EU fürchtet Angriffe auf Informationssysteme
Parallel zum Auftauchen des "Schadprogramms" stuxnet verkündet die Europäische Kommission "Abwehrmaßnahmen gegen Cyberangriffe"
Stuxnet wird allerorten die Weihe als Protagonist eines Paradigmenwechsels zugesprochen. Es scheint eingetreten, was von Regierungen, Geheimdiensten und ominösen "Sicherheitsberatern" seit Jahrzehnten orakelt (Homeland Defense, virtuelle Raketenabwehr - und das schnöde Ende einer Medienhysterie) und vom Spiegel 2001 als "@-Bombe" betitelt wurde. Frank Rieger kommentierte in der FAZ den "digitalen Erstschlag", Eugene Kaspersky spricht vom "Auftakt zu einem neuen Zeitalter des Cyberterrorismus, der Cyberwaffen und -kriege".
Pünktlich zum Auftauchen von stuxnet überrascht die EU-Kommission mit der Ankündigung zweier neuer Maßnahmen, um die "Verteidigungsfähigkeit gegen Angriffe auf wichtige Informationssysteme" sicherzustellen.
Bereits seit März hat die EU-Kommission einen Vorschlag für einen Aktionsplan für die Umsetzung der konzertierten Strategie zur Bekämpfung der Cyberkriminalität in der Pipeline. Weil Cyberkriminalität "ihrem Wesen nach grenzüberschreitend" sei, mache ihre Bekämpfung auch "angemessene grenzüberschreitende Vorkehrungen erforderlich". Es geht vor allem um internationale Zusammenarbeit und Amtshilfe bei der Strafverfolgung sowohl innerhalb Europas, aber auch zwischen der EU und Drittländern.
Die EU-Mitgliedstaaten werden aufgerufen, umgehend das Übereinkommen des Europarates über Computerkriminalität aus dem Jahr 2001 zu ratifizieren. Indes soll die Kommission "Partnerschaften zwischen dem öffentlichen und dem privaten Sektor" verbessern und hierfür ein EU-Musterabkommen ausarbeiten. Die Maßnahmen gehen unter anderem auf das Stockholmer Programm zurück, das als weitere Schritte Legislativvorschläge zu "Angriffen auf Informationssysteme" sowie zu "europäischen und internationalen Regelungen zur gerichtlichen Zuständigkeit in Bezug auf den Cyberspace" definiert.
Im Angriffsfall Hilfe der EU-Mitgliedsstaaten
"Mehrere neue Gefahren" haben die Kommission veranlasst, mit dem jetzt vorgelegten Vorschlag einer Richtlinie über Angriffe auf Informationssysteme den hierzu gültigen EU-Rahmenbeschluss von 2005 schnellstmöglich zu ersetzen. Das neue Papier wie die ebenfalls vorgelegte Folgenabschätzung bemängeln "inadäquate Strafverfolgungsverfahren" angesichts meistens grenzüberschreitendender Straftaten. Die Angriffe würden zudem oft nicht bemerkt oder – aus Furcht vor Rufschädigung – nicht angezeigt.
Mit der vorgeschlagenen Richtlinie sollen die "Urheber von Cyberangriffen sowie die Hersteller von damit in Verbindung stehender Software und Schadsoftware" besser verfolgt werden. Mitgliedstaaten würden verpflichtet, im Falle von Cyberangriffen schnell auf dringende Hilfeersuchen zu reagieren und etwa entsprechende Informationen bereitzustellen.
Die Verfasser haben es vor allem auf Angriffe mit Botnetzen ("Cyber-Großangriff") abgesehen, deren Initiatoren "dank unterschiedlicher gerichtlicher Zuständigkeiten" der juristischen Verfolgung entziehen könnten. Gleichzeitig würde diese organisierte Kriminalität "risikolos beträchtliche Gewinne erzielen".
