Mehr Transparenz für mehr Sicherheit

Sicherheit durch Unklarheit und die Praxis des „Versteckens“ von Informationen, um sie vor dem Zugriff von Cyberkriminellen zu schützen, war schon immer ein umstrittenes Thema in der Sicherheitsbranche – und es wird zunehmend infrage gestellt. Viele halten dieses Vorgehen für einen großen Fehler, der Unternehmen bei Angriffen auf ihr Netzwerk benachteiligen kann. Denn die Cybersicherheit ist zu wichtig geworden, um sie einigen anonymen IT-Spezialisten zu überlassen, die im Inneren einer Bank, einer Regierungsbehörde oder eines Krankenhauses arbeiten.

Andererseits wird Transparenz weiterhin als Vorteil für Organisationen angesehen, die ihr Netzwerk schützen und proaktiv auf Bedrohungen reagieren wollen, ohne alle Beteiligten zu gefährden: das Unternehmen selbst, seine Kunden und seine Lieferanten. Sie hilft Entwicklern und ihren Kunden, die verschiedenen Komponenten ihres Systems zu verstehen und Probleme zu erkennen, die zu Schwachstellen führen können.

Unvorhergesehene Sicherheitslücken sind eine Tatsache in der heutigen Technologielandschaft. Sicherheit ist eine kollektive und gemeinsame Verantwortung und erfordert die Zusammenarbeit zwischen Herstellern, Systemanbietern und Endnutzern, um Abhilfemaßnahmen schnell und effektiv umzusetzen. Aber ohne eine Verpflichtung zur Transparenz – vor allem seitens der führenden Unternehmen der Technologiebranche und der Anbieter – ist es einfach nicht möglich, öffentliches Vertrauen zu schaffen und Sicherheit zu gewährleisten.

Elektrofahrzeuge sind ein gutes Beispiel für den Wert der Zusammenarbeit und Transparenz im Bereich der Cybersicherheit. Viele Modelle erfordern eine extrem anspruchsvolle Software, die häufig aktualisiert werden muss. Tesla zum Beispiel gibt mindestens einmal im Monat Updates an seine Besitzer aus.

Um Updates bereitzustellen, benötigt ein Elektroautohersteller weltweite Zugriffsrechte auf die Bordcomputer seiner Fahrzeuge. Natürlich wollen die Besitzer sicher sein, dass ihr Auto dadurch nicht gehackt, gestohlen, ferngesteuert, verriegelt oder während der Fahrt ausspioniert wird. Aus diesem Grund müssen die Hersteller von Elektrofahrzeugen sehr offen über ihre Cybersicherheit sprechen, damit Autobesitzer oder vertrauenswürdige Experten beurteilen können, ob die Systeme des Unternehmens wirksamen Schutz bieten.

Viele Anbieter haben neue Wege entwickelt, um dem Wunsch von Behörden und Kunden nach mehr Transparenz Rechnung zu tragen. So stellen unabhängige Labore zunehmend weltweit anerkannte Sicherheitszertifikate für eine wachsende Zahl von Telekommunikationsprodukten aus.

Was mobile Geräte betrifft, ist das Network Equipment Security Assurance Scheme (NESAS) aktuell die beste Lösung. Dieses gemeinsam von 3GPP und GSMA definierte, weltweit anerkannte System prüft nicht nur Produkte, sondern auch deren Entwicklung und Wartung (einschließlich der Installation von Firmware-Updates). Außerdem verfügt NESAS über einen Streitbeilegungsmechanismus für Beschwerden von Unternehmen, die der Meinung sind, dass ihre Produkte oder die von Wettbewerbern nicht fair bewertet wurden.

Die Prüfung von Netzwerkgeräten wird von unabhängigen Prüfdienstleistern auf der Grundlage fest definierter Bewertungsrahmen und Sicherheitskataloge durchgeführt. Neben der Produktsicherheit wird in einem ergänzenden Verfahren auch der Sicherheitsaspekt über den gesamten Produktlebenszyklus hinweg auditiert.

Transparenz ist auch der Schlüssel für die Sicherheit betrieblicher Technologieanlagen. In einer komplexen industriellen Umgebung ist es schwierig, ein zuverlässiges Inventar aller Geräte im Netzwerk zu erstellen. Denn niemand kann etwas verwalten, von dem er nicht weiß, dass er es hat. Die erste Regel eines konvergierten IT/OT-Sicherheitssystems besteht deshalb darin, eine vollständige Transparenz zu gewährleisten, die mit einer Art Bestandsaufnahme beginnt und durch eine kontinuierliche Netzwerküberwachung ergänzt wird. Diese bietet auch die Möglichkeit, den Bestand in der virtuellen Karte zu aktualisieren, wenn neue IT-Komponenten oder -Elemente hinzugefügt und stillgelegte Geräte entfernt werden. Dadurch lassen sich außerdem der Datenverkehr im gesamten System verfolgen, alle nicht-standardmäßigen Aktivitäten markieren und je nach Schweregrad des Risikos Warnmeldungen generieren.

