Wir schreiben, sprechen, lassen uns filmen, bestellen alle nur denkbaren Waren, versenden Geld, organisieren unser Leben, teilen unsere intimsten Gedanken...unsere IT weiß fast alles über uns. Und Geheimdienste wissen fast alles über unsere IT.

Forderte Neelie Kroes, EU-Kommissarin für die digitale Agenda, auf einer Konferenz im Februar. Eine Cybersicherheitsstrategie hat sich die EU gegeben – einen Masterplan zur IT-Sicherheit. Edward Snowdens Enthüllungen haben dafür Schützenhilfe geleistet:

Nach den Veröffentlichungen von Snowden hätten US-Clouddienste durch den Vertrauensverlust zehn Milliarden Dollar eingebüßt. Hier habe die Digitale Industrie in der EU einen Wettbewerbsvorteil. Cybersicherheit in erster Linie zum Nutzen der IT-Industrie. Die Strategie sieht unter anderem vor, dass in allen Ländern sogenannte CERTs eingerichtet werden – Expertenteams, die bei konkreten Angriffen und Bedrohungen aktiv werden. Außerdem tauschen sich Industrie und Politik regelmäßig aus und beraten über Handlungsempfehlungen für mehr IT-Sicherheit.

Ein zentraler Baustein der Sicherheitsstrategie ist die Richtlinie zur Netz- und Informationssicherheit. Darin wird unter anderem festgelegt, dass Betreiber kritischer Infrastruktur Angriffe und Sicherheitsprobleme an Behörden melden und diese Informationen austauschen müssen. Darunter fallen auch Finanzdienstleister, soziale Netzwerke und Suchmaschinen. Zwar hat auch die Industrie ein Interesse an sicheren Systemen, ihr geht die Meldepflicht aber zu weit:

"Also zum Beispiel Google ist nicht verfügbar - was ist die Auswirkung? Dann könnte ich als Nutzer jetzt einfach zur Konkurrenz gehen. Das heißt es hätte keine negativen Auswirkungen auf mein tägliches Leben."

Anna-Verena-Naether vom Branchenverband Digital Europe.

"Es ist schon wichtig, dass man es melden muss, wenn ein Emailkonto gehackt wird, klar. Aber das muss jetzt nicht über alle Medien verbreitet werden, weil das nicht zwingend Sinn macht, wenn eine Person, die gar nicht betroffen ist, davon mitbekommt. Dann wären die Zeitungen nur voll von solchen Meldungen."

Eine Diskussion also zwischen EU und IT-Branche um die Definition von kritischer Infrastruktur? Um die europäischen IT-Unternehmen zu schützen und gegenüber der Konkurrenz aus den USA in Stellung zu bringen?

Christian Horchert ist IT-Experte des Chaos Computer Clubs und schreibt im Blog netzpolitik.org über IT-Sicherheit.

SSL-Verschlüsselung, Man-in-the-middle-Attacken, Botnets, Email-Kryptografie, Clickjacking...kommen Sie noch mit? Wissen Sie, wie Sie sich davor schützen? Wissen Sie, was sie tun müssen, wenn ihr Mailkonto gehackt wurde? Und wie sie einen sichereren Anbieter finden?

Denn sicherere Software koste Arbeit und damit Geld. Außerdem brauche es striktere Meldepflichten für Datendiebstahl und Sicherheitslecks. Die NIS-Direktive ist hier aber viel zu lasch. Schon allein an der Definition, welche Infrastruktur als kritisch gilt, scheitert das Papier.

Ende des Jahres soll der Rat über die Richtlinie abstimmen. Aus Insiderkreisen heißt es allerdings schon jetzt, dass nicht alle Mitgliedsstaaten der Richtlinie im Rat zustimmen wollen.

Eine einheitliche Strategie zur IT-Sicherheit in allen EU-Staaten ist damit weiter nicht in Sicht. Es bleibt bei nationalen Insellösungen, wie sie der deutsche Innenminister Thomas de Maizière plant. Und so klingt auch der Wunsch der scheidenden Kommissarin für die Digitale Agenda, Neelie Kroes, nach einem fernen Ziel: