[datensicherheit.de, 13.06.2025] Jan Wendenburg, der CEO von ONEKEY ist in seiner Stellungnahme vom 3. Juni 2025 auf den Umstand eingegangen, dass die Europäische Cybersicherheitsbehörde ENISASoftware-Supply-Chain-Angriffe zu der größten Bedrohung erklärt hat. Damit bestehe akuter Handlungsbedarf auch für industrielle IT- und OT-Systeme. Die Zahl der Vorfälle zu Software-Lieferketten hat sich in der EU demnach seit 2020 mehr als verdoppelt.

Zunehmend Software-Supply-Chain-Cyberattacken auf Embedded Systems in Deutschland

Auch die deutsche Industrie sieht sich laut Wendenburg zunehmend mit Software-Supply-Chain-Cyberattacken auf „smarte Systeme“, sogenannte Embedded Systems, konfrontiert. „Dies sind Angriffe, die gezielt über externe Komponenten, Software-Bibliotheken oder Firmware-Updates eingeschleust werden.“

• Diese Form der Cyberkriminalität nutze Sicherheitslücken bei Zulieferern, Dienstleistern oder Softwareanbietern aus, um in der Lieferkette nachgelagerte Unternehmen oder gar den Endkunden anzugreifen. Besonders betroffen seien Industrieanlagen, Maschinensteuerungen (OT-Systeme / Operational Technology), IoT-Komponenten (Internet of Things) und andere eingebettete Systeme, welche meist langjährige Betriebszyklen hätten und selten sicherheitskritisch untersucht, überwacht und aktualisiert würden.

„Hier besteht akuter Handlungsbedarf“, betont Wendenburg mit Blick auf die Industrie. Er stellt hierzu klar: „Cybersecurity muss die gesamte Wertschöpfungskette umfassen, um wirksam zu sein!“

Laut ENISA gehören Supply-Chain-Angriffe zu den „Top 5“-Bedrohungen für industrielle IT- und OT-Systeme

Die Marktforschungsfirma Cybersecurity Ventures veranschlagt in einer aktuellen Studie den durch Supply-Chain-Angriffe verursachten Schaden auf weltweit 80 Milliarden Dollar jährlich. „Die Komplexität globaler Lieferketten verschärft das Problem“, so Wendenburg.

• Er verweist auf einen Bericht der Europäischen Agentur für Cybersicherheit (ENISA), wonach zwei Drittel der Unternehmen in der EU mindestens schon einmal von kompromittierten Zulieferern betroffen waren.

Laut ENISA gehören Supply-Chain-Angriffe zu den „Top 5“-Bedrohungen für industrielle IT- und OT-Systeme und werden im „ENISA Foresight 2023 Report“ als die „TOP-1 Cybersecurity“-Gefahr herausgestellt.

Bösartiger Code über zwei Wege: Als Software in der Produktenwicklung oder als Teil eines Vorprodukts

Die deutsche Wirtschaft ist traditionell stark internationalisiert – der Wert der importierten Vorprodukte, die von der deutschen Industrie aus aller Welt bezogen und in ihre Produkte eingebaut werden, liegt in der Größenordnung von 370 Milliarden US-Dollar. Diese Importe von „intermediate goods“ sind von zentraler Bedeutung für die Produktion in Deutschland. „Jede verwendete Software und jedes mit vernetzter Digitaltechnik ausgerüstete Vorprodukt stellt eine potenzielle Gefahr dar“, erläutert Wendenburg die Dimension der Bedrohung.

• Dabei bestehe das große Gefährdungspotenzial von Supply-Chain-Angriffen darin, dass nicht nur das jeweilige Unternehmen mit Schadsoftware infiziert werde, „sondern diese über Produktauslieferungen an Kunden weitergegeben wird“.

So wäre es beispielsweise möglich, dass ein Maschinenbauer an seine Kunden Anlagen mit industriellen Steuerungen abgibt, welche ein Schadprogramm in sich tragen. Dabei könne der bösartige Code über zwei Wege aus der Lieferkette kommen: „Entweder als Software, die in die Produktenwicklung einfließt, oder als Teil eines Vorprodukts, das im Endprodukt verbaut wird.“

Stark steigende Nachfrage nach Sicherheitsüberprüfungen von Geräten, Anlagen und Systemen mit Echtzeit-Betriebssystemen

„Dieser Trend ist alarmierend, da die Lieferketten der deutschen Industrie hochgradig vernetzt sind und ein einziger Angriff weitreichende Folgen haben kann“, unterstreicht Wendenburg und führt weiter aus: „Daher sollten ,Embedded Systems’, die in Steuerungstechnik, Automatisierung oder IoT-Geräten zum Einsatz kommen, einer umfassenden Prüfung im Hinblick auf Cybersecurity unterzogen werden!“ Das gelte ausnahmslos für alle Komponenten, also nicht nur die im eigenen Unternehmen entwickelten, sondern auch für die von Zulieferern übernommenen Vorprodukte.

• Nach seinen Angaben erfährt ONEKEY derzeit eine „stark steigende Nachfrage nach Sicherheitsüberprüfungen von Geräten, Anlagen und Systemen mit Echtzeit-Betriebssystemen (Real-Time Operating Systems / RTOS), wie sie in ,Embedded Systems’ typischerweise zum Einsatz kommen“.

Das Düsseldorfer Sicherheitsunternehmen habe erst vor wenigen Monaten seine „Product Cybersecurity & Compliance Platform“ (OCP) weiterentwickelt, so dass diese auch RTOS-Firmware auf Schwachstellen und Sicherheitslücken überprüfen könne. Dies habe zuvor in der Branche als schwierig bis unmöglich gegolten, insbesondere bei sogenannten monolithischen Binärdateien, wie sie bei marktgängigen Echtzeit-Betriebssystemen wie etwa „FreeRTOS“, „Zephyr OS“, „ThreadX“ und anderen im Einsatz sind.

Zunehmende Komplexität industrieller Systeme lässt Supply-Chain-Angriffe zur immer größeren Bedrohung werden

Als ein besonders kritisches Einfallstor in der Lieferkette gälten Open-Source-Komponenten, welche in rund 80 Prozent aller Firmware-Stacks für „Embedded Systems“ enthalten seien. Sicherheitslücken in weitverbreiteten Bibliotheken wie „uClibc“, „BusyBox“ oder „OpenSSL“ könnten eine Vielzahl von Systemen gleichzeitig betreffen.

• Der Fall „Log4Shell“ im Jahr 2021 – eine Schwachstelle in der weitverbreiteten „Java“-Bibliothek „Log4j“ – hatte gezeigt, wie gefährlich eine unsichere Software-Komponente sein kann, selbst wenn sie nur in einem Subsystem verwendet wird. Der „Log4Shell“-Fall gilt als einer der gravierendsten Sicherheitslücken der letzten Jahrzehnte, weil die Software Bestandteil von Millionen „Java“-Anwendungen ist, darunter auch zehntausende OT- und IoT-Systeme.

„Die zunehmende Komplexität industrieller Systeme, die Vielzahl externer Anbieter und die Langzeitnutzung von ,Embedded Systems’ lassen Supply-Chain-Angriffe zu einer immer größeren Bedrohung werden“, so Wendenburg. Er verweist auf Prognosen der Gartner Group, wonach bis 2026 über 45 Prozent aller Unternehmen mindestens einen Cybervorfall über die Lieferkette erleiden würden, der ihre Betriebsfähigkeit beeinträchtigt.

