EU-Cybersicherheitsstrategie für die digitale Dekade: Fragen und Antworten

Jetzt ist die Zeit für eine neue Vision und einen neuen Plan der EU für Cybersicherheit aus drei Gründen. Erstens werden immer mehr kritische und essenzielle Dienstleistungen sowie Milliarden zusätzlicher Alltagsgegenstände im Haushalt und in der Fertigung mit dem Internet verbunden. Angriffe, die darauf abzielen, Schwachstellen in diesen Produkten und Dienstleistungen auszunutzen, nehmen ebenfalls zu und werden immer komplexer. Der grüne digitale Wandel hat für die EU oberste Priorität, und dies kann nur gelingen, wenn die Sicherheit in alle geplanten Investitionen integriert wird, da sonst kein Vertrauen in die Technologie besteht. Zweitens ist der Cyberspace Schauplatz eines geopolitischen Wettbewerbs und die Idee eines offenen globalen Internets und eines internationalen Normsetzungsrahmens wird ständig in Frage gestellt. Schließlich hat die Pandemie unsere Abhängigkeit von diesen digitalen Instrumenten und Diensten beschleunigt. Gesellschaft und Wirtschaft werden nicht zu Pre-Lockdown-Normen zurückkehren. Im Bereich der Cybersicherheit sind umfangreiche Investitionen erforderlich, um sicherzustellen, dass Europa in dieser Hinsicht strategisch autonom ist und bei der Entwicklung sicherer Technologien in der gesamten digitalen Lieferkette führend ist.

In der Strategie wird beschrieben, wie die EU alle ihre Instrumente und Ressourcen nutzen und stärken kann, um technologisch souverän und strategisch autonom zu sein. Außerdem wird beschrieben, wie die EU ihre Zusammenarbeit mit Partnern auf der ganzen Welt intensivieren kann, die unsere Werte Demokratie, Rechtsstaatlichkeit und Menschenrechte teilen. Diese strategische Autonomie muss auf der Widerstandsfähigkeit aller vernetzten Dienste und Produkte beruhen. Alle vier Cybergemeinschaften – die mit dem Binnenmarkt, der Strafverfolgung, der Diplomatie und der Verteidigung befasst sind – müssen enger auf ein gemeinsames Bewusstsein für Bedrohungen hinarbeiten. Darüber hinaus müssen sie bereit sein, gemeinsam zu reagieren, wenn ein Angriff stattfindet, damit die EU stärker sein kann als die Summe ihrer Teile.

Es wurden eine Reihe neuer strategischer Initiativen angekündigt. Dazu gehören ein EU-weiter Cyber-Schild, der sich aus Sicherheitseinsatzzentren zusammensetzt, die KI und maschinelles Lernen nutzen, um frühe Signale drohender Cyberangriffe zu erkennen und Maßnahmen zu ergreifen, bevor Schäden angerichtet werden, eine gemeinsame Cyber-Einheit, die alle Cybersicherheitsgemeinschaften zusammenbringt, um das Bewusstsein für Bedrohungen zu schärfen und gemeinsam auf Vorfälle und Bedrohungen zu reagieren, und europäische Lösungen für die weltweite Stärkung der Internetsicherheit, einschließlich einer Verordnung über öffentliche EU-Domänennamenssysteme, um ein Internet der sicheren Dinge zu gewährleisten. Mit der Strategie werden mehr und stärkere Cyberdialoge mit Drittländern und regionalen und internationalen Organisationen, einschließlich der NATO, ein Aktionsprogramm der Vereinten Nationen zur Bekämpfung der internationalen Sicherheit im Cyberraum und ein stärkeres Instrumentarium der EU für die Cyberdiplomatie eingeführt, um Cyberangriffe zu verhindern, abzuschrecken und darauf zu reagieren. Darüber hinaus wird es eine EU-Agenda für den Aufbau externer Cyberkapazitäten und einen interinstitutionellen EU-Ausschuss für den Aufbau von Cyberkapazitäten geben, um die Wirksamkeit und Effizienz des Aufbaus externer Cyberkapazitäten in der EU zu erhöhen.

