Report: Wie die EU in Cybersicherheit investiert
Mit zahlreichen Programmen will die EU die Investitionen in Cybersecurity steigern. Höhere Budgets reichen aber nicht, um zu USA und Israel aufzuschließen.
Mehr Geld für Security
Eigentlich eine gute Nachricht in unsicheren Zeiten: Europa will mehr in den Markt für Cybersicherheit investieren.
Doch der Wille zu mehr Investitionen trifft auf eine aktuelle Lage, in der die öffentlichen Ausgaben für Cybersicherheit in der EU fragmentiert und gering sind und es an staatlich geführten Strategien fehlt. Mangels genügend engagierter Investoren in der EU, die sich dem Wachstum des Sektors verschrieben haben, suchen die Unternehmen der Cybersicherheit außerhalb Europas nach geeigneten Finanzierungspartnern. Eine mögliche Folge: Kleine EU-Unternehmen in Bereich Cybersicherheit werden von Nicht-EU-Unternehmen übernommen.
Bedenkt man, wie wichtig die Cybersicherheit für die von der EU angestrebten Digitalen Souveränität ist, muss noch deutlich mehr geschehen, als weitere Investitionen in dem Bereich der Security zu planen. Die Cybersicherheitsanbieter in der EU müssen strategisch gestärkt werden, um sie zu erhalten, als Security-Partner der EU-Unternehmen. Doch wie sieht die Strategie bisher aus?
Investitionen dürfen nicht reaktiv sein
Man kann nicht behaupten, dass Cybersicherheit nicht genug Beachtung findet in EU-Förderprogrammen. Das zeigen diese Programme beispielhaft: Im Aufbauplan für Europa geht es auch um die Cybersicherheit als eine der Prioritäten der EU bei der Reaktion auf die COVID-19-Pandemie, bei der es vermehrt zu Cyberangriffen gekommen ist. Im Plan sind zusätzliche Investitionen in diesem Bereich vorgesehen.
Ebenso ist die Cybersicherheit ein wichtiger Bestandteil des EU-Rahmenprogramms für Forschung und Innovation „Horizont 2020“ und des Nachfolgeprogramms „Horizont Europa“. Im Mai 2020 hatte die EU 49 Millionen Euro bereitgestellt, um Innovationen in den Bereichen Cybersicherheit und Datenschutz zu fördern.
Im Rahmen des Programms „Digitales Europa“ für den Zeitraum 2021-2027 hat sich die EU zudem verpflichtet, 1,6 Milliarden Euro in Cybersicherheitskapazitäten und die breite Einführung von Cybersicherheitsinfrastrukturen und -instrumenten in der gesamten EU für öffentliche Verwaltungen, Unternehmen und Einzelpersonen zu investieren.
Auf der Ebene von EU und Nationalstaaten gilt allerdings das gleiche wie für jedes einzelne Unternehmen: Nicht allein die Steigerung des Security-Budgets ist entscheidend, sondern die Investitionsziele müssen ebenso stimmen. Gerade im Bereich Security sind Investitionen vielfach reaktiv und nicht strategisch gedacht. Darin liegen aber hohe Risiken, für Unternehmen und für die ganze EU.
EU-Verordnungen können nicht der alleine Maßstab sein
Ob es um Investitionen in und Förderungen von Cybersicherheitsunternehmen geht oder um die Anschaffung von Cybersecurity-Produkten und -Services: Oftmals sind es rechtliche Vorgaben, die darüber entscheiden, wo genau investiert wird, da man auf die Compliance achten muss.
Man sollte aber bedenken, wie lange es dauert, bis rechtliche Vorgaben wie eine EU-Verordnung entwickelt sind, in Kraft treten und zur Anwendung kommen, und wie wenig spezifisch eine Rechtsverordnung in konkreten, technisch-organisatorischen Vorgaben sein kann. Deshalb sollte es nicht verwundern, dass neue Bedrohungslagen und aktuelle technische Entwicklungen nicht in den rechtlichen Vorgaben abgebildet sind.
