Sicherheitskonferenz Die EU entdeckt die Gefahren aus dem Netz

IT-Sicherheitsexperten debattierten über die Zukunft des Internets in Europa und beschwören ein Horrorszenario: Auf ein großes IT-Unglück sei die EU nicht vorbereitet. Helfen sollen straffe Entscheidungsstrukturen - und eine EU-Agentur.

Web-Bedrohungen: Die EU-Agentur Enisa verlangt klare Entscheidungsstrukturen
Corbis

Web-Bedrohungen: Die EU-Agentur Enisa verlangt klare Entscheidungsstrukturen


Wenn einige Dutzend internationaler IT-Experten über die Zukunft des Internets reden, dann geht es vor allem um Risiken und Gefahren: Internet-Verbrecher, Cyber-Terrorismus und kriegerische Angriffe im und übers Netz - darüber debattierten Experten beim dritten Treffen der europäische IT-Sicherheitsagentur Enisa auf der griechischen Insel Kreta. Ihr Thema: Risiken in Europas Internet der Zukunft.

Die schlechte Nachricht: Auch wenn sich in den vergangenen Jahren vieles verbessert hat, ein wasserdichtes Sicherheitskonzept für das Internet hat die EU noch lange nicht. Es mangelt an Forschung, an Praxis, zuletzt immer wieder an der Organisation. Und so drehte sich die Konferenz weniger um konkrete Gefahren, also Botnetze, Cyberspionage und Internet-Terrorismus, als vielmehr um prinzipielle Antworten auf die große Frage: Wie schützen wir die EU vor dem Internet?

In einem Punkt sind sich die Konferenzteilnehmer einig: Es müssen dringend offizielle, formelle Strukturen her, sonst knallt es beim nächsten IT-Unfall oder Cyberangriff. Weil offizielle Strukturen fehlen, regeln die IT-Sicherheitsspezialisten in EU-Institutionen, nationalen Regierungen und der Privatwirtschaft viele Probleme informell auf dem kurzen Dienstweg. Das ist ineffizient, in Krisenzeiten riskant, politisch und rechtlich problematisch - ein Fall von positiver Korruption.

Kennenlernspiele für mehr Effizienz

Dass es anders gehen muss, soll das erste paneuropäische Cyber-Manöver zeigen, das die Enisa im November veranstaltet. Zum ersten Mal werden sich alle 27 Mitgliedsstaaten - als Mitspieler oder Beobachter - in einem Planspiel mit einer konkreten IT-Krise auseinandersetzen müssen. Übungsleiter Panagiotis Trimintzios erklärt SPIEGEL ONLINE, dass es dabei weniger auf die Lösung des Problems ankommt. Wichtiger sei es, dass die Experten sich gegenseitig kennenlernen. Die Bemühungen der Enisa, die EU in Sachen IT-Sicherheit zusammenzuführen stehen also noch ganz am Anfang.

Entsprechend pessimistisch ist daher auch Übungsleiter Trimintzios: Wenn morgen ein großes Internet-Unglück passiert, sagt er, vergehen vermutlich Wochen, bis sich die EU-Mitgliedsstaaten organisiert und für Gegenmaßnahmen gerüstet haben. Deswegen seien solche Übungen ungemein wichtig, denn "im Grunde haben wir keine Ahnung."

Die Probleme sitzen tief: Viele Mitgliedsstaaten wollen sich nicht in ihre - vermeintlich - inneren Sicherheitsprobleme reinreden lassen. Es steht ja auch vieles auf dem Spiel: Wie soll die Weigerung eines Staates, bei der Aufklärung eines Cyberverbrechens mitzuwirken, interpretiert werden? Was ist die angemessene Erwiderung auf einen möglicherweise staatlich geförderten Cyberterrorismus, auf Wirtschaftsspionage, zielgerichtete Hackangriffe? Was soll die Öffentlichkeit erfahren, wie soll mit Firmengeheimnissen umgegangen werden? Wem sollen die IT-Profis überhaupt trauen? Und: Wer ist davor, währenddessen, danach verantwortlich, falls etwas schief geht?

Spurloses Daten-Desaster

Lauri Almann kennt all diesen Fragen. Als Beamter im estnischen Wirtschaftsministerium war er mit der Aufklärung der angeblich in Russland koordinierten Angriffe auf die estnische Internet-Infrastruktur befasst. Auf der Enisa-Konferenz rief er den Experten zu: "Könnt ihr euch vorstellen, was wir mit formalen Abläufen hätten erreichen könne?" Heute wisse man nicht mal mehr, wer nach den Hackangriffen die entscheidenen Anordnungen gegeben hatte. "Es gibt keine juristisch dichte Entscheidung! Keine belastbaren Dokumente!" Seine Botschaft: Lernt aus unserer Krise, baut Strukturen auf! Nicht, dass es jemandem so ergeht, wie jenem Cert-Mitarbeiter, der in einer Warteschleife einer unter Cyberangriff stehenden Firma verhungern musste, weil er keinen offiziellen Ansprechpartner kannte.

Wie es besser geht, zeigt Amerika: Dort ist relativ klar geregelt, was im Notfall zu tun ist. Firmen drohen Bußgelder, wenn sie Sicherheitsvorfälle nicht der Regulierungsbehörde FCC melden. Weigert sich ein anderes Land bei der Aufklärung von Cyberstraftaten, heißt es ganz einfach: Wer eine Partei im Cyberterror gegen uns unterstützt oder deckt, ist selbst ein Terrorist. Davon träumen sie in Europa nur.

Auf der Enisa-Konferenz wird derweil noch gefeiert, dass nun fast jedes Land eine eigene staatliche Cyberwache, ein Computer Emergency Response Team (Cert) hat - fast jedes Land. Zusammen mit den privatwirtschaftlich organisierten sind es europaweit immerhin 250 sogenannte Response Teams - die sind vor allem informell und damit im Ernstfall nur wenig effizient organisiert.

Expertise und Verstand

Kleinstaaterei und Bedenkenträgerei lehnt auf dieser Konferenz jeder ab. Eine Cyber-Kommandostelle nach US-Vorbild wünscht sich trotzdem niemand, auch nicht die Enisa. Sie will weiterhin als Expertenagentur die EU-Institutionen "in allen Cyberdingen" zur Seite stehen, sagt Enisa-Chef Udo Helmbrecht SPIEGEL ONLINE. Seit dem Inkrafttreten des Vertrags von Lissabon fällt darunter im Bereich der Prävention die Cyber-Verteidigungsbereitschaft und der Kampf gegen die Cyberkriminalität. Ehemals die heiligen Kühe der Cyber-Innenpolitik.

Aber es fehlt noch an einer neuen Regulierung der Enisa-Aufgaben - und an einem wichtigen Go! aus Brüssel: Die Europäische Kommission verhandelt derzeit um eine Verlängerung des Enisa-Mandats nach März 2012 - und darum, wie die EU mit den wachsenden Chancen und der wachsenden Bedrohung aus dem Netz umgehen soll. Hoffentlich hört sie auf ihre eigenen Experten.



© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.