Während der COVID-19-Gesundheitskrise hatte die allgemein fehlende Organisation der Informationstechnologie zur Folge, dass die Unternehmen, Krankenhäuser und öffentlichen Verwaltungen besonders anfällig gegenüber Cyberangriffen waren. Die Unternehmen im Bereich Cybersicherheit spielten beim Schutz dieser lebenswichtigen Dienste, die von wesentlicher Bedeutung für die Funktionsweise eines Landes sind, eine bestimmende Rolle. Reicht dies aber aus, die Tätigkeiten des Sektors als öffentlichen Auftrag zu beschreiben?
Der massive Übergang zum Homeoffice, zuweilen notgedungen und ohne Vorbereitung, sowie die allgemein fehlende Organisation der Informationstechnologie stellen die idealen Bedingungen für Cyberkriminelle. Und dies weltweit. In den USA berichtete das FBI, dass die Anzeigen bezüglich Cyberangriffen um das 4-fache zugenommen haben. In Frankreich hat die Website Cybermalveillance.gouv.fr wiederum beobachten können, dass ihr Traffic während der ersten beiden Wochen des Lockdowns um 400 % in die Höhe schnellte.
Cybersicherheit, ein Allgemeininteresse
„Die drei vergangenen Monate haben gezeigt, dass die aktuelle Gesellschaft und Wirtschaft sich auf digitale Komponenten stützen, um zu funktionieren“, so Matthieu Bonenfant, Marketingleiter bei Stormshield. „Hierbei kam ebenfalls ans Licht, dass der Übergang zur vollständigen Digitalisierung der Arbeit (Verwendung von Hardware beim Mitarbeiter zu Hause, Videokonferenzen, massivere Nutzung der Cloud usw.) nicht ohne Vorbereitung geschehen kann und diese Komponenten auch geschützt werden müssen. Diese Krise hat deutlich gezeigt, dass die Cybersicherheit ein wesentliches Element bei der Bewahrung des kulturellen Erbes und des Fortbestands der Tätigkeiten von Unternehmen und Organisationen darstellt. Diese wesentliche Rolle ist in den sensiblen Branchen, wie beispielsweise Verteilung von Trinkwasser, Energieerzeugung oder Regulierung des Verkehrs, noch ausgeprägter. In diesen Bereichen können Cyberangriffe katastrophale Folgen haben und die Integrität von Gütern und Personen gefährden.“
Die Informationstechnologie ist allgegenwärtig. Ihr Schutz ist von kritischer und lebenswichtiger Bedeutung
Matthieu Bonenfant, Marketing-Direktor von Stormshield
Natürlich haben die Regierungen nicht erst COVID-19 abgewartet, um sich der Bedeutung der Cybersicherheit bewusst zu werden. Ihre wesentliche Eigenschaft wurde innerhalb der Europäischen Union mit der NIS-Richtlinie im Jahr 2018 offiziell bestätigt, die ihre Inspiration direkt aus dem französischen Programm zur Verteidigungsfinanzierung zieht. Diese Richtlinie erkennt an, dass man den Cyber-Schutz der Betreiber wesentlicher Dienste (OIV) gewährleisten muss, da ihr Ausfall oder eine Störung bei ihnen Folgen für Menschenleben und die Umwelt haben könnten.
Die Krise hat das Thema jedoch der Allgemeinheit vor Augen geführt. „Der Öffentlichkeit ist klar geworden, dass Versorgungseinrichtungen wie Krankenhäuser auch Opfer von Angriffen sein und die Folgen schwerwiegend ausfallen können“, bemerkt Manon Deveaux, zuständig für Themen der Cybersicherheit im Team für öffentliche Angelegenheiten bei TECH IN France. Neben den Krankenhäusern waren während der Pandemie auch Gebietskörperschaften Opfer von Angriffen. Die Stadt Marseille (Frankreich) wurde beispielsweise wochenlang aufgrund einer Ransomware lahmgelegt. Hierbei sollte man aber auch in Erinnerung rufen, dass im Jahr 2019 in den USA 22 Städte aufeinanderfolgend angegriffen wurden. Dies entspricht einem großen Trend, der seit einigen Jahren besteht: Die Störung der Demokratie und häufige Cyberangriffe bei Wahlkampagnen.
