Die Europäische Behörde für Netz- und Informationssicherheit (ENISA) soll zur zentralen IT-Gefahren-Abwehr-Einheit ausgebaut werden- wie bewerten Sie das?
Bereits jetzt besteht die Aufgabe ENISAs darin, in der EU Netz- und Informationssicherheit zu garantieren, indem sie Behörden in den Mitgliedstaaten und den EU-Institutionen fachkundige Ratschläge erteilt. Wenn ENISA die zentrale IT-Gefahren-Abwehr-Einheit wird, können mögliche Überlappungsgebiete mit anderen Behörden auf nationaler oder EU- Ebene vermieden werden. ENISA eine Hauptrolle im Bereich der IT-Sicherheit zu gewähren, würde außerdem zur Entwicklung gemeinsamer Sicherheitsstandards für Informationsnetze innerhalb des digitalen Binnenmarktes führen. Das ist der Konvergenz und Sicherheit wegen durchaus zu begrüßen, besonders unter Berücksichtigung der zunehmenden Cyberangriffe im Netz.
Die ENISA soll auch die Zertifizierung elektronischer Geräte innerhalb Europas regeln. Braucht es ein europäisches Zertifizierungs-System?
Seit der Gründung von ENISA in 2004 haben sich bedeutende Fortschritte im Bereich des digitalen Binnenmarktes gemacht. Die Kehrseite hiervon ist jedoch das Aufkommen von Sicherheitsvorfällen auf Netz- und Informationssystemen. Das hat die Ausbreitung der Europäischen Gesetzgebung im Bereich der Cybersicherheit gefördert. Dies vor Augen, wäre ein gemeinsames europäisches Zertifizierungs-System sinnvoll. Nicht nur harmonisierte Standards, sondern ein gemeinsames europaweites Zertifizierungssystem sollte sich angesichts der neu entstehenden Rechtsvorschriften als ganz besonders nützlich bestätigen. Zudem hätte ein europäisches Zertifizierungssystem auch Vorteile für die Industrie: sich nur an einen gemeinsamen Standard halten zu müssen, anstatt an viele verschiedene, trägt zu Klarheit und Simplizität bei.
Um die IT-Sicherheit kümmern sich je nach Mitgliedsland verschiedenste Polizei- oder Spezialbehörden, sowie Militäreinheiten- wie lässt sich eine sinnvolle Zusammenarbeit gestalten?
Eine der Funktionen ENISAs ist gerade die der Verbindung zwischen den verschiedenen Behörden die europaweit im Bereich der Cybersicherheit aktiv sind. ENISA erleichtert den Kontakt zwischen EU-Institutionen, staatlichen Behörden und Unternehmen in dem die europäische Agentur als Forum für Austausch agiert. Besonders weil im Bereich der IT-Sicherheit viele verschiedene Behörden tätig sind, ist es zweckgemäß, dass eine zentrale Behörde mit technischer Kompetenz Empfehlungen für eine effiziente Zusammenarbeit definiert. Durch das Zusammenführen von Fachwissen lässt sich eine effiziente und bereichernde Zusammenarbeit gestalten.
Einzelne Behörden in den Mitgliedsländern wollen ihrerseits Schadsoftware zur Gefahrenabwehr oder Ermittlung verwenden. Welches Konfliktpotenzial mit der ENISA sehen Sie hier?
Es besteht die Gefahr, dass national entworfene Schadsoftware zur Gefahrenabwehr, so ausgestaltet sind, dass sie nur Landesweit kompatible sind, d.h. nicht Europaweit wirksam. ENISA eine zentrale Funktion im Bereich IT-Gefahren-Abwehr-Einheit zu gewähren soll gerade dazu führen, dass ein einheitliches System geschaffen wird. Wenn einzelne Behörden in den Mitgliedstaaten ihrerseits Schadsoftware entwickeln, muss sichergestellt werden, dass diese auch Europaweit kompatibel sind. Europaweite Kompatibilität ist besonders heutzutage von Bedeutung: die zunehmende Virtualisierung von Geräten und Verbreitung des Internet der Dinge kann auch Sicherheitsrisiken mit sich bringen. Über 50 Prozent der Unternehmen in der EU waren schon einmal von einem Cyberangriff betroffen. Dies zeigt, dass eine europaweit kompatible Schadsoftware sich als notwendig erweist.