Stärkere IKT-Supply-Chain-Sicherheit: Kaspersky, Cigref, GEODE und weitere Stakeholder veröffentlichen konkrete Instrumente

Die Paris Call Working Group 6 (WG6) hat ihre Analyse [1] zur Einführung konkreter Instrumente für Supply-Chain-Security in der Informations- und Kommunikationstechnik (IKT) vorgelegt. Kaspersky und Cigref hatten gemeinsam den WG6-Vorsitz inne und wurden dabei von GEODE fachlich unterstützt. Die gemeinschaftliche Arbeit im Rahmen des Paris Peace Forum 2021 ist das Ergebnis einer sechsmonatigen Diskussion mit mehreren internationalen Stakeholdern.

Die Working Group 6 hatte im März 2021 als Teil des Paris Call for Trust and Security in Cyberspace [2] ihre Arbeit aufgenommen. Dazu trafen sich mehr als 30 Vertreter aus unterschiedlichen Regierungsorganisationen, aus Wirtschaft, Wissenschaft und Zivilgesellschaft. Die WG6 fokussierte sich auf die Sicherheit der IKT-Supply-Chain mit einer Reihe diesbezüglicher Rahmenrichtlinien, Maßnahmen und bewährter Verfahren für die Sicherheit von Produkten und Dienstleistungen der Informations- und Kommunikationsbranche.

Das führende Cybersicherheitsunternehmen Kaspersky und Cigref, der Verband wichtiger französischer Digitalunternehmen und Verwaltungsbehörden, haben mit Unterstützung der Expertise des Forschungszentrums für geopolitische Fragen beim Umgang mit Daten, GEODE, gemeinsam daran gearbeitet, vorhandene Wissens- und Implementierungslücken zu schließen. Politischen Entscheidungsträgern und der Branche sollten konkrete Vorschläge für mehr Sicherheit der IKT-Supply-Chain an die Hand gegeben werden. Ausgangspunkt für die WG6 waren dabei bereits bestehende OECD-Richtlinien und -Empfehlungen, die im Februar 2021 im Report „Enhancing the digital security of products“ [3] veröffentlicht wurden.

Der WG6-Report zeichnet ein Tableau praktischer Handlungsfelder und einzelner Schritte, über das die beteiligten Akteure positive Impulse für Sicherheit und wirtschaftliches Handeln in der gesamten ICT-Supply-Chain entnehmen können. In einer Matrix werden die erforderlichen Beiträge und Handlungsfelder aller Stakeholder aufgeführt. Dazu gehören Regulierungsbehörden und internationale Institutionen ebenso wie die Abnehmer und Anbieter digitaler Leistungen. Der Bericht ermöglicht zudem eine Zuordnung [4] bereits bestehender Rahmenrichtlinien und zeigt positive Beispiele, wie auch regulatorische Lücken auf.

Neben der Darstellung von Lücken und zukünftigen Arbeitsfeldern will die WG6 eine bessere Harmonisierung aktueller nationaler Regelungen und Branchenkonzepte erreichen. Außerdem die Bereitstellung von Anreizen für mehr Sicherheit in modernen IKT-Produkten und -Dienstleistungen sowie mehr Transparenz der IKT-Supply-Chain sowohl im öffentlichen wie im privaten Sektor.

„Wir freuen uns, abschließend die gemeinsamen Ergebnisse der Unterstützer des Paris Call und darüber hinaus präsentieren zu können“, sagt Eugene Kaspersky, CEO bei Kaspersky. „Als globales Technologieunternehmen sind wir bestrebt, unsere Community für den nachhaltigen und effektiveren Aufbau einer sicheren digitalen Welt zu begeistern und besser über jene Instrumente zu informieren, die für mehr Resilienz im Cybersicherheitsbereich zur Verfügung stehen.“

