Erstellt am: 19. 2. 2015 - 19:00 Uhr
Keine Daten für EU-Sicherheitsagentur ENISA
Wie berichtet werden trotz Meldepflicht nur etwa die Hälfte aller Fälle mit terroristischem Hintergrund aus den EU-Staaten an Europol und Eurojust weitergeben. Die EU-Agentur für Netzwerk- und Informationssicherheit (ENISA) wiederum erhält von nationalen Behörden überhaupt keine Daten über Sicherheitsvorfälle, wie etwa Angriffe mit Schadsoftware. Dabei gehört es zu den Kernaufgaben der ENISA, Risiken und Bedrohungen für die europäischen Informationsnetze einzuschätzen.
"Wir könnten noch um Einiges effizienter arbeiten, wenn wir bei Sicherheitsvorfällen nicht nur auf öffentliche Informationen wie Medienberichte angewiesen wären", sagte ENISA-Sicherheitsexperte Marnix Dekker zu ORF.at. Reinhard Posch, Chief Information Officer der österreichischen Bundesregierung ist seit der Gründung der ENISA 2005 in deren Verwaltungsrat.
ENISA
Beide führen diese Politik der Nichtinformation primär darauf zurück, dass nationalen Behörden wie Firmen nicht ausreichend bewusst sei, wie sehr ѕie von systematischen Meldungen über Sicherheitsvorfälle selbst mittelfristig profitieren würden. Gegen die vorgesehenen Meldepflichten in der kommenden EU-Datenschutzverordnung wie anderen EU-Regulationen kommt nämlich heftiger Widerstand der Industrie.
Nur Telekom-Großausfälle sind meldepflichtig
Trotz der seit 2005 bestehenden Meldepflicht für Straftaten mit terroristischem Hintergrund wird laut EU-Parlament nur etwa die Hälfte aller Fälle an EUropol und Eurojust gemeldet
Bis dato ist gerade eine Art von Sicherheitsvorfall meldepflichtig: Nur bei großflächigen Netzausfällen im Telekombereich müssen dazu Informationen an die ENISA geliefert werden. Diese Meldepflicht geht auf das sogenannte Telekom-Paket von 2009 zurück. Ab 2016 könnten auch Daten von Vorfällen wie Einbrüchen in Ausgabestellen für digitale Zertifikate dazukommen, von denen es allerdings nur eine recht begrenzte Anzahl im EU-Raum gibt.
In der Richtlinie für Netzwerk- und Informationssicherheit (NIS), die gerade in Arbeit ist, sind allerdings Meldepflichten für Unternehmen vorgesehen, die im Bereich "kritischer Infrastruktur" tätig sind. Firmen aus dem Banken- und Energiesektor, dem Gesundheits- und Transportwesen sollen in Zukunft eine Reihe von Sicherheitsauflagen erfüllen und "signifikante Sicherheitsvorfälle" melden müssen.
Nur informelle Koordination
Gegen den vom Parlament im März des Vorjahres verabschiedeten Richtlinienentwurf gibt es heftigen Widerstand seitens der Industrie aber auch aus manchen Mitgliedsstaaten. Gestritten wird darüber, was "signfikante Sicherheitsvorfälle" sind und welche Firmen unter die Berichtspflicht fallen. Während das Parlament der Meinung ist, dass alle Firmen in definierten Branchen grundѕätzlich unter gewisse Auflagen zur Datensicherheit samt Meldepflicht fallen sollten, besteht eine Mehrheit im Ministerrat darauf, das dies auf nationaler Ebene entschieden werden sollte.
Public Domain
Die Differenzen müssen erheblich sein, denn bis Ende 2014 fanden allein drei Trilog-Sitzungen statt, die immer dann abgehalten werden, wenn Rat und Parlament uneins sind. Auch dabei gab es keine Lösung, obwohl sich eine EU-Regelung hier nachgerade aufdrängt, da sogenannte Cyberkriminelle ja typischerweise grenzüberschreitend operieren. In mehr als der Hälfte aller Mitgliedstaaten sind bereits Regelungen zur Netzwerksicherheit in Kraft, eine EU-weite Koordination dieser Strategien zur "Cyber-Sicherheit" findet allenfalls auf informeller Ebene statt.
"Zusammenarbeit sehr kompliziert"
Die jüngsten Empfehlungen der ENISA betreffen die Absicherung von SCADA-Systemen zur Steuerung von Stromnetzen, Kraftwerken und Produktionsanalagen
"Die Zusammenarbeit in solchen Sicherheitsfragen ist leider nun einmal sehr kompliziert", sagte Reinhard Posch, bei ihrer Gründung 2005 sei ja geplant gewesen, dass die ENISA hier als zentrale EU-Koordinationsstelle eingesetzt werden sollte. "Dagegen hat es große Widerstände von Großbritannien, Frankreich und teilweise auch aus Deutschland gegeben, deswegen haben wir den aktuellen Status Quo." Der ENISA fällt deshalb nur eine beratende und koordinierende Rolle zu, das Thema Netzwerksicherheit wiederum ist in der EU-Kommission aufgeteilt.
Details über die Angriffe auf das Netz der Belgacom kamen erst im Lauf mehrerer Monate zusammen, ein Gesamtbild ergibt sich daraus bis heute nicht, weil die Daten unter Verschluss gehalten werden
Reinhard Posch
Hauptzuständig für Netzwerksicherheit ist die Abteilung H "Digitale Gesellschaft und Sicherheit" der Generaldirektion "Connect" unter Kommissar Günther Oettinger. Doch auch in der Generaldirektion "Personalwesen und Sicherheit" findet sich eine Unterabteilung für Informationssicherheit.