Höchste Zeit, Software für „Embedded Systems“ systematisch vor dem Einsatz und während des Betriebs zu überprüfen

„Die immer stärkere Integration von ,Industrial IoT’-Systemen und Robotik bis hin zu autonomen Produktionslinien öffnet geradezu ein Scheunentor für Attacken aus der Lieferkette“, gibt Wendenburg abschließend zu bedenken. Er appelliert an die Unternehmensführungen: „Es ist höchste Zeit, Software für ,Embedded Systems’, unabhängig ob aus eigenem Haus oder von Lieferanten systematisch vor dem Einsatz und laufend zu überprüfen! Wer das unterlässt, setzt nicht nur seine Produktion, sondern auch seine Reputation und Lieferfähigkeit aufs Spiel.“

• Hinzu komme der rechtliche Aspekt: Die „Radio Equipment Directive“ EN18031 und der „EU Cyber Resilience Act“ (CRA) und andere gesetzliche Vorgaben schrieben die Verantwortung der Hersteller für die Cybersicherheit vernetzter Geräte, Maschinen und Anlagen zwingend vor.

Die „Product Cybersecurity & Compliance Platform“ (OCP) von ONEKEY ermögliche mit dem „Compliance Wizard“ eine automatisierte Überprüfung der Konformität zum CRA und weiteren cybersicherheitsrelevanten Normen. „Dies erleichtert die Vorbereitung auf Audits erheblich und reduziert den bürokratischen Aufwand, der durch neue Gesetze entsteht.“

Weitere Informationen zum Thema:

ONEKEY
Managen Sie Produkt Cybersicherheit und Compliance effizient

ONEKEY
Reduzieren Sie Komplexität, Kosten und Zeit für Ihre Produkt Compliance

Switch, Frank Herberg, 25.03.2024
Cyber-Bedrohung Nummer 1: Die Lieferkette

Europäische Kommission, 04.08.2021
ENISA veröffentlichte ihre Bedrohungslage für Lieferkettenangriffe

enisa, Juni 2023
GOOD PRACTICES FOR SUPPLY CHAIN CYBERSECURITY

enisa, 29.07.2021
Threat Landscape for Supply Chain Attacks

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

datensicherheit.de, 11.04.2025
BSI und ZenDis: openCode-Leitfaden zur Strategie einer automatisierten Absicherung von Softwarelieferketten / Gemeinsame Veröffentlichung vom BSI und ZenDiS für die Verwaltung

datensicherheit.de, 27.02.2025
Cyber Resilience Act – Absicherung der Software-Lieferkette / Cyberkriminelle nutzen zunehmend Schwachstellen in Entwicklungspipelines aus„

[datensicherheit.de, 02.06.2025] In seiner aktuellen Stellungnahme kommentiert Peter Sandkuijl, „VP Sales Engineering EMEA“ bei Check Point, die Einführung der Europäischen Schwachstellen-Datenbank (EUVD) – er betont dabei die Notwendigkeit einer solchen Datenbank für die Cybersouveränität der Europäischen Union (EU) und skizziert, welche Anforderungen diese EUVD erfüllen sollte. Sie sei indes ein wichtiger Schritt in Richtung gemeinsamer digitaler Widerstandsfähigkeit.

Foto: Check Point Software

Peter Sandkuijl zur EUVD: Eine starke digitale Wirtschaft kann nur überleben, wenn sie sich angemessen schützen kann!

EUVD-Einführung als bedeutender Schritt auf dem Weg zur digitalen Souveränität und strukturellen Cyberresilienz

Sandkuijl stellt klar, dass die EUVD-Einführung durch die EU-Agentur für Cybersicherheit (European Network and Information Security Agency / ENISA) „zweifellos ein bedeutender Schritt auf dem Weg zu Europas digitaler Souveränität und struktureller Cyberresilienz“ sei.

• „In einer Zeit, in der geopolitische Spannungen und digitale Bedrohungen Hand in Hand gehen, zeigt die Europäische Kommission nicht nur Ehrgeiz, sondern auch Verständnis für den Kern des Problems: Wer Informationen über Cybersicherheitslücken kontrolliert, hält den Schlüssel zur digitalen Sicherheit in der Hand!“

Die EUVD komme zu einem entscheidenden Zeitpunkt: Die Fragilität bestehender Systeme, wie beispielsweise der US-amerikanischen „MITRE-CVE“-Datenbank, sei kürzlich schmerzlich deutlich geworden, als Finanzierungsdiskussionen deren Fortbestand gefährdeten. Als Ergebnis wäre ein ganzes Ökosystem aus Unternehmen und Regierungen plötzlich von kritischen Informationen über Cyberbedrohungen abgeschnitten. „Es ist verständlich, dass Europa davon nicht abhängig bleiben möchte.“

Transparenz als Rückgrat der Prävention: EU-Ansatz sollte dazu beitragen, die Informationsflut in umsetzbare Erkenntnisse umzuwandeln

„Transparenz, Zugänglichkeit und Schnelligkeit sind grundlegende Säulen einer wirksamen Cyberabwehr“, unterstreicht Sandkuijl. Eine gut verwaltete europäische Schwachstellen-Datenbank könne Organisationen dabei unterstützen, schneller und präziser zu reagieren – „insbesondere, wenn sie Kontextinformationen, wie den Status von ,Exploits‘ sowie Folgenabschätzungen und Hinweise zur Schadensbegrenzung enthält“.

• Organisationen aller Branchen seien derzeit mit Warnmeldungen, „CVEs“ und potenziellen Bedrohungen überlastet. Das Problem sei nicht ein Mangel an Daten, sondern ein Mangel an Klarheit, Priorisierung und Nutzbarkeit.

Ein europäischer Ansatz könne nun dazu beitragen, diese Informationsflut in umsetzbare Erkenntnisse umzuwandeln, „die auf die wirtschaftliche und technologische Realität zugeschnitten sind“.

EU-Souveränität darf indes nicht zu einer „Silostruktur“ führen

Es sei verständlich, dass Europa eine eigene Datenbank wünscht. Ein großes Risiko bestehe jedoch in der Fragmentierung, warnt Sandkuijl: „Wenn MITRE, EUVD und herstellerspezifische Systeme ohne Abstimmung nebeneinander bestehen, riskiert man Inkonsistenzen, Verzögerungen und Verwirrung.“

• Ein zukunftssicheres Modell müsse sich daher auf Interoperabilität, offene Standards und API-Integrationen konzentrieren, „damit Informationen in Echtzeit ausgetauscht werden und Doppelarbeit vermieden wird“.

Idealerweise sollte man zu einem vernetzten, synchronisierten System übergehen, „worin regionale Datenbanken innerhalb eines kohärenten globalen Rahmens zusammenarbeiten“.

Die Rolle von Technologie-Unternehmen im EUVD-Kontext

Cybersicherheitsunternehmen spielten hier eine wichtige Rolle. Diese hätten Zugang zu Echtzeit-Bedrohungsinformationen, Einblick in das Verhalten von „Exploits“ und umfangreiche Erfahrung mit Reaktions- und Abwehrmaßnahmen.

• Dieses Wissen könne mit entsprechenden Vereinbarungen zu Datenschutz und „Governance“ in öffentliche Systeme wie das EUVD einfließen.

