EU-Kommission: neue Vorschriften angesichts der wachsenden Bedrohung durch Cyberangriffe

Die Europäische Kommission hat angesichts der wachsenden Besorgnis über Cyberangriffe neue Rechtsvorschriften vorgeschlagen, um gemeinsame Cybersicherheitsmaßnahmen für alle EU-Institutionen festzulegen.


Die Gesetzgebung soll eine konzertierte Anstrengung der EU darstellen, die sich auf die Zusammenarbeit verschiedener Agenturen stützt, um die Zunahme bösartiger Cyberaktivitäten in einem globalen Kontext zu bekämpfen.

Neue Maßnahmen zur Abwehr von Cyber-Angriffen

Hintergrund der neuen Gesetzgebung ist es, einen Rahmen für das Risikomanagement und die Kontrolle schaffen und schließlich zur Einsetzung eines interinstitutionellen Ausschusses für Cybersicherheit führen. Der Rat wird die Umsetzung dieser neuen Vorschriften überwachen.

In einer vernetzten Umgebung kann ein einziger Vorfall im Bereich der Cybersicherheit, ein einziges ungeschütztes IoT-Gerät, ein ganzes Unternehmen in Gefahr bringen. Es ist daher sehr wichtig, eine robuste Verteidigung gegen Cyber-Bedrohungen und Vorfälle zu schaffen, die uns am Handeln hindern.

Gemäß den Vorschriften werden alle EU-Institutionen dazu verpflichtet sein:

  • Cyber-Risiken effektiv zu identifizieren und zu kontrollieren
  • Geeignete Cybersicherheitsmaßnahmen zur Bewältigung dieser Risiken umzusetzen
  • Regelmäßige Bewertungen der internen IT-Sicherheit durchzuführen
  • Eine Richtlinie zur Verbesserung der Cybersicherheitslage der Einrichtung zu erstellen
  • Im Falle einer Sicherheitsverletzung die notwendigen Informationen rechtzeitig zu melden

Nach wie vor fehlt technisches Fachwissen

Insbesondere die deutsche IT-Infrastruktur weist auf Basis unserer internen Einschätzungen durchschnittlich eine mangelhafte Informationssicherheit auf. Diverse kritische IoT-Geräte, die in der Regel dazu in der Lage sind, physische Hardware fernzusteuern, lassen sich beispielsweise über das öffentliche Internet erreichen.

Administrative Oberflächen mit Standard-Passwörtern oder grobe Sicherheitslücken in der IoT-Applikation stellen ein massives Risiko dar, wie auch in Deutschland die Cyber-Angriffe letzten Jahres auf das Universitätsklinikum Düsseldorf gezeit haben, die den Tod von mindestens einer Patientin verursacht haben.

Politischen Entscheidungsträgern in Deutschand, welche im Bereich der Informationssicherheit des Landes die Verantwortung übernehmen sollen, fehlt der Draht zu den Menschen, die über ein praktisches, technisches Fachwissen verfügen. Aber genau diese Entscheidungsträger sind diejenigen, die auf den digitalen Krieg reagieren müssen, sie haben sich dazu entschieden, die Verantwortung zu übernehmen.

Es scheint mehr ein kulturelles Problem zu sein, ein Problem fehlender Selbstreflektion und der fehlenden Bereitschaft die eigene Macht abzugeben, als etwas, was sich nicht lösen ließe. Wir haben Menschen in diesem Land die in der Lage sind den Cyber-Krieg unter Kontrolle zu bringen, aber diese Personen befinden sich eben weit fernab von den Kontaktkreisen politischer Entscheidungsträger.

Auch betroffene Unternehmen müssen Verantwortung übernehmen

Ein weiteres erschreckendes Phänomen, welches wir im Rahmen unserer Forschungsarbeit bemerken konnten, ist die fehlende Bereitschaft von vielen deutschen Unternehmen, auf gemeldete Sicherheitslücken angemessen zu reagieren.

Oft werden kritische Sicherheitslücken von den Unternehmen nicht behoben, obwohl sie über diese Sicherheitslücken informiert wurden. Aktuell tragen diese Unternehmen in Deutschland keine Konsequenzen für ihre Entscheidung, die Nutzer weiterhin der offenen Sicherheitslücke/n, über die sie informiert wurden, wissentlich auszusetzen.

Im Gegenteil: oft werden sogar diejenigen, die sich entscheiden die Sicherheitslücken an das Unternehmen zu melden, rechtlich belangt und in Schwierigkeiten gebracht. Wenn Deutschland sich gegen digitale Angriffe rüsten will, was unserer Einschätzung nach dringend erforderlich ist, ist ein Umdenken und ein verantwortungsbewusstes Handeln notwendig.

Nächster Artikel

EU verabschiedet neue Vorschriften für die Cybersicherheit kritischer Organisationen

Neue Richtlinie aufgrund wachsender Bedrohungen Die neue Richtlinie wird die derzeitigen EU-Vorschriften für die Sicherheit von Netzen und Informationssystemen (NIS-Richtlinie) ersetzen, die …

Weiterlesen