ENISA: Europas Schutzschild im Cyberspace wird am 28.06.2024 erstmals offiziell bewertet
11.01.2024 | J. Morelli – Online Redaktion, Forum Verlag Herkert GmbH
In einer Welt, in der digitale Bedrohungen ständig zunehmen, spielt die Europäische Agentur für Netz- und Informationssicherheit (ENISA) eine entscheidende Rolle für die Cybersicherheit in Europa. Neu aufgestellt durch den „Cybersecurity Act“ am 27.06.2019 hat sich ENISA zu einer Schlüsselfigur in der Verteidigung gegen Cyberangriffe und der Förderung von Netz- und Informationssicherheit innerhalb der EU entwickelt. Nun sollen die ersten 5 Jahre Tätigkeit auf Wirkung, Wirksamkeit und Effizienz überprüft werden. Wir haben für Sie alles Wissenswerte zu diesem Thema in einem Fachartikel zusammengestellt.
Inhaltsverzeichnis
- Die Mission von ENISA: Ein Mandat für die Bürger oder Wirtschaft?
- Organisation der ENISA
- ENISA-Schlüsselaktivitäten: Schutzschild, Taskforce, Unterstützer, Diplomat?
- ENISA-Zertifizierung: Vertrauenswürdigkeitsstufe von IKT-Produkten
- Herausforderungen und Zukunftsaussichten: Cyberbedrohungen 4.0 – können ENISA und Cybersicherheit Schritt halten?
- Fazit
Die Mission von ENISA: Ein Mandat für die Bürger oder Wirtschaft?
ENISA hat die Aufgabe, ein hohes und effektives Niveau der Netz- und Informationssicherheit in der EU zu gewährleisten. Dies umfasst nicht nur die Unterstützung von EU-Mitgliedstaaten und privaten Unternehmen bei der Abwehr von Cyberbedrohungen, sondern auch die Förderung einer Kultur der Netz- und Informationssicherheit, die das reibungslose Funktionieren des digitalen Binnenmarktes unterstützt.
Die Agentur wurde durch die EU-Verordnung Nr. 526/2013 rechtlich (neu)etabliert – in ihrer ursprünglichsten Form existiert sie jedoch bereits seit 2004 (EG-Verordnung Nr. 460/2004). Da sich die Schutzziele und deren Zielerreichungsmethoden jedoch analog zur dynamischen Weiterentwicklung des IT-Sicherheitssektors bewegen, bekam die ENISA mehrmals eine Generalüberholung.
Vor allem im Rahmen der Verabschiedung der Cybersicherheitsstrategie der Europäischen Union im Jahr 2013 wurde deutlich, dass das bis dato geltende Mandat der ENISA nicht mehr ausreichen würde. Speziell nach der EU-Richtlinie 2016/1148 sollte der Online-Schutz der Bürger unter die Schirmherrschaft der europäischen Cybersicherheitsagentur fallen.
Seit Mitte 2019 ist die ENISA in ihrer heutigen Form tätig. Nun werden die Schlüsselaktivitäten der letzten 5 Jahre analysiert und bewertet, was ggf. eine weitere Anpassung des Mandats der ENISA nach sich ziehen könnte.
→ Alle Kernkompetenzen der ENISA zielen auf die Verhütung, Erkennung und Analyse von Cyberbedrohungen ab. Dementsprechend steht der provisorische Cyberschutz für die ENISA über der Bekämpfung aktiv stattfindender Cyberattacken.
Datenschutz und Datensicherheit gehen Hand in Hand einher. Beide Felder unterliegen kontinuierlichen Neuerungen und Herausforderungen. Bleiben Sie jederzeit über die aktuelle Gesetzeslage sowie Praxisanwendungen auf dem Laufenden. Werfen Sie einen Blick in den "Infodienst Datenschutz für Praktiker" und agieren rechtsicher und zukunftsorientiert.
Organisation der ENISA
Die ENISA hat ihren Sitz in Griechenland und besteht aus einem Expertenkreis unterschiedlicher EU-Mitgliedstaaten. Konkret beinhaltet sie:
- Verwaltungsrat: Je ein ernanntes Mitglied pro Mitgliedstaat und zwei von der EU-Kommission ernannte Mitglieder (alle sind gleichermaßen stimmberechtigt)
- Exekutivrat: Unterstützt den Verwaltungsrat u.a. dadurch, dass dessen Beschlussvorlagen vorbereitet werden; er besteht aus fünf Mitgliedern, die aus den Reihen des Verwaltungsrates für eine Legislaturperiode von 5 Jahren ernannt werden – der Vorsitzende des Verwaltungsrats ist automatisch Mitglied des Exekutivrats.
- Exekutivdirektor: Leitung der ENISA, die gegenüber dem Verwaltungsrat rechenschaftspflichtig ist.
- ENISA-Beratungsgruppe: Besteht aus anerkannten Sachverständigen aller Stakeholder, darunter fallen auch Verbrauchergruppen, Netzanbieter und wissenschaftliche Sachverständige.
