Die Europäische Behörde für Netz- und Informationssicherheit (ENISA) soll zur zentralen IT-Gefahren-Abwehr-Einheit ausgebaut werden – wie bewerten Sie das?
In einem gemeinsamen Wirtschaftsraum wie Europa macht eine gemeinsame IT-Gefahren-Abwehr-Einheit durchaus Sinn, entbindet die Mitgliedsländer aber sicher nicht davon, sich zusätzlich um die nationale Sicherheit zu kümmern. ENISA kam bisher eher eine Außenseiterrolle zu und man beschäftigte sich hauptsächlich mit Informationsveranstaltungen. Für eine europaweite IT-Gefahren-Abwehr sind die Grundlagen und Expertise sicher vorhanden. Ein ENISA Problem war in der Vergangenheit ja immer der Standort. Für eine solche Aufgabe müsste ENISA sicher auch mehr in das Zentrum von Europa wechseln – Griechenland ist da eher suboptimal um mit Kollegen Vorort zu diskutieren oder einmal schnell direkt zu einem „Brandherd“ zu gelangen. Sicher kann man zwar vieles über das Netz machen, aber eine derartige Funktion gehört in die Mitte Europas.
Die ENISA soll auch die Zertifizierung elektronischer Geräte innerhalb Europas regeln. Braucht es ein europäisches Zertifizierungs-System?
Eine europäische Zertifizierung von Geräten wäre ein erster Schritt für mehr Sicherheit und würde Firmen dazu zwingen, ihre Software besser zu entwickeln und prüfen. Eine zentrale Stelle dafür einzurichten halte ich für ein wichtiges Signal. Hier die Spezialisten an Bord zu bekommen, dürfte wohl die größte Herausforderung sein, denn es gilt ja Soft-, Hard- und Firmware zu zertifizieren und es sind ja zukünftig nicht nur Netzwerkgeräte, sondern auch die Dinge des täglichen Lebens, die am Netzwerk angeschlossen werden. Eine „gehackte“ Bohrmaschine kann dann genauso Schadsoftware verteilen wie ein gehackter WLAN-Router. Das Aufgabengebiet ist riesig und muss sicher Anfangs eingegrenzt werden.
Um die IT-Sicherheit kümmern sich je nach Mitgliedsland verschiedenste Polizei- oder Spezialbehörden, sowie Militäreinheiten – wie lässt sich eine sinnvolle Zusammenarbeit gestalten?
Einen Ersatz dieser bisher national angegangenen Aufgaben durch ENISA sehe ich nicht, eher eine engere Zusammenarbeit, mit abgesprochenen Prozeduren, wie es sie ja bisher bei den CERT (Computer Emergency Response Teams) schon gibt. Das würde dann auch gleichzeitig die Relevanz der anzugehenden Aufgaben bei ENISA strukturieren. Militär spielt eine gesonderte Rolle, hier sehe ich lediglich eine Informationspflicht, denn das Spektrum ist grundverschieden von den Anforderungen an Geräte des täglichen Lebens und die Bedrohungslage ist eine andere.
Einzelne Behörden in den Mitgliedsländern wollen ihrerseits Schadsoftware zur Gefahrenabwehr oder Ermittlung verwenden. Welches Konfliktpotenzial mit der ENISA sehen hier?
Hier sehe ich nicht nur widersprüchliche Anforderungen zwischen der Arbeit einer Zertifizierung und der Entwicklung von Schadsoftware, sondern überhaupt eine riesige Gefahr generell. Diese Schadsoftware könnte ihrerseits wieder von Hackern verwendet werden und wer kann einem dann noch sagen, welches „gute“ und welches „schlechte“ Schadsoftware ist. Feuer mit Feuer bekämpfen geht zwar manchmal, kann aber auch genau das Gegenteil bewirken. Finger weg von solchen Ideen, denn schon die Haftungsfrage kann hierbei nicht geklärt werden. Möglicherweise würden Firmen beschuldigt, die vorher von ENISA zertifiziert wurden. Schon der „Bundestrojaner“ bietet Konfliktpotential wegen nicht „gestopfter“ Sicherheitslücken aufgrund seiner Funktionalität.
