Ende 2015 forderte Benoît Thieulin, damals Leiter des französischen Nationalen Digitalrats, eine Synergie zwischen militärischer und ziviler Cybersicherheit, um sicherzustellen, dass so viele Strukturen wie möglich Zugang zu einem höheren Maß an Sicherheit für ihre Informationssysteme haben. „Die Cybersicherheit muss demilitarisiert werden, kurz gesagt, sie muss über ihr übliches Umfeld hinauswachsen, um sicherzustellen, dass ihre besten Praktiken unter der breiten Öffentlichkeit zirkulieren können“, erklärte er in einer Rede.

Um diesen Ausspruch zu kontextualisieren, sollten wir uns Ende 2014 zurückversetzen, als die amerikanische Firma Sony Pictures Entertainment Opfer eines schweren Cyberangriffs wurde. Dieser wurde vom FBI der nordkoreanischen Regierung zugeschrieben und wird als Vergeltung für den Film „The Interview“ (in dem CIA-Agenten den nordkoreanischen Führer ermorden) angesehen. Einige Monate später machte die cyberkriminelle Gruppe „Cybercaliphate“ Schlagzeilen, nachdem sie sich in die Twitter-Konten des US-Army-Kommandos für den Nahen Osten und Zentralasien und der US-Wochenzeitschrift Newsweek gehackt hatte. Im April 2015 wurde der französische Fernsehsender TV5 Monde betroffen: Die Sendeinfrastruktur wurde abgeschaltet, während die Social-Media-Konten des Senders mit Botschaften überflutet wurden, die den Islamischen Staat befürworten. Diese Ereignisse waren eine öffentliche Demonstration der Fähigkeit eines kriegführenden Staates, ein ziviles Unternehmen anzugreifen, unabhängig von dessen Größe und den getroffenen Cybersicherheitsmaßnahmen.

Die schrittweise Abhärtung von Cybersicherheitsprodukten

Leider kursieren fast 10 Jahre später immer noch solch ausgefeilte Angriffe. Die Techniken wurden dabei weiterentwickelt und zielen nun auf die Cybersecurity-Produkte selbst ab. Ziel der Cyberkriminelle ist es,  durch die Deaktivierung oder Kompromittierung der Schutzlösung eine Sicherheitslücke zu öffnen, um erweiterte Privilegien auf der infizierten Maschine zu erlangen. Heutzutage zielen die raffiniertesten Angriffe in erster Linie auf Cybersecurity-Lösungen und nicht auf die Infrastruktur selbst ab. Das von diesen Produkten gebotene Sicherheitsniveau muss daher im Laufe der Zeit überwacht und verstärkt werden, um einen optimalen Schutz gegen neue Angriffe zu gewährleisten. Und wie der Katalog der bekannten Schwachstellen der amerikanischen Behörde CISA veranschaulicht, ist kein Anbieter gegen diese Angriffe immun. Aus diesem Grund wird das Thema der Stärkung und Abhärtung (Hardening auf Englisch) von Sicherheitsprodukten zu einer großen Herausforderung. Dieser Ansatz wurde ursprünglich in der militärischen Welt entwickelt, um hochsensible IT-Ressourcen zu schützen besteht darin, die Angriffsfläche eines Systems, einer Software oder eines Produktes zu reduzieren, um es sicherer zu machen.

Was bedeutet Abhärtung in der Praxis? Das zentrale Ziel dieses Ansatzes besteht darin, die Angriffsfläche aller betreffenden Komponenten zu reduzieren. In der Praxis auf System- oder Infrastrukturebene umfasst es eine Kombination von Techniken: optimale Konfiguration von Betriebssystemen, regelmäßige Überprüfung von privilegierten Konten und Firewall-Regeln, Beschränkungen für zugelassene IP-Adressen und strengere Regeln im Zusammenhang mit der Verwendung von Passwörtern. Im Bereich der Cybersicherheitslösungen kann die Abhärtung (beispielsweise) in Form einer Microservices-Architektur oder der Umsetzung vom Prinzip des geringsten Privilegs für Dienste erfolgen. Für Anbieter stellt es eine Aussage von Qualität und Professionalität dar: Die Intention ist es, zu verhindern, dass das Cybersicherheitsprodukt für bösartige Zwecke missbraucht wird, zum Beispiel als Trojaner oder durch das Einfügen von Hintertüren. Die Zivilgesellschaft orientiert sich allmählich an der militärischen Welt und kommt zum Abhärtungsansatz. Immer mehr öffentliche Ausschreibungen vom Staat oder öffentlichen Strukturen wie Krankenhäusern enthalten spezifische Anforderungen in Bezug auf Sicherheitsaspekte und die Notwendigkeit, abgehärtete Produkte zu implementieren. Wird das Hardening von Cybersicherheitslösungen zu einem großen Trend? Das bleibt abzuwarten.

