ENISA ist auf europäischer Ebene eine in Teilen vergleichbare Agentur wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland. In diesem Jahr konnte ENISA das 10-jährige Jubiläum feiern. Crisis Prevention nahm dies sowie die kürzlich erfolgte Warnung vor dem Microsoft Internet Explorer und die Vereinbarung der Zusammenarbeit von EUROPOL und ENISA zum Anlass, ein Interview mit dem geschäftsführenden Direktor zu führen. Prof. Dr. Udo Helmbrecht war in seiner letzten Verwendung in Deutschland Präsident des BSI. Das Interview führte Hans-Herbert Schulz.

CP: Herr Professor Helmbrecht, Ihre Agentur wurde im März zehn Jahre alt. In den Presseerklärungen war vom Kampf gegen die Kriminellen im Netz als dem „ewigen Marathon“ die Rede. Können Sie unseren Lesern kurz schildern, wie ENISA für diesen Marathon aufgestellt ist und welche Erfolge bisher erreicht werden konnten?

Prof. Helmbrecht: Das beantworte ich in zwei Richtungen. Einmal haben wir die Mitgliedsstaaten, bei denen die Verantwortung für das Tagesgeschehen liegt. In Deutschland haben wir das BSI mit dem CERT-Bund, also die Einrichtungen, die uns tagtäglich auf nationaler und europäischer Ebene unterstützen. Als ENISA sind wir auf der einen Seite zuständig, die Mitgliedsstaaten beratend zu unterstützen. Wir führen z. B. Schulungen durch für Mitgliedsstaaten, die die Infrastrukturen erst aufbauen. Auf der anderen Seite führen wir Untersuchungen durch hinsichtlich sich entwickelnder neuer Technologien, wie zum Beispiel Smart Meters, Geschäftsmodelle im Cloud-Computing oder bei Sozialen Netzwerken und prüfen sie auf Sicherheitsrisiken. Insofern gibt es eine Aufgabenteilung zwischen den Mitgliedsstaaten und der europäischen Ebene.

ENISA_poster_Strong Password -2-_DECP: Welche sind Ihre Schwerpunktthemen?

Prof. Helmbrecht: Wir sind vornehmlich auf den Gebieten Telekommunikation, Banken, Versicherungen und Kritische Infrastrukturen unterwegs. Sehr aktiv waren wir in den letzten Jahren beim Cloud-Computing, wo wir Empfehlungen zu Zertifizierungen und Audits gegeben haben, die dann zusammen mit der Industrie auch umgesetzt worden sind.

Im Vergleich mit dem BSI gibt es einen Bereich, den wir nicht machen: Kryptographie, Geheimschutz einschließlich Zertifizierung ist eine nationale Aufgabe. Aber ähnlich wie das BSI in der Allianz für Cybersicherheit mit den Betreibern Kritischer Infrastrukturen zusammenarbeitet, machen wir das auf europäischer Ebene. In vielen Fällen geben wir Informationen, die es in einem Mitgliedstaat gibt, allen Mitgliedstaaten auf Englisch und damit der gesamten europäischen Community bekannt, denn im IT-Sektor hat sich Englisch als Sprache durchgesetzt. Unser Ziel ist, Best Practice aus den Mitgliedsstaaten allen verfügbar zu machen. Manchmal kann man uns auch als Vermittler sehen, der zwischen den Mitgliedsstaaten Informationen weitergibt.

CP: ENISA hat bisher 20 Mitgliedsstaaten konkret bei der Entwicklung von sogenannten (Regierungs-)CERTs unterstützt. Handelt es sich dabei um kleinere Mitgliedsstaaten, die möglicherweise keine eigene IT-Industrie haben, und wie gestaltet sich die Zusammenarbeit mit den übrigen Staaten, vor dem Hintergrund, dass das Internet keine Grenzen kennt?

