Der Brexit ist da. Während die ersten spürbaren Folgen in Form von langen LKW-Schlangen, hohen Zollgebühren und verdorbenen Lebensmitteln Schlagzeilen machen, bleibt eine wichtige Frage noch unbeantwortet: Wie wirkt sich der Brexit auf die Cybersicherheit und den Datenschutz aus? [...]

Bislang konzentrierte sich die EU-Strategie in Sachen Cybersicherheit auf eine länderübergreifende digitale Infrastruktur, dem Informationsaustausch zwischen Geheimdiensten sowie koordinierten Aktionen der Strafverfolgungsbehörden. Seit Januar 2021 haben Europol, die Strafverfolgungsbehörde der EU, und Eurojust, die Agentur für justizielle Zusammenarbeit, ein Mitglied weniger. Der Europäische Haftbefehl (European Arrest Warrant, EAW) verliert auf der Insel an Gültigkeit. Und der Austausch wichtiger Daten zieht zudem einen Rattenschwanz an Formularen nach sich.

Mehr Bürokratie beim Austausch von Informationen

Wie man es auch dreht und wendet: Großbritannien verliert mit dem Brexit den unmittelbaren Zugang zu Echtzeit-Daten und damit eine wichtige Waffe im Kampf gegen Verbrechen. Dazu gehört unter anderem der Austausch von DNA, Fingerabdrücken, Fahrzeugregistrierungen und Fluggastdaten. Das britische Innenministerium kündigte zwar an, dass Behörden mit dem Brexit-Deal mehr Kontrolle bei der Weitergabe dieser Informationen sowie mehr Freiheit bei der Umsetzung von Prozessen erhielten. Dennoch haben sowohl die National Crime Agency (NCA) als auch der National Police Chiefs Council (NPCC) Bedenken hinsichtlich der Sicherheit nach dem Brexit geäußert. Die NCA, die hauptsächlich für internationale Grenzen überschreitende Fälle zuständig ist, wird voraussichtlich Hunderte von Operationen neu organisieren müssen, die bislang in enger Zusammenarbeit mit Europol durchgeführt wurden.

Medien bestätigten zudem, dass es eine Einigung bei der Auslieferung von Strafverdächtigen gibt und Großbritannien weiterhin an Sitzungen von Europol teilnehmen kann. Den Berichten zufolge sei die Zusammenarbeit ähnlich geregelt wie mit anderen Dritt-Staaten. Trotzdem ist abzusehen, dass erst einige Zeit verstreichen wird, bis die neuen Vereinbarungen greifen und die Zusammenarbeit mit gleicher Effektivität und Schnelligkeit fortgesetzt werden kann. Anfragen über den kurzen Dienstweg wird es zumindest so schnell nicht mehr geben. Stattdessen haben die Bearbeitungszeit und der bürokratische Aufwand für offizielle Auskunftsersuche deutlich zugenommen – was angesichts des Hauptarguments für den Brexit („Bürokratiewahnsinn der EU“) schon an Ironie grenzt.

Kein Zugang mehr zum Schengener Informationssystem (SIS)

Am schmerzlichsten für die britischen Behörden ist wohl der Verlust des Schengener Informationssystems (SIS). Die Datenbank speichert Informationen zu unerwünschten, vermissten oder zur Fahndung ausgeschriebenen Personen, Fahrzeugen, Ausweisdokumenten, Waffen und Banknoten. Zum Einsatz kommt das System sowohl bei Grenzkontrollen sowie bei der Ermittlungsarbeit von Polizei und Sicherheitsbehörden. Zugriffsberechtigt sind Europol und Eurojust sowie die jeweiligen Justiz- und Sicherheitsbehörden der Schengen-Länder.

