Cyber-Sicherheit für Staaten Wie plant man eine nationale IT-Sicherheitsstrategie

Autor / Redakteur: Noa Bar-Yosef, Imperva / Peter Schmitz

Experten befürchten zunehmend, dass sich Hacker-Angriffe künftig nicht mehr nur auf IT-Systeme beschränken könnten, sondern Strom- und Wasserversorgung und andere wichtige Teile der staatlichen Infrastruktur treffen könnten. Das am 16. Juni eröffnete nationale Cyber-Abwehrzentrum (NCAZ) in Bonn ist deshalb ein wichtiger Schritt auf dem Weg zur Entwicklung einer nationalen IT-Sicherheitsstrategie. Noa Bar-Yosef, Sicherheitsexpertin beim US-Security-Spezialisten Imperva, betrachtet die für die erfolgreiche Umsetzung einer solchen Strategie nötigen Bausteine.

Firmen zum Thema

Die IT-Systeme kritischer Infrastrukturen stehen immer öfter im Fokus von Cyber-Angriffen. Regierungen müssen genau planen um im Notfall schnell reagieren und Angriffe abwehren zu können.
Die IT-Systeme kritischer Infrastrukturen stehen immer öfter im Fokus von Cyber-Angriffen. Regierungen müssen genau planen um im Notfall schnell reagieren und Angriffe abwehren zu können.
( Archiv: Vogel Business Media )

Angriffe wie der Stuxnet-Wurm oder der Hackerangriff auf den französischen Atomkonzern EDF (Electricité de France) haben deutlich gemacht, dass auch die IT-Systeme kritischer Infrastrukturen im Fokus von Cyber-Angriffen stehen können. Eine nationale IT-Sicherheitsstrategie muss also vor allem den Schutz kritischer Infrastrukturen zum Ziel haben.

Kritische Infrastrukturen sind für einen Staat die Organisationen und Einrichtungen, die eine besonders wichtige Bedeutung für das Gemeinwesen haben und bei deren Ausfall oder Beeinträchtigung nachhaltige Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder sonstige extreme Folgen eintreten würden. Zu den kritischen Infrastrukturen gehören Transport und Verkehr, Energieversorgung, Wasserversorgung, Notfall- und Rettungsdienste, Behörden, Verwaltung und Justiz und weitere wichtige Einrichtungen und Strukturen.

Die richtigen Prioritäten setzen

Bei der Entwicklung einer nationalen Cyber-Sicherheitsstrategie kommt es vor allem auf drei Bereiche an: den Schutz der Regierungssysteme, den Schutz der Landesinfrastruktur und die Etablierung von Systemen, Kontrollen und Prozessen zur Absicherung der Datenkommunikationsstrukturen. Dazu müssen klassische Mittel der IT-Sicherheit auf nationaler Ebene angewandt werden:

1. Zentralisierung der gesamten ausgehenden (Internet-)Kommunikation von Regierungsorganisationen unter einer Sicherheitsbehörde. Diese Behörde hat im Wesentlichen zwei Aufgaben: das Bereitstellen von verlässlichen Monitoring- und Angriffserkennungs-Kapazitäten sowie die Definition von bindenden Sicherheitsstandards für Regierungsorganisationen.

2. Schutz der nationalen Kommunikations-Backbones vor Denial-of-Service-Angriffen (DDoS). Dazu müssen ausreichende Redundanz-Kapazitäten, sowohl intern als auch für länderübergreifende Kommunikation, bereitgestellt werden. Außerdem müssen Angriffe unterschiedlichster Art schnell genug erkannt werden. Dies gilt auch für solche Angriffe, bei denen die Kommunikationslinien physisch angegriffen werden.

Inhalt

  • Seite 1: Cyber-Sicherheit für Staaten
  • Seite 2: Den Hackern auf die Finger schauen
  • Seite 3: Anpassen von Gesetzen und Vorgaben

3. Etablierung eines umfassenden Risikomanagements. Risikomanagement ist ein essentieller Bestandteil bei der Entwicklung einer nationalen Cyber-Sicherheitsstrategie. Beginnend bei den Infrastrukturen, wie etwa Verkehrsleitsysteme, Bahnsysteme und Energienetzwerke, sollten alle nationalen Systeme auf potenzielle Bedrohungen untersucht werden.

Danach müssen dann die bestehenden Sicherheitssysteme dieser Bereiche durch Sicherheits- und Penetrationstests oder detaillierte Schwachstellensuche geprüft werden. Zukünftige Investitionen in Sicherheitstechnologien müssen dann anhand der Risikobewertung dieser Infrastrukturen ausgerichtet werden und entweder die Bereiche mit dem höchsten Gefahrenlevel oder dem schlechtesten Schutz verbessern.

4. Überwachung von Hacker-Aktivitäten. Durch die Analyse von Hacker-Tools, Angriffsvektoren, möglichen Zielen und anderen Faktoren können Sicherheitsbehörden sich wertvolle Erkenntnisse für die Sicherheit der nationalen Infrastruktur und mögliche Angriffsziele ableiten. Diese Informationen helfen gleichzeitig dabei, die Abwehrsysteme entsprechend zu planen.

