16.12.2014   

DE

Amtsblatt der Europäischen Union

C 451/31

Berichterstatter:

Thomas McDONOGH

1.1

Der Europäische Wirtschafts- und Sozialausschuss würde die Schaffung einer Cybersicherheitsbehörde auf EU-Ebene nach dem Vorbild der Europäischen Agentur für Flugsicherheit (EASA) befürworten, die die notwendige Führungsstärke auf EU-Ebene zur Umsetzung einer vielschichtigen wirksamen europaweiten Cybersicherheitsstrategie bieten kann.

1.2

Sachkundige und mündige Bürger sind eine wesentliche Voraussetzung für eine gute Cybersicherheit in Europa. Die Aufklärung der Bürger über persönliche Cybersicherheit und Datenschutz sollte grundlegender Bestandteil von Schullehrplänen und Schulungen am Arbeitsplatz sein. Die EU sollte zudem unionsweit Programme und Initiativen zur Information der Öffentlichkeit über diese Thematik fördern.

1.3

Unternehmen sollte in Anlehnung an die Vorschriften über Gesundheit und Sicherheit am Arbeitsplatz gesetzlich zur Auflage gemacht werden, eine proaktive Strategie für den Schutz vor Cyberangriffen aufzustellen, in sichere und resiliente Informations- und Kommunikationstechnologie (IKT) zu investieren und die Mitarbeiter in Sicherheitsfragen zu schulen.

1.4

In jedem Mitgliedstaat sollte eine Organisation dafür zuständig sein, den Mittelstand über bewährte Cybersicherheitsverfahren zu informieren und bei der Durchführung einschlägiger Maßnahmen zu unterstützen. Große Unternehmen können das erforderliche Wissen leicht beschaffen, KMU hingegen müssen hierbei unterstützt werden.

1.5

Der Auftrag der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) sollte erweitert und sie sollte mit Mitteln ausgestattet werden, um in Eigenregie spezifische, an die Bürger und KMU gerichtete Bildungs- und Aufklärungsprogramme über Cybersicherheit durchzuführen.

1.6

Auf der Vorstandsebene aller Unternehmen und Organisationen muss das Verantwortungsbewusstsein für Cybersicherheit geschärft werden. Die Geschäftsführer und Vorstände aller Organisationen sollten deutlich über die Haftungsrisiken informiert werden, die sich aus unzulänglichen Cybersicherheitskonzepten und -maßnahmen ergeben.

1.7

In Anbetracht ihrer zentralen Rolle bei der Bereitstellung von Online-Diensten sollten alle Internetdiensteanbieter in der EU eine besondere Verantwortung für den Schutz ihrer Kunden vor Cyberangriffen haben. Diese Verantwortung sollte in den EU-Rechtsvorschriften festgelegt und verankert werden.

1.8

Um eine rasche Entfaltung des mit der rasanten Entwicklung von Cloud Computing verbundenen wirtschaftlichen Wachstumspotenzials zu ermöglichen (1), sollten auf EU-Ebene auch den Anbietern von Cloud-Diensten spezifische Sicherheitsanforderungen und -pflichten auferlegt werden.

1.9

Der Ausschuss ist der Ansicht, dass freiwillige Maßnahmen nicht zum Erfolg führen und strenge rechtliche Verpflichtungen der Mitgliedstaaten erforderlich sind, um Governance und Durchsetzung einer harmonisierten europäischen Cybersicherheit zu ermöglichen. Außerdem müssen nicht nur die Anbieter kritischer Infrastrukturen, sondern alle Unternehmen und Organisationen rechtlich verpflichtet werden, wesentliche Cyber-Zwischenfälle zu melden. Damit könnten die europäischen Reaktionsmöglichkeiten auf Bedrohungen verbessert sowie das Wissen und die Erkenntnisse über Cyberangriffe im Hinblick auf bessere Sicherheitsvorkehrungen vergrößert werden.

1.10

Der Ausschuss empfiehlt der EU nachdrücklich, im Umgang mit Cyber-Bedrohungen einen konzeptionellen Ansatz zu wählen und sicherzustellen, dass alle in Europa für Internetzugang und Online-Dienstleistungen genutzten Technologien und Dienste so ausgelegt sind, dass sie eine größtmögliche Cybersicherheit gewährleisten. An erster Stelle der konzeptionellen Überlegungen sollte die Schnittstelle Mensch/Maschine stehen.

