Newsroom
Newsletter abonnieren

Darum ist Transparenz die Basis für Vertrauen in Sachen Cybersicherheit

7 Minuten zum Lesen
Tags:
Geschrieben von:
Andre Bastert
Andre Bastert
Transparenz ist die Basis für Vertrauen in Sachen Cybersicherheit

Je transparenter ein Unternehmen in Bezug auf seine Prozesse und seine Kultur ist, desto disziplinierter wird es wahrscheinlich arbeiten.  Transparenz ist von grundlegender Bedeutung für die Schaffung von Vertrauen zwischen Lieferanten, Kunden und Partnern, insbesondere im Bereich der Cybersicherheit. In diesem Beitrag untersuchen wir die grundlegenden Faktoren, die Transparenz und damit Vertrauen schaffen.

Ein transparenter Ansatz für Cybersicherheit ist unverzichtbar

Die Risiken und möglichen Folgen von Cyberangriffen und Datenschutzverletzungen stehen zu Recht ganz oben auf der Agenda jedes Unternehmens. Kommerzielle und öffentliche Einrichtungen aller Branchen geben sich nicht mehr damit zufrieden, die Zusicherungen der Anbieter über die Sicherheit ihrer Produkte und Lösungen zu akzeptieren. In vielen Ländern und Regionen verlangt der Gesetzgeber sogar einen besseren Einblick in die Sicherheit der im Unternehmen eingesetzten Produkte und Dienstleistungen.

Die Vorstellung, dass das Verbergen von Details und Funktionen eines Systems - auch als „Sicherheit durch Unklarheit“ bezeichnet - der beste Weg zur Erhöhung der Sicherheit sei, wurde weitgehend verworfen. Das US-amerikanische National Institute of Standards and Technology (NIST) stellt fest: „Systemsicherheit sollte nicht von der Geheimhaltung der Implementierung oder ihrer Komponenten abhängen“.

Einblicke in die Sicherheitspraktiken eines Technologieanbieters sind ein zentraler Aspekt bei der Durchführung von Risikobewertungen. Dabei werden die potenziellen Auswirkungen untersucht, die die Produkte eines Anbieters auf die Netzwerke und verbundenen Systeme eines Kunden haben können, um festzustellen, ob der Anbieter über geeignete Maßnahmen zur Risikominderung verfügt.

Die Kunden verlangen daher vollständige Transparenz in Bezug auf alle Aspekte des Ansatzes eines Lieferanten zur Gewährleistung und Aufrechterhaltung einer optimalen Produktsicherheit während des gesamten Produktlebenszyklus. Diesem Kundenwunsch sollte Rechnung getragen werden, denn Transparenz ist von grundlegender Bedeutung, um festzustellen, ob die Produkte eines Lieferanten zur Sicherheitsstrategie eines Kunden passen, und um Vertrauen zwischen Lieferanten, Partnern und Kunden zu schaffen.

Transparenz bietet zahlreiche Vorteile

Ein Technologiehersteller, der Transparenz über seine Sicherheitspraktiken bietet, beweist sein Engagement für die Sicherheit seiner Produkte. Dazu gehört die Bereitstellung von Sicherheitsfunktionen und -einstellungen, die es den Kunden ermöglichen, die Produkte mit maximaler Sicherheit einzusetzen, um ihre eigenen Systeme und Daten zu schützen.

Transparenz ermöglicht auch eine effektivere Zusammenarbeit und den Informationsaustausch mit Kunden und Partnern, so dass neu entdeckte Schwachstellen in Software schnell behoben werden können.

Darüber hinaus versetzt Transparenz Hersteller und Kunden gleichermaßen in die Lage, aus vergangenen Sicherheitsvorfällen zu lernen und ihre allgemeinen Sicherheitsstrategien entsprechend zu verbessern. Informierte Entscheidungen können dazu beitragen, zukünftige Vorfälle zu vermeiden und den kontinuierlichen Schutz der Daten und Informationen der Kunden zu gewährleisten.

Über die Anforderungen von Cybersicherheitszertifizierungen hinaus

In diesem Zusammenhang können Branchenstandards und Zertifizierungen ein nützlicher Nachweis für das Engagement eines Unternehmens für grundlegende Cybersicherheit sein. Wo solche Zertifizierungen gesetzlich vorgeschrieben sind, müssen die Anbieter natürlich ihre Einhaltung nachweisen. Zertifizierungen sind auch nützlich, um eine Grundlage zu schaffen, die vertraglich bindend sein kann, wenn Unternehmen miteinander Geschäfte machen, um ihren Kunden Dienstleistungen anzubieten. Kunden können Zertifizierungsnachweise auch während des Beschaffungsprozesses verwenden, um sicherzustellen, dass Hersteller die Mindestanforderungen erfüllen.