5. Prozesse und Werkzeuge zur Analyse von Informationen einrichten. Daten über Angriffe und Methoden aus der Privatwirtschaft, speziell von den Netzwerkprovidern, können die behördlichen Analysen von Hacker-Aktivitäten optimal ergänzen. Um diese Zusammenarbeit zu ermöglichen braucht es Prozesse und Tools, mit denen die Daten der Sicherheitsbehörden mit denen der Netzwerkprovider zusammengeführt werden kölnnen. Im weiteren Verlauf einer solchen Kooperation ist es außerdem denkbar, Cyberangriffe aus dem eigenen Land aufzuspüren und solche Rechner regelmäßig zu beseitigen.m from the country and rooting out these machines on a regular basis.

Anpassen der Strafgesetze

Die Gesetzgebung für digitale Straftaten muss im Zuge der Implementierung einer nationalen Cyber-Sicherheitsstrategie an die Gesetze für physische Verbrechen angepasst werden. In den USA beispielsweise wird aktuell darüber diskutiert, spezielle Gesetze gegen organisierte Kriminalität auch gegen Gruppen von Cyberkriminellen einzusetzen.

Solche Maßnahmen sind notwendig für einen effektiven Kampf gegen den digitalen Untergrund und professionelle Hacker. Aktuelle Gesetze gegen organisiertes Verbrechen berücksichtigen meist deshalb das Internet nicht, weil seine Existenz zum Zeitpunkt der Gesetzgebung nicht gegeben war. Da die Gesetzgeber auch heute nicht in die Zukunft blicken können, müssen sie sich entsprechend vorbereiten und im optimalen Fall den Ursprung des Verbrechens nicht berücksichtigen.

Inhalt

  • Seite 1: Cyber-Sicherheit für Staaten
  • Seite 2: Den Hackern auf die Finger schauen
  • Seite 3: Anpassen von Gesetzen und Vorgaben

Klare Sicherheitsvorgaben für Unternehmen

Jedes Land sollte darüber hinaus sicherstellen, dass die Daten seiner Bürger sicher gespeichert sind, ganz gleich, ob es sich um Kontodaten, Patientenakten oder andere persönliche Informationen, so genannte Personal Identifying Information (PII), handelt. Dies erfordert einerseits eine Definition, welche Informationen als sensibel betrachtet werden sollen, andererseits aber auch konkrete staatliche Vorgaben, wie die Sicherheit dieser Daten zu gewährleisten ist.

Die Gesetze und Kontrollprozesse sollten dabei aber nicht nur persönliche Informationen, sondern auch geistiges Eigentum einbeziehen. Diebstahl von geistigem Eigentum wird oft von in Wettbewerb stehenden Unternehmen oder über Landesgrenzen hinweg ausgeführt. Da die Opfer dieser Art von Kriminalität auf das Eingreifen des Staates zur Verfolgung angewiesen sind, sollten sie zu Mindeststandards für die IT-Sicherheit verpflichtet werden.

Dabei sollten diese Vorgaben möglichst konkret und praxisnah sein. Ein gutes Beispiel sind die Sicherheitsstandards der Kreditkartenindustrie (Payment Card Industry Data Security Standard – PCI DSS). Studien belegen, dass Unternehmen, die sich an diese Standards halten, deutlich seltener unter Datenverlust leiden. In den USA ist PCI DSS in einigen Staaten praktisch der De-Facto-Standard für alle IT-Sicherheits- und Datenschutzinitiativen. Im Rahmen einer nationalen Sicherheitsstrategie sollten vergleichbare Vorgaben auf Bundesebene gemacht werden.

All das auch umsetzen!

Regierungen unternehmen inzwischen langsam erste Schritte, hin zu einer vernünftigen IT-Sicherheitsstrategie. Ende letzten Jahres hat die European Network Security Agency (ENISA) ihren ersten Europaweiten Sicherheitstest durchgeführt und im nächsten Jahr soll auch die USA an diesem Test beteiligt sein. Besorgt übr die möglichen Folgn von Botnetzen hat die ENISA auch Empfehlungen veröffentlicht, wie man das Risiko von Bots minimieren oder verhindern kann.

Die Zusammenarbeit zwischen Regierungen und Unternehmen zeigt inzwischen an vielen Stellen Wirkung. Ein aktuelles Beispiel ist die Zerschlagung des Coreflood Botnetzwerks, die nur durch die koordinierte Zusammenarbeit von Sicherheitsbehörden und Netzwerkprovidern möglich war.

Nachdem die Zusammenarbeit zwischen Staat und Unternehmen sich als erfolgreiches Konzept erwiesen hat ist es jetzt unsere Aufgabe als Bürger dafür zu sorgen, dass die Behörden die Befugnisse, die eine nationale Cyber-Security-Strategie mit sich bringt, nicht mißbrauchen. Die Abschaltung von Coreflood ernöglichte es den Behörden aktiv und direkt mit den infizierten PCs zu kommunizieren. Es hat sich dadurch aber auch gezeigt, welche Macht staatliche Stellen zu jeder Zeit über unsere Rechnersysteme ausüben können.

Inhalt

  • Seite 1: Cyber-Sicherheit für Staaten
  • Seite 2: Den Hackern auf die Finger schauen
  • Seite 3: Anpassen von Gesetzen und Vorgaben

(ID:2052318)