Handelsblatt App
Jetzt kostenlos testen Alle Inhalte in einer App
Anzeigen Öffnen
MenüZurück
Wird geladen.

11.09.2019

12:47

Gastkommentar

Europa und die USA müssen gemeinsam für Cybersicherheit sorgen

Von: Andrew Grotto, Martin Schallbruch

Seit der Debatte um den Einsatz von Huawei-Technologie steht die Cybersicherheit im Fokus der Politik. Doch noch gibt es Widerstände gegen Cyberregulierung.

Andrew J. Grotto leitet das Programm Geopolitics, Technology and Governance der Stanford University. Martin Schallbruch ist Direktor am Digital Society Institute, ESMT, in Berlin.  privat

Andrew Grotto und Martin Schallbruch

Andrew J. Grotto leitet das Programm Geopolitics, Technology and Governance der Stanford University. Martin Schallbruch ist Direktor am Digital Society Institute, ESMT, in Berlin.

Die Debatte um den Einsatz von Huawei-Technologie in 5G-Netzen weist weit über den konkreten Hersteller und die zukünftigen Mobilfunknetze hinaus. Sie hat die Cybersicherheit in den Fokus globaler Handels-, Investitions- und Sicherheitspolitik gerückt: Welches Sicherheits- und Transparenzniveau müssen digitale Systeme haben, für die wir unsere Infrastrukturmärkte öffnen? Welche Abhängigkeiten von technischen Komponenten und ihren Herstellern wollen wir uns leisten? Wie weitgehend muss die Beurteilungsfähigkeit im Hinblick auf importierte Technologie gehen? Reichen technische Prüfungen oder welche ergänzenden Maßnahmen sind erforderlich?

Mit einer wachsenden Zahl von Cybersicherheits-Vorgaben versuchen die Staaten weltweit, ihre Fähigkeit zur Beurteilung und Steuerung der Sicherheit komplexer digitaler Systeme sicherzustellen. In einem gemeinsamen Projekt des Cyber Policy Center der Stanford University und des Digital Society Institute der ESMT Berlin haben wir die Regulierung rund um die Cybersicherheit in den USA und Europa verglichen. Eine der zentralen Erkenntnisse: Die Cybersicherheits-Regulierung wächst gleich dreifach.

Erstens gibt es auf die Abwehr von Angriffen gerichtete Regeln wie das deutsche IT-Sicherheitsgesetz. Sie verlangen, die Technologie gegen Angreifer zu härten und Vorfälle zu melden. In den USA gibt es keine branchenübergreifende Regulierung, doch das „NIST Cybersecurity Framework“ erfüllt eine ähnliche Funktion.

Zweitens verlangt das Datenschutzrecht Sicherheitsmaßnahmen, um die persönlichen Daten zu schützen. Solche Regeln gibt es in den USA bereits für Kalifornien, in Europa haben wir die Datenschutz-Grundverordnung. Drittens zielt eine wachsende Zahl von Regeln auf die Cybersicherheit in Branchen und Sektoren ab, etwa für Medizingeräte, Banken oder die Energieversorgung.

Einerseits legen die USA und Europa ihren Regulierungen sehr ähnliche Prinzipien zu Grunde und definieren ähnliche Instrumente: Eigenverantwortung der Betreiber, den Risiken angemessene Sicherheitsmaßnahmen, standardisierte Management-Systeme, Meldung von Vorfällen, Zusammenarbeit zwischen Staat und Wirtschaft. Damit unterscheiden sich Europa und die USA deutlich von den überwachungsorientierten Cybersicherheitsregeln in China und Russland.

Andererseits wird es für Unternehmen aber immer schwieriger, die Flut von Regeln einzuhalten: Widersprüche zwischen Datenschutz- und IT-Sicherheitsrecht, Ungereimtheiten zwischen sektoralen und branchenübergreifenden Regeln, Inkompatibilitäten zwischen Regelungen in den USA und Europa – all das erschwert den Handel im transatlantischen Raum. Die BMW-Produktion in Spartanburg, South Carolina, unterliegt anderen Regeln als die Produktion in Leipzig. GE-Medizintechnik muss in Europa andere Cybersicherheitsanforderungen erfüllen als in Nordamerika.

Staaten wollen mehr Datenschutzgesetze

Ein weiterer Ausbau der Regeln zeichnet sich ab: In den USA wird über ein Datenschutzgesetz auf Bundesebene debattiert. In Deutschland kursieren erste Entwürfe für ein IT-Sicherheitsgesetz 2.0. Kalifornien hat bereits ein Gesetz für die Sicherheit von IoT-Geräten (Internet der Dinge) vorgelegt. In der EU ist vor kurzem der EU Cybersecurity Act in Kraft getreten, der die Zertifizierung der Cybersicherheit regelt. Branchenspezifische Regulierungen stehen bevor, zum Beispiel im Bereich der Kraftfahrzeuge, in dem Cybersicherheitsanforderungen in die Zulassungsregeln kommen.

Die USA und Europa waren über viele Jahrzehnte Vorreiter für global adaptierbare Compliance-Modelle, mit denen unternehmerische Risiken in nachvollziehbarer Form gemanagt werden können. Die USA und Europa haben zudem miteinander die größte Handels- und Investitionsbeziehung weltweit. Digitale Dienste und Produkte haben einen großen Anteil daran. Uns verbindet eine ähnliche Sicht auf Cyberrisiken, auf Möglichkeiten zu ihrer Vermeidung, auf die Rollen von Unternehmen und Staat und auf die Notwendigkeit rechtsstaatlicher Verfahren.

Europa und die USA sollten den Wildwuchs der Cyberregulierung gemeinsam überwinden. Die Eckpunkte liegen auf der Hand – transparentes Risikomanagement, Sicherheitsmaßnahmen nach dem Stand der Technik, Meldung von Vorfällen, Zusammenarbeit von Staat und Wirtschaft. Gesetzgeber, Wissenschaftler und Unternehmen sind gefordert, ein transatlantisches Rahmenwerk zu erarbeiten, das als Fundament für Cybersicherheit in Europa und den USA dienen kann – und als Vorbild für die Welt.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×