Hintergrund

Regierungen, Unternehmen und Privatanwender werden im Bereich der Cyber-Sicherheit mit einer Bedrohungslandschaft konfrontiert, die sich ständig und mit jeder neu auf den Markt kommenden Technologie schneller ändert als jemals zuvor. Die enorm gestiegene Anzahl an internetfähigen Geräten in Regierungsbehörden, im Industriesektor sowie im Privatbereich erschwert diese ohnehin schon schwierige Situation noch weiter. Die Probleme, vor denen wir stehen, sind zu schwerwiegend, als dass sie von einem Unternehmen oder einer Einrichtung allein bewältigt werden könnten. Nur gemeinsam können wir es schaffen. Dabei haben sich öffentlich-private Partnerschaften als effektives Modell der Zusammenarbeit erwiesen.

Die auch als NIST Cybersecurity Framework bezeichneten Rahmenbedingungen zur Verbesserung der Cyber-Sicherheit kritischer Infrastrukturen finden als äußerst erfolgreiches Modell für öffentlich-private Zusammenarbeit breite Anerkennung und werden von Regierungsbehörden sowie Unternehmen mit kritischen Infrastrukturen angewandt. Der NIST-Ansatz war erfolgreich, weil von Politik und Privatsektor ein festes Ziel definiert wurde: die Verbesserung der Sicherheit kritischer Infrastrukturen. Da der Prozess offen ist, hörte NIST auf den privaten Sektor und baute Vertrauen bei den wichtigen Verantwortlichen auf. Dadurch konnte ein flexibles Framework geschaffen werden, das auf freiwilliger Zusammenarbeit statt starrer Regulierung basiert. Die Politik sollte daher die jüngsten Erfolge des NIST-Framework als positives Beispiel dafür betrachten, wie gewünschte Ergebnisse erzielt werden können.

Bedeutung für McAfee

McAfee ist der Meinung, dass die Abwehr von Cyber-Angriffen sowie die Absicherung unserer Netzwerke, Daten, Infrastrukturen und sogar unserer Leben am besten durch Zusammenarbeit im Bereich Cyber-Sicherheit erreicht werden kann. Wir sind davon überzeugt, dass starke öffentlich-private Partnerschaften auf freiwilliger Basis der beste Weg zur Bewältigung der Cyber-Sicherheitsprobleme sind. Durch diese Partnerschaften werden nicht nur Vertrauen aufgebaut und Innovationen gefördert, sondern sie ermöglichen auch langfristigere Erfolge als übermäßig restriktive Regierungsaufträge und -vorschriften, die zudem noch das Vertrauen zerstören.

McAfee engagiert sich seit über 10 Jahren in öffentlich-privaten Partnerschaften, die durch das US-Heimatschutzministerium, NIST und andere Stellen geregelt werden. Wir gehören zu den maßgeblichen Mitgliedern des National Security Telecommunications Advisory Committee (NSTAC) für den Präsidenten der Vereinigten Staaten, des Information Technology Sector Coordinating Council (IT SCC), des Information Technology-Information Sharing and Analysis Center (IT-ISAC), der National Cyber Security Alliance (NCSA) sowie des National Cybersecurity Center of Excellence (NCCoE).

Außerdem sind wir davon überzeugt, dass durch fundierte Zusammenarbeit untermauerte Technologien schnell in Sicherheitsplattformen implementiert werden können, damit diese über offene Kommunikationsprotokolle miteinander kommunizieren können. Derartige Technologien können durch den strategischen Intellekt gelenkt werden, den nur Menschen besitzen. Eine erfolgreiche Cyber-Sicherheitsstrategie kann also nur erreicht werden, wenn die Technologien, die Cyber-Sicherheitsbranche und die Bemühungen zwischen Regierung und Privatsektor miteinander kombiniert werden. Und genau darum geht es bei echter Zusammenarbeit.

Handlungsempfehlungen

Die Politik sollte keine Bestimmungen und Vorschriften für Cyber-Sicherheit anordnen. Stattdessen sollte sie freiwillige Zusammenarbeit sowie den Einsatz branchenweit anerkannter Standards und bewährter Vorgehensweisen unterstützen. In der Industrie sollte die Übernahme von Verantwortung für Cyber-Sicherheit gefördert werden. Außerdem sollten höhere Budgets zugewiesen und der Schwerpunkt im Management und in Unternehmen stärker auf Cyber-Sicherheit gelegt werden.

Durch Haftungssicherungen und eine Lockerung der Kartellbestimmungen hat die Politik in bewundernswerter Weise Anreize gegeben, um einen umfassenden Informationsaustausch zwischen dem Privatsektor und der Regierung sowie von privaten Stellen untereinander zu fördern. Allerdings beteiligen sich nur wenige Unternehmen am aktiven Austausch von Bedrohungsdaten mit der Regierung und anderen Unternehmen. Dies ist ein schwerwiegendes Hindernis für die Umsetzung unseres Ziels: ein äußerst funktionsfähiges Ökosystem für den Informationsaustausch zu schaffen, das die öffentlichen und privaten Sektoren beim Wettkampf mit weltweiten, raffinierten Hacker-Netzwerken unterstützt.

Regierungsbehörden sollten die Vertraulichkeit größerer Bedrohungsdatenkategorien aufheben und diese Informationen aktiv an den Privatsektor weitergeben. Des Weiteren sollte das Heimatschutzministerium qualifizierten Unternehmensvertreten mehr Sicherheitsvollmachten einräumen, damit diese auf die vertraulichsten und potenziell wertvollsten Bedrohungsdaten zugreifen können. Die US-Regierung sollte die Gesetzesvorlage zur Regelung erstattungsfähiger Steuergutschriften für den Austausch von Cyber-Informationen als Gesetz verabschieden. Dies würde Unternehmen jeglicher Größe anregen, sich in sektorspezifischen Organisationen für den Informationsaustausch, sogenannten Information Sharing and Analysis Centers (ISACs), einzubringen. Als Anreiz sollten dabei erstattungsfähige Steuergutschriften dienen, die Kosten für die Teilnahme an ISACs kompensieren.