Ein pro­bates Mittel gegen Cyber-Angriffe: Offenheit

IT-Sicher­heits­­­vor­­­fälle in Unter­nehmen sind in den Medien omni­präsent: Daten­lecks von Online-Ange­­boten, neueste Schwach­stellen in gän­giger Software oder auch immer mehr Details der Snowden-Ver­­­öf­­f­en­t­­li­chungen finden sich regel­mäßig in der Presse wieder. Die Erkennt­nisse zu diesen Vor­fällen stammen jedoch nicht immer von den betrof­fenen Orga­ni­sa­tionen selbst, sondern werden den Jour­na­listen durch die leid­tra­genden End­kunden, Sicher­heits­for­scher oder auch Whist­leb­lower zuge­spielt. Der Grund für die aus Unter­neh­mens­sicht spär­liche Infor­ma­ti­ons­po­litik liegt in der Befürchtung von Image­schäden – und somit mit­tel­fristig auch Umsatz­ein­bußen.

Aus diesem Ver­halten kann der neu­trale Beob­achter schluss­folgern, dass die Grauzone von nicht­ge­mel­deten (weil nicht nach außen gedrun­genen) Vor­fällen wahr­scheinlich sogar weitaus höher ist, als die mediale Bericht­erstattung dies ver­muten lässt.

Nun muss aller­dings kri­tisch hin­ter­fragt werden, ob ein solches Ver­halten auch ziel­führend ist. In der „klas­si­schen Kri­mi­na­listik“ wird mit der Betrof­fenheit in der Regel anders umge­gangen: Kommt es bei­spiels­weise zu einer Reihe von Woh­nungs­ein­brüchen in ein­zelnen Regionen, gibt die Polizei für diese Gebiete War­nungen heraus. Anwohner können nun ihrer­seits ent­spre­chende Gegen­maß­nahmen ein­leiten – bei­spiels­weise indem sie Türen und Fenster besser absi­chern oder durch auf­merksame Nach­bar­schaft. Auf diese Weise kann das Risiko wei­terer Ein­brüche nicht unbe­dingt eli­mi­niert, aber auf jeden Fall mini­miert werden. Die Opfer von Ein­brüchen wenden sich in der Regel außerdem an die Polizei, damit diese u.a. nach Täter-Hin­­weisen suchen kann.

Über­trägt man dieses Bei­spiel nun auf Cyber-Bedro­hungen, wird schnell klar, dass Schweigen im Rahmen eines Sicher­heits­vor­falls alles andere als Gold wert ist. Wenn niemand die Ermittlung nach den Tätern in Angriff nimmt, können diese in aller Ruhe weitere Ziele atta­ckieren. Dort freuen sie sich mit­unter über Arbeits­er­spar­nisse, weil sie die gleichen Tech­niken und Sicher­heits­lücken aus­nutzen können, die auch schon den ersten Angriff begünstigt haben – das neue Opfer hatte ja keinen Grund, Schutz­maß­nahmen zu ergreifen.

Erschwerend für den Cyber-Raum kommt hinzu, dass Ein­brüche in fremde Systeme nicht immer offen­sichtlich sind. Häufig laufen Cyber-Angriffe ver­schleiert im Hin­ter­grund ab. Während in einem Tresor gela­gertes Geld irgendwann einfach weg sein kann, ist es durchaus denkbar, dass Daten unbe­merkt kopiert werden. Eine Insti­tution kann somit Opfer eines Angriffs sein, ohne diesen erkannt zu haben, weil die Ver­ant­wort­lichen nicht wissen, nach welchen Indizien sie z.B. in Log­daten suchen müssen. Das Ausmaß des Schadens wird in einigen Fällen erst sehr viel später erkennbar.

