Digitale Souveränität in der Cybersicherheit
Die EU strebt nach digitaler Souveränität und will dies auch im Bereich Cybersicherheit erreichen. Warum ist eine unabhängige Cybersicherheit für die EU so wichtig? Wie können bestehende Abhängigkeiten vermindert werden? Eine Bestandsaufnahme.
Warum die EU nach mehr Souveränität strebt
Wie die neue EU-Cybersicherheitsstrategie zeigt, ist Technologische Souveränität für die EU von wesentlicher Bedeutung. Unter technologischer Souveränität versteht man dabei die Fähigkeit, Produkte und Dienstleistungen zu beschaffen, die den spezifischen Bedürfnissen und Werten der EU entsprechen, ohne dem Einfluss der „Außenwelt“ ausgesetzt zu sein, wie es die EU-Agentur für Cybersicherheit ENISA erklärt.
Für die Beschaffung von Produkten oder Dienstleistungen, die den Bedürfnissen und Werten der EU entsprechen, gibt es zwei Möglichkeiten: Man kann diese selbst herstellen oder, falls die Produkte oder Dienstleistungen aus Drittländern bezogen werden, diese zertifizieren und validieren. In kritischen Bereichen aber soll es zu keiner hohen Abhängigkeit kommen.
Zu den kritischen Bereichen zählt offensichtlich die Cybersicherheit, so dass sich die Frage stellt, wie unabhängig die EU bislang bei Cybersecurity aufgestellt ist und wie mehr Souveränität in der Cybersicherheit erzielt werden kann.
Wie die Cybersicherheit mehr Souveränität erhalten soll
Die EU ist nach eigenem Bekunden entschlossen, die neue Cybersicherheitsstrategie im Rahmen ihres nächsten langfristigen Haushalts in den kommenden sieben Jahren durch umfangreiche Investitionen in den digitalen Wandel zu unterstützen, insbesondere durch das Programm „Digitales Europa“, Horizont Europa und den Europäischen Aufbauplan.
Der für den Binnenmarkt zuständige EU-Kommissar Thierry Breton erklärte dazu: „Investitionen in die Cybersicherheit bedeuten Investitionen in die gesunde Zukunft unserer Online-Umgebungen und in unsere strategische Autonomie.“
Die EU-Kommission möchte auch die industriellen und technologischen Kapazitäten der EU im Bereich der Cybersicherheit stärken. Die EU sieht die einmalige Chance, ihre Ressourcen zu bündeln, um ihre strategische Autonomie zu stärken und ihre Führungsrolle bei der Cybersicherheit der gesamten digitalen Lieferkette (einschließlich Daten und Cloud, Prozessortechnologien der nächsten Generation, ultrasichere Konnektivität und 6G-Netze) im Einklang mit ihren Werten und Prioritäten zu festigen.
Wo Handlungsbedarf für eine unabhängigere Cybersicherheit besteht
Der EPRS (European Parliamentary Research Service) hat Untersuchungen zu „Digital sovereignty for Europe“ angestellt und dabei auch speziell die Cybersicherheit betrachtet. Im Bereich der Cybersicherheit wurde dabei zum Beispiel die Abhängigkeit von der chinesischen 5G-Infrastruktur als kritisch identifiziert.
Die EU-Kommission hatte in den letzten Jahren eine Empfehlung für einen gemeinsamen EU-Ansatz zur Sicherheit von 5G-Netzen und eine EU Toolbox zur 5G-Cybersicherheit veröffentlicht. Die EU-Kommission forderte die Mitgliedstaaten auf, die Umsetzung der wichtigsten Maßnahmen des 5G-Instrumentariums bis zum zweiten Quartal 2021 abzuschließen und sicherzustellen, dass die ermittelten Risiken angemessen und koordiniert eingedämmt werden, insbesondere um die Abhängigkeit von sogenannten Hochrisikoanbietern zu vermeiden.
Inwieweit es den EU-Mitgliedstaaten gelingt, einen gemeinsamen Ansatz zur 5G-Sicherheitsfrage umzusetzen, stuft EPRS als wichtigen Test für die strategische Autonomie der EU im digitalen Umfeld ein.
