Das wissenschaftliche und technische Potenzial der Nation: Wie kann es vor Spionage geschützt werden?
Wenn Informationen über die wissenschaftlichen und technologischen Aktivitäten einer Nation abgegriffen werden, gefährdet dies ihre Stabilität und Wettbewerbsfähigkeit. Auf dem letzten Gipfeltreffen der Fives Eyes wurde darauf hingewiesen, dass der Schutz des wissenschaftlichen und technischen Potenzials der Nationen maximale Cybersicherheitsmaßnahmen erfordert.
Definition des wissenschaftlichen und technischen Potenzials
Das wissenschaftliche und technische Potenzial der Nation besteht aus „der Gesamtheit der materiellen und immateriellen Güter, die der grundlegenden und angewandten wissenschaftlichen Tätigkeit für die technologische Entwicklung der französischen Nation eigen sind“. Mit anderen Worten: Es handelt sich um hochstrategisches Wissen und Know-how sowie sensible Technologien, die in öffentlichen und privaten Einrichtungen im Staatsgebiet produziert und entwickelt werden. Sowohl ihr Zugang als auch ihr Schutz sind somit formal geregelt.
Erste Schutzmaßnahme: die PPST
Seit 2011 gibt es in Frankreich den „Schutz des wissenschaftlichen und technischen Potenzials“ (Protection du Potentiel Scientifique et Technique, abgekürzt PPST). Diese interministerielle Sicherheitsregelung ist auf sechs verschiedene Ministerien verteilt und wird vom Generalsekretariat für Verteidigung und nationale Sicherheit (SGDSN) geleitet:
- Landwirtschaftsministerium
- Verteidigungsministerium
- Ministerium für nachhaltige Entwicklung
- Wirtschafts- und Finanzministerium
- Gesundheitsministerium
- Ministerium für Hochschulen, Forschung und Innovation
Sie soll verhindern, dass sensible Informationen nach außen dringen oder versucht wird, diese abzugreifen. Hierfür werden unter anderem Zonen mit restriktiven Regelungen (ZRR) geschaffen. In diesen Zonen wird der physische oder virtuelle Zugang zu sensiblen Informationen streng kontrolliert. Dazu gehören z. B. Forschungs- oder Produktionsstandorte, die für das Land von großem Interesse sind.
Der PPST ergänzt andere Sicherheitssysteme. So zum Beispiel das System zum Schutz von Betreiber wesentlicher Dienste (OIV) oder der Geheimhaltung der Landesverteidigung.
Welche Risiken bestehen, wenn diese sensiblen Informationen offengelegt werden?
Wenn Informationen über das technische und wissenschaftliche Potenzial der Nation abgegriffen werden, können sie für destabilisierende oder kriminelle Zwecke missbraucht werden. Die Risiken werden in vier Kategorien eingeteilt:
- Beeinträchtigung der wirtschaftlichen Interessen der Nation
- Aufbau von militärischen Arsenalen
- Weiterverbreitung von Massenvernichtungswaffen
- Terrorismus
Betroffene Branchen
Damit sind verschiedene wissenschaftliche und technische Bereiche vom PPST betroffen:
- Biologie,
- Medizin,
- Gesundheit,
- Chemie,
- Mathematik,
- Physik,
- Agrar- und Umweltwissenschaften,
- Geo-, Weltall- und Weltraumwissenschaften,
- Informations- und Kommunikationswissenschaften sowie -technologien,
- Ingenieurwissenschaften usw.
Deshalb müssen Forschungslabore, Unternehmen und Universitäten beschützt werden, so dass ihre Daten nicht abgefangen werden können.
Wissenschaftliches und technisches Potenzial vor Cyberspionage schützen
Der Zugang zu ZRR kann physisch, aber auch virtuell sein. Aus diesem Grund ist die Sicherheit von Informationssystemen eine große Herausforderung, um das wissenschaftliche und technische Potenzial vor Cyberspionage zu bewahren.
System für restriktive Informationen sichern
Ein System für restriktive Informationen leitet restriktive Informationen weiter. Es handelt sich hierbei um sensible Informationen, deren Verbreitung eines oder mehrere der oben genannten Risiken mit sich bringen würde. Ihr Zugang stellt daher einen virtuellen Zugang zu einer RR-Zone dar. Anzumerken ist, dass das System für restriktive Informationen der interministeriellen Anweisung Nr. 901 über den Schutz der Geheimhaltung und der Landesverteidigung unterliegt.
In dem vom ANSSI veröffentlichten Leitfaden zum digitalen Schutz des wissenschaftlichen und technischen Potenzials der Nation findet sich eine Liste von Sicherheitsmaßnahmen. Diese müssen von Organisationen mit einem System für restriktive Informationen umgesetzt werden. Dazu gehört die Einführung einer Sicherheitspolitik für Informationssysteme, in der alle bewährten Praktiken und Verfahren im Bereich der IT-Sicherheit aufgelistet sind. Sie müssen von den Mitarbeitern und anderen Interessengruppen eingehalten werden.
