Enisa fordert einheitliche Sicherheitsstandards

Die EU-Agentur für Internetsicherheit Enisa hat sich für einheitliche Netzwerksicherheitsstandards in Europa ausgesprochen. Es gebe eine ganze Reihe von Methoden und Standards, die Widerstandsfähigkeit von Netzwerken zu testen, aber derzeit kein allgemein gültiges Bezugssystem, teilte die Behörde mit. Das mache einen Vergleich der Ergebnisse unmöglich und stifte Verwirrung.

„Es gibt keine einheitlichen Kennzahlen“, erklärte Enisa-Sprecher Ulf Bergstrom gegenüber ZDNet UK. „Es mangelt an Struktur und Kohärenz hinsichtlich dem, was wirklich gemessen wird. Es gibt so viele verschiedene Ziele, wenn man die Widerstandsfähigkeit von Netzwerken testen will.“

Es gebe keine Möglichkeit, europaweit zu testen, wie sich Cyberattacken, Software- und Hardware-Ausfälle, Naturkatastrophen, menschliches Versagen oder veraltete Infrastruktur auf Computersysteme auswirken. Aus diesem Grund sei es schwierig, die Belastbarkeit von Netzen zuverlässig zu messen. Die Ergebnisse ihrer Analyse hat die Enisa in zwei Berichten zusammengefasst – einem für europäische Gesetzgeber und einem für die Technikbranche.

Verschiedene Sicherheitsstandards – etwa ISO/IEC 27004:2009, NISTIR 7564 und NIST SP 800-55 Rev 1 – gehen demnach von unterschiedlichen Kennzahlen aus. Bergstrom sagte, die Enisa habe kein Interesse daran, ein bestimmtes System oder einen Standard zu verreißen, man müsse sie jedoch in Einklang bringen. „Wir brauchen ein allgemeines Verständnis statt diverser inkompatibler Standards.“

Zudem werden die vorhandenen Kennzahlen in Unternehmen nicht einheitlich eingesetzt – auch aufgrund unterschiedlicher Regelungen, wie Andy Buss, Analyst für für Netzzugänge und Infrastrukturdienste bei Freeform Dynamics, gegenüber ZDNet UK erklärte. „In den meisten Fällen wird nur bruchstückhaft gemessen. Viele Firmen haben keine Ahnung von Kennzahlen – und auch keine Prozesse etabliert, um ihr System zu überprüfen.“

Managementprozesse wie das Erheben von Kennzahlen hätten keinen hohen Stellenwert, wenn über IT-Budgets entschieden werde, sagte Buss. Über Cyberattacken Bericht zu erstatten, sei meist auch nicht im Interesse eines Unternehmens und könne seinen Ruf beschädigen. Buss zufolge braucht es hier eine datenschutzrechtliche Regelung, um einen Anreiz für Unternehmen zu schaffen, Angriffe zu melden.

HIGHLIGHT

Malware für Android: echte Gefahr oder Übertreibung?

Antivirenhersteller warnen vor Schädlingen im Android Market und bieten kostenpflichtigen Schutz an. ZDNet erläutert, warum es faktisch keine Malware für das Google OS gibt, und ein Virenschutz nicht erforderlich ist.

ZDNet.de Redaktion

Recent Posts

Bundesbürger misstrauen KI-generierten Ergebnissen

ChatGPT, Google Gemini, MidJourney oder Anthropic Claude: Gut jeder zweite Bundesbürger hat generative KI bereits…

10 Stunden ago

Typische Fehler beim KI-Einsatz im Marketing

KI gehört schon zu den festen Instrumenten des Marketings. Doch viele Unternehmer setzen die KI…

11 Stunden ago

Starbucks von Cyberattacke betroffen

Ransomware-Angriff auf die KI-gesteuerte Lieferkettenplattform Blue Yonder hat weitreichende Auswirkungen.

1 Tag ago

Was kann die Apple Watch Series 10?

Seit Ende September ist sie also verfügbar: die Apple Watch 10. Auch in Deutschland kann…

2 Tagen ago

Microsoft-Clouds: GenAI verändert Servicegeschäft

ISG sieht engere Vernetzung zwischen Hyperscaler, IT-Partnern und Endkunden. Treiber ist das Zusammenspiel von KI…

2 Tagen ago

Agentforce Testing Center: Management autonomer KI-Agenten

Mit dem Tool können Unternehmen KI-Agenten mithilfe synthetisch generierter Daten testen, um präzise Antworten und…

3 Tagen ago