Aber auch der Europäischen Kommission geht es ums Geld. Anlässlich der Vorstellung der neuen Maßnahmen zur Kontrolle des Cyberspace erklärte die frühere EU-Wettbewerbskommissarin und jetzige Kommissarin für die Digitale Agenda, Neelie Kroes, wenn die digitalen Märkte wachsen sollten, müssten die User sorglos online Geld ausgeben können. Man müsse "auf das Schlimmste" vorbereitet sein.
Kroes zitiert eine Studie des World Economic Forum von 2008, die auch Grundlage einer bereits letztes Jahr verabschiedeten Mitteilung der Kommission über den Schutz Europas vor Cyber-Angriffen und Störungen großen Ausmaßes: Stärkung der Abwehrbereitschaft, Sicherheit und Stabilität gewesen war. Die Verfasser behaupten dort eine Wahrscheinlichkeit von 10 bis 20 %, dass sich in den kommenden zehn Jahren ein größerer Ausfall von Informationsinfrastrukturen ereignen würde. Der Weltwirtschaft könnten dadurch Kosten von rund 250 Milliarden US-Dollar entstehen.
Digitaler Zivilschutz mit digitaler Feuerwehr
Grund genug für die Kommission, mit einer neuen Verordnung die seit 2004 bestehende Europäische Agentur für Netz- und Informationssicherheit (ENISA) fit für mehr Cyber-Kontrolle zu machen und einer "Stärkung und Modernisierung" zu unterziehen. Das Mandat des ENISA soll hierfür ab 2012 um fünf Jahre verlängert werden, nicht ohne finanzielle und personelle Mittel aufzustocken.
Der EU, den Mitgliedstaaten und den "privaten Akteuren" soll mit dem ENISA geholfen werden, ihre "Kapazitäten und Vorsorgemaßnahmen zur Prävention, Aufdeckung und Reaktion im Bereich der Internetsicherheit zu verbessern". Für vertrauensbildende Maßnahmen soll das ENISA "EU-Mitgliedstaaten und Akteure des Privatsektors" in europaweite gemeinsame Maßnahmen einbinden. Auf dem Programm stehen "Cybersicherheitsübungen, Public-Private-Partnerschaften für Netzwerkstabilität, Wirtschaftsanalysen und Risikobewertung sowie Sensibilisierungskampagnen".
Immerhin kann man sich jetzt die "Sensibilisierungskampagne" sparen. Der mit Auftauchen von stuxnet allseits postulierte Paradigmenwechsel wird seit kurzem auch von dem ENISA konstatiert und gleichzeitig vor weiteren, ähnlichen Attacken gewarnt. "Alle Sicherheitsbeauftragten müssen aus diesem Grund enger zusammenarbeiten und Strategien entwickeln, die besser sind und in engerer Kooperation eingesetzt werden", fordert der Geschäftsführende ENISA-Direktor Udo Helmbrecht. Die Agentur ist hierfür in zahlreiche grenzüberschreitende Aktivitäten zum Schutz "kritischer Informationsinfrastrukturen" (KII) eingebunden.
Die Aufseher europäischer Informationsinfrastrukturen werden vom ENISA mittels einer "digitalen Feuerwehr" unterstützt: Nationale, staatliche Computer-Notfallteams sollen in jedem Mitgliedsstaat patrouillieren und über ENISA grenzüberschreitend vernetzt werden. Die Computer Emergency Response Teams (CERT) sollen die Frühwarn- und Reaktionsfähigkeit verbessern.
Auch in Bezug auf gemeinsame "Cyber-Sicherheitsübungen" ist das ENISA längst aktiv. Mit "CYBER EUROPE 2010" ist erstmalig eine übergreifende Simulation digitaler Angriffe auf "Kritische Infrastrukturen" unter Einbezug aller EU-Mitgliedsstaaten sowie Island, Norwegen und der Schweiz abgehalten worden. Nach einer "Phase 1" wird ab November in zwei weiteren Etappen gegen digitale Eindringlinge gekämpft. Laut Planungen der Kommission sollen diese "Cyber-Sicherheitsübungen" den Weg zur zukünftigen Teilnahme an ähnlichen internationalen Manövern ebnen, darunter der gleichzeitig zum "CYBER EUROPE" zum dritten Mal abgehaltene Cyber Storm in den USA.
