Ein Kommentar von Arved Graf von Stackelberg, Managing Director bei Dracoon, über den EU Cybersecurity Act. [...]
Am 27. Juni dieses Jahres ist der EU Cybersecurity Act verbindlich in Kraft getreten. Das Gesetz stärkt das Mandat der EU-Cybersicherheitsagentur ENISA (European Network and Information Security Agency) und schafft erstmalig einen auf EU-Ebene geltenden Gesetzesrahmen für die IT-Sicherheitszertifizierung von Dienstleistungen, Produkten und Prozessen. Offiziell trägt die Regulierung den Namen „Verordnung über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik“ und soll in Zeiten der Digitalisierung letztendlich zu mehr IT-Sicherheit in Europa führen. So soll ENISA die EU-Mitgliedstaaten auch besser bei der Bewältigung von IT-Sicherheitsangriffen unterstützen können.
Der Grundstein für den Vorstoß wurde im September 2017 gelegt, als der damalige Kommissionspräsident des Europäischen Parlaments, Jean-Claude Juncker, in seiner jährlichen Rede zur Lage der Union erklärte, man habe innerhalb der letzten Jahre zwar das Internet für die Menschen in Europa sicherer gemacht, insgesamt sei man aber immer noch nicht effektiv gegen Cyberangriffe geschützt. Aus diesem Grund hatte die Kommission neue Wege zur Optimierung des Schutzes gegen IT-Sicherheitsangriffe vorgeschlagen, unter anderem die Einrichtung einer EU-Agentur für Cybersecurity. In einer damals von der Kommission veröffentlichten Pressemitteilung wurden die Vorteile von digitalen Technologien für die Bürger Europas herausgestellt, gleichzeitig aber auch auf die Risiken hingewiesen. So heißt es, dass die Technologien zunehmend von nichtstaatlichen und staatlichen Akteuren missbraucht würden – Ziel sei neben dem Diebstahl sensibler Daten auch, Regierungen zu destabilisieren. So sprach die Kommission von über 4.000 Ransomware-Fällen täglich und führte die Tatsache an, dass über 80 Prozent der europäischen Unternehmen sich mindestens einmal mit einem Cybersicherheitsvorfall konfrontiert sehen. Der durch Cyberkriminalität verursachte wirtschaftliche Schaden habe sich innerhalb der vorherigen vier Jahren verfünffacht.
Bisher war die Agentur der Europäischen Union für Cybersicherheit (ENISA), die 2004 gegründet wurde, vorwiegend beratend tätig und verfügte nur über ein vorübergehendes Mandat und begrenzte Ressourcen. Sie half der Europäischen Kommission und den Mitgliedstaaten mithilfe von Leitlinien bezüglich der technischen Aspekte von IT- und Netzsicherheit. Künftig soll die Agentur ein dauerhaftes Mandat erhalten, gleichzeitig werden die finanziellen und personellen Mittel deutlich aufgestockt. Angedacht ist außerdem, dass ENISA zum unabhängigen Kompetenzzentrum wird. Dessen Aufgabe ist die Stärkung des Problembewusstseins innerhalb der Wirtschaft und bei den Bürgern selbst sowie die Unterstützung der EU-Organe und Mitgliedstaaten bei der Entwicklung und Umsetzung politischer Maßnahmen in Sachen Cybersecurity.
IT-Sicherheitsbewusstsein in Europa verbesserungsbedürftig
Die Tatsache, dass auf EU-Ebene vermehrt auf die Gefahr durch Cyberangriffe und allgemein Datenverlust hingewiesen wird und die Rahmenbedingungen verbessert werden, ist unbedingt zu begrüßen. Innerhalb der Wirtschaft scheinen Firmen in Europa den Ernst der Lage noch nicht ausreichend erkannt zu haben.
Einen Einblick über die weltweite Bedeutung des Themas Cybersicherheit in Unternehmen gewährt eine aktuelle Studie des Beratungsunternehmens PwC, welche exklusiv im Handelsblatt zitiert wurde. So hatten von den 9.500 befragten Organisationen nur 56 Prozent eine Strategie zum Informationsschutz, 53 Prozent sorgten für die ausreichende Schulung ihrer Mitarbeiter in Sachen Datenschutz und -Sicherheit. Und nur 51 Prozent der befragten Betriebe hatte eine ausreichende Übersicht über den Bestand personenbezogener Daten im Unternehmen. Diese Zahlen liegen gemessen auf Europa deutlich niedriger, Amerika und Asien sind in Sachen Security Awareness bereits einen Schritt weiter. Im Kontext der Erhebung lässt ein Sprecher von PwC gegenüber dem Handelsblatt verlauten, dass Unternehmen Cybersicherheit und Datenschutz unbedingt von vornherein mitbedenken sollten und auf „Security by Design“ in den Abläufen achten sollten.
