Strategie für eine sichere Informationsgesellschaft (Mitteilung 2006)

Mit der vorliegenden Mitteilung verfolgt die Kommission die Absicht, das politische Konzept Europas für die Netz- und Informationssicherheit mit neuem Leben zu erfüllen. Dabei sollen die gegenwärtigen Herausforderungen aufgezeigt und Maßnahmen vorgeschlagen werden, mit denen diesen Herausforderungen begegnet werden kann. Die von der Kommission vorgeschlagene Strategie stützt sich auf einen mehrgliedrigen Ansatz, in den sämtliche beteiligten Parteien einbezogen sind. Dialog, Partnerschaft und Delegation von Verantwortung sind die Grundlagen dieser Vorgehensweise.

RECHTSAKT

Mitteilung der Kommission vom 31. Mai 2006: Eine Strategie für eine sichere Informationsgesellschaft - „Dialog, Partnerschaft und Delegation der Verantwortung" [KOM(2006) 251 endg. - nicht im Amtsblatt veröffentlicht].

ZUSAMMENFASSUNG

Maßnahme der Gemeinschaft: Bestandsaufnahme

Zur Bewältigung der Herausforderungen an die Sicherheit der Informationsgesellschaft hat die Europäische Gemeinschaft einen dreigliedrigen Ansatz entwickelt:

• spezielle Maßnahmen für die Netz- und Informationssicherheit;
• den Rechtsrahmen für die elektronische Kommunikation sowie insbesondere die Richtlinie über den Schutz der Privatsphäre und personenbezogener Daten;
• die Bekämpfung der Internet-Kriminialität..

Die Maßnahmen der Gemeinschaft stützen sich in diesem Bereich zugleich auf die folgenden Instrumente:

• europäische Programme für Forschung und Entwicklung. Das 7. Rahmenprogramm soll einen Beitrag zur weiteren Stärkung der Forschung im Sicherheitsbereich leisten, indem ein europäisches Forschungsprogramm in diesem Sicherheitsbereich lanciert wird;
• das Programm Safer Internet (Mehr Sicherheit im Internet) soll sicherere Techniken für die Nutzung des Internet und den Schutz der Endanwender gegen unerwünschte Inhalte fördern;
• die Einbindung in internationale Foren, die sich in diesem Bereich engagieren, so z. B. in der OECD, im Europarat oder den Vereinten Nationen. Auf dem Weltgipfel über die Informationsgesellschaft im November 2005 in Tunis hat die Europäische Union (EU) die Diskussionen zur Verfügbarkeit, Zuverlässigkeit und Sicherheit der Netze und Informationen mit Nachdruck unterstützt.

Im Jahr 2004 wurde von der Europäischen Gemeinschaft die Europäische Agentur für Netz- und Informationssicherheit eingerichtet. Die ENISA hat die Aufgabe, einen Beitrag zu einem hohen Niveau der Netz- und Informationssicherheit in der Gemeinschaft zu leisten und die Entstehung einer Kultur der Netz- und Informationssicherheit zugunsten der Bürger, Verbraucher, Unternehmen und der öffentlichen Verwaltung zu fördern.

Da diese Maßnahmen und Initiativen eng miteinander verflochten sind und eine Vielzahl unterschiedlicher Interessengruppen einbinden, ist eine koordinierte Vorgehensweise notwendig. In dieser Mitteilung wird diese Strategie beschrieben, die eine kohärente, ganzheitliche Vorgehensweise im Bereich der Netz- und Informationssicherheit fördern soll.

DIE WICHTIGSTEN HERAUSFORDERUNGEN

Trotz der bereits eingeleiteten Maßnahmen ist das Thema „Sicherheit" nach wie vor eine enorme Herausforderung für die öffentliche Verwaltung, für Unternehmen und private Anwender. Die dabei auftretenden Risiken werden häufig unterschätzt, während andererseits die Bedeutung der Informations- und Kommunikationstechnologiebranche (IKT) für die europäische Gesellschaft und Volkswirtschaft unstrittig ist. Zudem sind auch andere kritische Infrastrukturen inzwischen in zunehmendem Maße von der Intaktheit ihrer jeweiligen Informationssysteme abhängig.

Angriffe auf die Informationssysteme

Angriffe auf Informationssysteme sind zunehmend durch Gewinnstreben motiviert. Dabei werden personenbezogene Daten illegal und ohne Wissen des Eigentümers genutzt, während zugleich die Anzahl (und die Entwicklungsgeschwindigkeit) der Varianten von Schadprogrammen rasant zunimmt (z. B. in Form von Spam als Vehikel für Viren und Spionagesoftware).

