Sechs Tipps für mehr Netzwerk- und IT-Sicherheit in Europa

Wie sicher die IT-Systeme in Europa sind, hängt von drei Dingen ab: den Produkten, den Personen und den Prozessen. Eine neue Studie der EU-Agentur für Netz- und Informationssicherheit (ENISA) empfiehlt dringend, sich mit Zertifizierungen zu beschäftigen, um Gefahren zuvor zu kommen. Und sie fordert von den EU-Ländern ein einheitlicheres Vorgehen.

Dabei kommt es den Studienautoren, dem Analysten Carsten Casper und ENISA-Geschäftsführer Alain Esterle darauf an, den legalen Hintergrund von wichtigen Zertifizierungen zu erklären. Im Vergleich verschiedener Zertifizierungssysteme weisen sie auf Trends hin und geben sechs ausführliche Empfehlungen, um die Netzwerk- und Informationssicherheit in Europa durch einen breiteren Gebrauch von IT-Sicherheitszertifizierungen zu verbessern.

Im Allgemeinen sollten Organisationen ihre Informationssicherheits- Managementsysteme überprüfen lassen, lautet die Ansicht der Experten von ENISA. Sie sollten sich für zertifizierte IT-Sicherheitsprodukte entscheiden und ihr IT-Sicherheitspersonal ermutigen, angemessene Personal- und Informationssicherheitszertifizierungen auszuwählen. Für Prozesse sollte die Entwicklung der sich ergänzenden Standards aus der ISO 27000-Familie für öffentliche und private Organisationen gefördert werden, so zum Beispiel eine ISO 27001 ‘light’ für mittelständische Unternehmen.

Was IT-Produkte anbelangt sollte die EU für einen sichereren elektronischen Kommunikationsmarkt das zwischenstaatliche Gegenseitigkeitsabkommen über gemeinsame Kriterien für alle Mitgliedsstaaten ausbauen, so die Studienautoren. Das 7. EU-Rahmenprogramm sollte die Forschung fördern, um die Wirtschaftlichkeit der Zertifizierung von Produkten zu analysieren.

Was schließlich die handelnden und nutzenden Personen betrifft, sollte die EU im Bezug auf Personenzertifizierung in der IT-Sicherheit Akkreditierungssysteme verstärken. Casper und Esterle wollen mehr Unterstützung für die Entwicklung von Personenzertifizierungen. Sie sollten demnach angepasst sein an verschiedene Profile vom Endverbraucherlevel (Computer-Führerschein) bis zur qualifizierten Fachkraft (IT-Sicherheitsbeauftragter). Die EU sollte auch verstärkt Brücken zwischen Ausbildung (Schulen und Universitäten) und dem Zertifizierungsprozess (private IT-Trainings- und Zertifizierungsanbieter) schlagen.

Alain Esterle sagte: “Die Studie setzt den richtigen Kurs für einen verbesserten Markt der IT-Sicherheitszertifizierungen, die für IT-Produkte, Personen und Prozesse wesentlich sind”. Seiner Ansicht nach tragen Akkreditierungs- und Zertifizierungssysteme entscheidend dazu bei, das Verbrauchervertrauen in Netzwerk- und Informationssicherheit zu verstärken, sowie die Geschäfts- und Wettbewerbsfähigkeit in Europa zu verbessern. In diesem Sinne verlängern und ergänzen Zertifizierungen die Standardisierung. Sie sind eine Orientierungshilfe und können als Marketinginstrument eingesetzt werden, so die abschließende Beurteilung.