OECD will "Kultur der Netzwerk-Sicherheit" begründen

Die OECD (Organisation for Economic Co-Operation and Development) will eine groß angelegte Kampagne für mehr IT-Sicherheit starten. In einem zehnseitigen Richtlinienpapier, das heise online bereits vorliegt und Mitte Juni verabschiedet werden soll, hat die "Arbeitsgruppe zu Informationssicherheit und Datenschutz" des Wirtschaftsverbunds der 30 wichtigsten Industrienationen neun Prinzipien zur Begründung einer "Kultur der Sicherheit" im Netzwerkbereich erstellt. Das Gremium will damit den Schutz der kritischen Infrastrukturen nach dem 11. September stärken, das Thema Sicherheit ins Bewusstsein aller Beteiligten bringen und den Informationsfluss über Schutzmethoden und ihre Implementierung verbessern. Die Mitgliedsstaaten sollen aufgefordert werden, die Richtlinien unter Regierungsstellen, Unternehmen, Organisationen und individuellen Nutzern zu verbreiten.

Die Experten meinen, das sich schnell wandelnde Umfeld der Informationstechnologien und des Internet erfordert ein neues Denken im Sicherheitsbereich. Mit dem Papier will die OECD erreichen, dass die Sicherheit zum integralen Bestandteil im Design und in der Anwendung aller Netzwerke und informationstechnischen Systeme wird. Sicherheitsfragen sollen auf allen Regierungs- und Industrieebenen höchste Priorität erhalten.

Die Prinzipien selbst sind allgemein gehalten und beziehen sich auf Punkte wie Sensibilisierung, die Festlegung von Verantwortlichkeiten, die rasche Reaktion auf Sicherheitsvorfälle oder die Verbreitung einer gemeinsamen Sicherheitsethik. Die Adressaten der Resolution werden angehalten, ihre internen und externen Arbeitsumgebungen einer permanenten Risikoanalyse zu unterziehen, um Hackereinbrüchen und dem daraus entstehenden Schaden vorzubeugen. Dabei sollen Schlüsselfaktoren wie Technologie, das physikalische und menschliche Umfeld sowie Verhaltensregeln angesichts der sich ständig wandelnden Bedrohungen aus dem Cyberspace immer wieder aufs Neue überprüft werden.

Die Endanwender werden zudem aufgefordert, stärker als bisher bei der Auswahl und der Konfiguration von Produkten auf Sicherheitsfaktoren zu achten. Nur so könne Druck auf die Hersteller von Soft- und Hardware ausgeübt werden, bei ihren Produkte und Dienstleistungen Fragen der Sicherheit und der Verlässlichkeit in den Vordergrund zu stellen.

Im Gegensatz zum Europarat und zur Europäischen Kommission, die mit dem bereits verabschiedeten Cybercrime-Abkommen beziehungsweise einem "Rahmenbeschluss" über Angriffe auf Informationssysteme vor allem auf strafrechtliche Verschärfungen im Kampf gegen Hacker, Cracker und mögliche Cyberterroristen setzen, will die OECD das Pferd von der anderen Seite her aufzäumen und die Systeme weniger angreifbar machen. Das Staatengremium setzt seine liberale Tradition in der Netzregulierung fort, die 1997 mit einem viel beachteten Signal zur Freigabe kryptographischer Verfahren ihren Anfang nahm. (Stefan Krempl) / (anw)