Europa will sich besser vor Cyberangriffen schützen. Die EU-Kommission will dafür die Agentur für Netz- und Informationssicherheit (ENISA) stärken und sie zu einer Cybersicherheitsbehörde ausbauen. „In einem gemeinsamen Wirtschaftsraum wie Europa macht eine gemeinsame IT-Gefahren-Abwehr-Einheit durchaus Sinn, entbindet die Mitgliedsländer aber sicher nicht davon, sich zusätzlich um die nationale Sicherheit zu kümmern“, erklärt Prof. Michael Rotert, Vorstandsvorsitzender eco, Verband der Internetwirtschaft e.V.. ENISA sei bisher eher eine Außenseiterrolle zugekommen und man habe sich hauptsächlich mit Informationsveranstaltungen beschäftigt.
Nun soll ENISA etwa auch die Zertifizierung elektronischer Geräte innerhalb Europas regeln. Für Rotert ein erster Schritt für mehr Sicherheit. Das „würde Firmen dazu zwingen, ihre Software besser zu entwickeln und prüfen“. Eine zentrale Stelle sei ein wichtiges Signal. Allerdings: „Hier die Spezialisten an Bord zu bekommen, dürfte wohl die größte Herausforderung sein, denn es gilt ja Soft-, Hard- und Firmware zu zertifizieren und es sind ja zukünftig nicht nur Netzwerkgeräte, sondern auch die Dinge des täglichen Lebens, die am Netzwerk angeschlossen werden.“ Eine „gehackte“ Bohrmaschine könne schließlich genauso Schadsoftware verteilen wie ein gehackter WLAN-Router. Das Aufgabengebiet sei riesig und müsse sicher Anfangs eingegrenzt werden.
Auch für Evelyne Gebhardt, Vizepräsidentin des Europäischen Parlaments wäre ein gemeinsames europäisches Zertifizierungssystem sinnvoll. Ein solches System hätte aus Sicht der SPD-Politikerin auch Vorteile für die Industrie: „sich nur an einen gemeinsamen Standard halten zu müssen, anstatt an viele verschiedene, trägt zu Klarheit und Simplizität bei.“
Allerdings drohen auch Konflikte. Die Arbeit mit einer Vielzahl von staatlichen Behörden muss organisiert und abgestimmt werden. Einzelne Behörden in den Mitgliedsländern wollen sogar ihrerseits Schadsoftware zur Gefahrenabwehr oder Ermittlung verwenden. Darin sieht der Grüne Europa-Abgeordnete Jan Philipp Albrecht allerdings vor allem ein Konfliktpotential mit den Grundrechten. „Staatliche Behörden dürfen bekannte IT-Sicherheitslücken in Unternehmen und Produkten nicht verschweigen und für ihre Zwecke ausnutzen.“ Stattdessen sollten sie Informationen über Schwachstellen umgehend den Herstellern melden. „Indem der Staat Hintertüren in IT-Systemen mit Steuergeldern entwickelt, aufkauft und ausnutzt, setzt er die Sicherheit von uns allen aufs Spiel.“
Da könnte ENISA sogar helfen. „ENISAs Aufgabe ist die Sicherstellung der Unversehrtheit der Kommunikationsnetze, und aus praktischer Sicht wird es nie möglich sein, ENISA mit den notwendigen Informationen zu versorgen, die es ENISA erlauben würden, behördliche Schadsoftware anders zu behandeln als kriminelle Malware“, sagt die liberale EU-Parlamentarierin Angelika Mlinar.
Eco-Chef Rotert sieht in behördlicher Schadsoftware generell „eine riesige Gefahr“. Diese könnte ihrerseits von Hackern verwendet werden und wer könne dann noch sagen, welches „gute“ und welches „schlechte“ Schadsoftware ist. „Feuer mit Feuer bekämpfen geht zwar manchmal, kann aber auch genau das Gegenteil bewirken.“