Es sollte jedoch vermieden werden, Zertifizierungen als „Allheilmittel“ für den Nachweis eines umfassenden Cybersicherheitskonzepts zu betrachten. Unabhängig davon, ob es sich um die Informationssicherheit eines Unternehmens (ISO 27001, verschiedene Exportbestimmungen zur Cybersicherheit usw.) oder um produktbezogene Sicherheitszertifizierungen (FIPS 140, ETSI EN 303 645 und verschiedene andere länderspezifische Normen) handelt.

Darüber hinaus sind Normen und Zertifizierungen oft sehr breit angelegt, um bestimmte Branchen und deren Anwendungsfälle abzudecken. Daher sind sie für konkrete Anwendungsfälle nicht unbedingt relevant. Beispielsweise konzentriert sich die IEC 62443 speziell auf industrielle Automatisierungs- und Steuerungssysteme, was für den Bereich der physischen Sicherheit weniger relevant ist.

Aus kommerzieller Sicht besteht die Gefahr, dass Zertifizierungen und Normenkonformität lediglich auf einer Liste abgehakt und als Strategie zur Erlangung von Wettbewerbsvorteilen in Beschaffungsprozessen eingesetzt werden. Ein solcher Ansatz würde darauf abzielen, so viele Zertifizierungen wie möglich zu sammeln, um den Anschein einer soliden Cybersicherheitsposition zu erwecken. Dies ist insbesondere dann der Fall, wenn Standards und technische Anforderungen an die Beschaffung geknüpft sind und der Öffentlichkeit nicht kostenlos zur Verfügung stehen.

Nicht zuletzt schreitet der Fortschritt bei Technologien, Prozessen und Produkten oft viel schneller voran als der Standardisierungsprozess, so dass Hersteller, die sich ausschließlich auf Zertifizierungen verlassen, mit den technischen Neuerungen nicht Schritt halten können. So erhöht z.B. die Verwendung der IEEE 802.1AE MACsec Netzwerkverschlüsselung in Produkten die Sicherheit der Netzwerkkommunikation erheblich, aber die Technologie oder die Best Practices für die Verwendung von MACsec zur Sicherung von Netzwerken sind nicht Teil der aktuellen Standards.

Zusammenfassend lässt sich sagen, dass Zertifizierungen und Normen zwar einen gewissen Nutzen haben, aber eher als Ausgangspunkt denn als Ziel und als Ergänzung zu den allgemeineren Aktivitäten der Anbieter im Bereich der Cybersicherheit betrachtet werden sollten.

Suche nach Transparenznachweisen

Bei der Betrachtung verschiedener Anbieter gibt es einige klare Anhaltspunkte, die als Beleg für deren Einsatz für Transparenz bei der Produkt- und Softwareentwicklung und im gesamten Produktlebenszyklus in Bezug auf die Cybersicherheit dienen können. Dazu gehören:

