EU-Report

Netzwerk-Sicherheit als EU-Vorgabe

Beim Ausfall kritischer Infrastrukturen drohen Verluste in Milliardenhöhe. Für die IT-Netzwerke in Europa wird es in Zukunft deshalb verbindliche Sicherheitstests und eine Meldepflicht für Angriffe geben.

Europa,IT-Netzwerk,Sicherheit

© finecki-Fotolia.com

Europa,IT-Netzwerk,Sicherheit

Neben dem Datenklau durch westliche oder östliche Nachrichtendienste, Mitbewerber und Lohn-Hacker dürfte der provozierte oder fahrlässige Ausfall der IT-Infrastruktur für Unternehmen und Organisationen zu den schlimmsten Bedrohungsszenarien zählen. Im Extremfall mit volkswirtschaftlich katastrophalen Auswirkungen. Nach Angaben des Weltwirtschaftsforums besteht eine zehnprozentige Wahrscheinlichkeit, dass es im kommenden Jahrzehnt zu einem großen Ausfall kritischer Infrastrukturen kommt, der Schäden in Höhe von 250 Milliarden US-Dollar verursachen könnte. Auch Szenarien dieser Art hatte die EU-Kommission im Auge, als sie im Februar 2013 einen Richtlinienvorschlag zur Netz- und Informationssicherheit (NIS) veröffentlichte, als Teil einer Gesamtstrategie zum Schutz von Unternehmen und Bürgern vor Online-Kriminalität.

Vernachlässigte Vorsorge

Andreas Schwab

© Andreas Schwab

Andreas Schwab:Binnenmarktpolitischer Sprecher der EVP- Fraktion im Europaparlament

Die EU-Kommission reagierte damit auf das trotz der großen Risiken verbreitete laxe Sicherheitsbewusstsein. Obwohl einerseits mehr als die Hälfte von befragten Firmen gravierende "NIS-Vorfälle" verzeichneten, hatten andererseits Eurostat-Zahlen belegt, dass im Januar 2012 nur 26 Prozent der Unternehmen in der EU förmlich festgelegte Sicherheitsvorgaben für die Informations- und Kommunikationstechnik hatten.

Seither ist die Lage nicht besser geworden. "Ich bin besorgt über die zunehmend komplexen Formen neu auftauchender Malware, dabei haben wir bislang nur die Spitze des Eisbergs gesehen", warnte Troels Oerting, Leiter des vor einem Jahr gegründeten European Cybercrime Center EC3, bei der kürzlichen Vorlage seines EC3-Reports 2014.

Windows 8.1 im Unternehmen

Bislang sind nur Telekommunikationsunternehmen rechtlich dazu verpflichtet, Maßnahmen für das Risikomanagement zu ergreifen und gravierende NIS-Vorfälle zu melden. Aber auch andere Branchen sind von funktionierenden Netzen und Informationssystemen abhängig und sollen durch die neue Richtlinie erfasst werden.

Im Blick hat die EU-Kommission Banken und Börsen, die Energiebranche, den Luft-, Schienen- und Seeverkehr sowie die Logistik, das Gesundheitswesen und öffentliche Verwaltungen. Auch Internetdienste sollen nach dem Willen der EU-Kommission Risikomanagementmethoden einführen und große Sicherheitsvorfälle in ihren Kerndiensten melden.

Meldepflicht geplant

Fast genau ein Jahr nach ihrer Vorlage durch die EU-Kommission hat der Binnenmarktausschuss des EU-Parlaments Ende Januar seine Position zur Richtlinie verabschiedet. Wie Andreas Schwab (CDU), zuständiger Berichterstatter des Europaparlaments, aus dem Ausschuss mitteilt, sollen IT-Netzwerke sogenannter kritischer Infrastrukturen in Zukunft regelmäßigen Sicherheitstests unterzogen werden.

Kleinere Unternehmen sollen das selbst durchführen können. In besonders kritischen Wirtschaftssektoren wie etwa Energie, Gesundheit oder Verkehr sollen die Tests von externen Prüfern durchgeführt werden. Zuständig sind die nationalen Behörden, im FalleDeutschlands das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Unternehmen müssen zudem Angriffe auf ihre IT-Netzwerke den zuständigen nationalen Behörden melden, die wiederum in einem europäischen Netzwerk zusammenarbeiten und Informationen austauschen. Bis zum Herbst dieses Jahres wollen sich EU-Parlamentund Mitgliedstaaten über den endgültigen Text der Richtlinie einigen. Die neuen Standards könnten dann 2016 in Kraft treten.

Mehr zum Thema

image.jpg
Unternehmensführung

Weil die Emotionen bei jeder Kaufentscheidung eine Rolle spielen, gehen viele Unternehmen dazu über, ihre Prozesse und Abläufe zu emotionalisieren.
davis - Fotolia.com
Quergedacht

Das Tempo ist so wichtig wie der Inhalt: Zum Start seiner neuen Kolumne erläutert Matthias Kolbusa, warum Geschwindigkeit im Geschäft per se ein…
apops - Fotolia.com
IT-Strategien

Laut einer aktuellen Studie von Polycom setzen sich Videokonferenzen in der alltäglichen B2B-Kommunikation deutscher Unternehmen mehr und mehr durch.
lassedesignen - Fotolia.com
IT-Strategien

Daten sind das Erdöl des 21. Jahrhunderts, und das virtuelle Datenöl sprudelt ungebremst und immer üppiger.
image.jpg
Verordnungen für den PC

Rund um den PC-Monitor am Arbeitsplatz gibt es fast nichts, was nicht normiert ist. Doch sind die Verordnungen und die Ergonomie-Richtlinien im…