Eine stärkere Vernetzung von Staat und Wirtschaft sieht auch der im 17. Dezember 2014 vom Bundeskabinett beschlossene Entwurf des IT-Sicherheitsgesetzes vor. Ziel dieses Gesetzentwurfs ist es besonders gefährdete sogenannte Kritische Infrastrukturen, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, besser vor Cyberangriffen zu schützen (Entwurf von §2 BSI-Gesetz). Betroffen sind hier vor allem Einrichtungen und Anlagen aus den Sektoren Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz- und Versicherungswesen.
Bereits auf der ersten Seite des Gesetzentwurfs legt der Gesetzgeber den Finger in die Wunde. Schon heute sind mehr als die Hälfte aller Unternehmen in Deutschland vom Internet abhängig. Ein einheitliches IT-Sicherheitsniveau bei Kritischen Infrastrukturen existiert jedoch nicht. Während in einigen Kritischen Infrastrukturbereichen bereits detaillierte gesetzliche Vorgaben geschaffen wurden, fehlen diese in anderen gänzlich, sind veraltet oder unzureichend.
1. Verfügt der Anbieter über eine definierte Strategie für das Risk Management?
Verfügt er über keine Strategie, wird sich ein Investment kaum lohnen. Hat er doch eine, die allerdings eher zweifelhaft ist, macht ein Auftrag ebenfalls keinen Sinn.
2. Verfügt der Anbieter über ein (aktuelles) Regelwerk, Organisationsstrukturen, Vorgaben und Maßnahmen für die Umsetzung dieser Strategie?
Wenn die Führung einer Organisation die Cyber-Sicherheit nicht als Priorität ansieht, dann wird das auch die Belegschaft nicht tun. Anders, wenn Security integraler Bestandteil der Unternehmens-DNA ist.
3. Welche Verwaltungsstrukturen belegen, dass der Anbieter seine Sicherheitsstrategie ernst nimmt? Gibt es einen gesonderten Ausschuss oder andere überwachende Stellen?
Je ranghöher die Mitglieder eines solchen Ausschusses besetzt sind, desto mehr können Sie darauf vertrauen, dass es sich nicht nur um Lippenbekenntnisse handelt.
4. Wie stellt der Anbieter sicher, dass die Sicherheit integraler Bestandteils seines Angebotes ist, wie ist der Vorstand darin eingebunden und wie kann er zur Rechenschaft gezogen werden?
Tragen bestimmte Vorstände persönliche Verantwortung für die Umsetzung der Sicherheitsstrategie beim Kunden?
5. Welchen Ansatz verfolgt der Anbieter, um die Umsetzung der Sicherheitsstrategie in all seinen Unternehmensteilen sicherzustellen? Wie wird er angewendet?
Ist die Sicherheitsstrategie des Anbieters nur bei einigen wenigen Stellen konzentriert, kann sie nicht Teil der Unternehmens-DNA sein.
6. Welche Unterstützung erfährt die Sicherheitsstrategie im Unternehmen des Anbieters? Stehen auch die letzten regionale Außenstellen hinter ihr?
Trägt jeder Teil des Anbieters zur Umsetzung der Sicherheitsstrategie bei oder wird dies durch ein spezielles Team verantwortet? Im zweiten Falle kann die Verantwortung leicht abgeschoben werden.
7. In jeder Firma treten Sicherheitsvorfälle auf. Wie ist der Anbieter in der Vergangenheit damit umgegangen und was wurde daraus gelernt?
Hat sich das Management nicht mit diesen Vorfällen befasst, dann kann Security auch kein integraler Bestandteil des Unternehmens sein.
8. War die IT des Anbieters jemals Opfer einer Cyberattacke? Wenn ja: Was wurde daraus gelernt?
Der Anbieter sollte die Anwendung seiner eigenen Medizin in seiner Organisation demonstrieren können.
9. Unterstützt der Provider in seiner Sicherheitsstrategie international anerkannte Standards? Welche Standardisierungsgremien wachen über deren Einhaltung?
Erst wenn stets die neuesten Standards übernommen werden, lässt sich von einer Sicherheitsstrategie "up-to-date" sprechen.
10. Wie erfolgt die Identifikation neuester Standards und Vorgaben? Welche Maßnahmen werden ergriffen, um mögliche Konflikte mit bestehenden Gesetzen und Vorgaben zu lösen und immer auf dem Stand zu sein?
Der Anbieter sollte über ein definiertes Verfahren verfügen, um neue Standards zu überprüfen und rechtliche Konflikte auszuschließen.
11. Verfügt der Anbieter über geeignete Stellen oder ein Team, um die neusten Standards zu unterstützen – inklusive und insbesondere Kryptografie?
Neben der Verschlüsselung sollte auf die Prozess-Standards der ISO 27000-Serie sowie Industriestandards wie X.805, PCI und OWASP geachtet werden.
12. Was tut der Anbieter, um gesetzliche Vorgaben und Bestimmungen zur Cybersicherheit in all den Ländern, in denen er agiert, zu verstehen und umzusetzen? Wie fließen diese in seine Produkte und Services ein?
Der Anbieter muss zeigen können, wie er auf teilweise widersprüchliche Gesetze in den verschiedenen Ländern reagiert.
