Die europäische Cybersicherheitsbehörde Enisa zeichnet in ihrem am Donnerstag veröffentlichten NIS360-Bericht ein optimistisches, aber differenziertes Bild der digitalen Widerstandsfähigkeit Europas. Die flächendeckende Umsetzung der NIS2 getauften EU-Richtlinie zur Netzwerk- und Informationssicherheit zeigt demnach Wirkung und sorgt branchenübergreifend für Investitionen in kritische Infrastrukturen (Kritis). Dennoch klafft nach wie vor weit eine gefährliche Lücke zwischen der realen Bedrohungslage und der tatsächlichen Krisenfestigkeit in vielen systemrelevanten Bereichen.
Um den Reifegrad messbar zu machen, hat die Enisa für die Studie das gesamte Ökosystem der Branchen bewertet. Dieses reicht von der Qualität der Gesetze über die Vorbereitung der Firmen bis zur Schlagkraft der Aufsichtsbehörden. Demgegenüber setzt sie die gesellschaftliche Kritikalität an, die sich nach dem Digitalisierungsgrad und den fatalen Kaskadeneffekten eines Ausfalls für die Bürger bemisst.
Dynamik der Risiko-Zone und Sorgenkind Raumfahrt
Aus dem Verhältnis von Abhängigkeit und Sicherheitsniveau leitet die Enisa eine „Risiko-Zone“ für Sektoren ab, deren Reife unter dem EU-Schnitt liegt. Da das allgemeine Niveau gestiegen ist, haben die amtlichen Experten den Schienenverkehr sowie die Trinkwasserversorgung und Abwasserentsorgung vollends in diesen Gefahrenbereich gerückt. Die Kritik läuft darauf hinaus, dass beide Bereiche mit dem Markttempo nicht Schritt halten. Ein Lichtblick ist die Gasversorgung, die dank eines intensiveren Informationsaustauschs den Sprung aus der Risiko-Zone geschafft hat.
Besorgniserregend bleibt die Lage laut der Analyse im Raumfahrtsektor, der durch enorme Qualitätsunterschiede geprägt ist. Die digitale Gesellschaft steuere zunehmend in eine Abhängigkeit von Satellitendaten für Navigation, Finanzhandel und Klimatologie, heißt es dazu. Diese Schlüsselrolle mache den Bereich zum Ziel geopolitischer Cyberangriffe etwa über GPS-Jamming, das seit einigen Jahren in der Ostsee für Probleme sorgt. Da die NIS2 bisher nur Teile der Lieferkette erfasst, herrsche ein Ungleichgewicht: Luftfahrtriesen seien exzellent geschützt. Kleinere Zulieferer schleppten dagegen erhebliche Sicherheitsmängel mit sich herum.
Ungleiche Abwehrkräfte
Ähnlich unterschiedlich verläuft die Entwicklung im Transportwesen. Die Luftfahrt glänzt hier insgesamt als Musterschüler. Der Schienenverkehr gerät wegen seiner Bedeutung für die militärische Logistik aber zunehmend ins Kreuzfeuer. Angreifer fokussieren sich auf veraltete Betriebstechnologien und Stellwerkstechniken. Das ist ein gravierendes Problem, da etwa in die Jahre gekommene Funksysteme und die Leitstellenbasis extrem schwer zu patchen sind. Sie bieten Angreifern etwa die Möglichkeit, Züge aus der Ferne zu stoppen.
In der maritimen Wirtschaft drohen Cyberattacken auf vernetzte Hafensektoren sogar globale Lieferketten ins Wanken zu bringen. Die zunehmende Vernetzung von Hafenkränen und Schiffssystemen mit der Cloud öffnet Einfallstore. Nationalen Hafenbehörden mangelt oft akut an IT-Expertise.
Im Mittelfeld kämpfen das Gesundheitswesen und IT-Dienstleister gegen strukturelle Barrieren. Krankenhäuser leiden unter Budget- und Fachkräftemangel, was sie unter dem Zeitdruck der Patientenversorgung zum idealen Ziel für Ransomware-Erpresser macht. IT-Serviceanbieter dienen Cyberangreifern wiederum als strategisches Sprungbrett, um über Wartungszugänge hunderte Kundennetzwerke gleichzeitig zu kapern.
Auch staatliche Verwaltungen hinken hinterher. Dem öffentlichen Sektor fehlt es vor allem an Cybersicherheits-Expertise auf der Führungsebene, weshalb Sicherheitsupdates oft Monate dauern und Behördenportale regelmäßig erfolgreichen Phishing- und Überlastungsangriffen zum Opfer fallen.
Bedrohungen von morgen
Als Fels in der Brandung erweisen sich der Analyse zufolge traditionell stark regulierte Sektoren wie das Bankenwesen, die Telekommunikation und die Stromversorgung. Neu in dieser Spitzengruppe der hohen Cybersicherheitsreife sind Finanzmarktinfrastrukturen und Vertrauensdienste. Angetrieben durch das Finanzmarktregelwerk Dora wurde Security dort erfolgreich als Geschäftsrisiko im Top-Management verankert.
Für die Zukunft sieht die Enisa drei Megatrends, die das Sicherheitsgefüge erschüttern: die rasante Weiterentwicklung der KI, die Angreifern neue Werkzeuge wie Deepfakes liefert, hochkomplexe Software-Lieferketten sowie geopolitische Verwerfungen. Kritische Sektoren müssten daher zwingend von einer rein bürokratischen Compliance-Kultur zu einer gelebten, resilienten Praxis übergehen.
(mki)
English (US) ·