Der Weisenrat für Cyber-Sicherheit veröffentlicht seinen 1. Bericht

15 Okt

  • in ISMS
  • von
  • 0

 

Die „Weisen“?

Die aus dem Morgenland, die auch als Heilige Drei Könige bezeichnet werden?
Nein, nicht in diesem Fall.

 

 Der Weisenrat?

Kenn ich, das sind doch die Fünf Weisen (auch die Wirtschaftsweisen genannt), die den Sachverständigenrat zur Begutachtung der gesamtwirtschaftlichen Entwicklung (SVR) bilden und bis Mitte November jedes Jahres ihre Einschätzung der Entwicklung der Bundesregierung übergeben, oder?
Ja richtig, aber nicht der Weisenrat, dem dieser Newsletter gewidmet ist.

 

Weisenrat für Cyber-Sicherheit

Wir widmen uns in diesem Beitrag dem ersten Bericht zu drängenden Fragen der digitalen Sicherheit, den der Weisenrat für Cyber-Sicherheit veröffentlicht und der Bundesregierung vorgelegt hat.

Ins Leben gerufen hat den unabhängigen Weisenrat im Jahre 2019 das Cyber Security Cluster Bonn e.V. Es besteht aus sechs renommierten Professor*innen aus den wichtigsten Exzellenz-Clustern in Deutschland (darunter Bonn, Bochum, Darmstadt, Gelsenkirchen, Göttingen und München).

 

Warum brauchen wir einen Weisenrat für Cyber-Sicherheit?

 Sicherheit, Vertrauen, Verlässlichkeit und digitale Souveränität sind die Voraussetzungen für eine positive Gestaltung der Digitalisierung in unserer Demokratie. Nur über eine etablierte und gelebte Cyber-Sicherheit in allen Bereichen der Gesellschaft schaffen wir Vertrauen und Akzeptanz für digitale Lösungen.

Ähnlich wie der Bericht der Wirtschaftsweisen wird das Cyber Security Cluster Bonn e.V. künftig jährlich einen Bericht des Weisenrats für Cyber-Sicherheit vorlegen und Politik und Wirtschaft so mit aktuellen Impulsen zum Ausbau des Standorts Deutschland im Bereich Cyber-Sicherheit versorgen und damit einen Beitrag zur Immunisierung der Gesellschaft gegen Cyber-Attacken leisten.

Aus dem Bericht

Allgemeines

Rund 71 Millionen Angriffe zählte die Telekom im Januar 2020 auf ihre Hacker-Lockfallen, die sogenannten Honeypots – und das täglich!
Ein schier unglaubliches Beispiel für stetig wachsende Angriffe und doch nur die Spitze des Eisbergs sind: Schließlich bestätigen aktuelle Studien, dass sieben von zehn deutschen Unternehmen in jüngster Zeit schon Opfer von Netz-Attacken oder Industriespionage wurden. Mit Schäden in Milliardenhöhe. Gerade im Mittelstand findet sich kaum noch ein Unternehmen, das nicht betroffen wäre; auch Behörden, Krankenhäuser und wir als Privatpersonen geraten vermehrt ins Visier.

Um „uns“ wirksam und zuverlässig vor Attacken aus dem Netz zu wappnen, ist es an der Zeit die notwendigen Voraussetzungen zu schaffen – eine Aufgabe, die keiner allein bewältigen kann.

Deshalb haben sich unterschiedliche Organisationen zum Cyper Security Cluster Bonn zusammengeschlossen; zu den Partnern gehören z.B. das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Kommando Cyper- und Informationsraum der Bundeswehr, die Fraunhofer-Gesellschaft und weitere.

 

 

8 Empfehlungen des Weisenrats für Cyber-Sicherheit

1 – Technologie muss sich dem Menschen anpassen, um ihn zu entlasten und zu schützen.

Anwendern die Schuld bei Sicherheitsvorfällen zuzuweisen ist nicht zielführend – wenn menschliche Fehler zu Problemen führen, dann ist die zugrunde liegende Technologie kritisch zu prüfen! Ist die Umsetzung zeitraubend, schwierig oder gar unmöglich? Wir benötigen hier bessere technische Lösungen, die einfach im Gebrauch sind – Ziel muss es sein, die Technologie dem Menschen anzupassen!