13. Wie stellt der Anbieter sicher, dass sein Angebot gesetzeskonform ist? Was, wenn dies einmal nicht der Fall ist? Gibt es Aussagen des Providers über seine Beziehung zu Regierungen?
Können sich die verschiedenen Länderteams beim Gesamtmanagement Gehör verschaffen? Nimmt das Management Rücksicht auf Gesetze?
14. Wie stellt der Anbieter sicher, dass sein Angebot mit den gesetzlichen Exportbestimmungen d'accord geht? Etwa im Falle von starker Kryptografie gibt es Ausfuhrverbote.
Der Anbieter muss integrale Prozesse vorweisen können, um auch hier sicherzustellen, dass die gesetzlichen Bestimmungen ausreichend Berücksichtigt werden.
15. Wie steht es um den Umgang mit geistigem Eigentum?
Der Anbieter muss definierte Vorgaben für den Umgang mit geschützten Inhalten vorweisen können, die auch ethnische und regionale Unterschiede in Betracht ziehen.
16. Wie stellt der Anbieter sicher, dass seine lokalen Vertriebsteams nur Produkte und Services anbieten, die im jeweiligen Land gesetzeskonform sind?
Vertriebler wollen verkaufen und betrachten dabei Gesetze und Vorgaben oft als lästig. Es braucht stringente unternehmensinterne Regeln, um diese Teams auf die jeweils gültigen Regeln einzuschwören.
17. Wie stellt der Anbieter sicher, dass abgeschlossene Verträge die jeweils geltenden Gesetze berücksichtigen?
Vertragswerke sind in der Regel sehr komplex, dennoch muss ein Verfahren bestehen, mit dem sie auf ihre "Wasserdichtheit" bezüglich der jeweils geltenden Gesetze überprüft werden können.
18. Kaum ein Service beziehungsweise Software kommt ohne Bestandteile von Dritten aus. Wie stellt der Anbieter sicher, dass diese ebenfalls allen gesetzlichen Bestimmungen entsprechen?
Der Anbieter muss Kontrollmechanismen vorweisen können, um etwa Lizenzkonflikte auszuschließen.
19. Wird auch das Management-Team des Anbieters in Sachen Cyber Security geschult? Erhalten sie regelmäßige Updates und Trainings?
Solange das Management – und hier besonders das mittlere Management – keine Vorbildfunktion einnimmt, werden auch die Angestellten eine laxe Haltung der Sicherheit gegenüber einnehmen.
20. Hat der Anbieter besonders sensible Posten identifiziert, also Stellen, an denen besonders auf Risiken geachtet werden muss?
Jeder Mitarbeiter des Anbieters, der auf Ihr System und Ihre Daten Zugriff hat, muss ganz besonders geschult werden, um seiner Verantwortung gerecht werden zu können.
21. Wie werden diese sensiblen Stellen überprüft und überwacht? Wird der Background der betreffenden Person gecheckt? Wie können Sie eine möglicherweise unsichere Person schnell loswerden?
Interne Gefahren sind größer als externe, Sie müssen sowohl darauf vorbereitet sein als auch darauf reagieren können.
22. Welche Schulungsmaßnahmen werden für sensible Stellen angeboten? Wie wird die Teilnahme daran überprüft?
Wenn das Wissen der entscheidenden Mitarbeiter nicht "up-to-date" ist, gehen Sie ein hohes Risiko ein.
23. Hat der Anbieter Regeln für die Fortbildung der sensiblen Stellen aufgestellt?
Kritische Posten müssen definierte Prozesse der Fortbildung durchlaufen.
24. In vielen Ländern gibt es Gesetze gegen Bestechung und Korruption. Sind die Mitarbeiter in diesem Hinblick auf dem jeweils neusten Stand?
Der Anbieter muss standardisierte Verfahren vorweisen können, mit denen Mitarbeiter die Gesetzeslage nahe gebracht wird.
25. Kann der Anbieter Mechanismen vorweisen, mit denen Mitarbeiter das Management auf etwaige Regelverstöße aufmerksam machen kann?
Die Mitarbeiter, nicht das Management, haben den Finger am Puls des Kunden und spüren als erstes, wenn etwas schief läuft. Es muss dezidierte Abläufe für Alarmrufe an das Management geben.
26. Was macht der Anbieter, wenn ein wichtiger Mitarbeiter das Unternehmen verlässt?
Mitarbeiter haben oft jede Menge Erfahrungen gesammelt – profitiert der Anbieter davon, auch wenn der Mitarbeiter das Unternehmen verlässt, etwa dadurch, dass er ihn abschließend befragt? Auch hier sollte es festgelegte Mechanismen geben.
27. Welche definierten Strafmaßnahmen hat der Anbieter für Mitarbeiter vorgesehen?
Wie will der Anbieter gegen Mitarbeiter vorgehen, die wissentlich gegen die Vorgaben und Regularien zur Cybersicherheit verstoßen haben?
28. Beziehen die Strafmaßnahmen auch die Vorgesetzten mit ein?
Verstöße sollten erst gar nicht passieren, da das Management seine Mitarbeiter streng überwachen sollte. Bei Vorfällen sollten sich diese übergeordneten Stellen nicht aus der Verantwortung stehlen können.
29. Gibt es standardisierte Vorgaben für den Entwicklungsprozess, die auf die Einhaltung von Cyber-Security-Richtlinien abzielen?