1.11

Der Ausschuss plädiert dafür, dass die europäischen Normungsorganisationen umfangreiche Standards für Cybersicherheit ausarbeiten, die für alle informationstechnischen Netzwerktechnologien und -dienste gelten. In diesen Standards sollte ein verpflichtender Verhaltenskodex inbegriffen sein, um zu gewährleisten, dass alle den europäischen Bürgern angebotenen IKT-Geräte und Internetdienste den höchsten Ansprüchen genügen.

1.12

Die EU muss unverzüglich dafür sorgen, dass in allen Mitgliedstaaten ein funktionsfähiges IT-Notfallteam (Computer Emergency Response Team, CERT) eingerichtet wird, um die Cybersicherheit auf nationaler und auf europäischer Ebene zu gewährleisten.

1.13

Der Ausschuss fordert, dem Europäischen Zentrum zur Bekämpfung der Cyberkriminalität (EC3) bei Europol die zusätzlichen Finanzmittel zu gewähren, die es benötigt, um gegen Cyberkriminalität vorzugehen und die polizeiliche Zusammenarbeit innerhalb der Union und mit Drittländern zu verbessern, damit Europa besser in der Lage ist, Cyberverbrecher zu verhaften und zu verfolgen.

1.14

Zusammenfassend muss eine EU-Cybersicherheitsstrategie nach Meinung des Ausschusses vor allem folgende Voraussetzungen erfüllen: Führungsstärke der EU; Verbesserung der Sicherheit bei gleichzeitiger Wahrung des Persönlichkeitsrechts und anderer Grundrechte; Sensibilisierung der Bürger und Förderung proaktiven Schutzverhaltens; umfassende Governance der Mitgliedstaaten; sachkundige und verantwortungsbewusste Maßnahmen der Unternehmen; enge Partnerschaften zwischen Regierungen, Privatwirtschaft und Bürgern; angemessene Investitionen; gute technische Standards und ausreichende Investitionen in F+E+I; internationale Zusammenarbeit. In diesem Sinne bekräftigt der Ausschuss seine Empfehlungen in Sachen Cybersicherheit, die er bereits in zahlreichen Stellungnahmen (2) vorgetragen hat, und fordert die Kommission auf, entsprechend tätig zu werden.

2.1

Die Internetwirtschaft trägt mit über einem Fünftel zum EU-BIP-Wachstum bei. Jährlich kaufen 200 Millionen Europäer im Internet ein. Zentral wichtige Energie-, Gesundheits-, Behörden- und Finanzdienste sind digital vernetzt und hängen vom Internet ab. Jedoch sind die für unsere Wirtschaft und Gesellschaft grundlegenden kritischen digitalen Infrastrukturen zunehmend Bedrohungen durch Cyberangriffe ausgesetzt, die unseren Wohlstand und unsere Lebensqualität in Gefahr bringen.

2.2

Nach Meinung des Ausschusses halten die Verfahren und Maßnahmen zur Gewährleistung einer angemessenen kurz- und langfristigen Cybersicherheit in Europa nicht mit der zunehmenden Abhängigkeit der EU vom Internet und von digitalen Technologien Schritt. In dieser Stellungnahme will der Ausschuss die Lücken in der Cybersicherheitspolitik der EU deutlich machen und Empfehlungen unterbreiten, wie Cyberbedrohungen eingedämmt werden können.

2.3

Cyberangriffen liegen vielfältige Motive zugrunde, sie können persönlicher Art sein und bspw. aus Rache an einer Person oder einem Unternehmen verübt werden, sie können aber auch zum Zweck der Cyberspionage von einem Land oder in Cyberkonflikten zwischen Staaten unternommen werden. In dieser Stellungnahme will sich der Ausschuss ausschließlich mit kriminell motivierten Cyberangriffen auseinandersetzen und Empfehlungen zu den Aspekten aussprechen, die ihm ein besonderes Anliegen sind. Die komplexe politische Debatte über Cyberangriffe von Mitgliedstaaten gegen Bürger und andere Staaten könnte Gegenstand einer künftigen Stellungnahme sein.