Prof. Helmbrecht: Wir haben mittlerweile 28 Mitgliedsstaaten, dabei sind die sogenannten großen Mitgliedsstaaten wie Deutschland, Frankreich, England, aber auch die älteren Mitgliedsstaaten wie zum Beispiel Finnland, Niederlande oder auch Italien. Das sind Staaten, die eine eigene IT-Sicherheitsindustrie haben. Demgegenüber haben die neuen Mitgliedsstaaten, wie z. B. Malta, Rumänien, Bulgarien oder die baltischen Staaten, Nachholbedarf. Wir haben unterstützt, beraten und Schulungen gegeben, um CERTs aufzubauen. Von 2005 bis heute sind in allen 28 Mitgliedsstaaten Regierungs-CERTs aufgebaut worden. Für Europa gesehen ist das schon ein Erfolg.

CP: Mit Warnungen vor IT-Sicherheitslücken und -risiken greifen Sie naturgemäß in die wirtschaftlichen Interessen teils international agierender Konzerne ein. Wie reagiert die Industrie auf Ihre Hinweise und Ratschläge?

Prof. Helmbrecht: Wir sind da extrem vorsichtig, aber auf der anderen Seite gibt es einen anderen Bereich, wo das Gang und Gäbe ist: Im Gesundheitssektor kommen Inspektoren in Restaurants und es kann auch mal passieren, dass dann im Extremfall ein Restaurant oder eine Bäckerei geschlossen wird.
In Deutschland wurde das BSI-Gesetz 2009 novelliert, wonach das BSI Warnungen herausgeben kann. Mittelfristig werden sich auch im IT-Sektor Industrieunternehmen daran gewöhnen müssen, dass es ähnliche Befugnisse wie im Gesundheitssektor gibt. Aber staatliche Institutionen werden sicherlich immer verantwortungsvoll und vorsichtig damit umgehen.

CP: Das europäischen Cyber-Crime Zentrum (EC3) von EUROPOL und ENISA arbeiteten schon seit längerem zusammen. Welche neue Qualität ergibt sich durch die jetzt unterzeichnete Kooperationsvereinbarung?

Prof. Helmbrecht: Seit dem Lissabon-Vertrag 2009 gibt es eine erweiterte europäische Zusammenarbeit z. B. im auswärtigen Dienst oder bei der Polizeiarbeit. Wir haben im letzten Jahr eine Novellierung des ENISA-Gesetzes erfahren, in dem uns als Konsequenz aus dem Lissabon-Vertrag die Aufgabe zugeteilt wurde, im Bereich Computerkriminalität auch unterstützend tätig zu sein. Als Folge können wir nun auf gesetzlicher Basis mit Europol zusammenarbeiten.

CP: Diese Vereinbarung bezieht sich nicht auf den Austausch personenbezogener Daten. Das ist angesichts der gegenwärtigen Debatte um IT-Sicherheit und Datenschutz verständlich, ist es aber im Sinne effektiver Strafverfolgung vernünftig?

Prof. Helmbrecht: Ja, ich gebe Ihnen ein paar Beispiele, um die damit verbundene Absicht zu verdeutlichen: In Europa ist der Strafvollzug Ländersache. Das heißt, der Verbrecher wird vor Ort von der örtlichen Polizei verhaftet. Europol als europäische Ins­tanz liegt darüber, aber wir von ENISA haben letztlich mit dem einzelnen Fall nichts zu tun. Uns geht es vielmehr um Kriminalitätsmuster. Bei EUROPOL haben Sie erfahrene Polizisten der Verbrechensbekämpfung; bei ENISA Experten, die beispielsweise Informatiker und technische Experten sind. Es geht darum, den Informationsaustausch herzustellen und mit Europol-Mitarbeitern sich neue technische Entwicklungen anzusehen. Am Beispiel Smart Meters, digitalen Stromzählern, ist die Frage: Wie könnte man sie missbrauchen, mit welcher Technik? Damit kann EUROPOL sich auf technologische Entwicklungen einstellen. Umgekehrt können wir von EUROPOL Informationen über typische Kriminalfälle bekommen, z. B. die Zunahme von Identitätsdiebstahl. Wenn wir dann zusammensitzen und „übers Eingemachte reden“, ist der einzelne Fall des Kriminellen uninteressant, deswegen brauchen wir auch keine personenbezogenen Daten.