Die EU-Agentur für Cybersicherheit ENISA nennt ebenfalls Bereiche, wo die Cybersicherheit in der EU weiterentwickelt werden muss, darunter die Verfügbarkeit von Plattformen für maschinelles Lernen und Big Data, die in Europa beschafft und gehostet werden, sowie eigene Softwareplattformen und Tools, um Software, die von außerhalb der EU bezogen wird, angemessen zu verifizieren.
Ebenso sollte Europa Open-Source-Alternativen zu kommerziellen Produkten unterstützen, um im Falle einer Unterbrechung der Lieferkette gewappnet zu sein. Da die Nachfrage nach Cloud-Diensten wächst, muss Europa zudem einen offenen und sicheren europäischen Markt für Cloud-Softwaredienste gewährleisten, so ENISA. Europa muss weiterhin in der Lage sein, eigene Werkzeuge und Methoden zur Erkennung und Reaktion zu entwickeln, um Cyberangriffe abzuwehren.
Die EU muss den Zugang zu und die Kontrolle über hochwertige Hardwarekomponenten gewährleisten und den Zugang zu einem kryptografischen Schutz auf dem neuesten Stand der Technik sicherstellen. Dies kann die Entwicklung von kryptografischen Suiten in Europa umfassen, um „kryptografische Hintertüren“ auszuschließen, wie ENISA darlegt.
Empfehlungen und Einschätzungen zu Sicherheit und Souveränität
Digitale Souveränität ist die Grundlage erfolgreicher Digitalisierung und nachhaltiger Wettbewerbsfähigkeit Deutschlands und Europas, so auch der Bundesverband IT-Sicherheit e.V. (TeleTrusT). Dazu gehöre ein grundlegendes Maß an Unabhängigkeit von fernöstlich und US-amerikanisch dominierten Lieferketten durch relevante innereuropäische Technologieproduktion.
Dr. André Kudra, Leiter des TeleTrusT-Arbeitskreises “Secure Platform” erklärte dazu: „Digitale Souveränität ist aktuell in allen politischen Diskussionen präsent. Die Nicht-Verfügbarkeit von heimischer Halbleiterfertigung hat höchste politische Aufmerksamkeit erlangt, so dass eine europäische Halbleiter-Allianz proklamiert wird. Als engagierte Mitglieder des TeleTrusT-Arbeitskreises “Secure Platform” haben wir diese Themen bereits seit 2019 auf unserer Agenda“.
Als Beitrag zur Stärkung der europäischen Digitalen Souveränität hat TeleTrusT die Handreichung
“Secure Platforms für Digitale Souveränität” – Technische Empfehlungen für das europäische IT-Ökosystem veröffentlicht.
Die Handreichung des TeleTrusT-Arbeitskreises betrachtet dabei die Abhängigkeit von außereuropäisch dominierten Lieferketten. Entscheidend ist deshalb die Förderung Digitaler Souveränität durch die Stärkung bzw. Schaffung eines europäischen IT-Ökosystems, um manipulationssichere Verarbeitung technisch sicherzustellen. Das vorgestellte Konzept baut auf dem etablierten IT-Schichtenmodell auf und erweitert es gezielt. Ein Angriffsmodell mit staatlichen Akteuren, Lieferanten, Betreibern und externen Angreifern wird darübergelegt, um konkrete Anknüpfungspunkte für technische Empfehlungen abzuleiten.
Grundlegende Erkenntnis der Handreichung ist, dass im vorhandenen Ökosystem bislang nicht überall die höchsten Sicherheitskategorien erreicht werden können, wie es notwendig wäre. Eine Grobschätzung ergibt, dass mehrere Tausend Personenjahre Arbeit erforderlich sind, um das erforderliche, europäische Ökosystem zu schaffen. Aber: Es wird bei entsprechender Priorisierung und Fokussierung als grundsätzlich möglich erachtet.
Der Weg hin zu der gewünschten Souveränität der EU in der Cybersicherheit ist also noch lang, aber er ist durchaus möglich, auch wenn dafür noch große Aufwände geleistet werden müssen. Zudem zeigt sich: Cybersicherheit aus der EU und globale Cyberbedrohungen sind kein Widerspruch, vielmehr machen globale Cyberrisiken die Souveränität in der EU besonders wichtig.