2.4

Der Ausschuss geht hier nur auf finanziell motivierte Cyberangriffe ein, die den überwiegenden Teil der Attacken ausmachen. Durch Cybersicherheitskonzepte und -verfahren zur wirksamen Bekämpfung von verbrecherisch motivierten Cyberangriffen wird auch die Bedrohung durch politisch oder persönlich motivierte Cyberangriffe reduziert.

2.5

Die EU ist mit der Umsetzung der in der Digitalen Agenda aufgeführten Maßnahmen für Vertrauen und Sicherheit gut vorangekommen und hat eine umfassende Cybersicherheitsstrategie aufgestellt, die auf die meisten der o.g. Ziele abhebt; indes muss mehr getan werden.

3.1

Ein Cyberangriff ist jedwede offensive Handlung, die sich gegen IT-Systeme, Infrastrukturen und Computernetze und/oder persönliche Digitalgeräte richtet und zum Ziel hat, ein spezifisches Objekt vorsätzlich zu stehlen, zu verändern oder zu zerstören. Es kann dabei um Geld, Daten oder Informationstechnologie gehen.

3.2

Cyberkriminelle starten Cyberangriffe, um Geld oder Daten zu stehlen, um Betrug, Spionagedelikte oder Erpressungen zu begehen. Cybercrime-Angriffe können die grundlegenden Netze und Dienste schädigen, auf die wir für Gesundheit, Sicherheit und wirtschaftliches Wohlergehen angewiesen sind, darunter Behörden-, Verkehrs- und Energienetze.

3.3

Die Bedrohung durch Cyberangriffe wächst mit unserer zunehmenden Abhängigkeit von Internet und digitalen Technologien. Symantec zufolge stieg die Gesamtzahl der Datenverluste im Jahr 2013 weltweit um 62 % an, was 552 Millionen abgegriffenen Identitäten entspricht. Erbeutet wurden dabei Personennamen, Geburtsdaten, Ausweisnummern von Regierungsvertretern, medizinische und finanzielle Informationen usw. Ferner sind 38 % der Mobilanwender in den vergangenen zwölf Monaten mit mobiler Cyberkriminalität in Berührung gekommen.

3.4

Cyberangriffe können einzelne Unternehmen und die allgemeine europäische Wirtschaft erheblich schädigen:

3.5

Cyberangriffstechniken werden ständig weiterentwickelt:

3.6

Cybersicherheitsorganisationen sind sich allgemein einig darin, welche Maßnahmen Bürger und Unternehmen vor allem ergreifen sollten, um sich vor Cyberangriffen zu schützen. Diese Verhaltensweisen sollten in sämtlichen Cybersicherheits-Sensibilisierungs- und -Aufklärungsprogrammen vermittelt werden:

3.7

Kleinunternehmen mangelt es häufig an ausreichender IT-Betreuung, um Cyberbedrohungen abzuwehren, deshalb benötigen sie besondere Unterstützung zur Gewährleistung ihrer Cybersicherheit.

3.8

Die Bekanntgabe von Cyberangriffen und Systemschwachstellen ist wesentlich im Umgang mit diesen Angriffen, vor allem im Fall von sog. Zero-Day-Attacken, bei denen Sicherheitslücken ausgenutzt werden, noch bevor sie offiziell bekannt sind. Häufig jedoch verschweigen Unternehmen Cyberangriffe aus Furcht vor Reputationsverlusten und Haftungsansprüchen. Diese mangelnde Offenlegung erfolgter Angriffe untergräbt die Fähigkeit Europas, rasch und wirksam auf Bedrohungen zu reagieren und die allgemeine Cybersicherheit durch gemeinsame Lernerfahrungen zu verbessern.

3.9

Internetdiensteanbieter bieten Bürgern und Unternehmen Internetzugang und Online-Dienste gegen Entgelt. In Anbetracht ihrer zentralen Rolle bei der Bereitstellung von Online-Diensten ist es wesentlich, dass Internetdiensteanbieter ihren Kunden den größtmöglichen Schutz vor Cyberangriffen bieten. Sie sollten nicht nur sicherstellen, dass Konzeption und Wartung ihrer eigenen Dienste und Infrastrukturen den höchsten Cybersicherheitsansprüchen genügen, sondern ihre Kunden optimal in Sachen Cybersicherheit beraten und Sonderprotokolle führen, um Cyberangriffe auf ihre Kunden zeitnah erkennen und abwehren zu können. Diese Verantwortung sollte in den EU-Rechtsvorschriften festgelegt und verankert werden.