Das System für restriktive Informationen umfasst nämlich alle Arten von elektronischen Medien und Geräten wie Laptops, USB-Sticks oder Server. Daher wird vorausgesetzt, dass Nutzer parallel dazu für Cybersicherheit sensibilisiert werden.
Beispiele für Sicherheitsmaßnahmen, die implementiert werden müssen:
- Kommunikationsverschlüsselung
- Verschlüsselung der Festplatten von Arbeitsplatzrechnern
- Zugangskontrolle
Für sichere Arbeitsplätze sorgen
Arbeitsplatzrechner enthalten eine Reihe sensibler Informationen, die geschützt werden müssen. Die ANSSI erinnert mit ihrem Leitfaden daran, wie wichtig es ist, alle Daten auf einem Endgerät zu löschen, bevor die Hardware neu zugewiesen wird. Ebenso ist es von entscheidender Bedeutung, die Zugriffsrechte auf Informationssysteme zu löschen, sobald die Beschäftigungsdauer eines Nutzers endet.
Technologie zur Ende-zu-Ende-Verschlüsselung von Kommunikationen verwenden
Die in Unternehmen eingesetzten Kommunikationsmittel müssen höchsten Sicherheitsansprüchen genügen, insbesondere in Einrichtungen in RR-Zonen. Zum einen muss die genutzte Lösung Secure by Design sein und somit von der Konzeption bis zum Einsatz in der Organisation eine Reihe von Sicherheitskriterien erfüllen. Auf diese Weise wirkt sich die Lösung deutlich weniger oder gar nicht auf die Sicherheit des Unternehmensnetzwerks aus. Andererseits ist die über Online-Messenger oder Videokonferenzen durchgeführte Kommunikation das Ziel von Computer- und Industriespionage. Nur eine Technologie zur Ende-zur-Ende-Verschlüsselung von Audio-, Video- und Datenkommunikationsströmen kann verhindern, dass ihre Daten abgegriffen werden.
Im Falle eines Angriffs schnellstmöglich reagieren
Bei einer Cyber-Krise ist eine sichere Notfall-Kommunikationslösung ebenfalls unerlässlich, um die Geschäftskontinuität der Einrichtung zu gewährleisten. Sie soll den Mitarbeitern ermöglichen, ihren Austausch über einen Kommunikationskanal „Out-of-Band“ fortzusetzen, d. h. über einen anderen als den üblicherweise genutzten.
Die sichere Videokonferenz-Software von Tixeo ist die Antwort auf diesen Bedarf. Mit seiner soliden Ende-zu-Ende-Verschlüsselungstechnologie und der äußerst sicheren Bereitstellung als On-Premise-Version unterstützt es Einrichtungen bei ihrem Krisenmanagement und ihrer Cyber-Resilienz.
Erster Gipfel der Five Eyes zu diesem Thema im Jahr 2023
Am 16. und 17. Oktober 2023 fand zum ersten Mal ein Gipfeltreffen der Five Eyes zum Thema „Schutz des wissenschaftlichen und technischen Potenzials der Nation“ statt.
Während diesem Treffen warnten die fünf Länder der Koalition (USA, Großbritannien, Kanada, Australien und Neuseeland) vor den Bedrohungen für Innovation und Forschung. Im Besonderen wurde die chinesische Regierung als Hauptgefahr für die Innovation und die Interessen der Nationen ins Visier genommen. „Die chinesische Regierung betreibt den nachhaltigsten und ausgefeiltesten Diebstahl geistigen Eigentums sowie den Erwerb von Fachwissen, der in der Geschichte der Menschheit beispiellos ist“, erklärte Mike Burgess, Generaldirektor des australischen Geheimdienstes. Die aus China stammende Industriespionage verzeichnet einen noch nie dagewesenen Anstieg. „Die Bereiche künstliche Intelligenz, Quantencomputer und synthetische Biologie sind laut hochrangigen Verantwortlichen derzeit besonders im Visier“. Das bedeutet eine Zunahme der staatlich motivierten Cyberspionage, von der auch die europäischen Länder nicht verschont bleiben.
Das Dokument Fünf Grundsätze zur Sicherung von Forschung und Innovation wurde im Anschluss an den Gipfel veröffentlicht. Es enthält eine Reihe von Empfehlungen, um den Schutz des wissenschaftlichen und technischen Potenzials zu maximieren. Dazu gehören die Kenntnis und das Management von Cyberrisiken, der Schutz der Arbeitsumgebung und die Sensibilisierung der Mitarbeiter oder die Sicherung von Partnerschaften, Lieferanten sowie Dienstleistern.