Cybersicherheit: Ein globales Problem, das eine globale Antwort erfordert

Regierungen auf der ganzen Welt sind besorgt über die wachsenden Risiken von Cyberangriffen auf ihre kritische Infrastruktur. Kürzlich haben die Cybersicherheitsbehörden der Länder, die der „Five Eyes“-Allianz angehören warnte vor einer möglichen Zunahme solcher Angriffe „als Reaktion auf die beispiellosen wirtschaftlichen Kosten, die Russland nach der Invasion des Landes in der Ukraine auferlegt wurden“. 

Das Gutachten stellte fest, dass „einige Cyberkriminalitätsgruppen kürzlich öffentlich ihre Unterstützung für die russische Regierung zugesagt haben“, wobei die Drohung mit solchen Cyberoperationen „als Vergeltung für wahrgenommene Cyberoffensiven gegen die russische Regierung oder das russische Volk“ käme. 

Laut Andy Garth, ESET Government Affairs Lead, sind solche Aktivitäten „ein globales Problem mit staatlichen Akteuren und ihren Stellvertretern, wobei einige Staaten bereit sind, sichere Häfen bereitzustellen, in denen kriminelle Gruppen ungestraft operieren können“.  

„Im Falle des Ukraine-Konflikts betreiben einige kriminelle Gruppen nun Cyberspionage, angeblich im Auftrag ihrer russischen Gastgeber. Tatsächlich ist es auch ratsam, sich auf zunehmende Vorfälle von Cybersabotage und Störungen vorzubereiten, da Cyberangriffe zum Repertoire der Vergeltungsmaßnahmen hinzugefügt werden und das Risiko von Spillover-Effekten zunimmt“, sagt Garth. Es besteht auch ein erhöhtes Risiko unbeabsichtigter Folgen, wenn auf beiden Seiten Bürgerwehren in den Kampf eingreifen. 

Ein neuer Ansatz für Cyber-Resilienz 

Bereits vor der Invasion dachten Regierungen auf der ganzen Welt über Cybersicherheitsstrategien nach, um den ständig zunehmenden Cyberbedrohungen durch staatliche Akteure und kriminelle Gruppen entgegenzuwirken. Aber die neuen Risiken, die die Regierungen seit Februar wahrgenommen haben, verstärken die Dringlichkeit beim Aufbau von Cyber-Resilienz. 

Im März 15th, US-Präsident Joe Biden unterzeichnet der Strengthening American Cybersecurity Act von 2022, der Unternehmen, die sich mit kritischer Infrastruktur befassen, dazu verpflichtet, erhebliche Cyberangriffe dem zu melden Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) innerhalb von 72 Stunden und alle Ransomware-Zahlungen innerhalb eines Tages. Die neue Verordnung ist mehr als nur ein Offenlegungsgesetz und soll die Wahrnehmung eines Cyberangriffs von einer privaten Unternehmensangelegenheit zu einer öffentlichen Bedrohung ändern. Diese Gesetzgebung kommt als Teil eines Trends, der dem folgt Kolonialer Pipeline-Angriff im Mai 2021, als Präsident Biden signalisiert eine neue Rolle für die Cybersicherheit und forderte einen gesamtstaatlichen Ansatz für Cyberbedrohungen. 

Zusammen mit neuen Befugnissen soll das Budget von CISA im nächsten Jahr auf 2.5 Milliarden Dollar erhöht werden, das heißt zusätzliche 486 Millionen US-Dollar gegenüber dem Niveau von 2021. Dazu Bidens Infrastrukturrechnung stellt 2 Milliarden US-Dollar für die Cybersicherheit bereit, von denen 1 Milliarde US-Dollar für die Verbesserung der Cybersicherheit und Widerstandsfähigkeit kritischer Infrastrukturen bereitgestellt werden. 

Parallel dazu hat die Europäische Union einen ähnlichen Weg mit mehreren neuen Richtlinien und Verordnungen sowie zusätzlichen Mitteln eingeschlagen, die insbesondere darauf abzielen, die Cyber-Resilienz der EU und die Rolle der EU-Institutionen zu stärken sowie eine stärkere Zusammenarbeit zwischen den Organen der Mitgliedstaaten zu erleichtern. Auf operativer Ebene setzte die EU als Reaktion auf die russische Invasion erstmals das ein Cyber-Rapid-Response-Team Unterstützung der Ukraine bei der Eindämmung von Cyberbedrohungen. 