Während der Krise: die Branche der Cybersicherheit im Kampf gegen Malwares
Durch die Erbringung von Lösungen zum Schutz wesentlicher Dienste wie eines Krankenhauses oder eines Wahlsystems, steht den Unternehmen im Bereich Cybersicherheit nicht de facto ein Auftrag im Allgemeininteresse oder sogar ein öffentlicher Auftrag zu? Während der Pandemie hat sich die Cyber-Community in jedem Fall ihre Schutzrolle sehr zu Herzen genommen. Ein Beispiel hierfür ist der VPN-Entwickler The Green Bow, der den Unternehmen, die ihre Mitarbeiter im Homeoffice schützen wollten, seine Produkte kostenfrei zur Verfügung stellte. Und auch zahlreiche andere Unternehmen des Sektors haben ihre Hilfe Krankenhäusern und Unternehmen ohne finanzielle Gegenleistung angeboten. „In diesem besonderen Umfeld benötigten die Organisationen mehr als je zuvor sichere IT- und OT-Infrastrukturen. In diesem Sinne haben wir allen Unternehmen Lizenzen für unsere virtuellen Appliances kostenfrei angeboten. Mehr als 60 Unternehmen haben dieses Angebot auch angenommen. Gleichzeitig haben wir Fernschulungen eingerichtet, um unsere Schulungen mit Präsenzunterricht zu ersetzen. Wir boten auch Fazilitäten zum Upgrade der Firewalls an“, erklärt Matthieu Bonenfant.
Im Vereinigten Königreich haben Forscher im Bereich Cybersicherheit eine Gruppe ins Leben gerufen: Cyber Volunteers 19. Ihr Ziel lautet, die Institutionen, die Opfer von Cyberangriffen sind, und die Unternehmen im Bereich Cybersicherheit, die sich freiwillig melden möchten, zu verbinden. „Wir möchten hiermit den Cyberkriminellen zu verstehen geben, dass wir unseren Versorgungseinrichtungen weiter zur Seite stehen. Der Angriff auf ein Krankenhaus, egal zu welchem Zeitpunkt, ist schändlich. Im Chaos einer Pandemie ist dies jedoch empörend“, so Lisa Forte, Gründerin von Cyber Volunteers 19 in der Zeitschrift Wired.
Diese Welle der Solidarität ist eine außergewöhnliche Reaktion auf eine Krisensituation. Sie scheint jedoch zu zeigen, dass die Cybersicherheit in der Tat einen Auftrag im Allgemeininteresse hat.
Hin zu einem öffentlichen Cyberauftrag und einem Recht auf Cybersicherheit?
Dieser Auftrag wurde zwar noch nicht durch einen rechtlichen Status offiziell bestätigt, findet sich aber bereits in der Cybersicherheitskultur der Unternehmen wieder. „Die Unternehmen im Bereich Cybersicherheit sind sich ihres Auftrags bewusst“, erklärt Manon Deveaux. „Dies ist nicht in vielen anderen Sektoren der Fall. Dieses Bewusstsein hat seinen Ursprung sicherlich in der Cybersicherheitskultur, wo es insbesondere ethische Hackergruppen gibt. Ein weiterer Grund hierfür ist auch, dass die Herausforderungen des Sektors auch die nationale Verteidigung und die Politik einbeziehen.“
Wie zeigt sich dieser Auftrag außerhalb einer Krise? „Für uns hatte diese Berücksichtigung des Allgemeininteresses zur Folge, dass sich unsere Angebote für Unternehmen in der operativen Industrie, insbesondere für Anbieter wichtiger Dienstleistungen für die Bürger, rasch weiterentwickelt haben“, erklärt Matthieu Bonenfant. „Wir garantieren ihnen eine Cyber-Sorglosigkeit, damit sie ihren öffentlichen Auftrag ausführen können.“ Doch die Unternehmen im Bereich Cybersicherheit gelten nicht als öffentliche Dienststelle. Sie müssen nicht durchgehend, dieselben Dienste für alle anbieten. „Ein öffentlicher Auftrag hat eine sehr besondere Definition, die nicht für die Unternehmen der Branche gelten kann. Denn es handelt sich um einen vom Staat oder von einem von ihm kontrollierten Unternehmen erbrachten Dienst“, erinnert Jean-Jacques Latour, Experte für Cybersicherheit bei Cybermalveillance.gouv.fr. „Man kann jedoch sagen, dass die Cyberunternehmen einen Auftrag im Allgemeininteresse haben, da sie Angriffe gegen Bürger oder die Hoheitsgewalt eines Landes bekämpfen.“
