Compliance – ethische und berufliche Themen bei der Netzwerksicherheit
Technologien sind ethisch nicht „neutral“, denn sie spiegeln die Werte wider, die wir ihnen mit unseren Designentscheidungen „einbrennen“, sowie die Werte, die unsere Verbreitung und Nutzung der Technologien leiten. Technologien offenbaren und formen, was Menschen schätzen, was wir im Leben für „gut“ und erstrebenswert halten. Internet-Sicherheitspraktiken haben das Ziel, Daten, Computersysteme und Netzwerke (Software und Hardware) zu sichern, d. h. zu schützen. Während diese Daten, Systeme und Netzwerke an und für sich einen gewissen wirtschaftlichen oder sonstigen Wert haben können, schützen Internet-Sicherheitspraktiken in erster Linie die Integrität, Funktionalität und Zuverlässigkeit menschlicher Institutionen/Praktiken, die sich auf diese Daten, Systeme und Netzwerke stützen.
Kein einzelner, detaillierter Kodex für Cybersicherheitsethik kann auf alle Kontexte und BenutzerInnen zugeschnitten werden; Organisationen und Berufe sollten daher ermutigt werden, explizite interne Richtlinien, Verfahren, Leitfäden und Best-Practices für Internet- Sicherheitsethik zu entwickeln, die speziell auf ihre eigenen Aktivitäten und Herausforderungen abgestimmt sind.
Eine Internet-Sicherheitsverordnung umfasst Richtlinien zur Absicherung von Informationstechnologien und Computersystemen, um Unternehmen und Organisationen dazu zu bringen, ihre Systeme und Informationen vor Cyberangriffen wie Viren, Würmern, Trojanern, Phishing, Denial-of-Service-Angriffen (DOS), unbefugtem Zugriff (Diebstahl von geistigem Eigentum oder vertraulichen Informationen) und Angriffen auf Kontrollsysteme zu schützen. Es gibt zahlreiche Maßnahmen, um Cyberangriffe zu verhindern.
Es gibt Versuche, die Cybersicherheit durch Regulierung und Zusammenarbeit zwischen der Regierung und dem privaten Sektor zu verbessern, um freiwillige Verbesserungen der Cybersicherheit zu fördern. Die Aufsichtsbehörden der Branche, einschließlich der Bankenaufsichtsbehörden, sind sich des Risikos der Cybersicherheit bewusst und haben damit begonnen oder planen, die Cybersicherheit als einen Aspekt in die aufsichtsrechtlichen Prüfungen aufzunehmen.
Am Ende dieses Moduls werden Sie Folgendes lernen:
- Überblick über die weltweit und in der EU erforderlichen Cyber-Sicherheitsvorschriften und -Vorschriften.
- Überblick über ethische Fragen der Cybersicherheit
- Einige vorgeschlagene Best Practices
ÜBERSICHT ÜBER DIE WELTWEIT UND IN DER EU ERFORDERLICHEN CYBERSICHERHEITSVORSCHRIFTEN UND -KONFORMITÄTEN
Im Allgemeinen wird Compliance als Befolgung von Regeln und Erfüllung von Anforderungen definiert. Im Bereich der Cybersicherheit bedeutet Compliance die Erstellung eines Programms, das risikobasierte Kontrollen zum Schutz der Integrität, Vertraulichkeit und Zugänglichkeit von gespeicherten, verarbeiteten oder übertragenen Informationen einrichtet. Die Compliance im Bereich der Internetsicherheit basiert jedoch nicht auf einem eigenständigen Standard oder einer Vorschrift. Je nach Branche können sich verschiedene Standards überschneiden, was zu Verwirrung und Mehraufwand für Unternehmen führen kann, die einen checklistenbasierten Ansatz verwenden. Zum Beispiel muss die Gesundheitsbranche die Anforderungen des Health Insurance Portability and Accountability Act (HIPAA) erfüllen, aber wenn ein Anbieter auch Zahlungen über ein Point-of-Service (POS)-Gerät akzeptiert, dann muss er auch die Anforderungen des Payment Card Industry Data Security Standard (PCI DSS) erfüllen. Und es ist nicht ungewöhnlich, dass Unternehmen mehrere Vorschriften gleichzeitig einhalten müssen, was es noch schwieriger macht, diese einzuhalten. Dazu gehören unter anderem:
- NIST (Nationales Institut für Standards und Technologie)
- CIS Controls (Zentrum für Internet-Sicherheitskontrollen)
- ISO (Internationale Organisation für Normung)
- HIPAA (Health Insurance Portability and Accountability Act) / HITECH Omnibus Rule
- PCI-DSS (Payment Card Industry Data Security Standard)
- GDPR (Allgemeine Datenschutzverordnung)
- CCPA (Kalifornisches Verbraucherschutzgesetz)
- AICPA (Amerikanisches Institut für zertifizierte Wirtschaftsprüfer)
- SOX (Sarbanes-Oxley-Gesetz)
- COBIT (Control Objectives for Information and Related Technologies)
- GLBA (Gramm-Leach-Bliley-Gesetz)
- FISMA (Federal Information Security Modernization Act von 2014)
- FedRAMP (Das Bundesprogramm für Risiko- und Berechtigungsmanagement)
- FERPA (Family Educational Rights and Privacy Act von 1974)
- ITAR (Internationale Vorschriften für den Waffenhandel)
- COPPA (Richtlinie zum Schutz der Privatsphäre von Kindern im Internet)
- NERC CIP-Standards (NERC-Standards zum Schutz kritischer Infrastrukturen)
Natürlich ist es von entscheidender Bedeutung, die gesetzlichen Anforderungen einzuhalten. Unternehmen müssen die staatlichen, bundesstaatlichen und internationalen Gesetze und Vorschriften befolgen, die für ihren Betrieb relevant sind. Die Nichteinhaltung dieser Vorschriften kann zu Rechtsstreitigkeiten und finanzieller Haftung führen, ganz zu schweigen von einem Vertrauensbruch bei KundInnen, PartnerInnen und anderen. Es ist jedoch teuer, komplex und erfordert das richtige Fachwissen, nur um mit den bestehenden Standards Schritt zu halten, geschweige denn neue einzuführen. Das Ergebnis ist, dass sich Unternehmen oft darauf konzentrieren, die Mindestanforderungen zu erfüllen, anstatt angemessene Internet-Sicherheitsrichtlinien zu implementieren, was in der heutigen Umgebung, in der unsere AngreiferInnen unserer Verteidigung immer einen Schritt voraus sind, keine gute Sache ist.
Um Best Practices einzuhalten und technische und andere Anforderungen zu erfüllen, nutzen Unternehmen häufig Frameworks für die Einhaltung von Internetsicherheit und gesetzlichen Vorschriften. Diese Frameworks stellen Best Practices und Richtlinien zur Verfügung, die bei der Verbesserung der Sicherheit, der Optimierung von Geschäftsprozessen, der Erfüllung gesetzlicher Anforderungen und der Durchführung anderer Aufgaben helfen, die zum Erreichen bestimmter Geschäftsziele erforderlich sind, wie z. B. dem Eindringen in eine Marktnische oder dem Verkauf an Regierungsbehörden.
Regulatorische Compliance-Regelungen stellen in der Regel sehr spezifische und oft strenge Anforderungen an Unternehmen und Branchen, um etablierte Standards zu erfüllen und bestehende Gesetze zu befolgen. Diese Anforderungen können zahlreich und komplex sein – daher sind Frameworks, die bei der Erfüllung der Compliance-Anforderungen helfen sollen, eine willkommene Ergänzung der Ressourcen- und Wissensbasis der meisten Unternehmen. Einige typische Beispiele sind die folgenden:
| Das Gesetz | Was es regelt | Betroffene Firmen |
| NIST | Dieses Framework wurde erstellt, um einen anpassbaren Leitfaden für die Verwaltung und Reduzierung von Risiken im Zusammenhang mit Cybersicherheit zu bieten, indem bestehende Standards, Richtlinien und Best Practices kombiniert werden. Es hilft auch, die Kommunikation zwischen internen und externen Stakeholdern zu fördern, indem es eine gemeinsame Risikosprache zwischen verschiedenen Branchen schafft. | Es handelt sich um ein freiwilliges Rahmenwerk, das von jeder Organisation, die ihr Gesamtrisiko reduzieren möchte, umgesetzt werden kann. |
| CIS Controls | Schützen Sie die Werte und Daten Ihres Unternehmens vor bekannten Cyber-Angriffsvektoren. | Unternehmen, die die Sicherheit im Internet der Dinge (IoT) stärken wollen. |
| ISO 27000 Family | Diese Normenreihe bietet Sicherheitsanforderungen rund um die Aufrechterhaltung von Informationssicherheitsmanagementsystemen (ISMS) durch die Implementierung von Sicherheitskontrollen. | Diese Vorschriften sind breit gefächert und können auf eine Vielzahl von Unternehmen passen. Alle Unternehmen können diese Familie von Vorschriften zur Bewertung ihrer Internet-Sicherheitspraktiken nutzen |
| ISO 31000 Family | Dieses Regelwerk regelt die Grundsätze der Durchführung und des Risikomanagements. | Diese Vorschriften sind breit gefächert und können auf eine Vielzahl von Unternehmen passen. Alle Unternehmen können diese Familie von Vorschriften zur Bewertung ihrer Internet-Sicherheitspraktiken nutzen |
| HIPAA/ HITECH | Dieses Gesetz besteht aus zwei Teilen. Titel I schützt die Gesundheitsversorgung von Menschen, die zwischen Arbeitsplätzen wechseln oder entlassen werden. Titel II soll den Gesundheitsprozess durch die Umstellung auf elektronische Daten vereinfachen. Es schützt auch die Privatsphäre der einzelnen Patienten. Dies wurde durch die HITECH / Omnibus Rule weiter ausgebaut. | Jede Organisation, die Daten aus dem Gesundheitswesen verarbeitet. Dazu gehören unter anderem Arztpraxen, Krankenhäuser, Versicherungsgesellschaften, Geschäftspartner und Arbeitgeber. |
| PCI-DSS | Eine Reihe von 12 Vorschriften zur Reduzierung von Betrug und zum Schutz der Kreditkartendaten von Kunden. | Unternehmen, die mit Kreditkarteninformationen arbeiten. |
| GDPR | Diese regelt den Datenschutz und die Privatsphäre der Bürger der Europäischen Union. | Jedes Unternehmen, das in der Europäischen Union tätig ist oder mit den Daten eines Bürgers der Europäischen Union arbeitet. |
| CCPA | Datenschutzrechte und Verbraucherschutz für die Einwohner von Kalifornien. | Jedes Unternehmen, einschließlich aller gewinnorientierten Unternehmen, die in Kalifornien tätig sind und persönliche Daten von Verbrauchern sammeln. |
| AICPA
SOC2 |
