Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke
 

Gastkommentar Europa und die USA müssen gemeinsam für Cybersicherheit sorgen

Seit der Debatte um den Einsatz von Huawei-Technologie steht die Cybersicherheit im Fokus der Politik. Doch noch gibt es Widerstände gegen Cyberregulierung.
  • Andrew Grotto, Martin Schallbruch
Kommentieren
Andrew J. Grotto leitet das Programm Geopolitics, Technology and Governance der Stanford University. Martin Schallbruch ist Direktor am Digital Society Institute, ESMT, in Berlin. Quelle:  privat
Andrew Grotto und Martin Schallbruch

Andrew J. Grotto leitet das Programm Geopolitics, Technology and Governance der Stanford University. Martin Schallbruch ist Direktor am Digital Society Institute, ESMT, in Berlin.

(Foto:  privat)

Die Debatte um den Einsatz von Huawei-Technologie in 5G-Netzen weist weit über den konkreten Hersteller und die zukünftigen Mobilfunknetze hinaus. Sie hat die Cybersicherheit in den Fokus globaler Handels-, Investitions- und Sicherheitspolitik gerückt: Welches Sicherheits- und Transparenzniveau müssen digitale Systeme haben, für die wir unsere Infrastrukturmärkte öffnen? Welche Abhängigkeiten von technischen Komponenten und ihren Herstellern wollen wir uns leisten? Wie weitgehend muss die Beurteilungsfähigkeit im Hinblick auf importierte Technologie gehen? Reichen technische Prüfungen oder welche ergänzenden Maßnahmen sind erforderlich?

Mit einer wachsenden Zahl von Cybersicherheits-Vorgaben versuchen die Staaten weltweit, ihre Fähigkeit zur Beurteilung und Steuerung der Sicherheit komplexer digitaler Systeme sicherzustellen. In einem gemeinsamen Projekt des Cyber Policy Center der Stanford University und des Digital Society Institute der ESMT Berlin haben wir die Regulierung rund um die Cybersicherheit in den USA und Europa verglichen. Eine der zentralen Erkenntnisse: Die Cybersicherheits-Regulierung wächst gleich dreifach.

Erstens gibt es auf die Abwehr von Angriffen gerichtete Regeln wie das deutsche IT-Sicherheitsgesetz. Sie verlangen, die Technologie gegen Angreifer zu härten und Vorfälle zu melden. In den USA gibt es keine branchenübergreifende Regulierung, doch das „NIST Cybersecurity Framework“ erfüllt eine ähnliche Funktion.

Zweitens verlangt das Datenschutzrecht Sicherheitsmaßnahmen, um die persönlichen Daten zu schützen. Solche Regeln gibt es in den USA bereits für Kalifornien, in Europa haben wir die Datenschutz-Grundverordnung. Drittens zielt eine wachsende Zahl von Regeln auf die Cybersicherheit in Branchen und Sektoren ab, etwa für Medizingeräte, Banken oder die Energieversorgung.

Einerseits legen die USA und Europa ihren Regulierungen sehr ähnliche Prinzipien zu Grunde und definieren ähnliche Instrumente: Eigenverantwortung der Betreiber, den Risiken angemessene Sicherheitsmaßnahmen, standardisierte Management-Systeme, Meldung von Vorfällen, Zusammenarbeit zwischen Staat und Wirtschaft. Damit unterscheiden sich Europa und die USA deutlich von den überwachungsorientierten Cybersicherheitsregeln in China und Russland.

Andererseits wird es für Unternehmen aber immer schwieriger, die Flut von Regeln einzuhalten: Widersprüche zwischen Datenschutz- und IT-Sicherheitsrecht, Ungereimtheiten zwischen sektoralen und branchenübergreifenden Regeln, Inkompatibilitäten zwischen Regelungen in den USA und Europa – all das erschwert den Handel im transatlantischen Raum. Die BMW-Produktion in Spartanburg, South Carolina, unterliegt anderen Regeln als die Produktion in Leipzig. GE-Medizintechnik muss in Europa andere Cybersicherheitsanforderungen erfüllen als in Nordamerika.

Staaten wollen mehr Datenschutzgesetze

Ein weiterer Ausbau der Regeln zeichnet sich ab: In den USA wird über ein Datenschutzgesetz auf Bundesebene debattiert. In Deutschland kursieren erste Entwürfe für ein IT-Sicherheitsgesetz 2.0. Kalifornien hat bereits ein Gesetz für die Sicherheit von IoT-Geräten (Internet der Dinge) vorgelegt. In der EU ist vor kurzem der EU Cybersecurity Act in Kraft getreten, der die Zertifizierung der Cybersicherheit regelt. Branchenspezifische Regulierungen stehen bevor, zum Beispiel im Bereich der Kraftfahrzeuge, in dem Cybersicherheitsanforderungen in die Zulassungsregeln kommen.

Die USA und Europa waren über viele Jahrzehnte Vorreiter für global adaptierbare Compliance-Modelle, mit denen unternehmerische Risiken in nachvollziehbarer Form gemanagt werden können. Die USA und Europa haben zudem miteinander die größte Handels- und Investitionsbeziehung weltweit. Digitale Dienste und Produkte haben einen großen Anteil daran. Uns verbindet eine ähnliche Sicht auf Cyberrisiken, auf Möglichkeiten zu ihrer Vermeidung, auf die Rollen von Unternehmen und Staat und auf die Notwendigkeit rechtsstaatlicher Verfahren.

Europa und die USA sollten den Wildwuchs der Cyberregulierung gemeinsam überwinden. Die Eckpunkte liegen auf der Hand – transparentes Risikomanagement, Sicherheitsmaßnahmen nach dem Stand der Technik, Meldung von Vorfällen, Zusammenarbeit von Staat und Wirtschaft. Gesetzgeber, Wissenschaftler und Unternehmen sind gefordert, ein transatlantisches Rahmenwerk zu erarbeiten, das als Fundament für Cybersicherheit in Europa und den USA dienen kann – und als Vorbild für die Welt.

Mehr: Die Bundesregierung warnt vor steigender Cyberkriminalität.

Startseite

Mehr zu: Gastkommentar - Europa und die USA müssen gemeinsam für Cybersicherheit sorgen

0 Kommentare zu "Gastkommentar: Europa und die USA müssen gemeinsam für Cybersicherheit sorgen"

Das Kommentieren dieses Artikels wurde deaktiviert.

Serviceangebote