Die Europäische Kommission hat einen Vorschlag zur Einrichtung eines „Kompetenzzentrums für Cybersicherheit in Industrie, Technologie und Forschung“ und des „Netzes nationaler Koordinierungszentren“ vorgestellt. Mit der Annahme des Vorschlags bekommt das Zentrum die Verantwortung, die Programme Digital Europe und Horizon Europe umzusetzen und somit über bis zu 2,8 Milliarden Euro zu entscheiden (die endgültige Höhe ist noch abhängig von den laufenden Diskussionen zum Europäischen Budget). Es ist also sehr wichtig, darauf Einfluss zu nehmen, wie das Geld ausgegeben wird.
Ich wurde zur Berichterstatterin für das Europäische Parlament benannt und werde somit die Verhandlungen zur Position des Parlaments führen. Meinen Berichtsentwurf könnt ihr hier lesen.
Die Forschung zur Cybersicherheit findet in ganz unterschiedlichen Bereichen statt. Wie in anderen Bereichen der europäischen Wirtschaft, sind es oft kleine und mittlere Unternehmen (SMEs), Start-ups und die Forschungsgemeinschaft – aber auch einzelne Expert*innen, die Produkte und Verfahren gestalten oder Dienste anbieten wie etwa Beratung und Training. Außer von ökonomisch orientierten Unternehmen kommen wichtige Impulse häufig aus der Zivilgesellschaft sowie aus nichtkommerziellen oder vorkommerziellen Projekten im Bereich der „Bürgertechnologien“ (civic tech-Projekte), die offene Standards, Open Data und Free und Open Source Software nutzen, um zum Gemeinwohl beizutragen.
Wir müssen diese besonderen europäischen Rahmenbedingungen und die Stärken, die sie bieten, nutzen, und darauf aufbauen.
Auf der europäischen Ebene kann das vorgeschlagene Zentrum die Tätigkeiten der Programme „Horizon Europe“ zur Cybersicherheitsforschung und „Digital Europe“ zur Umsetzung der Cybersicherheit verknüpfen und die Arbeit der bestehenden europäischen Einrichtungen wie ENISA, der Europäischen Agentur für Netzwerk- und Informationssicherheit, komplementieren.
Cyber-Lösungswahn
Im Kommissionsvorschlag wird der Begriff „Lösung“ benutzt, um über Produkte und Dienste zu sprechen. Der Begriff findet sich häufig in der Werbung und im Marketing der IT-Industrie. Aber es ist wichtig, Cybersicherheit als Prozess zu verstehen: Im gleichen Maße wie sich ICT-Technologie weiterentwickelt, entwickeln sich auch die Bedrohungen weiter. Die Anstrengungen zur Verbesserung der Sicherheit von Infrastrukturen, Netzwerken und Informationssystemen enden nicht mit der Anschaffung eines bestimmten Produkts oder einer bestimmten Dienstleistung.
Das Zentrum sollte nicht nur dazu beitragen, dass Unternehmen spezielle Produkte zu entwickeln und finanziell besser dastehen. In meinem Bericht habe ich daher den Fokus weg von „Lösungen“, hin auf Prozesse verschoben. Die Sicherheit von Produkten muss konstant evaluiert und gestärkt werden – während seines gesamten Lebenszyklus.
Die Sicherheit unserer gemeinschaftlichen Infrastruktur
Alle Geräte und Akteure im Internet sind eng miteinander verwoben. So kann zum Beispiel eine Sicherheitslücke in mit dem Internet verbundenen Videorekordern die Stabilität des Internet bedrohen.
Das Internet ist eine gemeinschaftliche Infrastruktur, die nicht nur die weltweite Wirtschaft verbindet. Es ist auch die Infrastruktur, auf die wir zur Kommunikation, sowie für den Zugang zu Kultur und Informationen täglich angewiesen sind.
