Die Charter of Trust verfolgt das Ziel, Vertrauen in die digitale Welt von heute und morgen aufzubauen. Durch ganzheitliche Cybersicherheit soll das Business zuverlässiger, nachhaltiger und sicherer werden.

Egal in welcher Branche: Unternehmen und Betreiber kritischer Infrastruktur sehen sich zunehmend unter Beschuss von Hackern, die es auf ihre Daten abgesehen haben. Besonders fatal sind Ransomware-Angriffe mit anschließender Erpressung. Ein besonders spektakulärer Fall machte erst kürzlich weltweit Schlagzeilen: Colonial Pipeline, Betreiber einer der wichtigsten Pipelines in den USA, wurde Opfer einer Ransomware-Attacke und musste seine Systeme teilweise offline nehmen.

Die Digitalisierung vorantreiben und dennoch den eigenen Betrieb effektiv gegen Cyberangriffe absichern ist ein zentrales Ziel. Besonders in kleinen und mittleren Unternehmen (KMU) ist es wichtig, dafür die Sicherheitsstandard anzuheben. Eine gute Orientierung und konkrete Ansatzpunkte bietet die Charter of Trust und die von ihren Mitgliedern entwickelten zehn Prinzipien für Cybersecurity [1].

Die Charter of Trust entstand im Februar 2018 durch einen Initiative von Siemens, der Münchner Sicherheitskonferenz und globalen Unternehmen. Das gemeinsame Ziel ist es, Vertrauen in die Cybersicherheit aufzubauen und die Digitalisierung voranzutreiben. Dazu etabliert die Charter of Trust allgemeine Mindeststandards für Cybersicherheit, die sich am Stand der Technik orientieren und zu denen sich ihre Mitglieder auch selbst verpflichten. Seit ihrer Gründung ist die Charter of Trust auf heute 17 Mitglieder gewachsen, darunter sind viele DAX-Unternehmen und globale Konzerne aus verschiedenen Branchen, von Öl & Gas über Telekommunikation bis hin zu Versicherungen. Als unabhängiger Zertifizierungsdienstleister mit fundiertem Fachwissen und Know-how im regulatorischen Bereich, engagiert sich TÜV SÜD schon seit langem in der Charter of Trust. Dies steht im Einklang mit der Mission von TÜV SÜD, Vertrauen in die digitale Welt zu schaffen.

Zehn Prinzipien für mehr Cybersicherheit. Das Herzstück der Charter of Trust sind die zehn Prinzipien für Cybersicherheit. Sie fokussieren auf den Schutz von Daten, Menschen und Organisationen und lauten wie folgt:

Eigenverantwortung für Cyber- und IT-Sicherheit: Verankerung der Verantwortung für Cybersicherheit auf höchster Regierungs- und Unternehmensebene (etwa Benennung eines CISO).
Verantwortung in der gesamten digitalen Lieferkette: Unternehmen und gegebenenfalls Regierungen müssen risikobasierte Regeln aufstellen, die einen angemessenen Schutz über alle Ebenen des Internet of Things (IoT) hinweg mit klar definierten und verbindlichen Anforderungen sicherstellen. Dies beinhaltet beispielsweise Identitäts- und Zugriffsmanagement und angemessene Vertraulichkeit bei der Datenspeicherung und -übertragung und kontinuierlichen Schutz durch regelmäßige Software-Updates.
Security by Default: Sicherheitseinstellungen von Produkten (Hard- und Software) bereits »ab Werk«.
Benutzerzentriertheit: Produkte, Systeme und Dienstleistungen sowie Beratung auf der Grundlage der Cybersicherheitsanforderungen des Kunden oder der Anwender.
Innovation und Co-Kreation: Etwa durch Public Private Partnerships kontinuierlich Innovationen entwickeln und Cybersicherheitsmaßnahmen an neue Bedrohungen anpassen.
Bildung: Aufnahme dedizierter Cybersecurity-Kurse in den Lehrplan – als Studiengänge an Universitäten, Berufsausbildungen und Trainings –, um den Wandel der für die Zukunft benötigten Fähigkeiten und Berufsprofile anzuführen.
Zertifizierung für kritische Infrastrukturen und Lösungen: Unternehmen und Regierungen richten verpflichtende Zertifizierungen durch unabhängige Dritte (basierend auf zukunftssicheren Definitionen) für kritische Infrastrukturen sowie kritische IoT-Lösungen ein.
Transparency and Response: Teilnahme an einem industriellen Cybersicherheitsnetzwerk, um neue Erkenntnisse und Informationen über Vorfälle zu teilen; Meldung von Vorfällen über die heutige Praxis hinaus, die sich auf kritische Infrastrukturen konzentriert.
Regulatorischer Rahmen: Förderung der multilateralen Zusammenarbeit bei Regulierung und Standardisierung, um gleiche Bedingungen zu schaffen, die der globalen Reichweite der WTO entsprechen; Aufnahme von Regeln für Cybersicherheit in Freihandelsabkommen (FTA).
Gemeinsame Initiativen: Vorantreiben gemeinsamer Initiativen unter Einbeziehung aller relevanten Stakeholder, um die oben genannten Prinzipien in den verschiedenen Teilen der digitalen Welt ohne unnötige Verzögerung umzusetzen.

