EU-Richtlinie zur Cyber-Sicherheit: Behörden sollen „ausreichende Informationen“ von Internet-Firmen erhalten können

Europäische Behörden sollen „ausreichende Informationen“ von allen großen Internet-Firmen erhalten können, „um ihre Aufgaben zu erfüllen“. Das geht aus der EU-Richtlinie zur Cyber-Sicherheit, deren Entwurf wir exklusiv veröffentlichen. Zwar ist eine vorgesehene Meldepflicht für Sicherheitsverstöße sinnvoll, die Richtline könnte aber auch zu einer weiteren Militarisierung des Internets führen.

Die EU-Kommissarin für die Digitale Agenda Neelie Kroes arbeitet seit einiger Zeit an einer EU-Richtlinie zur „Cyber-Sicherheit“. Die sollte ursprünglich schon letzten September veröffentlicht werden, derzeit ist wohl nicht vor Ende des Monats damit zu rechnen. Gestern berichtete Kevin J. O’Brien in der New York Times darüber: Europa erwägt, Firmen zur Offenlegung von Datendiebstählen zu verpflichten.

Wir veröffentlichen an dieser Stelle exklusiv den vollständigen Entwurf der EU-Richtlinie: Proposal for a Directive concerning measures to ensure a high level of network and information security across the Union (PDF, 42 Seiten).

Wenn wir einmal drüber sind, legen wir gleich noch das Gutachten zur Folgenabschätzung dazu: Impact assessment accompanying the document Proposal for a Directive concerning measures to ensure a high level of network and information security across the Union (PDF, 72 Seiten).

Und darum geht’s:

Das Ziel der vorgeschlagenen Richtlinie ist es, eine hohe gemeinsame Netz- und Informationssicherheit (NIS) in der gesamten EU zu gewährleisten. Dies wird erreicht durch die Verpflichtung von Mitgliedstaaten, ihre Einsatzfähigkeit zu erhöhen und ihre Zusammenarbeit untereinander zu verbessern sowie die Verpflichtung von Betreibern kritischer Infrastrukturen und öffentlicher Verwaltungen, geeignete Maßnahmen zu ergreifen, mit Sicherheitsrisiken umzugehen und schwere Zwischenfälle an die zuständigen nationalen Behörden zu melden.


Im Text der Richtlinie klingt das aber eher nach Pull- statt Push-Prinzip:

Die zuständigen Behörden sollten über die notwendigen Mittel verfügen, um ihre Aufgaben zu erfüllen, einschließlich von Befugnissen, ausreichende Informationen von Marktteilnehmern zu erhalten, um die Sicherheit von Netzwerk- und Informationssystemen zu beurteilen sowie zuverlässige und umfassende Daten über Sicherheitsverletzungen zu erhalten, die Auswirkungen auf den Betrieb von Netzen und Informationssystemen hatten.

„Marktteilnehmer“ können wiederum beispielsweise sein:

E-Commerce-Plattformen, Internet-Zahlungs-Gateways, soziale Netzwerke, Suchmaschinen, Cloud Computing-Anbieter, App Stores und Kommunikationsdienste

Der Richtlinie zufolge sollen „zuständige Behörden“ also „ausreichende Informationen“ von allen großen Internet-Firmen erhalten können, „um ihre Aufgaben zu erfüllen“.

Militarisierung der Online-Sicherheit

Laut Artikel 6 sollen die einzelnen Mitgliedstaaten zudem eine einzige „zuständige nationale Behörde“ ernennen, die für die Cyber-Sicherheit verantwortlich ist. Dass die Sicherheit von Netzen und Informationen von einer einzigen Behörde gewährleistet und kontrolliert werden soll, ist etwas weltfremd. Zwar gibt es in Deutschland das Bundesamt für Sicherheit in der Informationstechnik, aber zuständig für IT-Sicherheit sind neben Behörden auch eine ganze Reihe an Wissenschaftlern und Unternehmen, nicht zuletzt Computer Emergency Response Teams.

Cyber-Sicherheit kann nicht nur Aufgabe von Behörden sein, vor allem wenn diese die Unsicherheit von Rechnern ihrer Bürger ausnutzen wollen. Eine einzige Cyber-Sicherheits-Behörde ist zudem nicht nur im Föderalismus schwierig, sondern würde auch das Trennungsgebot zwischen Nachrichtendiensten und Polizei unterlaufen.

Wer sich in solchen Zentralisierungstendenzen durchsetzt, beschreibt Ross Anderson von der britischen Foundation for Information Policy Research am Beispiel Großbritannien:

Von 770 Millionen Euro für Cyber-Sicherheit ging mehr als die Hälfte an den Nachrichtendienst Government Communications Headquarters (GCHQ) und der Großteil vom Rest an das Verteidigungsministerium. Nur sechs Millionen gingen an die Polizei, die vielleicht tatsächlich ein paar Kriminelle hätten fangen können.

Die Zentralisierung der Verantwortung für Cyber-Sicherheit führt laut Ross zu einer weiteren Militarisierung des Internets.

Die Informationen der nationalen Behörden sollen auf europäischer Ebene bei der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) gebündelt werden.

Meldepflicht in Datenschutzverordnung

Die von der New York Times fokussierte Verpflichtung von Unternehmen, Sicherheitsverstöße offenlegen zu müssen, ist tatsächlich ein Fortschritt. Jedoch sollten diese Informationen nicht ausschließlich an irgendwelche Behörden gehen, sondern in erster Linie an die Personen, deren Daten betroffen sind. Diese Meldepflicht ist jedoch auch Bestandteil der aktuellen EU-Datenschutzverordnung, muss also gar nicht doppelt geregelt, sondern nur gegen massiven Lobby-Druck verteidigt werden.

Weitere Aspekte der Richtlinie zur Cyber-Sicherheit konnten wir auf die Schnelle nicht herausarbeiten. Wenn ihr interessante Punkte darin findet, nehmen wir diese gerne in den Kommentaren entgegen.

Aufgrund der genannten Probleme ist es aber kaum verwunderlich, dass Ross Anderson im aktuellen ENDitorial zu diesem Fazit kommt:

Dieser Entwurf ist in seiner jetzigen Form nicht akzeptabel. Er muss umgeschrieben oder aufgegeben werden.

Am Montag hält Neelie Kroes übrigens einen Vortrag in Berlin im Rahmen des Internationalen Menschenrechtstages zum Thema: „Internet, the frontline of freedom“.

0 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.