MSC: Neue Mitglieder und erste Ergebnisse beim "Charter of Trust"
Die Mitglieder der „Charter of Trust“ feierten am Rande der Sicherheitkonferenz Geburtstag und berichteten über den steinigen Weg zu mehr Systemsicherheit.
(Bild: Gorodenkoff / Shutterstock.com)
Infineon, NTT und das Hasso-Plattner-Institut traten am Freitag offiziell der „Charter of Trust“ bei und verpflichteten sich damit auf die Umsetzung von „Sicherheit by Design“ für ihrer Dienste und Produkte. Analog zur Maßgabe „Privacy by Design“ wollen die Mitglieder des vor zwei Jahren bei der Sicherheitskonferenz in München auf den Weg gebrachten Bündnisses das Konzept „Security by Design“ zu einem Standard für die eigenen Produkte und Dienstleistungen machen.
Sicherheit auch bei Zulieferern
Auf die Einhaltung von 10 Grundregeln des "Charter of Trust" (CoT) haben sich die mittlerweile 17 Mitglieder des Bündnisses verpflichtet: Neben Siemens und der MSC gehören AES, Airbus, Allianz, Atos, Cisco, Dell Technologies, Deutsche Telekom, IBM, Mitsubishi Heavy Industries, NXP Semiconductors, SGS, Total und der TÜV SÜD dazu. Das BSI, die TU Graz und das spanische National Cryptologic Center sind assoziierte Mitglieder.
Zu den Grundprinzipien der CoT gehört auch die Absicherung quer durch die Lieferkette. Dafür hat man im vergangenen Jahr 17 Anforderungen an die eigenen Lieferanten konkretisiert, berichtete Siemens-CTO Roland Busch am Freitagabend auf der Münchner Sicherheitskonferenz. Durch eigene Sicherheitsprozeduren und den Einsatz sicherer Hard- und Software sollen Zulieferer Hacks in ihren Systemen ausschließen. 60 Prozent der Angriffe auf Unternehmen haben laut einer Studie von Verizon ihren Ursprung bei kleineren Lieferanten. Insgesamt 400 eigene Zulieferer hätten sich den entsprechenden Anforderungen mittlerweile verpflichtet, sagte Busch.
Versicherung, Backup und Krisenpläne
Das Modelabel Marco Polo gab bei der Geburtstagsfeier Einblick in einen Hack des eigenen Unternehmens am 13. September 2019. Ein Ransomware-Angriff legte zum Wochenende alle Systeme des Unternehmens lahm, genau zu dem Zeitpunkt, an dem der Transfer einer neuen Kollektion an die Produzenten gestartet werden sollte. Ein IT-Team und ein Team zur Beweissicherung wurden nach einigem Hadern zusammengerufen, das Stammhaus in ein Hotel verwandelt, berichtete Marco Polo-Vorstandsmitglied Jürgen Hahn. Schnell fiel die Entscheidung, die für den Schlüssel geforderte Summe zu bezahlen. Damit wurde ein externer Unterhändler engagiert.
„Unsere Datensicherung war 10 Tage alt war, wir wussten also nicht einmal, wem wir für rund 30 Millionen Euro Ware geliefert hatten,“ berichtete Hahn. Schwierig gestaltete sich am Ende vor allem die Suche nach einer Bank, die bereit war, die geforderte Summe in Bitcoin zu bezahlen. „Wenn Sie nach einer Bank suchen, die in Bitcoin an eine Blockchain bezahlt, sitzen sie rasch in einem leeren Raum“, berichtet Hahn. Am Ende sei man in der Schweiz fündig geworden.
Die Lehren aus dem Angriff sind laut Hahn klar: „Versichern Sie sich gegen solche Angriffe.“ CoT-Mitglied Allianz bietet mittlerweile Versicherungen dafür an. Besser ausgesehen hätte es für Marco Polo außerdem, wenn man tagesaktuelle Datensicherung gehabt hätte. Auch Cloudlösungen können seiner Meinung nach ein probates Mittel sein. Vor allem aber sollte man ein Krisenteam zusammenstellen, bevor es soweit sei. (tiw)