Security by Default: Sicherheit »ab Werk«. Die Mitglieder der Charter of Trust haben Basisanforderungen für Cybersicherheit entwickelt, um diese in der Gesetzgebung und in der Wirtschaft stärker zu etablieren. Ein sehr zentrales Thema dabei ist »Security by Default«, um das es im 3. Prinzip der Charter geht. »Security by Default« bedeutet, Cybersicherheit bereits bei der Entwicklung eines Produkts, eines Prozesses oder sogar eines Geschäftsmodells berücksichtigt wird. Ziel ist es, kritische Cybersicherheitsanforderungen zu definieren, die notwendig sind, um sichere Produkte, Prozesse, Dienstleistungen und Geschäftsmodelle in Übereinstimmung mit aktuellen Standards und Best Practices zu liefern. Diese müssen auch überprüfbar sein, um zu gewährleisten, dass die Anforderungen angemessen erfüllt werden.

Dabei sind drei Phasen zu unterscheiden:

Phase 1: Produkte, Funktionalitäten und Technologien.

Phase 2: Prozesse, Abläufe und Architekturen und

Phase 3: Gemeinsame Nutzung von Best Practices für die Einführung von Security by Default.

Denn es ist nicht nur wichtig, Security by Default oder Security by Design auf der Ebene der Produkte, Technologien oder Funktionalitäten zu gewährleisten. Das allumfassende Prinzip von Security by Default kann nur erreicht werden, wenn auch die Prozesse, Abläufe und Architekturen hinter diesen Produkten, Funktionalitäten und Technologien berücksichtigt werden. Es ist daher wichtig, beide Aspekte von Anfang an einzubeziehen. Die jüngsten Angriffe auf IoT-Geräte haben gezeigt, dass dies noch nicht Standard ist. Die Charter of Trust möchte das ändern und hat daher grundlegende Mindestanforderungen definiert, um Cybersicherheit standardmäßig zu gewährleisten. Sie bestehen aus 19 Basisanforderungen für Phase 1 – Security by Default in Produkten, Funktionalitäten und Technologien und sind im Internet frei zugänglich auf der Website der Charter of Trust www.charteroftrust.com.

Gemeinsam besser werden. Die Arbeitsgruppe »Security by Default« der Charta entwickelt derzeit eine Definition der grundlegenden Cybersicherheitsanforderungen für Phase 2: Prozesse, Abläufe und Architekturen. Konkrete Erläuterungen werden auf der Website der Charter of Trust verfügbar sein.

Die Mitglieder der Charter of Trust haben diese selbst unterzeichnet und verpflichten sich damit, die Prinzipien zur Cybersicherheit in ihren eigenen globalen Wertschöpfungs- und Lieferketten zu übernehmen und mit gutem Beispiel auch für KMU voranzugehen. Um diese Best Practices weiterzugeben konzentriert sich die P3-Taskforce in ihrer Phase 3 schließlich darauf, diese mit anderen Unternehmen zu teilen. Mit vereinten Kräften wird somit die Cybersicherheit für alle verbessert.

Sudhir Ethiraj,
Global Head of Cybersecurity Office (CSO),
TÜV SÜD

[1] https://www.charteroftrust.com/about/

Mehr Informationen zur Charter of Trust und den Aktivitäten von TÜV SÜD:
https://www.tuvsud.com/en/themes/charter-of-trust

Bilder: © TÜV SÜD

583 Artikel zu „Trust Cybersicherheit“

AUSGABE 5-6-2021 | SECURITY SPEZIAL 5-6-2021 | NEWS | IT-SECURITY

Cybersicherheitsmaßnahmen sind nicht mehr nur eine Empfehlung – Security by Design

18. Juni 2021

Sicher ist, dass die fortschreitende Entwicklung neuer Technologien mit einem wachsenden Bedarf an Lösungen und neuen Cybersicherheitsansätzen Hand in Hand geht, um die sich exponentiell ausweitende Angriffsfläche zu verringern, im »Smart Building« genauso wie in »Smart Cities« oder Industriewerken.