Für die meisten unbemerkt ist Free/Libre und Open Source Software integraler Bestandteil für das Funktionieren des Internet. Dies reicht von grundlegenden Infrastrukturkomponenten bis hinauf zu den Anwendungen, die wir auf Computern und Smartphones jeden Tag benutzen. Eine Sicherheitslücke in einer einzelnen Komponente kann damit zur Bedrohung für das gesamte Internet werden und somit auch alles beeinträchtigen, das auf das Internet aufbaut.
Die Sicherheit und Zuverlässigkeit unserer gemeinschaftlichen Infrastruktur muss deswegen der Mittelpunkt der Aktivitäten des Zentrums sein.
Resilienz statt Verteidigung und Dual-Use-Technologie
Die Kommission schlägt vor, das Zentrum und seine Tätigkeiten aus Unionsprogrammen zu finanzieren, die nicht für militärische Ausgaben herangezogen werden dürfen. Deswegen habe ich mich dagegen ausgesprochen, Verteidigungsforschung und andere Projekte mit militärischer Ausrichtung zu fördern.
So, wie das Internet beschaffen ist, können die Urheber eines Angriffs normalerweise nicht eindeutig nachvollzogen werden. Im Gegenteil können Beweise einfach fingiert werden, die Herkunft verschleiert oder falsche Fährten gelegt werden. Es besorgt mich sehr, dass Staaten und zwischenstaatliche Organisationen wie die NATO es in Betracht ziehen, mit konventionellen Schlägen auf „Cyberangriffe“ zu reagieren.
Wo Produkte und Verfahren aus dem Bereich der ICT-Sicherheit gleichermaßen in zivilen und militärischen Kontexten nützlich sind („Dual-Use-Produkte“), sollte das Zentrum auf die bestehenden Regelwerke zur Kontrolle von Dual-Use-Gütern und Technologien zurückgreifen.
Es ist eine der Prioritäten der Europäischen Union, die Demokratie und Rechtsstaatlichkeit, Menschenrechte und Grundrechte weltweit zu fördern. Deswegen muss das Zentrum in die Resilienz und Integrität von Netzwerken und Informationssystemen investieren. Militärische Angriffstechnologien wie Backdoors, das Zurückhalten von Sicherheitslücken und Exploits tragen ein Risiko für die Gesamtgesellschaft in sich und laufen den Zielen und Werten Europas zuwider.
Gesellschaft, Ethik und Repräsentation
Der Kommissionsvorschlag plant, Industrie und Forschung in allen Teilen des Zentrums einzubinden. Dabei versäumt die Kommission, die möglichen gesellschaftlichen und ethischen Auswirkungen der Tätigkeitsfelder des Zentrums und seiner Gremien mit in die Arbeit des Zentrums einzubeziehen. Auch die Bedenken, die Produkte, Dienstleistungen, Einrichtungen und Forschung aufwerfen können, werden nicht aufgegriffen. Das muss sich ändern. Deswegen habe ich ethische Bewertungen in meinen Bericht mit aufgenommen.
Mehr noch als in anderen Industrien ringt der ICT-Sektor um qualifizierte Arbeitskräfte. Zur gleichen Zeit herrscht in der Branche ein ausgesprochenes Ungleichgewicht bei der Gender-Diversität, der ethnischen Vielfalt und der Vertretung behinderter Menschen.
Mein Bericht nimmt daher Regeln zur Repräsentation und Diversität auf. Denn es ist im Interesse der Industrie, der Forschung und anderer, eine ausgeglichene Vertretung aller zu fördern. Aber insbesondere ist es im Sinne der Gleichberechtigung.
Nächste Schritte
Das Europäische Parlament und der Rat haben jeweils angefangen, den Kommissionsvorschlag intern zu diskutieren. Im federführenden Parlamentsausschuss (ITRE) fand gestern Abend (Montag, 14. Januar 2019) eine erste Aussprache zum Vorschlag statt. Das Ziel ist, die Parlamentsposition noch vor den Europawahlen im Mai anzunehmen.
Soweit dies durch das Gesetz möglich ist, hat der Schöpfer auf das Copyright und ähnliche oder Leistungsschutzrechte zu seinem Werk verzichtet.