Die EU braucht ein agiles Mittel, um immer komplexere und häufigere Cyberangriffe zu erkennen und abzuwehren. Derzeit unterstützen Informations- und Analysezentren (ISACs) Interessenträger in der Industrie und Behörden beim Austausch von Bedrohungsinformationen. Aber wir müssen Netzwerke und Computersysteme ständig überwachen, um Einbrüche und Anomalien in Echtzeit zu erkennen. Viele private Unternehmen, öffentliche Organisationen und nationale Behörden tun dies über Sicherheitszentren. Dies ist eine sehr anspruchsvolle und schnelllebige Arbeit, weshalb KI und insbesondere maschinelle Lerntechniken Praktikern eine unschätzbare Unterstützung bieten können. Die Kommission schlägt vor, ein Netz von Sicherheitseinsatzzentren in der gesamten EU aufzubauen und die Verbesserung bestehender Zentren und die Einrichtung neuer Zentren zu unterstützen. Sie wird die Aus- und Weiterbildung des Personals, das diese Zentren betreibt, unterstützen. Dieses Netz wird Behörden und allen interessierten Interessenträgern, einschließlich der Gemeinsamen Cyber-Einheit, rechtzeitig Warnungen vor Cybersicherheitsvorfällen wie ein Geflecht von Wachtürmen zur Verfügung stellen.

Investitionen in die gesamte Lieferkette für digitale Technologien, die zum digitalen Wandel oder zur Bewältigung der sich daraus ergebenden Herausforderungen beitragen, sollten sich auf mindestens 20 % – d. h. 134,5 Mrd. EUR – der 672,5 Mrd. EUR umfassenden Aufbau- und Resilienzfazilität in Form von Zuschüssen und Darlehen belaufen. Im Rahmen des Programms „Digitales Europa“ sind EU-Mittel im mehrjährigen Finanzrahmen 2021–2027 für die Cybersicherheit vorgesehen. Unterdessen sind im Rahmen von Horizont Europa Mittel für die Cybersicherheitsforschung vorgesehen, wobei ein besonderer Schwerpunkt auf der Unterstützung von KMU liegt. Insgesamt könnte sich dies auf 2 Mrd. EUR belaufen, zuzüglich Investitionen der Mitgliedstaaten und der Industrie. Der Europäische Verteidigungsfonds (EEF) wird europäische Cyberabwehrlösungen als Teil der technologischen und industriellen Basis der europäischen Verteidigung unterstützen. Cybersicherheit ist Bestandteil externer Finanzierungsinstrumente zur Unterstützung unserer Partner, insbesondere des Instruments für Nachbarschaft, Entwicklungszusammenarbeit und internationale Zusammenarbeit.

Die Gemeinsame Cyber-Einheit ist eine Plattform, die dazu beitragen wird, die EU besser vor den schwerwiegendsten Cybersicherheitsangriffen, insbesondere grenzüberschreitenden Angriffen, zu schützen. Sie beruht auf dem Konzept, dass der Informationsaustausch zwischen einschlägigen Interessenträgern aus der EU und den Mitgliedstaaten der Reaktion der EU auf Cybersicherheitsrisiken und -bedrohungen einen erheblichen Schub verleihen kann, wie es die Kommissionspräsidentin in ihren politischen Leitlinien von 2019 gefordert hat. Dies gilt insbesondere für alle Gemeinschaften wie Verteidigung, Zivil-, Strafverfolgung und auswärtiges Handeln. So könnte die Gemeinsame Cyber-Einheit den Teilnehmern helfen, ein gemeinsames Verständnis der Bedrohungslandschaft zu erlangen und ihre Reaktion zu koordinieren. Wir brauchen die Gemeinsame Cyber-Einheit aus vielen Gründen. Erstens verfügt die EU derzeit nicht über Spielräume, um eine strukturierte Zusammenarbeit zwischen den Mitgliedstaaten und allen einschlägigen EU-Organen, -Einrichtungen und -Agenturen im Bereich der Cybersicherheit zu erleichtern. Zweitens müssen die bestehenden Netze und Gemeinschaften ihr volles Potenzial ausschöpfen und den Informationsaustausch, auch mit dem Privatsektor, intensivieren. Das ist etwas, was heute nicht genug passiert. Drittens würde die Gemeinsame Cyber-Einheit die Lücken schließen und den bestehenden Rahmen für die Zusammenarbeit zwischen den Organen, Einrichtungen und sonstigen Stellen der EU und den Behörden der Mitgliedstaaten im Falle schwerwiegender grenzüberschreitender Cybervorfälle oder -bedrohungen stärken. Schließlich würde das Referat den zivilen, diplomatischen, Strafverfolgungs- und Verteidigungs-Cybersicherheitsgemeinschaften einen Raum für die Zusammenarbeit bieten. Darüber hinaus würde sie Interessenträgern im Bereich der Cybersicherheit, einschließlich Anbietern von Cybersicherheitsprodukten und Partnern aus Drittländern, eine Anlaufstelle für den Austausch von Informationen über Bedrohungen bieten. Die Gemeinsame Cyber-Einheit wäre kein zusätzliches, eigenständiges Gremium oder würde die Rolle und die Funktionen der bestehenden Behörden beeinträchtigen, aber sie würde dazu beitragen, sie zusammenzubringen und sich gegenseitig Fachwissen anzueignen.

