EU-Einrichtungen unzureichend auf zunehmende Cyberangriffe vorbereitet

Cyberattacken auf EU-Institutionen häufen sich. Laut einem neuen Sonderbericht des Europäischen Rechnungshofs vom Dienstag (29. März) sind sie dafür aber ungenügend gewappnet. Die Prüfer empfehlen verbindliche Vorschriften, verbesserte Ressourcen des IT-Notfallteams und intensivere, institutionsübergreifende Zusammenarbeit.

Obwohl sich die Europäische Kommission die Stärkung der Cyberresilienz der EU-Institutionen auf die Fahnen geschrieben hat, weist sie in der Praxis immer noch erhebliche Mängel auf. So kam ein Bericht des Europäischen Rechnungshofs zu dem Ergebnis, dass die Einrichtungen keine einheitliche Strategie verfolgen und grundlegende Kontrollen und Verfahren fehlen.  Dies könne zu erheblichen Schäden führen, weshalb die Prüfer des Rechnungshofs mahnen, dass die Cybersicherheitsarchitektur der Institutionen überarbeitet werden sollte.

„Die EU muss mehr dafür tun, ihre eigenen Behörden zu schützen“, sagte Bettina Jakobsen, zuständiges Mitglied für die Prüfung des Europäischen Rechnungshofs. Den Vorschlag der Kommission vom 22. März zu neuen Vorschriften für mehr Cybersicherheit versteht der Europäische Rechnungshof als Folgemaßnahme zu seinen Empfehlungen.

EU-Einrichtungen als Ziel für Angriffe

Zwischen 2018 und 2021 hat sich die Zahl der schweren Cyberattacken auf EU-Einrichtungen mehr als verzehnfacht. Durch die Zunahme der Homeofficearbeit haben Hacker auch eine erweiterte potenzielle Angriffsfläche. Dem Personal fehlt es aber an systematischen Schulungen zum Thema Cyberbedrohungen: Nur 29 % des Führungspersonals von EU-Institutionen, die für sensible Daten verantwortlich sind, werden geschult.

„Die Organe, Einrichtungen und sonstigen Stellen der EU sind attraktive Ziele für potenzielle Angreifer und insbesondere für Gruppen, die in der Lage sind, technisch anspruchsvolle verdeckte Angriffe zum Zweck der Cyberspionage und anderen schädlichen Zwecken durchzuführen“, so Jakobsen. Abgesehen von finanziellen Kosten könne dies dem Ruf der EU schaden und das Vertrauen in ihre Organe untergraben.

Die Institutionen haben ihre Cyberabwehr unterschiedlich stark entwickelt und sind laut dem Bericht grundsätzlich nicht ausreichend auf mögliche Cyber-Angriffe vorbereitet. Eine Schwachstelle in einer einzelnen Institution könnte hierbei bereits weitreichende Konsequenzen haben. Da die verschiedenen Institutionen eng miteinander verknüpft sind, könnte ein erfolgreicher Angriff nämlich zu einem Dominoeffekt führen und auf andere EU-Einrichtungen übergreifen.

Momentan gibt es keinen Rechtsrahmen für die Informations- und Cybersicherheit in den Stellen der EU, weder die NIS-Richtlinie noch deren überarbeitete Fassung, die NIS-2-Richtlinie, gelten für sie.

Empfehlungen an EU-Einrichtungen

Ein solides, einheitliches Cybersicherheitskonzept und wesentliche Kontrollen seien erforderlich, um die Sicherheit von Informationen zu gewährleisten. Sensibilisierungsprogramme seien ein wichtiger Bestandteil eines wirksamen Sicherheitsrahmens: Beispielsweise können simulierte Phishing-Kampagnen ein bedeutsames Übungsmittel sein, diese kommen bislang aber nicht systematisch zum Einsatz.

Synergien zwischen den Institutionen werden zudem nicht ausreichend ausgeschöpft. Sowohl bei dem Austausch von Informationen zu Projekten und Sicherheitsbewertungen zwischen den Einrichtungen als auch der verstärkte Fokus auf interoperable Kommunikationsmittel gibt es laut dem Europäischen Rechnungshof daher noch Luft nach oben.

In dem Bericht werden die wichtigsten Stellen zur Unterstützung in der Cybersicherheit, die Agentur der Europäischen Union für Cybersicherheit (ENISA) und das Reaktionsteam für IT-Sicherheitsvorfälle (CERT-EU), als unzureichend und unterfinanziert bewertet. Den Stellen wird empfohlen, diejenigen Bereiche zu ermitteln, welche die meiste Unterstützung benötigen, und Maßnahmen für den Kapazitätsausbau zu setzen. Die Kommission solle diese Stellen mit Ressourcen aufstocken.

Kommissionsvorschlag zu neuen Vorschriften für mehr Cybersicherheit

Angesichts dieser Mängel hat die Kommission am 22. März neue Vorschriften zur Verbesserung der Cybersicherheit in den Organen, Einrichtungen, Agenturen und Ämtern der EU vorgeschlagen.

Die Verordnung zielt darauf ab, ihre Widerstandsfähigkeit und Reaktionsfähigkeit gegen Cyberangriffe zu verbessern, indem ein Rahmen für Governance, Risikomanagement und Kontrolle geschaffen und ein neuer interinstitutioneller Cybersicherheitsbeirat eingesetzt wird. Auch das Mandat für CERT-EU soll mit Ressourcen gestärkt werden. CERT-EU, unter Beibehaltung des Kurznamens, soll in „Cybersicherheitszentrum“ umbenannt werden.

EU-Kommissar Johannes Hahn nannte dieses Vorhaben einen  „Meilenstein in der Cyber- und Informationssicherheitslandschaft der EU” und ein „wahrhaft kollektives EU-Unterfangen”.

Auch von EU-Parlamentariern wird eine Nachjustierung bei der Cybersicherheit der EU Institutionen gefordert. „Alle EU-Institutionen sind von Nationalstaaten und anderen angegriffen worden, so dass es keine Minute zu früh ist, die Cyberabwehr der EU zu stärken”, erklärte etwa Bart Groothuis, Berichterstatter für eine der zentralen EU-Cybersecurity Rechtsakte – der sogenannten NIS-2-Richtlinie – gegenüber EURACTIV.

Groothuis fordert daher die Ausarbeitung einer neuen Verordnung, die auch für die Institutionen gilt. Denn angesichts der steigenden Bedrohungslage im Cybersicherheitsbereich bräuchte es auch „militärische Sicherheitsvorkehrungen hier in Brüssel”, so der EU-Parlamentarier.

[Bearbeitet von Oliver Noyan]