Cybersecurity: EU-Kommission plant europäisches IT-Zertifizierungsverfahren

Moritz Rosenfeld on September 13, 2017 - 2:31 am in Security

[ad_1]

Maßnahmen für Cybersecurity sollen nach Willen der Europäischen Kommission künftig auf europäischer Ebene geregelt werden. Unter anderem sollen IT-Produkte und -Dienste künftig freiwillig ein Zertifizierungsverfahren durchlaufen.

Die EU-Kommission schlägt in einem ersten Entwurf für einen europäischen Regelungsrahmen, der heise online vorliegt und der am Mittwoch vorgestellt werden soll, eine Reform der europäischen IT-Sicherheitsbehörde ENISA vor. Sie soll ein dauerhaftes Mandat erhalten, um etwa Mitgliedstaaten bei der Umsetzung der IT-Sicherheits-Richtlinie (NIS) zu unterstützen oder um jährliche Cybersecurity-Übungen durchführen zu können.

Außerdem soll ENISA eine Koordinierungsrolle bei der Etablierung eines europaweiten, freiwilligen Zertifizierungsverfahrens übernehmen. Dieses soll das Schutzniveau von IT-Produkten und Diensten international vergleichbar machen. Die europäische Polizeibehörde Europol soll überdies die Kapazitäten erhalten, um das Darknet besser zu überwachen.

Keine Krypto-Regulierung

Von einer Regulierung kryptografischer Produkte ist im Moment keine Rede. Derzeit evaluiert die Kommission, welche Vor- und Nachteile mit dem Gebrauch kryptografischer Produkte aus Perspektive von Unternehmen wie auch der Strafverfolgung verbunden sind. Im Oktober 2017 will sie erste Schlussfolgerungen vorstellen.

Die Kooperation zwischen der Europäischen Union und dem transatlantischen Verteidigungsbündnis NATO soll in Sachen Cyber-Defence vertieft werden. Neben einem verstärkten Informationsaustausch soll die Reaktionsfähigkeit auf “Cyber-Krisen” verbessert und gemeinsame Übungen abgehalten werden. Überdies erarbeitet der Europäische Rat derzeit ein “Konzept für Cyber Defence für EU-geführte militärische Operationen und Missionen”. So wird derzeit definiert, mit welchen Mitteln auf diplomatischer Ebene auf Cyber-Krisen “angemessen” reagiert werden kann – die Kommission spricht hier von einer “Toolbox für Cyber-Diplomatie”.

Cyber-Verteidigung und Fachkräftemangel

Im Juni 2018 will die Kommission auch ihre Haltung zur Frage der Haftung von Software-Herstellern vorstellen. Für den Fall eines größeren “Cyber-Zwischenfalls” soll ein Cybersecurity-Notfall-Fonds eingerichtet werden, der einzelnen Mitgliedstaaten rasch beistehen soll. Außerdem sieht die Kommission für 2018 die Gründung eines Europäischen Cybersecurity-Forschungs- und Kompetenzzentrums vor, an das ein Netzwerk mehrerer Cybersecurity-Kompetenzzentren der Mitgliedstaaten andocken können soll. Dem massiven Fachkräftemangel soll mit dem Ausbau einschlägiger Aus- und Weiterbildungsmöglichkeiten begegnet werden. Für 2022 schätzt die Kommission den Mehrbedarf auf 350.000 Fachkräfte.

Der VDMA, in dem sich deutsche Unternehmen des Maschinen- und Anlagenbaus organisieren, begrüßte im Vorfeld diesen Schritt der Kommission, IT-Zertifizierungsverfahren auf europäischer Ebene zu regeln. Damit könne ein “Flickenteppich aus nationalen Initiativen” vermieden werden. Gleichwohl wandte sich der VDMA in einem 9-Prinzipien-Papier gegen eine verpflichtende Drittzertifizierung.

Pflicht zur Ende-zu-Ende-Verschlüsselung?

Die Grünen im Europaparlament stellten der Stellungnahme der Kommission einen eigenen $(https://www.janalbrecht.eu/themen/datenschutz-digitalisierung-netzpolitik/artikel/2017-09-11-gruener-10-punkte-plan-fuer-sicherheit-im-netz.html:10-Punkte-Plan |_blank)$ gegenüber. Sie plädieren für europaweit geregelte Zertifizierungsverfahren, bei denen nationale Vorgaben wie die des Bundesamts für Sicherheit in der Informationstechnik angewandt werden sollen. Auch fordern sie eine verpflichtende Ende-zu-Ende-Verschlüsselung für vernetzte Geräte.

Die europäischen Produkthaftungsrichtlinien sollten nach Ansicht der Grünen auf Software-Produkte erweitert werden. Hersteller müssten die Haftung für Folgeschäden eines Hackerangriffs nicht mehr ausschließen dürfen, Sicherheits-Updates müssten “schnellstmöglich” angeboten werden. Mit der Forderung, dass die öffentliche Verwaltung künftig nur noch Software mit offenen Quellcodes einsetzen dürfe, richten sich die Grünen auch gegen den US-Konzern Microsoft, der die Bürosoftware der Verwaltung europaweit dominiert. (jk)

[ad_2]