Dieser Artikel ist Teil des special reports Die digitale Zukunft: Sicherheit, Freiheit, Macht
Europa sollte die Einrichtung einer „digitalen Grenzkontrolle“ in Betracht ziehen, um im Falle eines ernsthaften Cyberangriffs den Zugang feindlicher Akteure zum Internet zu behindern, sagte der Leiter der Abteilung Cybersicherheit der Deutschen Telekom gegenüber EURACTIV.
„In Europa gibt es keine Möglichkeit, sich im Falle eines Angriffs aus Asien oder Amerika auf unsere Infrastruktur hier abzuschirmen“, erklärte Thomas Tschersich, Leiter der Konzernsicherheit der Deutschen Telekom. „Da wir in der Mitte sind, sind wir mit allen Wesen um uns herum verbunden. Wir haben keine Ahnung, wie wir die Verbindung trennen können, ohne die gesamte Infrastruktur auch in Europa abzuschalten.“
Tschersich fügte hinzu, dass der Stand der Dinge auf der anderen Seite des Atlantiks den US-Bürgern ein ausgewogenes Gleichgewicht von Freiheit und Sicherheit bietet, wenn sie mit einem potenziell lähmenden Cyberangriff konfrontiert werden.
„In den USA zum Beispiel haben Sie nur 11 Verbindungspunkte zum globalen Internet. Wenn Sie das unterbrechen, wird das innere US-Netzwerk gut funktionieren. Die Hauptinfrastruktur wäre gut in Betrieb.“
Schutz des Binnenmarkts
Tschersich fügte hinzu, dass in Europa eine politische Debatte stattfinden müsse, um zu klären, wie der Kontinent mit einem möglichen Cyberangriff umgehen würde. Es sei seiner Meinung nach unerlässlich, die Funktionalität des Binnenmarkts im Falle eines feindlichen Eindringens in die europäische Netzinfrastruktur zu „schützen“.
Im Rahmen der neu verteilten Ressorts der Europäischen Kommission wird die französische Kandidatin Sylvie Goulard die Kontrolle über den „Aufbau eines echten Binnenmarktes für Cybersicherheit“ übernehmen und für „Durchführungsbestimmungen zur Sicherheit von Netz- und Informationssystemen [und] Strategien für schnelle Notfallmaßnahmen“ verantwortlich sein.
Die Cybersicherheit ist ein Bereich, in dem Frankreich seit langem versucht, seinen Einfluss geltend zu machen – zuletzt als Signal für sein Engagement für die indo-französische Roadmap für Cybersicherheit und digitale Technologie am Rande der G7-Gespräche in Biarritz.
Darüber hinaus war das Land bei der Lektüre des Völkerrechts über Cyberspace-Normen sehr aufmerksam und hat einen Regierungsbericht vorgelegt, in dem es sich das Recht vorbehält, auf Cyberangriffe zusätzlich zur Attribution zu reagieren, wie der Forscher Lukasz Olejnik feststellte.
Internet-Ausfälle?
Tschersichs Auffassung, dass Europa die Abschottung des Zugangs zu bestimmten Teilen des Internets in Betracht ziehen sollte, ist auf Kritik gestoßen. EURACTIV informierte sich bei Guillermo Beltrà, dem politischen Direktor der Digital Rights Group Access Now, über seine Ansichten zu den Vorschlägen.
„Das Internet abzuschalten, auch wenn es nur teilweise ist, sollte niemals das standardmäßige Policy-Tool sein, das zur Verfügung steht“, bekräftigte er.
„Die Festlegung von Richtlinien, die Internet-Shutdowns und Netzwerktrennung beinhalten, ist nicht der beste Ansatz, um effektive, widerstandsfähige Cyber-Sicherheitsmodelle zu entwickeln, die das Interesse der Benutzer in den Vordergrund stellen.“
Dennoch beharrte Tschersich darauf, dass er sich niemals für die Behinderung von Internetdiensten einsetzen würde.
