Cybersicherheit: Europa als Hochburg - European Champions Alliance
2313
post-template-default,single,single-post,postid-2313,single-format-standard,ajax_fade,page_not_loaded,,qode_grid_1300,footer_responsive_adv,qode-content-sidebar-responsive,qode-child-theme-ver-1.0.0,qode-theme-ver-10.1.1,wpb-js-composer js-comp-ver-5.0.1,vc_responsive
 

Cybersicherheit: Europa als Hochburg

Cybersicherheit: Europa als Hochburg

Dieser Artikel wurde mit der wertvollen Hilfe von Philippe Blot (lead expert certification chez European Union Agency for Cybersecurity – ENISA), Markus Braendle (SVP, Head of Airbus CyberSecurity) und Pierre-Yves Hentzen (President – CEO @ STORMSHIELD, cybersecurity company of Airbus) realisiert.

Es gab eine Zeit während des Kalten Krieges, in der es um die Eroberung des Weltraums ging. Heutzutage redet man von einem Wettlauf um das Cyberspace. Die Einsätze zwischen den Großmächten sind mehr oder weniger die gleichen geblieben, aber die Regeln haben sich geändert: Ziel ist es, seine Vorherrschaft über den Gegner durch die Beherrschung der neuen Spielfelder zu etablieren, die der digitale Raum und die daraus resultierenden Fragen der Cybersicherheit ausmachen. Zu den gegnerischen Teams gehören die Vereinigten Staaten, China, Russland und Israel. Obwohl Europa beteiligt ist, scheint es auf Distanz zu spielen; statt Angriffs- und Verteidigungsstrategien zieht es die Werte Transparenz und Vertrauen vor. Dies könnte sie schließlich an die Spitze führen da sie bereits über die dafür erforderlichen Instrumente verfügt.

Geopolitik im Herzen des digitalen Zeitalters

Es ist heute unmöglich, über Digitaltechnik und Telekommunikation zu sprechen, ohne über Themen wie Politik und Geopolitik zu stolpern. Seit einigen Jahren erleben wir, wie die unterschiedlichen staatlichen Angriffs- und Verteidigungsstrategien von Großmächten wie den Vereinigten Staaten, China, Russland und Israel unter dem Deckmantel der Cybersicherheit Gestalt annehmen.

Die mächtigsten digitalen Akteure scheinen mehr denn je staatlichen Verfügungen ausgeliefert zu sein: Während die Promiskuität zwischen der NSA und der US-Regierung nicht mehr hergestellt werden soll, wird ihr russisches Pendant häufig der Einmischung in ausgeklügelte Cyberangriffe beschuldigt. „Auf der chinesischen Seite ist es allgemein bekannt, dass ein ganzes Gebäude auf der Shanghaier Seite der Stadt chinesische Militäroffiziere beherbergt, die für Cyberangriffe ausgebildet wurden. Auf israelischer Seite wird das digitale Ökosystem größtenteils von ehemaligen Mitgliedern der Einheit 8200, der Geheimdiensteinheit der israelischen Verteidigungsarmee, getragen. Dies zeigt den Platz, den die ‚Cyber-Kräfte‘ heute einnehmen, sowohl defensiv als auch offensiv, auf der höchsten Ebene der nationalen strategischen Interessen“, sagte Pierre-Yves Hentzen, Präsident von Stormshield.

Welchen Platz nimmt Europa in diesen Cyber-Machtspielen ein?

Die Covid-19-Krise hat die Abhängigkeit Europas von diesen Großmächten in Fragen der digitalen Souveränität deutlich gemacht. Doch „Souveränität ist nicht gleichbedeutend mit Abschottung und Rückzug auf sich selbst, sie verkörpert vielmehr Freiheit: die Freiheit, die Kontrolle über die eigenen Entscheidungen und Handlungen zu behalten, ohne unter dem Joch einer dritten Partei zu stehen. Deshalb möchte ich sagen, dass Souveränität nicht auf nationaler Ebene betrachtet werden sollte. Ich höre oft Leute sagen: ‚Wir müssen unsere französischen Unternehmen schützen und fördern“: dies zu sagen ist kontraproduktiv und sehr reduzierend. Wir brauchen mehr von einer globalen Bewegung für ein solides und international anerkanntes Europa‘, betont Pierre-Yves Hentzen. Europäische digitale Infrastrukturen zu haben ist eine gute Sache, aber ihre Integrität und Souveränität sind nicht gewährleistet, wenn hinter ihnen außereuropäische Cybersicherheitstechnologien zu ihrem Schutz eingesetzt werden. Mit diesen geopolitischen Einsätzen und den daraus resultierenden Vorstellungen von Misstrauen haben die Herkunftskriterien bei der Wahl eines Sicherheitsprodukts eindeutig Vorrang vor rein technologischen Kriterien. Europa muss seine Haltung ändern und ein unvermeidlicher Akteur werden. Sie hat die Mittel dazu, wie sie es in anderen Bereichen zur Bekämpfung der Gesundheitskrise und zur Unterstützung der Wirtschaft bewiesen hat, und sie muss auch im Bereich der Cybersicherheit tätig werden. “