Der Anbieter muss ein Regelwerk vorlegen können, um sichere Entwicklungsprozesse gewährleisten zu können. Hier gibt es keinen globalen Standard, jedes Unternehmen muss seine eigenen Prozesse definieren.
30. Wie ist die Sicherheit im Entwicklungsprozess verankert und wie reagiert sie auf eine wandelnde Bedrohungslage? Wie unterscheidet der Anbieter zwischen zwingenden und eher lässlichen Maßnahmen?
Der Anbieter muss belegen können, dass sein Sicherheitskonzept dynamisch und fest im Entwicklungsprozess integriert ist.
31. Kunden aus aller Welt haben unterschiedliche, manchmal widersprüchliche Ansprüche an die Sicherheit. Verfügt der Anbieter über ein Portfolio integrierter Prozesse, die den unterschiedlichen Interessen Rechnung trägt?
Jedes Land hat andere Gesetze – unflexible Prozesse sind nicht in der Lage, darauf adäquat zu reagieren.
32. Verfügt der Anbieter über ein Life-Cycle-Management für seine Produkte in Hinblick auf die Sicherheit? Wenn ja, wie ist dieses definiert?
Wie schließt der Anbieter Konflikte zwischen Sicherheitsanforderungen und gewünschten Funktionen über den gesamten Lifecycle hinweg aus?
33. Kann Ihr Anbieter detailliert darlegen, wie sein Produkt weiterentwickelt und damit verbessert werden kann? Sind Reviews, Sicherheitschecks und Ausschlusskriterien vordefiniert?
Software kann sehr komplex sein, ihre Weiterentwicklung muss in einem eng gesteckten Rahmen erfolgen, sonst wird sie leicht überladen und kontraproduktiv.
34. Software besteht oftmals aus vielen verschiedenen Programmen von verschiedenen Herstellern. Wie garantiert der Anbieter, dass sie alle sicher sind?
Ungeprüfte Unterprogramme von Dritten können ein System behindern oder gar lahmlegen, von der mangelnden Sicherheit ganz abgesehen.
35. Mittels eines Konfigurations-Managements wird das ordentliche Zusammenspiel verschiedenen Programme gewährleistet. Dafür gibt es unterschiedliche Ansätze. Wie sieht der Ihres Anbieters aus?
Der Anbieter sollte die Integration einer neuen Software in das bestehende System demonstrieren können.
36. Die Trennung von Aufgaben ist unumgänglich, um Bedrohungen zu begrenzen und Schäden auszuschließen. Wie spiegelt sich das im Entwicklungsprozess insbesondere bei der Arbeit der Entwickler wider?
Es gilt, interne Gefahren einzudämmen, indem nicht zu viel Verantwortung in eine Hand gelegt wird.
37. Oftmals wird Code von Drittanbietern in eigene Programme integriert – wie genau wird dies überprüft?
Die Software Ihres Anbieters mag konfliktfrei und sicher sein – stimmt dies aber auch für alle fremden Teile?
38. Open-Source-Software und andere Programme können oft kostenfrei von diversen Websites bezogen werden – wie stellt der Anbieter sicher, dass diese Trojaner-frei ist?
Die Qualitätskontrolle muss auch auf Software von Dritten angewandt werden.
39. Mit welchen Mechanismen wird Code von Dritten auf Schwachstellen hin überprüft?
Wie sieht die Qualitätskontrolle konkret aus?
40. Wie stellt der Anbieter sicher, dass gefundene Fehler überall ausgemerzt werden, wo sich die betreffende Software im Einsatz befindet?
Guter Code findet sich oft in vielen Bereichen eines Systems – ein Fehler darin muss methodisch und überall behoben werden.
41. Kommen verschiedene Entwicklungssprachen und -werkzeuge zum Einsatz?
Im Laufe des Bestehens eines Unternehmens sammeln sich viele verschiedene Programme an – mit welchen Mitteln stellt der Anbieter sicher, dass sie alle auf ihre Sicherheit hin überprüft werden?
42. Welchen Ansatz verfolgt der Anbieter, um den gesamten Entwicklungsprozess von Anfang bis zum Ende zu dokumentieren, inklusive aller Open-Source-Bestandteile und anderer Software von Dritten?
Ohne genauen Überblick über alle eingesetzten Komponenten kann die Fehlersuche Tage oder gar Wochen dauern. In dieser Zeit können Sie das Angebot nicht nutzen.
43. Ausgefeilte Programme bestehen aus Millionen von Code-Zeilen. Mit welchem Verfahren werden sie im Rahmen des Entwicklungsprozesses überprüft?
Automatisierte Programme und Werkzeuge sollten für eine dynamische und permanente Überprüfung des Systems sorgen.
44. Welche Verfahren setzt der Anbieter ein, um ein Produkt als "marktreif" freizugeben?
Ihr Anbieter sollte Ihnen garantieren können, dass sein Produkt nicht nur zu 95 sondern zu 100 Prozent marktreif ist.
45. Im Leben einer Software treten immer wieder mal Defekte auf – wie werden diese entdeckt und ausgebessert?
Sie wollen sich nicht immer aufs Neue mit einem bekannten Problem herumschlagen. Wie stellt der Anbieter sicher, dass ein Defekt ein und für alle mal aus dem System verschwindet?
