Zur Suche
Cybersicherheit

EU-Aktionsplan zu Cybersicherheit und KI: Versicherer sehen richtigen Ansatz, mahnen aber vor Doppelregulierung

Der GDV bewertet den EU Action Plan on Cybersecurity and Artificial Intelligence als guten Ansatz für Europas digitale Souveränität. Wichtig ist, dass neue Cyberregulierungen bestehende Vorgaben ergänzen statt neue Regelwerke zu schaffen.

Lesedauer
© Tai Bui - unsplash

Die EU-Kommission hat den EU Action Plan on Cybersecurity and Artificial Intelligence vorgestellt. Hintergrund ist eine Entwicklung, die längst nicht mehr nur IT-Abteilungen beschäftigt. Künstliche Intelligenz verändert, wie Cyberangriffe ablaufen und stellt damit auch etablierte Sicherheitsstrategien auf die Probe. Mit dem Aktionsplan will die Kommission Mitgliedstaaten, Wirtschaft und EU-Einrichtungen enger zusammenbringen und einen strukturierten Zugang zu leistungsfähigen KI-Modellen für die Cybersicherheit schaffen. Dazu soll unter anderem die EU-Cybersicherheitsagentur ENISA gemeinsam mit dem Joint Research Centre der Kommission eine sichere Plattform aufbauen, auf der KI in Simulationen für Cybersicherheitszwecke getestet werden kann.

Aus Sicht der Versicherungswirtschaft ist das ein guter Ansatz. Versicherer gehören zu einer hoch digitalisierten Dienstleistungsbranche und verarbeiten besonders sensible personenbezogene und finanzielle Daten. Ihr Schutz hängt auch davon ab, wie gut Staat, Wirtschaft und Sicherheitsbehörden bei neuen Technologien zusammenarbeiten. 

KI verändert die Bedrohungslage

Was bedeutet das konkret? Cyberkriminelle nutzen KI längst nicht mehr nur, um Phishing-Mails überzeugender zu formulieren. Leistungsfähige KI-Modelle erhöhen Tempo und Skalierbarkeit von Angriffen deutlich. Sie helfen dabei, Schwachstellen in Systemen aufzuspüren, Angriffsziele auszukundschaften und passende Exploits, also Schadprogramme zur Ausnutzung von Sicherheitslücken, zu entwickeln. Im Ergebnis stehen nun fortgeschrittene Angriffsmethoden der breiten Masse zur Verfügung. Auch Täter mit wenig technischem Vorwissen können mithilfe von KI komplexe Angriffe durchführen, für die früher spezialisiertes Fachwissen nötig war.

Diese Entwicklung ist jedoch nur eine Seite der Medaille. Mittel- bis langfristig kann Künstliche Intelligenz die IT-Sicherheit auch stärken. Sie kann etwa dabei helfen, Software von Anfang an sicherer zu entwickeln oder Schwachstellen schneller zu erkennen, bevor Angreifer sie ausnutzen. Es geht weniger um einen abrupten Bruch als vielmehr um eine anspruchsvolle Übergangsphase, in der sich Verteidiger und Angreifer ein Wettrennen um die neuen Möglichkeiten liefern.

Regelkongruenz statt Parallelpflichten

Bei der Umsetzung des Aktionsplans kommt es aus Sicht der Versicherer entscheidend darauf an, wie die geplante engere Zusammenarbeit zwischen Mitgliedstaaten, Wirtschaft und EU-Einrichtungen konkret ausgestaltet wird. Die Versicherungswirtschaft ist durch die Digital Operational Resilience Act (DORA) bereits intensiv reguliert und hat in den vergangenen Jahren erhebliche Ressourcen in den Aufbau entsprechender Sicherheitsstrukturen investiert. Sollten aus dem Aktionsplan im weiteren Verlauf konkrete neue Vorgaben hervorgehen, sollten diese an diesen bestehenden Rahmen anknüpfen, statt zusätzliche, davon losgelöste Pflichten zu schaffen. Genauso wichtig sind aus Sicht der Branche klare Zuständigkeiten: Wer ist im Ernstfall verantwortlich, wenn ein KI-gestützter Angriff mehrere Länder oder Branchen gleichzeitig betrifft? Hier braucht es eine enge Abstimmung zwischen staatlichen Stellen, Sicherheitsbehörden und Technologieanbietern, damit im Krisenfall schnell und koordiniert gehandelt werden kann.

Digitale Souveränität und Zugang zu KI-Tools

Der zweite zentrale Baustein des Aktionsplans ist der strukturierte Zugang zu leistungsfähigen KI-Modellen für Sicherheitszwecke. Da solche Modelle derzeit überwiegend von außereuropäischen Anbietern stammen, muss dieser Zugang in der Praxis zunächst gesichert bleiben, damit europäische Unternehmen und Institutionen KI-gestützte Angriffe wirksam abwehren können. Unabhängig vom aktuellen Aktionsplan bleibt für die Versicherungswirtschaft aber auch der langfristige Aufbau europäischer Souveränität wichtig. Investitionen in eigene KI- und Softwaretechnologien sollen Europa perspektivisch unabhängiger von einzelnen außereuropäischen Anbietern machen. Beide Ziele schließen sich nicht aus, sondern greifen zeitlich ineinander: kurzfristig gesicherter Zugang zu bestehenden Tools, langfristig mehr eigene Kapazitäten.

Nach oben