Arnaud Coustillière, der Cigref-Vertreter im Paris Call, ergänzt: „In Zusammenhang mit dem alarmierenden Anstieg von Cyberattacken speziell im Bereich von Supply Chains, die uns alle in eine Art Chaos stürzen könnten, hat unsere Arbeitsgruppe zur Sicherheit in der digitalen Wertschöpfungskette, die von Cigref zusammen mit Kaspersky und GEODE koordiniert wurde, besonders ergiebige und aufschlussreiche Ergebnisse geliefert – auch wenn man die Unterschiedlichkeit der Beteiligten berücksichtigt. Bei der Untersuchung einer großen Anzahl von Initiativen sind wir auf eine große Fragmentierung gestoßen sowie die Notwendigkeit, bereits bestehende Ansätze zu stärken und umzusetzen, speziell für globale Sicherheitsstandards. Die Matrix mit den Aktionsfeldern weist zudem Rollen und Verantwortlichkeiten für mehr Sicherheit aus. Dazu gehören nicht nur Aufgaben für staatliche Stellen, sondern verstärkt auch für die wichtigsten Herausgeber und privaten Akteure, die digitale Dienstleistungen anbieten.“

Der vollständige WG6-Report ist einsehbar unter https://pariscall.international/assets/files/2021-11-12-Paris-Call-Working-Group6-Report-SecuringICTSupplyChain.pdf

[1] https://pariscall.international/assets/files/2021-11-12-Paris-Call-Working-Group6-Report-SecuringICTSupplyChain.pdf

[2] Der Paris Call for Trust and Security in Cyberspace wurde am 18. November 2018 von Staatspräsident Emmanuel Macron initiiert: https://www.diplomatie.gouv.fr/de/aussenpolitik-frankreichs/neuigkeiten/article/cybersicherheit-pariser-appell-vom-12-november-2018-fur-vertrauen-und

[3] Report der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) zur digitalen Sicherheit: https://www.oecd-ilibrary.org/science-and-technology/enhancing-the-digital-security-of-products_cd9f9ebc-en

[4] WG6-Report-Mapping als Excel-Datei: https://pariscall.international/assets/files/Paris-Call-WG6-Supply-chain-security-mapping-version-2021-11-10.xlsx

Nützliche Links:

• Report der Paris Call-WG6: https://pariscall.international/assets/files/2021-11-12-Paris-Call-Working-Group6-Report-SecuringICTSupplyChain.pdf
• Paris Call for Trust and Security in Cyberspace: https://www.diplomatie.gouv.fr/de/aussenpolitik-frankreichs/neuigkeiten/article/cybersicherheit-pariser-appell-vom-12-november-2018-fur-vertrauen-und
• OECD-Basispapier zur Sicherheit digitaler Produkte: https://www.oecd-ilibrary.org/science-and-technology/enhancing-the-digital-security-of-products_cd9f9ebc-en

Über Kaspersky

Kaspersky ist ein internationales Unternehmen für Cybersicherheit und digitale Privatsphäre, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 400 Millionen Nutzer und 240.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter https://www.kaspersky.de/

About the Paris Call

The Paris Call for Trust and Security in Cyberspace, launched by President Macron in November 2018, promotes a multi-stakeholder approach to the regulation of cyberspace in collaboration with States, private sector entities and civil society organizations. The Paris Call is now the largest international, multi-stakeholder initiative on cybersecurity with 1 100 supporters from all regions of the world. Learn more at https://pariscall.international/en/.

About Cigref

Created in 1970, Cigref is a non-profit organisation representing the largest French companies and public administrations, exclusively users of digital solutions and services, which supports its members in their collective thinking on digital issues. Cigref's 152 members represent 1700 billion in cumulative sales, 9 million employees supplied internally with IT solutions and services by more than 200,000 professionals. Our association works, for the benefit of its members, in favour of a sustainable, responsible and trustworthy digital environment. Learn more at www.cigref.fr.

About GEODE

GEODE (Geopolitics of the Datasphere) is a research and training center at the University of Paris 8 dedicated to the study of the impact of digital transformation on the strategic environment. It has been selected for a “Center of Excellence for International Relations and Strategy” label by the French Ministry of the Army. Its scientific ambition is twofold. On the one hand, to use the resources of the datasphere for geopolitical analysis, i.e. to develop tools to collect, process, and exploit the large masses of data relating to the datasphere, and to propose the development of new methods for mapping physical spaces based on the fusion of spatialized and non-spatialized data. And on the other hand to study the datasphere as a geopolitical object in its own right. https://geode.science/en/home-2/