Interview mit Steve Purser, Head of Core Operations bei der Europäischen Agentur für Netz- und Informationssicherheit (ENISA)


Steve Purser

Steve Purser ist Head of Core Operations bei der Europäischen Agentur für Netz- und Informationssicherheit ENISA. Auf der Command Control nimmt er unter anderem an dem Panel „Cybersecurity – A European Approach“ teil. Wir haben mit ihm über die Arbeit von ENISA und die aktuelle Bedrohungslage gesprochen.

Können Sie zunächst einen kurzen Überblick über ENISA sowie die Aufgaben und Ziele der Agentur geben?

Purser: ENISA ist die Europäische Agentur für Netz- und Informationssicherheit und dabei eine Regulierungsbehörde. Das bedeutet, dass die Agentur ein hohes Maß an Autonomie und ein weitreichendes Mandat innehat. Zugleich ist ENISA ein Kompetenzzentrum, das Experten in den verschiedenen Mitgliedsstaaten unterstützt.

Die Agentur kann sich mit einer breiten Palette von Themen im Bereich Cybersicherheit befassen, versucht aber vor allem da einen Beitrag zu leisten, wo es Lücken gibt, die weder der öffentliche noch der private Sektor ausfüllen. ENISA ist dabei auf die Umsetzung der EU-Politik ausgerichtet. Wir unterstützen die Europäische Kommission in dieser Hinsicht intensiv und beraten sie bezüglich technischer Aspekte der Netz- und Informationssicherheit. Konkret bedeutet dies, dass wir aufzeigen, wie die (häufig abstrakten) europäischen Richtlinien im alltäglichen Umfeld funktionieren können, und dabei Tools, Verfahren sowie Methoden fördern, die in der heutigen Welt hilfreich sind.

ENISA erzielt ihre Ergebnisse, indem sie das Wissen der Experten, die kontinuierlich praktische Erfahrungen sammeln, aus den Mitgliedsstaaten nutzt. Dazu sind ENISA-Experten mit Menschen in ganz Europa in Kontakt, damit diese sich einbringen und zur Lösung von Problemen beitragen können. Dies führt zu Skalierbarkeit und einem stärkeren Verantwortungsgefühl. In diesem Sinne fungiert die Agentur auch als Informationsdrehscheibe für Cybersicherheit, in der sich Sicherheitsexperten über aktuelle Probleme und Trends informieren können und Handlungsempfehlungen für konkrete Anliegen und Kontakte zu hilfreichen Ansprechpartnern erhalten können.

Das jetzt vorgeschlagene neue Mandat für ENISA ist ein großer Schritt, und zwar nicht nur für die Agentur, sondern auch für ganz Europa. Es ist ambitioniert und weist der Agentur bedeutende neue Aufgaben zu. Insbesondere wird ENISA eine Schlüsselrolle bei der Umsetzung eines neuen Frameworks für die Cybersicherheitszertifizierung spielen. Darüber hinaus sind Response-orientierte Aufgaben vorgesehen, die es ENISA ermöglichen, eine aktivere Rolle bei der Unterstützung der Mitgliedsstaaten im Falle von Cyberangriffe zu spielen. Dies schließt auch die Möglichkeit ein, dass die Agentur auf Anfrage der Mitgliedsstaaten eine Post-Incident-Analyse durchführen kann.

Was sind die wichtigsten Themen, mit denen sich ENISA derzeit beschäftigt?

Purser: ENISA befasst sich mit den wichtigsten-Cybersicherheitsherausforderungen der Europäischen Union. Die höchste Priorität haben zur Zeit folgende Themen:

  • Der Schutz Kritischer Informationsstrukturen und die NIS-Richtlinie
  • Cybersicherheitsübungen
  • Die Standardisierung und Zertifizierung von Cybersicherheit
  • Die Bereitstellung von konsolidierten Informationen über aktuelle Bedrohungen für unsere Stakeholder-Communities
  • Die Unterstützung von EU-Gesetzgebung beispielsweise bei DSGVO, eIDAS, PSD2
  • Die Ermittlung und Verbreitung von Best-Practice-Verfahren für den Umgang mit Bedrohungen, die im Zusammenhang mit neuen Technologien aufkommen.

Was sind derzeit die größten Herausforderungen für Unternehmen und Organisationen in Bezug auf Cybersicherheit? Gibt es Unterschiede zwischen der EU und anderen Teilen der Welt?

