Halbzeit in Sachen IT-Sicherheit – Die EU überarbeitet ihre digitale Binnenmarktstrategie

Die EU und ihre Mitgliedstaaten – insbesondere Deutschland – haben in den vergangenen Jahren auf regulatorischer Ebene Einiges in Sachen IT-Sicherheit geleistet: Das IT-Sicherheitsgesetz (IT-SiG) wurde 2015 eingeführt, die darauf basierende BSI-Kritis-Verordnung (BSI-KritisV) fertiggestellt, die nationale Cyber-Sicherheitsstrategie von 2011 wurde Ende 2016 novelliert und die Netz- und Informationssicherheitsrichtlinie der EU (NIS-RL) inklusive eines nationalen Umsetzungsgesetzes für diesen europäischen Rechtsakt im Bereich der Cybersicherheit auf den Weg gebracht. Eigentlich, so sollte man meinen und war bisher auch die nahezu einhellige Meinung, sei damit der politische Entscheidungs- und damit auch der Gesetzgebungsprozess zumindest die IT-Sicherheit betreffend vorerst abgeschlossen – zumal die Implementierungsphase der neuen Anforderungen für betroffene Betreiber und die Errichtung eines europäischen Cybersecurity-Netzwerks für die Behörden genügend anspruchsvolle Aufgaben mit sich bringt.

WannaCry als Meilenstein der europäischen IT-Sicherheitspolitik

Grundlegend geändert hat sich das rechtspolitische Klima jedoch infolge der weltweiten WannaCry-Attacke im Mai 2017. Unbekannte Angreifer konnten hier eine Sicherheitslücke im Microsoft-Betriebssystem Windows ausnutzen, ihr Schadcode verschlüsselte auf den betroffenen Rechnern die Daten und forderte Nutzer zur Zahlung eines Lösegelds auf. Die Schadsoftware infizierte nach Angaben von Europol dabei etwa 200.000 Computersysteme in 150 Ländern. Nachdem sich schon recht kurze Zeit darauf in Deutschland erste Politiker zur Verschärfung der Vorgaben des IT-SiG aussprachen, hat der Rat der Europäischen Union Ende vergangener Woche in Luxemburg die rechtliche Regulierung von Cybersicherheit erneut aufgegriffen. Vor allen Dingen die französische Regierung stellte sich hier als treibende Kraft dar und stellte auch die Überarbeitung der NIS-RL in Aussicht.

Novellierung der europäischen Cyber-Sicherheitsstrategie von 2013

Basierend auf der Halbzeitbewertung der digitalen Binnenmarktstrategie, die im Mai 2017 von der EU-Kommission vorgestellt wurde, wurde nicht nur erkannt, dass der Aufbau einer europäischen Datenwirtschaft einen Schlüssel zum weiteren Zusammenwachsen der Marktwirtschaften darstellt, sondern dass hierfür ebenso sichere wie funktionsfähige Kommunikations- und Datenverarbeitungskanäle zur Verfügung stehen müssen. In diesem Zusammenhang wurden verschiedene aktuelle Probleme identifiziert und Lösungen vorgeschlagen: So soll, auch mit einem Blick auf die zivilrechtliche Haftung und unter Berücksichtigung der Ergebnisse der Bewertung der Richtlinie über die Haftung für fehlerhafte Produkte und die Maschinenrichtlinie, der gegenwärtige Rechtsrahmen an neue technische Entwicklungen angepasst werden, um die Feststellung der technischen wie rechtlichen Verantwortlichkeit für Schäden, die zum Beispiel durch angreifbare Software verursacht wurden, zu erleichtern. Daneben wird speziell das Thema der Erpressungstrojaner, so genannter Ransomware, aufgegriffen. Seit 2015 sei für die Verwendung derartiger Schadsoftware eine Zunahme von 300% zu beobachten gewesen, weswegen effektive Maßnahmen zur Cybersicherheit und ein Krisenmanagement auf EU-Ebene, das in besonderem Maße die transnationale Zusammenarbeit berücksichtige, zwingend erforderlich seien. Zwar verfüge Europa bereits seit 2013 über eine Cyber-Sicherheitsstrategie. Infolge der in den letzten Jahren erheblich veränderten Bedrohungslage sei es jedoch vonnöten, die damals erarbeitete Strategie deutlich anzupassen. Zurzeit werde die Wirksamkeit der Vorgaben von 2013 analysiert, ebenso finde eine Feststellung von Lücken in IT-Abwehrmaßnahmen der EU statt. Unter dem Gesichtspunkt der EU NIS-RL sei zudem zu überprüfen, ob und wie der Auftrag und die Aufgaben der Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) ausgebaut werden könnten.

