Cybersicherheitsabkommen: Wie internationale Security Frameworks CISOs unterstützen

Foto: GaudiLab – shutterstock.com

Wenn sich CISOs auf die Cybersicherheit über die Grenzen eines Landes hinweg konzentrieren müssen, können internationale Abkommen und Rahmenwerke eine Orientierungshilfe bieten. Sie unterstützenbei der Einhaltung von Vorschriften,informieren darüber, ob und wie Länder in der Bekämpfung der Cyberkriminalität bereits zusammenarbeiten.

Ein Beispiel ist die Budapester Konvention, der erste internationale Vertrag zur Harmonisierung der internationalen Standards für die Einhaltung von Cybersicherheitsvorschriften. Diese Kooperation haben aktuell 68 Vertragsparteien und 21 Beobachterländer unberzeichnet. Wie Chinatu Uzuegbu, leitender Berater für Cybersicherheit bei RoseTech CyberCrime Solutions erklärt, regelt das Framework:

• wie Fragen im Zusammenhang mit Cyberkriminalität am besten umfassend angegangen werden können,

• inwieweit die Menschenrechte von Subjekten und Einrichtungen mit der erforderlichen Zustimmung und Transparenz geschützt werden und

• inwieweit unterschiedliche Gesetzgebungen und Rechtssysteme vertreten sind.

Die internationale Zusammenarbeit erfolgt auch über Rechtshilfeabkommen und Organisationen wie INTERPOL und AFRIPOL, ASEANAPOL, EUROPO, die UN, die Weltbank sowie die Internationale Organisation für Normung (ISO).

Gesetze zur Datensicherheit bei globalen Datenübertragungen

Nach Meinung Joe Jones, Direktor für Forschung und Einblicke der International Association of Privacy Professionals fehlt allerdings ein globaler Rahmen für Datensicherheitsgesetze. Zudem behindere ein veralteter Ansatz für grenzüberschreitende Datentransfers die Möglichkeit, den Schutz zu verstärken: “Dies hat zu einer komplexen und oft zersplitterten Rechtslandschaft geführt, in der sich Datenschutzexperten und Organisationen zurechtfinden müssen.”

Gegenwärtig haben mehr als 70 Länder die Möglichkeit, andere Länder als sicher und “angemessen” für den Empfang von Daten” zu qualifizieren. Angemessen bedeutet, dass ein Drittland Datenschutzstandards bietet, die mit denen des beurteilten Landes vergleichbar sind.

Das OECD-Abkommen ist laut Jones nur ein Beispiel für die jüngsten Bemühungen zur Stärkung der globalen Zusammenarbeit und eines einheitlichen Rahmens. “Die politischen Entscheidungsträger haben hiermit die Notwendigkeit unterstrichen, einen Rahmen mit mehreren Rechtsordnungen zu schaffen, gemeinsame Grundsätze im Bereich des Datenschutzes zu nutzen und den kollektiven Blick auf die Risiken zu schärfen, die mit eher merkantilen Ansätzen verbunden sind”, sagt der Experte.

Vorteile und Grenzen internationaler Rahmenwerke

Eine gute Praxis bei der Implementierung solcher Frameworks ist der Einsatz einer Analyse, um die Sicherheitseinstellungen mit den relevanten branchenweiten und globalen Regeln zu vergleichen und so Bereiche zu identifizieren und anzugehen, die verbessert werden müssen. “Die Berücksichtigung internationaler Rahmenwerke in den Sicherheitsrichtlinien des Unternehmens ist der beste Weg, um die Einhaltung von Vorschriften mit minimalen Engpässen und unnötigen Wiederholungen in mehr als einem Rahmenwerk zu erreichen”, sagt die Sicherheitsexpertin Uzuegbu von RoseTechCyberCrime Solution.

“In vielen Ländern steht die Zahl der Strafverfolgungsbehörden, die sich auf die Bekämpfung der Cyberkriminalität konzentrieren und dafür ausgebildet sind, in keinem Verhältnis zum Ausmaß des Problems”, betont Greg Day, VP und Field CISO bei Cybereason. “Ebenso sollte jeder Strafverfolgungsbeamte eine Grundausbildung erhalten.” Damit sie im Ernstfall verstehen könnten und wüssten, was zu tun sei, so Day.

Was jetzt noch fehlt, sind mögliche Sanktionen gegen diejenigen, die sich nicht beteiligen. “Regierungen verhängen aus vielen wichtigen geopolitischen Gründen Sanktionen. Da die digitale Welt zu einem so wichtigen Teil des Lebens der meisten Menschen wird, stellt sich die Frage, wann Sanktionen zu einem Durchsetzungsinstrument gegen diejenigen wird, die sich nicht beteiligen. sagt Day.