Der Bedarf an finanzieller und staatlicher Unterstützung

Die Covid-19-Krise hat auch gezeigt, dass Europa in Fragen der digitalen Souveränität im Rückstand ist. „Wir waren nicht bereit. Am Beispiel der Videokonferenzlösungen waren es beispielsweise amerikanische Unternehmen wie Zoom, die mit einer explosionsartigen Nutzungsexplosion, die Spitzenwerte von mehr als 200 Millionen Nutzern pro Tag erreichte, den Durchbruch schafften. Und dies trotz der Tatsache, dass es europäische Lösungen gibt, die sich – manchmal aus Sicherheitsgründen – als in ihrer Funktionalität eingeschränkt erwiesen haben. Außerdem kämpfen sie aufgrund fehlender finanzieller Mittel um ihre Existenz“, betont Pierre-Yves Hentzen. Ein Sicherheitsaufwand, der den Nebeneffekt haben kann, dass die Investitionen in Funktionalitäten reduziert werden. Was die Menschen dazu treibt, amerikanische Produkte zu kaufen, ist nicht nur eine Frage der Produktqualität, sondern auch die Tatsache, dass sie besser beworben und besser vermarktet werden“, fügt Pierre-Yves Hentzen hinzu. Ganz einfach, weil sie von der finanziellen Unterstützung profitieren, die dies möglich macht. “

Was die Menschen dazu treibt, amerikanische Produkte zu kaufen, ist nicht nur eine Frage der Produktqualität, sondern auch die Tatsache, dass sie besser beworben, besser vermarktet werden. Ganz einfach, weil sie von einer finanziellen Unterstützung profitieren, die dies möglich macht.

Pierre-Yves Hentzen, Vorsitzender von Stormshield

 

Dies scheint sich jedoch zu ändern: Es wurde angekündigt, dass etwa zwanzig Investoren 6 Milliarden Euro zur Finanzierung von French Tech-Start-ups bereitstellen werden. Dabei handelt es sich nicht um öffentliche Gelder, sondern um Gelder, die von den größten französischen Investmentfonds eingebracht werden. Problem, in Europa scheint es einfacher zu sein, in Technologien mit sofortiger Rendite zu investieren. Wohingegen Anwendungen, die große Investitionen in Forschung und Entwicklung erfordern, in einem einzigen Jahr nicht rentabel sein werden. So sind heute die führenden Politiker dieser Welt, die sich solche Investitionen in die Cybersicherheit leisten können, Amerikaner oder Israelis. „US-Unternehmen in diesem Sektor werden in der Regel an der Nasdaq öffentlich gehandelt und sind durch Private-Equity-Fonds gut finanziert, die es ihnen ermöglichen, jedes Jahr Hunderte von Millionen Dollar in F&E und Marketing zu investieren, um das Marktwachstum zu erobern und zu beherrschen. Ihre Strategie besteht nicht darin, unmittelbare Rentabilität anzustreben, sondern Marktanteile zu gewinnen, was die treibende Kraft für ihre Bewertung ist. Und leider speisen unsere eigenen Entscheidungsträger, seien es private oder öffentliche Käufer, diesen gut geölten Mechanismus, da sie überwiegend amerikanische Technologien kaufen“, sagt Pierre-Yves Hentzen. Als Beispiel im Gesundheitssektor führt er den Health Data Hub an, dessen Daten-Hosting ursprünglich Microsoft anvertraut wurde. Diese Entscheidung stieß auf einen Aufschrei, und das aus gutem Grund: Das französische Unternehmen OVHcloud investiert stark in diesen Bereich und hätte eine legitimere strategische Wahl für das Hosting solch sensibler Daten sein können. Ein Fall, der ebenso wie Photonis folgen wird: Dieses Unternehmen, das sensible Hochtechnologien für Armeen liefert, wäre beinahe in den Schoß der Amerikaner geraten. Das Wirtschafts- und Finanzministerium legte sein Veto gegen den Verkauf ein. Allerdings sucht das Unternehmen immer noch nach französischen und europäischen Investoren, aber wenn diesseits des Atlantiks keine akzeptable Lösung gefunden wird, könnte das Unternehmen auf amerikanische Seite kippen…