Auch auf Seiten der Politik wurde die Pro­ble­matik erkannt. Seit geraumer Zeit wird eine Mel­de­pflicht für IT-Sicher­heits­­­vor­­­fälle in Unter­nehmen der Kri­ti­schen Infra­struk­turen dis­ku­tiert. Dies sind die Infra­struk­turen, deren Funk­tio­nieren für das Gemeinwohl in Deutschland uner­lässlich ist. Ziel ist es, Infor­ma­tionen über Cyber-Angriffe und die Methoden der Täter zentral zu sammeln, um einer­seits prä­ventive Maß­nahmen zum Schutz der IT in Deutschland ein­zu­leiten, ande­rer­seits aber auch, Zusam­men­hänge zwi­schen ein­zelnen Vor­fällen erkennen zu können und geeignete Abwehr­stra­tegien zu ent­wi­ckeln und die Ermittlung der Täter zu opti­mieren. Leider waren bisher nur wenige Unter­nehmen bereit, die Cyber­vor­fälle aus ihrem Bereich frei­willig zu melden.

Bereits heute können alle Unter­nehmen und Orga­ni­sa­tionen, die von einem Cyber-Sicher­heits­­­vor­­­fälle betroffen sind, diese auf frei­wil­liger Basis melden. Das Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) startete zusammen mit dem Bran­chen­verband Bitkom 2012 die Allianz für Cyber-Sicherheit. Hierbei handelt es sich um eine Initiative, die die Koope­ration mit deut­schen Insti­tu­tionen vor­an­treiben soll. Einer der Schwer­punkte ist der Infor­ma­ti­ons­aus­tausch zwi­schen allen Betei­ligten. Die Allianz für Cyber-Sicherheit bietet eine Inter­net­seite an (www.allianz-fuer-cybersicherheit.de), auf der Unter­nehmen und andere Orga­ni­sa­tionen die Mög­lichkeit haben, sich sowohl über prä­ventive Maß­nahmen zur Abwehr von Cyber-Angriffen zu erkun­digen, als auch Infor­ma­tionen zu gegen­wär­tigen Cyber-Bedro­hungen ein­zu­holen. Diese Inhalte werden sowohl vom BSI als auch von zahl­reichen Partnern aus der Wirt­schaft kos­tenfrei zur Ver­fügung gestellt. Um Sicher­heits­vor­fälle aus der eigenen Insti­tution wei­ter­zu­geben, steht eine Mel­de­stelle zur Ver­fügung, die bei Bedarf auch anonym genutzt werden kann. Alle Ein­gaben werden grund­sätzlich ver­traulich durch das BSI behandelt. Je nach Art des Sicher­heits­vor­falls werden Grund­in­for­ma­tionen daraus (z.B. über aus­ge­nutzte Sicher­heits­lücken) ggf. zur Warnung an andere Unter­nehmen wei­ter­ge­leitet – dann aber immer anony­mi­siert. Somit ist gewähr­leistet, dass die Betrof­fenen einer­seits nicht in Miss­kredit gebracht werden, ande­rer­seits andere Insti­tu­tionen vor mög­lichen Angriffen gewarnt werden.

Um diesen Infor­ma­ti­ons­aus­tausch zwi­schen den Betei­ligten noch weiter zu inten­si­vieren, ver­an­staltet die Allianz für Cyber-Sicherheit im Laufe jedes Jahres mehrere Tagungen, im Rahmen derer die Betei­ligten die Gele­genheit haben, über gegen­wärtige Her­aus­for­de­rungen zu dis­ku­tieren – bei Bedarf auch in geschlos­senen Infor­ma­ti­ons­kreisen, deren Rege­lungen zur Infor­ma­ti­ons­wei­tergabe von allen Anwe­senden aner­kannt werden. Auf diese Weise kann sicher­ge­stellt werden, dass einer­seits Offenheit, ande­rer­seits aber auch Geheim­haltung gewähr­leistet werden.

Weitere Infor­ma­tionen zu den Ange­boten der Allianz für Cyber-Sicherheit finden Sie unter: www.allianz-fuer-cybersicherheit.de