Drei Bausteine einer erfolgreichen nationalen IT-Sicherheitsstrategie
Spektakuläre Fälle von Datendiebstahl haben in der Öffentlichkeit eine gesteigerte Sensibilität für IT-Sicherheit erzeugt. Gleichzeitig befürchten Experten, dass die Auswirkungen solcher Angriffe zukünftig nicht auf die IT beschränkt bleiben, sondern Strom- und Wasserversorgung und andere wichtige Teile der Infrastruktur betreffen könnten. Das am 16. Juni eröffnete deutsche Cyber-Abwehrzentrum in Bonn ist daher nur ein Schritt auf dem Weg zur Entwicklung einer nationalen IT-Sicherheitsstrategie. Noa Bar-Yosef, Sicherheitsexpertin beim US-Security-Spezialisten Imperva, beleuchtet drei Bausteine für die erfolgreiche Umsetzung einer solchen Strategie.
Schritt 1: Die richtigen Prioritäten
Bei der Entwicklung einer nationalen Cyber-Sicherheitsstrategie kommt es vor allem auf drei Bereiche an: den Schutz der Regierungssysteme, den Schutz der Landesinfrastruktur und die Etablierung von Systemen, Kontrollen und Prozessen, die es Privatunternehmen erlauben, sichere Geschäfte im Internet zu betreiben. Um dies zu erreichen, müssen klassische Mittel der IT-Sicherheit auf nationaler Ebene angewandt werden:
1. Zentralisierung der Internet-Kommunikation von Regierungsorganisationen unter einer Sicherheitsbehörde. Diese Behörde hat im Wesentlichen zwei Aufgaben: das Bereitstellen von verlässlichen Monitoring- und Angriffserkennungs-Kapazitäten sowie die Definition von bindenden Sicherheitsstandards für Regierungsorganisationen.
2. Schutz der nationalen Kommunikations-Backbones vor Denial-of-Service-Angriffen. Dazu müssen ausreichende Redundanz-Kapazitäten – sowohl intern als auch für länderübergreifende Kommunikation – bereitgestellt werden. Außerdem müssen Angriffe unterschiedlichster Art schnell genug erkannt werden – auch solche, bei denen physische Sicherheitsmaßnahmen unterwandert werden, um IT-Angriffe zu starten.
3. Etablierung eines umfassenden Risikomanagements. Risikomanagement ist ein essentieller Bestandteil bei der Entwicklung einer nationalen Cyber-Sicherheitsstrategie. Beginnend bei den Infrastrukturen, wie etwa Verkehrsleitsysteme, Bahnsysteme und Energienetzwerke, sollten alle nationalen Systeme auf potenzielle Bedrohungen untersucht werden. Als zweiter Schritt sollten dann die bestehenden Sicherheitssysteme dieser Bereiche geprüft werden, beispielsweise durch Penetrationstests oder detaillierte Schwachstellensuche. Zukünftige Investitionen in Sicherheitstechnologien sollten anhand der Risikobewertung ausgerichtet werden und entweder die Bereiche mit dem höchsten Gefahrenlevel oder dem schlechtesten Schutz verbessern.
4. Einrichten eines Cyber-Geheimdienstes zur Überwachung von Hacker-Aktivitäten. Genau wie die Sicherheitsbehörden in der realen Welt benötigt auch eine Internetsicherheitsbehörde umfassende Informationen über die Aktivitäten im Untergrund. Durch die Analyse von Hacker-Tools, Angriffsvektoren, möglichen Zielen und anderen Faktoren lassen sich wertvolle Erkenntnisse für die Sicherheit der nationalen Infrastruktur ableiten. Diese Informationen helfen gleichzeitig dabei, die Abwehrsysteme entsprechend zu planen.
