Durch das ganze Jahr hinweg machten Cyberattacken auf diverse Sicherheitsorgane der Schweiz Schlagzeilen. Auch Unternehmen in der Gesundheitsbranchen geraten vermehrt ins Visier von Hackern. Dass renommierte und stabile Firmen aus der Schweizer Industriebranche als Ziel von Cyberkriminellen identifiziert werden, ist fast schon eine neue Normalität. Professionellen Hackern gelingt es heute, in beinahe jedes System einzudringen und ihre verblüffenden Fähigkeiten erweitern sich durch künstliche Intelligenz rasend schnell. Häufig sind es die als vertrauenswürdig erachteten Lieferketten, die angegriffen und als Einfallstore genutzt werden. Um diese organisierten Cyberkriminellen mit all ihren Werkzeugen abzuwehren, sind neue Ansätze nötig: Wir müssen unser traditionelles Bild über Vertrauen überdenken.
Im «Zero Trust»-Ansatz gibt es kein «vertrauenswürdig»
Um die Sicherheitsrisiken in einer Lieferkette unter Kontrolle zu halten, darf zunächst keinem getraut werden, den man nicht eigenständig auf Herz und Nieren geprüft hat. Die Vorstellung eines «sauberen Netzwerks» müssen wir über Bord werfen, selbst dann, wenn man nur Komponenten von vermeintlich «vertrauenswürdigen» Hersteller einsetzt. Im «Zero Trust»-Ansatz existieren in der Lieferkette keine vertrauenswürdigen Glieder. Huawei beispielsweise befolgt das so genannte ABC-Prinzip: «Assume nothing. Believe nobody. Check everything» – «Triff keine Annahmen, glaube keinem, überprüfe alles.» Entsprechend müssen wir immer davon ausgehen, dass es alle treffen kann und unser Handeln demzufolge anpassen.
Der sicherste Weg ist daher, das Risiko jedes Technologieanbieters nach einheitlichen Standards zu bewerten und ausnahmslos alle Risiken auch während des Einsatzes von deren Technologien stetig zu überwachen. Hierfür wird es von wesentlicher Bedeutung sein, über die Standards für Mobilfunk- und Telekommunikationsbetreiber sowie für die Sicherheit von Netzwerkgeräten einen globalen Konsens zu etablieren. Momentan fehlt es Anbietern ebenso wie Betreibern an klaren, auf Standards ausgerichtete Richtlinien darüber, welche Technologien sie in unterschiedlichen Ländern verwenden können und wie sie genutzt und gewartet werden sollen. Solche standardisierte Richtlinien können in Vertragsbestimmungen und Beschaffungsanforderungen eingebettet und allenfalls in gesetzliche oder regulatorische Rahmenbedingungen hinzugefügt werden.
Standardisierung bietet jedem gleiche BedingungenAber auch Mechanismen zum Testen und Verifizieren von Schlüsseleinheiten der Netzwerktechnologie gehören dazu. Die Verifizierung garantiert, dass die Technologie aller Hersteller klar definierten Bedingungen der Risikoumgebung entsprechen. Sicherheitstests liefern eine Grundlage für die Einschätzung von Systemen und Netzwerken als sicher und resistent, selbst unter komplexen Bedingungen. Kritische Infrastrukturen wie das Bankensystem oder das Stromnetz erfordern angepasste und bedarfsmässig verschärfte Testkriterien. Das Rahmenwerk NESAS (Network Equipment Security Assurance Scheme) beispielsweise wurde von den führenden Standardisierungsorganisationen der Telekommunikationsbranche erarbeitet. Es könnte als Grundlage für Standards und Testprogramme mit höherer Sicherheit dienen. Huawei hat die Zertifizierung gemäss NESAS bereits erlangt. Gleichzeitig sehen wir Cybersicherheit viel umfassender und systemisch. Sie stellt ein strategisches und operatives Feld nach innen dar sowie sehen wir sie als transparenter Teil im Risikodialog mit den externen Sicherheits-Stakeholdern auf allen Ebenen.
Bob Xie ist Cyber Security and Privacy Protection Officer für die Region Westeuropa von Huawei. Er beaufsichtigt dabei die Geschäftsentwicklung in der Region mit Schwerpunkt auf Cybersicherheit und Datenschutz. Dazu gehört die Abstimmung der strategischen Entwicklungsaktivitäten und der Sicherheits- und Datenschutzkapazitäten von Huawei mit wichtigen Kunden und europäischen RegierungenMehr Infos:
https://huawei.eu/story/huaweis-abc-principle-cybersecurity