Für die operative Sicherheit der Netzwerke aller EU-Institutionen gibt es wiederum das CERT-EU, wobei auch dieses "Computer Emergency Response Team" nicht etwa den nationalen CERTs übergeordnet ist. "CERT-EU hat denselben Status wie jedes nationale CERT" sagte Reinhard Posch dazu. Diese Spezialistenteams sind für zeitkritische, operative Sicherung der Netze etwa bei einem Großausbrauch von Schadsoftware zuständig, warnen vor akuten Gefahren und sind untereinander vernetzt.
2013 kam mit dem "Europäischen Cybercrime Center" im Rahmen von Europol noch eine weitere Institution dazu, die sich ebenfalls mit Sichertheitsvorfällen in Netzwerken beschäftigt. Ob diese Zusammenarbeit auf freiwilliger Basis und ohne Meldepflicht dem selbstgestellten Anspruch eines "kollektiven europäischen Vorgehens gegen Cybercrime" genügt, steht sehr in Frage, zumal die Mitgliedsstaaten auch die Meldepflicht von Delikten mit terroristischem Hintergrund zum Teil ignorieren. Sanktionen dagegen gibt es offenbar grundsätzlich nicht.
Datenquellen der ENISA
"Auch wenn wir nicht operativ tätig sind, so bräuchten wir für unsere Analysen und Prognosen dennoch Daten direkt von Firmen oder Behörden, wo sich die Sicherheitsvorfälle abgespielt haben" sagte Marnix Dekker zu ORF.at. Zur Zeit sei man in den Analysen auf Medienberichte und Meldungen von Anti-Virusfirmen angewіesen und diese Herkunft sei den Informationen leider auch anzusehen. Medien neigten naturgemäß dazu, die spektakulären Aspekte des jeweiligen Falles aufzugreifen, viele für Sicherheitsforscher wichtige Informationen fielen dabei allerdings unter den Tisch.
Marnix Dekker
Die Meldungen von Antivirusfirmen wiederum seien primär verkaufsfördernde Maßnahmen, so Dekker weiter, daher müssten solche Faktoren sozusagen aus den Angaben herausgerechnet werden, um sich ein ungefähres Bild machen zu können. "Im Fall der Angriffe auf die Belgacom wäre es zum Beispiel extrem nützlich für uns gewesen, genau zu wissen, welche Systeme wie angegriffen wurden", sagte der ENISA-Sicherheitsexperte. "Schließlich gibt es nicht eine sondern viele Telekoms in Europa, denen wir dann die entsprechenden Warnungen und Empfehlungen hätten zukommen lassen können" so Dekker weiter.
Die jüngsten Vorfälle
Details über die Angriffe auf das Netz der Belgacom kamen erst im Lauf mehrerer Monate zusammen, ein Gesamtbild ergibt sich daraus bis heute nicht, weil die Daten unter Verschluss gehalten werden
Der großangelegte Angriff auf dіe belgische Telekom war erst durch geleakte Folien des britischen GCHQ im Herbst 2013 ruchbar geworden. Erst vor wenigen Wochen hatte sich dann herausgestellt, dass dabei eine schon länger bekannte, hochkomplexe Schadsoftware-Suite der Stuxnet-Klasse namens "Regin" eingesetzt worden war. Diese von staatlichen Akteuren eingesetzten Spionagesuites sind extrem gut getarnt und deshalb nur schwer mit den üblichen technischen Mitteln zu entdecken. Der allerneueste bekanntgewordenen solche Fall sind die Manipulationen an der Firmware von Festplatten durch die NSA, die dabei eingesetzte Schadsoftware ist auf Partitionen des Plattenspeichers versteckt, die vom Betriebssystem gar nicht "gesehen werden".
Auch im akuten Fall der massiven Diebstähle bei etwa 100 Banken wäre der geschätze Gesamtschaden von einer Milliarde Dollar weitaus geringer ausfallen, wenn auch nur eine der angegriffenen Banken den Vorfall gemeldet hätte, sagte Dekker. "Jede Meldung eines so gravierenden Sicherheitsvorfalls durch eine Bank käme dieser schon mittelfristig wieder zugute, weil solche Angriffe immer häufiger passieren und eben viele Banken teils mit erheblichen zeitlichen Abständen nacheinander betreffen."
Eine internationale Gang hat nach Auskunft von IT-Sicherheitsexperten in den vergangenen zwei Jahren bis zu einer Milliarde Dollar durch Onlineattacken auf Banken gestohlen.
"Zerfledderter Eindruck"
"Mit Vorschriften und Strafen allein lässt sich dieses Problem nicht lösen", sagte auch Posch und verwies auf die seit zehn Jahren bestehende Meldepflicht für Terrorismusfälle, die von einigen Mitgliedsstaaten immer noch umgangen wird. Von der ENISA würden für die Analysen samt den Empfehlungen für Gegenstrategien ohnehin keine tagesaktuellen sondern nur sogenannte "Post-Mortem-Daten" gebraucht, sagte Marnix Dekker, also Daten, "die erst nach Ende des Vorfalls gemeldet werden und einfach anonymisiert werden könnten."
Solange das nicht der Fall ist, wird die ENISA auch weiterhin improvisieren und Daten minderer Qualität auf allen möglichen Wegen selbst organisieren müssen. Trotzdem erhalten die daraus resultierende Berichte und Empfehlungen der EU-Agentur in Fachkreisen schon jetzt gute Bewertungen. Auch wenn die Aufstellung der EU in Sachen Netzwerksicherheit für Außenstehende wohl "einen etwas zerfledderten Eindruck" mache, sagte Österreichs Chief Information Officer Reinhard Posch, "ganz so zerfleddert ist sie dann doch nicht". Der Mangel an Daten aus den Mitgliedsstaaten werde eben durch informelle Zusammenarbeit und Koordination so gut wie möglich wettgemacht.