Die Sicherheit, Verfügbarkeit, Verarbeitungsintegrität und Vertraulichkeit von Systemen, die Benutzerdaten verarbeiten, sowie die Vertraulichkeit dieser Systeme. | Dienstleistungsunternehmen, die Benutzerdaten verarbeiten. |
| SOX | Dieses Gesetz verpflichtet Unternehmen, Finanzunterlagen bis zu sieben Jahre lang aufzubewahren. Es wurde eingeführt, um einen weiteren Enron-Skandal zu verhindern. | Vorstände, Management und Wirtschaftsprüfungsgesellschaften von US-amerikanischen Aktiengesellschaften. |
| COBIT | Dieses Framework wurde entwickelt, um Organisationen bei der Verwaltung von Informationen und Technologie zu unterstützen, indem es Geschäfts- und IT-Ziele miteinander verbindet. | Organisationen, die für Geschäftsprozesse im Zusammenhang mit der Technologie und der Qualitätskontrolle von Informationen verantwortlich sind. Dazu gehören unter anderem Bereiche wie Audit und Assurance, Compliance, IT-Betrieb, Governance sowie Sicherheits- und Risikomanagement. |
| GLBA | Dieses Gesetz erlaubte es den Versicherungsgesellschaften, Geschäftsbanken und Investmentbanken, einem und demselben Unternehmen zu gehören. Was die Sicherheit anbelangt, so schreibt es den Unternehmen vor, die privaten Informationen von Kunden und Klienten zu schützen. | Dieses Gesetz definiert „Finanzinstitutionen“ als: „…Unternehmen, die Finanzprodukte oder -dienstleistungen für Einzelpersonen anbieten, wie Kredite, Finanz- oder Anlageberatung oder Versicherungen.“ |
| FISMA | Dieses Gesetz erkennt die Informationssicherheit als ein Anliegen der nationalen Sicherheit an. Daher schreibt es vor, dass alle Bundesbehörden eine Methode zum Schutz ihrer Informationssysteme entwickeln. | Alle Bundesbehörden fallen in den Geltungsbereich dieses Gesetzes. |
| FedRAMP | Cloud-Dienste in der gesamten Bundesverwaltung. | Exekutivabteilungen und -agenturen. |
| FERPA | Abschnitt 3.1 des Gesetzes befasst sich mit dem Schutz der Bildungsunterlagen von Schülern. | Jede universitäre Einrichtung, einschließlich der, aber nicht beschränkt auf Akademien, Colleges, Seminare, technische Schulen und Berufsschulen. |
| ITAR | Kontrolliert den Verkauf von Verteidigungsartikeln und Verteidigungsdienstleistungen (Bereitstellung kritischer militärischer oder nachrichtendienstlicher Fähigkeiten). | Anyone who produces or sells defense items and defense services. |
| COPPA | Die online Sammlung persönliche Daten über Kinder unter 13 Jahren. | Jede natürliche oder juristische Person, die der U.S. Gerichtsbarkeit unterliegt. |
| NERC CIP Standards | Verbessern die Sicherheit des nordamerikanischen Stromnetzes. | Alle Eigentümer und Betreiber von Stromversorgungsnetzen. |
ÜBERBLICK ÜBER ETHISCHE FRAGEN IN DER CYBERSICHERHEIT
Die Grundlage aller Sicherheitssysteme bilden die moralischen Prinzipien und Praktiken der beteiligten Personen sowie die Standards des Berufsstandes. Das heißt, die Menschen sind zwar Teil der Lösung, aber sie sind auch zum größten Teil das Problem. Zu den Sicherheitsproblemen, mit denen sich eine Organisation auseinandersetzen muss, gehören verantwortungsvolle Entscheidungsfindung, Vertraulichkeit, Datenschutz, Piraterie, Betrug und Missbrauch, Haftung, Urheberrecht, Geschäftsgeheimnisse und Sabotage. Dieses metaphorische Wettrüsten zeigt keine Anzeichen dafür, dass es aufhört, da die vernetzten Technologien immer mehr in das Gewebe des Berufslebens integriert werden.