Man kann sagen, dass die Cyberunternehmen einen Auftrag im Allgemeininteresse haben, da sie Angriffe gegen Bürger oder die Hoheitsgewalt eines Landes bekämpfen
Jean-Jacques Latour, Experte für Cybersicherheit bei Cybermalveillance.gouv.fr
Diesen Auftrag führen manche französische Unternehmen insbesondere aus, indem sie der öffentlichen Interessengemeinschaft ACYMA beitreten, die seit 2017 die Plattform Cybermalveillance.gouv.fr steuert. Diese Plattform verfolgt das Ziel, die Bürger und Unternehmen in Bezug auf die Cyberrisiken zu sensibilisieren, hilft den Opfern und verbindet sie mit Dienstleistern im Bedarfsfall. „Bis vor Kurzem gab es zwischen den von der ANSSI geschützten Schlüsselunternehmen und den restlichen Cyberopfern (Kleinstunternehmen, KMU und Privatpersonen), die nicht immer wussten, an wen sie sich wenden sollten, eine Kluft“, erklärt Jean-Jacques Latour. „Wir bei Stormshield sind der öffentlichen Interessengemeinschaft ACYMA wie rund fünfzig andere Mitglieder beigetreten, da wir der Meinung sind, dass wir Teil eines Auftrags, gemeinsamer Bemühungen zur Sensibilisierung sind, die über die geschäftlichen Herausforderungen hinausgehen“, so Matthieu Bonenfant. Eine umso wichtigere Rolle, da die Cyberthemen häufig als rein technisch angesehen werden. Die breite Öffentlichkeit – und sogar die Unternehmen – zeigen sich manchmal unempfänglich. „Die Cybersicherheit wird noch als Einschränkung angesehen“, bestätigt Jean-Jacques Latour.
Ein Problem der Menschenrechte?
Reicht eine öffentliche Interessengemeinschaft aus, um diesen Auftrag der Sensibilisierung und des Schutzes zu erfüllen? Müsste es ein staatliches Unternehmen für Cybersicherheit geben? Matthieu Bonenfant bezweifelt dies. „Eine zentralisierte Struktur scheint mir keine gute Idee. Man braucht ein verschiedenartiges und facettenreiches Ökosystem, um bei der Entwicklung der Technologien weiter flexibel zu sein“, sagt er. „Darüber hinaus würde eine solche Struktur eine europäische Vision der Cybersicherheit nicht ermöglichen. Ich bin eher vom Modell der nationalen Agentur, wie der ANSSI in Frankreich überzeugt. Sie begleitet, hilft, gewährleistet ein lebensfähiges Ökosystem, hat die Aufsicht über Initiativen wie Cybermalveillance.gouv.fr usw., als von einer staatlichen, schwerfälligeren Struktur.“
Wie sieht es mit einem Recht auf Cybersicherheit für alle Menschen aus? NGOs wie Human Right Watch treten in jedem Fall dafür ein, dass die Cybersicherheit als Thema in Verbindung mit den Menschenrechten behandelt wird. Gewisse Cyberangriffe verstoßen in der Tat gegen die Grundrechte wie den Schutz der Privatsphäre, den Zugriff auf Informationen oder die Redefreiheit – oder nun sogar gegen die DSGVO. Dies ist der Fall, wenn Saudi-Arabien verdächtigt wird, die Mobiltelefone von Journalisten und Aktivisten oder ihren Bekannten mithilfe von Spionagesoftware abzuhören.
Manon Deveaux ist der Ansicht, dass ein Recht auf Cybersicherheit sicherlich schwierig nachzuvollziehen und durchzusetzen wäre, da der Begriff „sehr vielseitig“ ist. Wenn man es jedoch anerkennt, könnte dies das Bewusstsein der Bedeutung der Cybersicherheit innerhalb der Unternehmen und bei allen Privatpersonen in jedem Fall beschleunigen.
