Dem Anspruch von „Secure by Design“ gerecht werden
15. Januar 2024Unsere digitale Welt ist vernetzter als je zuvor, dank moderner Software-Entwicklung, der Migration in die Cloud und der verstärkten Nutzung von Microservices und Open Source Code. Dabei sollten öffentlich-private Partnerschaften beim Schutz unserer Cyber-Infrastruktur helfen.
Unsere modernen digitalen Infrastrukturen sind dadurch so sehr ineinander verflochten und voneinander abhängig, dass Cyber-Bedrohungen, die auf ein Unternehmen oder ein Produkt abzielen, die gesamte Branche beeinträchtigen können. Daher muss der Sektor seine Herangehensweise an das Thema Cybersecurity anpassen. Wir müssen gemeinsam aktiv werden, um uns besser vor den wachsenden Bedrohungen zu schützen.
Die IT-Branche sollte gemeinsam und in Partnerschaft mit staatlichen Institutionen daran arbeiten, Informationen zu Bedrohungen sowie Gegenmaßnahmen und Vorbeugemöglichkeiten untereinander zu teilen. In den USA hat Solarwinds einige Maßnahmen ergriffen, um die Zusammenarbeit zwischen öffentlichen und privaten Sektoren zu unterstützen.
Eine führende Rolle hat dabei auch die Cybersecurity and Infrastructure Security Agency (CISA) eingenommen. So hat Solarwinds in Washington, D.C. eine Podiumsdiskussion veranstaltet, an der neben Sudhakar Ramakrishna, President und CEO von Solarwinds, auch der CISA Executive Assistant Director for Cybersecurity Eric Goldstein sowie einige US-Kongressabgeordnete teilgenommen haben.
In diesem Gespräch ging es um mehrere Methoden, um die Branche sicherer zu machen, also den „Secure by Design“-Ansatz umzusetzen. Ein solcher Ansatz ist nicht nur für die USA relevant, sondern kann auch in Deutschland und Europa eine gute Antwort auf die Cyber-Bedrohungen sein. Wichtige Bereiche dabei sind:
- Zusammenarbeit, um eine starke Verteidigung zu schaffen;
- die Förderung verantwortungsbewusster Offenlegung, damit mehr Informationen weitergegeben werden und
- sicherstellen, dass die Branche in das notwendige Personal investiert, das zur Abwehr gegen die neuesten Bedrohungen benötigt wird.
Kooperation für eine starke Verteidigung
Die Zusammenarbeit spielt eine entscheidende Rolle dabei, Kunden privater Unternehmen und auch Länder vor Angreifern zu schützen. Das US-Beispiel zeigt: Es braucht gemeinschaftliche Bemühungen für öffentlich-private Partnerschaften, um sicherzustellen, dass Bedrohungen erkannt werden, bevor sie einheimische Netzwerke erreichen, und aktiv auf sie reagiert wird.
Um eine breite Zusammenarbeit zu fördern, braucht es ein Modell, bei dem Regierungen, Industrie und internationale Partner nahtlos und reibungslos Tag für Tag zusammenarbeiten, um die Bedrohungen von heute zu bekämpfen und denjenigen Bedrohungen zuvorzukommen, die uns morgen erwarten werden. Unternehmen können zu den kollektiven Verteidigungsmaßnahmen der Branche beitragen, indem sie sich aktiv an einer transparenten Informationsweitergabe beteiligen.
Opfer von Angriffen bei der Offenlegung unterstützen
Das verantwortungsbewusste Berichten von Sicherheitsschwachstellen und Bedrohungen ist von entscheidender Bedeutung, damit die Branche über neue Angriffe informiert bleibt. Entscheidend ist dabei, dass Fixes oder Patches verfügbar sind, bevor das Problem öffentlich gemacht wird. Das reduziert das Risiko, dass böswillige Akteure Schwachstellen ausnutzen, bevor sie behoben wurden, und gibt Benutzern die Möglichkeit, sich und ihre Infrastrukturen zu schützen.
