Cyber-Attacken in Europa: EU steht sich selbst im Weg

BRÜSSEL taz | Schwerfällig bewegt sich die EU, wenn es um Strategien gegen Cyberkriminalität geht. Dabei hatten die Regierungen der Mitgliedstaaten bereits vor acht Jahren erklärt, dass sie die Verfolgung und die Höhe der Strafen in der ganzen EU anpassen wollten.

Seitdem ist aber nicht viel passiert. Ein Grund dafür ist, dass alle Entscheidungen in diesem Bereich einstimmig getroffen werden müssen. Das ändert sich erst im Jahr 2014, wenn der Lissabon-Vertrag vollständig in Kraft tritt.

EU-Politiker wie Alexander Alvaro sind besorgt: „Die Mitgliedstaaten sind viel zu selbstgefällig. Ich höre immer wieder, Deutschland würde das allein schaffen und brauche den Informationsaustausch auf europäischer Ebene nicht. Deshalb geht das so langsam voran“, so der deutsche FDP-Europa-Abgeordnete und Vizepräsident des EU-Parlaments. Alvaro hatte mit der taz gesprochen, bevor er am Wochenende bei einem Autounfall schwer verletzt wurde.

Dabei sind Attacken wie nun aus China nicht selten: Schon Anfang 2009 hatte es gleich in mehreren EU-Ländern Schwierigkeiten gegeben. Damals konnten in Frankreich Flugzeuge der Armee nicht abheben, weil Militärcomputer infiziert waren; die deutsche Bundeswehr konnte vorübergehend ihre Webseiten nicht aktualisieren; und im britischen Verteidigungsministerium waren einige IT-Funktionen wochenlang nicht nutzbar.

Den Ländern fehlen die Instrumentarien

Immerhin ist die EU-Kommission jetzt aktiv geworden: Mitte Januar richtete sie bei der EU-Polizeibehörde Europol ein eigenes Zentrum zur Bekämpfung von Cyberkriminalität ein. Seit Anfang Februar liegt eine neue Richtlinie auf dem Tisch, die die Netz- und Informationssicherheit verbessern soll. „In vielen Ländern fehlt das notwendige Instrumentarium, um organisierte Cyberkriminalität bekämpfen zu können. Alle Mitgliedstaaten sollten daher nationale Stellen einrichten, die wirksam gegen Cyberstraftaten vorgehen“, forderte die schwedische EU-Innenkommissarin Margot Malmström.

Dabei geht es nicht nur darum, nationale Behörden und ein EU-Frühwarnsystem für Cyberattacken zu schaffen. Die EU-Kommission schlägt auch eine Meldepflicht für Unternehmen vor, die Opfer von Hackern geworden sind – vor allem Anbieter von Finanzdiensten, Unternehmen im Verkehrs-, Energie- und Umweltbereich sowie öffentliche Verwaltungen. Außerdem sollen Betreiber von App-Stores, E-Commerce-Plattformen und Suchmaschinen mitmachen. Alexander Alvaro begrüßte den Vorstoß: „So können Parallelstrukturen verglichen werden, und man kann effektiver gegen Sicherheitslücken vorgehen.“

Sein Kollege Jan Philip Albrecht stimmt zu: „Es wimmelt nur so von Sicherheitslücken. Wenn ein chinesischer Spion eine Lücke sucht, dann findet er sie. Deshalb müssen die Unternehmen Verantwortung übernehmen. Aber viele sparen lieber“, kritisiert der grüne EU-Abgeordnete. Ihm geht die von der EU-Kommission vorgeschlagene Meldepflicht nicht weit genug: „Unternehmen sollen Meldung machen, sobald sie eine Sicherheitslücke in ihrem System entdecken, und nicht erst, wenn das Unglück bereits passiert ist“, sagt Albrecht. So könnten Anbieter, die mit demselben System arbeiten, frühzeitig reagieren.

Täglich sind etwa 150.000 Computerviren im Umlauf, schätzt die EU-Kommission. Laut der EU-Statistik-Behörde Eurostat haben jedoch nur 26 Prozent der Unternehmen in der EU förmlich festgelegte Sicherheitsvorgaben.

Schaden könnte immens sein

Erstmals beteiligt sich auch der Auswärtige Dienst an einer Cyberrichtlinie der EU. Der Abgeordnete Albrecht plädiert für internationale Rechtshilfeabkommen, um die Verursacher über die EU-Grenzen verfolgen zu können: „Aber die Chinesen werden sich auf einen solchen Deal kaum einlassen. Deshalb bleibt uns nur, die Sicherheit unserer Systeme zu verbessern.“

Die Zeit drängt. Eine Studie des Weltwirtschaftsforum rechnet – mit zehnprozentiger Wahrscheinlichkeit – damit, dass schon im kommenden Jahr kritische Informationsinfrastrukturen ausfallen könnten. Geschätzter Schaden: 250 Milliarden US-Dollar.