|
|
Rubrik: Markt/KommentareSteven Sprague, Präsident und CEO von Wave Systems: "Gewinnen wir den Cyber-Sicherheitskrieg?"Im Katz- und Mausspiel der Unternehmenssicherheit ist es nur schwer auszumachen, wer die Oberhand behält(16.02.12) - Organisationen, die sich ausschließlich auf Software-basierte IT-Sicherheit verlassen, sind immer schlechter gewappnet. Bestehen daran wirklich irgendwelche Zweifel? Während des letzten Jahres haben die Chefs der amerikanischen Nuklearbehörde, Nuclear Energy Regulatory Commission (NERC), das neue Cyber-Kommando des Verteidigungsministeriums und andere Spitzenfunktionäre quer durch Regierung und Industrie rundweg erklärt, dass sie ihre IT-Systeme nicht vor unbefugtem Eindringen schützen können. Die US-Geheimdienste nannten sogar China und Russland als Hauptquellen von Cyber-Attacken und konnten feststellen, welche Gruppen in China die Angriffe tatsächlich ausführen - zum Teufel mit diplomatischen und wirtschaftlichen Konsequenzen.Im Dezember 2011 bekam die Meldung, dass eine US-Spionagedrohne nicht oder doch in den Iran einschlagen ist, das Prädikat "Schlimmste Cybersicherheits-Nachricht des Jahres". Die Iraner behaupten, sie hätten die GPS-Daten manipuliert, damit die Drohne denkt, sie kehre zum Heimatstützpunkt zurück. Wenn das stimmt, sind die Folgen furchteinflößend. Experten waren sich jahrelang uneinig, ob ein Pearl Harbor in Form einer Cyber-Attacke möglich ist oder wie es aussehen würde. Wir haben gerade unsere Antwort bekommen: Ja, aber nächstes Mal werden unsere Flugzeuge - nicht die unserer Feinde - die Bomben abwerfen.Heilloses Sicherheitschaos 2011Die Drahtzieher von Internetkriminalität haben Wachstumszahlen bekanntgegeben - Anzahl und Kosten von Datenverletzungen, neue Malware und Advanced Persistent Threats (APT), was auch immer -, welche die Wall Street in Verzückung versetzen würden. Außerdem stellt die Flut an Nachrichten über Datenverletzungen nur einen Bruchteil des Problems dar. Die gegenwärtigen Gesetze und Vorschriften verlangen nur die Angabe des Verlusts von personenbezogenen Daten, nicht von anderem hochwertigen geistigen Eigentum, wie Umsatzzahlen oder Produkt-Design-Daten. Das bedeutet, dass die Kosten für Datenverluste tatsächlich viel höher liegen.Nicht nur, dass Cyber-Attacken immer raffinierter, häufiger und teurer werden, auch die Neigung zu Bequemlichkeit und der Hang zu glänzenden neuen Spielzeugen verschlimmert die Situation. Eine Lösung, den doppelschneidigen Schwertern zu entkommen, sind Cloud- und Mobiltechnologien sowie die "IT-Consumerisation". Wir haben uns von Desktops und Blackberries, die relativ gute Sicherheit bieten, hin zu Cloud-Diensten sowie Apple- und Android-Geräten bewegt, bei denen diese Sicherheit nicht gegeben ist.In all diesen Fällen mangelt es uns an Selbstdisziplin, die für die Informationssicherheit und die Einhaltung gesetzlicher Vorschriften erforderlichen Voraussetzungen zu schaffen, damit diese vielversprechenden Technologien sicher angewendet werden können.Unsere Cyber-Feinde nutzen unsere eigene kritische Infrastruktur und unser geistiges Eigentum gegen uns, um sich selbst zu bereichern. Und was noch schlimmer ist, oft helfen wir ihnen. Wenn wir alle diese Faktoren betrachten, wirkt es lächerlich zu sagen, wir gewinnen den Cyber-Sicherheitskrieg. Wenn das gewinnen ist, wie würde dann verlieren aussehen?Unser derzeitiges IT-Sicherheits-Denkmuster greift nicht mehr. Die Best Practices von Regierung und Wirtschaft empfehlen immer häufiger, alle IT-Sicherheitsportfolios durch einen selbstständig gemanagten Layer an Hardware-basierter Sicherheit zu ergänzen. Organisationen, die sich ausschließlich auf Software-basierte IT-Sicherheit verlassen, sind immer schlechter gewappnet.Wenn wir den Cyber-Sicherheitskrieg gewinnen wollen, müssen wir zu einer globalen "Null-Toleranz"-Politik für Cyberkriminalität und Datenverluste übergehen. Ob sie es zugeben oder nicht, die meisten Leute meinen, Cyberkriminalität sei etwas, das nur anderen passiert oder etwas, dem sie entkommen können, indem sie sich verstecken. Diese verbreitete Fehleinschätzung ist ein Wegbereiter für Cyberattacken, der verschwinden muss.Die Verordnung einer "Null-Toleranz"-Politik muss in den Regierungen und Verwaltungsräten beginnen und ggf. durch öffentliche und private Forschung, Bildung und Vorschriften gefördert werden. Entscheidende Schritte sind:>> Jeder Lieferant muss Sicherheit gezielt einbauen (kein Aufkleben von Airbags an das Dashboard mehr) und die Unternehmen müssen durch eingebaute Lösungen in die Erhöhung ihrer Sicherheit investieren. Dazu gehört, dass der Informationssicherung echte Aufmerksamkeit geschenkt wird, anstatt Lippenbekenntnisse abzugeben. Auch die rasche Umsetzung von Technologien, von denen man weiß, dass sie die sich entwickelnden Bedrohungen bekämpfen, wie beispielsweise das Trusted Platform Modul (TPM) und die Geräte-basierte Identität, tragen zur Sicherheit bei.>> Wir müssen unsere Gesetze zur Meldung von Datenverlusten verschärfen und die Offenlegung von mehr Datentypen verlangen. Außerdem müssen die Strafen bei Gesetzesverstößen so hart sein, dass Unternehmen sie wahrnehmen.>> Sowohl die Regierung als auch die Industrie müssen aufhören, über Planspiele und Organigramme zu debattieren und eine gemeinsame Strategie einführen. Wir müssen aufhören, darüber zu streiten, wem auf einem sinkenden Schiff eine Kabine erster Klasse zusteht, und wir sollten ernsthaft anfangen, die Lecks zu reparieren.>> Ebenso sollten hier wie in den USA die Regierung und die Industrie die National Strategy for Trusted Identities in Cyberspace (NSTIC) aufrechterhalten. Diese schafft ein "Identitäts-Ökosystem , in welchem Menschen zwischen anerkannten öffentlichen und privaten Anbietern vertrauenswürdiger Zertifikate, die ihre Identität nachweisen, wählen können. >> Wir verlieren diesen Krieg um die Cyber-Sicherheit, aber wir wissen, wie man gewinnen kann. Wir müssen uns selbst nur eine Frage stellen: Worauf sind wir vorbereitet? Wave Systems ist ein führender Anbieter von Client-Server-Software für Hardware-basierte digitale Sicherheit. Diese ermöglicht es Organisationen, zu erkennen, wer mit ihrer kritischen IT-Infrastruktur verbunden ist, Unternehmensdaten zu schützen und die Grenzen ihrer Netzwerke zu stärken. (Wave Systems: ra) |
