Cyber-Bedrohungslage in der EU bleibt schwierig, Angriffe werden raffinierter

Während es seit dem Ausbruch des Krieges in der Ukraine keine radikale Veränderung in Hinblick auf Cyber-Bedrohungen gegeben habe, seien die Angriffe intensiver und raffinierter geworden, so Juhan Lepassaar, Exekutivdirektor der EU-Cybersicherheitsagentur ENISA am Montag (26. September).

Seit Februar 2022 wurde nur ein einziger signifikanter Cyberangriff verzeichnet: der Viasat-Angriff, der als Spillover-Effekt den Betrieb von Tausenden von Windrädern in Deutschland störte.

Die Kosten von Ransomware-Angriffen nehmen jedoch zu, wobei der Mangel an Fachkräften und der Schutz kritischer Sektoren ein wichtiges Thema ist.

„Das sollte nicht heißen, dass wir weniger wachsam sein sollten. Die gesamte Bedrohungslandschaft ist nach wie vor schwierig“, sagte Lepassaar von ENISA während einer parlamentarischen Anhörung im Ausschuss für Industrie, Forschung und Energie (ITRE).

Ransomware-Angriffe stellen die größte Bedrohung dar, gefolgt von Social Engineering und Malware. „Da sich staatlich unterstützte Akteure verstärkt auf wirkungsvolle Angriffe konzentrieren, die auf Lieferketten abzielen, könnten die Kosten für Ransomware bis 2031 weit über 250 Milliarden Euro betragen“, fügte der Chef der Agentur hinzu.

Ein großes Problem bestehe darin, so Lepassaar, dass die betroffenen Organisationen die Angriffe in vielen Fällen nicht an die zuständigen Behörden melden. Im Jahr 2021 wurden von den Mitgliedstaaten null Fälle mit grenzüberschreitender Relevanz gemeldet, obwohl ein Großteil der Fälle mehrere Länder betraf.

„Der Grund, warum die Länder das nicht melden, ist, dass sie es nicht wissen. Der Grund, warum sie es nicht wissen, ist, dass sie es nicht teilen. Es ist also ein Teufelskreis, den wir auf Unionsebene irgendwie durchbrechen müssen“, sagte Lepassaar.

Um die Risiken von Cyberangriffen zu minimieren, schlug der Agentur-Chef vor, sich auf Investitionen zu konzentrieren, um den Mangel an qualifizierten Arbeitskräften zu bekämpfen und die Investitionen in kritischen Sektoren zu erhöhen, wobei er das Gesundheitswesen hervorhob.

Ende Oktober, dem europäischen Monat der Cybersicherheit, wird die ENISA ihren jährlichen Bericht zur EU-Bedrohungslandschaft für 2022 veröffentlichen.

Zertifizierungssystem für Cybersicherheit

Der ENISA-Chef wies ebenfalls darauf hin, dass die EU das Bewusstsein für die Bedrohungen schärfe und dass derzeit mehrere Gesetzesvorhaben und Projekte zur Verbesserung der Cybersicherheit in Vorbereitung seien.

Erst kürzlich, am 15. September, hat die Kommission ihren Entwurf für das Gesetz über Cyberresilienz vorgelegt, das Cybersicherheitsvorschriftenstärken und sicherere Hardware- und Softwareprodukte gewährleisten soll.

Darüber hinaus ist das Zertifizierungssystem für Cybersicherheit für Cloud-Dienste (EUCS) fortgeschritten, zu dem die ENISA im Sommer einen Entwurf vorgelegt hatte, der eine Kontroverse über die Anforderungen an die Souveränität der europäischen Datenlokalisierung und die Immunität gegenüber ausländischem Recht auslöste.

Der liberale Europaabgeordnete Bart Groothuis und Berichterstatter für die Richtlinie zur Netz- und Informationssicherheit 2, wiederholte während der Anhörung am Montag die Forderung nach einer politischen Diskussion. „Wir brauchen eine politische Debatte, denn das widerspricht dem risikobasierten Ansatz, den wir in der NIS 2 vorgeschlagen haben.“

Während das Mandat der ENISA rein technisch ist, forderten mehrere Mitgliedsstaaten, darunter Estland, die Niederlande, Griechenland – und nun auch Deutschland – politische Diskussionen. Sie bemängeln, dass die Anforderungen der Regelung den Wettbewerb einschränken würden, selbst wenn Nicht-EU-Unternehmen das gleiche oder sogar ein höheres Cybersicherheitsniveau bieten könnten.

Ein EU-Diplomat erklärte gegenüber EURACTIV, dass die Wahrscheinlichkeit, dass es zu solchen politischen Diskussionen auf Ratsebene kommen könnte, zunehme.

In der Zwischenzeit soll die ENISA einen neuen Entwurf des Systems vorlegen, zu dem die Europäische Gruppe für Cybersicherheitszertifizierung (ECCG) – bestehend aus Vertretern der nationalen Cybersicherheitszertifizierungsbehörden – verpflichtet ist, eine Stellungnahme abzugeben. Hier werden die Mitgliedstaaten die Möglichkeit haben, ihre Meinung zu diesen Anforderungen zu bekunden.

Zuvor wurde der Entwurfsprozess des Systems von vielen Akteuren als intransparent bezeichnet, „wobei die Interessenvertreter der Industrie und die anderen Mitgliedsstaaten im Dunkeln gelassen wurden und nun aufgefordert werden, eine neue Version des Systems als vollendete Tatsache zu akzeptieren“, so ein Sprecher vom Dachverband DIGITALEUROPE gegenüber EURACTIV.

Nach der Stellungnahme der ECCG wird die ENISA den Entwurf an die Kommission weiterleiten, die dann den entsprechenden Durchführungsrechtsakt ausarbeiten wird. Es bleibt abzuwarten, ob die ENISA die für Ende November erwartete Stellungnahme der ECCG einbeziehen wird.

[Bearbeitet von Nathalie Weatherald]