„Ein Modell, in dem der öffentliche und der private Sektor zusammenarbeiten, gestützt von Beiträgen der Anbieter zu anonymisierten Telemetriedaten, einer Schwachstellen-Klassifizierung und Beratungsgremien für eine pragmatische Politikgestaltung, hat sicherlich seine Berechtigung.“

Lücke zwischen Vision und Realität schließen: EU will digitale Zukunft selbst in die Hand nehmen und Cyberresilienz erhöhen

Die Einrichtung einer solchen Datenbank sei keine leichte Aufgabe. Sie erfordere nicht nur finanzielle Mittel, sondern auch „Humankapital“, internationale Koordination und jahrelange Entwicklung. Darüber hinaus müsse das Gleichgewicht zwischen Geschwindigkeit und Sicherheit sorgfältig gewahrt werden – „denn niemand möchte, dass eine kritische Schwachstelle zu früh oder unvollständig veröffentlicht wird“.

• Sandkuijl gibt zu bedenken: „Dennoch sollte man die Ambitionen nicht dämpfen, denn die EUVD ist mehr als nur ein technisches Instrument. Sie ist ein strategisches Signal: Europa will seine digitale Zukunft selbst in die Hand nehmen und seine Cyberresilienz erhöhen.“

Zu diesem Zweck müsse die Datenbankinitiative für die Zukunft gesichert werden – nicht nur durch eine stabile Finanzierung, sondern auch durch die Verankerung ihrer strategischen Bedeutung in der langfristigen digitalen Agenda der EU. „Eine starke digitale Wirtschaft kann nur überleben, wenn sie sich angemessen schützen kann!“, so Sandkuijls Fazit.

Weitere Informationen zum Thema:

datensicherheit.de, 22.05.2025
Fundament für Europas Digitale Resilienz: Ein souveränes Schwachstellen-Register / Eine Schwachstellen-Datenbank ist weit mehr als ein technisches Nachschlagewerk – sie ist strategisches Element der Sicherheitsarchitektur und Digitaler Souveränität

datensicherheit.de, 20.05.2025
EUVD: Zentrale EU-Schwachstellen-Datenbank online verfügbar / „Vulnerability Databases“ sind für Adam Marrè das „Fundament moderner Sicherheitsprozesse“ und er rät zur synergetischen Nutzung der EUVD sowie NVD u.a.

datensicherheit.de, 18.04.2025
MITRE CVE Program: Abschaltung verhindert / Das von der US-Regierung finanzierte CVE-Programm gilt als entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern

datensicherheit.de, 17.04.2025
eco fordert für Europa dringend Nachfolger für CVE-Datenbank in den USA / Drohende Abschaltung der CVE-Datenbank birgt erhebliche Risiken für die Cyber-Sicherheit von Unternehmen weltweit

[datensicherheit.de, 16.04.2020] Im vergangenen Jahr 2019 waren zwei Drittel der Organisationen im Gesundheitssektor von Cybersicherheitsvorfällen betroffen. Darunter sowohl Hackerangriffe mit Ransomware wie Emotet als auch Datenpannen. Darauf machen die IT-Sicherheitsexperten der PSW GROUP aufmerksam und verweisen auf eine kürzlich erschienene Enisa-Leitlinie für Krankenhäuser der EU-Agentur für Cybersicherheit (Enisa): „Die EU-Behörde ist überzeugt, dass Cybersicherheit in Krankenhäusern ein immer wichtigeres Thema wird. IT-Sicherheit müsse ganzheitlich in die unterschiedlichen Prozesse, Komponenten und Stufen integriert werden“, fasst Patrycja Tulinska, Geschäftsführerin der PSW GROUP, zusammen.

Der neue Enisa-Leitfaden ergänzt die bisherigen KRITIS-Leitfäden. Beschaffungsbeamten in Krankenhäusern, aber auch CISOs/ CIOs, soll so ein umfassendes Instrumentarium zur Verfügung stehen, um Sicherheit von Gesundheitsdaten über den kompletten Lebenszyklus der eingesetzten IT-Systeme hinweg zu optimieren. Außerdem werden Best Practices aufgezeigt.

Patrycja Tulinska, Geschäftsführerin der PSW GROUP

„Der Leitfaden ist so konstruiert, dass Krankenhäuser ihn an den individuellen Beschaffungsprozess anpassen können. Ziel ist es, ihnen alle Tools an die Hand zu geben, um sicherzustellen, dass gesetzte Ziele in der Cybersicherheit auch erreicht werden können“, erläutert Tulinska.

Neben gängigen Industriestandards zeigt der Leitfaden Verfahren und Empfehlungen, die der Cybersicherheit im Krankenhaus dienen. „Insgesamt bildet der Leitfaden eine gute Basis für Cybersicherheit in Krankenhäusern und zeigt, wie wichtig der IT-Schutz in diesem äußerst sensiblen Bereich ist“, lobt Patrycja Tulinska. Der Enisa-Leitfaden teilt drei Phasen ein, die für die Cybersicherheit im Krankenhaus relevant sind. Nachdem die Beschaffungsprozesse kategorisiert werden, werden die mit jedem Schritt verbundenen Cybersicherheitsanforderungen identifiziert. Dank Vorschlägen zum Nachweis dazu, wie Anforderungen von Anbietern erfüllt werden können, wird das ganze Vorgehen deutlich vereinfacht. In der ersten Phase, der Planphase, geht es um die Analyse der Bedürfnisse eines Krankenhauses. Außerdem werden aus den internen Abteilungen Anforderungen gesammelt.

Umfangreiche Aufgaben für den CTO

Bei der Beschaffung eines neuen Cloud-Services beispielsweise sollte der CTO nicht nur die Bedürfnisse ermitteln, sondern auch verstehen und vermitteln können, welchen Nutzen dieser Service nach sich zieht. „In dieser Phase werden beispielsweise Risikobewertungen durchgeführt, Bedrohungen identifiziert, Netzwerke getrennt und Eignungskriterien für Lieferanten entworfen“, informiert Tulinska. In der anschließenden Beschaffungsphase werden die bestehenden Anforderungen übersetzt in technische Spezifikationen. Im Rahmen eines Sourcing-Prozesses können beispielsweise entsprechende Ausschreibungen veröffentlicht werden, die eingehenden Angebote durch einen Ausschuss bewertet und die geeignetsten Produkte in die engere Wahl genommen, bis der Auftrag schließlich an ein Unternehmen vergeben wird. „Hier geht es darum, Zertifizierungen zu empfehlen oder vorzuschreiben, Datenschutz-Folgeabschätzungen durchzuführen und Legacy-Systeme anzusprechen, Schulungen in Cybersicherheit im Krankenhaus anzubieten, aber auch Reaktionspläne für Vorfälle zu entwickeln. Zudem müssen Lieferanten in das gesamte Vorfallmanagement einbezogen werden, Wartungsarbeiten organisiert und Fernzugriffe sicher hergestellt werden“, informiert die IT-Sicherheitsexpertin. In der dritten Phase, der Verwaltungsphase, werden die Verträge dem Geschäftsinhaber des Krankenhauses zugewiesen, einschließlich der Verwaltung und Überwachung des Vertrags. Nebst dem Abschluss der Ausschreibung verantwortet der beauftragte Beamte auch das Feedback der Benutzer über die tatsächliche Leistung, die der Ausrüstung, dem System oder der Dienstleistung entspringt. „Die dabei zu erledigenden Schritte sind unter anderem das Bewusstsein über Cybersicherheit zu erhöhen, ein Bestands- sowie Konfigurationsmanagement durchzuführen, Zugangskontrollmechanismen für die medizinische Geräteeinrichtung einzurichten und zu verwalten sowie regelmäßige Penetrationstests durchzuführen“, so Patrycja Tulinska weiter.