2 – Hersteller müssen sich zu regelmäßigen Schwachstellentests und Sicherheitsupdates verpflichten.

Hersteller müssen IT-Systeme und -Lösungen bei Einführung nicht nur einmalig auf Schwachstellen testen, sondern diese Tests kontinuierlich wiederholen. Die Ergebnisse der Tests müssen transparent und überprüfbar sein. Hersteller müssen ihre Geräte, Dienste und Anwendungen über die komplette Lebenszeit mit Sicherheitsupdates versorgen.

3 – Digitale Prozesse und Infrastrukturen müssen angriffsresilienter werden.

Systeme sollen so gebaut und betrieben werden, dass sie in der Lage sind, kompromittierte Systemteile zu tolerieren – sie müssen auch dann noch verlässlich arbeiten, wenn sie attackiert werden.

4 – Technologische Souveränität muss erhöht und bewahrt werden.

Technologische Souveränität wird immer wichtiger, da zukünftig der Wertschöpfungsanteil von IT und Internet in allen Branchen zunimmt. Hier müssen Hersteller und Anwender von IT-Technologie sowie Wissenschaft, Politik und Verwaltung aus diesem Bereich, gemeinsame Ziele definieren und umsetzen. Erforderlich ist ein gezielter Kompetenzausbau in Schlüsselbereichen, um mögliche Risiken, die durch Abhängigkeiten entstehen (Hersteller, Herkunftsland, Einsatz, Wechselwirkungen) beurteilen zu können. Für kritische Bereiche müssen Alternativen entwickelt bzw. bestehende Technologien erweitert werden.

5 – Digitale Infrastrukturen in smarten Städten müssen jederzeit verfügbar, verständlich und beherrschbar bleiben.

Für digitale Infrastrukturen in smarten Städten müssen wir sicherstellen, dass sie jederzeit verfügbar, verständlich und beherrschbar bleiben. Krisen wie Cyber-Angriffe, Naturereignisse, menschliches und technisches Versagen sowie Gewalt und Terror gefährden den verlässlichen Betrieb von IT-Systemen. Es ist daher notwendig, dass man auch im Krisenfall und bei hohem Vernetzungsgrad einen (Not-)Betrieb kritischer Infrastrukturen in den Sektoren Energie, Verkehr und Logistik, Gesundheit, Ernährung, Wasser, Finanz- und Versicherungswesen sowie Staat und Verwaltung garantieren kann. Gleichzeitig muss eine demokratische Kontrolle über die Daten, die im öffentlichen Raum erhoben werden, gewährleistet sein; Smarte Städte müssen die Rechte des Individuums auf Privatheit schützen.

6 – KI-Systeme müssen transparent und zertifizierbar sein.

Maschinelle Lernverfahren und Systeme der Künstlichen Intelligenz werden bereits heute in zahlreichen IT-Infrastrukturen als zentraler Baustein zur Analyse, Prognose und Steuerung eingesetzt. Die Vertrauenswürdigkeit derartiger Systeme ist für Unternehmen aller Branchen, aber auch für staatliche Institutionen von höchster Wichtigkeit. Unternehmerische Entscheidungen werden zunehmend auf Ergebnissen von KI-Systemen basieren. Es entsteht eine gefährliche Abhängigkeit, da die Ergebnisse von maschinellen Lernverfahren meist nicht nachvollziehbar sind und auch die Qualität der Daten, die zum Anlernen genutzt werden, für die Nutzer nicht prüfbar ist. Um resiliente KI-Produkte zu entwickeln, sind unterschiedliche Kritikalitäts- und Zertifizierungsstufen für KI-Algorithmen festzulegen. Dafür werden Prüfkataloge sowie technische Richtlinien benötigt.

7 – Langlebige Produkte müssen kryptoagil gestaltet werden.

