Der Austausch von Informationen über die Cybersecurity muss verbessert werden

Es ist an der Zeit, dass Organisationen formellere bilaterale Abkommen zum Austausch von Cybersecurity-Informationen nach dem Vorbild ähnlicher Abkommen schließen, die Länder auf der ganzen Welt geschlossen haben.

Das jüngste Beispiel für Kooperationsabkommen im Bereich Cybersecurity ist ein Abkommen zwischen den Vereinigten Staaten und Südkorea. Die beiden Länder haben sich zu folgenden Punkten verpflichtet:

• Entwicklung und Implementierung von Tools zur Bedrohungsminderung, um bösartige Akteure abzuschrecken.
• Informationsaustausch und Zusammenarbeit, um bösartige Aktivitäten im Cyberspace zu erkennen, zu verhindern und zu unterbinden.
• Zusammenarbeit in internationalen Foren und Förderung von verantwortungsbewusstem Verhalten von Staaten in Friedenszeiten im Cyberspace, sowie Rechenschaftspflicht für unverantwortliche Staaten, die Aktivitäten im Cyberspace destabilisieren.
• Teilnahme an gemeinsamen Cyber-Übungen zwischen den Vereinigten Staaten und der Republik Korea und Kooperation bei der Erforschung und Entwicklung von Kerntechnologien zum Schutz kritischer nationaler Infrastrukturen.
• Zusammenarbeit hinsichtlich politischer und institutioneller Verbesserungen bei der Schulung von Personal, z. B. durch Austausch von Cybersecurity-Experten, Unterstützung von Fortbildungsmaßnahmen sowie Verbesserung der Zusammenarbeit zwischen den privaten Sektoren.
• Stärkung der öffentlich-privaten Partnerschaft von Wissenschaftlern und des Austauschs von Informationen über Cyberbedrohungen in Echtzeit.
• Zusammenarbeit bei der Entwicklung zusätzlicher Cyberkapazitäten.

Dieses Abkommen hat einen ähnlichen Umfang wie bestehende Abkommen zwischen mehreren Ländern, die auf der Five Eyes Alliance zwischen den USA, dem Vereinigten Königreich, Kanada, Australien und Neuseeland basieren, deren Ursprung auf die ursprünglich 1941 geschaffene Atlantik-Charta zurückgeht. Dank dieses Abkommens können diese Länder alles austauschen, von abgefangenen Telefonanrufen und E-Mails bis hin zur Verfolgung von Raketenstarts.

Es gibt auch eine „Nine Eyes“-Version der Allianz, der Dänemark, Frankreich, die Niederlande und Norwegen angehören und die den Überwachungsbereich der Vertragsparteien erweitert, sowie eine „Fourteen Eyes“-Version, der Belgien, Deutschland, Italien, Spanien und Schweden angehören.

Vor kurzem haben die Mitglieder der Five Eyes Alliance eine Warnung herausgegeben, die besagt, dass China über ein Hacker-Team, bekannt als Volt Typhoon, einen Weg gefunden hat, kritische Kommunikations-, Produktions-, Versorgungs-, Transport-, Bau-, Schifffahrts-, Regierungs-, Informationstechnologie- und Bildungsdienste rund um den Globus zu kompromittieren, einschließlich der US-Marineeinrichtungen in Guam.

Wenn es für Länder sinnvoll ist, Informationen zur Cybersecurity auszutauschen, dann ist es nur logisch, dass auch Unternehmen diesem Beispiel folgen sollten. Viele Unternehmen waren in der Vergangenheit zurückhaltend bei der Weitergabe von Cybersecurity-Informationen, weil sie befürchteten, eine Schwachstelle preiszugeben, die von Cyberkriminellen ausgenutzt werden könnte. Es liegt jedoch auf der Hand, dass Cyber-Organisationen nicht nur Informationen, sondern auch Taktiken und Techniken aktiv austauschen. Unternehmen, die Cybersecurity-Informationen austauschen, haben derzeit eindeutig mehr zu gewinnen als zu verlieren.

Viele Unternehmen tauschen natürlich schon seit Jahren informell Informationen zur Cybersicherheit mit anderen, darunter Regierungsbehörden, aus. Doch ist es mittlerweile an der Zeit, dies regelmäßig zu tun. Die Herausforderung besteht darin, dass die Offenlegung dieser Informationen auf eine Art und Weise erfolgen muss, dass ein Unternehmen infolgedessen eine Geldstrafe für die Verletzung von Compliance-Vorschriften zahlen muss. Unternehmen, die Informationen zur Cybersicherheit beitragen, lassen per Definition ein Maß an Sorgfalt walten. Das sollte darauf hindeuten, dass sie das Thema ernst genug nehmen, um nicht als leichtsinnig zu gelten. Daher dürften die verhängten Strafen dem angemessen möglichst gering ausfallen. Andernfalls halten sich Organisationen weiterhin bedeckt, einfach weil die finanziellen Risiken, die mit dem Versuch verbunden sind, das Richtige zu tun, zu hoch sind.