de/DE/Themen/Gesellschaft-Umwelt/Einkommen-Konsum-Lebensbedingungen/IT-Nutzung/Tabellen/zeitvergleich-computernutzung-ikt.html; Zugriff 13.12.2023

Abbildung 3: Landeszentrale für politische Bildung Baden-Württemberg;https://www.europaimunterricht.de/erweiterung-beitrittskandidaten; Zugriff: 13.12.23

Quellenverzeichnis:

[1] Quelle: Cybersicherheitsstrategie der EU für die digitale Dekade; Zugriff 13.12.2023; https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52020JC0018&from=de)

[2] Quellen: Statista GmbH; Zugriff 13.12.2023; https://de.statista.com/themen/2033/internetnutzung-in-deutschland/#topicOverview und Deutsches Statistisches Bundesamt; Zugriff 13.12.2023; https://www.destatis.de/DE/Themen/Gesellschaft-Umwelt/Einkommen-Konsum-Lebensbedingungen/IT-Nutzung/Tabellen/zeitvergleich-computernutzung-ikt.html

[3] Quelle: Statista GmbH; Zugriff 12.12.2023; https://de.statista.com/statistik/daten/studie/1420315/umfrage/anzahl-der-iot-geraete-weltweit/#:~:text=Die%20Zahl%20der%20Internet%2Dof,noch%20rund%2013%2C1%20Milliarden

[4] Quelle: Statista GmbH; Zugriff 13.12.2023; https://de.statista.com/statistik/daten/studie/444719/umfrage/schaeden-durch-computerkriminalitaet-in-deutschen-unternehmen

[5] Quelle: Landeszentrale für politische Bildung Baden-Württemberg; Zugriff 13.12.2023; https://www.europaimunterricht.de/digitalisierung-und-cybersicherheit

[6] Quelle: Deutsches Statistisches Bundesamt; Zugriff 13.12.203; EU-Bevölkerung – Statistisches Bundesamt (destatis.de))

Support Icon