Charter of Trust – warum ist sie ein Erfolgsmodell? 

Vor zwei Jahren hat Siemens die Charter of Trust ins Leben gerufen – mit heute 17 Partnern. Doch was hat die Initiative seitdem erreicht? Zeit für eine Zwischenbilanz. 

„Wir sind die Allianz der Guten.“ Wenn Kai Hermsen über die Charter of Trust spricht, klingt das ein bisschen nach Star Wars. „Die Guten“, das sind neben den Initiatoren Siemens und Münchner Sicherheitskonferenz noch Airbus, Atos, Cisco, IBM, TÜV Süd und neun weitere große Unternehmen, die sich zur Charter of Trust zusammengetan haben, um ihre Unternehmen, Produkte und kritischen Infrastrukturen sicherer zu machen und zu schützen vor der dunklen Seite der Macht: Erpresser, Spione und Terroristen, die in Computersysteme einbrechen und Daten stehlen oder vernichten oder Lösegeld erpressen wollen. Die Charter of Trust begreift Cybersicherheit als eine echte Chance, gemeinsam mit den Mitarbeitern, Kunden und Partnern Vertrauen in die Digitalisierung aufzubauen und deren unzählige Möglichkeiten zu nutzen.

 

Zwei Jahre gibt es die Charter of Trust nun und man kann bereits von einer echten Erfolgsgeschichte sprechen. Warum? Weil sie, statt Absichtserklärungen zu produzieren, konkrete Maßnahmen formuliert und diese als erstes bei den eigenen Partnern umsetzt. „Führung durch Vorbild“, nennt das Hermsen, der bei Siemens die Charter of Trust international koordiniert. „Die renommierten Partner bringen dabei mächtig Schwung in die internationale Debatte – und das über klassische Branchengrenzen weit hinaus.“ Viele weitere Unternehmen beobachten die Aktivitäten aufmerksam, auch Politik und Sicherheitsbehörden hören auf den Rat der Allianz. Dieser Austausch ist besonders eng mit den assoziierten Partnern wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI), dem spanische Pendant Centro Criptológico Nacional (CCN) sowie der Technischen Universität Graz, weitere sollen folgen.

Die renommierten Partner bringen mächtig Schwung in die internationale Debatte – und das über klassische Branchengrenzen weit hinaus.

Aufmerksamkeit und Vertrauen schaffen

Alles illustre Namen. Aber was bringt das tatsächlich für die Cybersicherheit? Auf jeden Fall Aufmerksamkeit. „Die Charter of Trust hat einen massiven Impuls in die politische Debatte gebracht“, lobt Johannes von Karczewski, bei Siemens Senior Director Global Government Outreach und ein „Geburtshelfer“ der Initiative. Mit den zehn Grundprinzipien habe die Charter of Trust erstmals ein gemeinsames Verständnis für Cybersecurity geschaffen. Und das Vertrauen zwischen den Partnern gestärkt, ohne das es in einer vernetzten Welt nicht geht.

Cybersecurity-Standards für Millionen Lieferanten 

Die Charter of Trust schafft ebenso konkrete Verbesserungen der Cybersicherheit. So sind Siemens und seine CoT-Partner keine einsamen Planeten, die um sich selbst kreisen, sondern sind tief verwoben mit unzähligen meist kleinen und mittelständischen Betrieben, die Komponenten für Produkte zuliefern. Ziel der Charter of Trust ist, auch diese Unternehmen auf gemeinsame Sicherheitsstandards zu verpflichten. Die Charter-Partner haben dazu 17 Mindestanforderungen an die Cyber-Sicherheit definiert, die ein Teilnehmer in einer Supply-Chain für eine sichere Zusammenarbeit erfüllen muss. Diese Anforderungen haben die CoT-Partner und somit auch Siemens in ihre AGBs übernommen. Alle neuen sicherheitskritischen Lieferanten ab sofort sowie nach und nach alle bestehenden müssen sie erfüllen. Und die wiederum müssen dafür sorgen, dass auch ihre Unterlieferanten mitziehen. Über die 17 Partner der Charter of Trust kommen da leicht Millionen Lieferanten zusammen – ein riesiger Aufwand. Aber ein notwendiger. Denn Cybersicherheit ist meist nur so stark wie das schwächste Glied in der Kette.

Hilfe statt Druck 

Friss Vogel, oder stirb – das ist nicht die Art und Weise, wie Siemens diese Anforderungen durchsetzen möchte. Viele Lieferanten könnten überfordert sein, weil sie nicht die finanziellen Mittel und nicht das Know-how haben. „Wir lassen diese Unternehmen nicht allein, sondern geben Ihnen eine Chance bei Cybersicherheit besser zu werden“, verspricht Kai Hermsen. Ein gemeinsames risikobasiertes Vorgehen soll helfen, individuelle Sicherheitslücken bei Lieferanten zu schließen und die Anforderungen zu erfüllen. Schon jetzt haben mehr Lieferanten die Anforderungen erfüllt, als ursprünglich geplant. Wichtig für Hermsen: „Die Charter of Trust ist nichts Separates und schon gar kein PR-Coup, sondern bildet eine starke Klammer für die Cybersicherheits-Aktivitäten der Partner und bringt so echten Nutzen.“ Wie genau, das erarbeiten die Partner in sechs Task Forces, laut Hermsen „die Herzkammer der Charter of Trust“. Aus einer gingen beispielsweise die Empfehlungen für die Mindestanforderungen in der Supply-Chain hervor.

Vom Kann zum Muss

Weitere Themen sind in Bearbeitung und sollen ebenfalls zügig umgesetzt werden, darunter ein gesamtheitlicher Ansatz zur mehr Bildung für Cybersicherheit. Außerdem wollen die Partner die Grundlagen für Security by Default legen. Dabei geht es um die Frage, wie Produkte – von Smartphone-Software bis zu Industriemaschinen – schon im Auslieferungszustand höchste Sicherheit bieten können. Klassiker etwa sind voreingestellte Passwörter wie „0000“, die niemand ändert und ein gefundenes Fressen für Eindringlinge sind. Hier automatisch bei Erstanmeldung ein neues Passwort zu erzwingen ist naheliegend. Aber was sind weitere Maßnahmen und wie muss man das gegen die Bedienfreundlichkeit abwägen? Darauf gibt es bisher keine allgemeingültigen Antworten und schon gar keine konkreten Umsetzungsempfehlungen. Die soll die zuständige Task Force erarbeiten, die Partner setzen sie dann um. Dazu haben sie sich in der Charter of Trust verpflichtet. Auch das ist ein wichtiges Signal: Cybersecurity ist keine freiwillige Option mehr, sondern ein verpflichtendes Muss.

03.02.2020

Bernd Müller

Abonnieren Sie unseren Newsletter

Bleiben Sie auf dem Laufenden: Alles was Sie über Elektrifizierung, Automatisierung und Digitalisierung wissen müssen.