Cybersicherheit: Zwischen europäischer Koordination und nationalen Agenturen

Europäische Agenturen sind für die Unterstützung und Koordination der europäischen Cybersicherheit wichtig. Bestimmte EU-Verordnungen erlauben es den Mitgliedstaaten aber, eigene Stellen für Privatpersonen oder bedeutende nationale Interessen zu bestimmen.

Photo: Sigmund - Unsplash

In den letzten Jahren ist die Agentur der Europäischen Union für Cybersicherheit (ENISA) angesichts der zunehmenden Herausforderungen in diesem Sektor zu einem immer wichtigeren Instrument geworden. Der Aufgabenbereich Cybersicherheit in der Europäischen Union basiert auf Artikel 5 des Vertrags über die Europäische Union (EUV), der in Bereichen, in denen es keine ausschließliche Zuständigkeit gibt, geteilte Zuständigkeit vorsieht.

Die EU (und im weiteren Sinne die ENISA) sollten daher ausschließlich für Probleme zuständig sein, die von einzelnen Mitgliedstaaten nicht gelöst werden können. Aus diesem Grund hat jeder Mitgliedstaat neben dieser europäischen Agentur seinen eigenen institutionellen Rahmen und eigene Stellen für Cybersicherheit eingerichtet. Es ist Aufgabe der ENISA, die Mitgliedstaaten und die Kommission zu unterstützen und die Zusammenarbeit und den Informationsaustausch zu erleichtern.

Koordination auf europäischer Ebene

 Unter den Vorschriften ist derzeit die NIS-Richtlinie die Referenz für Cybersicherheit in Europa, aber es wird bereits über einen aktualisierten Text diskutiert, der zur Verabschiedung von NIS 2 führen dürfte.

Aufgrund der Art der EU-Richtlinien (Artikel 288 des Vertrags über die Arbeitsweise der Europäischen Union, AEUV ) beschränkt sich der Text darauf, die Mitgliedstaaten über die gewünschten Ergebnisse zu informieren und lässt ihnen viel Freiraum zur Strukturierung ihrer eigenen Agenturen für Cybersicherheit.

Zu den Verpflichtungen der Mitgliedstaaten zählt die Identifizierung spezifischer Agenturen, die die verabschiedeten Politiken koordinieren können, um ein hohes Niveau an Cybersicherheit zu gewährleisten. Hierbei handelt es sich um die zuständigen nationalen Agenturen, die zentralen Anlaufstellen und die CSIRTs (Computer-Notfallteams).

Letztere wurden bereits im Jahr 1990 eingerichtet. Es handelt sich um Strukturen, die dafür zuständig sind, Berichte über Zwischenfälle und potenzielle Schwachstellen von Software zu sammeln und zu verwalten. Die Zahl der CSIRTs unterscheidet sich von einem Land zum anderen, und sie können von unterschiedlichen internationalen Stellen wie Trusted Introducer , First (Forum of Incident Response and Security Teams) und dem europäischen CSIRT Network anerkannt sein.

Laut NIS-Richtlinie ist jeder Mitgliedstaat verpflichtet, ein oder mehrere CSIRTs zu benennen, um sich dem europäischen CSIRT-Netzwerk anzuschließen. In den meisten Mitgliedstaaten existiert ein einziges CSIRT, in manchen Ländern aber zwei oder drei.

Während die CSIRTs für IT-Notfälle und potenzielle Schwachstellen zuständig sind, nehmen die im Rahmen von NIS zuständigen Behörden Aufgaben im Zusammenhang mit Regulation und Verwaltung wahr. Bei diesen Behörden handelt es sich um die Stellen, die für die Sicherheit von Netzwerken und Informationssystemen in den in der Richtlinie aufgeführten Sektoren zuständig sind. Auch hier kann jeder Mitgliedstaat eine oder mehrere Behörden benennen. 

Wenn nur eine Behörde benannt wurde, wird diese automatisch zum einzigen Kontakt. Andernfalls muss der Mitgliedstaat mitteilen, welche Behörde diese Rolle übernimmt, um die Zusammenarbeit mit den Behörden anderer Mitgliedstaaten sowie mit der ENISA und dem CSIRT-Netzwerk zu gewährleisten.

Im Rahmen von NIS zuständige Behörden – die Situation in Deutschland, Frankreich und Italien

Wie bereits erwähnt verfügt jedes Land über das Recht, in seinem Ermessen seine eigenen zuständigen Stellen zu strukturieren, solange es dabei die Vorgaben der EU-Richtlinie einhält. Betrachtet man die drei bevölkerungsreichsten EU-Länder als Beispiele, ist als erstes festzustellen, dass alle drei bisher eine einzige Behörde benannt haben, um die Aufgaben im Zusammenhang mit NIS wahrzunehmen. 