Auch Großbritannien konnte auf die mehr als 90 Millionen Datensätze (Stand 2019) zugreifen. Mit diesem Zugriff ist es seit Januar vorbei. Nun müssen die rund 4,6 Millionen von Großbritannien eingespeisten Fahndungen sogar beseitig werden. Etwas besser steht es um den Informationsaustausch, der auf Basis des Prümer Vertrags zwischen mehreren europäischen Staaten, geregelt ist (darunter befindet sich auch Deutschland). Großbritannien war 2014 aus dem Vertrag ausgestiegen, hatte sich später aber an den Beschlüssen beteiligt. Da der Prümer Vertrag kein EU-Abkommen darstellt, bleibt abzuwarten, wie sich hier die Lage weiterentwickelt.

Kooperation mit Europol unter neuen Voraussetzungen

Als Mitglied der EU konnte Großbritannien eine sogenannte „Europäische Ermittlungsanordnung (EEA)“ an Länder innerhalb der EU senden. Die EEA ist eine rechtlich bindende Aufforderung, innerhalb eines bestimmten Zeitraumes, Beweismittel gegen verdächtige oder beschuldigte Personen zu sammeln und herauszugeben. Damit ist nun ebenfalls Schluss. Nun muss auf beiden Seiten zunächst ein Rechtshilfeersuchen eingereicht werden, das in der Regel über diplomatische Wege erfolgt. Ein Ende der grenzüberschreitenden Zusammenarbeit ist das natürlich nicht. Jedoch wird der bürokratische Aufwand wohl deutlich mehr Zeit in Anspruch nehmen – Zeit, die nicht nur bei Ermittlungen im Cyberraum ausschlaggebend für den Erfolg ist.

Das ist vor allem deshalb ärgerlich, weil Europol gerade in den letzten Monaten bewiesen hat, wie effektiv eine schnelle Zusammenarbeit im Kampf gegen Cyberkriminalität sein kann. Sei es bei der Abschaltung von DarkMarket, der größten Handelsplattform im Darknet, oder bei der Übernahme der Emotet-Infrastruktur, womit ein vorläufiges Ende einer der gefährlichsten Ransomware-Varianten erreicht wurde. Die im Herbst 2020 erfolgreich durchgeführte Operation „DisrupTor” stellt laut Behörden gar „das Ende des goldenen Zeitalters von Marktplätzen“ dar. Die Aktion führte zur Verhaftung von insgesamt 179 Personen und der Beschlagnahmung von 6,5 Millionen US-Dollar und 500kg illegalen Substanzen.

Europol führte diese Operationen nicht im Alleingang durch, sondern mit Unterstützung verschiedener internationalen Behörden – darunter auch Großbritannien. Ein Ende solcher Kooperationen auf internationaler Ebene wird also auch Post-Brexit grundsätzlich möglich sein. So gibt es beispielsweise schon länger Vereinbarungen zwischen der USA und der EU, die den Informationsaustausch und die Ernennung von Verbindungsbeamten regelt. Es ist stark anzunehmen, dass die UK ähnliche Abkommen abschließen wird. Ein generelles Mitbestimmungsrecht bei strategischen und operativen Maßnahmen von Europol haben die Dritt-Staaten jedoch nicht.

Datenschutz und Netzwerksicherheit: DSGVO & NIS

Die Datenschutz-Grundverordnung (DSGVO) soll aktuell von Großbritannien mit minimalen Änderungen in nationales Recht übertragen werden. Die „UK-DSGVO“ (oder UK GDPR) scheint jedoch einige Besonderheiten zu besitzen, die auch für europäische Unternehmen relevant werden können. Dazu gehört beispielsweise die Ernennung eines Datenschutzbeauftragten. Betroffen sind unter anderem Unternehmen, die personenbezogene Daten von britischen Personen im Rahmen von Marketingmaßnahmen und des Kundenmanagements verarbeiten und speichern, und über keine Niederlassung in Großbritannien verfügen. Der Datenschutzbeauftragte muss in Großbritannien ansässig sein, das Unternehmen rechtlich vertreten und mit Datenschutzbeauftragten des Information Commissioner Office (ICO) verhandeln können.