46. Wie belegt der Anbieter seine Kompetenz in Sachen Cybersicherheit? Gibt es dafür etwa ein Competence-Center?
Niemand kann Experte für alles sein. Es muss unter den Entwicklern spezielle Personen für die Sicherheit von Codes geben.
47. Die Bedrohungslage ändert sich ständig. Wie reagiert der Anbieter darauf?
Nicht nur bekannte Gefahren gilt es abzuwehren, auch für künftige müssen Sie gewappnet sein. Wie will dies der Anbieter garantieren?
48. Mit welchen Mitteln arbeiten die Sicherheitsmechanismen des Anbieters? Hat er eine Datenbank der bekannten Bedrohungen aufgebaut oder eine Bibliothek für durchgeführte Tests?
Für jeden Prozess ihres Anbieters sollte es eine Reihe von integrierten Plattformen geben.
49. Wie sieht das Release Management Ihres Anbieters aus? Wird eine Anwendung oder ihre Überarbeitung gleichzeitig an alle Kunden in allen Ländern ausgegeben oder gibt es andere Mechanismen?
Hier gibt es kein "richtiges" Modell, Sie müssen einfach überprüfen, ob das Release Management Ihres Anbieters zu Ihnen passt.
50. Gibt es zusätzlich zum Expertenteam im Entwicklungsbereich ein Cyber Security Laboratory, das Software unabhängig und noch vor dem Marktstart auf Herz und Nieren überprüft?
Entwickler haben ihre eigene Sicht der Dinge – erst eine unabhängige Instanz sorgt für ausreichend Objektivität.
51. Können die Entwickler oder das Marketing des Anbieters Weisungen dieses Cyber Security Laboratory ignorieren?
Der unabhängigen Testinstanz muss ein Vetorecht zugebilligt werden.
52. Führt das Laboratory Penetrationstests sowie statische und dynamische Code-Scans durch, um die Sicherheit zu gewährleisten?
Welche Methoden kommen zum Einsatz, um die Produkte des Anbieters wasserdicht zu halten?
53. Gibt es externe und unabhängige Einrichtungen, die die Sicherheit der Produkte des Anbieters überprüfen?
Ein gewisser Wettbewerb zwischen interner und externer Kontrollinstanz gewährt ein Plus an Sicherheit.
54. Können Anwender die Produkte des Anbieters in ihren eigenen Test-Centern überprüfen?
Je offener Ihr Anbieter Ihnen gegenüber auftritt, umso sicherer können seine Produkte werden.
55. Würde Ihr Anbieter Ihnen oder anderen Kunden erlauben, ein unabhängiges Testlabor mit der Überprüfung seines Codes zu beauftragen?
Je offener Ihr Anbieter Ihnen gegenüber auftritt, umso sicherer können seine Produkte werden.
56. Falls ja: Besteht der Anbieter auf die Ersteinsicht in die Ergebnisse der Überprüfung durch ein unabhängiges Testlabor?
Erhalten Sie von dem unabhängigen Testlabor einen ungeschminkten Ist-Bericht oder will der Anbieter diesen schönen?
57. Hat Ihr Anbieter Einfluss auf die Untersuchungsmethoden des unabhängigen Testlabors?
Kennt ihr Anbieter die eingesetzten Untersuchungsmethoden, dann kann er sich dafür präparieren.
58. Welche Mechanismen stellen sicher, dass von unabhängigen Testlaboren gefundene Fehler an das Entwicklerteam zurückgemeldet und behoben wird?
Fehlerreports dürfen nicht einfach in der Ablage P oder einer Schublade landen.
59. Darf ein unabhängiges Testlabor die bereinigte Software neuerlich überprüfen?
Vermeintlich "gesäuberte" Software ist nur vermeintlich sicher – sie muss neuerlich überprüft werden.
60. Lernt der Anbieter aus den von einem unabhängigen Testlabor gefundenen Fehlern und sammelt er systematisch Erkenntnisse?
Fehler (und Lösungen) müssen systematisch gesammelt werden, damit sie in Zukunft ausgeschlossen werden können.
61. Wie hält es der Anbieter mit der Sicherheit in den Produkten seiner Zulieferer (Hardware, Software, Services)?
Wie garantiert Ihr Anbieter, dass alle von Zulieferern bezogenen Produkte Ihren Sicherheitserwartungen entsprechen?
62. Welche Sicherheitsanforderungen stellen diese Zulieferer an ihre Zulieferer?
Hier wird es schnell unübersichtlich: Zertifikate können dabei helfen, die Produkte von Zulieferern der Zulieferer als sicher zu behandeln.
63. Hat der Anbieter einen Katalog über Sicherheitsanforderungen an seine wichtigsten Zulieferer formuliert?
Zulieferer müssen wissen, was von ihnen in Sachen Sicherheit erwartet wird.
64. Wie gedenkt Ihr Anbieter die Einhaltung dieser Sicherheitsanforderungen zu überprüfen? Kommen Scorecards oder andere Metriken zum Einsatz?
Zulieferer kommen und gehen – es muss eine davon unabhängige und festgeschriebene Methode zur Überprüfung der Einhaltung des Maßnahmenkatalogs vorgesehen sein.
