Menü

IT-Serverraum © picture alliance / Zoonar | benis arapovic

Wie die EU sich widersprechende Ziele in Einklang bringen will Der digitale Frühling Europas

Die digitale Welt war im April 2022 vorrangig von zwei Ereignissen geprägt: zum einen von der Nachricht, der Milliardär und Tesla-Gründer Elon Musk hätte sich mit dem Kurznachrichtendienst Twitter auf dessen Kauf für rund 44 Milliarden Dollar geeinigt, zum anderen von der Entscheidung der Europäischen Kommission, den Digital Services Act – eine Art europaweiten Klon des deutschen Netzwerkdurchsetzungsgesetzes (NetzDG) – zu verabschieden, mit dem Ziel, Hass und Hetze in sozialen Netzwerken zu bekämpfen.

Während man sich in den Medien, sogar auf Twitter selbst, nicht sicher war, ob die erste Nachricht ernst gemeint war oder nur eine der oft wechselnden Launen des sprunghaften Milliardärs, trug die Verabschiedung des Digital Services Act konsequent zur Umsetzung der europäischen Digitalstrategie der Europäischen Union bei, in deren Rahmen eine Digitale Dekade 2030 in der EU eingeläutet wurde. Mit der Digitalstrategie möchte die EU dafür sorgen, dass der Wandel, den digitale Technologien versprechen, bei den Bürgern und Unternehmen ankommt. Außerdem möchte man einen Beitrag zum Ziel der Klimaneutralität Europas bis 2050 leisten.

Besserer Klimaschutz durch mehr Digitalisierung der Verwaltung, Ausbau der Infrastruktur oder Erweiterung der Digitalkompetenzen? Die Autoren Henry A. Kissinger, Eric Schmidt und Daniel Huttenlocher haben in ihrem Buch The Age of AI: And Our Human Future darauf hingewiesen, dass die Nutzung einer hochentwickelten künstlichen Intelligenz (mag es sie denn irgendwann geben) zwar wenig Rechenkapazität benötigen werde, für ihre Entwicklung jedoch müssten substanzielle Mengen an »computing power« aufgebracht werden.

Die Netzkünstlerin Joana Moll hat im Jahr 2018 im Rahmen ihrer Projekte CO2GLE und Deforest den CO2-Abdruck der Suchmaschine Google ausgerechnet und kam auf 0,01 Kilogramm pro Suchanfrage. Um die Belastung durch eine Sekunde Suchanfragen weltweit auszugleichen, wären damals 23 Bäume notwendig gewesen. Die Netzkünstlerin betonte zwar, dass es schwierig sei, den CO2-Fußabdruck im Internet zu berechnen. Bekannt ist aber, beispielsweise aus den Nachhaltigkeitsberichten der Unternehmen selbst, dass die Serverfarmen, die Unternehmen wie Facebook oder Google für ihre Dienste betreiben, sehr große Mengen an Energie verbrauchen.

Zu den Technologien mit dem größten CO2-Abdruck gehören unter anderem Cloud-Services, der Betrieb von Rechenzentren oder Videokonferenzsystemen, oder die Internetsuche. Auch jeder einzelne Nutzer trägt zum steigenden Energieverbrauch bei: Die Journalistin Ulrike Hermann hat die Hypothese aufgestellt, dass wir, um den Planeten zu retten, in der Zukunft auf iPhones und dergleichen würden verzichten müssen. Real aber steigt die Abhängigkeit der Nutzer von digitalen Endgeräten und damit der Energieverbrauch. Der Anspruch der Europäischen Kommission scheint dennoch darin zu bestehen, die Verbreitung und Nutzung digitaler Technologien, die einen hohen Energieverbrauch verursachen, und anspruchsvolle Klimaziele, die eine Reduktion desselben notwendig machen, unter einen Hut zu bringen.

Die Digitale Dekade stützt sich auf zwei Säulen: auf die digitale Souveränität (vgl. NG|FH 6/2020), mit der die Unabhängigkeit Europas von ausländischen Technologien erreicht werden soll, und auf eigene Daten-, Technologie- und Infrastrukturstandards, mit denen Europa internationale Richtwerte setzen möchte. Tatsächlich besteht die Digitalstrategie noch aus einem Sammelsurium bereits verabschiedeter, im Entwurfsstadium oder in der Entstehung befindlicher Regularien und Programme rund um Themen wie Cybersicherheit, Weltraum, Verteidigung oder künstliche Intelligenz (KI).