Die Regierungen sollten Unternehmen stärkere Anreize für die verantwortungsvolle Offenlegung und Informationsweitergabe bieten. Leider ist das nicht immer der Fall. Unternehmen gehen das Risiko ein, dass in den Nachrichten negativ über sie berichtet wird und sie für den Vorfall verantwortlich gemacht werden, oder sogar, dass Strafmaßnahmen gegen sie erhoben werden.
Somit haben sie häufig mehr Gründe, einen Sicherheitsvorfall nicht offenzulegen. Idealerweise würde die Branche ein Umfeld fördern, in dem Opfer ihre Erfahrungen und das, was sie daraus gelernt haben, offen teilen können, ohne Angst vor negativen Konsequenzen zu haben. Hierzu müssen die Regierungen den Unternehmen Anreize für die Offenlegung bieten und sicherstellen, dass Systeme vorhanden sind, die es Unternehmen ermöglichen, auf geeignete und verantwortungsvolle Weise ihre Schwachstellen offenzulegen.
Secure by Design: Ein proaktiver Ansatz
Um in der modernen Bedrohungslandschaft bestehen zu können, müssen Unternehmen ihren Softwareentwicklungsprozess „Secure by Design“ gestalten. Das bedeutet, Sicherheitsmaßnahmen im gesamten Produktlebenszyklus zu integrieren – vom Konzept bis zur Bereitstellung. Der SolarWinds CEO Sudhakar Ramakrishna nutzt dafür die folgende Analogie: „Über den Airbag in einem Auto denken Sie nicht erst nach, wenn das Auto produziert wurde und auf den Straßen fährt. Sie planen die Sicherheit beim Design des Autos bereits ein.“
Auf ähnliche Weise berücksichtigt Secure by Design die Sicherheit als grundlegenden und inhärenten Bestandteil von Systemen und Anwendungen. So können Entwickler die Angriffsfläche minimieren und Schwachstellen proaktiv erkennen und beheben.
Die nötigen Fähigkeiten aufbauen
Die Nachfrage nach Cybersicherheitsexperten ist höher als je zuvor. Grund dafür ist der Mangel an qualifiziertem Personal, das die Stellen besetzen kann. Es sind unter anderem zusätzliche Schulungen und Ressourcen für die berufliche Weiterbildung notwendig, um das Problem zu lösen. Dazu wären stärkere Anreize und das Anbieten von Fortbildungen in Schulen und anderen Bildungseinrichtungen wichtig.
Außerdem benötigen Regierungen weiterhin mehr Personal für die Besetzung offener Stellen. Auch hierfür ist mehr Unterstützung aus dem privaten Sektor notwendig. Dies betrifft zum Beispiel die bessere Informationsweitergabe zwischen Einzelpersonen, Unternehmen und Regierungsorganisationen. Diese zielgerichtete Zusammenarbeit fördert die gemeinschaftliche Arbeit und sorgt vor dem Hintergrund der sich ständig weiterentwickelnden Bedrohungslandschaft für solide öffentlich-private Partnerschaften.
Warum das wichtig ist
Hochprofessionelle nationalstaatliche Hacker sind eine große Bedrohung für die Sicherheit digitaler Infrastrukturen in Ländern weltweit. Wenn wir in der gesamten Branche zusammenarbeiten, können wir eine resiliente Verteidigung gegen Cyber-Angriffe aufbauen und unsere digitalen Ökosysteme schützen.
Bei der Cyber-Resilienz geht es nicht nur darum, Angriffe zu verhindern, sondern auch darum, sich schnell von ihnen zu erholen und über einen Plan zu verfügen, um einen Angriff zu identifizieren und einzugrenzen. Diese Verantwortung tragen Regierungen, Unternehmen und Einzelpersonen gemeinsam und sie müssen zusammenarbeiten, um dieser Verantwortung gerecht zu werden.
Jeff Stewart ist Field CTO von SolarWinds.