CSIRT-CAN – Centro de Respuesta a Incidentes de Seguridad de Canarias

Warum sind Schlüsselinfrastrukturen in der Europäischen Union so wichtig?

Die strategische Abhängigkeit von außereuropäischer digitaler Infrastruktur und Lieferketten stellt eine der zentralen Herausforderungen für die Europäische Union dar. Am letzten Tag des Oktobers möchten wir den Monat der Cybersicherheit mit diesem Thema abschließen.

Warum ist dies eine zentrale Herausforderung?

  • Geopolitische und regulatorische Risiken: Anbieter, die extraterritorialen Gesetzen unterliegen, könnten gezwungen sein, Daten herauszugeben oder Dienste außerhalb des EU-Rechts zu unterbrechen.

  • Marktkonzentration: Ein einzelner Ausfall oder eine Sanktion beeinträchtigt ganze Branchen.

  • Angriffe auf Lieferketten: Eine einzige kompromittierte Abhängigkeit (Firmware, Open-Source-Software, Update) breitet sich in der gesamten EU aus.

  • OT/Kritische Infrastruktur: Energie, Transport, Gesundheitswesen und Finanzen nutzen ausländische Hardware/Software, die schwer zu prüfen oder schnell zu ersetzen ist.

Was würde die Bewältigung dieser Herausforderung beinhalten?

  1. Cloud- und Datensouveränität

    • Zertifizierungssysteme (Rechtssouveränität, Lokalisierung, operative Kontrolle) und Multi-Cloud-Architektur in öffentlichen Verwaltungen und kritischen Sektoren.

  2. Lieferkettensicherheit

    • Obligatorisches und kontinuierliches SBOM, Signierung/Verifizierung von Artefakten, Bestätigung reproduzierbarer Kompilierung, Unterstützungsanforderungen für kritische Open-Source-Software.

  3. Diversifizierung und schrittweise Substitution

    • Roadmaps für verschiedene Anbieter in 5G/6G, Routern und HSMs mit öffentlicher Beschaffung, die Interoperabilität und offene Standards belohnt.

  4. Physische und geopolitische Resilienz

    • Schutz und Redundanz von Seekabeln, alternative Satelliten-/terrestrische Verbindungen, regelmäßige Umschalttests.

  5. Industrielle Kapazität und Fachkräfte (ohne allgemeinen Fachkräftemangel)

    • Anreize für die Chip-/Secure-Element-Herstellung und Prüflaboratorien (Common Criteria/EMVCo/FIPS) innerhalb der EU. 6. Post-Quanten-Kryptographie und Lebenszyklusoder EU-Plan für die koordinierte Migration zu quantenresistenter Kryptographie in kritischer Infrastruktur und öffentlichen Diensten mit vorheriger Bestandsaufnahme der Anlagen.

Die größte Herausforderung besteht darin, Autonomie und Überprüfbarkeit über die digitale Infrastruktur zu erlangen, von der die Wirtschaft und die wesentlichen Dienstleistungen abhängen, damit keine externe Entscheidung (kommerzieller, technischer oder politischer Art) Europa cyberangreifbar macht.