- Gruppe der Interessenträger für die Cybersicherheitszertifizierung: Die Kommission wählt öffentlich die Mitglieder, die ebenso Vertreter der Stakeholder darstellen – auf Vorschlag der ENISA; die Gruppe berät im Anschluss die Kommissionen in puncto Cybersicherheitszertifizierung und auf Ersuchen auch die ENISA.
- Netzwerk aus nationalen Verbindungsbeamten
ENISA-Schlüsselaktivitäten: Schutzschild, Taskforce, Unterstützer, Diplomat?
ENISA ist in einer Vielzahl von Bereichen aktiv, darunter:
- Entwicklung von Cybersecurity-Richtlinien: ENISA arbeitet eng mit EU-Institutionen zusammen, um praxisnahe Cybersicherheitsrichtlinien zu entwickeln und umzusetzen. Dies beinhaltet die Beratung zu Themen wie der NIS2-Richtlinie, die eine wichtige Grundlage für die Cybersicherheitsstrategie der EU darstellt.
- Förderung des (Cyber-)Security-Bewusstseins (Security Awareness): Durch Kampagnen, Publikationen und Veranstaltungen trägt ENISA dazu bei, das Bewusstsein für Cybersicherheitsrisiken zu erhöhen und Wissen über beste Praktiken zu verbreiten.
- Forschung und Technologie: ENISA analysiert aktuelle und aufkommende Cyberbedrohungen und entwickelt fortschrittliche Methoden zur Abwehr solcher Bedrohungen. Die Agentur unterstützt auch Forschungsinitiativen in Schlüsselbereichen der Cybersicherheit.
- Unterstützung bei Cyberkrisen: ENISA spielt eine wichtige Rolle bei der Koordination der Reaktion auf große Cyberangriffe und Krisen innerhalb der EU, indem sie Expertise und Unterstützung für nationale Behörden bereitstellt.
- Koordination zwischen Mitgliedstaaten auf EU-Ebene: Kommunikationsschnittstelle zwischen den diversen Institutionen, Leiterin des Best-Practice-Austausch; sie soll die nationalen Berichte der CSIRT (Computer Security Incident Response Team), der jeweiligen nationalen IT-Notallteams und sonstiger Einrichtungen (CERT-EU) auswerten und sammeln.
- Zertifizierungsstelle: Die ENISA hilft den jeweiligen staatlichen Institutionen beim Aufbau effektiver und normierender Zertifizierungsmaßnahmen.
- Wissensdatenbank: Die Cybersecurity-Agentur sammelt durch Austausch, Kommunikation und eigene praktische Erfahrung große Mengen an Dateninformationen (Big Data) rund um das Thema Datensicherheit, Cybersecurity, Security Awareness und Cyberkriminalität.
Festgelegt wurden diese Zuständigkeiten, Rechte und Pflichten durch die EU-Verordnung 2019/881 („Verordnung … über die ENISA … und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik…“). Besonderes Augenmerk liegt hierbei auf den Informations- und Kommunikationstechnologien (IKT), die sowohl im Privatleben, wie in der Arbeitswelt und Öffentlichkeit das größte Bedrohungsrisiko für Cyberattacken darstellen. Besonders im Bereich der Kritischen Infrastruktur (KRITIS) müssen verwendete Systeme, Programme oder sonstige Software-Lösungen so sicher und reibungslos wie möglich funktionieren.
→ Konkret soll die ENISA den „öffentlichen Kern“ des Internets schützen. Darunter fallen im Speziellen dessen „wichtigste“ Protokolle, wie DNS (Domain Server Name), BGP (Border Gateway Protocol), IPv6 (Internet Protocol Version 6) sowie die Garantie des reibungslosen und sicheren Betriebs des DNS als auch der Root-Zone. (Vgl. EU-V 2019/881 Abs. 23)
Der Gegenstand des ENISA-Mandats und dessen Geltungsbereich wird in Artikel 1 Abs. 1 EU 2019/881 benannt: Funktionieren des Binnenmarkts. Primär hat die ENISA also die europäische Wirtschaft als Schutzziel Nr. 1. Daneben existiert ein weiterer Mandatsgegenstand: ein hohes Cybersicherheitsniveau. Als dritte im Bunde vervollständigt die Cybersicherheitszertifizierung die Gegenstandsliste – mehr zu diesem Thema zu späterem Zeitpunkt.
KMU und Start-ups
Darüber hinaus beschreibt die EU-Verordnung 2019/881 in Abs. 4 die ENISA als „insbesondere verantwortlich“ für die Entwicklung der Cybersicherheitsbranche in der Union, mit Fokus auf KMU (Kleine und Mittlere Unternehmen) und Start-ups.
Unabhängigkeit von Drittlösungen
Ein weiterer Kernpunkt/-nutzen der ENISA soll die Reduzierung der Abhängigkeit von (non-eu) Cybersicherheitsprodukten und –dienstleistungen darstellen. Um dies zu erreichen soll sie eng mit Universitäten und Forschungseinrichtungen zusammenarbeiten und eine wichtige Rolle in der Entwicklung moderner Sicherheitssoftware leisten (vgl. EU-V 2019/881 „Nachstehende Gründe“ Abs. 4).
