Hintergrund

Der Schutz kritischer Infrastrukturen umfasst Sicherheitsmaßnahmen für voneinander abhängige Systeme, Netzwerke und Ressourcen, die für die Bereitstellung von gesellschaftlich wichtigen Dienstleistungen unabdingbar sind. Beispiele für wichtige physische Infrastrukturen sind Straßen, Brücken, Flughäfen, Kommunikationseinrichtungen und Kraftwerke. Informationsbasierte Infrastrukturen unterstützen alle anderen und bestehen aus Computern und Netzwerken. Dazu zählen insbesondere SCADA-Systeme (Supervisory Control and Data Acquisition, Systeme zur Überwachung, Steuerung und Datenerfassung), die vernetzt arbeiten, um den Informationsaustausch sowie die Analyse für wichtige Funktionen übergreifend zu ermöglichen. Dazu gehören Banken, Erzeugung und Verteilung von elektrischem Strom, medizinische Dienstleister, Rettungsdienste sowie luft- und bodengebundene Verkehrsmittel.

Da die kritischen Informationsinfrastrukturen in den meisten Staaten überwiegend in Privatbesitz sind und vom Privatsektor betrieben werden, benötigen wir dynamische Lösungen, die berücksichtigen, dass sich die neuen Bedrohungen – ebenso wie die zu deren Abwehr erforderlichen Technologien – häufig schneller ändern als die Vorschriften angepassten werden können. Die für das Internet typischen schnellen sowie kontinuierlichen Veränderungen verlangen – erst recht angesichts des globalen Maßstabs – flexible Lösungen, die schnell an neue und sich ändernde Umstände angepasst werden können.

Bedeutung für McAfee

Die Zerstörung oder Beschädigung physischer bzw. informationsbasierter Infrastrukturen durch Naturkatastrophen, Cyber-Angriffe oder andere Zwischenfälle kann Bürgern, Unternehmen und Regierungen erheblichen Schaden zufügen. Die Herausforderung, kritische Informationssysteme und Netzwerke zu schützen, muss global angegangen werden. Aktuelle Informationsinfrastrukturen hängen vollständig von weltweiter Vernetzung und Interoperabilität ab. Es ist daher unabdingbar, den Schutz globaler wichtiger Informationsinfrastrukturen durch die Einführung effektiver internationaler Strategien und Lösungen anzugehen.

McAfee engagiert sich für die Absicherung der vernetzten Welt. Wir sind der Meinung, dass keine Person, kein Produkt und keine Organisation den Kampf gegen Cyber-Kriminelle allein gewinnen kann. Das gilt ganz besonders für Unternehmen, die kritische Infrastrukturen betreiben, da sie praktisch täglich von staatlichen Akteuren und weltweiten kriminellen Vereinigungen angegriffen werden. McAfee ist stark im Bereich kritischer Infrastrukturen vertreten, einschließlich Gesundheitswesen, Behörden und Finanzen. Zudem machen wir gute Fortschritte in weiteren kritischen Branchen, z. B. Kommunikation und Energie. Im Zuge unserer Bemühungen, die Interessen unserer Kunden zu vertreten, greifen wir aktiv in die Gestaltung der Richtlinienumgebungen ein, denen unsere potenziellen und bestehenden Kunden unterliegen. Das Ziel ist eine Win-Win-Situation für beide Seiten.

Handlungsempfehlungen

Freiwilliger Ansatz

Staatliche Behörden haben ein legitimes Interesse an der Absicherung kritischer Infrastrukturen, die überwiegend in privater Hand sind. Daher ist McAfee der Meinung, dass der private Sektor bei den Schutzmaßnahmen auch die führende Rolle übernehmen sollte. Regierungen sollten es der Branche ermöglichen, die Innovation beim Schutz kritischer Infrastrukturen auf freiwilliger Basis voranzubringen. Vorschriften und Vorgaben sind für das Ziel, den Schutz unserer kritischen Infrastrukturen zu gewährleisten, kontraproduktiv.

  • Wenn die Hersteller aufgrund von Vorschriften gezwungen sind, Schutzmaßnahmen gegen heutige Bedrohungen zu implementieren, können die Bedrohungen von morgen möglicherweise diesen Maßnahmen entgehen.
  • Wenn Regierungen Technologievorschriften festlegen, könnte dies letztlich dazu führen, dass Unternehmen mehr auf Compliance als auf zuverlässigen Schutz achten. Die Regulierung von Bereichen wie der Cyber-Sicherheit ist sehr schwierig, und die unbeabsichtigten Folgen können jegliche Vorteile der Regulierung überwiegen.

