Cyber-Sicherheit: Internationale Behörden fordern sichere IT
Die Sicherheit von IT-Infrastruktur wird angesichts einer sich dramatisch zuspitzenden Sicherheitslage im Cyberraum immer wichtiger. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird daher nicht müde, immer wieder warnende Appelle für mehr Security Awareness, also Sicherheitsbewusstsein, an Bundesbürger sowie Industrie und Unternehmen zu richten.
Vor allem Qualitätsmängel in Soft- und Hardware-Produkten würden die Angriffsfläche für Cyber-Kriminelle erhöhen und damit nicht nur ganze, sondern auch kritische IT-Infrastrukturen gefährden. Daher auch jetzt wieder der Appell des Bundesamts für Sicherheit in der Informationstechnik (BSI) an die Hersteller von IT-Produkten: Sicherheitsaspekte müssen bereits bei der Entwicklung stärker berücksichtigt und die Geräte in einer sicheren Konfiguration ausgeliefert werden.
Gemeinsam mit den Partnerbehörden in den USA (CISA), Kanada (CCCS), Großbritannien (NCSC UK), den Niederlanden (NCSC NL), Australien (ACSC) und Neuseeland (CERT-NZ) hat das BSI daher heute Empfehlungen an IT-Hersteller veröffentlicht, die Grundsätze "Security-by-Design" und "Security-by-Default" stärker in ihre Produktentwicklung zu implementieren. Dazu gibt das BSI auch Hinweise zu deren Umsetzung.
Dr. Gerhard Schabhüser, Vizepräsident des BSI:
Sichere Soft- und Hardware bilden die Grundlage für den sicheren Einsatz von IT-Produkten in Staat, Wirtschaft und Gesellschaft. Das BSI fordert daher die Hersteller auf, IT-Sicherheit von Anfang mitzudenken und es den Anwenderinnen und Anwendern durch eine sichere Vorkonfiguration es so einfach wie möglich zu machen, ihre Produkte sicher zu nutzen.
Die Empfehlung der internationalen Sicherheitsbehörden adressiert Hersteller von IT-Produkten und zeigt anhand konkreter Beispiele auf, wie wichtig ein hoher Stellenwert der IT-Sicherheit bei der Entwicklung und Auslieferung der Produkte ist. Wiederholt wurden bereits Krankenhäuser, Kommunen und zahlreiche Unternehmen zum Opfer von erfolgreichen Cyber-Angriffen auf IT-Produkte mit Schwachstellen.
Die Folgen bekommen Bürgerinnen und Bürger oft unmittelbar zu spüren, falls im Zuge von Cyberangriffen und lahmgelegter IT beispielsweise Operationen verschoben oder kommunale Dienstleistungen nicht mehr angeboten werden können. Daneben fordern die Cyber-Sicherheitsbehörden auch, dass die sicherheitsrelevanten Produkteigenschaften für Verbraucherinnen und Verbraucher erkennbar und verständlich sein sollen.
In Deutschland steht hierfür das IT-Sicherheitskennzeichen des BSI zur Verfügung, das entsprechende Orientierung bieten soll. Mit dem "Cyber-Resilience-Act" stellt zudem auch die Europäische Union die Cyber-Sicherheit von IT-Produkten über ihren gesamten Lebenszyklus in den Mittelpunkt der aktuellen Gesetzgebung.
