Cyberangriffe auf europäische Institutionen nehmen zu. Wie können wir uns dagegen wehren?
14.02.2023So waren beispielsweise vor einigen Wochen europäische Institutionen Ziel eines Cyberangriffs aus Russland, der zufällig an dem Tag stattfand, an dem wir im Europäischen Parlament eben dieses Land als Terror-Unterstützer, also als einen staatlicher Unterstützer von Terrorismus erklärt haben. In den letzten Jahren hat die Anzahl der Cyberangriffe auf die EU, insbesondere aus Russland und China, unverhältnismäßig stark zugenommen. Allein im ersten Halbjahr 2021 verzeichneten die EU-Institutionen so viele wie im gesamten Jahr 2020.
Wie können wir uns also wirksam dagegen verteidigen? Und vor allem: Ist es sinnvoll, absolut alle Informationen vor ihrer Offenlegung zu schützen? Wenn wir als Europa tatsächlich im 21. Jahrhundert ankommen wollen, müssen wir auf solche Fragen klare Antworten haben.
Die Risse werden größer
Vor einem Monat habe ich das Zentrum für Cybersicherheit der EU (CERT-EU) besucht, um mich über den Stand der Cybersicherheit in den europäischen Institutionen zu informieren. Schließlich hängt die IT-Sicherheit der EU-Institutionen nicht unmaßgeblich von dem relativ kleinen Expertenteam von CERT-EU ab, das genau diesen Bereich überwacht. Dies geschieht in erster Linie durch den Austausch von Informationen über potenzielle Bedrohungen und die Koordinierung der Reaktion auf mögliche Angriffe. Die Ergebnisse sind beklagenswert schwach.
Dies bestätigt im Großen und Ganzen auch eine aktuelle Analyse des Europäischen Rechnungshofs. Dieser zufolge sind die europäischen Institutionen und Einrichtungen noch nicht ausreichend auf die aktuelle Bedrohungslage im Netz vorbereitet.
Wissen Sie ja, jede Kette ist nur so stark wie ihr schwächstes Glied. Genauso verhält es sich mit der Cybersicherheit der europäischen Institutionen. Alle Institutionen sind über ein gemeinsames Netz verbunden, über das sie kommunizieren und miteinander Informationen austauschen.
Zudem hat jede einzelne EU-Institution in Bezug auf ihre Cyberschutzmaßnahmen ihren eigenen Ansatz und ihre eigene Strategie. Das bedeutet, dass beispielsweise der Europäische Auswärtige Dienst oder der Europäische Gerichtshof das Thema ‚Gefahren aus dem Netz‘ sehr verantwortungsbewusst angehen, während andere Institutionen hier noch in den Kinderschuhen stecken.
Auch gibt es keinen einheitlichen Überwachungsmechanismus, der überwachen könnte, ob und ernsthaft und verantwortungsbewusst sich die einzelnen Institutionen mit der Cybersicherheit befassen. In der Praxis bedeutet dies, dass nicht einmal wir selbst wissen, wo das schwächste Glied in der Cybersicherheitskette steckt.
Was nun?
Wir müssen so schnell wie nur irgend möglich etwas gegen den traurigen Zustand der europäischen Cybersicherheit unternehmen. Deshalb arbeite ich als Schattenberichterstatter zusammen mit meinen Kollegen an der Entwicklung eines neuen Vorschlags für eine EU-Verordnung zur Stärkung der Cyberabwehr.
- In erster Linie muss die Rolle von CERT-EU erheblich gestärkt werden, damit diesem Bereich die Mittel zur Verfügung stehen, die er benötigt, um seine Aufgabe wirklich verantwortungsvoll und auf hohem Niveau zu erfüllen kann. Dies würde vor allem bedeuten, die Zahl der Mitarbeiter und ihre finanzielle Vergütung zu erhöhen, damit sie mit dem privaten Sektor konkurrieren können. Im Vergleich zu den Hunderten Mitarbeitern in den russischen Trollfarmen beschäftigt CERT-EU derzeit gerade mal rund 50 Personen.
- Wenn wir eine einheitliche und hochwertige Cybersicherheit in der EU haben wollen, müssen wir dringend für eine bessere Kooperation der Institutionen in diesem Bereich sorgen. Die Institutionen sollten sich gegenseitig aktiv helfen und neue Sicherheitssysteme empfehlen.
- Trotz alledem haben wir noch immer keine Garantie dafür, dass die Institutionen die Maßnahmen tatsächlich umsetzen werden. Hier können nur jährlichen Cybersicherheitsaudits und anschließende Kontrollen durch den Europäischen Rechnungshof und die Entlastungsbehörden eine Rolle helfen. In der Praxis bedeutet das, dass Institutionen, die die geforderten Maßnahmen für das betreffende Jahr nicht durchführen, Gefahr laufen, den jährlichen Finanzabschluss nicht zu erhalten.
- Die Umsetzung und Anwendung von Maßnahmen gegen Cyberangriffe wird von der Interinstitutionellen Kommission für Cybersicherheit überwacht. Der Europäische Datenschutzbeauftragte (EDSB) könnte ebenfalls Teil der Kommission werden.
- Wir müssen die Sicherheit der Kommunikation zwischen den einzelnen Institutionen erhöhen. Es darf nicht sein, dass jemand, dem es gelingt, die Schutzmaßnahmen einer Institution zu durchbrechen, sofort auch an die Informationen einer anderen gelangen. In der neuen Verordnung schlagen wir daher vor, eine vollständige, also eine End-to-End-Verschlüsselung der Kommunikation zwischen den Institutionen vorzusehen und neue Technologien unter Verwendung von Open-Source-Lösungen zu entwickeln, die es leichter machen, Probleme gemeinsam zu finden und zu beheben.
Alles hat sein „aber“
Im Vorstehenden habe ich mich mit einer ganzen Reihe von Gründen befasst, warum wir hinsichtlich unserer Bemühungen in Bezug auf den Schutz sensibler EU-Informationen vor Angriffen oder Datenlecks aufmerksamer werden müssen. Es kommt nämlich nicht selten vor, dass einige Informationen so bewacht und geheim sind, dass selbst EU-Abgeordnete, die diese zur effektiven Erfüllung ihrer Mandate benötigen, keinen Zugang zu ihnen haben.
Als universelles Beispiel möchte ich hier die Weigerung der Kommission anführen, die Verträge über den Kauf von Impfstoffen zu veröffentlichen, obwohl wir sie seit fast zwei Jahren darum ersuchen. Es wurden zwar schließlich einige Verträge öffentlich gemacht, die dort enthaltenen Schlüsselinformationen wurden aber zuvor geschwärzt. Es ist mir und meinen Kollegen im Haushaltskontrollausschuss praktisch unmöglich, die Ausgaben der Kommission zu überwachen, wenn wir nicht einmal wissen, wie viel Steuergeld tatsächlich ausgegeben wurde.
Der Schutz von Informationen ist wichtig, darf aber nicht dazu missbraucht werden, den Umgang mit europäischem Geld bewusst zu verschleiern. Deshalb arbeiten wir an einem Vorschlag für eine Verordnung über die Informationssicherheit in den europäischen Institutionen, die der Öffentlichkeit einen besseren Zugang zu den betreffenden Informationen gewährleistet.