Er sieht in internationalen Rahmenwerken wie der Budapester Konvention drei Hauptnachteile. Der erste ist ein Mangel an Beweisen. “Viele Unternehmen verfügen zwar über Cyberabwehr-Tools, sind aber nicht in der Lage, Beweise zusammeln”, sagt er.

Cyberangriffe passieren im Netz also in einem technischen Umfeld. Wenn zumBeispieldie Geschworenen den Fall nicht verstehen, ist es für sie sehr schwer, ein gerechtes Urteil zu fällen. “Ich habe schon Fälle erlebt, dieeinfach daran scheiterten, dass die Geschworenen das Ausmaß des Geschehens nicht begreifen konnten”, fügt er hinzu.

Die Grenzen der Datenwiederherstellung und des Informationsaustauschs

“Internationale Gesetze sind nicht unbedingt hilfreich, wenn es um die Verfolgung von Straftätern geht, denn dafür sind Beweise, Haftbefehle und andere Systeme erforderlich, um voranzukommen. Außerdem bestehenenthalten sie keine rechtliche Verpflichtung für Länder, bei der Strafverfolgung uneingeschränkt zu kooperieren, wie z. B.zum Beispiel die Budapester Konvention”, erklärt Alana Maurushat, Professorin für Cybersicherheit und Verhalten an der Western Sydney University.

Ermittlungen im Bereich der Cyberkriminalität werden sowohl von privaten Organisationen als auch von Strafverfolgungsbehörden durchgeführt. “Eine private Einrichtung kann die Budapester Konvention jedoch nicht nutzen, um Daten aufzubewahren; dies kann nur von einer dafür vorgesehenen Einrichtung wie der Polizei getan werden. Aber die Strafverfolgungsbehörden haben dies erkannt und arbeiten immer besser zusammen”, so die Expertin.

Die strafrechtliche Verfolgung von Cyberkriminellen erfolgt hingegen in einem anderen Rahmen und erfordert Rechtshilfeabkommen. “Diese können jedoch zehn Jahre dauern und werden von Land zu Land ausgehandelt”, erklärt Maurushat. Allerdings sei die strafrechtliche Verfolgung nicht das eigentliche Ziel der Unternehmen. In der Regel gehe es ihnen um die Wiederherstellung von Daten und die Rückführung von Geldern.

Darüber hinaus sei es oft schwierig zu ermitteln, wenn ein Fall in ein bestimmtes Land zurückverfolgt werde. “Man wird nie etwas erreichen, weil die Korruption in diesen Ländern so schlimm ist, dass man nicht kooperieren wird. Und das gilt sowohl für Ermittlungen zwischen Regierungen als auch für private Ermittlungen”, so die Expertin für Cybersicherheit.

Und selbst wenn es Gesetze zur Bekämpfung der Cyberkriminalität gebe, könnten bestimmte Gerichtsbarkeiten als Zufluchtsort für Cyberkriminelle und als Ausgangspunkt für Cyberkriminalität dienen. “So gibt es zum Beispiel Verbrechersyndikate, die sich auf bestimmte Arten von Cyberangriffen aus einigen Ländern mit den richtigen Bedingungen ‘spezialisiert’ haben.”

Die Durchführung ausgeklügelter Ransomware-Angriffe oder anderer Cybercrime-Aktivitäten, mit denen große Ziele erreicht werden sollen, erfordert ein gewisses Maß an Infrastruktur, technischer Raffinesse und eine beträchtliche Summe an Geldmitteln. Maurushat schätzt, dass so etwas bis zu 100 Millionen Dollar kosten kann. “Auf dieser Ebene hängt es mehr von der technischen Infrastruktur eines Landes ab als von den Gesetzen zur Cyberkriminalität, ob es zu einem sicheren Hafen für Cyberangriffe wird.”

Internationale Frameworks können die Zurechnung nicht lösen

Nach Meinung von Maurushat ist es unglaublich schwierig, herauszufinden, wer für einen Cyberangriff verantwortlich ist. “Es geht um die Zuordnung”, sagt sie. “Internationale Vereinbarungen wie die Budapester Konvention können nicht bei der Identifizierung des Schuldigen helfen.” Aber es gelte die alte Maxime: “Folge dem Geld, um die Verantwortlichen zu finden. Es gibt einige Quellen, aus denen das Geld immer wieder fließt.”

Kriminelle würden sich immer das einfachste Ziel aussuchen. “Solange Sie nicht das Ziel sind, wird es Ihnen wahrscheinlich gut gehen. Das bedeutet jedoch auch, dass Sie sich Gedanken darüber machen sollten, wie Sie ihr Budget ausgeben. Zudem ist eine gute Planung wichtig”, mahnt Maurushat. Das Problem sei, dass einem oft das Geld für die Dinge ausgeht, die in Bezug auf Ausbildung und Verhalten wichtig sind. “Man kann also noch so viele Hilfsmittel haben, wenn man nicht die Leute hat, die diese Hilfsmittel erlernen können, ist das alles ziemlich nutzlos”, betont die Expertin.