3.10

Die Förderung der Nutzung von Cloud Computing durch Bürger und Unternehmen in Europa ist sehr wichtig für die EU-Wirtschaft (3). Mit zunehmender Abhängigkeit privater und geschäftlicher Anwendungen von Cloud Computing kommt es darauf an, dass Europa gezielt für die Cybersicherheit der Anbieter Cloud-basierter Dienste sorgt. Sicherheitsbedenken gegenüber Cloud-basierten Diensten beeinträchtigen die Durchsetzung dieser dynamischen Technologie. Der Ausschuss appelliert an die EU, den Anbietern Cloud-basierter Dienste besondere Sicherheitsanforderungen und -pflichten aufzuerlegen, um das Cloud-Computing-Wachstum in Europa zu fördern.

3.11

Es müssen gezielt Anstrengungen unternommen werden, um Mitarbeiter für die europäische Cybersicherheitsbranche zu gewinnen. Die Nachfrage nach IT-Sicherheitsfachkräften mit Hochschulabschluss soll Prognosen zufolge mehr als doppelt so schnell ansteigen als die Nachfrage nach qualifizierten Mitarbeitern in den anderen IT-Bereichen. In diesem Zusammenhang weist der Ausschuss die Kommission auf den Erfolg von Wettbewerben in den USA und einigen Mitgliedstaaten hin, durch die das Bewusstsein für Cybersicherheitsbelange gefördert und die nächste Generation von IT-Sicherheitsspezialisten herangezogen werden kann.

3.12

Eine der besten Strategien zum Schutz vor Cyberbedrohungen beruht auf einem konzeptionellen Ansatz, d. h., es wird sichergestellt, dass alle in Europa für Internetzugang und Online-Dienstleistungen genutzten Technologien und Dienste so ausgelegt sind, dass sie eine größtmögliche Cybersicherheit gewährleisten. An erster Stelle der konzeptionellen Überlegungen sollte die Schnittstelle Mensch/Maschine stehen. Dazu wäre eine Zusammenarbeit zwischen Technologieherstellern, Internetdiensteanbietern, der Cybersicherheitsbranche, EC3, ENISA, den nationalen Sicherheits- und Verteidigungsbehörden der Mitgliedstaaten und den Bürgern erforderlich. Auf EU-Ebene könnte sich die Europäische Kommission um die organisatorischen Aspekte dieses konzeptionellen Cybersicherheitsansatzes kümmern, während ENISA eventuell die Koordinierung übernehmen könnte.

4.1

Die EU ist mit der Ausarbeitung einer umfassenden Cybersicherheitsstrategie (4) befasst, um die Cybersicherheit der europäischen Bürger zu verbessern:

4.2

Der Ausschuss (6) übte deutliche Kritik am Vorschlag der Kommission für eine Richtlinie über Netz- und- Informationssicherheit (NIS), da die vorgeschlagenen Maßnahmen seines Erachtens zu zögerlich sind, um die Mitgliedstaaten zu einem ausreichenden Schutz ihrer Bürger und Unternehmen vor Cyberangriffen zu veranlassen. Indes schwächte das Europäische Parlament die vorgeschlagene Richtlinie noch weiter ab, begrenzte ihre Anwendung auf die Betreiber kritischer Informationsinfrastrukturen und nahm Suchmaschinen, soziale Netzwerke, Internet-Zahlungs-Gateways und Cloud-Computing-Anbieter von ihrem Geltungsbereich aus.

4.3

Auf der Grundlage der vorgeschlagenen NIS-Richtlinie in ihrer aktuellen Form können nicht die Rechtsvorschriften erlassen werden, die notwendig sind, um das Bedrohungsbewusstsein und die Reaktionsfähigkeit auf Cyberangriffe in der EU zu verbessern. Der Ausschuss plädiert für neue Rechtsvorschriften, um eine allgemeine Meldepflicht für alle relevanten Cybersicherheitsvorfälle einzuführen, die nicht nur für die Betreiber kritischer Infrastrukturen gilt. Aufgrund der fehlenden Meldepflicht können Cyberverbrecher die Unwissenheit gefährdeter Zielgruppen ausnutzen.