Wer also so in Security investiert, wie es Rechtsverordnungen notwendig erscheinen lassen, kann kaum anders, als sich alleine an der Vergangenheit zu orientieren. Man dann dann nur reaktiv investieren.
Compliance ist kein Berater für Investments
Die EU-Agentur für Cybersicherheit ENISA hatte Ende 2021 eine Untersuchung durchgeführt, wie sich Cybersicherheitsinvestitionen unter den Bestimmungen der NIS-Richtlinie entwickelt haben.
Bereits ein Jahr zuvor hatte ENISA berichtet: Die NIS-Richtlinie wirkt sich positiv aus, obwohl die Studie Lücken bei Investitionen in Cybersicherheit feststellt. Die ENISA-Studie zur Untersuchung der Ausgaben für Cybersicherheit besagte damals, dass 82 Prozent der Betreiber kritischer Dienste und Anbieter digitaler Dienste feststellten, dass die NIS-Richtlinie einen positiven Effekt hat.
Allerdings bestanden noch Investitionslücken. Beim Vergleich von Organisationen aus der EU mit denen aus den Vereinigten Staaten zeigten die Daten, dass EU-Organisationen durchschnittlich 41 Prozent weniger für Cybersicherheit aufgewendet haben als ihre US-Pendants.
Die aktuelle ENISA-Studie ergab: 67 Prozent der KRITIS-Betreiber und Anbieter digitaler Dienste müssen zusätzliches Budget bereitstellen, um die Einhaltung der NIS-Richtlinie zu gewährleisten.
Ein typischer Dienstleister gibt laut Umfrage rund zwei Millionen Euro für Informationssicherheit aus. Das jeweilige Budget zur Umsetzung der NIS-Richtlinie beläuft sich auf fünf bis zehn Prozent des Gesamtbudgets für Informationssicherheit. Diese Budgetanteile orientieren sich also an Compliance-Vorgaben und nicht an aktuellen Bedrohungslagen.
Gleichzeitig berichtet die Studie: Nur geringere Anteile des Budgets werden für Identitätszugriffsverwaltung, Daten-, Endpunkt- und Anwendungssicherheit aufgewendet. Investitionen für Schwachstellenmanagement und Sicherheitsanalysen machen 20 Prozent aus, die Bereiche Governance, Risiko und Compliance 18 Prozent und Netzwerksicherheit 16 Prozent.
Offensichtlich werden also zentrale Bereiche der Cybersicherheit wie Identitätssicherheit, Datensicherheit und Endpoint-Sicherheit eher nicht als Fokus der Investitionen gesehen. Mit Blick auf die Cybersicherheitslage sicherlich keine gute Entscheidung.
EU wie auch Unternehmen brauchen Security-Investment-Plan
Es zeigt sich: Weder die Förderung von Cybersicherheitsanbietern noch die Investition in Cybersecurity durch Unternehmen kann sich maßgeblich an rechtlichen Vorgaben orientieren, diese können nicht die Gegenwart und die nähere Zukunft der Cyberbedrohungen abbilden, sondern sie sind geprägt von der Sicherheitslage während der Entstehung der Rechtsverordnung.
Ohne eine Art „Investment-Plan“ für die Cybersicherheit aber kommen wichtige Security-Bereiche und auch Security-Anbieter in der EU zu kurz. Als Folge kann die Cybersicherheit lückenhaft sein und nicht zur tatsächlichen Bedrohungslage passen, zudem ist die eigene Security-Branche nicht stark genug, um die gewünschte Digitale Souveränität in der EU zu unterstützen.
So wichtig also Compliance auch ist, sie kann kein entscheidender Ratgeber für Investments und Förderprogramme sein. Vielmehr ist Compliance eine Randbedingung, die bei dem Ausbau der Cybersicherheit zu beachten ist, Compliance bildet die Leitplanken, aber nicht die Richtung der Security.