Ansätze wie öffentlich-private Partnerschaften zur Schaffung des NIST-Framework sind erheblich besser geeignet als starre Vorschriften. Der NIST-Ansatz war erfolgreich, weil von Politik und Privatsektor ein festes Ziel definiert wurde: die Verbesserung der Sicherheit kritischer Infrastrukturen. Da der Prozess offen ist, hörte NIST auf den privaten Sektor und baute Vertrauen bei den wichtigen Verantwortlichen auf. Dadurch konnte ein flexibles Framework geschaffen werden, das auf freiwilliger Zusammenarbeit statt starrer Regulierung basiert. Die Zusammenarbeit ermöglicht integrierte und validierte industrielle Prozesslösungen, die schneller bereitgestellt werden können – ohne dabei Sicherheit oder Zuverlässigkeit zu gefährden. Die Politik sollte daher den Erfolg des NIST-Framework als positives Beispiel dafür betrachten, wie gewünschte Ergebnisse erzielt werden können.

 

Förderung des Prinzips "Sicherheit von Anfang an"

Die Politik sollte das Prinzip der "Sicherheit von Anfang an" für alle neuen Installationen von kritischen Infrastrukturen fördern. Die Implementierung von Sicherheit in einer frühen Phase des Entwicklungsprozesses – die Einbindung in die Infrastruktur von Anfang an – ist ein proaktiver Ansatz, der gegenüber nachträglichen Patches, Aktualisierungen und Systemänderungen klar zu bevorzugen ist.

  • Das nachträgliche Hinzufügen oder "Anflanschen" von Sicherheitsfunktionen zu einem System, Netzwerk oder Gerät nach dessen Einrichtung birgt Schwachstellen und Ineffizienzen – nicht zuletzt deshalb, weil das System für die Aktualisierung außer Betrieb gesetzt werden muss, was in Energienetzen kaum möglich ist.
  • Hersteller sollten die Sicherheit daher bei allen netzwerkfähigen Geräten bereits in einer frühen Entwurfsphase berücksichtigen und Mechanismen integrieren, die nach der Erstproduktion die sichere Installation von Upgrades und Patches ermöglichen.

 

Förderung weiterer Investitionen in Cyber-Sicherheitsfunktionen

Als führendes Unternehmen im Bereich Cyber-Sicherheit wissen wir, unter wie viel Druck unsere Kunden in Bezug auf all die für den flüssigen Betriebsablauf erforderlichen Investitionen stehen. Investitionen in Cyber-Sicherheit müssen gegenüber Investitionen in neue Produkte, Vertrieb und Marketing häufig zurückstehen. In Anbetracht der nationalen Interessen beim Schutz kritischer Infrastruktursysteme, die in Privathand sind oder vom Privatsektor betrieben werden, ist es sinnvoll, dass die Politik zusätzliche Anreize schafft, damit Organisationen ihre Cyber-Sicherheitsmaßnahmen verbessern. Beispiele:

  • Steuerliche Anreize: Zu den steuerlichen Anreizen, die Investitionen in Cyber-Abwehr fördern, gehören beschleunigte Abschreibungen oder Steuergutschriften für die Implementierung bewährter Sicherheitstechnologien.
  • Versicherungsreformen: Unternehmen könnten den Versicherungsmarkt durch die Bereitstellung eines Backstop-Programms entlasten. In diesem Zusammenhang sollte der US-Kongress in Erwägung ziehen, den Terrorism Reinsurance Program Reauthorization Act (TRIPRA) auch auf Cyber-Angriffe auszudehnen.
  • Anreize, sich aktiv am Informationsaustausch zu beteiligen: Wir müssen uns bewusst sein, dass die "Trittbrettfahrer" bei der kostenlosen Informationsweitergabe ein Problem für den Informationsaustausch im öffentlichen und privaten Sektor darstellen. Alle Unternehmen profitieren von der Nutzung von Bedrohungsdaten. Sie leisten jedoch keinen direkten Beitrag, so lange geeignete Organisationsstrukturen und Anreize zur Vermeidung von "Trittbrettfahrerei" fehlen.
  • Freigabe weiterer Bedrohungsdaten: Regierungen müssen die Qualität und Quantität der für den Privatsektor bereitgestellten Bedrohungsdaten verbessern, um das Trittbrettfahrerproblem anzugehen. Regierungen sollten daher die Vertraulichkeit größerer Bedrohungsdatenkategorien aufheben und diese Informationen aktiv an den Privatsektor weitergeben. Des Weiteren sollten sie qualifizierten Unternehmensvertreten mehr Sicherheitsvollmachten einräumen, damit diese auf die vertraulichsten und potenziell wertvollsten Bedrohungsdaten zugreifen können.