Weitere Informationen zum Thema:

PSW Group
Enisa: Notfallplan für mehr Cybersicherheit im Krankenhaus

datensicherheit.de, 15.04.2020
BSI: Sicherheitsanforderungen für Gesundheits-Apps veröffentlicht

datensicherheit.de, 18.11.2017
Gesundheits-Apps: Mehr Transparenz und Sicherheit erforderlich

[datensicherheit.de, 10.02.2019] Laut einer Meldung des Karlsruher Instituts für Technologie (KIT) haben unter der Koordination des BMBF-Verbundprojektes „secUnity“ 30 namhafte europäische IT-Sicherheitsexperten in der „secUnity-Roadmap“ niedergelegt, wie den digitalen Bedrohungen auf europäischer Ebene künftig besser begegnet werden kann: Am 5. Februar 2019 stellten diese – darunter KIT-Forscher – das Papier in Brüssel vor und übergaben es damit offiziell an die Europäische Agentur für Netzwerk und Informationssicherheit (ENISA).

Wohlstand und die Sicherheit bedroht

Nahezu kein Bereich kommt mehr ohne moderne Informations- und Kommunikationstechnologien aus – egal ob Übermittlung von Nachrichten, Verkehr, Industrieproduktion, Forschung oder Verwaltung… Gleichzeitig nimmt die Zahl der Cyber-Angriffe, die bekannt werden, stetig zu: Solche Attacken auf die digitale Infrastruktur durch Kriminelle oder staatliche Organisationen bedrohten den Wohlstand und die Sicherheit unserer Gesellschaften, am Ende sogar Freiheit und Demokratie, warnt das KIT.
„Das Gefahrenpotenzial, das Cyber-Attacken für hochentwickelte Länder entfalten können, kann man nicht hoch genug einschätzen“, betont Prof. Jörn Müller-Quade, Sprecher des Kompetenzzentrums für IT-Sicherheit (KASTEL) am KIT. Um all diesen Herausforderungen zu begegnen, brauche die zivile Cyber-Sicherheit ein interdisziplinäres Netzwerk von Experten der zivilen Cyber-Sicherheitsforschung auf EU-Ebene.

Angriffsflächen für Cyber-Kriminelle dehnen sich aus

In „secUnity“ arbeiten demnach IT-Sicherheitsexperten aus ganz Deutschland zusammen. Beteiligt sind laut dem KIT, neben den drei nationalen Kompetenzzentren KASTEL, CRISP und CISPA, Spezialisten der TU Darmstadt, der Ruhr-Universität Bochum und der Fraunhofer-Institute für Angewandte und Integrierte Sicherheit (AISEC) und für Sichere Informationstechnologie (SIT).
Cyber-Sicherheitsexperten bemängelten schon lange, dass Firmen, öffentliche Einrichtungen und Institutionen nicht ausreichend auf digitale Bedrohungen vorbereitet seien. Im Gegenteil: Durch die fortschreitende Vernetzung, die sich durch digitale Trends wie Industrie 4.0, „Smart Home“ oder selbstfahrende Autos noch potenzieren werde, würden die Angriffsflächen für Cyber-Kriminelle immer größer.

Digitale Souveränität Europas gefährdet

In der jetzt vorgelegten „Roadmap“, die das vom Bundesministerium für Bildung und Forschung (BMBF) geförderte Verbundprojekt „secUnity“ initiiert hat, haben laut KIT die über 30 europäischen Autoren zukünftige Herausforderungen und Lösungswege identifiziert. Zum Beispiel würden die Sicherheit eingebetteter Systeme, Maschinelles Lernen, die Problematik der fehlenden Awareness und das Phänomen von „Fake News“ untersucht und Vorschläge für mehr Sicherheit erarbeitet.
Sehr kritisch sehen die Experten demnach die Verwendung von Hardwarelösungen, die oft ohne IT-Sicherheitsüberprüfung verwendet werden. Dies gefährde die Digitale Souveränität Europas. „Eine Möglichkeit diese Situation zu verbessern, wären hier europäische Prüfinstitute, um die Technik unabhängig zu analysieren“, sagt Prof. Michael Waidner, Direktor des Nationalen Forschungszentrums für angewandte Cybersicherheit (CRISP) und des Fraunhofer-Instituts SIT in Darmstadt. Zudem könnten Open-Source-Software- und Hardwarelösungen transparent in der EU entwickelt werden.

Systeme resilient betreiben!

Da aber auch in Zukunft noch weiterhin eine Vielzahl von preiswerten jedoch unsicheren Hard- und Softwarekomponenten verbaut und genutzt werde, reichten Ansätze zur Entwicklung vertrauenswürdiger europäischer Lösungen nicht aus, um vernetzte Systeme wirksam zu schützen.
Am Beispiel „Smart Home“ führt Prof. Claudia Eckert, Direktorin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) in München aus: „Wir brauchen Lösungen, um die Risiken solcher Komponenten zu minimieren und die Systeme resilient zu betreiben. Kameras, Türöffner, die Heizungssteuerung – jedes Heimautomatisierungsgerät ist ein mögliches Einfallstor für große Netz-Attacken. Sichere Gateways für die Verbindung unsicherer Komponenten können beispielsweise dafür sorgen, dass keine sensitive Information die Heimumgebung verlässt und keine Zugriffe von außen auf Steuerungskomponenten möglich sind.“ Resilienz trotz unkalkulierbarer Komponenten – dies müsse natürlich insbesondere für kritische Infrastrukturen (KRITIS) wie Gesundheits- und Energieversorgung, aber auch für Behörden und Unternehmen sichergestellt werden.

Quantencomputer und KI: Neben Chancen gravierende Risiken für IT-Sicherheit

Auch die weltweit stark vorangetriebene Entwicklung von Quantencomputern berge Gefahren. So warnt Professor Müller-Quade: „Es ist zwar bislang noch nicht gelungen, einen hinreichend großen Quantencomputer zu bauen, um die Sicherheit aktueller kryptographischer Verfahren zu gefährden, aber dies könnte sich schnell ändern. Der derzeitige Fortschritt in der Quantentechnologie ist so groß, dass wir heute schon Vorsorge treffen müssen. Wir müssen unsere komplexen vernetzten Systeme auf zukunftssichere, noch weiter zu erforschende Verschlüsselungsverfahren umstellen.”
Methoden der Künstlichen Intelligenz (KI) brächten viele neue Anwendungsfälle, aber auch gravierende Risiken für die IT-Sicherheit mit sich: Maschinelle Lernprozesse könnten durch gezielte Manipulationen während der Lernphase und auch im Betrieb einfach angegriffen werden. „Bevor diese Technologien in kritischen Bereichen oder zur Verbesserung der Lebensqualität eingesetzt werden können, muss das Vertrauen in diese Verfahren und in deren Zuverlässigkeit auf ein wissenschaftliches Fundament gesetzt werden“, fordert Prof. Thorsten Holz von der Ruhr-Universität Bochum.