In Italien handelt es sich um die neue Cybersicherheitsbehörde Agenzia per la Cybersicurezza nationale . Vor ihrer Gründung im Mai 2021 gab es fünf zuständige Behörden: die Ministerien für wirtschaftliche Entwicklung, Infrastruktur, Wirtschaft, Gesundheit und Umwelt, die jetzt „sektorspezifische Behörden“ sind (Artikel 7 der Gesetzesverordnung 65/2018 ). Die Cybersicherheitsbehörde ist daher der einzige Kontakt und umfasst auch das italienische CSIRT , das zuvor zum Ressort für Information für die Sicherheit der Republik gehörte (und damit unter den Geheimdienst fiel).

Wie wir in anderen Artikeln erklärt haben, ist die Cybersicherheitsbehörde in vieler Hinsicht autonom. Sie untersteht jedoch der Kontrolle der/des Ministerpräsident*in, die/der die Verwaltung des Sektors sowie die Ernennung des Direktors (Roberto Baldoni) und der Vizedirektorin (Nunzia Ciardi) überwacht. Intern ist diese Agentur in acht Abteilungen unterteilt, die wiederum aus Fachbereichen bestehen. Derzeit soll sie maximal etwa 300 Mitarbeitende beschäftigen und ihr Haushalt für das Jahr 2022 beträgt 41 Millionen Euro. In den nächsten Jahren wird jedoch eine deutliche Erhöhung der Ressourcen erwartet. 

In Frankreich ist die zuständige Stelle die Agence nationale de la sécurité des systèmes d'information (ANSSI). Wie in Italien ist sie der/dem Ministerpräsident*in untergeordnet. Die französische Behörde untersteht dem Secrétariat général de la défense, einer Stelle, die die/den Ministerpräsident*in bei der Wahrnehmung ihrer/seiner Aufgabe im Zusammenhang mit der Verteidigung und nationalen Sicherheit unterstützt. Die ANSSI wurde im Jahr 2009 per Gesetz gegründet und setzte sich umgehend ehrgeizige Ziele ; sie beabsichtigte unter anderem, eine der weltweit führenden Stellen für Cybersicherheit zu werden. Die jüngste Version der französischen Cybersicherheitsstrategie enthält diesen Wortlaut jedoch nicht länger.

Die ANSSI wird von einer Generaldirektion geleitet, die sich aus dem Generaldirektor Guillaume Poupard, dem stellvertretenden Generaldirektor und der Stabschefin zusammensetzt. Der Generaldirektion sind vier Unterdirektionen untergeordnet, die jeweils aus Abteilungen bestehen. Im Jahr 2020 belief sich das Budget der ANSSI (ohne Personalkosten) auf 21 Millionen Euro und die Agentur beschäftigte mehr als 500 Beamt*innen und 100 Nachwuchskräfte. 

Auch in Deutschland gibt es eine einzige zuständige Behörde, das Bundesamt für Sicherheit in der Informationstechnik (BSI). Im Gegensatz zu Frankreich und Italien untersteht diese Behörde nicht dem/der Ministerpräsident*in (in diesem Fall dem/der Bundeskanzler*in), sondern ist im Geschäftsbereich der Generaldirektion für Cyber- und Informationssicherheit des Bundesministeriums des Innern angesiedelt. Das Amt wurde bereits im Jahr 1991 gegründet, aber heute werden seine Aufgaben hauptsächlich durch ein Gesetz von 2009 geregelt. Im weiteren Verlauf wurden zusätzliche Bestimmungen verabschiedet, davon eine im Jahr 2015 , die viele Elemente der im folgenden Jahr veröffentlichten EU-Richtlinie antizipierte, und eine weitere erst vor wenigen Monaten. Mit dem jüngsten Gesetz beabsichtigt die Bundesregierung, das BSI weiter zu stärken, insbesondere in Bezug auf Verbraucherschutz, Sicherheit für Unternehmen und Mobilfunknetze.

An der Spitze des BSI stehen dessen Präsident Arne Schönbohm und der Vizepräsident. Das Amt ist intern in acht Abteilungen unterteilt , die wiederum 18 Fachbereiche und mehrere Referate umfassen. Sein Haushalt für 2021 betrug etwa 200 Millionen Euro, und das Amt beschäftigte 1550 Mitarbeitende. 

Die Informationen über Budgets und Mitarbeitendenzahlen dieser Einrichtungen sind zwar interessant, aber schwer zu vergleichen. Das liegt nicht nur an den unterschiedlichen Quellen, aus denen die Daten stammen, und den abweichenden Methoden, die zur Datenerhebung verwendet wurden, sondern auch daran, dass für Cybersicherheit in keinem Land eine Organisation allein verantwortlich ist. In diesem Bereich spielen verschiedene Strukturen wie Ministerien, Verteidigung und Geheimdienst wichtige Rollen, weshalb es sehr schwierig ist, den Aufwand für Cybersicherheit der einzelnen Länder zu beurteilen.