„Ich spreche nicht davon, den Zugang zu Diensten zu blockieren“, betonte er. „Ich spreche davon, massive Angriffe von außerhalb Europas zu blockieren, die versuchen, uns zu schaden. Die Frage ist, wie gut wir vorbereitet sind.“
Tschersich ging bei der Erwähnung der Cyberangriffe 2017 auf die Ukraine weiter – mehrere Ministerien, Banken, U-Bahn-Systeme und staatliche Unternehmen waren von einer Reihe von Cyberangriffen betroffen. Die Offensive, so Tschersich, „hat die ukrainische Wirtschaft für zwei Tage mehr oder weniger ausgeschaltet….und es gab überhaupt keinen Schutz“.
In diesem Szenario könnte eine „digitale Grenzkontrolle“ eingeschaltet werden. Feindliche ausländische Zugänge zu den betroffenen Gebieten würden blockiert werden, während das innere Netz noch funktioniere, erklärt Tschersich. In diesem Fall würde es unweigerlich zu einer Beschränkung des Zugangs zu externen Dienstleistungen kommen. Dies wäre jedoch ein Preis, der sich lohnt.
Beltrà von Access Now ist der Ansicht, dass die EU stattdessen auf eine bessere Koordinierung zwischen den nationalen Informationssicherheits- und Vorfallschutzbehörden drängen und die ihr derzeit zur Verfügung stehenden Rechtsinstrumente, einschließlich der Richtlinie über die Netzinformationssicherheit (NIS), nutzen sollte.
Ein Brancheninsider teilte EURACTIV mit, dass der Begriff der digitalen Grenzkontrolle eher „drastisch“ klingt, da der Umgang mit den anspruchsvolleren Cyberangriffen der Zukunft „gezieltere, konzentriertere Anstrengungen“ erfordern wird.
Wannacry
Einer der schwersten Angriffe auf kritische Infrastrukturen in Europa erfolgte im Rahmen der Wannacry-Ransomware-Angriffe 2017.
Der Angriff soll eine der wichtigsten Determinanten für Cyberbedrohungen gewesen sein, die als die dringlichsten Risiken für den Block im letztjährigen Bericht des Weltwirtschaftsforums Regional Risks to Doing Business identifiziert wurden.
Die Studie forderte mehr als 12.500 Führungskräfte auf der ganzen Welt auf, die globalen Risiken auszuwählen, die die größten Bedenken hinsichtlich der Geschäftstätigkeit innerhalb der nächsten 10 Jahre aufwerfen.
„2017 war ein Wendepunkt in der Prävalenz von Cyberangriffen in der EU“, teilte der führende Autor des Berichts, Aengus Collins, kürzlich EURACTIV mit. „Der bedeutendste davon war natürlich der WannaCry-Ransomware-Angriff.“ Europol bezeichnete den WannaCry-Angriff als „beispiellos“, nachdem er 200.000 Computer in 150 Ländern heimgesucht hatte.
Die betroffenen Systeme wurden mit einer Ransomware infiziert, die auf Microsoft Windows-Betriebssysteme abzielte, darunter der britische National Health Service und die deutsche Eisenbahninfrastruktur.
Für Tschersich sind Angriffe im Ausmaß von WannaCry oder Petya Hinweise darauf, dass sich Europa im Cyberspace hilflos ausgesetzt wiederfindet. Es ist abhängig vom Zugang zu externen Dienstleistungen und versucht gleichzeitig, sich in Bezug auf die Cybersicherheit als ernsthaft darzustellen.
Ungeachtet der gut gemeinten Bemühungen einiger weniger Mitgliedstaaten auf diesem Gebiet ist ihm klar, dass dies eine Aufgabe für Europa als Ganzes ist. „Es kann nicht nur von Nationalstaaten getan werden, es muss auch auf europäischer Ebene geschehen“, hob er hervor.
[Bearbeitet von Britta Weppner]
