EU erhielt die zwölfte Cybersicherheitsorganisation
Von Erich Moechel
Die am Montag angekündigte Gründung eines EU-Kompentenzzentrums für Cyberabwehr machte das Dutzend voll. Insgesamt sind nun zwölf Einheiten in Kommission und Ministerrat mit Cybersicherheit befasst. Das neue Kompetenzzentrum in Bukarest wird vor allem Ausbіldungs- und Forschungswecken dienen.
Eine Woche davor wurde die gemeinsame EU-Cybereinheit („Joint Cyber Unit“) angekündigt, die in Brüssel räumlich zwischen der ENISA und CERT-EU angesiedelt wird. Damit sind dort gleich drei EU-Cyberagenturen nebeneinander, alle zwölf zusammen sollen die Cyber-Resilienz in der EU erhöhen. Der Brüssel-Kenner Rigo Wenning über die Gründe für diesen Cyberwildwuchs im Gespräch mit ORF.at.
EU Kommission
Das sind die Top vier Organisationen für Cyberabwehr in Brüssel. Nur zwei davon, nämlich CERT-EU und vor allem die nationalen „Incident Responder“ (CSIRTs) sind unmittelbar mit Cyberabwehr befasst. Die gesamte Liste umfasst nun zwölf EU-Organisationen, die allesamt mit Cyberagenden beschäftigt sind. Das Gremium der CSIRTs wird dabei nicht mitgezählt, da es sich um Delegierte handelt, die in der Cyberabwehr der EU-Mitgliedsstaaten operativ tätig sind. Alle zusammen machen den Joint Cyber Unit aus, der das Cyber-Ökosystem der Europäischen Union pflegen und weiterentwickeln soll.
In einem eher symbolіschen Akt haben die NATO-Staaten Russland aktuell mit einer verschärften Cyberdoktrin gedroht.
Die (Nicht-) Umbenennung der ENISA
Das euopäische Computer Emergency Response Team (CERT-EU), in dem die Informationen aus allen EU-Institutionen sowie den nationalen CERTs zusammenfließen, ist in der Rue Montoyer im Zentrum Brüssels angesiedelt, ganz in der Nähe eines EU-Parlamentsgebäudes, die Generaldirektion Justiz der Kommission und - ironischerweise - das Microsoft Innovation Lab sind schräg gegenüber. In einem dieser Gebäude werden sowohl die in Athen niedergelassene EU-Sicherheitsagentur ENISA wie auch der neue operative „Joint Cyber Unit“ Büros eröffnen. „Das macht auch Sinn“, sagte Wenning, „denn gerade diese Organisationen haben dauernd miteinander zu tun.“
CC BY-SA 3.0 von Wolfgang H. Wögerer via Wikimedia
Prof. Reinhard Posch. Foto: CC BY-SA 3.0 von Wolfgang Wögerer via Wikimedia
Die alteingesessene ENISA, die bereits 2005 ihren Betrieb als Europäische Agentur für Netzwerk- und Informationssicherheit aufgenommen hatte, wurde im Zuge dieser Neustrukturierung in „Europäische Cybersicherheitsagentur“ umbenannt. Das Akronym dafür bleibt jedoch gleich, wohl weil ENISA längst zu einem Markenzeichen geworden ist. Zudem sind im fünfköpfigen Management-Board auch hochrangige Akademiker aus dem Bereich Computersicherheit vertreten, denen die Cyberei womöglich doch etwas zu weit ging. Einer der fünf ist Prof. Reinhard Posch, Chief Information Officer der Republik Österreich, der auch Mitglied der operativen Geschäftsführung der ENISA ist.
„Joint Cyber Unit“ als ein Remix
Zuletzt sei die ENISA kaum noch selbst mit operativer Sicherheit beschäftigt gewesen, sondern habe delegiert und Studien in Auftrag gegeben, so Wenning weiter, hauptsächlich funktioniere sie mittlerweile als „Cybersicherheitszertifizierungs- und Verwaltungsstelle“ der Kommission. Dem neuen „Joint Cyber Unit“ obliegt hingegen die Koordinierung der Cyberabwehrorganisationen quer durch die EU und die Mitgliedsstaaten. Bei näherer Ansicht handelt es sich nämlich nicht um eine völlig neue Einheit, sondern nur um ein neues koordinierendes Gremium, einen Remix aus existierenden Einheiten.
Im EU-Außenamt (EEAS) und anderen Teilen der Kommission ist Cyber-Knowhow längst vorhanden, das auf den nationalen Ebenen offensichtlich fehlt.
