"Cybersicherheit

.Hans und Mark laufen durch den Wald. Hans ist Mark leicht voraus. Plötzlich ruft Mark: „Wir werden von einem Bären verfolgt! Wir müssen schneller laufen, um ihm zu entkommen!“ „Nein“, antwortet Hans, „ich bin derjenige, der jetzt schneller laufen muss.“[1]

Was hat diese Geschichte mit Cybersecurity zu tun? Nun, Hans hat realisiert, dass er attackiert wurde, und hat einen Plan entwickelt, um der Gefahr zu begegnen. Mark hingegen bleibt bei diesem Plan buchstäblich „auf der Strecke“.

Über viele Jahre war das die Strategie, die Unternehmen und Organisationen im Kampf gegen die Cyberkriminalität verfolgt haben. Mittels schmerzhafter und aufreibender Autopsie lernte man über die Angriffe und Angreifer hinzu, um für künftige Sicherheitsvorfälle besser gewappnet zu sein. Und behielt das Wissen für sich, teils aus Angst davor, von der Öffentlichkeit an den Pranger gestellt zu werden, Kunden zu verlieren oder Reputationseinbußen hinnehmen zu müssen. Teils auch aus falsch verstandenem Antrieb, das Wissen um die Angriffe und ihre Bewältigung für sich zu monopolisieren und daraus einen Wettbewerbsvorteil gegenüber der Konkurrenz zu generieren.

Heute sind die Cyberattacken global, massiv und real geworden; sie entwickelten sich über Vandalismus oder Hacktivismus hinaus bis hin zu institutionalisierter Sabotage, Spionage und Cyberkriminalität. So lauten die Fakten.

.Tägliche Attacken und Versuche solcher gehören zum Tagesgeschäft nicht weniger als die Mittagspausen, wovon Medienberichte beinahe tagtäglich zeugen. In Deutschland scheint den Unternehmen die Öffentlichkeitsscheu durch die aktuelle EU Cybersicherheitsstrategie[2] sowie das IT-Sicherheitsgesetz[3] endgültig genommen worden zu sein, indem sie Meldepflichten – für manche Unternehmen anonymisiert, für andere nicht – vorschreiben. Das Wissen um die Mitigation einer Attacke ist kein Wettbewerbsvorteil mehr. Ganz im Gegenteil: Es zahlt sich aus, das Wissen mit anderen zu teilen und vom so entstandenen kollektiven Wissen zu profitieren. Zahlreiche Unternehmen und Organisationen aus Forschung und Wissenschaft haben dies inzwischen erkannt und arbeiten gemeinsam an Projekten, die zur Verbesserung des Niveaus der Sicherheit und des Datenschutzes beitragen.

Initiativen, die diesen Gedanken in die Tat umsetzen, sind zahlreich. Der Trend, in den USA bereits seit Jahren verbreitet, schwappt langsam nach Europa über. Auch in Deutschland, so scheint es, hat man die sprichwörtliche „German Angst“ überwunden. Cybersecurity ist für Politik und Wirtschaft zum strategischen Thema geworden, es wird intensiv nach neuen, Erfolg versprechenden Ansätzen und Modellen gesucht. Kollaboration ist einer davon.

In dem vor wenigen Wochen vom Institut für Demoskopie Allensbach veröffentlichten 4. Cyber Security Report wurden deutscheTopentscheider aus Wirtschaft und Politik zu ausgewählten Cybersecurity-Themen befragt. In diesem Jahr lieferte die Studie einige neue und überraschende Ergebnisse: Die überwiegende Mehrheit der Führungskräfte sowie der Entscheider in der Politik spricht sich für einen stärkeren Austausch aus, um IT-Angriffen vorzubeugen.

Nicht überraschend ist – im Hinblick auf die aktuelle politische Lage und die aktuellen Gesetzesvorhaben, rückblickend auf das Snowden-Jahr –, dass dieser Wille in der Politik noch stärker als in der Wirtschaft artikuliert wird. Ihre Anzahl hat sich binnen eines Jahres mehr als verdoppelt, inzwischen sprechen sich 63 % der Bundestagsabgeordneten für eine stärkere Vernetzung gegen Cyberangriffe aus. Der Wunsch nach einem stärkeren Austausch zu den Cybersecurity-Themen lässt sich nicht zuletzt mit dem großen volkswirtschaftlichen Schaden erklären, der aus Sicht der Entscheider aus Wirtschaft und Politik der deutschen Wirtschaft jedes Jahr durch IT-Angriffe entsteht.

Auch wenn die Topentscheider in der Privatwirtschaft einen starken Wunsch nach unternehmensübergreifendem Austausch zur Cybersecurity haben, war bisher nur eine kleine Minderheit deutscher Unternehmen an Initiativen zur Cybersecurity angebunden, ergab die Studie.

Doch gibt es inzwischen einige, prominente Ausnahmen.

Ein Beispiel für eine neuartige, kooperative Initiative ist das vom Berufsverband für EDV-Revisoren, ISACA, initiierte Projekt zur „data driven security“.

.Unternehmen und Wissenschaft arbeiten in diesem Projekt zusammen an der Erstellung eines Privacy and Security Maturity Model[4], eines Reifegradmodells also, mit dem die Performance, die Qualität und das Niveau der Sicherheit und des Datenschutzes in Organisationen und Unternehmen bewertet werden kann. Ein Set an dynamischen Indikatoren und Metriken für Sicherheit und Datenschutz soll dabei helfen, den Status quo der Sicherheit in Unternehmen zu beurteilen. Die Ergebnisse sollen nicht nur die Entscheidungsfindung und die Steuerung der Innovationen und Investitionen in die Informationssicherheit ermöglichen, sondern auch relevante Indikatoren für die Meldesysteme liefern.

ISACA steht mit dieser Initiative, die durch die einmalige Verbindung von Sicherheit und Datenschutz ihren Fokus klar in Deutschland hat, keinesfalls allein. Professor Michael Goldsmith von University of Oxford wirbt aktuell[5] für das – an das internationale Publikum gerichtete – Cybersecurity Capacity Capability Maturity Model, das Reifemodell also, das es den Organisationen ermöglichen soll, in einem Self-Assessment-Verfahren den Status quo der Cybersecurity zu bewerten und zu verbessern. Das sich gerade in der Pilotphase befindliche Modell soll der Wissenschaft helfen, sich ein besseres Bild von der Leistungsfähigkeit der internationalen Cybersecurity zu verschaffen, um besser auf die Bedürfnisse reagieren zu können.

Auf europäischer Ebene arbeiten Unternehmen, die sich in einer Electronic Communications Reference Group unter der Ägide von ENISA (European Network and Information Security Agency)[6] verbunden haben, an einem branchenübergreifenden Meldesystem für kritische Infrastrukturen.[7] Aktuell bestehen solche Meldesysteme auf nationaler Ebene, oft jedoch getrennt nach unterschiedlichen Branchen. Die Notwendigkeit eines branchenübergreifenden Meldesystems für die optimale Bewältigung der Notfälle oder Krisen verdeutlichte eines der Mitglieder der Gruppe mit dem Beispiel des Flughafens in Rom. Als es dort eines Sommers zum Stromausfall kam, war dies zuerst nur ein Krisenfall für die Energiewirtschaft. Als es jedoch aufgrund der Hitze dort bald zum Wassermangel kam – die Wasserversorgung funktionierte nicht und der Vorrat an Wasserflaschen war schnell aufgebraucht –, wurde ein Energieausfall zum Problem für die Lebensmittelindustrie und Versorgung sowie Logistik. Man kam so auf die Idee, dass in einem realen Krisenfall autarke Meldesysteme für kritische Infrastrukturen ineffektiv sind.

Auch die Privatwirtschaft in Deutschland erkannte den Mehrwert der Kooperation. Kürzlich haben sich sieben große deutsche Unternehmen auf Initiative der Deutschen Bank, Allianz und der Deutschen Telekom zu einem Verein, dem Cyber Security Sharing and Analytics (CSSA e. V.), zusammengeschlossen, der den deutschen Unternehmen eine Kollaborationsplattform bieten soll. Hier können sich Unternehmen anonym über Cyberangriffe austauschen und gemeinsam „Cyber Weapons“ entwickeln, um den aktuellen Herausforderungen der Cybersecurity schneller und wirksamer zu begegnen.

.Dies sind nur wenige Beispiele von Initiativen, die auf Kollaboration und kollektives Wissen hinsichtlich der Cybersecurity setzen. Die Tendenz ist allerdings steigend. Profitorientierte und gemeinnützige Organisation arbeiten oft Hand in Hand mit dem gemeinsamen Ziel zusammen, den Schutz der Daten vor Spionage, Diebstahl, Missbrauch oder Zerstörung etc. zu verbessern. Auf diese Weise sollen Systeme und Vermögenswerte der Organisationen, Unternehmen, ihrer Kunden, Bürger sowie öffentlicher Infrastrukturen nachhaltiger vor Bedrohungen geschützt werden.

In Summa Technologiae schreibt Stanislaw Lem, dass niemand in der modernen Industriegesellschaft den Aufbau sämtlicher Apparate, über die die Zivilisation verfügt, kennt (vor der Industriellen Revolution war jedem Menschen die Struktur seiner Werkzeuge, wie Pfeil, Hammer oder Bogen, bekannt). Derjenige, der heutzutage über diese Kenntnisse verfügt, ist die Gesellschaft. „Das in Bezug auf die Individuen partikulare Wissen ist vollständig, wenn man sämtliche Mitglieder einer gegebenen Gesellschaft berücksichtigt.“[8]

Wissen durch Teilen. Eine Strategie, die jetzt auch in Bezug auf die Informationstechnologie, ihre Bedrohungen und Cybersecurity aufgehen könnte.

Aleksandra Sowa
mit Natalia Marszałek

[1] Vgl. Ross, S. J. 2014. „Bear Acceptance“. In: ISACA Journal Vol. 4/2014, S. 4-5.
[2] Vgl. dazu auch Digital Agenda for Europe – Cybersecurity sowie Proposal for a Directive on Network and Information Security der Europäischen Kommission.
[3] Vollständiger Name: Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz).
[4]http://www.isaca.de/index.php/fg-start/datenschutz (letzter Zugriff: 24.11.2014).
[5] 4. Handelsblatt Jahrestagung Cybersecurity Strategie 2014, 17.-19.11.2014, Berlin.
[6]http://www.enisa.europa.eu(letzter Zugriff: 24.11.2014).
[7] ENISA. 2013. „1st Meeting of ENISA’s electronic communications reference group in Rome“, http://www.enisa.europa.eu/media/news-items/1st-meeting-of-enisa2019s-electronic-communications-reference-group-in-rome (letzter Zugriff: 21.11.2013).
[8] Lem, S. 1981. Summa Technologiae. Suhrkamp: Frankfurt, S. 164.