In der Politik wird immer wieder der Ruf nach Sicherheitszertifikaten
für möglichst viele Hard- und Software-Komponenten laut. Dahinter steht die Vorstellung,
dass der Einsatz nachweislich sicherer Produkte automatisch auch zu hinreichender
IT-Sicherheit führt. Trotz Zertifizierung wird eine IT-Komponente aber spätestens
dann zur Gefahr, wenn sie nicht sicher implementiert und betrieben wird.
Im Straßenverkehr käme auch niemand auf den Gedanken, dass ein Autohersteller mit dem technischen Prüfstempel für die Verkehrssicherheit auch die Unfallfreiheit garantieren könnte. Dafür spielt regel-konformes Fahrverhalten eine ebenso wichtige Rolle wie ein angemessener Umgang mit den allgegenwärtigen Risiken während einer Fahrt. Darüber hinaus braucht es selbstverständlich eine Fahrerlaubnis und eine Versicherung. Noch deutlich strenger sind die Auflagen für Personen- oder Gefahrguttransporte.
Keine hundertprozentige Sicherheit möglich
Genauso verhält es sich beim Thema IT-Sicherheit. Allerdings herrscht hier eine völlig andere Erwartungshaltung – nämlich die, dass ein Hersteller per Zertifizierung hundertprozentige Sicherheit garantiert. Das ist jedoch schlicht unmöglich. Nur ein ganzheitlicher Blick wird der ständig wachsenden Komplexität und Vielfalt unterschiedlicher Bedrohungen gerecht. Dabei gilt es, die gesamte Kette aller involvierten Akteure in den Blick zu nehmen: Neben Herstellern betrifft dies insbesondere Systemintegratoren sowie die IT-Abteilungen in der Privatwirtschaft und im öffentlichen Sektor – und bis zu einem gewissen Grad auch die Verbraucher.
An keinem Glied dieser Kette darf Cybersicherheit als ein fertiges Produkt missverstanden werden, das allein durch die Erfüllung gleichsam in Stein gemeißelter Compliance-Vorgaben ein für alle Mal erreichbar wäre. Stattdessen kommt es wie im Straßenverkehr auf einen angemessenen Umgang mit den sich ständig ändernden Risiken an.
Cyber-Security-Profis dringend gesucht
Betreiber kritischer Infrastrukturen wie Energieversorger, große Kliniken oder Finanzdienstleister sind heute schon gesetzlich zu einem aktiven IT-Risikomanagement durch Einführung eines Information Security Management Systems (ISMS) und zu Maßnahmen zum Business-Continuity-Management verpflichtet. Mit dem neuen „IT-Sicherheitsgesetz 2.0“, das sich derzeit in der Ressortabstimmung befindet, dehnt die Bundesregierung diese Verpflichtung voraussichtlich auf einen deutlich größeren Unternehmenskreis aus.
Damit unterstreicht die Bundesregierung, wie wichtig Cybersicherheit für Deutschland ist. Cybersicherheit ist Grundbedingung für ein funktionierendes Gemeinwesen, ein entscheidender Wettbewerbsfaktor für den Wirtschaftsstandort Deutschland, und ein Beschleuniger für die Digitalisierung.
Gerade in mittelständischen Unternehmen fehlen jedoch Fachkräfte zur Umsetzung eines aktiven Risikomanagements. Neben gesetzlich festgelegten Leitplanken für alle am IT-Betrieb Beteiligten braucht Cybersicherheit deshalb vor allem mehr Aus- und Weiterbildung. Cisco engagiert sich deshalb mit dem Themenschwerpunkt Cybersicherheit im Kursprogramm seiner Networking Academy. Bundesweit gibt es derzeit 603 Academy-Standorte, die schwerpunktmäßig in Berufs- und Hochschulen kostenlose Unterstützung in IT-Fächern bieten. In den Studienplänen deutscher Universitäten gibt es beim Thema Cyber-Security vielerorts jedoch noch Luft nach oben.
Wissen, worauf man vertraut
Aus Sicht von Cisco ist Cybersicherheit eine globale Gemeinschaftsaufgabe, die Politik, Industrie und Anwender nur in enger Kooperation bewältigen können. Die Klärung technischer und regulatorischer Fragen setzt dabei einen offenen Dialog voraus. Ein einseitiger Fokus auf nationale Produktvorgaben und Organisationsrichtlinien erscheint in diesem Kontext wenig sinnvoll. Produktzertifizierungen sollten vielmehr international und an anerkannten Standards ausgerichtet werden.
Effizientes IT-Risikomanagement erfordert hohe Transparenz bezüglich der Umsetzung der sicherheitsrelevanten Eigenschaften aller eingesetzten Komponenten und Systeme. Bei Cisco etwa dient das vor zwei Jahren eingerichtete „Security & Trust Office“ (STO) Unternehmen, Behörden oder Pressevertretern als Anlaufstelle für alle Fragen rund um die IT-Sicherheit von Produkten, Herstellungsprozessen und Verfahren. Nur wer das Sicherheitsdesign eines IT-Produkts von der Entwicklung über die Produktions- und Nutzungsphase bis hin zum planmäßigen Lebenszyklusende im Detail nachvollziehen kann, weiß, worauf er vertraut. Transparenz schafft Vertrauen – und legt damit den Grundstein für eine breite Cybersicherheitskooperation zwischen allen Akteuren. Denn „sicher“ ist kein Zustand, sondern ein Kreislauf.
Klaus Lenssen ist Chief Security Officer bei Cisco Deutschland.