Purser: Das sind aus meiner Sicht die größten Herausforderungen, mit denen Unternehmen und Organisationen derzeit im Zusammenhang mit Cybersicherheit konfrontiert sind:

  • Der Umgang mit einer sich rasend schnell verändernden Bedrohungslandschaft, die häufig sehr schnelles Handeln erfordert – zum Beispiel bei Zero-Day-Angriffen
  • Die Steuerung der Sicherheit in sich stetig ändernden Umgebungen (Reorganisationen, Fusionen, Übernahmen, Fluktuation, ....)
  • Der große Mangel an Fachkräften und Spezialisten mit Cybersecurity-Fähigkeiten und -Kompetenzen und die daraus resultierenden Schwierigkeiten beim Recruiting
  • Die Umsetzung neuer gesetzlicher Anforderungen wie die EU-DSGVO
  • Die Entwicklung eines angemessenen Verständnis für die wirtschaftlichen Aspekte von Cybersicherheit: Welches Investitionsniveau ist optimal und warum?
  • Die Abstimmung des Cybersicherheitsansatzes mit der Unternehmenskultur

In diesem Zusammenhang sollten Unternehmen Programme einführen, die dafür sorgen, dass Cybersicherheit zu einem festen Bestandteil der Unternehmenskultur wird. Dazu gehört, dass Cybersicherheit regelmäßig auf der Tagesordnung der Vorstandssitzungen steht. Denn damit unterstreichen Unternehmen die Bedeutung einer robusten „Cybersecurity-Kultur“ und können gleichzeitig sicherstellen, dass entsprechende Arbeitsgruppen in Kontakt mit den Mitarbeitern treten. ENISA war in den vergangenen Jahren in diesem Feld sehr aktiv. Besonders hervorzuheben ist unsere umfangreiche Forschungsarbeit zur „Cybersecurity-Kultur“, aus der mehrere Veröffentlichungen mit dem Titel „Cybersecurity culture in organizations“ resultierten.

Die Command Control richtet sich hauptsächlich an Entscheidungsträger wie CEOs, CIOs, CISOs, CDOs, CROs, CSOs usw. Aus welchem Grund sollte der Entscheidungsträger sich um Cybersicherheit kümmern?

Purser: Cybersicherheit ist heutzutage eine wesentliche Grundlage für einen Großteil der Weltwirtschaft. Ein schwerwiegender Cybersicherheitsvorfall kann deshalb katastrophale Folgen wie enorme finanzielle Einbußen und Reputationsverluste haben, die Unternehmen in ihrer Existenz bedrohen können. Jeder leitende Angestellte, der kein gutes Verständnis dafür hat, welchen Einfluss Cybersicherheit auf die von ihm verantworteten Bereiche hat, sollte sich in dieser Umgebung unwohl fühlen und daran etwas ändern.

Denken Sie, dass Cybersicherheit ein Wachstumshebel für Unternehmen sein kann? Wenn ja, wie kann dies möglich sein?

Purser: Ja absolut – und zwar in verschiedener Hinsicht. Grundsätzlich ist Cybersicherheit ein schnell wachsendes Geschäftsfeld, in dem viele Unternehmen Cybersicherheitsprodukte und -services erfolgreich bereitstellen. Ich gehe davon aus, dass dieses Segment in den kommenden Jahren weiter stark wachsen wird. Denn die rasant voranschreitende technologische Entwicklung bietet ständig neue Möglichkeiten, bringt gleichzeitig aber auch ständig neue Bedrohungen mit sich, auf die es Antworten bedarf.

Auch für Unternehmen, die keine Sicherheitsprodukte oder -dienstleistungen verkaufen, ist es wichtig, sichere Technologien und Produkte anzubieten. Unternehmen, die nicht sorgfältig darauf achten, dass ihre Angebote wirklich sicher sind, werden dafür einen Preis zahlen. Beispielsweise in dem das Vertrauen der Verbraucher zurückgeht und sich ihr Absatz reduziert.

Was können die Teilnehmer des Panels „What’s the status of GDPR and NIS?“, an dem auch Sie teilnehmen, erwarten?

Purser: Ich werde jeweils einen aktuellen Stand zur Umsetzung dieser beiden Politikfelder geben und damit verbundene Möglichkeiten und Gefahren aufzeigen. Dabei sind Fragen und Hinweise auf Herausforderungen mehr als willkommen.

Warum freuen Sie sich auf die Command Control?

Purser: Ich glaube, dass die Command Control eine exzellente Plattform für den Austausch und das Teilen von Wissen sein wird. Ich ermuntere alle Teilnehmer dazu, anspruchsvolle Fragen zu stellen.