Schritt 2: Anpassen der Gesetzeslage
Die Gesetzgebung für digitale Straftaten muss im Zuge der Implementierung einer nationalen Cyber-Sicherheitsstrategie an die Gesetze für physische Verbrechen angepasst werden. In den USA beispielsweise wird aktuell darüber diskutiert, spezielle Gesetze gegen organisierte Kriminalität auch gegen Gruppen von Cyberkriminellen einzusetzen. Solche Maßnahmen sind notwendig für einen effektiven Kampf gegen den digitalen Untergrund und professionelle Hacker. Aktuelle Gesetze gegen organisiertes Verbrechen berücksichtigen meist deshalb das Internet nicht, weil seine Existenz zum Zeitpunkt der Gesetzgebung nicht gegeben war. Da die Gesetzgeber auch heute nicht in die Zukunft blicken können, müssen sie sich entsprechend vorbereiten.
Schritt 3: Sicherheitsvorgaben für Unternehmen
Jedes Land sollte darüber hinaus sicherstellen, dass die Daten seiner Bürger sicher gespeichert sind – ganz gleich, ob es sich um Kontodaten, Patientenakten oder andere persönliche Informationen, so genannte Personal Identifying Information (PII), handelt. Dies beinhaltet einerseits eine Definition, welche Informationen als sensibel betrachtet werden sollen, andererseits aber auch konkrete Vorgaben, wie die Sicherheit dieser Daten zu gewährleisten ist. Die Gesetze und Kontrollprozesse sollten dabei aber nicht nur persönliche Informationen, sondern auch geistiges Eigentum einbeziehen. Diebstahl von geistigem Eigentum wird oft von in Wettbewerb stehenden Unternehmen oder über Landesgrenzen hinweg ausgeführt. Da die Opfer dieser Art von Kriminalität auf das Eingreifen des Staates zur Verfolgung angewiesen sind, sollten sie zu Mindeststandards für die IT-Sicherheit verpflichtet werden. Dabei sollten diese Vorgaben möglichst konkret und praxisnah sein. Ein gutes Beispiel sind die Sicherheitsstandards der Kreditkartenindustrie (Payment Card Industry Data Security Standard – PCI DSS): Studien belegen, dass Unternehmen, die sich an diese Standards halten, deutlich seltener unter Datenverlust leiden. In den USA ist PCI DSS in einigen Staaten praktisch der De-Facto-Standard für alle IT-Sicherheits- und Datenschutzinitiativen. Im Rahmen einer nationalen Sicherheitsstrategie sollten vergleichbare Vorgaben auf Bundesebene gemacht werden.
Schritt 1: Die richtigen Prioritäten
Bei der Entwicklung einer nationalen Cyber-Sicherheitsstrategie kommt es vor allem auf drei Bereiche an: den Schutz der Regierungssysteme, den Schutz der Landesinfrastruktur und die Etablierung von Systemen, Kontrollen und Prozessen, die es Privatunternehmen erlauben, sichere Geschäfte im Internet zu betreiben. Um dies zu erreichen, müssen klassische Mittel der IT-Sicherheit auf nationaler Ebene angewandt werden:
1. Zentralisierung der Internet-Kommunikation von Regierungsorganisationen unter einer Sicherheitsbehörde. Diese Behörde hat im Wesentlichen zwei Aufgaben: das Bereitstellen von verlässlichen Monitoring- und Angriffserkennungs-Kapazitäten sowie die Definition von bindenden Sicherheitsstandards für Regierungsorganisationen.
2. Schutz der nationalen Kommunikations-Backbones vor Denial-of-Service-Angriffen. Dazu müssen ausreichende Redundanz-Kapazitäten – sowohl intern als auch für länderübergreifende Kommunikation – bereitgestellt werden. Außerdem müssen Angriffe unterschiedlichster Art schnell genug erkannt werden – auch solche, bei denen physische Sicherheitsmaßnahmen unterwandert werden, um IT-Angriffe zu starten.
3. Etablierung eines umfassenden Risikomanagements. Risikomanagement ist ein essentieller Bestandteil bei der Entwicklung einer nationalen Cyber-Sicherheitsstrategie. Beginnend bei den Infrastrukturen, wie etwa Verkehrsleitsysteme, Bahnsysteme und Energienetzwerke, sollten alle nationalen Systeme auf potenzielle Bedrohungen untersucht werden. Als zweiter Schritt sollten dann die bestehenden Sicherheitssysteme dieser Bereiche geprüft werden, beispielsweise durch Penetrationstests oder detaillierte Schwachstellensuche. Zukünftige Investitionen in Sicherheitstechnologien sollten anhand der Risikobewertung ausgerichtet werden und entweder die Bereiche mit dem höchsten Gefahrenlevel oder dem schlechtesten Schutz verbessern.
4. Einrichten eines Cyber-Geheimdienstes zur Überwachung von Hacker-Aktivitäten. Genau wie die Sicherheitsbehörden in der realen Welt benötigt auch eine Internetsicherheitsbehörde umfassende Informationen über die Aktivitäten im Untergrund. Durch die Analyse von Hacker-Tools, Angriffsvektoren, möglichen Zielen und anderen Faktoren lassen sich wertvolle Erkenntnisse für die Sicherheit der nationalen Infrastruktur ableiten. Diese Informationen helfen gleichzeitig dabei, die Abwehrsysteme entsprechend zu planen.
Schritt 2: Anpassen der Gesetzeslage
Die Gesetzgebung für digitale Straftaten muss im Zuge der Implementierung einer nationalen Cyber-Sicherheitsstrategie an die Gesetze für physische Verbrechen angepasst werden. In den USA beispielsweise wird aktuell darüber diskutiert, spezielle Gesetze gegen organisierte Kriminalität auch gegen Gruppen von Cyberkriminellen einzusetzen. Solche Maßnahmen sind notwendig für einen effektiven Kampf gegen den digitalen Untergrund und professionelle Hacker. Aktuelle Gesetze gegen organisiertes Verbrechen berücksichtigen meist deshalb das Internet nicht, weil seine Existenz zum Zeitpunkt der Gesetzgebung nicht gegeben war. Da die Gesetzgeber auch heute nicht in die Zukunft blicken können, müssen sie sich entsprechend vorbereiten.
Schritt 3: Sicherheitsvorgaben für Unternehmen
Jedes Land sollte darüber hinaus sicherstellen, dass die Daten seiner Bürger sicher gespeichert sind – ganz gleich, ob es sich um Kontodaten, Patientenakten oder andere persönliche Informationen, so genannte Personal Identifying Information (PII), handelt. Dies beinhaltet einerseits eine Definition, welche Informationen als sensibel betrachtet werden sollen, andererseits aber auch konkrete Vorgaben, wie die Sicherheit dieser Daten zu gewährleisten ist. Die Gesetze und Kontrollprozesse sollten dabei aber nicht nur persönliche Informationen, sondern auch geistiges Eigentum einbeziehen. Diebstahl von geistigem Eigentum wird oft von in Wettbewerb stehenden Unternehmen oder über Landesgrenzen hinweg ausgeführt. Da die Opfer dieser Art von Kriminalität auf das Eingreifen des Staates zur Verfolgung angewiesen sind, sollten sie zu Mindeststandards für die IT-Sicherheit verpflichtet werden. Dabei sollten diese Vorgaben möglichst konkret und praxisnah sein. Ein gutes Beispiel sind die Sicherheitsstandards der Kreditkartenindustrie (Payment Card Industry Data Security Standard – PCI DSS): Studien belegen, dass Unternehmen, die sich an diese Standards halten, deutlich seltener unter Datenverlust leiden. In den USA ist PCI DSS in einigen Staaten praktisch der De-Facto-Standard für alle IT-Sicherheits- und Datenschutzinitiativen. Im Rahmen einer nationalen Sicherheitsstrategie sollten vergleichbare Vorgaben auf Bundesebene gemacht werden.