Die Bedeutung der Wiedererlangung der Kontrolle

Finanzielle Unterstützung und Kontrolle der Infrastruktur gehen Hand in Hand. China verfügt über ein Internet, das durch einheimische Firewalls kontrolliert wird, um nicht vom Westen und insbesondere von den Vereinigten Staaten abhängig zu sein. Russland zog im vergangenen Jahr nach und isolierte sein Internet von globalen Servern: ein Erfolg, so die russische Regierung, die ein Gesetz zu Gunsten eines souveränen Internets vorschlagen will. „Die Kontrolle ihrer Infrastrukturen ist zu einer echten Machtfrage geworden, und das bedeutet auch die Kontrolle der Schutzmittel. Die Vereinigten Staaten, China und Russland haben dies verstanden. Vor einigen Monaten machte Israel den Test, den gesamten Internetzugang zu sperren, um zu sehen, ob das Land in der Lage ist, autonom zu funktionieren. Diese Fähigkeit, autonom arbeiten zu können, wird deutlich gezeigt“, sagt Pierre-Yves Hentzen. Eine Marginalisierung und eine Form der Gefangenschaft, die die Frage des Vertrauens aufwirft.

Heute können wir jedoch feststellen, wie wichtig das Thema wird: Es wird deutlich, dass bestimmte Mächte nicht zögern würden, diese Mittel einzusetzen, um unsere Grundfesten zu destabilisieren. Europa hat hier mit seinen Werten der Offenheit und Transparenz seine Karte auszuspielen. Wenn es das Ziel des RGPD ist, den Einzelnen und seine individuellen Freiheiten zu schützen, hebt der Cloud Act in den Vereinigten Staaten das Recht auf, die Daten aller Personen zu durchsuchen, auch außerhalb des amerikanischen Territoriums. Zwischen diesem höchst intrusiven System und Chinas zunehmend in sich geschlossenem System sticht Europa als offener und vertrauenswürdiger Akteur hervor – umso mehr, nachdem der Europäische Gerichtshof den Datenschutzschild für ungültig erklärt hat.

Ein europäischer Regelungsrahmen soll standardisiert werden

Während sich die PGRD auf internationaler Ebene als Referenz etabliert hat, scheint der übrige europäische Rechtsrahmen disparater zu sein. Auf diesem internationalen Schachbrett scheinen drei europäische Streitkräfte gut zu bestehen, hauptsächlich durch ihre Sicherheitsagentur. Frankreich mit der ANSSI, Deutschland mit dem BSI und – in einer noch weiter gefassten Vision von Europa – das Vereinigte Königreich mit dem NCSC sind alle drei weltweit für ihre Strenge im Bereich der Sicherheit und Verteidigung von Informationssystemen anerkannt und akkreditiert. Es muss jedoch gesagt werden, dass Europa ein fragmentierter Markt mit Unterschieden in Sprachen und Kulturen sowie nationalen Wurzeln ist, die in den verschiedenen Mitgliedstaaten immer noch sehr präsent sind. Aus diesem Grund wird ein Cyber-Markt in der Regel mit überwältigender Mehrheit im Land des Wohnsitzes vergeben.

Das Verlassen dieser Komfortzone bedeutet, dass die Anstrengungen und Investitionen vervielfacht werden müssen. Zum Beispiel Übersetzungen, Zugang zu bisher unbekannten Medien, Anpassung des Produkts oder der Dienstleistung an das Land. Anstrengungen und Investitionen, die sich heute nur die Großen leisten können. Eine Fragmentierung, die die Europäische Kommission insbesondere bei der Anwendung der NIS-Richtlinie befürchtet. Denn wenn die Richtlinie mit der Schaffung der Betreiber wesentlicher Dienste (Essential Service Operators, ESO) „in vielen Mitgliedstaaten als Katalysator gewirkt hat, wo sie den Weg für eine wirkliche Veränderung des institutionellen und rechtlichen Rahmens für die Cybersicherheit geebnet hat“, heißt es in einem ihrer jüngsten Berichte, „so gibt es doch von Land zu Land unterschiedliche Auslegungen hinsichtlich der Art eines wesentlichen Dienstes …“. Dies erschwert den Vergleich von Listen wesentlicher Dienste. Um dieser Fragmentierung entgegenzuwirken, ist eine Harmonisierung der Regeln unerlässlich: Die ENISA spielt eine wichtige Rolle beim Aufbau eines sicheren digitalen Binnenmarktes, der das digitale Äquivalent des Binnenmarktes für Waren und Personen darstellt.

