IT-Sicherheit

Corona offenbart Schwachstellen der EU

Die Pandemie zeigt den fehlenden Schutz der internen Kommunikation der EU-Institutionen. Das schreibt der Auswärtige Dienst der EU in einem vertraulichen Bericht, den wir veröffentlichen.

Ursula von der Leyen mit Handy
EU-Kommissionschefin Von der Leyen schreibt gerne SMS. Ob sie bald auf Signal wechselt? Alle Rechte vorbehalten European Union / Bearbeitung netzpolitik.org

Die Corona-Pandemie lässt auch bei den EU-Institutionen Homeoffice und Videokonferenzen boomen. Die Abhängigkeit von digitaler Infrastruktur macht allerdings Mängel bei der IT-Sicherheit offenkundig, urteilt ein interner Bericht der Europäischen Union, den netzpolitik.org veröffentlicht.

Für die mehr als 40.000 Beschäftigten der EU-Institutionen und Diplomat:innen der Mitgliedsstaaten gibt es bislang keinen einheitlichen Kanal zur verschlüsselten Kommunikation. Vielfach läuft die interne Abstimmung zwischen EU-Personal über unverschlüsselte E-Mails oder Gratisdienste wie WhatsApp und Zoom.

„Verbesserung dringend“

Seit Ausbruch der Pandemie kämpfen die EU-Institutionen nach eigenen Angaben häufiger mit Attacken auf ihre Systeme. Dazu zählen Phishing, Ransomware- und DDoS-Attacken.

Der Europäischen Auswärtigen Dienstes (EAD) fordert in dem vertraulichen Bericht eine „dringende Verbesserung des Schutzes der Informations- und Kommunikationsnetze der EU.“

„Die COVID-19-Krise hat auch Schwachstellen im Zusammenhang mit ungeprüften und unsicheren Technologien für die Telearbeit offengelegt, da verschiedene Akteure, darunter auch staatliche Akteure, die Pandemie für böswillige Cyber-Aktivitäten nutzen“, heißt es in dem Bericht.

Das Papier trägt den Titel „Covid-19: Auswirkungen auf Sicherheit und Verteidigung der EU“. Es ging im Mai an alle 27 EU-Mitgliedsländer. netzpolitik.org erhielt den Bericht durch eine Informationsfreiheitsanfrage beim Rat der EU-Staaten.

Hadern mit Zoom und WhatsApp

Dass die offizielle EU-Kommunikation sich immer wieder auf unsichere kommerzielle Dienste stützt, zeigte ein Beispiel wenige Wochen nach Ausbruch der Pandemie. Der maltesische Finanzminister wählte sich im März mittels des umstrittenen US-Dienstes Zoom in ein vertrauliches Treffen der Eurogruppe ein.

Über Zoom mehren sich Berichte über Sicherheits- und Datenschutzmängel. Inzwischen wird den EU-Institutionen offiziell von der Verwendung von Zoom abgeraten, wie die EU-Kommission vergangene Woche mitteilte.

Bereits zu Jahresbeginn hatte die Behörde ihren Beschäftigten empfohlen, für den informellen Austausch den sicheren Messenger Signal zu nutzen. Die Nutzung von Gratisdiensten wie WhatsApp ist allerdings nicht verboten und dürfte Aufgrund der großen Marktdurchdringung weiterhin verbreitet sein.

Gegen WhatsApp äußern Datenschützer:innen seit längerem Bedenken. „Die Metadaten gehen direkt an Facebook und damit auch an die amerikanischen Geheimdienste“, sagt der Aktivist Max Schrems. Der Konzern bestreitet das. Doch auch der Bundesdatenschutzbeauftragte Ulrich Kelber spricht von der Weitergabe von Metadaten und schrieb zuletzt an die deutschen Bundesbehörden, sie sollen die App nicht verwenden.