65. Gibt es ein definiertes Berichtswesen für etwaige später gefundene Fehler in Produkten von Zulieferern?
Immer wieder treten in Anwendungen erst nach einiger Zeit Probleme auf. Ihr Anbieter muss darüber schnellstmöglich informiert werden, so dass er Sie schützen kann.
66. Welche Maßnahmen gedenkt Ihr Anbieter zu ergreifen, wenn ein Zulieferer nicht mehr Ihren Sicherheitsansprüchen genügt?
Ein Zulieferer muss dazu gebracht werden können, Sicherheitsüberprüfungen durchzuführen und Maßnahmen zu verbessern. Ist dies aus welchen Gründen auch immer nicht möglich, müssen weitere Maßnahmen greifen.
67. Hält sich Ihr Anbieter an international gültige Bestimmungen wie Trade Partnership Against oder Transported Asset Protection Association (TAPA)? Ist er dafür zertifiziert?
In verschiedenen Ländern gelten verschiedene Standards – Ihr Anbieter sollte eine wirklich große Palette an unterstützten Protokollen vorweisen können.
68. Führt Ihr Anbieter regelmäßig Sicherheits-Audits bei seinen Zulieferern durch? Worauf achtet er dabei? Wie wird auf gefundene Schwachstellen reagiert?
Ein kollaborativer Ansatz kann Ihnen, Ihrem Anbieter und seinen Zulieferern helfen, Produkte sicherer zu machen.
69. Welche Standards und Best Practices kommen bei Ihrem Anbieter im Fertigungsprozess zum Einsatz?
In der Fertigung kommen viele komplexe Prozesse und Verfahren zum Einsatz. Ihr Anbieter sollte einen holistischen Ansatz dafür darlegen können, in dem die besten international gültigen Standards und Ansätze versammelt sind.
70. Ihr Anbieter muss den Fertigungsprozess von Anfang bis Ende beschreiben können und angeben, an welchen Kontrollinstanzen schad- oder fehlerhafte Codes aussortiert bzw. repariert werden.
Treten Anwendungsfehler im Betrieb auf, müssen die betreffenden Teile separiert und geprüft werden, bevor sie zurück ins System gespielt werden.
71. Wie stellt der Anbieter sicher, dass die von ihm eingesetzten Codes von Dritten auch tatsächlich die Codes sind, die er bestellt hat?
Ihr Anbieter sollte keinem seiner Zulieferer Vertrauen schenken, sondern auf Nummer Sicher gehen.
72. Wie stellt der Anbieter sicher, dass die von ihm eingesetzten Codes von Dritten nicht von eigenen Mitarbeitern verändert werden?
Wieder gilt es, die internen Gefahren im Haus des Anbieters zu minimieren.
73. Wie schützt der Anbieter seine Software nach deren Vollendung vor Manipulationen?
Fertige, aber noch nicht eingesetzte Produkte bieten ideale Möglichkeiten für Manipulationen. Wie schützt sich der Hersteller dagegen in seinen Fabriken und Lagerhallen?
74. Wie stellt Ihr Anbieter sicher, dass das Produkt, das Sie erhalten, identisch ist mit dem, was er Ihnen zuvor demonstriert hat?
Logistikströme müssen überwacht und vor Manipulationen geschützt sein.
75. Wie stellt Ihr Anbieter sicher, dass die von ihm in seinen Produkten eingesetzten Komponenten immer auf dem neusten Stand sind?
Software ist oft fehlerhaft und braucht Updates. Der Einsatz der jeweils neusten Releases minimiert das Fehlerrisiko.
76. Wie stellt Ihr Anbieter sicher, dass die bei Ihnen eingespielte Software exakt diejenige ist, die von seinem Entwicklerteam freigegeben wurde?
Ihr Anbieter muss eine lückenlose End-to-End-Integration demonstrieren können.
77. Wie stellt Ihr Anbieter sicher, dass keiner seiner Mitarbeiter während des Fertigungsprozesses Malware in die Software einschleust?
Gerade während der Fertigung braucht Software besonderen Schutz. Eine Monitoring-Lösung sollte den Zugriff von Unautorisierten verhindern.
78. Wie stellt Ihr Anbieter sicher, dass nach angeschlossener Produktion alle Verbindungen von seinen Mitarbeitern zur Software gekappt wurden?
Offene Ports erlauben es, auch noch nachträglich Manipulationen am fertigen Produkt vorzunehmen.
79. Ist Ihre Software während des Fertigungsprozesses anonymisiert?
Ein Produkt, das einem Abnehmer fix zugeordnet ist, lädt zu Angriffen auf eben diesen spezifischen Abnehmer ein. Anonymisierte Software minimiert dieses Risiko.
80. Wie stellt Ihr Anbieter sicher, dass das Produkt nicht manipuliert wurde, falls das Produkt "ungebraucht" an den Anbieter zurückgegeben wird?
Wieder muss Ihr Anbieter beweisen können, dass er niemandem traut – noch nicht einmal Ihnen!
81. Sollten Sie Ihr Produkt einmal etwa wegen eines Fehlers zurückgeben müssen, wie stellt der Anbieter sicher, dass dabei keine Ihrer Daten mit übernommen werden?
Oft handelt es sich um Kundendaten, und die dürfen schon aus datenschutzrechtlichen Gründen nicht weitergegeben werden, natürlich auch nicht an Ihren Software-Anbieter.