Und darin sind nun alle größeren Cybereinheiten auf EU-Ebene versammelt. Nur drei davon sind tatsächlich auf operativer Ebene tätig, nämlich CERT-EU, das aus den IT-Sicherheitsverantwortlichen der EU-Institutionen besteht. Die CSIRTs sind dazu das Gegenstück auf den nationalen Ebenen, das sind die einzelnen „Incident Responder“, also die Cyberfeuerwehren etwa des jeweiligen Energiesektors, von Regierungsstellen oder der Militärs. Im Cyclone-Netzwerk treffen sich die Krisenmanager, die im Ernstfall die Informationsflüsse zwischen den technisch fokussierten Cybereinheiten und der politischen Ebene sicherstellen sollen.
ENISA
Diese Liste umfasst insgesamt zehn österreichische First-Responder-Teams vor allem von Regierungs- und Verwaltungsstellen, die im Ernstfall eines Cyberangriffs operative Abwehrrollen übernehmen. Drei davon sind im CSIRT-Verbund der EU-Kommission aktiv. Man sieht also, dass es beim Cyberkoordinationsbedarf nicht nur „Luft nach oben“ sondern auch nach unten gibt.
Koordinatoren koordinieren Koordinatoren
Fehlen noch die übrigen Cyberabwehrkräfte, als da sind: Das „European Cybercrime“ Center von Europol, das sowohl zur Vorbeugung wie Strafverfolgung von Angriffen Cyberkrimineller dient, nicht aber der operativen Abwehr. Das Außenamt EEAS der Union und eine horizontale Arbeitsgruppe sind für Cyberdiplomatie der Union zuständig, die international eine weitaus wichtigere Rolle spielt, als allgemein angenommen wird. Bei jedem großen Cyberangriff werden nämlich zuallererst die entsprechenden diplomatischen Kummunikationskanäle aktiviert. Auf militärischer Ebene kommen noch die weniger bedeutende Europäische Verteidigungsagentur und ein zugehöriges Freiwilligengremium einiger Mitgliedsstaaten dazu.
Mitton Sarreguemines
Rigo Wenning geht seit 1999 als Rechtsvertreter („Legal Counsel“) des World Wide Web Consortiums (W3C) in einschlägigen EU-Gremien und internationalen Organisationen ein und aus.
Von insgesamt acht EU-Gremien sind also nur drei mit technisch-operativer Cyberabwehr befasst, das Gros der EU-internen Cyberabwehrorganisationen ist mit vertikalen und horizontalen Kommunikations- und Koordinationsmaßnahmen ausgelastet, damit die gesamteuropäische Cyberabwehr wenigstens irgendwie funktioniert. Hauptgrund für diese hochkomplexe Vernetzung der Organisationen, die kreuz und quer durch die Union Kommunkationskanäle legen müssen, sei weniger ein der EU gern nachgesagter Hang zur Bürokratisierung, meint Wenning. Dieser Cybervernetzungs-Overkill, bei dem Koordinatoren andere Koordinatoren koordinieren müssen, sei vielmehr das Resultat einer Mangelerscheinung, sagte Wenning abschließend: „Es fehlt an klaren, gemeinsamen Entscheidungen und Vorgaben der Politik auf nationalen Ebenen und das treibt den Koordinationsaufwand auf EU-Ebene dann eben in lichte Höhen. Ein an sich sinnvolles Zertifizierungssystem ist dadurch zum Politikersatz verkommen.“
Deutschland und Österreich nicht kompatibel
Die hochkomplexen Strukturen auf EU-Ebene sind also das Resultat der Auseinanderentwicklung auf den nationalen Ebenen. Ein aktuelles, schlagendes Beispiel dafür ist die Neufassung der deutschen Cybersicherheitsstrategie. In Deutschland ist es Teil dieser Strategie, gewisse neuentdeckte Software-Sicherheitslücken für Polizei - und Geheimdienste offenzuhalten, die deutsche Cyberbehörde ZiTis soll die zugehörige Trojaner-Schadsoftware für mehrere Dutzend deutsche Bundes- Landesbehörden entwickeln.
In Österreich wurde den Strafverfolgern hingegen 2019 die „Herstellung und In-Umlauf-Bringung“ von Schadsoftware durch den Verfassungsgerichtshof explizit untersagt. Daher sind Sicherheitslücken grundsätzlich zu schließen, der Einsatz von Trojaner-Schadsoftware - durch wen auch immer - steht unter Strafandrohung. Eine gemeinsame Cybersicherheitspolitik alleine dieser beiden EU-Staaten kommt unter diesen Bedingungen einer Quadratur des Kreises gleich.
Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Publiziert am 04.07.2021
