Anzeige

EU Cyber Security

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt die aktuelle Cybersicherheitsituation als „angespannt bis kritisch‟ ein. „Informationssicherheit muss einen deutlich höheren Stellenwert einnehmen und zur Grundlage aller Digitalisierungsprojekte werden‟, heißt es im Bericht.

Wie das gelingen kann, warum Frankreich ein Vorbild für Europa sein kann und warum die letzte Justierung an der NIS Richtlinie, NIS 2, ein Rückschritt für die Cybersicherheit der EU ist, erläutert Guillaume Vassault-Houlière, CEO und Mitgründer von YesWeHack, in folgendem Kommentar:

Kann Europa groß angelegte Cyberangriffe wirklich aufhalten?

Cybersicherheit ist seit 2016 eine der Prioritäten der Europäischen Kommission. In diesem Jahr trat die Richtlinie über Netz- und Informationssysteme (NIS), das erste europäische Cybersicherheitsgesetz, in Kraft und sorgt seitdem dafür, dass die regulatorischen Anforderungen an die Cybersicherheit in den Mitgliedstaaten abgestimmt werden.

Immerhin setzt Europa mit diesen gemeinsamen Cybersicherheitsregeln der Wettbewerbsverzerrung zwischen den europäischen Ländern für Sicherheitslösungen, die nicht das gleiche Qualitätsniveau haben, ein Ende.

Doch auch wenn die NIS-Richtlinie ein Schritt in die richtige Richtung ist, so ist sie doch kein sehr restriktiver Rahmen und reicht sicher nicht aus, um der globalen Cyber-Bedrohung zu begegnen.

Defragmentierung des europäischen Cyber-Marktes

Die aktuelle Cyberstrategie der EU ist ein Echo auf die wegweisenden Maßnahmen, die in Frankreich bereits seit zehn Jahren bestehen und sich dort bewährt haben. Mit der Gründung der nationalen Agentur für die Sicherheit von Informationssystemen (Agence nationale de la sécurité des systèmes d’information; ANSSI) im Jahr 2009 und der Aufnahme spezifischer Cybersicherheitsanforderungen in sein Militärisches Programmgesetz (LPM) ab 2013 hat Frankreich seinen Unternehmen und Institutionen einen kompetenteren Umgang mit Cyberrisiken ermöglicht. Beide Initiativen haben eine Reihe von Anforderungen hervorgebracht, die sich hauptsächlich auf die Zertifizierung von Cybersicherheitsprodukten und -dienstleistungen sowie die kontinuierliche Überwachung von Informationssystemen konzentrieren. Aus diesem Grund ist Frankreich heute eines der Länder, die am besten auf Cyber-Bedrohungen vorbereitet sind.

 

 

Eine kontinuierliche Kontrolle der Informationssysteme durch Sicherheitsaudits, Pentests oder Bug Bounty sind nur einige Möglichkeiten, Anwendungen und Online-Services zu testen, bevor es zu einem Angriff kommt. Die Einführung einer Politik der koordinierten Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure – CVD) ist ebenfalls ein Schlüsselelement zur Begrenzung des Cyberrisikos, das sich im französischen Ökosystem bewährt hat. Ein solches Programm besteht darin, Unternehmen zu ermutigen, die Zusammenarbeit mit ethischen Hackern zu fördern, indem sie ihnen einen vertrauenswürdigen Kanal zur Verfügung stellen, über den die Hacker Schwachstellen melden können.

Darüber hinaus sind weitere Maßnahmen zum Schutz vor Cyberangriffen denkbar. Öffentliche Einrichtungen und Unternehmen könnten zum Beispiel verpflichtet werden, eine VDP (Vulnerability Disclosure Policy) für die auf ihrer Plattform verkauften Produkte oder Dienstleistungen anzubieten. Oder man könnte zumindest den Nachweis verlangen, dass die Cybersicherheit bei der Konzeption eines Produktes oder Dienstes vom Hersteller oder Anbieter berücksichtigt wurde. Die Stärkung der Cybersicherheit europäischer Unternehmen und Institutionen könnte auch durch die Konsolidierung der von Softwareherstellern geforderten Auflagen erreicht werden. Es gibt also unzählige Beispiele und Instrumente zum Schutz von Organisationen vor Cyberangriffen.