Ein Cyber-Übergang von der Militärwelt zur Zivilgesellschaft

Aber braucht es wirklich eine solche Grenze? Denn obwohl militärische Informationssysteme sich von zivilen unterscheiden, weisen sie ähnliche Eigenschaften und gemeinsame Technologien, Hardware und Software auf. Aufgrund der hochsensiblen Infrastruktur und Daten, die sie schützen, müssen Cybersicherheitsprodukte militärisches Grades besondere Anforderungen erfüllen; beispielsweise durch bestimmte Konfigurationen. Es bleibt nur noch, „gute Praxis“-Übergänge zu schaffen. Die Abhärtung der Produkte bietet einen solchen Übergang und die Vertrauenswürdigkeit der Lösung ein weiteres – und ebenso wichtiges Merkmal.

Einige europäische Länder haben Qualifizierungsprogramme für Cybersicherheitsprodukte durch ihre nationalen Sicherheitsgremien entwickelt (wie die ANSSI in Frankreich, das BSI in Deutschland, die ACN in Italien, das CCN in Spanien und das NCSC in Großbritannien). Um eine zwischenstaatliche Anerkennung der Qualifikationen zu ermöglichen, wurde eine europäische gegenseitige Vereinbarung unterzeichnet. Das Ziel ist einfach: robuste, zuverlässige Lösungen für den Schutz sensibler Dienste zu identifizieren. Darunter zählen auf europäischer Ebene Betreiber von wesentlichen Diensten (Essential Entities) und die systemrelevanten Organisationen (Important Entities). Die ANSSI definiert ein qualifiziertes Produkt als robust. Diese Qualifikation wird Produkten zugeteilt, die die Anforderungen der ANSSI erfüllen und, basierend auf einer Analyse des Quellcodes für den Softwareteil, nach strengsten Kriterien zertifiziert sind. Zudem müssen sie noch garantiert frei von Backdoors sein. Diese Definition zeigt deutlich, dass diese Lösungen nicht nur für militärische Zwecke gedacht sind. Tatsächlich nutzen bereits einige zivile Unternehmen diese qualifizierten Sicherheitsprodukte, da sie auch Betreiber von vitalem Interesse und/oder wesentliche oder wichtige Einrichtungen sein können. Die europäische NIS2-Richtlinie umfasst auch Unterauftragnehmer und Dienstleister mit Zugang zu kritischen Infrastrukturen in der Riga der wesentlichen und wichtigen Organisationen: Dies sind alles zivile Unternehmen, die sich nun mit dem Konzept der Qualifikation beschäftigen sollten.

Es ist daher wichtig, den Einsatz qualifizierter Sicherheitsprodukte für den Rest der zivilen Welt zu versachlichen. Mit anderen Worten: Die Qualifizierung von Cybersicherheitsprodukten ist nicht nur eine Angelegenheit für regulierte Branchen. Wenn eine robuste, zuverlässige Sicherheitslösung sensible Regierungsdienste schützen kann, macht es auch Sinn, sie zum Schutz sensibler Unternehmensdaten zu verwenden: Personenbezogene Daten, sensible Daten, vitale Daten oder sogar kritische Daten, die alle zum Unternehmen beitragen und geschützt werden müssen.

Der wachsende Bedarf von Unternehmen, ihre Cybersicherheit zu stärken, und die Einführung neuer Anforderungen in konventionellen Märkten werden somit zu einem klaren Trend. Qualifizierte und abgehärtete Sicherheitsprodukte sind sowohl für den militärischen als auch für den zivilen Einsatz geeignet. Man braucht lediglich einen vertrauenswürdigen Partner.