Die NIS-Richtlinie (Netz- und Informationssicherheit) zielt auf die Gewährleistung des Sicherheitsniveaus von Netz- und Informationssystemen in der europäischen Union. Zu den Maßnahmen gehören unter anderem der EU-weite Aufbau nationaler Cyber-Sicherheits-Kapazitäten, die Festlegung von Mindestsicherheitsanforderungen sowie die Meldepflicht für Kritische Infrastrukturen (KRITIS). Der einheitliche Rechtsrahmen soll auch nach dem Brexit fortbestehen, allerdings mit einigen Änderungen. Im Fokus stehen vor allem in Großbritannien tätige Anbieter digitaler Dienste wie Cloud-Services und Online-Marktplätzen (Digital Service Providers, RDSPs), die gegebenenfalls NIS-Vertreter berufen müssen.

Fachkräftemangel auch beim Cyberschutz

Die Cybersecurity-Branche kämpft schon seit Jahren mit einem Engpass bei qualifizierten Sicherheits-, Threat Intelligence- und IT-Experten. Im letzten Jahr ging die Anzahl an vakanten Cybersecurity-Stellen laut ISC2 Studie zwar zum ersten Mal zurück, das Defizit ist mit 3,1 Millionen fehlenden Arbeitskräften jedoch weiterhin enorm. In Europa fehlen insgesamt 168.000 Fachkräfte, wobei Deutschland insgesamt 61.525 Experten für den Sicherheitsbereich sucht. In Großbritannien bleiben derzeit 27.408 offene Stellen im Bereich Cybercrime unbesetzt. In den nächsten Jahren ist kaum mit einer Entspannung zu rechnen: So planen 49% der befragten Unternehmen, innerhalb der nächsten 12 Monate Cybersecurity-Experten einzustellen. In einem Jahr, das von COVID-19 und schrumpfenden IT-Budgets geprägt ist, ist diese Diskrepanz zwischen Angebot und Nachfrage bemerkenswert. Der Brexit könnte auch hier weitreichende Auswirkungen auf den Arbeitsmarkt haben: Während der Talent Pool in Europa durch die Rückkehr von Expats und der höheren Bereitschaft von Briten, auf dem Kontinent zu arbeiten, eher zunimmt, wird sich der Fachkräftemangel in Großbritannien zuspitzen.

Weiterhin verschärfte Sicherheitslage

Das Timing des Brexits ist denkbar schlecht. Nicht nur wegen der andauernden weltweiten Corona-Pandemie und der angespannten Wirtschaftslage, sondern auch vom Standpunkt der Cybersecurity. Im vergangenen Jahr explodierte die Zahl der Ransomware-Angriffe auf Unternehmen regelrecht. Cyberkriminelle konnten enorme Gewinne einfahren, die genügend Kapital bieten, um den digitalen Raum auch in den kommenden Monaten zu terrorisieren. Auch staatlich gesteuerte Cyberkampagnen haben Ende des Jahres mit den erfolgreichen Angriffen auf SolarWinds einen neuen Höhepunkt erreicht. Hier sind die wirtschaftlichen und politischen Folgen noch gar nicht abzuschätzen.

Ein zumindest kleiner Lichtstreifen am Horizont zeichnet sich hingegen bei den Grenzkontrollen zwischen EU und Großbritannien ab. Der höhere bürokratische Aufwand und die strengeren Regeln haben zur Folge, dass auch Papiere und Dokumente aufmerksamer und häufiger überprüft werden. Bereits nach wenigen Wochen konnten Zollbeamte so überdurchschnittlich viele gefälschte Visa, Pässe, Führerscheine, Versicherungsnachweise und Green Cards konfiszieren. Zweifelsohne werden sich auch die künftigen Beziehungen im Laufe der Zeit noch ändern. Dabei ist zu hoffen, dass insbesondere die Zusammenarbeit zwischen Strafverfolgungsbehörden ausgebaut und somit schneller und effektiver wird. Im Kampf gegen Kriminalität und Cybercrime wäre das für alle mehr als wünschenswert.

*Der Autor Stefan Bange ist Country Manager DACH bei Digital Shadows.