82. Wie stellt Ihr Anbieter sicher, dass eine "gefixte" Software frei von Malware ist und dass es sich tatsächlich um die Software handelt, die sie zur Reparatur eingeschickt haben?
Auch beim Beheben von Fehlern darf der Anbieter von seinem Konzept der absoluten Überwachung nicht abweichen.
83. Wie genau werden alle Komponenten einer Software überwacht, sei es bei der Fertigung oder während einer Reparatur? Wer wann und wo wie Zugriff hat, muss genau dokumentiert sein.
Die Sicherheit einer Software kann nur durch eine lückenlose Überwachung und Dokumentation gewährleistet werden.
84. Wie erhalten die Service-Mitarbeiter Ihres Anbieters Zugang zum Produkt?
Auch die von Ihnen eingesetzte Software benötigt Wartung – Sie dürfen aber die Kontrolle über den Zugang dazu nie verlieren.
85. Welche Schutzmechanismen hat Ihr Anbieter für die Service-Zugänge installiert?
Der Anbieter muss Richtlinien und Verfahren vorweisen können, wie die Zugangsdaten geschützt sind und was mit Ihnen nach Beendigung der Wartung passiert.
86. Wie sind die PCs und Laptops der Mitarbeiter Ihres Anbieters abgesichert? Können sie eigene Software aufspielen?
Sind die Rechner der Mitarbeiter verseucht, besteht auch höchste Gefahr für Ihre Anwendung und Ihre Daten.
87. Wie stellt Ihr Anbieter sicher, dass seine Mitarbeiter immer die korrekte Software einsetzen?
Produkte für Unternehmenskunden sind oft sehr komplex, Teile davon benötigen Updates etc. Ihr Anbieter muss nachweisen können, dass stets die aktuelle Version bearbeitet wird.
88. Wie will Ihr Anbieter Ihnen garantieren, dass die Service-Mitarbeiter keine Malware in Ihr Produkt einschleusen?
Hier müssen Methoden installiert sein, um das Korrumpieren Ihres Produkts zu verhindern.
89. Ihr Anbieter muss Ihnen sein Sicherheitskonzept bis ins Detail darlegen und Komponenten daraus - wie etwa Firewalls - demonstrieren können.
Auch alle Hardware-Komponenten müssen abgesichert werden.
90. Wenn Ihr Anbieter für die Problembehandlung mit Ihren Kundendaten umgehen muss, holt er dafür die Erlaubnis des Kunden ein? Wie stellt er sicher, dass mit den Daten sorgsam umgegangen wird?
Es muss Vorschriften und Regeln über den Umgang mit Kundendaten geben, diese muss man Ihnen vorlegen können.
91. Welche Regeln gelten, wenn für das Beheben von Problemen Kundendaten über Landesgrenzen hinweg versendet werden müssen?
Sie müssen sich mit Ihrem Anbieter auf Vorgaben einigen, was in diesem Fall erlaubt ist und was nicht. Bedenken Sie dabei immer die Datenschutzrichtlinien der betreffenden Länder.
92. Was passiert mit den verschobenen Daten nach der Behebung des Problems?
Auch für das Löschen von Daten müssen automatisierte Methoden vorliegen, diese muss man Ihnen demonstrieren können.
93. Für das Finden von Fehlern sind Überwachungsprotokolle essentiell – wie stellt Ihr Anbieter sicher, dass in diesen wirklich alle relevanten Daten erfasst werden?
Hier sollten industrieweit anerkannte Überwachungsprotokolle zum Einsatz kommen.
94. Sie benötigen Ihren Anbieter ganz besonders in Krisenzeiten – wie wird Ihnen Ihr Anbieter im Falle von Naturkatastrophen oder Systemausfällen beistehen? Fordern Sie konkrete Beispiele und konkrete Hilfestellungen ein.
Business Continuity muss neben der Sicherheit ganz oben auf der Prioritätenliste Ihres Anbieters stehen.
95. Verfügt Ihr Anbieter über ein Kriseninterventionsteam (PSIRT/CSIRT)? Wo ist es ansässig und wie können Sie es schnellstmöglich erreichen? Wie laufen im Notfall die Prozesse ab?
Vorkonfigurierte Prozesse und ein jederzeit erreichbares Kriseninterventionsteam minimieren den Schaden.
96. Wie arbeitet das Kriseninterventionsteam Ihres Anbieters mit Ihrem eigenen Kriseninterventionsteam zusammen? Gibt es eine zentrale Stelle, die gegebenenfalls die Kommunikation koordiniert?
Ihr Anbieter sollte sich als flexibel genug erweisen, um mit Ihnen beziehungsweise Ihrem Team auch im Krisenfall reibungslos zusammenarbeiten zu können.
97. Arbeitet Ihr Anbieter mit der Security Research-Community zusammen?
Ihr Anbieter muss sich als lernfähig erweisen und in Sachen Sicherheitsbedrohungen auf dem jeweils neusten Stand sein.
98. Wie werden Sie im Krisenfall informiert?
Treten Probleme auf, zählt jede Sekunde. Stellen Sie sicher, dass es vorkonfigurierte Kommunikationskanäle vom Anbieter zu verantwortlichen Stellen in Ihrem Unternehmen gibt.
99. Welche Vorschriften und Methoden hat Ihr Anbieter eingerichtet, damit sein Management-Team und der Vorstand schnellstmöglich über interne Vorfälle und die allgemeine Sicherheitslage informiert werden?
