Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.
Wählen Sie Textabschnitte aus um mit Künstlicher Intelligenz passenden Patente zu finden.
powered by
Markieren Sie Textabschnitte, um KI-gestützt weitere passende Inhalte zu finden.
powered by
Zusammenfassung
Spätestens durch die NIS-Richtlinie werden die EU-Mitgliedsstaaten gezwungen, nationale Strukturen, Strategien und Prozesse einzurichten, mit deren Hilfe die Richtlinie angepasst, umgesetzt und auditiert werden soll. Die dabei zu schaffenden Behörden, CERTs, Schnittstellen und Meldestrukturen stellen sowohl für den „Public“ als auch für den „Private“-Teil der Public-Private-Partnerships (PPP) rechtliche, organisatorische, technische und finanzielle Herausforderungen dar. So sehr diese Maßnahmen als notwendig anerkannt sind, um nicht nur die Ziele der NIS-Richtlinie sondern auch jene von nationalen Strategien und Programmen umzusetzen, so sehr besteht aber auch die Gefahr, dass durch eine mangelhafte Umsetzung das bisher aufgebaute Vertrauen zwischen Staat und Wirtschaft nachhaltig gestört bzw. zerstört wird.
Es ist daher von essenzieller Bedeutung, dass von Beginn an transparent kommuniziert wird, wie neue und vorhandene Behörden, Wirtschaftspartner, CERTs und andere Stakeholder zusammenarbeiten sollen, welche Aufgaben sie haben, welche Leistungen sie erbringen können und welche nicht. Das stellt Behörden (insbesondere jene aus dem nachrichtendienstlichen Bereich) vor eine großteils unbekannte Herausforderung, denn Transparenz ist in diesem Bereich nicht erwünscht bzw. nicht praktiziert. Die zentrale Aufgabe der nächsten Monate und Jahre wird daher die Schaffung eines neuen Verständnisses von Zusammenarbeit sein, das die Partner unterstützt, sie schützt und gleichzeitig nicht isoliert.
Eine wesentliche Rolle kommt dabei den Schnittstellenorganisationen zu. Das sind vor allem die (Branchen-)CERTs, die eine verbindende und eine trennende Rolle einnehmen. Zum einen sollen sie beraten, vermitteln und Informationen weitergeben, zum anderen sind sie Wächter über die Einhaltung der vom Informationsgeber gewünschten Vertraulichkeit, insbesondere wenn ein Unternehmen Informationen nicht mit staatlichen Stellen teilen möchte. Um in dieser Rolle nicht mit der Vielzahl an rechtlichen Vorgaben (NIS-Gesetz, Datenschutzgrundverordnung, etc.) und den Erwartungen der anderen PPP-Partner in Konflikt zu geraten, sind klare Verantwortlichkeiten, eindeutige rechtliche Rahmenbedingungen und transparente Aufgabenbeschreibungen notwendig.
Sind diese Rahmenbedingungen gegeben, können einerseits die gesetzlich vorgegebenen Informations- und Meldepflichten eingefordert und erfüllt werden und andererseits ein gesamtstaatliches Bild der Cyber-Lage, eine Cyber-Security Situational Awareness geschaffen werden. Diese Situational Awareness ist der Indikator dafür, ob die Strukturen und Prozesse funktionieren, denn nur bei einer reibungslos funktionierenden Zusammenarbeit aller Akteure (staatlich und privatwirtschaftlich) entsteht ein Informationsfluss, der die Erstellung eines Lagebildes erlaubt. Die Situational Awareness wird damit zum Indikator für das Erreichen einer effektiven Arbeitsstruktur auf allen Seiten.
Abgeleitet von einem idealtypischen Verlauf einer Kommunikation zwischen staatlichen und privaten Partnern und einer geführten Anwendung im Rahmen von Szenarien beschreibt daher dieses Kapitel die Herausforderungen, notwendigen Strukturen und Prozesse sowie die Maßnahmenempfehlungen der Autoren anhand der in Österreich umgesetzten und noch umzusetzenden Schritte zur Etablierung einer Situational Awareness bei Cyber-Security Bedrohungen.
Anzeige
Bitte loggen Sie sich ein, um Zugang zu Ihrer Lizenz zu erhalten.
Dies ist insbesondere für die staatlichen Stellen relevant. Falls beabsichtigt ist, dass auf Experten zugegriffen werden kann, auch wenn diese für vertraglich vereinbarte Hilfestellungen bei ihren Kunden gebunden sind, müsste dies gesetzlich geregelt werden.
Die Verwendung von STIX zur Übermittlung von Daten an das CERT ist ein zukünftiges Szenario. Alle bisherigen Erfahrungen deuten darauf hin, dass auch in Zukunft sehr viele Meldungen per E-Mail oder telefonisch übermittelt werden.
Die Verwendung von Scores würde die Einordnung der Meldungen erleichtern, insbesondere weil durch einen Score keine vertraulichen Informationen übermittelt werden und dieser daher im Idealfall keiner Vertraulichkeit unterliegt.
Alternative: das Unternehmen hat keinen eigenen Sicherheitsdienstleister sondern meldet sich spontan bei einem Dienstleister. Der Unterschied ist, dass der Dienstleister ohne SLA eine Auftragsannahme verweigern kann und dass ein eigenes NDA unterzeichnet werden muss. Dabei kann auch das Branchen-CERT als externer Dienstleister eingesetzt werden.
Insbesondere bei Betroffenheit von personenbezogenen Daten (auch in Logfiles) muss aktuell noch geprüft werden, ob bei einer Hilfestellung Daten elektronisch ausgetauscht werden dürfen. Durch die Datenschutz-Grundverordnung wird dieser Prozess voraussichtlich vereinfacht, da dann zumindest in Bezug auf CERTs der Datenaustausch erleichtert werden soll.
Diese Auswertungsphase kann sich über die folgenden Wochen und Monate erstrecken und beinhaltet neben schriftlicher Dokumentation z. B. auch Präsentationen.