Kryptografische Verfahren, Schlüssellangen und Zufallszahlengeneratoren, die heute sicher sind, können morgen schon unsicher sein. Deshalb empfehlen wir für IT-Lösungen, die eine lange Lebenszeit haben können, ein kryptoagiles Design als Bestandteil eines Mindeststandards aufzunehmen. Das bedeutet, dass solche Lösungen die Möglichkeit bieten sollten, kryptografische Verfahren und Zufallszahlengeneratoren auszutauschen sowie Schlüssellangen zu erhöhen, ohne ihre eigentliche Funktion zu beeinträchtigen oder Hardware auszuwechseln.

8 – Der Schutz der Demokratie muss online verstärkt werden.

Erfundene und verfälschte Informationen sowie deren gezielte Platzierung in Online-Medien können die Wählermeinung und damit auch politische Entscheidungen beeinflussen. Wahlen sind hierbei nur eines der Missbrauchsziele. Der Schutz der Ausübung demokratischer Prinzipien in der digitalen Welt ist ein grundlegendes, aber auch ein vielschichtiges Problem. Für neue technische Lösungen, die dieses Problem eindämmen helfen, ist eine gründliche Problemanalyse Grundvoraussetzung.

 

Passwortrichtlinien – Sicherheit muss benutzerfreundlich sein

Passwortrichtlinien sollten dazu dienen, Menschen davor zu schützen, unsichere Passwörter zu wählen. Deswegen ist es besonders wichtig, dass die Richtlinien benutzerfreundlich sind, da sie sonst als Hindernis umgangen werden und im schlimmsten Fall das Gegenteil bewirken.

Um Unternehmen die Wahl der Passwortrichtlinien zu erleichtern, haben verschiedenste Institutionen Vorschläge und Orientierungshilfen veröffentlicht.
Die BSI-Richtlinie fasst die Komplexitätsanforderungen zusammen und empfiehlt das Passwörter eine geeignete Qualität haben und so komplex sind, dass sie nicht leicht zu erraten, aber gut zu merken sind; von einem zeitlich gesteuerten Passwortwechsel wird abgeraten.
Der 2017 von NIST veröffentlichte Standard 800-63B stellt einen deutlichen Bruch mit bisherigen Richtlinien dar. Typische Elemente wie das Erzwingen von mehreren Zeichenklassen (groß, klein, Zahlen und Sonderzeichen) wurden nicht nur entfernt, sondern es wird explizit davon abgeraten. Auch von der Vorschrift, regelmäßig das Passwort zu ändern, wird explizit abgeraten. Es werden weiterhin konkrete Empfehlungen für minimale Passwortlänge und erlaubte Zeichensätze gegeben. NIST hat dabei einen evidenzbasierten Ansatz gewählt. Denn wissenschaftliche Studien haben belegt, dass zu komplexe Richtlinien Benutzer zu unsicheren Praktiken verleiten, um einfache Passwörter zu finden, die trotzdem den Richtlinien entsprechen.

Jedoch werden selbst die besten Passwortrichtlinien das Problem von unsicheren Passwörtern nur eindämmen, aber nicht beseitigen können. Aus unserer Sicht scheint es in vielen Fällen sinnvoll, Passwortmanager zu nutzen.

 

Mögliche Standards/Normen

 Zu all diesen Forderungen gibt es bereits entsprechende Standards/Normen, die Organisationen bei der Umsetzung unterstützen bzw. leiten, z.B.

  • ISO/IEC 27001 – Informationssicherheit
  • Datenschutzgrundverordnung (DSGVO)
    • alternativ: ISO/IEC 27701 – Extension privacy information management
  • Bundesdatenschutzgesetz (BDSG)
  • ISO 22301 – Business Continuity
  • ISO 22316 – Organizational Resilience

 

Weiterführende Links zum Thema Cyber-Sicherheit

 IT & Cyber-Sicherheit – Webseite des Bundesministeriums des Innern, für Bau und Heimat

Umsetzungsstrategie Digitalisierung – Webseite der Bundesregierung

Digitaler Wandel – aber sicher! – Deutschland sicher im Netz

Der Bayerische IT-Sicherheitscluster e.V.

Cyber-Sicherheitsrat Deutschland e.V.

Bundesverband IT-Sicherheit e.V.

 

Für Ihre Sicherheit setzen wir uns ein!

Experten - Kontakt

 

 

 

Bildnachweis: Communication von archerix von Getty Image auf Canva

Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.