Je mehr Feedback die Konzernspitze Ihres Anbieters über die eigene Sicherheitslage erhält, umso vertrauenswürdiger ist er.
100. Erlaubt Ihr Anbieter seinen wichtigsten Anteilseignern und anderen externen Stellen ein Audit seiner Prozesse?
Je offener ein Anbieter für Untersuchungen und Expertisen von Dritten ist, desto wahrscheinlicher ist sein Unternehmen ein sicheres.
Ziel des Gesetzgebers ist es daher innerhalb weniger Jahre ein einheitliches IT-Sicherheitsniveau sicherzustellen. Um dies zu erreichen, sollen Betreiber kritischer Infrastrukturen verpflichtet werden, angemessene organisatorische und technische Vorkehrungen - sogenannte branchenspezifische Mindeststandards - zu treffen, um Störungen durch Cyberangriffe zu verhindern, welche nicht nur zwingend einzuhalten, sondern auch dynamisch dem Stand der Technik anzupassen sind (Entwurf von §8a BSI-Gesetz). Die Einhaltung der branchenspezifischen Mindeststandards ist dann seitens der Betreiber kritischer Infrastrukturen mindestens alle zwei Jahre beispielweise durch Sicherheitsaudits, Prüfungen oder Zertifizierungen gegenüber dem BSI nachzuweisen (Entwurf von §8b BSI-Gesetz).
Der Vorteil an diesem Gesetzesvorschlag: Der Gesetzgeber ermöglicht es den Betreibern kritischer Infrastrukturen und ihren Branchenverbände, selbst branchenspezifische Mindeststandards zu entwickeln und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vorzuschlagen, welches die Eignung auf Antrag feststellen muss. Eine Überregulierung könnte so verhindert werden. Ob das BSI jedoch die Vorschläge der Wirtschaft auch akzeptieren wird oder welchen Anforderungen das BSI an die Unternehmen stellen wird, bleibt abzuwarten.
Eine weitere Maßnahme zur Bekämpfung und Bewältigung von Cyberangriffen stellt der Aufbau einer breiten, umfassenden Wissensbasis durch den Austausch von Informationen zwischen Staat und Wirtschaft dar. Hierbei sollen Betreiber kritischer Infrastrukturen verpflichtet werden, durch Cyberangriffe verursachte Störungen mit Auswirkungen auf die Versorgungssicherheit oder die öffentliche Sicherheit unverzüglich dem BSI zu melden (Entwurf von §8b BSI-Gesetz). Das BSI sammelt alle eingehenden Meldungen und wird so erstmals in die Lage versetzt, ein aktuelles valides nationales Lagebild zu erstellen. Zugleich wertet das BSI die gesammelten Informationen aus und stellt diese wiederum den Betreibern zum verbesserten Schutz ihrer IT-Systeme und zur Bewältigung der Cyberangriffe zur Verfügung.
Anders als der erste Gesetzentwurf im Jahr 2013 bedarf es einer namentlichen Nennung des Betreibers erst, wenn der Cyberangriff tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat. Wurde der vorherige Entwurf wegen des befürchteten Reputationsschadens der Unternehmen noch stark kritisiert, bewertet die Wirtschaft den jetzigen Vorschlag positiv. "Damit werden Reputationsverluste für die Unternehmen vermieden und die Bereitschaft zur Meldung gesteigert", kommentiert der IT-Branchenverband Bitkom. In der Tat dürfte ein Ausgleich der verschiedenen Interessen gefunden worden sein.
Ausgenommen von der Meldepflicht sowie von der Pflicht branchenspezifische Mindeststandards einzuhalten, sind Kleinstunternehmen. Hierbei handelt es sich um Unternehmen, die weniger als zehn Personen beschäftigen und deren Jahresumsätze oder Jahresbilanzen zwei Millionen Euro nicht überschreiten. Auf Betreiber von Energie- und Atomanlagen sowie von öffentlichen Telekommunikationsnetzen oder Anbieter von öffentlich zugänglichen Telekommunikationsdiensten finden hingegen spezialgesetzliche Regelungen Anwendung, die den Anforderungen der §§8 a und b BSI-Gesetz entsprechen.
In einem dritten Schritt sollen auch die Bürgerinnen und Bürger vor Cyberangriffen besser geschützt werden. Eine besondere Verantwortung tragen in diesem Zusammenhang vor allem die Telekommunikationsanbieter, welche, soweit technisch und wirtschaftlich zumutbar, durch technische und organisatorische Vorkehrungen (wie beispielsweise Verschlüsselungsverfahren) sicherzustellen haben, dass kein unerlaubter Zugriff auf ihre Kritischen Infrastrukturen möglich und diese gegen Störungen gesichert sind. Zusätzlich trifft sie die Pflicht, die personenbezogenen Daten ihrer Kunden vor Zugriff Dritter zu schützen (Entwurf §13 Telemediengesetz). Ist ein Nutzer dennoch von Störungen durch einen Cyberangriff betroffen sind, ist er hierüber zu informieren (Entwurf §109a Telekommunikationsgesetz). Darüber hinaus sind die Bürgerinnen und Bürger über Cyberangriff auf kritische Infrastrukturen grundsätzlich zu informieren, wenn das öffentliche Interesse dies erfordert.
