Vom Kostenfaktor zum Business-Enabler
Ein neuer Blick auf IT-Sicherheit ist nötig
Fortsetzung des Artikels von Teil 2
Alle in der Verantwortung
Cybersicherheit ist aber keine Aufgabe, die ein einzelner Security-Administrator oder ein Unternehmen alleine und auch nicht ein Land im nationalen Alleingang lösen kann. Cybersicherheit stellt ein globales Problem dar, dass sich auf dieser Ebene nur durch Kooperation adressieren lässt.
„WannaCry“ hat gezeigt, wie effektiv Kriminelle Cyber-Waffen nutzen und welche Zerstörungskraft diese entfalten können. Diese Dimension sollte Anlass genug sein, um zu klären, welchen Beitrag alle Beteiligten leisten müssen. Dazu zählen alle, die eine Sicherheitslücke finden und melden, Hersteller, die die Lücke in ihren Produkten und Dienstleistungsangeboten schließen müssen, aber vor allem auch die Nutzer, die Hard- und Software korrekt einsetzen müssen und darauf vertrauen dürfen, dass diese zuverlässig und sicher funktioniert.
Sicherheit und Zuverlässigkeit sollte für alle Beteiligten das oberste Ziel sein. Schwachstellen dürfen nicht zur Handelsware werden und die Sicherheit von uns allen darf nicht Spielball politischer Erwägungen sein. Daher sind klare Regelungen nötig, damit weltweit Staaten Schwachstellen veröffentlichen müssen und aktiv dazu beitragen, dass diese schnellstmöglich geschlossen werden. Das Vertrauen in das Internet wird durch Verdächtigungen untergraben, dass Staaten Sicherheitslücken horten und Exploits für deren Ausnutzung entwickeln, statt mit den Herstellern zusammenzuarbeiten und aktiv zur Schließung der Lücke beizutragen.
Dialog fördern, Vertrauen stärken
Sicherheit braucht einen 360-Grad-Ansatz, der Aufklärung, Transparenz bis in den Sourcecode hinein, Datenschutz und Datensicherheit, Sicherheit in der Supply Chain, Produktsicherheit und Krisenreaktion sowie den Dialog mit allen Beteiligten beinhaltet.
Das Security und Trust Office (STO) in Deutschland will umfassende Transparenz bezüglich Integrität und Sicherheit von Cisco-Produkten und -Dienstleistungen bieten. Es vermittelt Zugang zu PSIRT (Product Incident Response-Prozesse), es gibt Einblick in die Abläufe und Vorgaben, mit denen Cisco sichere Software entwickelt (Cisco Secure Development Lifecycle) und seine Produktion und Lieferketten absichert (Value Chain Security) sowie in das Cisco Datenschutz- und Datensicherheits-Programm. Das STO Deutschland unterstützt Kunden auch bei ihrer eigenen Sicherheitsstrategie. Es analysiert die Kundeninfrastruktur, unterstützt bei der Bewertung von Cyberrisiken, identifiziert und behebt Schwachstellen. Darüber hinaus bietet das STO Deutschland einen direkten Zugang zum Technology Verification Service (TVS). Kunden aus dem öffentlichen und privaten Sektor können den TVS nutzen, um die Sicherheit und Integrität von Cisco-Technologien und -produkten zu bewerten – einschließlich Hardware, Software bis zum Quellcode, Firmware sowie technische Dokumentationen. Zudem wird von STO Deutschland zweimal jährlich der Cisco Transparenzbericht veröffentlicht, der gerichtliche Ersuchen oder Anfragen von Sicherheitsbehörden zu Kundendaten dokumentiert. Ergebnisse der Sicherheitsforschung und der TALOS Group werden tagesaktuell im Internet und ebenfalls zweimal jährlich in Sicherheitsberichten veröffentlicht.
Sicherheit gründet nicht auf der Herkunft, sondern vielmehr auf der Transparenz, Verlässlichkeit und auf der Vertrauenswürdigkeit eines Herstellers. Für Cisco manifestieren sich diese drei Grundprinzipien im eigenen 360-Grad-Sicherheitsansatz.
Klaus Lenssen ist CSO & Leiter Security & Trust Office bei Cisco
- Ein neuer Blick auf IT-Sicherheit ist nötig
- Neue Sicherheitskultur nötig
- Alle in der Verantwortung
Lesen Sie mehr zum Thema
