Cybersecurity in Frankreich - Kampf gegen die Hydra

Der Angriff auf France Travail, die französische Arbeitsagentur, im März 2024 war wohl eine der spektakulärsten Cyberattacken des noch jungen Jahres 2024. Bis zu 43 Millionen Daten aktueller und ehemaliger Kunden sind betroffen. Nur wenige Wochen vorher hatten Cyberkriminelle 33 Millionen Patientendaten bei einem Angriff auf Verrechnungsstellen für Arztleistungen erbeutet. 

Die Cyberbedrohung in Frankreich steigt massiv. Im Jahr 2023 verzeichnete das ANSSI, die staatliche Informationssicherheitsbehörde, gut 1.100 erfolgreiche Angriffe auf Unternehmen und öffentliche Einrichtungen; eine Steigerung von 34 Prozent gegenüber dem Jahr 2022. 

Nicht nur die Fälle von Cyberkriminalität (vor allem in Form von Datendiebstahl und Erpressung) nehmen zu. Angesichts der nahenden Olympischen Spiele und geopolitischer Spannungen wie dem Ukrainekrieg verzeichnet die staatliche Informationssicherheitsbehörde ANSSI eine Häufung politisch motivierter Angriffe auf französischem Boden. Staatlich gelenkte oder geförderte Spionage- und Destabilisierungsattacken sind auf dem Vormarsch. 

Phishing-, Smishing- oder Quishing-Attacken über Mail, SMS und QR-Code sind in Frankreich allgegenwärtig. Der Einsatz Künstlicher Intelligenz dürfte die Möglichkeiten für böswillige Akteure in Zukunft noch erweitern. Allerdings wird Künstliche Intelligenz auch eine wesentliche Rolle bei der Abwehr von Cyberangriffen spielen

Erpressung und Ransomware wird zum allgemeinen Geschäftsrisiko

Gemeldete Ransomwarefälle stiegen in 2023 gegenüber dem Vorjahr um gut 30 Prozent. Öffentliche Einrichtungen, Gemeinden, Krankenhäuser und Unternehmen jeglicher Größenordnung sind die Opfer. Immer professioneller agierende Kriminelle treffen auf Organisationen, die allzu oft schlecht geschützt sind, so das Fazit der französischen IT-Sicherheitsagentur ANSSI. Aber auch große Unternehmen wie der Telekommunikationsriese Bouyges Telecom können nicht immer alle Angriffe abwehren.

Die Dunkelziffer gerade bei Angriffen auf Unternehmen dürfte höher liegen, so das ANSSI. Nicht jedes privatwirtschaftliche Unternehmen unterliegt einer Anzeigepflicht und bereits aus Reputationsgründen scheuen Unternehmen eine offizielle Meldung, vor allem, wenn sie Lösegeld zahlen. Das ist in Frankreich nicht verboten, wenn auch davon abgeraten wird. Der Schaden durch Cyberkriminalität in Frankreich ist immens und wächst rasant.

Furcht vor Angriffen und striktere Regulierungen schieben den Cyberschutzmarkt an

Angesichts der immer schärfere Bedrohungslage sind die Konjunkturaussichten für Anbieter von IT-Sicherheitstechnologien in Frankreich gut. Der Branchenverband Numeum beziffert den Cyberschutzmarkt im Jahr 2023 auf 3,8 Milliarden Euro und erwartet für das Jahr 2024 eine Steigerung von 10,2 Prozent. Unternehmen, Kommunen, Krankenhäuser und andere öffentliche Einrichtungen intensivieren den Kampf und damit auch die Investitionen in die Sicherheit ihrer IT-Infrastruktur. 

Zukünftige striktere Compliancepflichten dürften Investitionen in die Cyberabwehr weiter anschieben. So wird in Frankreich ab Oktober 2024 die europäische NIS2-Richtlinie zur Steigerung des Gesamtniveaus der Cybersicherheit Anwendung finden. Die Richtlinie verpflichtet auch kleine und mittlere Unternehmen in Sektoren, die als sensibel gelten, festgelegte IT-Sicherheitsstandards einzuhalten. Das bedeutet, dass geschätzt 20.000 Unternehmen erstmals aufgefordert sind, den IT-Sicherheitspflichten nachzukommen und sicherheitstechnisch aufzurüsten. 

Regierung fördert die Entwicklung von innovativen Lösungen

Die IT-Sicherheit ist für die französische Regierung ein grundlegender Baustein für die technologische Souveränität und Sicherheit des Landes. Durch eine gezielte Förderung von Unternehmen, Start-ups und Forschungseinrichtungen treibt sie die Entwicklung von Cybersecurity-Lösungen voran. Eine Milliarde Euro stellt die Regierung im Rahmen der Nationalen Cyberschutzstrategie zur Verfügung und schiebt disruptive und innovative Cyberschutztechnologien im Rahmen des Innovationsprogramms France 2030 an. 

Frankreichs IT-Industrie ist aber bereits heute im Bereich Cyberschutz auch international gut aufgestellt. Mit Unternehmen wie den im Verteidigungs- und Luft- und Raumfahrtsektor aktiven Konzernen Thales und Airbus Systems, dem Telekommunikationsanbieter Orange oder dem Beratungs- und Dienstleistungsunternehmen Capgemini verfügt das Land über weltweit führende Cyberschutz-Unternehmen. Zudem treiben zum Teil staatlich geförderte Start-ups die Entwicklung von Zukunftslösungen voran. Dies ist auch dringend erforderlich, denn die Herausforderungen, die auf die Branche zukommen, sind groß. 

Künstliche Intelligenz und NextGen-Daten stellen neue Sicherheitsanforderungen

So arbeiten IT-Sicherheitsunternehmen daran, Künstliche Intelligenz in ihre Abwehrsysteme zu integrieren. Aber auch die Anwendung und Funktionalität von Künstlicher Intelligenz muss gegen böswillige Angriffe gesichert werden. IT-Entwickler sind zudem auf der Suche nach Lösungen, die gerade kleine und mittlere Unternehmen in die Lage versetzen, Unternehmen, Produktion und Daten zu schützen. So fehlt es hier noch zu häufig sowohl an Personal als auch an Know-how, um komplexe und wartungsintensive IT-Sicherheitssysteme fehlerfrei zu steuern. 

Der Schutz zukünftiger Technologien und NextGen-Daten steht ebenfalls auf dem Entwicklungsprogramm führender Sicherheitsunternehmen und der Regierung. NextGen-Daten sind durch ein quantensicheres Verschlüsselungsverfahren geschützte Daten. Im März 2024 hat das Verteidigungsunternehmen Thales das RESQUE-Projekt vorgestellt. Unter der Leitung von Thales wird ein Konsortium aus Unternehmen, Start-ups und Forschungseinrichtungen bis 2027 ein quantenresistentes Datenverschlüsselungssystem entwickeln. Die französische Regierung fördert das Projekt im Rahmen seines Innovationsplans France 2030. Auch die Europäische Union ist über das Programm Next Generation EU an der Projektfinanzierung beteiligt.