IT-Security by Design und PPP für Cybersicherheit

Die im Rahmen der zur Halbzeitbewertung der digitalen Binnenmarktstrategie getroffenen Feststellungen gehen ferner auch auf Big Data- und Cloud-Anwendungen ein. So müssten vernetzte Produkte und Systeme schon ab dem Moment ihrer Markteinführung sicher sein, dabei seien auch datenschutzrechtliche Gesichtspunkte zu berücksichtigen. Durch die Schaffung eines europäischen Sicherheitsrahmens in der Informations- und Kommunikationstechnik und einer entsprechenden Sicherheitszertifizierung könne zudem das Vertrauen in das Internet bewahrt wie zugleich auch der gegenwärtig stattfindenden Fragmentierung des Cybersicherheitsmarktes begegnet werden. Insbesondere erhofft sich die EU von der im Juli 2016 geschaffenen öffentlich-privaten Partnerschaft für Cybersicherheit, die bis zum Jahr 2020 Investitionen in der Höhe von bis zu 1,8 Milliarden Euro mobilisieren soll, die Begründung einer Ausgangsbasis, um mitgliedstaatlich gemeinsam die Robustheit im Bereich der IT-Sicherheit zu stärken, die Forschung anzuregen und um zu gewährleisten, dass den verschiedenen Sektoren Kritischer Infrastrukturen eine leistungsfähige Cybersicherheitsindustrie mit effektiven Produkten zur Verfügung steht.

Konkrete Pläne bis September 2017

Fußend auf den vordefinierten Zielen hat sich die europäische Kommission einen engen Zeitplan gesetzt und bereits für September dieses Jahres die Umsetzung verschiedener Maßnahmen der IT-Sicherheit angekündigt: So soll die gegenwärtige europäische Cyber-Sicherheitsstrategie vollständig überprüft werden und gegebenenfalls bereits in der aktualisierten Fassung vorliegen, das Mandat der ENISA inhaltlich an die NIS-RL angepasst werden und es sollen Maßnahmen zu Cybersicherheitsnormen und zur Zertifizierung und Kennzeichnung entwickelt werden, um die IT-Sicherheit für IKT-gestützte und vernetzte Systeme zu erhöhen.

Aktualisierung der gegenwärtigen Cybersicherheitsvorgaben: Ja, aber maßvoll!

Die politischen Entscheidungen, die aus der Halbzeitbewertung der europäischen digitalen Binnenmarktstrategie folgen, könnten wesentliche Weichenstellungen auch für eine mögliche Überarbeitung der NIS-RL in den kommenden Jahren bedeuten. Es bleibt nur zu hoffen, dass der Gesetzgeber in diesem Falle nicht über sein eigentliches Ziel hinaus schießt: Wo durch das IT-SiG 2015 und durch die EU NIS-RL 2016 zunächst ein harmonischer Katalog rechtlicher Vorschriften geschaffen wurde, sollte verhindert werden, dass dieser nunmehr durch übereilte politische Entscheidungen insbesondere infolge der WannaCry-Angriffe in seiner Konsistenz gefährdet wird. Gerade jetzt, wo es an die praktische Implementierung der ohnehin schon anspruchsvollen neuen gesetzlichen Vorgaben geht, sollte den Betreibern genügend Freiraum gelassen werden – und das insbesondere auch in zeitlicher Hinsicht. Dies bedeutet jedoch nicht, dass das System der nationalen und europäischen Rechtsvorschriften zur IT-Sicherheit starr und damit für die nächsten Jahre völlig unverändert bleiben muss. So sind denknotwendigerweise die gegenwärtigen technischen und politischen Entwicklungen auch in das Recht mit einzubeziehen – aber mit Augenmaß. Insoweit ist der eingeschlagene Weg, der sich vornehmlich auf die Situations- und Wirksamkeitsanalyse sowie auf die Novellierung der EU-Cybersicherheitsstrategie bezieht, durchaus richtig – soweit er sich zunächst auch darauf beschränkt. Verfehlt hingegen wäre es, aus politischem Aktionismus heraus eine zeitnahe Novellierung des IT-SiG oder gar der EU NIS-RL anzustreben, denn übereilte gesetzliche Regelungen sind zumeist nicht nur inhaltlich unausgegoren, sondern würden für den konkreten Fall durch eine Verunsicherung der Betreiber und der Schaffung eines technischen Mehraufwandes bei der Implementierung auch die Realisierung eines einheitlich hohen IT-Sicherheitsniveaus in Europa gefährden und dadurch letzten Endes wohl nur mehr schaden als nützen.

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben