Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Ein probates Mittel gegen Cyber-Angriffe: Offenheit
IT-Sicherheitsvorfälle in Unternehmen sind in den Medien omnipräsent: Datenlecks von Online-Angeboten, neueste Schwachstellen in gängiger Software oder auch immer mehr Details der Snowden-Veröffentlichungen finden sich regelmäßig in der Presse wieder. Die Erkenntnisse zu diesen Vorfällen stammen jedoch nicht immer von den betroffenen Organisationen selbst, sondern werden den Journalisten durch die leidtragenden Endkunden, Sicherheitsforscher oder auch Whistleblower zugespielt. Der Grund für die aus Unternehmenssicht spärliche Informationspolitik liegt in der Befürchtung von Imageschäden – und somit mittelfristig auch Umsatzeinbußen.
Aus diesem Verhalten kann der neutrale Beobachter schlussfolgern, dass die Grauzone von nichtgemeldeten (weil nicht nach außen gedrungenen) Vorfällen wahrscheinlich sogar weitaus höher ist, als die mediale Berichterstattung dies vermuten lässt.
Nun muss allerdings kritisch hinterfragt werden, ob ein solches Verhalten auch zielführend ist. In der „klassischen Kriminalistik“ wird mit der Betroffenheit in der Regel anders umgegangen: Kommt es beispielsweise zu einer Reihe von Wohnungseinbrüchen in einzelnen Regionen, gibt die Polizei für diese Gebiete Warnungen heraus. Anwohner können nun ihrerseits entsprechende Gegenmaßnahmen einleiten – beispielsweise indem sie Türen und Fenster besser absichern oder durch aufmerksame Nachbarschaft. Auf diese Weise kann das Risiko weiterer Einbrüche nicht unbedingt eliminiert, aber auf jeden Fall minimiert werden. Die Opfer von Einbrüchen wenden sich in der Regel außerdem an die Polizei, damit diese u.a. nach Täter-Hinweisen suchen kann.
Überträgt man dieses Beispiel nun auf Cyber-Bedrohungen, wird schnell klar, dass Schweigen im Rahmen eines Sicherheitsvorfalls alles andere als Gold wert ist. Wenn niemand die Ermittlung nach den Tätern in Angriff nimmt, können diese in aller Ruhe weitere Ziele attackieren. Dort freuen sie sich mitunter über Arbeitsersparnisse, weil sie die gleichen Techniken und Sicherheitslücken ausnutzen können, die auch schon den ersten Angriff begünstigt haben – das neue Opfer hatte ja keinen Grund, Schutzmaßnahmen zu ergreifen.
Erschwerend für den Cyber-Raum kommt hinzu, dass Einbrüche in fremde Systeme nicht immer offensichtlich sind. Häufig laufen Cyber-Angriffe verschleiert im Hintergrund ab. Während in einem Tresor gelagertes Geld irgendwann einfach weg sein kann, ist es durchaus denkbar, dass Daten unbemerkt kopiert werden. Eine Institution kann somit Opfer eines Angriffs sein, ohne diesen erkannt zu haben, weil die Verantwortlichen nicht wissen, nach welchen Indizien sie z.B. in Logdaten suchen müssen. Das Ausmaß des Schadens wird in einigen Fällen erst sehr viel später erkennbar.
Auch auf Seiten der Politik wurde die Problematik erkannt. Seit geraumer Zeit wird eine Meldepflicht für IT-Sicherheitsvorfälle in Unternehmen der Kritischen Infrastrukturen diskutiert. Dies sind die Infrastrukturen, deren Funktionieren für das Gemeinwohl in Deutschland unerlässlich ist. Ziel ist es, Informationen über Cyber-Angriffe und die Methoden der Täter zentral zu sammeln, um einerseits präventive Maßnahmen zum Schutz der IT in Deutschland einzuleiten, andererseits aber auch, Zusammenhänge zwischen einzelnen Vorfällen erkennen zu können und geeignete Abwehrstrategien zu entwickeln und die Ermittlung der Täter zu optimieren. Leider waren bisher nur wenige Unternehmen bereit, die Cybervorfälle aus ihrem Bereich freiwillig zu melden.
Bereits heute können alle Unternehmen und Organisationen, die von einem Cyber-Sicherheitsvorfälle betroffen sind, diese auf freiwilliger Basis melden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) startete zusammen mit dem Branchenverband Bitkom 2012 die Allianz für Cyber-Sicherheit. Hierbei handelt es sich um eine Initiative, die die Kooperation mit deutschen Institutionen vorantreiben soll. Einer der Schwerpunkte ist der Informationsaustausch zwischen allen Beteiligten. Die Allianz für Cyber-Sicherheit bietet eine Internetseite an (www.allianz-fuer-cybersicherheit.de), auf der Unternehmen und andere Organisationen die Möglichkeit haben, sich sowohl über präventive Maßnahmen zur Abwehr von Cyber-Angriffen zu erkundigen, als auch Informationen zu gegenwärtigen Cyber-Bedrohungen einzuholen. Diese Inhalte werden sowohl vom BSI als auch von zahlreichen Partnern aus der Wirtschaft kostenfrei zur Verfügung gestellt. Um Sicherheitsvorfälle aus der eigenen Institution weiterzugeben, steht eine Meldestelle zur Verfügung, die bei Bedarf auch anonym genutzt werden kann. Alle Eingaben werden grundsätzlich vertraulich durch das BSI behandelt. Je nach Art des Sicherheitsvorfalls werden Grundinformationen daraus (z.B. über ausgenutzte Sicherheitslücken) ggf. zur Warnung an andere Unternehmen weitergeleitet – dann aber immer anonymisiert. Somit ist gewährleistet, dass die Betroffenen einerseits nicht in Misskredit gebracht werden, andererseits andere Institutionen vor möglichen Angriffen gewarnt werden.
Um diesen Informationsaustausch zwischen den Beteiligten noch weiter zu intensivieren, veranstaltet die Allianz für Cyber-Sicherheit im Laufe jedes Jahres mehrere Tagungen, im Rahmen derer die Beteiligten die Gelegenheit haben, über gegenwärtige Herausforderungen zu diskutieren – bei Bedarf auch in geschlossenen Informationskreisen, deren Regelungen zur Informationsweitergabe von allen Anwesenden anerkannt werden. Auf diese Weise kann sichergestellt werden, dass einerseits Offenheit, andererseits aber auch Geheimhaltung gewährleistet werden.
Weitere Informationen zu den Angeboten der Allianz für Cyber-Sicherheit finden Sie unter: www.allianz-fuer-cybersicherheit.de

Nach Stationen bei der Deutsche Telekom AG und der Kreativagentur Sapient Nitro arbeitet Till Kleinert seit 2012 für das Bundesamt für Sicherheit in der Informationstechnik. Dort befasst er sich im Rahmen der Allianz für Cyber-Sicherheit mit redaktionellen Aufgaben für verschiedene Online Kanäle und insbesondere die Webseite www.allianz-fuer-cybersicherheit.de.
Die Initiative hat es sich zum Ziel gesetzt, deutsche Institutionen mithilfe verschiedener Angebote beim Schutz vor Cyber-Angriffen zu unterstützen.
Hierfür organisiert die Allianz für Cyber-Sicherheit regelmäßig Informationsveranstaltungen und veröffentlicht Informationen, z.B. in Form von Good-Practice-Guides oder Malware-Signaturen.

Neueste Kommentare