Day stimmt dem zu und stellt fest, dass eine Zuordnung aus mehreren Gründen schwierig ist. “Allzu oft hat das Opfer die erforderlichen Beweise nicht gesammelt oder aufbewahrt”, sagt er. “Darüber hinaus haben die Angreifer verschiedene Techniken entwickelt, um ihre Identitäten zu verschleiern, indem sie öffentlich kompromittierte Systeme als Zwischenstationen verwenden, Kommunikationspunkte (Command and Control) haben, die sich regelmäßig neu konfigurieren.”

Zudem fände die Kommunikation der Kriminellen untereinander häufig in einem sicheren Umfeld statt, um die Suche nach der Quelle zu erschweren. “Allzu oft kommt die Zuordnung erst zustande, wenn Angreifer Fehler machen. Entweder hinterlassen sie Markierungen, die sie nicht hinterlassen wollten, prahlen oder machen einfache Fehler wie die Verwendung desselben Alias in einem völlig anderen, öffentlicheren und offeneren Forum”, erklärt Day.

Cybergesetze sollen einen robusten Rahmen für die Cyberpolitik ermöglichen. Dazu gehören unter anderem Gesetze zur Cybersicherheit und Cyberkriminalität, Strategien zur Entwicklung von Arbeitskräften, der Austausch von Cyberinformationen (Bedrohungsdaten), digitale Forensik, Computer Emergency Response Teams (CERTs), Cyberdiplomatie und bilaterale Abkommen. “Durch diese Cyber-Fähigkeiten und den technologischen Fortschritt sind wir heute viel besser in der Lage, Cybervorfälle zuzuordnen”, sagt Niel Harper, Mitglied der Arbeitsgruppe für professionelle Standards beim UK Cyber Security Council, Mitglied des Vorstands von ISACA und der Arbeitsgruppe für Cyberrisiken beim Weltwirtschaftsforum.

Lesetipp: NIS 2, IT-SIG 2.0 und CO. – Firmen im Zugzwang

Das Playbook des CISO: Verwendung von Rahmenwerken zur Entwicklung von Cyberrichtlinien

Unternehmen müssten die richtigen Rahmenwerke für die Cybersicherheit einführen und “leben”. “Richtlinien und Cyberversicherungen allein reichen nicht aus. Die Geschäftsleitung und die Vorstände müssen die richtigen Fragen zu Cyberrisiken und den damit verbundenen wirtschaftlichen Faktoren stellen können. Die Unternehmensführung muss die systemische Widerstandsfähigkeit und die Zusammenarbeit fördern und sicherstellen, dass der organisatorische Aufbau und die Ressourcenzuweisung die Cybersicherheit unterstützen”, sagt Harper.

Nach Meinung des Experten sollte sich bei CISOs alles um das Cyber-Risikomanagement und die Ausrichtung der Geschäftsstrategie drehen. Aber auch die externe Zusammenarbeit sei entscheidend. “Öffentlich-private Partnerschaften, insbesondere beim Schutz kritischer nationaler Infrastrukturen, sind im Kampf gegen die Cyberkriminalität von entscheidender Bedeutung, ebenso wie sektorale und sektorübergreifende CERTs und Mechanismen zum Informationsaustausch”, führt Harper aus. Die Zusammenarbeit ermögliche es Organisationen, neuen Bedrohungen einen Schritt voraus zu sein und ihre Cyberrsilienz proaktiver zu gestalten.

Day von Cybereason ist der Meinung, dass jeder CISO drei Hauptziele verfolgen sollte. “Stellen Sie sicher, dass Sie Ihre Cyber-Hygiene und Präventionsfähigkeiten auf dem neuesten Stand halten. Die Cybersicherheit entwickelt sich so schnell weiter wie die Bedrohungen, die sie abwehren soll”, sagt er. “Erstellen Sie einen Resilienzplan für den Fall, dass Sie angegriffen werden. Wie können Sie den Radius des Angriffs eindämmen? Wie stellen Sie sicher, dass das Geschäft weiterläuft? Testen Sie diese Pläne regelmäßig!”

Zudem sollte die Fähigkeit verbessert werden, forensische Daten zu erfassen und zu analysieren. “Die meisten Unternehmen sind gut darin, zu erkennen, was der Angriff angerichtet hat, aber viele sind nicht annähernd so gut darin, zu erkennen, was der menschliche Angreifer getan hat, nachdem er erfolgreich in das Unternehmen eingedrungen war”, so Day. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.