Europäisch harmonisierter Rechtsrahmen für IT-Sicherheit gefordert

Auch würden neue Möglichkeiten der Informationsgesellschaft wie etwa intelligente Stromnetze, die den Alltag komfortabler machen und beim Energiesparen helfen, rechtliche und ganz besonders datenschutzrechtliche Fragen aufwerfen: „Angesichts der fundamentalen Risiken, die durch die Digitalisierung ganzer Industriezweige und auch kritischer Infrastrukturen wie die Strom- oder Energieversorgung für die Versorgungssicherheit entstehen, brauchen wir dringend einen europäisch harmonisierten Rechtsrahmen für IT-Sicherheit“, unterstreicht Dr. Oliver Raabe vom Zentrum für Angewandte Rechtswissenschaft (ZAR) des KIT.
Die rechtlichen Maßstäbe, welche Risiken akzeptabel sind und welche Schutzmaßnahmen den Unternehmen zugemutet werden könnten, müssten erst noch entwickelt werden; ebenso Maßgaben für die Sicherung von Qualität und Unverfälschbarkeit der großen Datenbestände (Big Data).

Bürgern helfen, sich souverän in Sozialen Netzwerken zu bewegen!

Zudem müssten die Bürger selbst, die zunehmend komplexe Kommunikationssysteme nutzen, beim Schutz ihrer Privatsphäre und IT-Sicherheit unterstützt werden:
„Ziel der Forschung ist daher zum Beispiel, Methoden für einen ,Privacy Advisor‘ zu entwickeln. Diese sollen beim Hochladen von Bildern oder Nachrichten ins Netz die Risiken einschätzen und unter Berücksichtigung bisheriger Posts aufzeigen, wie viel zusätzliche private Information durch die Veröffentlichung preisgegeben wird. Dies würde die Bürger dabei unterstützen, sich souverän in Sozialen Netzwerken zu bewegen“, kündigt Prof. Michael Backes, Gründungsdirektor des CISPA Helmholtz-Zentrums für Informationssicherheit, an.

Wertvolles hat besonderen Schutz und Sicherheit verdient

Angesichts der immer größer werdenden Datenbestände, ergäben sich für viele Unternehmen neue Möglichkeiten für Innovationen, aber auch die Gefahr eine scheinbar sichere Marktposition im Digitalen Zeitalter zu verlieren: „Daten sind nicht per se das Öl des 21. Jahrhunderts. Sie bekommen erst dann einen Wert, wenn Geschäftsmodelle entwickelt werden, die sie wertvoll machen – und Wertvolles hat besonderen Schutz und Sicherheit verdient“, erklärt Peter Buxmann, CRISP-Wissenschaftler und Professor für Wirtschaftsinformatik sowie Leiter des Gründungszentrums HIGHEST an der TU Darmstadt.
Die Bürger sollten sich des Wertes und Schutzbedarfs ihrer Daten bewusst werden, während Transparenz bei der Nutzung und Weiterverarbeitung von Daten sowie faire Preismodelle von Anbietern umgesetzt werden müssten. „Politisch sollten wir uns deswegen eher weg vom Prinzip der Datensparsamkeit in Richtung Datensouveränität bewegen und faire Geschäftsmodelle fördern und fordern“, so Buxmann.

Abbildung: BMBF-Verbundprojekt „secUnity“

Am 5. Februar 2019 offiziell an die ENISA übergeben

Weitere Informationen zum Thema:

secUnity
Supporting the security community

secUnity
secUnity-Roadmap

datensicherheit.de, 11.12.2018
ENISA: EU möchte Cyber-Sicherheitsagentur stärken

[datensicherheit.de, 07.02.2019] Defizite in der IT-Sicherheit abzubauen ist das erklärte Ziel der nationalen Gesetzgeber in mehreren europäischen Ländern – vor dem Hintergrund der am 25. Mai 2018 endgültig in Kraft getretenen EU-Datenschutzgrundverordnung (DSGVO) mit ihren hohen Anforderungen an technische und organisatorische Maßnahmen. In beiden Rechtsquellen ist die Orientierung der IT-Sicherheit am „Stand der Technik“ verankert, indes lassen sie unbeantwortet, was im Detail darunter zu verstehen ist. Nach eigenen Angaben haben die in Deutschland im Bundesverband IT-Sicherheit e.V. (TeleTrusT) organisierten Fachkreise hierzu eine Handreichung erarbeitet, deren englische Sprachfassung in Kooperation mit der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) veröffentlicht wird.

Ziel: ein dem Risiko angemessenes Schutzniveau…

Täglich zeigen Meldungen zu IT-Schadensfällen in Unternehmen und Behörden, dass dringender Handlungsbedarf zur Verbesserung der IT-Sicherheit besteht. Der Artikel 32 DSGVO regelt zur „Sicherheit der Verarbeitung“, dass „unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen sind“.
Damit soll ein dem Risiko angemessenes Schutzniveau gewährleistet werden. Aber sowohl die nationalen als auch der europäische Gesetzgeber enthalten sich konkreter, detaillierter technischer Anforderungen und Bewertungskriterien für die sicherheitsrelevanten technischen und organisatorischen Maßnahmen. Den Gesetzesadressaten würden auch keinerlei methodische Ansätze geliefert, merkt der TeleTrusT an. Diese Ausgestaltung, zumal in einem dynamischen Marktumfeld, müsse den Fachkreisen überlassen bleiben.

Hinweise und Handlungsempfehlungen zur Bestimmung des „Standes der Technik“

Das veröffentlichte Dokument zum „Stand der Technik“ in der IT-Sicherheit soll vor diesem Hintergrund konkrete Hinweise und Handlungsempfehlungen geben, um Unternehmen, Anbietern und Dienstleistern Hilfestellung zur Bestimmung des „Standes der Technik“ in der IT-Sicherheit zu geben und als Referenz z.B. für vertragliche Vereinbarungen, Vergabeverfahren bzw. für die Einordnung implementierter Sicherheitsmaßnahmen zu dienen. Der TeleTrusT betont dabei, dass es nicht eine technische, organisatorische oder rechtliche Beratung bzw. Bewertung im Einzelfall ersetzt.
Durch die nun veröffentlichte englische Fassung des Dokumentes sollen Unternehmen in allen europäischen Ländern bei der Bestimmung des geforderten Sicherheitsstands in der IT-Sicherheit unterstützt werden.

Technische, organisatorische und rechtliche Herausforderungen

Dr. Udo Helmbrecht, „Executive Director“ der ENISA, erläutert: „Die Mitwirkung an diesem Handbuch ist Teil der Unterstützung, die ENISA für die EU-Mitgliedsstaaten leistet. Die Inhalte bieten konkrete Informationen und Empfehlungen, wie die IT-Sicherheit verbessert werden kann.“ Für IT-Experten sei die Handreichung eine nützliche Leitlinie, um in der Praxis den rechtlichen Anforderungen technisch gerecht zu werden.
„Mit Hilfe der Bestimmung des ,Standes der Technik‘ wird es uns gelingen, den Level an IT-Sicherheit angemessen zu erhöhen, unsere Robustheit gegen Cyber-Angriffe zu stärken und damit das Risiko der fortscheitenden Digitalisierung deutlich zu reduzieren“, ergänzt der TeleTrusT-Vorsitzende, Prof. Dr. Norbert Pohlmann.
Die Berücksichtigung des „Standes der Technik“ sei eine technische, organisatorische und rechtliche Aufgabe für die Unternehmen und Behörden, so TeleTrusT-Vorstand RA Karsten U. Bartels: „Die Handreichung hilft auf diesen drei Ebenen sehr konkret – und das sowohl bei der operativen Umsetzung als auch bei deren Dokumentation.“

Weitere Informationen zum Thema:

TeleTrusT
Stand der Technik in der IT-Sicherheit

TeleTrusT
„State of the art“ in IT security

datensicherheit.de, 13.06.2018
Stand der Technik: TeleTrusT veröffentlicht revidierte und erweiterte Handreichung

[datensicherheit.de, 11.12.2018] Steffen Teske, perseus-Geschäftsführer, nimmt Stellung zum Entschluss der EU, ihre Cyber-Sicherheitsagentur, die European Network and Information Security Agency (ENISA) zu stärken.