Die EU-Kommission möchte auf die Herausforderungen der Pandemie reagieren und ihre Sicherheitsmaßnahmen stärken. „Die EU ist sich der erhöhten Risiken nach der deutlichen Zunahme der Telearbeit voll bewusst“, sagt EU-Kommissionssprecherin Virginie Battu-Henriksson gegenüber netzpolitik.org.

Beispielsweise arbeite der Auswärtige Dienst den Angaben zufolge an einem Sicherheitsupdate, um Beschäftigten bei der Arbeit von Zuhause aus „das gleiche Schutzniveau wie im Büro“ zu bieten. Nähere Angaben dazu machte die Sprecherin allerdings nicht.

EU-Außenamt hat eigene Plattform

Der Auswärtige Dienst geht ohnehin schon länger einen eigenen Weg. Die EU-Behörde, die sich um die europäische Außenpolitik kümmert und Personal in dutzende Staaten der Welt schickt, betreibt eine eigene Kommunikationsplattform, über die alle vertrauliche und sensible Kommunikation abgewickelt werden muss.

Über die Plattform möchte die Behörde wenig verraten, außer dass sie auf eigenen Servern gehostet wird und über „mobile Endgeräte mit erhöhten Sicherheitsstandards“ benutzt wird. Selbst auf eine parlamentarische Anfrage des FPD-Europaabgeordneten Moritz Körner zeigt sich der Auswärtige Dienst wenig auskunftsfreudig.

Moritz Körner
Moritz Körner Alle Rechte vorbehalten European Union

Auf die Frage von Körner, von welchem Anbieter die Software stammt und welches Verschlüsselungsprotokoll zum Einsatz kommt, antwortet die Behörde nicht. Auch auf eine Informationsfreiheitsanfrage von netzpolitik.org verweigert der Auswärtige Dienst grundsätzlich eine Auskunft.

Dafür setzt es Kritik eines Experten. Jan Penfrat, Digitalexperte bei European Digital Rights (EDRi) hält die Auskunftsunfreudigkeit des EAD für befremdlich. „Es stünde einer Behörde wie dem Europäische Auswärtige Dienst gut zu Gesicht, anstatt ‚Sicherheit durch Verschleierung‘ mehr Transparenz walten zu lassen.“

Handlungsbedarf sieht auch der Abgeordnete Körner „Die Coronakrise hat deutlich gezeigt, wie wichtig eine sichere und stabile Dateninfrastruktur ist.“

Der FDP-Politiker fordert, dass die EU ihre Kommunikationsinfrastruktur vereinheitlicht und verbessert. „In den ersten Wochen der Coronakrise wäre die europäische Gesetzgebung ohne die teils unsicheren kommerziellen Apps Zoom und WhatsApp wohl zum Erliegen gekommen. Keine EU-Institution darf es sich länger leisten, auf uneinheitliche und ungesicherte Kommunikationstechnologien zu setzen.“

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

2 Ergänzungen
  1. Ich finde das wirklich erschreckend. Vor allem, wenn man sich anschaut, wie groß der Umsetzungs- und vor allem Dokumentationsdruck bei Privatunternehmen bei Themen wie Informationssicherheit und Datenschutz heute ist.

    Allerdings ist die Situation bei Kommunen, Ländern und Bund wahrlich nicht besser. Behörden sind von der modernen Welt einfach überfordert.

    1. Problematisch sind dabei vielfach fehlende Fachkraefte, was sicherlich auch an der im Vergleich zur Wirtschaft schlechteren Bezahlung liegt.

      Wenn ich mir z.B. an meiner Fachhochschule anschaue, wer dort in der Datenverarbeitungszentrale sitzt. Unter anderem sind Theologen und Soziologen vertreten, die für eine IT-Verwaltung eher suboptimal gewählt sind.

      Gerade für mich als Informatikstudent im 4. Semester, sind viele Entscheidungen der Datenverarbeitungszentrale fragwürdig. Es wurde z.B. beim Wechsel der Email-Software eine Lizenz für eine veraltete MS-Exchange Version erworben, die einige bekannte Sicherheitslücken aufweist, aber es funktioniert ja und war billiger.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.