CP: Abschließend eine Frage zur zukünftigen Entwicklung: Worin sehen Sie die größte Bedrohung und welche Forderungen würden Sie an die europäischen Staaten daraus ableiten?

Prof. Helmbrecht: Das eine sind technische Dinge und das andere politische Herausforderungen. Bei den politischen Herausforderungen diskutieren wir zurzeit die Network-Information-Security-Direktive (NRS-Direktive), die dem in Deutschland diskutierten IT-Sicherheitsgesetz ähnelt. Im Wesentlichen geht es darum, den Informationsaustausch auf der Arbeitsebene zu verbessern, z. B. den Informationsaustausch der Regierungs-CERTs untereinander. Dabei ist es immer gut, wenn man eine rechtliche Basis hat. Ein zweiter Punkt sind neue Herausforderungen bei Kritischen Infrastrukturen. In Deutschland sind wir mit dem Umsetzungsplan KRITIS, womit die Bundesregierung ja schon vor vielen Jahren begonnen hat, sicherlich gut aufgestellt, aber europäisch haben wir für unsere 28 Mitgliedsstaaten noch viel zu tun. Erforderlich ist, eine gesetzliche Regelung zu schaffen und wie es im englischen heißt, eine „Governence Structure“ zu schaffen. Wenn morgen wirklich ein Krisenfall grenzüberschreitend im IT-Bereich stattfindet, haben wir eben kein europäisches IT-Krisenreaktionszentrum. In Deutschland haben wir ein THW, ein BBK, ein BSI, das BKA.

Wenn es in Europa wirklich einen großen Fall gibt, wie in Estland 2007, haben wir keine entsprechenden Strukturen. Man braucht ja nicht überall ein BSI, aber es muss zumindest feststehen, welches Ministerium, welche Abteilung, welche Behörde zuständig ist – und diese Strukturen wollen wir schaffen.

Im Bereich der Technologie, z. B. Cloud-Computing, wird die Entwicklung auch weitergehen. Heute reden wir über die Amazons, Googles, Facebooks, aber im Gesundheitssektor werden zukünftig niedergelassene Ärzte auf Datenzentren zugreifen wollen, werden Krankenhäuser vernetzt werden wollen. Dann geht es darum, unsere Gesundheitsdaten zu schützen. Beim Energiesektor, beim intelligenten Stromnetz, beim Schlagwort Software-Defined-Network, im Bereich der Mobilfunknetze mit größeren Bandbreiten und neuen Funktionalitäten in Mobilfunktelefonen oder in den zukünftigen Bezahlsystemen mit sogenannten Near Field Communication – überall dort wird zukünftig „IT-Security by Design“ von Anfang an erforderlich sein.

Wenn wir das alles zusammen nehmen, dann haben wir einige politische Herausforderungen und schließlich wollen wir auch bei den technischen Herausforderungen up-to-date sein.

CP: Herr Professor Helmbrecht, haben Sie herzlichen Dank für das Gespräch.

ENISA und ihre Aufgaben

ENISA ist die Cyber-Sicherheitsagentur der EU. Sie unterstützt die Dienststellen und Agenturen der Gemeinchaft sowie die Mitgliedsstaaten dabei, Netz- und IT-Sicherheitsprobleme und –vorfälle zu vermeiden, zu entdecken und darauf zu reagieren.

Die Agentur arbeitet zusammen mit dem Europäischen Parlament und Rat auch an der Anpassung der Netzwerk- und Informationssicherheitsdirektive (NIS Directive) und der Implementierung der EU Cyber-Sicherheitsstrategie.

In diesem Jahr feiert ENISA den 10. Jahrestag seit der Gründung in Heraklion, Kreta, im Jahre 2004.