Rahmen für Sicherheit vernetzter Endgeräte gesetzt

„Wir begrüßen die geplante Einführung einer Zertifizierung von Cyber-Sicherheit in der EU“, sagt Teske. Mit diesem Schritt werde ein Rahmen für die Sicherheit vernetzter Endgeräte, für das Internet der Dinge (IoT) sowie für Kritische Infrastrukturen (Kritis) geschaffen.
Wichtig hierbei sei die inhaltliche Ausgestaltung der Zertifizierung, um einen dauerhaften Schutz vor Sicherheitsrisiken durch IT-Endgeräte sicherzustellen.

„Faktor Mensch“ auch weiterhin größtes Risiko für IT-Sicherheit

Der „Faktor Mensch“ bleibe auch weiterhin das größte Risiko in der IT-Sicherheit. Eine permanente Sensibilisierung von Mitarbeitern für Cyber-Risiken müsse zum festen Bestandteil der Unternehmens-DNA gehören.
Angriffe, wie die durch den aktuell grassierenden Trojaner „Emotet“, hätten bereits Kritische Infrastrukturen getroffen. Infektionen mit diesem Trojaner seien in der Regel auf menschliches Versagen (Phishing) und mangelnde Cyber-Hygiene (Patch Management) zurückzuführen.
„Wirtschafts- und Arbeitgeberverbände sowie Berufsinnungen müssen auch zukünftig für Aufmerksamkeit und Sensibilität beim Thema Cyber-Sicherheit werben“, fordert Teske.

Weitere Informationen zum Thema:

EUROPEAN COMMISSION, 10.12.2018
EU negotiators agree on strengthening Europe’s cybersecurity

datensicherheit.de, 23.09.2015
ENISA veröffentlicht „Cyber Europe 2014 After Action Report“

[datensicherheit.de, 02.02.2016] Mit einer aktuellen Studie zu kritischen Informationsinfrastrukturen (CIIs) analysiert die enisa aktuelle CIIP-Praktiken und Governance-Modelle, die in den EU-Mitgliedstaaten eingesetzt werden. Diese Studie soll zur Verbreitung und künftigen Umsetzung der NIS-Richtlinie beitragen.

Einbuße der Verfügbarkeit und finanzielle Schäden

Bürger und Unternehmen sind für die Unterstützung online-kritischer Dienstleistungen, z.B. auf den Gebieten Energie, Telekommunikation und Gesundheit, von der Informations- und Kommunikationsinfrastruktur abhängig. Der Anstieg von Cyber-Bedrohungen kann nun die Bereitstellung von Dienstleistungen auf diesen Gebieten erheblich beeinträchtigen und finanzielle Verluste sowie eine Beschädigung der Reputation von Unternehmen zur Folge haben.
Die EU-Mitgliedstaaten ebenso wie der Private Sektor müssten demnach zusammenarbeiten, so die enisa, wenn sie diese Bedrohungen heute effektiv angehen möchten. Doch nur die Hälfte der untersuchten Länder habe solche Modelle der Zusammenarbeit als öffentlich-private Partnerschaften, Arbeitsgruppen und Kontaktforen eingerichtet.

Divergierende Sicherheitsanforderungen

Da einige Sektoren wie Finanzen, Telekommunikation und Energie strenger reguliert sind als andere, unterscheiden sich die Sicherheitsanforderungen zwischen den Sektoren und für verschiedene Arten von CII-Betreibern erheblich. Nur eine kleine Anzahl von Ländern habe in allen Sektoren verpflichtende Sicherheitsanforderungen eingeführt, so die enisa.
Die Studie zeige, dass wenige Länder, insbesondere solche mit einem stärker dezentralisierten CIIP-Ansatz, ihre nationalen Risikobeurteilungen an sektorspezifische Behörden oder Betreiber von CIIs delegierten. Einige Länder seien der Ansicht, dass der Marktdruck den CII-Betreibern ausreichend Anreize biete, um in zusätzliche Sicherheitsmaßnahmen zu investieren. Jedoch habe fast keiner der untersuchten Mitgliedstaaten Anreize für Betreiber von CII geschaffen, damit sie in CIIP-verbundene Sicherheitsmaßnahmen investieren.

Vorschläge der enisa

Nach der Validierung der Studienergebnisse schlägt die enisa den Mitgliedstaaten und der EU-Kommission Folgendes vor:

• Durchführung einer gründlichen nationalen Risikobeurteilung
• Einführung einer Zusammenarbeit zwischen öffentlichen und privaten Sektoren
• Definition grundlegender Sicherheitsanforderungen, um die Entwicklung von CIIP in den Mitgliedstaaten zu unterstützen
• Schaffung von Anreizen, die CII-Betreiber dazu bewegen könnten, stärker in Sicherheitsmaßnahmen zu investieren

Prof. Helmbrecht fordert koordinierte Anstrengungen

Neue Bedrohungen für kritische Informationsinfrastrukturen stellten eine eindeutige und unmittelbare Gefahr dar, betont Prof. Udo Helmbrecht, der geschäftsführende enisa-Direktor. Dies sei eine Gefahr, der nur durch koordinierte Anstrengungen begegnet werden könne.

Weitere Informationen zum Thema:

enisa, 18.12.2015
Stocktaking, Analysis and Recommendations on the protection of CIIs

[datensicherheit.de, 28.09.2015] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt auch 2015 den European Cyber Security Month (ECSM). Das BSI nutzt den Aktionsmonat im Oktober, um in Deutschland auf die wachsende Bedeutung der Cyber-Sicherheit hinzuweisen. Unter dem Motto „Ins Internet – mit Sicherheit“ dokumentiert das BSI Aktionen diverser Partner. Zudem führt das Bundesamt eigene Aktivitäten durch. Ziel ist es, die Öffentlichkeit für mögliche Risiken des
Internets zu sensibilisieren sowie Internetnutzern Informationen, Hilfestellungen und Praxisbeispiele an die Hand zu geben, mit denen sie sich sicherer im Internet bewegen können. Da im Zuge der voranschreitenden Digitalisierung und Vernetzung immer mehr Geräte und Maschinen, Lebens- und Produktionsbereiche mit dem Internet verbunden sind und ein Zunahme von immer raffinierteren Cyber-Angriffen zu verzeichnen ist, spielt Cyber-Sicherheit im privaten ebenso wie im geschäftlichen Umfeld eine zunehmend wichtige Rolle.

BSI ist Koordinierungsstelle für Deutschland

Der ECSM findet 2015 zum vierten Mal statt und hat sich auf europäischer, nationaler sowie regionaler Ebene als Aktionsmonat zum Thema Cyber-Sicherheit etabliert. Unter Federführung der europäischen IT-Sicherheitsbehörde ENISA (European Union Agency for Network and Information Security) bieten die Mitgliedstaaten der Europäischen Union während des Aktionsmonats verschiedene Veranstaltungen und Informationen an, um Bürgerinnen und Bürger sowie Unternehmen und Organisationen für das Thema Cyber-Sicherheit zu sensibilisieren.