Herausforderungen im Zuge der zunehmenden Verbreitung mobiler Geräte

Die zunehmende Verbreitung mobiler Geräte (Mobiltelefone der dritten Generation, tragbare Videospielekonsolen usw.) und von Mobiltelefon-Netzdiensten geht mit dem Aufkommen neuer Bedrohungen einher. Diese Bedrohungen sind mitunter noch gefährlicher als Angriffe über den PC, da PCs bereits über ein erhebliches Sicherheitsniveau verfügen.

Herausforderungen im Zusammenhang mit dem Aufkommen „intelligenter Umgebungen"

Das Aufkommen „intelligenter Umgebungen" bedeutet eine entscheidende Entwicklung in der Informationsgesellschaft. Es ist davon auszugehen, dass diese intelligenten Endgeräte dank entsprechender Rechner- und Netztechnik in naher Zukunft Einzug in unseren Alltag halten werden. Diese Entwicklung birgt vielfältige Möglichkeiten in sich. Zugleich entstehen durch sie aber auch zusätzliche Risiken für Sicherheit und Privatsphäre.

Herausforderungen im Hinblick auf die Sensibilisierung der Nutzer

Um die Probleme, die sich aus einer Unterschätzung der Risiken ergeben, erfolgreich abwehren zu können, benötigen sämtliche Akteure zuverlässige Daten zu den sicherheitsrelevanten Vorfällen und den künftigen Entwicklungsrichtungen.

Gleichzeitig kommt es darauf an, dass die Sensibilisierungsprogramme, die Sicherheitsbedrohungen bewusst machen sollen, nicht das Vertrauen von Verbrauchern und Nutzern untergraben, indem sie nur auf die negativen Gesichtspunkte abstellen. Die Netz- und Informationssicherheit sollte vielmehr als Vorteil und Chance und nicht nur als Haftungs- und Kostenfaktor dargestellt werden.

DER VORGESCHLAGENE ANSATZ

Zur Bewältigung der Herausforderungen an die Netz- und Informationssicherheit hat die Europäische Gemeinschaft einen Ansatz entwickelt, der sich auf Dialog, Partnerschaft und Delegation von Verantwortung stützt.

Dialog

Die Kommission schlägt ein Maßnahmenpaket vor, mit dem ein offener, integrativer und mehrseitiger Dialog eingeleitet werden soll:

• eine vergleichende Bewertung der nationalen, mit der Netz- und Informationssicherheit in Zusammenhang stehenden Politiken. Dahinter steht das Ziel, die wirksamsten Verfahren zu ermitteln und diese in der EU weiter zu verbreiten und in größerem Umfang einzusetzen. Auf diese Weise sollen insbesondere bewährte Verfahren aufgezeigt werden, mit denen das Problembewusstsein kleiner und mittlerer Unternehmen (KMU) sowie der Bürger geschärft und ihre Fähigkeit, den Herausforderungen auf dem Gebiet der Netz- und Informationssicherheit zu begegnen, gesteigert werden soll.
• ein strukturierter Meinungsaustausch zwischen allen Beteiligten darüber, wie sich die bestehenden Regulierungsinstrumente am besten nutzen lassen. Dieser Meinungsaustausch soll im Rahmen von Konferenzen und Seminaren stattfinden.

Partnerschaft

Wirksame politische Entscheidungen können nur getroffen werden, wenn über die Art der Herausforderungen wirklich Klarheit besteht. Hierzu müssen zuverlässige und aktuelle Statistik- und Wirtschaftsdaten vorliegen. Die Kommission ersucht die ENISA daher:

• eine vertrauensvolle Partnerschaft mit den Mitgliedstaaten und beteiligten Interessengruppen aufzubauen, um einen geeigneten Rahmen für die Datenerhebung zu entwickeln;
• die Durchführbarkeit eines europäischen Informationsaustausch- und Warnsystems zu untersuchen, mit dem den Bedrohungen wirksam begegnet werden kann. Dieses System soll auch ein mehrsprachiges europäisches Portal umfassen, das maßgeschneiderte Daten zu den Bedrohungen, Risiken und Warnungen vermittelt.

Parallel hierzu fordert die Kommission die Mitgliedstaaten, die Wirtschaft und die Forschungsgemeinschaft auf, durch den Aufbau einer entsprechenden Partnerschaft dafür zu sorgen, dass die Daten zur Sicherheit der Informations- und Kommunikationstechnologien zur Verfügung stehen.

Übertragung von Verantwortung

Nur wenn den einzelnen Interessengruppen mehr Verantwortung übertragen wird, können sie in größerem Maße für die Notwendigkeit von Schutzmaßnahmen sensibilisiert und damit die Netz- und Informationssicherheit gefördert werden.