NIS-2-Richtlinie ist ein Rückschritt für die Cybersicherheit

Die jüngsten Vorschläge für die NIS-2-Richtlinie, die im Groothuis-Bericht skizziert werden, senken jedoch die Anforderungen an den Cyberschutz. Von besonderem Interesse ist dabei, dass die Verpflichtung für Anbieter, zertifizierte Produkte und Dienstleistungen zu verwenden, gelockert wurde. Außerdem wird die Häufigkeit der Audits von Informationssystemen auf maximal einmal im Jahr festgelegt. Generell ist der Anreiz für die Mitgliedstaaten, eine dem Stand der Technik entsprechende Cybersicherheitsstrategie zu formulieren, stark herabgesetzt. Gleichzeitig lehnt sich der US-amerikanische Cyber-Erlass vom 12. Mai 2021 sehr deutlich an das französische Regelwerk an. Es besteht also eine gewisse Dissonanz zwischen der US-Strategie, die sich an dem anspruchsvollen französischen Cyber-Modell orientiert, und einer Nivellierung der Maßnahmen, die derzeit für die europäische NIS-2-Richtlinie diskutiert werden. Bis Mitte 2022 müssen sie von den Mitgliedsstaaten umgesetzt werden.

Man kann sich nur fragen, warum die Europäische Union ihre Cyber-Ambitionen zurückschraubt, wenn sie mit Frankreich ein Beispiel für eine anspruchsvolle und erfolgreiche Wette vor Augen hat, die andere große Nationen bereits inspiriert. Neben dem französischen Modell kann Europa viele andere Instrumente einsetzen, um sich zu strukturieren. Wir hoffen daher, dass die gleiche positive Dynamik, die Frankreich an den Tag gelegt hat, auch auf europäischer Ebene eintreten wird. Es braucht eine Cybersicherheitspolitik, die keine Zugeständnisse bei den Anforderungen macht, damit wir wirklich über die nötigen Mittel verfügen, um ein starkes Ökosystem für den Cyberschutz zu schaffen.

Guillaume Vassault-Houlière, CEO und Mitgründer
Guillaume Vassault-Houlière
CEO und Mitgründer, YesWeHack
(Bildquelle: YesWeHack)

Artikel zu diesem Thema

Cyber Kriminalität
Okt 22, 2021

BSI-Lagebericht 2021: Bedrohungslage angespannt bis kritisch

Cyber-Angriffe führen zu schwerwiegenden IT-Ausfällen in Kommunen, Krankenhäusern und…
EU Buch
Mai 07, 2021

Es wird Zeit für eine europäische Cyber-Sicherheitsstrategie

Die rasante Digitalisierung, insbesondere bedingt durch die Corona-Pandemie, stellt nicht…
Uwe Gries von Stormshield
Mai 15, 2020

Wie man Cybersicherheitsstrategien erfolgreich umsetzt

Uwe Gries, Country Manager DACH bei Stormshield, über das Management von Gefahren, die…

Weitere Artikel

Identity Security

„Leaver“ eine der größten Gefahren für die IT-Sicherheit von deutschen Unternehmen

SailPoint, Anbieter aus dem Bereich Identity Security, stellt heute die Ergebnisse seiner Studie „Herausforderungen und Chancen beim Einsatz von Identity Security - der Leaver als Gefahrenquelle“ vor. Die Erhebung entstand in Kooperation mit demAnalystenhaus…
Internetsicherheit

Status Quo Internetsicherheit 2021

Wir leben in einer Zeit, da die Schlagzeilen suggerieren, dass alles immer nur schlimmer und bedrohlicher geworden ist. Das gilt auch für die Sicherheit der Internetnutzer:innen. Ich bin überzeugt, dass hier schon vieles erreicht wurde. Hier ein Rückblick auf…
Backup

Nachholbedarf bei Backups als Vorsorge für Ransomware-Angriffe

Rubrik hat die Ergebnisse seiner Studie „Immutable back-ups: Separating hype from reality“ bekannt gegeben. Hierzu befragte das Unternehmen 150 IT-Führungskräfte in der EU und Großbritannien zu unveränderlichen Backups vor dem Hintergrund zunehmender…
Hackerangriff

Schutz des IT-Netzwerkes

„An einem kalten Februartag brechen in Europa alle Stromnetze zusammen. Der totale Blackout. Ein Hackerangriff? … In seinem Roman „Black Out“ skizziert Marc Elsberg die Folgen einer Manipulation von Endgeräten im Stromnetz, ganz Europa ist ohne…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.