Bericht vom Treffen der Working Group Cyber/Task Force Data der European Digital SME Alliance (07.09.2023)
Brüssel (ITSEC/BITMi). Regulierung tut Not: Angesichts der gegenwärtigen Lage der Cybersicherheit ist dies ein Gebot der Stunde, dem die Europäische Kommission mit einer ganzen Reihe von Regulierungsvorhaben Rechnung trägt. Während also jüngst der Branchenverband Bitkom zusammen mit dem Bundesverfassungsschutz Anfang September in der Studie „Wirtschaftsschutz 2023“ 206 Milliarden Euro Schaden durch Cybercrime im Jahr 2022 dokumentierte, treten peu a peu die gesetzgebenden Vorhaben der EU auf den Plan. Die European Digital SME Alliance rief dazu die Mitglieder der Working Group Cyber und der Task Force Data zum spätsommerlichen Online-Meeting am 7. September zusammen. Rund zehn Fachexpert:innen, darunter Stephan Schwichtenberg für den BITMi und Matthias Kampmann vom IT-Sicherheitscluster, konnten die Arbeit ihres europäischen Dachverbands für kleine und mittlere Unternehmen der Digitalwirtschaft hierzu in Erfahrung bringen.
Betroffen von Ransomware sind vor allem Firmen bis 50 Mitarbeitende: Unterstützung durch Digital SME Alliance geplant
Zunächst präsentierte das neue Alliance-Mitglied SWASCAN (Mailand/Rom/Neapel, https://www.swascan.com) eine Statistik zur gegenwärtigen Lage der Attacken mit Ransomware. Hierzu führte Gründer und CEO Pierguido Iezzi aus, dass es nicht die Großen sind, die am meisten von erpresserischen Angriffen betroffen sind: In der Hauptsache sind es Unternehmen mit elf bis 50, gefolgt von Kleinstunternehmen mit einer bis zu zehn Mitarbeitenden. Iezzi verspricht, die Mitglieder der Alliance alle sechs Monate mit frischen Daten zu versorgen. Die Teilnehmer und auch Sebastiano Tofalletti, Generalsekretär der Digital SME Alliance, begrüßten diesen Service.
Aufgrund der Bedrohungslage stellte sich die Frage, wie die Alliance auf die Herausforderung in der Branche reagiert. Hierzu schlug die Leitung die Bildung einer SME CERT Task Force Initiative vor. Dies solle ein kostenfreier Service für Mitglieder werden. Das Frühwarnsystem traf allerdings nicht auf hundertprozentige Zustimmung, da „Response“ in der Abkürzung von CERT eine Dienstleistung sei, die von den Mitgliedern kaum zu erbringen wäre. Daher solle der Empfehlung der ENISA gefolgt werden, ein Information Sharing and Analysis Center (https://www.enisa.europa.eu/topics/national-cyber-security-strategies/information-sharing) aufzusetzen. Ein Vorschlag, dem das Plenum folgte.
Data Act und Cyber Resilience Act KMU-freundlich umsetzen
Antonio Biason, Legal/Policy Officer (DG CNECT, European Commission) gab danach ein Update zum Stand der Dinge des Data Acts. Dieser soll, vereinfacht formuliert, regeln, wer welche Daten unter welchen Bedingungen benutzen kann. Ziel sei eine Datenökonomie, in der Europa in globaler Führerschaft voranschreite. In der Diskussion wurde seitens der Working Group gefordert, dass der Data Act für jeden Betroffenen so klar wie möglich sein solle. Deutlich werde, dass er Auswirkungen auf den Umgang mit Betriebs- und Geschäftsgeheimnissen hat. Es gelte, den Einfluss mächtiger Konzerne weitgehend zu begrenzen.
Der letzte Report stammte von Costanza Pestarino von der European Digital SME Alliance. Sie berichtete über den Stand des Cyber Resilience Acts (CRA). Die Bestrebungen der Alliance gehen dahin, dass keine höheren Aufwände für KMU entstehen dürften. Außerdem müsse der CRA sicherstellen, dass Nachhaltigkeitskriterien und Nachnutzung von Devices möglich sind und unterstützt werden. Es dürfe demgemäß nicht zu Restriktionen im zweiten Markt führen. Gefordert werde weiterhin die Teilhabe an der Bildung von Standards für KMU.
Working Group Cyber/Task Force Data als Vertretung von KMU der Digitalwirtschaft in Europa
Die Working Group Cyber/Task Force Data ist vorn mit dabei, wenn es darum geht, kleine und mittlere Unternehmen aus der Digitalwirtschaft angemessen auf europäischer Ebene zu vertreten. Zum gegenwärtigen Zeitpunkt ist mit dem Eintritt von SWASCON ein neuer starker Partner an Bord, der mit seinem aktiven Input die Arbeit der Expertengruppe bereichert:
„Das Arbeitspensum in Sachen Bedrohungserkennung und -vermeidung wird über kurz oder lang nicht geringer. Aber die Beteiligung aller mithilfe der Alliance sollte ein gutes Zeichen sein, um unser Bestes zu geben, dass sich die Situation nicht weiter verschärft“, kommentiert Dr. Matthias Kampmann vom IT-Sicherheitscluster. e. V. die Fachgruppensitzung.
Stefan Schwichtenberg, Geschäftsführer der pi-lar GmbH ergänzt: „Über 90 Prozent aller Unternehmen in der EU sind KMU. Die Working Group Cyber and Data der European Digital SME Alliance will dafür sorgen, dass diese Mehrheit bei der Regulierung und Standardisierung nicht in Vergessenheit gerät und das sich eine Markteilnahme auch für kleine Unternehmen bei gleichen Bedingungen lohnt.“