IT-SicherheitsmitarbeiterInnen haben oft Zugang zu vertraulichen Daten und Wissen über die Netzwerke und Systeme von Einzelpersonen und Unternehmen, was ihnen eine große Macht verleiht. Diese Macht kann missbraucht werden, entweder absichtlich oder unabsichtlich. Es gibt jedoch keine verbindlichen Standards für Cyberethik, zu deren Einhaltung Cybersecurity-Profis verpflichtet sind. Tatsächlich sind sich viele IT-Profis nicht einmal bewusst, dass ihre Arbeit ethische Fragen beinhaltet. Dennoch treffen sie täglich Entscheidungen, die ethische Fragen aufwerfen. Viele der ethischen Fragen betreffen die Privatsphäre. Zum Beispiel:
- Sollten Sie die privaten E-Mails Ihrer NetzwerkbenutzerInnen lesen, nur weil Sie es können? Ist es in Ordnung, die E-Mails der MitarbeiterInnen als Sicherheitsmaßnahme zu lesen, um sicherzustellen, dass sensible Unternehmensinformationen nicht weitergegeben werden? Ist es in Ordnung, die E-Mails der MitarbeiterInnen zu lesen, um sicherzustellen, dass die Unternehmensregeln (z. B. gegen die private Nutzung des E-Mail-Systems) nicht verletzt werden? Wenn Sie die E-Mails der MitarbeiterInnen lesen, sollten Sie sie über diese Richtlinie informieren? Vor oder nach der Tat?
- Ist es in Ordnung, die von Ihren NetzwerkbenutzerInnen besuchten Websites zu überwachen? Sollten Sie routinemäßig Protokolle der besuchten Websites führen? Ist es fahrlässig, eine solche Internetnutzung nicht zu überwachen, um die Möglichkeit von Pornografie am Arbeitsplatz zu verhindern, die ein feindliches Arbeitsumfeld schaffen könnte?
- Ist es in Ordnung, Key-Logger auf Rechnern im Netzwerk zu platzieren, um alles aufzuzeichnen, was der/die BenutzerIn eingibt? Was ist mit Bildschirmaufzeichnungsprogrammen, um alles zu sehen, was angezeigt wird? Sollten die BenutzerInnen darüber informiert werden, dass sie auf diese Weise beobachtet werden?
- Ist es in Ordnung, die Dokumente zu lesen und die Grafikdateien zu betrachten, die auf den Computern der Benutzer oder in ihren Verzeichnissen auf dem Dateiserver gespeichert sind?
Denken Sie daran, dass es hier nicht um die rechtlichen Fragen geht. Ein Unternehmen kann sehr wohl das gesetzliche Recht haben, alles zu überwachen, was ein/eine MitarbeiterIn mit seiner Computerausrüstung macht. Es geht um die ethischen Aspekte, wenn man die Möglichkeit hat, dies zu tun.
Ein gängiges Konzept in jeder Ethik-Diskussion ist der „schlüpfrige Abhang“. Dies bezieht sich auf die Leichtigkeit, mit der eine Person von etwas, das nicht wirklich unethisch erscheint, wie z. B. das Scannen der E-Mails von MitarbeiterInnen „nur zum Spaß“, zu immer unethischeren Handlungen übergehen kann, wie z. B. das Vornehmen kleiner Änderungen an den E-Mail-Nachrichten oder das Umleiten von Nachrichten an den falschen Empfänger. Das „Slippery Slope“-Konzept kann auch über die Nutzung Ihrer IT-Fähigkeiten hinausgehen. Wenn es in Ordnung ist, die E-Mails anderer MitarbeiterInnen zu lesen, ist es dann auch in Ordnung, deren Schreibtischschubladen zu durchwühlen, wenn sie nicht da sind? Ihre Aktenkoffer oder Handtaschen zu öffnen?
Dann gibt es noch Geldprobleme. Die Zunahme von Netzwerkangriffen, Hacks, Viren und anderen Bedrohungen für ihre IT-Infrastrukturen haben viele Unternehmen dazu veranlasst, „große Angst zu haben.“ Als SicherheitsberaterIn kann es sehr einfach sein, mit dieser Angst zu spielen, um Unternehmen davon zu überzeugen, weit mehr Geld auszugeben, als sie wirklich brauchen. Ist es falsch, wenn Sie Hunderte oder sogar Tausende von Dollar pro Stunde für Ihre Dienstleistungen verlangen, oder gilt: „Was der Markt hergibt“?