4.4

Die EU sollte in Betracht ziehen, das ENISA-Mandat zu erweitern, um EU-weit das Bedrohungsbewusstsein und die Reaktionsfähigkeit auf Cyberangriffe zu verbessern. Vieleicht könnte ENISA beauftragt werden, in Eigenregie spezifische, an die Bürger und KMU gerichtete Bildungs- und Aufklärungsprogramme über Cybersicherheit durchzuführen.

4.5

Im Jahr 2013 wurde das Europäische Zentrum zur Bekämpfung der Cyberkriminalität (EC3) bei Europol eröffnet, um die Abwehr von Cyberstraftaten in Europa zu verbessern. Es soll als europäische Anlauf- und Sammelstelle für strategische Informationen und Fachwissen über Cyberstraftaten dienen sowie entsprechende mitgliedstaatliche Ermittlungen unterstützen. Doch schon in seinem ersten Jahresbericht warnt EC3, dass die knappe Mittelausstattung den Ermittlungsverlauf behindert und das Zentrum nicht in der Lage sein wird, die anstehenden großangelegten Ermittlungen zu bewältigen.

4.6

Die EU sollte die europäischen Normungsorganisationen — CEN, CENELEC und ETSI — beauftragen, Cybersicherheitsstandards für sämtliche in der EU angebotene Software, IKT-Hardware und Online-Dienste aufzustellen. Diese Standards müssten fortwährend aktualisiert werden, um mit neuen Bedrohungen Schritt zu halten.

4.7

Nicht nur die Anbieter kritischer Infrastrukturen, sondern alle Unternehmen und Organisationen müssen rechtlich verpflichtet werden, wesentliche Cyber-Zwischenfälle zu melden. Damit könnten die europäischen Reaktionsmöglichkeiten auf aktuelle Bedrohungen verbessert, das Wissen und die Erkenntnisse über Cyberangriffe vergrößert und so wiederum die Behörden, die Cybersicherheitsbranche, Unternehmen und Privatpersonen bei der Verbesserung der Cybersicherheit und der Vermeidung von Bedrohungen unterstützt werden. Um die Meldung von Cyberangriffen zu erleichtern, sollte in den einschlägigen Rechtsvorschriften festgelegt werden, dass die Anonymität der betroffenen Unternehmen und Organisationen gewahrt bleibt. Ggf. sollten auch Haftungsregelungen in Erwägung gezogen werden.

4.8

Trotz der bereits von der EU ergriffenen Initiativen gibt es große Unterschiede in Bezug auf die Kapazitäten und die Abwehrbereitschaft der einzelnen Mitgliedstaaten, was zu EU-weit uneinheitlichen Reaktionen auf Cyberangriffe führt. Aufgrund der Verbindungen zwischen Netzen und Systemen untergraben die Mitgliedstaaten mit schwachen Cybersicherheitskonzepten die Fähigkeit der EU insgesamt, wirksam auf Bedrohungen zu reagieren. Es muss etwas getan werden, um alle Mitgliedstaaten auf ein vertretbares Cybersicherheitsniveau zu bringen. Insbesondere ist unverzüglich dafür sorgen, dass in allen Mitgliedstaaten ein funktionsfähiges IT-Notfallteam (Computer Emergency Response Team, CERT) eingerichtet wird.

4.9

Wie in früheren Stellungnahmen (7) schon betont der Ausschuss erneut, dass freiwillige Maßnahmen seines Erachtens nicht zum Erfolg führen und strenge rechtliche Verpflichtungen der Mitgliedstaaten erforderlich sind, um Governance und Durchsetzung einer harmonisierten europäischen Cybersicherheit zu ermöglichen.

4.10

Zusammenfassend lässt sich sagen, dass die EU-Cybersicherheitspolitik auf folgende Aspekte abheben sollte, um die Bürger und Unternehmen durch wirksame Maßnahmen, die auf dem neuesten Stand sind, vor Cyberangriffen zu schützen: