Was bedeutet es, "vertrauenswürdig" zu sein?

Vor einigen Wochen machten Cyberangriffe auf verschiedene Schweizer Sicherheitsorgane, darunter die Berner Kantonalpolizei, Schlagzeilen. Auch Spitäler verzeichnen einen grossen Anstieg an Attacken. Dass namhafte und solide Schweizer Industriefirmen ins Visier der Cyberkriminellen geraten, ist fast schon eine neue Normalität. Professionelle Hacker können in nahezu jedes System eindringen und ihre ohnehin schon beeindruckenden Fähigkeiten werden sich durch künstliche Intelligenz beängstigend schnell erweitern. Es sind oftmals die als vertrauenswürdig eingeschätzten Lieferketten, die kompromittiert und so als Einfallstore genutzt werden. Um diese gut ausgerüsteten Cyberkriminellen abzuwehren, braucht es neue Ansätze: Wir müssen zunächst unsere traditionellen Klischees über Vertrauen überdenken.

"Zero Trust" führt zu mehr Sicherheit

Um Cyberrisiken in einer Lieferkette wirklich managen zu können, sollte zunächst niemandem getraut werden, den man nicht selbst auf Herz und Nieren überprüft hat. Wir müssen die Vorstellung aufgeben, dass man ein "sauberes Netzwerk" hat, wenn man nur Komponenten von angeblich "vertrauenswürdigen" Anbietern einsetzt. Im Konzept des "Zero Trust" gibt es keine per se vertrauenswürdigen Glieder in der Lieferkette. Jeder Partner ist nur so lange vertrauenswürdig, bis er zum Angriffsziel geworden ist. Wir müssen demzufolge davon ausgehen, dass es jeden treffen kann, und entsprechend handeln.

Im Lichte dieser Überlegungen ist der sicherste Weg, das Risiko aller Technologieanbieter nach einheitlichen Standards zu bewerten und sämtliche Risiken auch während des Einsatzes von deren Technologien kontinuierlich zu überwachen. Hierfür wird es entscheidend sein, einen globalen Konsens über die Standards für Telekommunikations- und Mobilfunkbetreiber sowie für die Sicherheit von Netzwerkgeräten zu schaffen. Derzeit fehlt es Betreibern wie Anbietern an klaren, auf Standards basierenden Richtlinien darüber, welche Technologien sie in verschiedenen Ländern einsetzen können und wie diese Technologien betrieben und gewartet werden sollen. Standardisierte Richtlinien können in Beschaffungsanforderungen und Vertragsbestimmungen eingebaut und möglicherweise in regulatorische oder gesetzliche Rahmenbedingungen aufgenommen werden.

Standardisierung sorgt für gleich lange Spiesse

Ebenso wichtig sind Mechanismen zum Verifizieren und Testen von Schlüsselkomponenten der Netzwerktechnologie. Durch die Verifizierung wird sichergestellt, dass die Technologie aller Anbieter klar definierten Anforderungen entspricht, die der Risiko­umgebung angepasst sind. Sicherheitstests bieten eine objektive Grundlage für die Beurteilung von Netzwerken und Systemen als sicher und widerstandsfähig, auch unter schwierigen Bedingungen. Für kritische Infrastrukturen wie das Bankensystem oder das Stromnetz können die Testkriterien angepasst und bei Bedarf verschärft werden. Die führenden Standardisierungsorganisationen der Telekommunikationsbranche haben ein Rahmenwerk namens NESAS (Network Equipment Security Assurance Scheme) entwickelt, das als Grundlage für Standards und Testprogramme mit höherer Sicherheit dienen könnte. Huawei hat die Zertifizierung gemäss NESAS bereits erhalten. Zugleich sehen wir Cybersicherheit um ein Vielfaches ganzheitlicher – als strategische und operative Aufgabe nach innen und als transparente Teilhabe im Risikodialog mit den externen Sicherheits-Stakeholdern auf allen Ebenen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.