Die Einrichtung des Referats ist in vier Schritten vorgesehen: 1. Definition und Kartierung der verfügbaren Fähigkeiten; 2. Schaffung eines Rahmens für die strukturierte Zusammenarbeit und Unterstützung; 3. Umsetzung des Rahmens; 4. Erweiterung der Kapazitäten, mit Input von Industrie und Partnern.

Der Aufbau einer gemeinsamen operativen Plattform erfordert Vertrauen und die angemessene Einbeziehung aller relevanten Teilnehmer. Dies kann nicht über Nacht geschehen und muss sorgfältig definiert und vorbereitet werden, bevor alle Unit-Fähigkeiten eingeführt werden. Darüber hinaus müssen zunächst ordnungsgemäß funktionierende Mechanismen unter den institutionellen Interessenträgern der EU, in erster Linie den Mitgliedstaaten, geschaffen werden, bevor sie auf Interessenträger des Privatsektors ausgeweitet werden können. Im Einklang mit dem, was in den letzten Monaten getan wurde, wird die Kommission bis Februar weiterhin die einschlägigen Interessenträger konsultieren, um den am besten geeigneten Prozess, die Etappenziele und die Fristen für die Verwirklichung des Referats zu ermitteln.

Jedes vernetzte Ding enthält Schwachstellen, die ausgenutzt werden können und andere Dienste, Netzwerke oder sogar ganze Volkswirtschaften betreffen. Die Binnenmarktvorschriften umfassen Schutzmaßnahmen gegen unsichere Produkte und Dienstleistungen. Die Zertifizierung nach dem Cybersicherheitsgesetz zielt darauf ab, Anreize für sichere Produkte und Dienstleistungen zu schaffen, ohne die Leistung zu beeinträchtigen. Das erste fortlaufende Arbeitsprogramm der Union, das im ersten Quartal 2021 angenommen werden soll, wird es der Industrie, den nationalen Behörden und den Normungsgremien ermöglichen, sich auf künftige europäische Systeme für die Cybersicherheitszertifizierung vorzubereiten. Wir brauchen jedoch einen noch umfassenderen Ansatz. Die Kommission plant bereits, die Vorschriften der Funkanlagenrichtlinie zu aktualisieren. Sie wird auch neue horizontale Vorschriften für alle vernetzten Produkte und zugehörigen Dienste prüfen, einschließlich einer neuen Sorgfaltspflicht für Hersteller vernetzter Geräte zur Behebung von Softwareschwachstellen, die die Fortsetzung von Software- und Sicherheitsupdates sowie die Sicherstellung der Löschung personenbezogener und anderer sensibler Daten am Ende der Lebensdauer erfordert. Dies würde sowohl die Verordnung über die allgemeine Produktsicherheit (die 2021 aktualisiert werden soll, sich aber nicht direkt mit der Cybersicherheit befasst) als auch die im Aktionsplan für die Kreislaufwirtschaft vorgestellte Initiative „Recht auf Reparatur veralteter Software“ ergänzen.

Wenn Sie unter einem bestimmten Domänennamen wie .eu oder .com im Internet auf eine Ressource – wie eine Webseite – zugreifen möchten, muss Ihre Anfrage vom Namen der Website in eine Nummer übersetzt oder „gelöst“ werden. Genauer gesagt, die numerische IP-Adresse (Internet Protocol). Ein Resolverdienst leitet die Anfrage dann an die DNS-Server (Domain Name System) weiter, damit Sie auf die Webseite zugreifen können. Die grundlegende Struktur des Internets sowie seine Kernprotokolle und die unterstützende Infrastruktur sind jedoch anfällig für Angriffe und Störungen. Dazu gehört auch das Domain Name System (DNS). Die meisten EU-Unternehmen verlassen sich auf einige wenige öffentliche DNS-Resolver, die von Nicht-EU-Einrichtungen betrieben werden. Wenn einer dieser Resolver-Dienste unterbrochen wird, wird es für die EU-Behörden viel schwieriger, mögliche böswillige Cyberangriffe und größere geopolitische und technische Vorfälle zu bewältigen. Aus diesem Grund fordert die Kommission EU-Unternehmen, Internetdienstanbieter und Browseranbieter auf, ihre Abhängigkeit von DNS-Auflösungsdiensten zu diversifizieren. Um sie weiter zu unterstützen, wird die Kommission die Entwicklung eines öffentlichen europäischen DNS-Resolver-Dienstes unterstützen. „DNS4EU“ wird einen alternativen europäischen Dienst für den Zugang zum globalen Internet bieten. Sie wird transparent sein, den neuesten Sicherheits-, Datenschutz- und Datenschutzstandards sowie Standardstandards und -regeln entsprechen und Teil der Europäischen Industrieallianz für Daten und Cloud sein.