In einem letzten Schritt sollen die Rechte der zuständigen Sicherheitsbehörden, insbesondere des BSI und des Bundeskriminalamtes (BKA), gestärkt werden. Das BSI nimmt hierbei die zentrale Schlüsselrolle ein und erhält hierfür sämtliche Kompetenzen. Auf strafrechtlicher Ebene soll hingegen der Zuständigkeitsbereich des BKA auf die Regelungstatbestände der §§ 202a, 202b, 202c, 263a, 303a und 303b Strafgesetzbuch ausgeweitet werden. Statt bisher durch die Polizeien der Länder sollen Cyberangriffen, die sich gegen die innere und äußere Sicherheit der Bundesrepublik Deutschland oder gegen sicherheitsempfindliche Stellen von lebenswichtigen Einrichtungen richten, nun effektiv, bundesweit verfolgt werden können. Dies ist zu begrüßen. Derzeit liegt die Zuständigkeit der polizeilichen Strafverfolgung in der Regel bei den Ländern, weshalb es vielmehr vom Zufall abhängig ist, in wessen Zuständigkeitsbereich die Strafverfolgung fällt.
Dennoch, die Umsetzung der geplanten Maßnahmen wird zu erheblichen Kosten sowohl auf Seiten des Staats als auch auf Seiten der Wirtschaft führen. So schätzt der Gesetzgeber, dass allein bei den zuständigen Sicherheitsbehörden bis zu 425 neue Planstellen benötigt werden. Unklar ist derzeit, welche finanziellen Belastungen die Wirtschaft tragen wird. Allein die Erfüllung der Meldepflicht wird nach Schätzungen des Bundesministeriums des Innern jährlich 9,24 Millionen Euro kosten. Der Bitkom geht sogar von Kosten bis zu 1,1 Milliarden Euro pro Jahr aus, je nachdem wie viele Unternehmen als Betreiber Kritischer Infrastrukturen eingestuft werden.
Derselbe Aufwand soll auf Betreiber öffentlicher Telekommunikationsnetzen, Anbieter von Telekommunikationsleistungen oder Betreiber von Atomanlagen für die Aufrechterhaltung und Erweiterung der bereits bestehenden Meldeverfahren zukommen. Die Kosten für die Entwicklung, Umsetzung und Einhaltung der branchenspezifischen Mindeststandards sind hier noch nicht eingerechnet.
Doch nicht nur der deutsche Gesetzgeber nimmt sich der Bekämpfung der Cyberkriminalität an. Auch die Europäische Union arbeitet derzeit an einer Richtlinie. Die Richtlinie verfolgt hierbei dieselbe Strategie. Auch hier sollen die Mitgliedstaaten Netz- und Informationssicherheits-strategien entwickeln sowie eine Fachbehörde für Cybersicherheit einrichten, die - und hierin unterscheidet sich die Richtlinie im Wesentlichen vom Entwurf des IT-Sicherheitsgesetzes - zusätzlich die IT-Sicherheitsvorfälle untersuchen und den Betreibern kritischer Infrastrukturen Anweisungen erteilen kann. Die Zustimmung des EU-Rates zu dieser Richtlinie steht bislang noch aus.
Erstmals erkennt der deutsche Gesetzgeber die Informationstechnologie als ein wesentliches Wirtschaftsgut unseres Staates an. Diese Erkenntnis kommt spät, aber immerhin sie kommt. Bereits jetzt sind mehr als die Hälfte der Unternehmen in Deutschland vom Internet abhängig. International tätige Wirtschaftsunternehmen sind bereits heute ohne eine funktionierende IT nicht mehr überlebensfähig. Demzufolge ist das IT-Sicherheitsgesetz zumindest ein Anfang.
Dennoch, die späte Erkenntnis wird sowohl Staat als auch Wirtschaft viel Geld kosten. Den Schaden, den Cyberangriffe bereits verursacht haben, nicht mitberücksichtigt. So birgt die Umsetzung des Gesetzentwurfs noch erhebliche Unsicherheiten und eine willkommene Spielwiese für Berater; sowohl auf staatlicher als auch auf privatwirtschaftlicher Seite. Weder die Anforderungen an die branchenspezifischen Mindeststandards sind hinreichend konkretisiert, noch ist vorhersehbar, wie effektiv die Meldepflicht zur Bekämpfung der Cyberkriminalität sein wird. Ein erheblicher Bürokratieaufwand insbesondere zur Erfüllung der Meldepflichten wird nicht nur die zuständigen Sicherheitsbehörden, sondern vor allem die Unternehmen überrollen. Um welchen Preis? Das ist ungewiss, mindestens wohl 9,24 Millionen jährlich. Auch ist unklar, wie viele Unternehmen als Betreiber Kritischer Infrastrukturen eingestuft werden. Von 2000 Betreibern geht die Bundesregierung derzeit aus.
Eine funktionierende Informationstechnologie als Wirtschaftsgut: Mit dieser Erkenntnis beginnt das 21. Jahrhundert nun auch in den Gesetzestexten. Wie effektiv die geplanten Maßnahmen jedoch sein werden, wird die Praxis zeigen. Nachträgliche Anpassungen sind bereits vorprogrammiert. Immerhin, der Grundstein ist gesetzt. (sh)