ENISA-Zertifizierung: Vertrauenswürdigkeitsstufe von IKT-Produkten
© S. Engels – stock.adobe.com |
Eine weitere Art und Weise, das Cybersicherheitsniveau europaweit auf einen hohen Standard zu bringen, liegt in der Cybersicherheitszertifizierung (https://www.enisa.europa.eu/topics/certification). Durch sie wird ein ITK-Produkt, ITK-Dienst oder ITK-Prozess als sicher deklariert – aber direkt hier brachten die Verordnungsgeber einen Disclamer, bzw. Passus, in den Rechtstext ein, dass eine ENISA-Zertifizierung dennoch keinen 100-prozentigen Schutz garantieren kann.
Um ein besseres (Sicherheits-)Gefühl für die eigens verwendeten IKT-Produkte zu erlangen, findet die Zertifizierung auf einer Vertrauenswürdigkeitsskala statt. Die unterschiedlichen Vertrauenswürdigkeitsstufen sollen dem Anwender oder Endverbraucher das Sicherheitspotenzial der unterschiedlichen Produkte signalisieren (vgl. EU-V 2019/881 Abs. 10). Dies soll u. a. die konzeptionsintegrierte Sicherheit (security by design) fördern und letztendlich zum Branchenstandard werden.
Für Deutschland und andere EU-Staaten bedeutete dies aber nicht zwangsläufig eine komplette Umstellung der eigenen Zertifizierungsvorgänge. Vieles, was beispielsweise das BSI bereits vor Inkrafttreten der Cybersecurity-Richtlinie durchgeführt hat, wird auf EU-Ebene anerkannt. Künftige Zertifizierungsschemata und die Zertifikatsvergabe haben sich aber entscheidend verändert. Um allen Mitgliedsstaaten gleichsam gerecht zu werden, wurde die „European Cybersecurity Certification Group“ (ECCG) gegründet.
Herausforderungen und Zukunftsaussichten: Cyberbedrohungen 4.0 – können ENISA und Cybersicherheit Schritt halten?
Mit der Etablierung einer Agentur für europäische Cybersicherheit durch die Cybersecurity-Verordnung wurde deutlich, dass bisherige Datensicherheitsmaßnahmen auf Unions- und Bundesebene nicht ausreichten – ein Umstand, der sich in der Zahl der medienwirksamen Cyberverbrechen kenntlich machte. „Sensibilisieren“ steht dabei wie ein Credo hinter den öffentlichkeitswirksamen Veranstaltungen der ENISA.
Dabei scheint den Verantwortlichen klar zu sein, dass Cybersicherheit nur durch die Beteiligung der Bevölkerung erfolgreich betrieben werden kann. Deswegen soll Öffentlichkeitsarbeit ein weiteres Steckenpferd der ENISA sein. Unter „Cyberhygiene“ heißt es in Abs. 8 der genannten EU-Verordnung dazu, dass durch einfache Routinemaßnahmen, die sich problemlos von Bürger, Organisationen oder Unternehmen durchführen lassen, die Risiken einer Cyberbedrohung drastisch verringert werden können.
Aber aufgrund der konstanten Weiterentwicklung der digitalen Landschaft ändert sich auch die Art und Weise, wie Cyberbedrohungen auftreten. ENISA steht vor der Herausforderung, mit diesen Entwicklungen Schritt zu halten und effektive Strategien zur Bekämpfung neuer Bedrohungen zu entwickeln. Mit der zunehmenden Vernetzung von Alltagsgeräten und der wachsenden Bedeutung des Internets der Dinge wird ENISA's Rolle in der Sicherung der europäischen digitalen Infrastruktur noch wichtiger.
In den kommenden Jahren wird ENISA weiterhin eine zentrale Rolle bei der Gestaltung der Cybersicherheitslandschaft in Europa spielen. Mit der Unterstützung der EU-Mitgliedstaaten und der Zusammenarbeit mit privaten Akteuren ist ENISA gut positioniert, um Europa in einer zunehmend digitalisierten Welt sicher zu halten.
Fazit
ENISA ist mehr als nur eine Agentur; sie ist ein wesentlicher Bestandteil der europäischen Sicherheitsarchitektur. In einer Zeit, in der Cyberbedrohungen keine Grenzen kennen, bietet ENISA eine koordinierte und umfassende Antwort zum Schutz Europas im digitalen Zeitalter. Ihre Arbeit gewährleistet, dass die EU nicht nur aktuellen Herausforderungen gewachsen, sondern auch für zukünftige digitale Bedrohungen gerüstet ist.
Sie ist darüber hinaus aber auch Sicherheitsinstrument für die europäische Wirtschaft und ein Mittel zur Entwicklung und Umsetzung der Unionspolitik und des Unionsrechts (vgl. EU 2019/881 Artikel 5), was sie zu einer politischen Organisation werden lässt.
Quellen: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32019R0881, https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/Cyber-Security-Act/cyber-security-act_node.html