Ein weiteres ethisches Problem besteht darin, mehr zu versprechen, als Sie liefern können, oder Daten zu manipulieren, um höhere Gebühren zu erzielen. Sie können Technologien installieren und Einstellungen konfigurieren, um das Netzwerk eines Kunden sicherer zu machen, aber Sie können es nie vollständig sicher machen.
VORSCHLÄGE FÜR GÄNGIGE BEST PRACTICES
Kein einzelner, detaillierter Kodex für Cybersicherheitsethik kann auf alle Kontexte und Praktiken zugeschnitten werden; Organisationen und Berufsgruppen sollten daher ermutigt werden, explizite interne Richtlinien, Verfahren, Leitlinien und Best Practices für Cybersicherheitsethik zu entwickeln, die speziell auf ihre eigenen Aktivitäten und Herausforderungen abgestimmt sind. Einige der gängigen Richtlinien sind wie unten vorgeschlagen:
- Internet-Sicherheitsethik im Rampenlicht halten: Ethik ist ein allgegenwärtiger Aspekt der Internet-Sicherheitspraxis. Aufgrund der immensen gesellschaftlichen Macht der Informationstechnologie sind ethische Fragen praktisch immer im Spiel, wenn wir uns darum bemühen, diese Technologie und ihre Funktionsweise sicher zu halten.
- Die menschlichen Leben und Interessen hinter den Systemen berücksichtigen: In technischen Zusammenhängen kann man leicht aus den Augen verlieren, was die meisten Systeme, mit denen wir arbeiten, sind: nämlich Möglichkeiten, das Leben von Menschen zu verbessern und menschliche Interessen zu schützen.
- Ketten ethischer Verantwortung und Verantwortung etablieren: In organisatorischen Umgebungen ist das „Problem der vielen Hände“ eine ständige Herausforderung für verantwortungsvolle Praxis und Rechenschaftspflicht.
- Internet-Sicherheitskatastrophenplanung und Krisenreaktion üben: Die meisten Menschen wollen kein Scheitern oder eine Krise vorhersehen; sie wollen sich auf das positive Potenzial eines Projekts oder Systems konzentrieren.
- Werte wie Transparenz, Autonomie und Vertrauenswürdigkei fördern: Um eine gesunde Beziehung zwischen SicherheitsexpertInnen und der Öffentlichkeit zu erhalten, ist es wichtig, die Bedeutung von Transparenz, Autonomie und Vertrauenswürdigkeit in der Beziehung zu verstehen.
- ethische Reflexion und Praxis zum Standard, durchdringend, iterativ und lohnend machen: Ethische Reflexion und Praxis ist, wie wir bereits gesagt haben, ein wesentlicher und zentraler Bestandteil professioneller Exzellenz in der Internetsicherheit.
Einige der gängigen Best-Practices für Ethik in der Internet-Sicherheit
Selbstreflexion/Prüfung üben: Dies beinhaltet, dass Sie regelmäßig Zeit damit verbringen, über die Person nachzudenken, die Sie werden wollen, im Verhältnis zu der Person, die Sie heute sind.
- Nach moralischen Vorbildern suchen: Viele von uns verbringen einen großen Teil ihrer Zeit, oft mehr als uns bewusst ist, damit, die Unzulänglichkeiten anderer zu beurteilen.
- Moralische Vorstellungskraft ausüben: Es kann schwer sein, unsere ethischen Verpflichtungen oder deren Bedeutung zu erkennen, weil wir uns nur schwer vorstellen können, wie sich unser Handeln auf andere auswirken könnte.
- Die eigene moralische Stärke anerkennen: In den meisten Fällen macht ein gutes Leben im ethischen Sinne das Leben einfacher, nicht schwieriger.
- Die Gesellschaft von anderen moralischen Menschen aufsuchen: Der griechische Philosoph Aristoteles argumentierte im 4. Jahrhundert v. Chr., dass ein tugendhafter Freund ein „zweites Ich“ sein kann, das genau die Charaktereigenschaften verkörpert, die wir an uns selbst schätzen und zu bewahren trachten.