Der EU-Vorschlag NIS2-Richtlinie zielt darauf ab, die Sicherheitsanforderungen zu stärken, die Sicherheit von Lieferketten zu verbessern und die Meldepflichten zu verschlanken. NIS2 erweitert auch den Umfang der kritischen Einheiten, die unter zwingende Sicherheitsanforderungen auf hohem Niveau fallen, erheblich. Sektoren wie Gesundheit, Forschung und Entwicklung, Fertigung, Raumfahrt oder „digitale Infrastruktur“, einschließlich Cloud-Computing-Dienste oder öffentliche elektronische Kommunikationsnetze, benötigen nun strengere Richtlinien zur Cyber-Resilienz. Ebenso schlägt die EU-Kommission neue Gesetze vor, die sich auf den Finanzsektor konzentrieren sollen Gesetz zur digitalen betrieblichen Resilienz (DORA) machen IoT-Geräte mit dem Cyber-Resilience-Gesetz, das nach dem Sommer vorgestellt wird. 

Die Notwendigkeit des Austauschs von Informationen und einer engeren Zusammenarbeit bei der Erkennung von Bedrohungen ist auch das zugrunde liegende Ziel des Vorschlags Gemeinsame Cyber-Einheit der EU, das darauf abzielt, die kritischen Infrastrukturen der EU vor Cyberangriffen zu schützen. Während es ist genaue Rolle und Struktur werden noch entschieden, it wird erwartet, dass einen operativen Charakter haben zur Verbesserung der Gesundheitsgerechtigkeit gewährleistens ein besserer Informationsaustausch über Cybersicherheitsbedrohungen zwischen den Mitgliedstaaten, der Europäischen Kommission, ENISA, CERT-EU und dem Privatsektor.  

Die Kommission schlug auch neue Vorschriften zur Stärkung des CERT-EU vor, indem die Struktur in das „Cybersicherheitszentrum“ umgewandelt wird, mit dem Ziel, die Sicherheitslage der EU-Institutionen zu stärken. 

Garth weist darauf hin, dass diese Bemühungen eine „Anerkennung des Ausmaßes der Herausforderung beim Schutz nationalstaatlicher digitaler Vermögenswerte vor wachsenden und sich entwickelnden Cyberbedrohungen innerhalb der Regierungen (und EU-Institutionen)“ darstellen. Er betont die Notwendigkeit eines „gesamtgesellschaftlichen Ansatzes und Partnerschaften mit dem Privatsektor im Mittelpunkt“, „keine Regierung kann diese Bedrohungen allein bewältigen.“ unter Berufung auf die Großbritanniens nationale Cyberstrategie 2022 wo diese Art der Zusammenarbeit in Bereichen wie Bildung, Aufbau von Resilienz, Tests und Reaktion auf Vorfälle beobachtet werden kann. 

Aber welchen Risiken sind Regierungen ausgesetzt? 

Regierungen haben eine einzigartige Eigenschaft: Sie speichern alle Daten über ihre Aktivitäten sowie die Daten ihrer Bürger. Daher sind sie ein äußerst wünschenswertes Ziel. Diese gemeinsame Bedrohung für Staaten wird auf der Ebene der Vereinten Nationen dazu veranlasst, Bereiche zu vereinbaren, in denen Cyberoperationen nicht durchgeführt werden sollten, wie z. B. Gesundheitssysteme. Die Realität weicht davon ab, mit einem anhaltenden Cyberwettbewerb zwischen den Großmächten und [unverbindlichen] Vereinbarungen UN Ebene sein ignoriert. 