Beispielsweise mit dem Artificial Intelligence Act, mit dem Vorgaben zur Entwicklung und zum Betrieb von KI-Systemen gemacht und der Einsatz bestimmter Systeme, die beispielsweise den Behörden eine Bewertung des sozialen Verhaltens ermöglichen (Social Scoring), verboten werden soll. Die Europäische Kommission verfolgt in dem Verordnungsvorschlag einen risikobasierten Ansatz, das heißt, die Maßnahmen und Restriktionen sind davon abhängig, welcher der vier Risikostufen (unannehmbares, hohes, geringes oder minimales Risiko) das KI-System zugeordnet wird.

Die Maßnahmen reichen von Verboten von KI-Anwendungen, die als Bedrohung für die Sicherheit, die Lebensgrundlagen oder Rechte der Menschen gelten, über Verpflichtung zur Erfüllung bestimmter Anforderungen bezüglich Cybersicherheit, Qualität oder Datenschutz bis hin zu Transparenz oder Information der Nutzer bei KI-Systemen, von denen nur eine gewisse Manipulationsgefahr ausgeht. Mit einer ergänzenden deutschen Regulierung der KI ist eher nicht zu rechnen: »Wir unterstützen den europäischen AI Act«, heißt es im Koalitionsvertrag.

Es gibt jedoch Themen, bei denen die Europäische Kommission, die die Digitalisierung sonst in Dekaden misst, ihre Vorgänge beschleunigt. Zum Beispiel dann, wenn sich die geopolitische Lage – und infolgedessen auch die allgemeine Gefährdungslage – so weit verschärft, dass man in Europa die Infrastrukturen, insbesondere die kritischen Infrastrukturen, als gefährdet und dringend schützenswert ansieht. Dies erfolgt, indem die privatwirtschaftlichen Unternehmen, in deren Händen sich kritische Infrastrukturen (KRITIS) inzwischen größtenteils befinden, dem öffentlichen Sektor, aber auch den Betreibern digitaler Dienste, Vorgaben machen, mit denen sie ihre Systeme sicherer und resilienter machen sollten.

Das ist das Ziel der neuen Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, kurz: NIS-2-Richtlinie, auf die sich die Mitgliedstaaten am 13. Mai 2022 geeinigt haben. Eine der wesentlichen Änderungen gegenüber der NIS-Richtlinie aus dem Jahr 2016: Der Geltungsbereich und damit verschärfte Anforderungen an die Sicherheit der Netz- und Informationssysteme werden auf weitere mittlere und große Einrichtungen aus einem größeren Spektrum an Sektoren erweitert.

Die KRITIS-Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastrukturen sowie Anbieter digitaler Dienste werden unter anderem um Anbieter öffentlicher elektronischer Kommunikationsdienste und digitaler Dienste, die Abwasser- und Abfallwirtschaft, Hersteller kritischer Produkte, Post- und Kurierdienste und die öffentliche Verwaltung ergänzt. Eine der Lehren aus der COVID-19-Pandemie ist die Erweiterung des Anwendungsbereiches der Richtlinie im Bereich des Gesundheitssektors, unter anderem durch die Einbeziehung der Medizinprodukthersteller.

Die bisherige Unterscheidung zwischen Betreibern kritischer Infrastrukturen und den Anbietern digitaler Dienste fällt weg, es wird stattdessen zwischen den wesentlichen und wichtigen Einrichtungen (Post- und Kurierdienste, Abfallwirtschaft, Herstellung und Vertrieb von Chemikalien, Erzeugung, Verarbeitung und Vertrieb von Nahrungsmitteln, verarbeitende Industrie und Anbieter digitaler Dienste) unterschieden. Für all diese wichtigen Einrichtungen werden Minimalanforderungen an technische und organisatorische Maßnahmen definiert, mit welchen die Risiken für die Sicherheit der Netz- und Informationssysteme beherrschbar gemacht werden müssen.

Dazu gehören unter anderem Sicherheitskonzepte oder der Einsatz von Kryptografie und Verschlüsselung. Auch die Gewährleistung der Sicherheit von Lieferketten, einschließlich der Sicherheit der Entwicklungsprozesse, wird, nach den Krisenerfahrungen der letzten Jahre, hervorgehoben. NIS-2 schreibt erstmalig die Verantwortung (Rechenschaftspflicht) des Managements (der Leitungsorgane und deren Mitglieder) für die Einhaltung der Risikomanagementmaßnahmen fest.

Schnelle Einigung durch wachsende Bedrohung

Die Regeln für die Meldung von Sicherheitsvorfällen werden konkretisiert und verschärft: Unverzüglich, in jedem Fall aber binnen 24 Stunden nach Kenntnisnahme muss der Vorfall an die zuständige nationale Behörde oder das Soforteinsatzteam für IT-Sicherheitsvorfälle, CSIRT, gemeldet werden (als zentrale Meldestelle für Sicherheitsvorfälle in Deutschland fungiert das Bundesamt für Sicherheit in der Informationstechnik, BSI). Die betroffenen Unternehmen haben dann bis zu einen Monat Zeit, um den vollständigen Abschlussbericht einzureichen.

