Die Europäische Behörde für Netz- und Informationssicherheit (ENISA) soll zur zentralen IT-Gefahren-Abwehr-Einheit ausgebaut werden – wie bewerten Sie das?
Das halte ich für begrüßenswert. Die Förderung grenzüberschreitender Zusammenarbeit und die stärkere Rolle der ENISA können zu echter Sicherheit im Netz beitragen. In der anstehenden Revision von ENISA fordern wir, dass ENISA ein EU-weites Kompetenzzentrum für die IT-Sicherheit wird. Ein unbefristetes Mandat und mehr Kompetenzen sind daher der richtige Weg. Wir haben bereits im Rahmen der NIS-Richtlinie dafür gesorgt, dass ENISA im Falle von Cyberangriffen die Computersicherheits-Teams EU-weit koordiniert. Zu einer Förderung von ENISA gehört auch die notwendige Fähigkeit, marktübliche Gehälter für Spezialistinnen und Spezialisten zu zahlen. IT-Sicherheit darf nicht am Sparkommissar scheitern.
Die ENISA soll auch die Zertifizierung elektronischer Geräte innerhalb Europas regeln. Braucht es ein europäisches Zertifizierungs-System?
Ja, in der digitalen Welt braucht es klare und verpflichtende Mindestanforderungen für die IT-Sicherheit. Ähnlich wie bei der EU-weiten CE-Kennzeichnung zum Beispiel von Steckern wollen wir durch solche Mindestanforderungen Schwachstellen nachhaltig bekämpfen und die Qualität von Produkten verbessern. Nun gilt es, für technische Geräte im „Internet der Dinge“, etwa vernetzte Haushaltsgeräte, ebenfalls entsprechende Normen zu entwickeln, wie es die Einführung von Gurt- und Airbag-Pflicht für das Auto war. So sollen zum Beispiel intelligente Kühlschränke und andere vernetzte Geräte mit einer Ende-zu-Ende-Verschlüsselung ausgestattet werden. Wir wollen nationale Vorgaben wie die des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu Internet-Routern sowie Zertifizierungsverfahren EU-weit harmonisieren und auf andere Geräte erweitern.
Um die IT-Sicherheit kümmern sich je nach Mitgliedsland verschiedenste Polizei- oder Spezialbehörden, sowie Militäreinheiten – wie lässt sich eine sinnvolle Zusammenarbeit gestalten?
Mit der NIS-Richtlinie, die im Mai 2018 in Kraft treten wird, gibt es bereits ein EU-Gesetz zur Kooperation im Bereich Cybersicherheit. Damit macht die EU einen kleinen Schritt hin zu mehr Cybersicherheit bei kritischen Infrastrukturen und großen Anbietern digitaler Dienste. Das Gesetz wird verpflichtende Meldungen und Austausch über Vorfälle bringen. Die NIS-Richtlinie verpflichtet Betreiber kritischer Infrastrukturen, sich vor Cyberattacken besser zu schützen – Energiekonzerne, Banken und Finanzdienstleister, Kliniken, Flughäfen, Wasserversorger. Unternehmen müssen Sicherheitslücken und Angriffe auf ihre Systeme schneller melden, die Mitgliedstaaten müssen sich besser austauschen. Ein Netzwerk von IT-Sicherheitsbehörden wie das Bundesamt für Sicherheit in der Informationstechnik soll grenzüberschreitende Vorfälle untersuchen und auf diese reagieren. Allerdings sieht die NIS-Richtlinie leider nicht vor, dass Anreizstrukturen geschaffen werden, die einen Ausbau der Sicherheit in Unternehmen über die Mindeststandards hinaus vorantreiben könnten.
Einzelne Behörden in den Mitgliedsländern wollen ihrerseits Schadsoftware zur Gefahrenabwehr oder Ermittlung verwenden. Welches Konfliktpotenzial mit der ENISA sehen hier?
Da sehe ich v.a. ein Konfliktpotential mit unseren Grundrechten. Staatliche Behörden dürfen bekannte IT-Sicherheitslücken in Unternehmen und Produkten nicht verschweigen und für ihre Zwecke ausnutzen. Stattdessen sollten sie Informationen über Schwachstellen umgehend den Herstellern melden. Indem der Staat Hintertüren in IT-Systemen mit Steuergeldern entwickelt, aufkauft und ausnutzt, setzt er die Sicherheit von uns allen aufs Spiel. Der staatlich geförderten Unsicherheit muss ein Ende gesetzt werden. Informationen über die Sicherheitslücken können sonst in die falschen Hände gelangen und bergen wie im Fall WannaCry unkalkulierbare Risiken.