Dass die Themen IT-Sicherheit und der Schutz kritischer Daten in Betrieben, gerade in Europa, oftmals zu kurz kommt, zeigt auch eine Studie von Aruba Networks. Das Tochterunternehmen von Hewlett-Packard befragte für die Erhebung insgesamt 2.650 Mitarbeiter in Europa (insgesamt weltweit 7.000) – Ziel war es, die Auswirkungen der Digitalisierung auf Betriebe zu untersuchen. Die Studienteilnehmer kamen aus Betrieben aller Größenordnungen, sowohl aus dem öffentlichen als auch aus dem privaten Sektor, mit Schwerpunkt in den Bereichen Industrie, Regierung, Einzelhandel, Gesundheitswesen, Bildung, Finanzen und IT/Technologie/Telekommunikation. Hier zeichneten sich teils erschreckende Trends ab, denn für über die Hälfte der europäischen Arbeitnehmer (55 Prozent) scheint Cybersicherheit nur eine Nebensache zu sein – diese Befragten denken nicht regemäßig an das Thema IT-Sicherheit. Fast ein Fünftel (17 Prozent) beschäftigt sich sogar überhaupt nicht damit. Im Vergleich dazu ist das Thema für Arbeitnehmer in Asien und Amerika durchaus präsenter, denn 61 Prozent und 51 Prozent denken oft oder täglich an Sicherheitsprozesse.
Eine weitere Erkenntnis der Befragung war, dass sich europäische Arbeitnehmer durchaus der Konsequenzen von Sicherheitsverstößen bewusst sind, sie diese aber nicht mehr abschrecken. 42 Prozent der Befragten in Europa kennen die rechtlichen Auswirkungen eines Datenverlustes – dieser Wert liegt höher als in Amerika (36 Prozent) und Asien (27 Prozent). Trotz ihrer hohen Awareness gaben ganze 26 Prozent der europäischen Beschäftigten an, das Thema IT-Sicherheit sei für sie nicht von Bedeutung. Weiterhin zeigte die Studie, dass der Einsatz von IT-Security–Software in Europa mit 48 Prozent geringer war als in anderen Ländern. Es scheint also, als würden Cybersicherheit und Datenschutz sowohl auf Entscheider-Ebene als auch bei den Mitarbeitern selbst noch nicht ernst genug genommen werden. Umso sinnvoller erscheint der gesetzliche Vorstoß rund um den Cybersecurity Act, um diese Themen europaweit auf gesetzlicher Ebene noch stärker zu verankern.
DSGVO und Cybersecurity Act: Mehr Sicherheit?
Der Umstand, dass die europäische Union verstärkt versucht, bessere Rahmenbedingungen im Kampf gegen Cyberkriminalität und Datenschutzverletzungen zu schaffen, sollte Betrieben mit Sitz in der EU verdeutlichen, dass auch sie diese Themen unbedingt ernst nehmen müssen. Nicht nur aufgrund von möglicher, empfindlicher Strafen im Rahmen der DSGVO, sondern auch weil ein erfolgreicher Cyberangriff oder der Verlust von Kundendaten geschäftskritisch sein können. Um dies zu verhindern, muss das Thema Sicherheit ganzheitlich gedacht werden. Alle Prozesse innerhalb des Unternehmens müssen möglichst darauf ausgelegt sein. Auch bei der Implementierung neuer Software-Lösungen sollten die Punkte „Security by Design“ und „Security by Default“ berücksichtigt werden. Dies bedeutet konkret, dass zum einen das Thema Datenschutz bereits bei der Produktentwicklung miteinbezogen wurde, zum anderen sind die Voreinstellungen der Lösung auf ein Maximum an Sicherheit ausgelegt. Auch dürften Vorstöße wie der Cybersecurity Act und die DSGVO Unternehmen darin bestätigen, dass ihre Daten derzeit am besten innerhalb der EU aufgehoben sind. Aus diesem Grund sollten Betriebe beim Erwerb neuer Software unbedingt auf einen Standort innerhalb der europäischen Union achten. Dies gilt auch gerade in Bezug auf dem im März 2018 in den USA verabschiedeten CLOUD-Act, der sich faktisch nicht mit der hierzulande geltenden DSGVO vereinbaren lässt. Es verpflichtet amerikanische Internet-Firmen und IT-Dienstleister schließlich dazu, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt. Diese Herausgabe der Daten würde aber wiederum gegen die DSGVO verstoßen – ein Konflikt, der sich durch die Nutzung eines örtlichen Dienstes mit europäischem Serverstandort verhindern lässt. Es bleibt abzuwarten, ob der Cybersecurity Act tatsächlich zu einem erhöhten Sicherheitsbewusstsein bei Bürgern und Betrieben in Europa führen wird und ob sich schwerwiegende Datenschutzpannen künftig besser verhindern lassen. Ein positiver Schritt in die richtige Richtung ist das neue Gesetz allemal.
*Arved Graf von Stackelberg ist Managing Director von Dragon.
Be the first to comment