  • Überblick über die Sicherheitsaktivitäten und -maßnahmen während des gesamten Produktlebenszyklus, von der Entwicklung über die Produktion und den Vertrieb bis hin zur Implementierung, Wartung und Außerbetriebnahme. Dieser Einblick sollte auch Aufschluss darüber geben, wie die gesamte Lieferkette des Lieferanten selbst gesichert ist.
  • Veröffentlichung von Sicherheitsrichtlinien und -praktiken, sowohl für die Produktentwicklung als auch für die interne Unternehmenssicherheit des Lieferanten. Klare und öffentlich zugängliche Richtlinien und Verfahren zum Schutz von Nutzerdaten und -informationen demonstrieren das Engagement eines Unternehmens für Sicherheit und Rechenschaftspflicht.
  • Regelmäßige Durchführung unabhängiger Sicherheitsbewertungen und -audits, um potenzielle Sicherheitsschwachstellen zu identifizieren und zu beheben und den Kunden die Gewissheit zu geben, dass das Unternehmen Sicherheit ernst nimmt. Dabei kann es sich um Bewertungen auf Unternehmensebene, z. B. nach ISO/IEC 27001, oder auf Produktebene, z. B. Penetrationstests durch Dritte, handeln.
  • Bereitstellung von Produkten, die es Dritten, Unternehmen und Behörden ermöglichen, die Sicherheitslage von Produkten auf technisch einfache Weise zu beurteilen. Dazu gehört auch, die Gerätesoftware nicht zu verschlüsseln oder andere Aktivitäten zu unterbinden, die das Prinzip „Sicherheit durch Unklarheit“ unterstützen. Unabdingbar ist auch die Bereitstellung einer Software Bill of Materials (SBOM), also einer Stückliste, die die „Zutaten“ auflistet, aus denen jede Software besteht. Eine solche SBOM listet alle in einer Software enthaltenen Open-Source-Komponenten und Komponenten von Drittanbietern, die für diese Komponenten geltenden Lizenzen, die Versionen der in der Software verwendeten Komponenten und den Status aller für die Aufrechterhaltung der Sicherheit erforderlichen Patches auf.
  • Transparenz bei der Meldung von Sicherheitsvorfällen sowohl in Bezug auf das Unternehmen des Anbieters als auch in Bezug auf seine Produkte. Anbieter sollten über eine klare Richtlinie zum Schwachstellenmanagement verfügen. Dadurch wird sichergestellt, dass die Art des Vorfalls, seine erstmalige Erkennung, die zur Behebung der Schwachstelle ergriffenen Maßnahmen (einschließlich der erforderlichen Maßnahmen auf Kundenseite) und die zur Verhinderung künftiger Vorfälle ergriffenen Maßnahmen in geeigneter Weise kommuniziert werden.
  • Regelmäßige Aktualisierungen für Kunden und Partner über die Sicherheitsposition des Unternehmens. Informationen über Änderungen in der Sicherheitspolitik oder -praxis helfen ihnen nicht nur, auf dem Laufenden zu bleiben, sondern ermöglichen es ihnen vor allem, umgehend Maßnahmen zur Sicherung ihrer eigenen Produkte, Dienstleistungen und Prozesse zu ergreifen. Wenn Sie Ihren Kunden und Partnern die Möglichkeit bieten, sich für einen Sicherheitsbenachrichtigungsdienst anzumelden, können diese zeitnah auf Sicherheitsprobleme reagieren.
  • Die aktive Ermutigung von Kunden und Forschern, potenzielle Schwachstellen zu melden, die sie entdecken, ermöglicht es dem Unternehmen, potenzielle Probleme zu erkennen und zu beheben, bevor sie ausgenutzt werden können. Die Teilnahme am CVE-Programm zur Identifizierung bekannter Schwachstellen und Verwundbarkeiten sowie die Einrichtung eines Bug-Bounty-Programms zeigen die Reife und Transparenz der Cybersicherheit eines Anbieters und schaffen Vertrauen in die Sicherheit seiner Entwicklungsprozesse.
  • Unterstützung der Kunden durch ein proaktives Produktlebenszyklusmanagement, um die Außerbetriebnahme und den Austausch von Produkten zu planen. Im Mittelpunkt steht dabei die möglichst frühzeitige Bekanntgabe des Endtermins für den Support von Gerätesoftware, idealerweise unmittelbar nach der Produkteinführung.

Jeder Anbieter sollte alles in seiner Macht Stehende tun, um Produkte zu liefern, die den Cybersicherheitsanforderungen eines Kunden entsprechen. Zertifizierungen und Standards allein reichen nicht aus. Viel wichtiger ist Transparenz. Die Veröffentlichung von Praktiken und Richtlinien, regelmäßige unabhängige Sicherheitsbewertungen und -audits sowie die Offenlegung von Sicherheitsvorfällen sind zuverlässigere Mittel, um Vertrauen in das Engagement eines Anbieters für den Datenschutz und die Bereitstellung von Produkten mit hoher Cybersicherheit zu schaffen.

Weitere Informationen zu unserem Ansatz für Cybersicherheit finden Sie hier:
Cybersicherheit

Andre Bastert

Andre Bastert ist Global Product Manager bei Axis Communications. Er ist verantwortlich für die AXIS OS-Softwareplattform, die Axis Netzwerkgeräte unterstützt. Andres Fokus liegt auf den Bereichen Cybersicherheit, IT-Infrastruktur/Sicherheitsintegration und Software-Lebenszykly-Management unserer Produkte. Andre begann seine Karriere bei Axis 2014 im technischen Servicebereich. Bevor er seine aktuelle Position antrat, arbeitete er als Produktspezialist für PTZ-Kameras und AXIS OS. Wenn Andre nicht arbeitet, verbringt er Zeit mit seiner Familie und mit Heimwerkerprojekten.

Mehr Beiträge lesen von Andre
Andre Bastert