Sind zwei oder mehr Mitgliedstaaten betroffen, werden auch diese und die Europäische Agentur für Cybersicherheit (ENISA) unterrichtet. Die Aufsichtsbehörden der Mitgliedstaaten berichten außerdem die Sicherheitsvorfälle (anonymisiert und aggregiert) monatlich an die ENISA. Die Zusammenarbeit und der Austausch zwischen den Mitgliedstaaten soll auch darüber hinaus verbessert und gestärkt werden. Zur besseren und koordinierten Bewältigung großer Cybersicherheitsvorfälle und -krisen und zum regelmäßigen Informationsaustausch zwischen Mitgliedstaaten und EU-Organen soll zum Beispiel das European Cyber Crises Liaison Organisation Network (EU CyCLONe) eingerichtet werden. Auch die Errichtung eines CSIRT-Netzwerks, um zur Vertrauensbildung zwischen den Mitgliedstaaten beizutragen und eine rasche und wirksame operative Zusammenarbeit zu fördern, sieht NIS-2 vor.

Die Europäische Kommission macht keinen Hehl daraus, dass die wachsende Bedrohung durch Cyberangriffe zu den wesentlichen Treibern der schnellen Einigung auf die NIS-2-Richtlinie gehörte. Obwohl es entgegen den Prognosen der Militär- und Cyber-Experten während des Angriffs Russlands auf die Ukraine im Februar 2022 nicht zu einem großflächigen Angriff auf deren kritische Infrastrukturen gekommen ist, geht man vereinzelt von einer erhöhten Gefahr für die KRITIS-Unternehmen in Europa aus und von einer Intensivierung der Cyberattacken auf kritische Infrastrukturen.

Im Special Report: Ukraine vom 27. April 2022 hat Microsoft auf eine Reihe von Aktivitäten russischer oder prorussischer Hacktivisten und Gruppierungen hingewiesen, die verschiedene Ziele anvisieren. Neben Attacken auf Behörden, Ministerien oder Websites von Politikern wurden vereinzelt auch Cyberattacken auf Betreiber kritischer Infrastrukturen registriert, die staatsnahen Hackergruppen aus Russland zugeschrieben werden.

Als das zentrale Paradox der Digitalisierung sehen die Autoren von The Age of AI, dass je größer die digitalen Kapazitäten einer Gesellschaft werden – also je mehr Dienste und Dienstleistungen digitalisiert werden –, diese umso verwundbarer werden. Computer, Kommunikationssysteme, Finanzmärkte, Universitäten, Krankenhäuser, Fluglinien und der öffentliche Verkehr, sogar die Demokratie unterstützende Systeme beinhalten Technologien, die manipuliert oder angegriffen werden können.

Insbesondere in entwickelten Wirtschaftssystemen, die etwa ihre Systeme zur Wasser- oder Energieversorgung modernisieren, indem sie diese um digitale Steuerungseinheiten ergänzen, ihre Regierungssysteme und -programme auf Serverfarmen umziehen oder Daten in die Cloud transferieren, vervielfacht sich die Anfälligkeit für die Cyberattacken. Sie bieten potenziellen Angreifern ein großes und attraktives Spektrum an Zielen – und eine erfolgreiche Attacke kann verheerende Folgen haben.

In Staaten mit weniger Vernetzung und Digitalisierung gehen terroristische Organisationen oder individuelle Hacker umgekehrt aber auch ein geringeres Risiko ein – etwa durch einen digitalen Gegenangriff, einen sogenannten Hackback. Nach dem Inkrafttreten der NIS-2-Richtlinie haben die Mitgliedstaaten 21 Monate Zeit, um sie in nationale Gesetzgebung umzusetzen und ihre digitalen Abwehrkräfte zu stärken.

Die europäische Digitalstrategie hat letztlich sich widersprechende Ziele: Einerseits sollen die Digitalisierung der Verwaltung, sollen digitale Kompetenzen weiter ausgebaut werden. Andererseits sollen Probleme gelöst werden, die es ohne die Digitalisierung nicht gäbe, wie die Anfälligkeit zunehmend vernetzter und digitalisierter kritischer Infrastrukturen und Systeme gegenüber Cyberattacken. Oder die wesentlich kleiner wären, wie der steigende Energieverbrauch durch die Entwicklung von KI-Systemen und die Nutzung der digitalen Dienste.

Kommentare (0)

Keine Kommentare gefunden!

Neuen Kommentar schreiben

Nach oben