enisa: Neuer Leitfaden zum Aufbau effektiver Public-Private-Partnerships für IT-Sicherheit

EU-Agentur für Cyber-Sicherheit gibt 36 Empfehlungen für PPPs zur Stabilisierung der IT-Sicherheit

[datensicherheit.de, 16.10.2011] enisa, die EU-Agentur für Cyber-Sicherheit, hat am 11. Oktober 2011 einen neuen Leitfaden mit 36 Empfehlungen für den erfolgreichen Aufbau effektiver Öffentlich-Privater Partnerschaften („public private Partnerships“, PPPs) für stabile IT-Sicherheit veröffentlicht:
Die wesentlichste Infrastruktur der meisten EU-Mitgliedsstaaten befindet sich im Besitz der Privatwirtschaft. Um Bürgern und Unternehmen einen sicheren und zuverlässigen Systemzugang zu ermöglichen, bedürfe es daher der Zusammenarbeit von Industrie und Regierungen, so die enisa. Die kritischen Informations Infrastrukturen (CII) in Europa seien fragmentisiert, sowohl geographisch als auch aufgrund des Wettbewerbs zwischen Telekommunikationsanbietern. Eine Steigerung der CII-Belastbarkeit sei daher für Europa von grundlegender Bedeutung. Um diesen Bedarf zu decken, haben sich in vielen Mitgliedsstaaten PPPs zum Schutz der digitalen Wirtschaft gebildet – zu verschiedenen Zeiten und unter diversen rechtlichen Rahmenbedingungen. Diese natürliche Entwicklung zeige, dass es keine allgemein gültige Definition zur Errichtung einer PPP gebe. In einer Welt, in der Bedrohungen der Infrastruktur nicht vor Landesgrenzen Halt machen, soll der neue PPP-Leitfaden der enisa mit 36 Empfehlungen für den erfolgreichen PPP-Aufbau die Wichtigkeit eines gemeinsamen Verständnisses innerhalb Europas betonen. Von besonderer Bedeutung sei dies für die „Europäische öffentlich-private Partnerschaft für Robustheit“ (EP3R), einer Initiative der Europäischen Union, die mit nationalen PPPs an Problemstellungen beim Schutz wichtiger Informationsinfrastrukturen (CIIP) zusammenarbeitet.
Es brauche ein wirklich internationales, weltweites Herangehen an Cyber-Sicherheit und den Schutz wichtiger Informationsinfrastrukturen, sagt Prof. Udo Helmbrecht, Geschäftsführende enisa-Direktor. Kein Land könne eine isolierte CIIP-Strategie entwickeln, weil es im Cyberspace keine Grenzen gebe. Genau deswegen stünden PPPs auf der Tagesordnung der speziellen EU-US-Arbeitsgruppe für Cyber-Sicherheit und Cyber-Kriminalität.

Der neue enisa-Leitfaden unterteilt PPPs für Sicherheit und Robustheit in drei Typen – präventionsorientierte PPPs, reaktionsorientierte PPPs und „Schirm-PPPs“. Der Leitfaden soll ein PPP-Klassifikationsschema konsolidieren und bestätigen – dazu benennt er fünf wesentliche Komponenten für Empfehlungen:

• Warum sollte eine PPP geschaffen werden? (Umfang/Bedrohungen)
• Wer sollte daran beteiligt werden? (Anwendungsbereich, geographisch/inhaltlich, wechselseitige Anknüpfungspunkte)
• Wie sollte eine PPP verwaltet werden?
• Welche Dienste und Impulse sollten angeboten werden?
• Wann sollte eine PPP gegründet und wie sollten andere Terminfragen gelöst werden?

Diese Ergebnisse seien anhand von 30 Fragebögen und 15 ausführlichen Interviews mit Interessenvertretern des öffentlichen wie des privaten Sektors aus zwanzig Ländern ermittelt worden. Der Leitfaden beschreibt und lokalisiert außerdem PPPs aus den USA, Kanada und Australien – damit benenne er entscheidende Erfolgsfaktoren für den Informationsaustausch und Wege zur internationalen Zusammenarbeit.

Weitere Informationen zum Thema:

enisa
National PPPs / Public Private Partnerships