Cybersicherheit zwischen Whack-a-Mole und Sicherheitsstandards
Auf der Münchner Cybersicherheitskofenrenz forderten die Teilnehmer agile Gesetzgeber, schnellere Regulierer und mehr Standards sowie Sicherheit by Design.
(Bild: Black_Kira/Shutterstock.com)
Agile Gesetzgeber, schnellere Regulierer, vor allem aber mehr Standards und Sicherheit by Design empfahlen Vertreter zu Beginn der zweitägigen Münchner Cybersicherheitskonferenz (MCSC). Zur vom Sicherheitsnetzwerk München ausgerichteten 10. Ausgabe kamen 700 Vertreter von Unternehmen, hochrangige Strafverfolger aus den USA, Regulierer und "alte" Geheimdienstler auf der Suche nach besseren Rezepten im Kampf für mehr Sicherheit und gegen Cybercrime zusammen.
Ursprünglich sei er gegen die Idee gewesen, Cybersicherheit in die außenpolitisch orientierte Konferenz zu integrieren, sagte der frühere Leiter der Münchner Sicherheitskonferenz, Wolfgang Ischinger, vor einem voll gepacktem Konferenzsaal. Er habe befürchtet, wenn man zu "Nerds" wird, würden die rauchenden Herren in den dunklen Anzügen – das ursprüngliche Personal der vor 60 Jahren als Wehrkundetagung gestarteten Konferenz – Kaffee trinken gehen. Da habe er sich ziemlich geirrt, räumte Ischinger ein.
Whack-a-Mole
FBI Chef Chris Wray lieferte der Konferenz ein Update zu der wachsenden Zahl von Take-Downs seiner Behörde. Am Morgen der MCSC kündigte Wray in der Operation "Dying Ember" an, ein Botnetz der GRU Military Unit 26165 des russischen Geheimdienstes mit Hunderten Servern offline genommen zu haben – gedeckt durch einen Gerichtsbeschluss und gemeinsam mit internationalen Partnern.
Ein großer Schlag war der Behörde kürzlich mit der Abschaltung von Instanzen des als "Volt Typhoon" bezeichneten Netzes gelungen, mit dem sich chinesische Hacker Einfalltore für mögliche Attacken auf kritische Infrastruktur angelegt haben. Eine Aktion wie die gegen Volt Typhoon mit Tausenden Servern sei durchaus eine gute Nachricht, sagt Security Experte Bruce Schneier. "Der Angreifer muss das neu aufbauen und hat es vielleicht nicht, wenn er es jetzt nutzen will", sagte Schneier. Natürlich gebe es viele solcher Botnetze.
Wray und die stellvertretende Vize-Generalstaatsanwältin Lisa Monaco versprachen in München, man werde weiter unerbittlich gegen die staatlichen Bots vorgehen.
Regulierungstsunami
Kommissionsvizepräsident Margaritis Schinas rekapitulierte in seiner Keynote die Schritte, mit welchen der noch amtierende EU-Gesetzgeber (auch) für mehr Sicherheit in Netzen, Plattformen und kritischer Infrastruktur sorgen will, von der NIS2 Richtlinie über die noch abzuschließenden Verordnungen zur Cyberresilienz und KI.
Angesichts der Kritik vom Regulierungstsunami sagte Schinas: "Ich glaube nicht, dass wir in der Regulierung vor der Wahl stehen, gar nicht regulieren oder alles regulieren. Es gibt einen dritten Weg, den europäischen."
Harmonisierungsanstrengung
BSI-Chefin Claudia Plattner bat in der Runde mit dem vor fragmentierter Regulierung warnenden BDI Chef, Siegfried Russwurm, den nationalen Cybersicherheitsbehörden noch etwas Zeit zu geben für die Umsetzung.
Am Rande der MCSC hatten sie sich 26 Amtskollegen aus Europa zum Cyber Security Director's Meeting verabredet. "Wir haben genau darüber gesprochen, wie wir die NIS2 Umsetzung harmonisieren können", sagte Plattner. Gerade bei den technischeren Regulierungen, etwa der nicht unumstrittenen eIDAS Richtlinie, hängt am Ende viel von den für die Umsetzung gewählten Standards ab.
USA: Mehr Regulierung wagen
Viele der hochrangigen US-Offiziellen muss man allerdings nicht mehr von der Notwendigkeit von Regulierung überzeugen. Alejandro Mayorkas, US-Minister für Innere Sicherheit, sprach von der Notwendigkeit eines neuen "Cyber-Social Contract". Die alte Aufforderung von John Perry Barlow, Staaten sollten die Finger vom Netz lassen, habe ausgedient, so Mayorkas.
Wie bei der Atomkraft bedürfe es auch fürs Digitale eines verbindlichen Regulierungsrahmens, und EU und USA seien beide auf dem Weg dahin. Um zugleich Innovation nicht zu bremsen, dürfe man nicht in Details, sondern mit Standards regulieren – und Behörden und Gesetzgeber müssten selbst agiler werden.
Standards, aber meine
Über den Nutzen von Standards waren sich die transatlantischen Partner bei der MCSC einig. Vincent Strubel, Chef der französischen Cybersicherheitsbehörde ANSSI, unterstrich, Gesetze wie der EU Cyber Resilience Act enthalte gerade keine Details. "Wir werden eine Menge Standards brauchen." Nach den kritischen Infrastrukturen müsse man nun weiter gehen – zur Sicherung der nicht so kritischen Geräte. "So wie man Anspruch darauf hat, dass eine Zahnbürste einem keinen Stromschlag versetzt, hat man auch Anspruch, dass die Zahnbürste einen nicht bespitzelt oder Teil eines Botnetzes wird", so Strubel.
Es sei dabei zugleich wichtig, dass der Standardisierungsprozess entsprechend für sichere Spezifikationen sorge. Die diesbezügliche Erfolgsbilanz bei der Schaffung der Grundbausteine des Internets sei ja durchaus gemischt.
Bei aller transatlantischer Einigkeit gehen die Ideen zur Standardisierung durchaus auseinander. Während Katerina Megas, beim US National Institute of Standards and Technology, auf einen offenen Prozess und zugleich einen Wettbewerb verschiedener Standards abhob, empfahl Luis Jorge Romero, Generaldirektor des European Telecommunication Standards Institute, besser wäre ein Wettbewerb unter einem Dach. Freiwillige Standards, die nicht eingesetzt werden, machten wenig Sinn, so seine Einschätzung.
Mehr Agilität
Eine Alternative zum ewigen Hase-und-Igel-Rennen mit Cyberkriminellen wäre laut DEFCON-Gründer Jeff Moss, unsichere Ausrüster, Provider oder Produkte zivilrechtlich zur Verantwortung zu ziehen. "Meine Armee", so Moss, "ist doch eigentlich das Heer von Anwälten. Warum soll ich sie im Krieg nicht einsetzen, um Präzedenzfälle zu erstreiten?" Die Vorteile gegenüber der oft nachlaufenden Regulierung wären mehr Flexibilität und Adaptierfähigkeit.
Schneier mahnte, der Gesetzgeber selbst müsse agiler sein. Wenn man in der EU jetzt sage, man habe jetzt die einmalige Chance in einer Dekade den AI Act richtig zu machen, fände er das erschreckend. Das Gesetz, das er ausdrücklich begrüßt – "es macht auch mein Leben besser, obwohl ich nicht in Europa lebe" – brauche vielleicht schon nach der Abfassung wieder Anpassungen.
(bme)
