In Europa geht die Angst um, dass die Wahl des Europäischen Parlaments Ziel von Desinformationskampagnen und Hackerangriffen werden könnte. NTT Security (Germany) und „Security Center of Excellence“ der NTT Group, charakterisiert vier Maßnahmen, um das Risiko einer Wahlmanipulation zu minimieren.
Wie aus einem kürzlich erschienenen Report der europäischen Cybersicherheitsagentur ENISA hervorgeht, könnten staatliche und nicht staatliche Akteure versuchen, durch gezielte Hackerangriffe und Desinformationskampagnen die Europawahlen 2019 zu beeinflussen. Zahlreiche Vorkommnisse der letzten Jahre – Cyberangriffe im Vorfeld der US-Wahlen 2016 oder der französischen Wahlen 2017 – untermauern die Gefahr. Die Bedrohungen sind hierbei nicht allein technischer Natur, sondern betreffen auch organisatorische Schwachstellen.
NTT Security zeigt vier Maßnahmen, um die Europawahlen sicher zu gestalten.
1. Einheitliche Maßnahmen innerhalb der EU festsetzen
Da die Organisation und Durchführung der Europawahl in der Hand der einzelnen Mitgliedsstaaten liegt, gibt es keine einheitlichen Sicherheitsvorkehrungen. Im September 2018 haben die EU-Abgeordneten zwar den Rechtsakt zur Cybersicherheit verabschiedet, der die Rolle der ENISA stärkt und einen gemeinsamen Cybersicherheitszertifizierungsrahmen schafft, allerdings erfolgt die Umsetzung zunächst nur auf freiwilliger Basis. Entscheidend für die Cybersicherheit und den Schutz vor Desinformationskampagnen ist jedoch ein möglichst einheitliches Rechtsverständnis und international gültige und vergleichbare Sicherheitsstandards: Die digitale Welt kennt schließlich keine Landesgrenzen.
2. Bewusstsein für Desinformationskampagnen wecken
Dem Eurobarometer, einer von der Europäischen Kommission veröffentlichten Umfrage, zufolge sorgen sich 83 Prozent der EU-Bürger wegen gezielter Desinformation im Netz.[2] Falsche oder schädliche Informationen werden immer wieder dazu eingesetzt, die öffentliche Meinung zu beeinflussen. Digitale Kampagnen konzentrieren sich dabei darauf, etwa über Social-Media-Kanäle gezielt falsche Informationen zu verbreiten; IT-gestützte Kampagnen hingegen darauf, beispielsweise die E-Mails von Politikern zu veröffentlichen, um sie so zu diskreditieren. Um unerlaubter politischer Werbung, Falschmeldungen oder Bots, die falsche Meldungen verbreiten, Einhalt zu gebieten, ist eine enge Zusammenarbeit mit der Werbebranche und den Social-Media-Plattformen nötig: Die Onlineplattformen müssen stärker dazu verpflichtet werden, entsprechende Einträge selbstständig und unverzüglich zu löschen.
3. Wahl und Absicherung von Anwendungen
Die Infrastruktur für Wahlen sollte in allen Ländern als kritische Infrastruktur gelten und angemessen nach dem Stand der Technik abgesichert sein. In Deutschland beispielsweise gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) den IT-Grundschutz heraus. Dieser Standard und das zugehörige Kompendium umfassen Vorgaben, Prozesse und konkrete Handlungsempfehlungen zur Umsetzung von Sicherheitsmaßnahmen. Dazu zählt auch, dass Behörden ein Managementsystem für Informationssicherheit (ISMS) aufbauen sollten, anhand dessen die Informationssicherheit dauerhaft definiert, gesteuert, kontrolliert und immer wieder verbessert wird.
Jedoch sollten Behörden bereits bei der Auswahl von Anwendungen darauf achten, dass der Anbieter angemessene Sicherheitsstandards bietet: Hard- und Software, die nach dem Prinzip des Security-by-Design entwickelt wurden, bieten beispielsweise einen hohen Schutz vor Manipulationen. Zusätzliche Sicherheitsvorkehrungen wie eine Verschlüsselung der Kommunikation stellen sicher, dass etwa die E-Mail-Kommunikation der Politiker nicht zur Wahlbeeinflussung genutzt werden kann.
4. Schulungen und Schwachstellen-Tests
Die rein technische Absicherung der für die Wahl relevanten Netzinfrastruktur reicht nicht aus. Mitarbeiter, Politiker und Anwender müssen im Umgang mit Sicherheitsmaßnahmen, der Technik, aber auch mit Sozialen Medien regelmäßig geschult werden. Bestandteil dieser Awareness-Kampagnen sind häufig Basis-Schulungen (entweder persönlich oder über sogenannte e-Learning-Komponenten), Micro-Trainings (kurze Schulungssequenzen durch Videos) und auch Security-Events.
Wiederholte Sicherheitstests, die sowohl technische als auch menschliche Aspekte berücksichtigen, ermöglichen es, Lücken zu erkennen und zu schließen. Durch einen kontinuierlichen Erfahrungsaustausch unter den Mitgliedsstaaten können die Vorkehrungen und das Vorgehen im Fall eines Angriffs zudem besser aufeinander abgestimmt werden.
„Ein positives Beispiel für den Umgang mit Cybergefahren im Hinblick auf Wahlen bietet Estland. Das Land gilt als Vorreiter in diesem Bereich“, erklärt Eva-Maria Scheiter, Managing Consultant GRC bei NTT Security. „Nach massiven Cyberattacken 2007, der eine Vielzahl von Banken und Behörden zum Opfer fielen, hat das Land in die Cybersicherheit investiert, das elektronische Wahlsystem und seine Protokolle veröffentlicht und die Stimmabgabe verschlüsselt. Daran sollten sich die EU-Mitgliedsstaaten orientieren.“
www.nttsecurity.com