Gedanken über die NIS-Richtlinie der EU nach Davos

NIS

Ich hatte mir fest vorgenommen, den 80-seitigen Bericht des Weltwirtschaftsforums (WWF) über die globalen Risiken mit denen die Menschheit heute konfrontiert ist, durchzulesen. Das sind dieselben Leute, die alljährlich für die Versammlung der Banker und anderen unerfreulichen Gestalten verantwortlich sind, die in einem beliebten Schweizer Skigebiet stattfindet. Ich hatte gehört, es gebe in diesem Bericht ein interessantes Kapitel über … Datenschutz!

Und da war es nun. Datenschutz ist ein Bestandteil eines Berichts, der das Führungspersonal der Welt auch dabei unterstützen soll, mit Themen wie Klimawandel, nuklearer Vernichtung, Pandemien, ökonomischen Krisen, Hunger und Terrorismus fertig zu werden.

Wie ernst müssen Risiken durch Cyberangriffe genommen werden?

Bei Betrachtung der Folgen schafft es die digitale Kriegsführung in die Top Ten der globalen Probleme, und zwar auf den sechsten Platz zwischen den Wasser- und Ernährungskrisen. Damit schlägt Sie die Verbreitung von Infektionskrankheiten, die auf Platz 10 liegen. Bei Ihr handelt es sich bildlich gesprochen um einen fünften Reiter der Apokalypse.

Zu den besorgniserregenden Fakten, die das WWF den Präsidenten, Premierministern, Kanzlern und Königen der Welt zur Kenntnis gebracht hat, gehörte, dass 2016 über 350 Millionen Malware-Varianten auf die Welt losgelassen wurden und dass Malware bis zum Jahr 2020 möglicherweise ihren Weg auf über 8,4 Milliarden IoT-Geräte finden könnte.

Die Weltbevölkerung liegt derzeit bei etwa 7,6 Milliarden. Wir werden also bald gegenüber schlecht abgesicherten, mit dem Internet verbundenen siliziumbasierten Gadgets in der Unterzahl sein. Das ist kein sehr beruhigender Gedanke.

Das WWF hat danach versucht, den wirtschaftlichen Schaden von Malware zu berechnen. Einer zitierten Studie zufolge werden die globalen Kosten in den nächsten fünf Jahren bei über 8 Billionen USD liegen.

Die düster gestimmten Autoren des WWF heben die wirtschaftlichen Auswirkungen von Ransomware hervor. Petya und NotPetya haben im Jahr 2017 vielen Unternehmen hohe Kosten verursacht. Merck, FedEx und Maersk haben zum Beispiel jeweils Gewinneinbußen von über 300 Millionen USD im vergangenen Jahr als Folge der NotPetya-Angriffe gemeldet.

Ein systemisches Risiko: Wir sind alle verbunden

Die Auswirkungen von Malware gehen jedoch über die Wirtschaft hinaus. Einer der wichtigsten Punkte im Bericht ist, dass Hacker auch die physische Infrastruktur angreifen.

WannaCry richtete sich gegen die IT-Systeme von Eisenbahngesellschaften, Autoherstellern und Stromversorgern. Mit anderen Worten, Cyberangriffe stören auch die Abläufe in der realen Welt: Unsere Lichter gehen aus, unsere Sendungen werden gestoppt oder Fabriklinien werden wegen Malware geschlossen.

An dieser Stelle wird der WWF-Bericht besonders erschreckend. Cyber-Angriffe können möglicherweise eine Kettenreaktion von Effekten auslösen, die wir Menschen gar nicht richtig beurteilen können. Sie bezeichnen das als „systemisches Risiko“.

Und sie formulieren es folgendermaßen:

„Die Menschheit hat ein bemerkenswertes Geschick darin entwickelt, Möglichkeiten zum Umgang mit zahllosen konventionellen Risiken zu finden, die relativ leicht isoliert und mit Standardansätzen des Risikomanagements verwaltet werden können. Wir sind jedoch weit weniger kompetent im Umgang mit komplexen Risiken in Systemen, die durch Rückkopplungsschleifen, Punkte ohne Wiederkehr und intransparente Ursache-Wirkungs-Beziehungen gekennzeichnet sind, die Interventionen problematisch machen können.“

Wir können uns alle unsere eigenen Weltuntergangsszenarien ausmalen, z. B. die Infektion von Börsenalgorithmen durch Malware, die zum wirtschaftlichen Zusammenbruch und dann zum Krieg führen. Viel wichtiger ist meiner Ansicht nach aber der Punkt, dass unsere politischen Führer gezwungen sein werden, dieses Problem in Angriff zu nehmen.

Und ja: Ich spreche von mehr Vorschriften oder strengeren Standards für die IT-Systeme, mit denen unsere kritische Infrastruktur betrieben wird.

NIS-Richtlinie

In der EU sind die Regeln für den Schutz dieser Infrastruktur erheblich weiter entwickelt als in den USA. Wir haben bereits im Jahr 2016 über die Richtline über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (NIS) berichtet, als diese erstmals vom Europäischen Parlament verabschiedet wurde.

In der Richtlinie werden die EU-Mitgliedstaaten aufgefordert, die Zusammenarbeit bei kritischen Wirtschaftssektoren – Gesundheit, Energie, Banken, Telekommunikation, Verkehr sowie einige Online-Unternehmen – und gegen sie gerichtete Cyber-Angriffe zu verbessern und Mindeststandards für die Vorbereitung zur Abwehr von Cyberrisiken festzulegen, worunter auch Meldungen von Vorfällen an die Regulierungsbehörden gehören. Die EU-Länder hatten 21 Monate Zeit, um die Richtlinie in nationales Recht umzusetzen.

Damit läuft die Frist für diese NIS-Gesetze im Mai 2018 ab, also in ein paar Monaten. Ja, der Mai wird für IT-Abteilungen ein geschäftiger Monat, denn dann treten sowohl die DSGVO als auch die NIS-Gesetze in Kraft.

In Großbritannien ist beispielsweise der Konsultationsprozess für das NIS-Gesetz kürzlich abgeschlossen worden. Das Ergebnis können Sie in diesem Bericht lesen. Ein wichtiger Punkt ist, dass jede nationale Aufsichts- oder Datenschutzbehörde aufgefordert wird, die Betreiber „wesentlicher Dienste “ zu benennen, was in der EU-Terminologie für kritische Infrastrukturen steht. Dafür haben Sie ab Mai sechs Monate Zeit.

Auf jeden Fall stellt die NIS-Richtlinie einen sehr guten ersten Schritt zur Überwachung und Bewertung von Malware-basierten systemischen Risiken dar. Wir werden Sie auf dem Laufenden halten, wenn wir mehr von den nationalen Aufsichtsbehörden hören, sobald sie mit der Umsetzung ihrer NIS-Gesetze beginnen.