Wir brauchen eine Cybersecurity-Norm

Digitalisierung, virtuelle Räume, Big Data oder künstliche Intelligenz wären allein schon herausfordernd genug. Zusätzlich ist da aber auch noch die Sicherheit, die gewährleistet werden muss.

Cybersecurity ist ein zentrales Thema für alle Bereiche der Datenverarbeitung und ‑übermittlung. Wer sieht dabei noch durch? Welche Rahmenbedingungen sind zwingend, um die Daten- und Systemsicherheit gewährleisten zu können?

Interview mit Levente J. Dobszay,
Cybersecurity Specialist Electrosuisse


Angenommen, ich bin eine Privatperson oder Geschäftsführer eines Kleinbetriebs. Das sind doch keine interessanten Bereiche für Hacker, oder?

Solche Wahrnehmungen sind leider naiver Natur. Ich begegne ihnen fast täglich. Obwohl mittlerweile schon die Tageszeitungen voll sind mit Meldungen über schwerwiegende Sicherheitsvorfälle – vorwiegend durch Ransomware – glauben immer noch viele, dass sie das nichts angeht. Dabei werden zurzeit reihenweise Unternehmen, Organisationen und öffentliche Verwaltungen ebenso wie Privatpersonen, auf dem linken Fuss erwischt – und das nicht nur in der Schweiz, sondern weltweit. Zu den Opfern gehören nicht nur Grossbetriebe, sondern ebenso Kleinstbetriebe, wie zum Beispiel Arztpraxen oder Coiffeur-Geschäfte. Gerade weil Laien Cyber-Risiken nicht richtig einschätzen können, brauchen wir verbindliche Sicherheitsnormen.
 

Im Artikel «Recht und Ordnung für den digitalen Wilden Westen» in der heutigen Tagesanzeiger-Beilage plädierst du für die Regulierung der «digitalen Welt». Ist nicht sowieso alles schon überreguliert? Und wozu soll es denn noch mehr Normen geben? Ist mit «CE» nicht eh schon alles geregelt?

Von einer Überregulierung kann in diesem Bereich nicht einmal ansatzweise die Rede sein, denn hier ist noch so gut wie gar nichts reguliert. In der Schweiz wird erst gerade mal das Datenschutzgesetz überarbeitet und der DSGVO angeglichen. Mehr haben wir noch nicht. Von verbindlichen Sicherheitsnormen sind wir noch weit entfernt. Das «CE»-Zeichen hat übrigens nichts mit Cybersicherheit zu tun, da es lediglich ein Konformitätszeichen ist.

Die EU hat dieses Jahr den «Cybersecurity Act» (Rechtsakt zur Cybersicherheit für einen EU-weit geltenden Zertifizierungsrahmen für die Cybersicherheit von Produkten, Verfahren und Diensten) im April publiziert. Er ist bereits seit Juni in Kraft. Darin sind Ziele und Anforderungen für eine Cybersicherheitszertifizierung von IKT-Produkten, -Diensten und -Prozessen festgelegt. Vertraulichkeit, Integrität und Verfügbarkeit sowie diesbezügliche Transparenz und Nachvollziehbarkeit sind als Sicherheitsziele definiert. Des Weiteren werden «security by design» und «security by default», d.h. die Berücksichtigung von Sicherheitsaspekten bereits beim Entwurf und sichere Standardeinstellungen, als Grundprinzipien festgeschrieben.

An der internationalen Konferenz zum EU Cybersecurity Act im September wurde der aktuelle Stand des Frameworks für die Cybersicherheitszertifizierung vorgestellt. In der öffentlich einsehbaren Teilnehmerliste ist als Teilnehmer aus der Schweiz lediglich ein Google-Vertreter aufgeführt. Wir scheinen in der Schweiz gerade eine wichtige Entwicklung zu verschlafen. Dabei hat die Arbeitsgruppe «Supply Chain Security» der Kommission Cybersecurity von ICTswitzerland erst kürzlich in einem Whitepaper eine solche Sicherheitszertifizierung auch für die Schweiz gefordert.


Was bringen Normen für mich als Privatperson, resp. Geschäftsführer, konkret?

Technische Normen haben primär Kompatibilität und Sicherheit von technischen Erzeugnissen und Prozessen durch die Vereinheitlichung von technischen Spezifikationen zum Ziel. Bei normenkonformen Produkten und Dienstleistungen kann sich ein Kunde darauf verlassen, dass sie auf dem aktuellen Stand der Technik sind und ein Mindestmass an Sicherheit bieten. Zudem ermöglichen Normen die Vergleichbarkeit und schaffen gleiche Spielregeln für alle. Daneben haben wir verpflichtende Verhaltensnormen, die in Gesetzen und Verordnungen festgelegt sind. Diese können direkt oder indirekt auf technische Normen verweisen. Dadurch erlangen sie eine rechtliche Bedeutung, insbesondere bei sicherheitsrelevanten Themen. Technische Normen werden so zum Bindeglied zwischen Recht und Technik. Solche Spielregeln kennen und brauchen wir, aber nicht nur für Hersteller und Anbieter, sondern ebenso für die «Anwenderseite». Ein gutes Beispiel für verpflichtende Normen finden wir beim Strassenverkehr.


Was muss ich unternehmen, damit ich künftig auf der sicheren Seite bin? Was kann ich mir ersparen?

Diese Frage lässt sich leider nicht mit ein paar Sätzen beantworten, ebenso wenig wie beispielsweise die Frage «Was muss man tun, um lange und gesund zu leben». Aber Normen können helfen, diese Frage klar und einheitlich auf dem aktuellen Erkenntnisstand zu beantworten. Deshalb laden wir als Schweizer Normenorganisation für Elektrotechnik alle Interessierten zur Diskussion ein.
 

...diskutieren Sie mit! Wir freuen uns über Ihre Meinung.
Nutzen Sie dazu die Kommentar-Funktion.

 

«Recht und Ordnung für den digitalen Wilden Westen»
(Artikel vom 22.11.2019, Tages-Anzeiger-Beilage Fokus sicherheit, Seite 4)

Mit Normen zum Erfolg (Info-Broschüre, PDF)

Cybersecurity mit KI «neu erfinden» (Blog)

Cybersecurity in EVU (Blog)

Wer schützt uns vor Cyberkriminalität? (Blog)

Cybersecurity bei kleinen und mittleren Elektrizitätswerken, Neues Dienstleistungsangebot (Artikel, bulletin.ch)

Kompliziert oder komplex? Cybersecurity in der Praxis (Artikel, bulletin.ch) 

 

Quelle: Electrosuisse
Foto: pixabay

 

Kommentare zum Beitrag

Noch keine Kommentare zu diesem Beitrag vorhanden.

Einen Kommentar schreiben


Weitere Beiträge

Future of Work
Im Zug der technologischen Entwicklungen werden kognitive Fähigkeiten immer wichtiger. Aufgaben...