Das BSI informiert als Koordinierungsstelle für Deutschland Organisationen über den ECSM und dokumentiert deren Aktionen. Darüber hinaus führt die IT-Sicherheitsbehörde eigene Projekte durch, um über IT- und Internetsicherheit aufzuklären. Unter anderem können Bürgerinnen und Bürger auf der Website www.bsi-fuer-buerger.de an einer Umfrage zum Thema Cyber-Sicherheit teilnehmen sowie in der zweiten Monatshälfte bei einem IT-Sicherheitsquiz ihr Wissen zu dem Thema Cyber-Sicherheit testen.
Auf der Facebook-Seite www.facebook.com/bsi.fuer.buerger besteht während des Oktobers die Möglichkeit, Fragen zum Thema Cyber-Sicherheit zu stellen, die das BSI auf seiner Facebook-Seite beantwortet.

Das BSI hat vier Themen definiert, die während des ECSM kommuniziert werden: Die beiden Themen „Cyber-Sicherheit für Arbeitnehmer – wie verhalte ich mich am Arbeitsplatz“ und „Cyber-Sicherheit als Managementaufgabe – wie schafft man ein Umfeld für IT-Sicherheit“ heben die wirtschaftliche Bedeutung von IT-Sicherheit hervor. Diese ist ein zunehmend entscheidender Faktor für die Wettbewerbsfähigkeit, denn Cyber-Angriffe auf Unternehmen finden täglich statt und bedrohen Betriebsgeheimnisse und die Stabilität der Geschäftsprozesse.

Insbesondere an private Nutzer richten sich die Themen „Sicherer Umgang mit Social Media im Alltag“ und „Cloud Computing mit Sicherheit“. Im Mittelpunkt steht dabei die Frage, wie Bürgerinnen und Bürger die eigenen Daten in sozialen Netzwerken oder in der Cloud schützen können. Partner des ECSM können diese vier Themen für ihre Projekte aufgreifen, aber auch andere für IT-Sicherheit relevante Aspekte hervorheben.

Unternehmen und Institutionen können sich am ECSM beteiligen

Das BSI ruft Unternehmen und Institutionen auf, sich mit eigenen Projekten an dem Aktionsmonat zu beteiligen. Die Möglichkeiten einer Beteiligung sind vielfältig und reichen von Medienarbeit über Veranstaltungen und die Gestaltung von Inhalten wie Videos, Webseiten oder Facebook-Meldungen bis hin zu internen Maßnahmen wie Mitarbeiterschulungen.

Interessierte Organisationen können ihre Aktionen bei dem im Auftrag des BSI eingerichteten Projektbüro per E-Mail (ecsm@ffpr.de) anmelden. Fragen beantwortet das Projektbüro des ECSM telefonisch unter 0611-74131-67.

[datensicherheit.de, 23.09.2015] Heute, 23. September 2015. veröffentlichte ENISA die öffentliche Version des „After Action Report” zu der paneuropäischen Cybersicherheitsübung „Cyber Europe 2014“ (CE2014). Dieser Bericht, der von den Mitgliedstaaten genehmigt wurde, gibt einen generellen Überblick über die komplexe Cybersicherheitsübung, die 2014 durchgeführt wurde.

Das Hauptziel von „Cyber Europe 2014” war es, den Mitgliedstaaten eine Kooperationsübung für den Fall einer Cyber-Krise zu ermöglichen. Die in drei Phasen aufgeteilte Übung bot Möglichkeiten zur Bewertung der Effektivität der Kooperations- und Eskalationsprozesse bei grenzübergreifenden Cyber-Störfällen, die die Sicherheit von wesentlichen Dienstleistungen und Infrastruktur beeinträchtigen, während gleichzeitig die einzelstaatlichen Kapazitäten und Krisenpläne für Organisationen sowohl aus dem öffentlichen als auch dem Privatsektor getestet wurden.

Die Übung, die von ENISA alle zwei Jahre organisiert wird, wurde gemeinsam mit Vertretern aus den teilnehmenden Ländern geplant und erforderte sechs (6) Planungskonferenzen in ganz Europa. Diese Übung, die über 1500 Teilnehmer aus 29 EU und EFTA-Mitgliedstaaten zusammenbrachte, deckte zum ersten Mal alle drei (3) Phasen der Cyber-Vorfallsreaktion ab – die technische, die operative sowie die strategische – von denen sich jede in die nächste Phase ausweitet und folgendes beinhaltet:

• Phase 1 – Technisches Level (28.-30. April 2014, 49 Stunden): Störungserfassung, Analyse und Schadensminderung, Informationsaustausch.
• Phase 2 – Operatives Level (30. Oktober 2014, 10 Stunden): Warnung, Kooperation, kurzfristige Krisenbewältigung, Entwicklung eines gemeinsamen Lagebildes.
• Phase 3 – Strategisches Level – zum ersten Mal getestet – (25. Februar 2015): Entscheidungsfindung basierend auf dem gemeinsamen Lagebild, hochrangige Politikdebatten zur langfristigen strategischen Krisenbewältigung.

Der Bericht zeigt, dass die gemeinsame Fähigkeit zur Bewältigung großräumiger Cybersicherheitsvorfälle in Europa seit 2010, als die erste „Cyber Europe”-Übung durchgeführt wurde, erhebliche Fortschritte gemacht hat. Der Austausch von Echtzeitinformationen zwischen den Ländern erwies sich als wertvoll für rasche Entscheidungsverfahren. Die EU-Standardarbeitsverfahren (EU-SOPs), die zur Unterstützung dieser Kooperationsaktivitäten genutzt werden, stellen den Mitgliedstaaten Leitlinien zur Verfügung, von denen diese im Falle von großräumigen Cybersicherheitsvorfällen Gebrauch machen können. Diese werden unter Berücksichtigung des sich entwickelnden Kontextes der Cyber-Sicherheitspolitik in Europa stetig weiter verbessert.

Schnellen Blick auf „Cyber Europe“, ENISAvideos, 12.01.2015 uaf YouTube

Die Kooperation wurde als Schlüsselelement hervorgehoben, welches einen Beitrag zu einem erhöhten Verständnis, Vertrauensbildung und einer schnelleren Reaktion leistet. Die Cyber-Übungsplattform (CEP), die von ENISA für die Planung, Durchführung und Auswertung von Übungen entwickelt wurde, erwies sich als starkes Instrument. Das CEP wird zurzeit von ENISA weiterentwickelt, um in Zukunft Cyber-Übungen auszurichten und technische Lösungen zu präsentieren. Achtundneunzig Prozent (98%) der Teilnehmer der technischen Phase signalisierten Interesse an einer Teilnahme bei der nächsten Übung.

ENISAs Geschäftsführer Udo Helmbrecht sagte: „Die Lektionen, die aus Cyber Europe 2014 gezogen wurden, sind zahlreich und liefern uns die Grundlage für bahnbrechende Arbeit im Bereich der Zusammenarbeit bei Cyber-Krisen, einem sich entwickelnden Feld, in dem die EU und ENISA führend sind. Wir verpflichten uns, den Aktionsplan mit Unterstützung der Mitgliedstaaten zu implementieren, um die Cyber-Krisenvorsorge auf nationaler sowie auf EU-Ebene weiter zu verbessern.“

Das Szenario

Das Szenario für „Cyber Europe 2014” bezog sich auf einen ordnungspolitischen Vorschlag der EU, bei dem es um Energieressourcen ging. Während der technischen Phase der Übung mussten sich die Mitgliedstaaten und die EU-Institutionen mit Cyber-Störfällen wie dem Herausschleusen von Informationen, Open Source Intelligence, Malware-Analyse von Mobiltelefonen, Denial-Of-Service-Angriffen, und Advanced Persistent Threats auseinandersetzen. Die operative Phase von „Cyber Europe 2014” schloss sich mit einer Eskalation der Lage an, die zu einer Serie von großräumigen Cyber-Angriffen auf mehrere kritische Infrastrukturen und zahlreiche Online-Dienstleistungen führte. Schließlich verschärfte die strategische Phase von „Cyber Europe 2014“ die Krise weiterhin, durch die massive Beeinträchtigung verschiedener Energieinfrastrukturen mitten im kalten Winter, den Bruch kritischer Schlüsseltechnologien, sowie eine zunehmend besorgte öffentliche Meinung.