Die Beziehung zwischen Verteidigungssektor und Geheimdienst

Wie bereits erwähnt, war vor der Gründung der italienischen Cybersicherheitsbehörde das Ressort für Information für die Sicherheit der Republik (DIS) für deren Aufgaben zuständig. Das neue Gesetz siedelt diese Agentur jedoch außerhalb des Geheimdienstes an, obwohl sie über viele Verbindungen zu diesem verfügt. Die/der für den Geheimdienst zuständige Untersekretär*in der Regierung erhielt inzwischen per Gesetz im Zusammenhang mit Cybersicherheit dieselbe Aufgabe wie die Cybersicherheitsbehörde. Die Koordination mit dem Geheimdienst erfolgt darüber hinaus durch die Präsenz von Geheimdienstvertretenden im Bereich Cybersicherheit, an dem darüber hinaus Beauftragte verschiedener Ministerien beteiligt sind. Unter anderem ist die Präsenz einer/eines Vertreter*in des Verteidigungsministeriums geplant, was wohl die Verbindung zwischen der Behörde und der Organisation für Cyberoperationen (COR) – der für Cybersicherheit zuständigen Stelle unter dem Kommando der/des Generalstabschef*in – garantiert. In den bisher veröffentlichten Regeln gibt es allerdings keine ausdrückliche Verbindung zwischen der Behörde und der COR. 

Das Bundesamt für Sicherheit in der Informationstechnik ist ebenfalls aus dem Geheimdienst entstanden und war Anfang der 1990er Jahre zunächst eine für den technologischen Schutz von Staatsgeheimnissen zuständige Stelle. Im Laufe der Jahre wurde das BSI jedoch völlig autonom. Über das Nationale Cyber-Abwehrzentrum , eine behörden- und institutionenübergreifende Plattform aus verschiedenen Strukturen des Bundes, für die Cybersicherheit relevant ist, bestehen weiterhin Beziehungen zum Geheimdienst. Diese Plattform pflegt auch Beziehungen zur Armee, die in Deutschland auf diesem Gebiet eine wichtige Rolle spielt, denn die Cyber-Abwehr obliegt laut Verfassung der Bundeswehr. Im Jahr 2017 wurde das Kommando Cyber -und Informationsraum (CIR) gegründet, eine Stelle, die als gleichwertig mit den anderen Kommandos der Bundeswehr gilt und für die Sicherheit der Cyber-Abwehr-Infrastruktur und der Waffensysteme verantwortlich ist. Aufgrund der engen Beziehung zwischen Verteidigung und Cybersicherheit unterstützt das CIR bei Bedarf das BSI. Die strengen Einschränkungen, die der Bundeswehr durch die Verfassung auferlegt werden, erlauben es dieser jedoch nur, „Amtshilfe“ zu leisten. Sollte es erforderlich sein, zur Abwehr einer landesweiten Cyberattacke Militärpersonal einzusetzen, schreibt die Verfassung die vorherige Genehmigung durch den Bundestag vor.

Wie vorstehend dargelegt, gehört in Frankreich die ANSSI zum Secrétariat général de la défense . Diese Struktur garantiert die Koordination mit Armee und Geheimdienst. Das Secrétariat général de la défense verfügt in der Tat über verschiedene Zuständigkeiten in den Bereichen Verteidigung und Geheimdienst und übernimmt für die/den Präsident*in des Ministerrats die Leitung, das Vorschlagen, die Koordination und Regulierung allgemeiner Angelegenheiten im Zusammenhang mit Verteidigung und nationaler Sicherheit. Darüber hinaus haben wir gesehen, dass das Secrétariat général de la défense der/dem Präsident*in des Ministerrats gegenüber rechenschaftspflichtig ist. Der Ministerrat ist wiederum auch für die Aktivitäten des inländischen Geheimdienstes und der ausländischen Geheimdienste verantwortlich, obwohl diese jeweils in den Zuständigkeitsbereich des Innen- bzw. des Verteidigungsministeriums fallen. 

Links:

Data protection in EU: Comparative Study of National Reports. Lesen

Cyber defence in Nato countries: comparing models. Lesen

Dieser Artikel wurde im Rahmen des Panelfit-Projekts erstellt, das durch das Programm Horizont 2020 der Europäischen Kommission (Finanzhilfevereinbarung Nr. 788039) unterstützt wird. Die Kommission hat sich nicht an der Erstellung des Artikels beteiligt und ist nicht für seinen Inhalt verantwortlich. Der Artikel ist Teil der unabhängigen journalistischen Produktion von EDJNet.

"Verfügbare Übersetzungen
Freitag, 28. Januar 2022

Quelle/n:

Openpolis

Übersetzung von:

Angela Eumann | Voxeurop
share subcribe newsletter