Da das aktuelle Arbeitsprogramm der European Network and Information Security Agency (ENISA) mit 2010 zu Ende geht, befasst man sich bereits jetzt damit, wie man die IKT-Sicherheit in Zukunft weiter fördern kann. "Jeder ist involviert", lautet eine Zukunftsvision, wie Steve Purser, Leiter des ENISA Technical Competence Department, im Rahmen einer Veranstaltung im ENISA-Hauptquartier auf Kreta dargelegt hat. Normale Enduser wirklich aktiv für Sicherheit zu interessieren, dürfte nach ENISA-Ansicht zwar schwierig, doch für Reseller durchaus möglich sein. Auch über dieses Nutzersegment hinaus gilt: Zukünftige Strategien müssen auch mit den rapiden Veränderungen einer schnelllebigen Welt zurecht kommen.

Was User betrifft, sieht Purser die Notwendigkeit eines aktiveren Zugangs zu Sicherheit. "Bewusstsein alleine bewirkt noch nichts", betont er. Ideal wäre, wenn Bürger mit einem aktiven Risikomanagement warm werden und einen "elektronischen Hausverstand" entwickeln - um etwa Gespräche mit Wildfremden im Netz mit ähnlicher Vorsicht anzugehen, wie sie es auf offener Straße tun würden. Davon, dass dies möglich ist, gibt sich Purser überzeugt. "Vor zehn Jahren war die Frage, wie wir ältere Mitbürger dazu bewegen, Computer zu nutzen. Das ist mittlerweile gelungen, also wird es auch möglich sein, ihnen Security näherzubringen", meint er. Die Herausforderung sei mit jeweils geeigneten Zugängen bei den unterschiedlichen Zielgruppen zu bewältigen.

"Games haben beispielsweise ein unglaubliches Potenzial", nennt Purser ein Beispiel. Mit diesem Kommunikationsmittel könnten User erreicht werden, bei denen dies mit klassischen Informationskanälen kaum möglich wäre - die Entscheidungsträger von morgen eingeschlossen. Die praktische Umsetzung solch Enduser-orientierter Security-Initiativen bliebe Organisationen in den EU-Mitgliedsstaaten vorbehalten, während die ENISA eine beratende Rolle durch die Empfehlung geeigneter Methoden einnehmen würde.

Was tun bei Fusionen?

Auch jenseits der User ortet die ENISA große Herausforderungen für zukünftige, effiziente europäische Sicherheitsstrategien. Es sei unerlässlich, mit der Zeit zu gehen - Security-Prinzipien aus dem Mainframe-Zeitalter sind heute veraltet oder sogar schlichtweg falsch. Essenziell sei für zukunftsorientierte Strategien laut Purser eine Skalierbarkeit und Flexibilität, um leicht mit sozio-ökonomischen Veränderungen klar zu kommen - beispielsweise im Fall von Unternehmensübernahmen oder -zusammenlegungen. Ebenso müssten Methoden und Werkzeuge für die Sicherheit sinnvoll gewählt werden.

Eine gute, sichere Software etwa bringe wenig, wenn der erforderliche personelle Administrationsaufwand unterschätzt wird und die Lösung dadurch nicht sinnvoll genutzt werden kann, so Purser. In Sachen praktischer Umsetzung betont der ENISA-Experte die Notwendigkeit, sich über Grenzen hinweg auf gemeinsame Mindeststandards zu einigen und darauf abzuzielen, die Sicherheit im IKT-Bereich mit der Zeit sinnvoll zu höheren Standards weiterzuentwickeln.

Louis Marinos von der ENISA Risk Management Section wiederum hat dargelegt, wie wichtig es ist, sich mit aufkommenden und zukünftigen Risiken (Emerging and Future Risks, EFR) zu befassen. Denn wenn eine neue Technologie zum Einsatz kommt, ist die entsprechende Bedrohungslandschaft zunächst faktisch unbekannt. Die ENISA arbeitet nicht nur an Prinzipien für den Umgang mit EFRs, sondern veröffentlicht auch Berichte über die eigene Einschätzung der Risiken in aufstrebenden Technologiebereichen. 2008 wurde unter anderem untersucht, welche Risiken es in den Bereichen E-Health und Web 2.0 gibt, während in diesem Jahr unter anderem an einem ERF-Assessment zum Thema Cloud Computing gearbeitet wird.

Während die ENISA in die Zukunft blickt, kann sie auch auf bisherige Erfolge verweisen. Beispielsweise hat die Agentur empfohlen, dass jeder EU-Staat ein eigenes Computer Emergency Response Team (CERT) einrichten sollte. Des Weiteren wurde ein Leitfaden für den Aufbau solcher Security-Eingreiftrupps herausgegeben. Obwohl die ENISA, wie ausdrücklich betont wird, keinen Druck bezüglich der Umsetzung derartiger Empfehlungen ausüben kann, sind seit 2005 neue nationale CERTs unter anderem in Italien, Spanien und Österreich entstanden. Weitere sind in Planung, beispielsweise in Griechenland, Irland und Polen. Die ENISA-Expertise wurde auch über EU-Grenzen hinaus beim Aufbau von CERTs genutzt - etwa in Osteuropa und auch in Südafrika. (pte/rw)