Weitere Informationen zum Thema:

ENISA
ENISA Cyber Europe 2014 – After Action Report

[datensicherheit.de, 31.07.2015] Im vergangenen Jahr hat die Europäische Agentur für Netz- und Informationssicherheit (ENISA) auf Grundlage ihres erneuerten regulatorischen Rahmens folgende Maßnahmen aktiv unterstützt:

• Entwicklung von politischen Maßnahmen auf EU-Ebene sowie Umsetzung von EU-Gesetzgebung: ENISAs Zusammenarbeit im Rahmen von Artikel 13a mit nationalen Telekommunikationsregulierungsbehörden und europäischen Anbietern von elektronischen Kommunikationsdienstleistungen hat tiefe Einblicke in die Grundursachen bedeutender Zwischenfälle sowie in beste Vorgehensweisen gewährt. Sämtliche Mitgliedsstaaten nutzen für ihre jährliche Berichterstattung die technischen Richtlinien der ENISA. Zum Thema Standardisierung steuert ENISA bei der CEN-CENELEC-ETSI Koordinierungsgruppe Internetsicherheit (CSCG) zur Entwicklung des CSCG-Weißbuches bei. In Sachen Netzwerk- und Informationssicherheit (NIS) ist die Agentur zu einem Orientierungspunkt für europäische Anbieter von Trust-Dienstleistungen geworden und wird zu Fragen der eIDAS-Sicherheitsvorkehrungen und Datenschutzgesetzen mit dem Referenzdokument zu Privacy by Design konsultiert. Durch die Mitarbeit bei Regierungs-Clouds und die Entwicklung von besten Vorgehensweisen im privaten und öffentlichen Sektor – und besonders für kleine und mittelständische Unternehmen (KMU) – unterstützt die Agentur außerdem die Cloud-Computing-Strategie und -Partnerschaft der EU.
• Aufbau von Kapazitäten in den EU-Mitgliedsstaaten, im öffentlichen und privaten Sektor, sowie die Verbesserung des Bewusstseins der EU-Bürger. Hierfür ist der Europäische Monat der Internetsicherheit (ECSM) ein bekanntes Beispiel. Er findet in 30 Ländern statt und brachte es im vergangenen Jahr auf über 184 Aktivitäten sowie mehr als 2.000 Twitter-Follower.

Zu den herausragenden Programmen und Leistungen im Jahr 2014 zählen nach Angaben der Agentur:

• Der Gefahrenbericht, der die wichtigsten Bedrohungen im Internet sowie deren Entstehung zusammenfasst und analysiert. Der Report verweist auf über 400 Quellen für Bedrohungen und hilft bei der Navigation durch die Cyberwelt. Der Bericht wurde bereits um die 25.000 Mal heruntergeladen und auf ihn wird oft und umfassend Bezug genommen. Gleichzeitig hat die Agentur zwei Bedrohungsanalysen zu spezifischen Themenbereichen erarbeitet: zu Internetinfrastrukturen und Smart Home Environments.
• Die Cyber-Sicherheitsübungen definieren und testen Betriebsabläufe (Standardvorgehensweisen der EU, auf Englisch: Standard Operating Procedures) für sämtliche Internetsicherheitsbehörden in der EU, um auffällige Ereignisse im Internet handhaben zu können. Bei der Sicherheitsübung „Cyber Europe 2014“ spielten 1.556 Akteure von 483 öffentlichen und privaten Organisationen aus 29 EU- und EFTA-Staaten ihre Zusammenarbeit bei groß angelegten Cyber-Zwischenfällen durch.
• Die Computer Emergency Response Teams (CERTs) der EU unterstützen öffentliche und private Organisationen dabei, auf Zwischenfälle und Bedrohungen reagieren zu können. Dies findet in einem EU-weiten Netzwerk durch den Austausch von Erfahrungen und Fachwissen statt. Dabei geht es zunächst darum, grundlegende Fähigkeiten zu entwickeln. ENISA hat zusammen mit der CERT-Community ein Trainingsprogramm für fortgeschrittene Fähigkeiten von IT-Sicherheitsfachleuten entwickelt. Dieses Programm kann auf der ENISA-Webseite heruntergeladen werden.

Dazu Kommissar Günther H. Oettinger: „2014 war ein weiteres sehr erfolgreiches Jahr für ENISA. Die Agentur hat ihre Beziehungen und Kontakte mit Interessenvertretern im privaten und öffentlichen Bereich weiter gestärkt. ENISA bietet Lösungen und Expertenwissen und hilft dabei, die Internetsicherheit in der ganzen EU entscheidend zu verbessern. Dabei ist es sehr wichtig, einen hohen gemeinsamen Standard bei Netzwerk- und Informationssicherheit zu gewährleisten. ENISA spielt eine entscheidende Rolle bei der Entwicklung eines gemeinsamen Vorgehens und Verständnisses innerhalb der europäischen Gemeinschaft. Die Agentur hilft außerdem dabei, das Potenzial für eine gute Internetsicherheit in den Mitgliedsstaaten zu entwickeln und fördert einen echten EU-einheitlichen digitalen Binnenmarkt – zum Wohle der Bürger, der Regierungen und der Industrie.“

Udo Helmbrecht, Geschäftsführender Direktor von ENISA sagt: „Die unterschiedlichen Aspekte von Internetsicherheit und Cyberattacken waren im vergangenen Jahr durch aufkommende Trends in der Internetsicherheit gekennzeichnet. Wir sind mit einer veränderten Form asymmetrischer Kriegsführung konfrontiert, die nach neuen Mustern funktioniert und keiner Taxonomie folgt. Die Entwicklung digitaler Lösungen hat zu einem Ansatz geführt, der stärker datengesteuert ist. Dadurch wird man für Cyberattacken leichter angreifbar. Die Anwendung neuer Technologien zeigt außerdem auch Gebiete auf, die als komplettes Neuland gelten und die Gesellschaft muss sich fragen, ob sie bereit ist, die Folgen dieser Anwendungen zu tolerieren. ENISA wird mit ihren Maßnahmen weiterhin Vertrauen in und Sicherheit bei digitalen Dienstleistungen in der EU stärken und fördern.“

Im Jahr 2014 hat ENISA 37 Berichte zu zahlreichen Themen veröffentlicht, darunter Fragen, die die nationale Ebene betreffen (wie der Schutz sensibler Infrastruktur) und solche, die für einzelne Individuen wichtig sind (Stichworte Schutz der Privatsphäre und Datenschutz). Die ENISA-Berichte aus dem Jahr 2014 sind hier online abrufbar.

Weitere Informationn zum Thema:

datensicherheit.de, 09.01.2015
ENISA-Bericht: „Bedrohungslage und Good Practice – Leitfaden für IT-Infrastruktur“