Deshalb werden die Mitgliedstaaten insbesondere aufgefordert,

• sich aktiv an der vorgeschlagenen vergleichenden Bewertung der politischen Maßnahmen der einzelnen Länder im Bereich der Netz- und Informationssicherheit zu beteiligen;
• in enger Zusammenarbeit mit der ENISA Programme zu fördern, die zur Sensibilisierung für die Vorteile beitragen, die sich aus der Einführung wirksamer Sicherheitstechniken, bewährter Verfahren und verantwortungsvoller Verhaltensweisen in Sicherheitsfragen ergeben;die Einführung von Online-Behördendiensten zur Förderung bewährter Verfahren in Sicherheitsfragen zu nutzen;
• die Entwicklung von Programmen für die Netz-und Informationssicherheit als Teil der Lehrpläne von Hochschulen anzuregen.

Die Akteure aus der Wirtschaft werden ebenfalls aufgefordert, Initiativen zu ergreifen, mit denen:

• die Verantwortlichkeiten der Softwareproduzenten und Internet-Diensteanbieter hinsichtlich der Schaffung geeigneter und prüffähiger Sicherheitsniveaus festgelegt werden können;
• Vielfalt, Offenheit, Interoperabilität, Benutzerfreundlichkeit und Wettbewerb als Schlüsselfaktoren für die Sicherheit gefördert werden und der Einsatz die Sicherheit erhöhender Produkte und Dienste angeregt wird, um Identitätsdiebstahl und andere Angriffe auf die Privatsphäre verhindern und bekämpfen zu können;
• bewährte Sicherheitsverfahren für Netzbetreiber, Diensteanbieter und KMU verbreitet werden,
• Ausbildungsprogramme in den Unternehmen gefördert werden können, damit die Mitarbeiter die notwendigen Fachkenntnisse und Fertigkeiten für den wirksamen Einsatz der Sicherheitsmaßnahmen erwerben können;
• erschwingliche Systeme für die Sicherheitszertifizierung von Produkten, Verfahren und Diensten erarbeitet werden können, die den besonderen Anforderungen der EU entsprechen,
• die Versicherungswirtschaft in die Entwicklung von Instrumenten und Methoden zum Risikomanagement eingebunden werden kann.

ERGÄNZENDE INITIATIVEN

Dieser Ansatz wird von der Kommission durch weitere Initiativen ergänzt:

• die Annahme einer Mitteilung zur Entwicklung von Spam und anderen Bedrohungen der Datensicherheit, z.B. Spyware;
• Vorschläge zur Verbesserung der Zusammenarbeit zwischen den Strafverfolgungsbehörden und zur Bekämpfung neuer Straftatbestände; dieses Thema soll Gegenstand einer eigenen Mitteilung zur Internet-Kriminalität werden; ferner die Erarbeitung eines Aktionsplans, mit dem die Ziele des Grünbuchs der Kommission zu einem europäischen Programm zum Schutz kritischer Infrastrukturen erreicht werden können;
• die Überarbeitung des Rechtsrahmens für die elektronische Kommunikation im Jahr 2006.

Hintergrund

Diese Mitteilung ist Teil der Initiative „ i2010 - Eine europäische Informationsgesellschaft für Wachstum und Beschäftigung", mit der die Entwicklung der Informationstechnologie in Europa gefördert werden soll. Die Initiative i2010 legt dabei besonderes Gewicht auf die Netz- und Informationssicherheit, um einen gemeinsamen europäischen Informationsraum schaffen zu können.

VERBUNDENE RECHTSAKTE

Mitteilung der Kommission vom 1. Juni 2005: „i2010 - Eine europäische Informationsgesellschaft für Wachstum und Beschäftigung" [KOM(2005) 229 endg. - Nicht im Amtsblatt veröffentlicht].

Rahmenbeschluss 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme.

Verordnung (EG) Nr. 460/2004 des Europäischen Parlaments und des Rates vom 10. März 2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit [Amtsblatt L 77 vom 13.3.2004].

Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) [Amtsblatt L 201 vom 31.7.2002].

Mitteilung der Kommission vom 6. Juni 2001 an den Rat, das Europäische Parlament, den Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen - Sicherheit der Netze und Informationen: Vorschlag für einen europäischen Politikansatz [KOM(2001) 298 endg. - Nicht im Amtsblatt veröffentlicht].

Mitteilung der Kommission vom 26. Januar 2001 an den Rat: Schaffung einer sichereren Informationsgesellschaft durch Verbesserung der Sicherheit von Informationsinfrastrukturen und Bekämpfung der Computerkriminalität [KOM(2000) 890 endg. - Nicht im Amtsblatt veröffentlicht].

See also

Ergänzende Informationen finden Sie im Portal „ Informationsgesellschaft in Europa " der Europäischen Kommission.

Letzte Änderung: 25.07.2006