Die European Union Agency for Network and Information Security (ENISA) ist ein Kompetenzzentrum für Cybersicherheit in Europa. Von ihrem Hauptsitz in Griechenland aus trägt sie zu mehr Netzwerk- und Informationssicherheit in der Europäischen Union bei und fördert die Weiterentwicklung der Awareness und der Sicherheitskultur in der europäischen Gesellschaft. Der Geschäftsführende Direktor Prof. Udo Helmbrecht ist seit 2009 im Dienste der ENISA. Der Deutsche war vorher Präsident des Bundesamts für Sicherheit in der Informationstechnik – kurz BSI. Vorab begleitete der promovierte Physiker mehrere Ämter in der Privatwirtschaft. Seit 2010 hat er eine Honorarprofessur an der Universität der Bundeswehr inne. Er gibt uns einen Einblick in die aktuellen Themen seiner Institution.
Herr Prof. Helmbrecht, welche Bedeutung hat das Thema Cybersicherheit für die EU-Spitzen?
Die Bedeutung ist stark gewachsen. Natürlich gibt es viele drängende Themen aus verschiedenen Politikbereichen auf der Agenda der Kommissare. Aber man merkt, dass das Thema Cybersicherheit sehr ernst genommen wird und der Wille da ist, Europa umfassend zu schützen. EU-DSGVO, NIS Direktive, Cybersecurity Act oder EU Cyber Diplomacy Toolbox sind einige Beispiele, die zeigen, dass die Bemühungen in eine weitreichende Gesetzgebung und umfassende Maßnahmen münden.
Newsletter anmelden
Wie unterstützt die ENISA dabei, Europa sicherer zu machen?
Einerseits unterstützen wir Mitgliedsstaaten bei der Umsetzung der Vorgaben der EU. Besonders kleine Staaten stehen hierbei im Fokus. Andererseits sind wir auch Ideengeber oder Gesprächspartner wenn es darum geht, Technologien zu identifizieren, die in fünf oder mehr Jahren so wichtig sind, dass sie auf der europäischen Ebene reguliert werden sollten. Vor circa acht Jahren war Cloud Computing so ein Thema. Und man sieht heute, welche Bedeutung es in der Praxis bekommen hat.
Heute drehen sich die Diskussionen zum Beispiel um Blockchain oder Quantum Computing. Ein weiterer Schwerpunkt unserer Tätigkeiten ist speziell auf kritische Infrastrukturen und strategisch wichtige Themen ausgerichtet. Eine große Herausforderung speziell im Gesundheitsbereich ist eine Initiative, die wir aktiv begleiten. Andererseits ist auch der Expertenmangel ein Thema, bei dem wir beratend agieren. Zum Beispiel wenn es darum geht, zu definieren wer heute und zukünftig auf EU-Ebene genau gesucht wird. Wir können niemanden „klonen“ und müssen uns bewusst sein, dass es mehrere Generationen dauern kann, bis wir die benötigte Zahl an Experten ausgebildet haben.
Die EU-DSGVO findet seit einigen Monaten in allen EU-Staaten Anwendung. Wie verlief diese Zeit aus Ihrer Sicht?
Es ist noch zu früh für abschließende Schlussfolgerungen. Aufgefallen ist, dass es zwar einige Unternehmen gab, die sich frühzeitig auf das Startdatum vorbereiteten. Aber viele Firmen begannen ihre Aktivitäten „auf den letzten Drücker“. Sie setzten sich erst im Frühjahr mit der neuen Gesetzgebung auseinander. Insgesamt war und ist es für mich aber sehr positiv, zu sehen, dass die Aufmerksamkeit für das Thema Datenschutz und damit auch für die IT-Sicherheit stark gestiegen ist. Wir hatten ja schon vor der EU-DSGVO Datenschutzgesetze, entsprechende Prozesse und Zuständigkeiten in Unternehmen ebenso wie in Behörden.
Aber seit Mai 2018 hat das Thema nochmals deutlich an Fahrt aufgenommen. Es wird sehr viel getan. Auch die staatlichen Governancestrukturen in den Mitgliedsstaaten wurden geschaffen oder ausgebaut. Wer die Ansprechpartner in den verschiedenen Ländern sind, ist heute wesentlich klarer. Positiv ist auch, dass die Gesetzgebung international wahrgenommen wird. Die Entwicklung der „Abmahnanwälte“ sorgt mich hingegen. Die Problematik kann vor allem für kleine Unternehmen zu Schwierigkeiten führen.
Herr Prof. Helmbrecht, haben wir derzeit goldene Zeiten für Hacker?
Wenn man die Goldgräberstimmung im Wilden Westen mit dem Aufkommen der neuen Geschäftsmodelle wie Blockchain und Ähnlichem vergleicht, könnte man das so sehen. Kriminelle waren und sind immer da. Sie nutzen heute das Internet und führen teilweise sogar durch von Staaten unterstützte Angriffe durch. Gleichzeitig bauen Institutionen wie die Polizei wesentlich mehr Fachkräfte auf und Europol hat das Cybercrime Centre etabliert. Die Politik investiert also. Ebenso die Unternehmen. Die Investitionen in Prävention und Reaktion steigen und somit die effektive Gegenwehr zu Angriffen.