Bei der Erkennung neuer Schwachstellen in OT-Netzwerken und -Geräten verlassen sich Unternehmen auf ihr Anlageninventar, um zu entscheiden, wie schwerwiegend die Schwachstelle ist, wie sie sich auf ihre Umgebung auswirkt und wie das Gerät gepatcht werden muss . Mit einem automatisierten Anlageninventar können Industrieunternehmen die Produktivität und Effizienz ihrer OT-Teams steigern, indem sie ihre Anlagendaten schnell verwalten, um ihre Umgebungen in einem einzigen Dashboard zu erkennen und zu schützen.

Wie wird diese Transparenz hergestellt?

Die Einführung eines durchgängigen Sicherheitsrahmens, der über den gesamten Lebenszyklus eines Produkts angewendet werden kann, ermöglicht mehr Transparenz und bessere Sicherheit. Unterstützen Sie interne offensive Sicherheitsforschungsteams oder fördern Sie die Beiträge externer Sicherheitsforscher durch Bug-Bounty-Programme sowie Forschungszuschüsse. Diese proaktiven Ansätze sollen sicherstellen, dass die Kunden auf die Fähigkeit eines Unternehmens vertrauen setzen. Außerdem können Schwachstellen auf diese Weise gemeinsam und zuverlässig entdeckt, entschärft und offengelegt werden.

Zusammenarbeit ist auch der Schlüssel zur Verbesserung der Sicherheit. Dazu gehört die funktionsübergreifende Zusammenarbeit zwischen Industriepartnern, akademischen Einrichtungen und Regierungsorganisationen, die durch Richtlinien, Standards, Abhilfemaßnahmen sowie Forschung das gemeinsame Sicherheitsverständnis fördert. Denn offene Zusammenarbeit ist der beste Weg, um Sicherheit zu gewährleisten.

Darüber hinaus ist die Teilnahme an Industriekonsortien und Normungsgremien ein guter Schritt, um zu gewährleisten, dass Technologieprojekte den sich entwickelnden Standards für Datenschutz und Sicherheit entsprechen. Einige Beispiele dafür sind die Trusted Computing Group (TCG), das Confidential Computing Consortium (CCC), das 3rd Generation Partnership Project (3GPP), das National Institute of Standards and Technology (NIST) und die International Organization for Standardization (ISO).

Da die Schwachstellenforschung und die Angriffsmethoden immer ausgefeilter werden, ist es auch wichtig, die Entwicklung von Standards für das Design, die Sicherheit und das Risikomanagement von Industrieprodukten zu unterstützen. MITER und mehrere führende Unternehmen der Branche arbeiten daran, das von der Gemeinschaft betriebene System zur Aufzählung von Schwachstellen (Common Weakness Enumeration) um neue Hardwarelücken zu erweitern. Ihre Systeme zur Aufzählung und Klassifizierung von Schwachstellen (Common Vulnerabilities and Exposures, CVE) sowie Angriffsmustern (Common Attack Pattern Enumeration and Classification, CAPEC) sollen außerdem verbessert werden. Weitere Möglichkeiten sind die laufenden Bemühungen der Special Interest Group (SIG) Product Security Incidence Response Teams (PSIRT) sowie des Forum of Incident Response and Security Teams (FIRST), das sich auf das Common Vulnerability Scoring System (CVSS) konzentriert.

Schließlich sollten die führenden Unternehmen der Branche die Transparenz erhöhen, indem sie die Sicherheitskennzahlen ihrer Produkte auf dem Markt zugänglich machen – beispielsweise Details über intern und extern identifizierte Bedrohungen.

„Ich sage voraus, dass Unternehmen auf der ganzen Welt beginnen werden, sich gegen die mangelnde Transparenz von Anwendungsanbietern hinsichtlich der Komponenten zu wehren, die sie zur Bereitstellung ihrer Lösungen verwenden. Der Mangel an Transparenz bei geschlossenen Geräten, virtuellen Maschinen und Anwendungsplattformen lässt Unternehmen im Dunkeln, wenn Zero-Day-Schwachstellen in den Softwarekomponenten auftauchen, die zum Aufbau dieser Plattformen verwendet werden. Die Unternehmen sind nicht mehr bereit, die Vorgehensweise der Anbieter abzuwarten.“, sagt Ron Culler, Senior Director of Technology and Solutions bei ADT Cybersecurity.