Zivil-militärischer Cyberspace
Die Anstrengungen der Europäischen Union dokumentieren indes auch einen anderen Paradigmenwechsel, wie er seit Jahren auch auf der Ebene der Europäischen Union betrieben wird: die zunehmende Verschmelzung von innerer und äußerer Sicherheit.
Der zivil-militärische Neusprech rund um den Cyberspace macht eine Abgrenzung von Krieg, Terrorismus und Kriminalität zusehends unklarer. In den letzten Jahren ist die Beantwortung von Angriffen, Sabotage, Blockade, Störungen, Diebstahl, Betrug, Unterschlagung, Vandalismus, Hooliganismus, Spam, Beleidigung oder Spionage immer öfter auf der Agenda der Europäischen Union und ihren Innenpolitikern zu finden. Die derzeitige Trio-Präsidentschaft hatte sich mit dem M.A.D.R.I.D.-Report am Thema abgearbeitet. Dem Papier folgte die Ankündigung des EU-Terrorismus-Koordinators Gilles de Kerchové, ein "umfassenderes Konzept für das Vorgehen gegen Cyber-Terrorismus, Cyber-Kriminalität, Cyber-Angriffe und Cyber-Kriege" zu entwickeln.
Kerchovés Statement klingt nach dem "comprehensive approach" wie er auch für die zunehmende analoge Zusammenarbeit von Polizei, Militär und Geheimdiensten verwendet wird. Zudem verweist Kerchové in seinem Beitrag auf die USA, die seit diesem Jahr mit Keith Alexander einen General zur Abwehr und Ausführung von Cyber-Angriffen eingesetzt haben (Das Wettrüsten im Cyberspace beginnt).
Fraglich bleibt, welche Stelle für die Beantwortung eines Angriffs zuständig sein soll – im wirklichen Leben wird dies bestimmt durch das Ziel, den Ausführenden, das Tatmittel oder die Schwere der Tat. Die NATO könnte im November ihr neues Konzept beschließen, nach dem eine "Cyber-Attacke" den militärischen Bündnisfall auslösen würde. Der Vorstoß hat innerhalb der EU für Kritik gesorgt.
In Deutschland drückt vor allem das Bundesamt für Sicherheit in der Informationstechnik auf die Tube: "Cyber-Angriffe haben eine neue Dimension der Gefährdung erreicht - und zwar in Quantität und Qualität", warnt BSI-Präsident Michael Hange. Etwa alle zwei Sekunden würde eine neue Variante eines Schadprogramms im Stil eines Baukastensystems "industriell gefertigt" entstehen. Vom BSI wird der "typische Cyberkriminelle" im Bereich der organisierten Kriminalität verortet. Hange erkennt eine "Wertschöpfungskette, die von der Suche nach Schwachstellen über die Erstellung von Schadsoftware bis zum Handel mit gestohlenen Daten reicht".
Im Januar widmet sich der Bund deutscher Kriminalbeamter mit seinen selbst inszenierten "Sicherheitsgesprächen" der Frage, welche Institutionen Cyber-Angriffen auf deutschem Boden zu trotzen hätten. Das Ziel ist in der Einladung bereits markiert: "Cybercrime & Auslandseinsätze - Kriminalpolizei und Bundeswehr vor gemeinsamen Herausforderungen?"