Diese Wettbewerbe in der „Grauzone“ spielen wo Staaten unter der Prämisse einer plausiblen Leugnung und eines ständigen Katz-und-Maus-Spiels im Bereich der Cyberspionage, einschließlich des Diebstahls von Informationen und Angriffen auf kritische Infrastrukturen, miteinander in Kontakt treten können, was manchmal zu Störungen in der realen Welt führt ganze Länder. Jüngste Fälle wie die Verwendung von Pegasus-Spyware zeigen, dass das Abhören sogar unter befreundeten Staaten lebendig und gut ist. Wie Garth sagt: „Schnüffeln gibt es schon seit langer Zeit … wie viele Geheimdienstpraktiker wahrscheinlich zustimmen werden, kann es nützliche Informationen mit geringem Risiko liefern, solange Sie nicht erwischt werden.“ 

Ebenso gezielt Ransomware-Angriffe sind ein wachsendes Problem – nicht nur, um die größte Auszahlung zu erhalten, sondern auch, um den Wert gestohlener Daten über etablierte Kriminelle zu maximieren Marktplatz Plattformen 

Anschläge gegen Lieferketten können nicht nur Regierungsbehörden oder eine bestimmte Institution, sondern kritische Sektoren der Wirtschaft eines Landes gefährden. Die weitreichende Wirkung von Angriffen wie der gegen Kaseya erschweren es den Regierungen zu reagieren, was zu wirklich störenden Folgen für Unternehmen und Bürger führt. Aber da einige Staaten damit zufrieden sind, willkürliche Störungen und Schäden zu riskieren, starten andere gezielte Angriffe auf bestimmte Industrieeinheiten und -systeme mit dem Ziel, Teile der kritischen Infrastruktur eines Landes auszuschalten. 

Alle zur Zusammenarbeit zu bewegen, ist die eigentliche Herausforderung 

Regierungen haben keine leichte Aufgabe: Sie müssen veraltete Systeme pflegen, den Fachkräftemangel bekämpfen, das Cyberbewusstsein am Arbeitsplatz stärken, eine wachsende Angriffsfläche verwalten, neue Technologien integrieren und raffinierte Angriffe abwehren. Die Vorbereitung braucht Zeit und es besteht die Notwendigkeit, eine zu übernehmen Null-Vertrauens-Ansatz, wobei zu verstehen ist, dass Angriffe stattfinden und gemildert werden müssen, wenn sie nicht vermieden werden können.  

Dies lässt sich nur schwer auf die typischerweise vielschichtige Infrastruktur von Behörden anwenden. Trotz ihrer Größe ist es oft einfacher, die Systeme zentralisierter Behörden zu schützen, aber der Umgang mit der immensen Anzahl lokaler und dezentraler Büros macht dies zu einer fast unmöglichen Aufgabe. Trotz allmählich steigender Finanzmittel gibt es zu wenige Cybersicherheitsexperten, was es viel schwieriger macht, sich gegen die sich entwickelnden Bedrohungen zu verteidigen. 

Die Bürger werden sich zunehmend der Cyberbedrohungen bewusst, was häufig auf die hohe Aufmerksamkeit und häufige Berichterstattung in den Medien zurückzuführen ist. Den Fokus auf das Problem zu richten und Sensibilisierungsprogramme zu finanzieren – insbesondere solche, die sich an weniger technisch versierte und schutzbedürftige Menschen richten – ist für den Erfolg von entscheidender Bedeutung. Dennoch sind Fehler von Menschen nach wie vor der wichtigste Einstiegspunkt für Cyberkriminelle, weshalb die Nutzung von Entwicklungen im Bereich des maschinellen Lernens und der künstlichen Intelligenz heute unerlässlich ist und typischerweise in Produkten und Diensten wie EDR und Echtzeit-Bedrohungsinformationen zum Einsatz kommt. 

Ein gemeinsames Problem erfordert gemeinsames Handeln 

Synergien zwischen dem öffentlichen und dem privaten Sektor sind eine dringend benötigte Reaktion auf die wachsende Bedrohung durch Cyberangriffe. Die Ukraine-Krise und frühere Arbeiten zum Schutz kritischer ukrainischer Infrastrukturen sind ein wichtiges Beispiel dafür, was sein kann erreicht.  

Parallel dazu schlägt Garth vor, Organisationen wie die UN, die OECD und Gruppen wie die G7 und G20 dynamisch einzubeziehen, damit „die internationale Gemeinschaft die staatliche Cyberaktivität ins Rampenlicht rückt und bei Bedarf Maßnahmen gegen diejenigen ergreift, die etablierte Normen ignorieren und knacken.“ Wir bekämpfen kriminelle Gruppen und ihre Fähigkeit, ihre kriminellen Unternehmungen zu Geld zu machen … sondern arbeiten auch gemeinsam daran, die Cyber-Resilienz auf der ganzen Welt, auch in Entwicklungsländern, zu verbessern.“