In diesem Sinne und im Rahmen des Cybersecurity Act werden europäische Zertifizierungssysteme zur Standardisierung des Marktes konzipiert. Der erste Entwurf eines Zertifizierungssystems für Cybersicherheitsprodukte wurde soeben vorgestellt, der auf bestehenden Rahmenwerken basiert. Dieses Schema wurde von der ENISA entworfen, die sich dabei auf das Fachwissen von Mitgliedstaaten und Interessengruppen – wie etwa Stormshield – stützte. Ziel ist es, diese Fragmentierung zu verringern, um zu vermeiden, dass ein Unternehmen beispielsweise eine Zertifizierung nach dem Land annimmt, in dem es seine Firewall vermarkten will, und dass sich die nationalen Standards vervielfachen“, bestätigt Philippe Blot, Lead Expert Certification bei ENISA. Die Idee besteht darin, europäische Wege zu schaffen, eine europäische Governance, bei der sich alle Beteiligten auf die Spielregeln einigen. Zertifizierung ist ein Schlüsselelement des Vertrauens. Es geht darum, eine Art Feuertest für das Produkt mit einer dritten Partei zu bestehen. Es muss jemand sein, der unabhängig vom Bieter akkreditiert ist und der von den im Rahmen des Programms eingerichteten nationalen Behörden beaufsichtigt wird. Dieses gesteigerte Vertrauen wird es ermöglichen, mehr Transparenz bei den Angeboten zu bieten. Darüber hinaus wird sie die Öffnung des Marktes für 500 Millionen Menschen ermöglichen.“

Die Idee besteht darin, europäische Wege zu schaffen, europäisches Regieren, bei dem sich alle Beteiligten auf die Spielregeln einigen.

Philippe Blot, Leitender Experte Zertifizierung bei ENISA

 

Nächster Schritt mit der Cloud. Die ENISA wurde in der Tat von der Europäischen Kommission mit der Aufgabe betraut, ein europäisches Zertifizierungssystem für Cybersicherheit für Cloud-Dienste vorzubereiten. Ein Projekt, das an Gaia-X, die europäische Cloud-Plattform, anknüpft, die den Aufbau einer zuverlässigen und sicheren Dateninfrastruktur für Europa, insbesondere im Gesundheitsbereich, zum Ziel hat. „Die verwendeten Verschlüsselungstechnologien müssen vertrauenswürdig sein, und die Schlüssel müssen im Besitz des Unternehmens selbst oder eines vertrauenswürdigen Akteurs sein. Wo auch immer sie gespeichert sind, muss ich in der Lage sein, meine Daten abzurufen: Dieser Begriff der Umkehrbarkeit ist von entscheidender Bedeutung, und Europa muss darauf hinarbeiten“, so Pierre-Yves Hentzen.

Ein Europa, das ein wenig zu bescheiden ist

Aber wäre Europa nicht ein bisschen zu bescheiden? „Die USA, Asien und Israel haben eine starke Kultur des Unternehmertums entwickelt: Die Gründung eines Start-ups wird dort als eine echte Karrierechance angesehen. Die Regierungen helfen und fördern sie in diesem Sinne, und die Regelungen sind flexibler als in Europa. Digitale Champions werden eher dort geboren“, sagt Markus Braendle, Leiter von Airbus CyberSecurity.

Aber Europa muss sich für nichts schämen. Europa ist die Heimat einiger der besten und fähigsten Cyber-Sicherheitsunternehmen der Welt. Es verfügt auch über weltweit führende Universitäten in der Cyber-Sicherheitsforschung mit hoch talentierten Cyber-Ingenieuren. „Ich denke, wir sind zu bescheiden und unterschätzen unsere traditionellen Fähigkeiten. Darüber hinaus befinden wir uns mit Industry 4.0 im Zentrum einer neuen industriellen Revolution, mit Branchenführern in der Luft- und Raumfahrt, der Automobilindustrie, der Pharmakologie und der Chemie, um die uns viele beneiden. Wir verfügen über unübertroffenes Know-how, einzigartiges Wissen, und das bedeutet noch mehr Cyberrisiken. In diesem Sinne muss sich Europa fragen, inwieweit es bei der Cybersicherheit von anderen abhängig sein will, und die richtige Balance finden“, schließt Markus Braendle.

Den Originalartikel finden Sie hier und auf Linkedin.

Wir bedanken uns bei Matthieu Bonenfant für die Publikationserlaubnis dieses Artikels auf unseren Blog.

 

Der Artikel „Cybersicherheit: Europa als Hochburg“ ist aus der Originalsprache Französisch übersetzt.

Nikaia Wirth
Nikaia.wirth@european-champions.com