Europol wird "Ressourcenzentrum für Cyberkriminalität"
Alle auf EU-Ebene geplanten Maßnahmen rund um Cyberterrorismus und -kriminalität münden in neuen Kompetenzen für die Polizeiagentur Europol (Europol in der dritten Generation). Bereits jetzt existiert dort eine "Strategische Gruppe der Leiter der nationalen auf Hightech-Kriminalität spezialisierten Fahndungsdienste" auf EU-Ebene. Im Juli wurde eine "Cyber Crime Task Force" gegründet, die Analysedatei "Cyborg" bevorratet Personen- und Sachdaten zu "kriminellen im Internet operierenden Gruppen".
Europol baut zum Kampf gegen den "digitalen Untergrund" eine Stelle zur Meldung von Straftaten im Internet auf, die auch von deutschen Verfolgungsbehörden mit Informationen beliefert wird. Die Agentur soll überdies "verstärkt strategische Analysen zur Cyberkriminalität" durchführen. Erwartet wird nicht weniger als Tätererkenntnisse und Lagebilder zu "Verletzung der Privatsphäre, Cyber-Finanzstraftaten, unerlaubten Zugang zu Sabotagezwecken, Verletzung der Rechte des geistigen Eigentums, Angriffe auf Netzwerke und Informationssysteme, Online-Betrug, Kinderpornografie und Spam sowie Handel mit verbotenen Stoffen".
Polizeien, Richter, Staatsanwälte und forensische Dienste sollen mithilfe von Europol intensiver in Cyberkriminalität geschult werden, die Mitgliedsstaaten wiederum mit dem Aufbau "nationaler Exzellenzzentren" beginnen. In gemeinsamen Ermittlungsgruppen könnte Europol zukünftig mit Eurojust und Polizeien der Mitgliedstaaten im Internet auf Streife gehen. Ein intensiver Austausch unter europäischen und internationalen Einrichtungen, darunter Interpol und dem Büro der Vereinten Nationen für Drogen- und Verbrechensbekämpfung, wird ebenfalls angestrebt.
Zur Verständigung über vage angedeutete "Verfahren hinsichtlich technologiegestützter Ermittlungsmethoden" sowie der "Verwendung von computergestützten Ermittlungsinstrumenten" wird die Zusammenarbeit mit der European Cybercrime Training and Education Group (ECTEC), der International Association for Computer Information Systems (IACIS) und anderen, auch privaten Organisationen angeregt. Auch mit Interpol soll Europol weiter zusammenarbeiten. Die internationale Polizeiorganisation war erst kürzlich mit Häme bedacht worden, nachdem unbekannte Aktivisten auf das Facebook-Profil von Direktor Ronald K. Noble zugriffen und von dort brisante Informationen erfragten. "Cybercrime ist die gefährlichste Bedrohung", blies Noble zum Gegenangriff.
Im aktuellen Fünfjahresplan verspricht Europol, das Thema Cybercrime innerhalb anderer Kriminalitätsbereiche zu berücksichtigen. Auf dem Weg zum "europäischen Ressourcenzentrum für Cyberkriminalität" soll Europol die Funktionen seiner Cybercrime-Plattform (ECCP) konsolidieren, um den "Austausch und die Analyse von Informationen" unter den Mitgliedsstaaten zu erleichtern. Die Mitgliedstaaten sind aufgefordert, "nationale Systeme zur Berichterstattung über die Cyberkriminalität" entweder zu schaffen oder bereits bestehende in die Europol-Plattform zu integrieren.
Hierfür hatte der Vorsitzende der Konferenz der Landesinnenminister (IMK), Christoph Ahlhaus (CDU), auch für Deutschland die Einrichtung einer "nationalen Internet-Zentralstelle" angekündigt. Trotz der laut aktuellem Bundeslagebild eher mäßig wachsenden Kriminalität im Sektor der Informations- und Kommunikationstechnik (IuK) beschwor Alhaus eine "rasant wachsende Bedrohung durch Kriminelle im Netz", die mit einem "großen Wurf" aufgehalten werden müsse. Wie bei Europol ist die Einbeziehung von "Experten aus der Internet-Branche" geplant.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Buchempfehlung (Amazon Affiliates) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Amazon Affiliates) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.