Luft- und Raumfahrt- und Verteidigungsindustrie: 3 Wege zur Verbesserung der Datensicherheit

Das Ziel der Luft- und Raumfahrt- und Verteidigungsindustrie ist es, die Sicherheit eines Landes, seiner kritischen Infrastruktur, der Behörden und der Bürger zu gewährleisten. Als solche sind sie oft das Ziel von APT-Gruppen (Advanced Persistent Threats), die mit Nationalstaaten zusammenarbeiten, um geistiges Eigentum zu stehlen, um die inländischen Luft- und Raumfahrt- und Verteidigungskapazitäten zu verbessern, Gegenmaßnahmen zu entwickeln und Informationen zu sammeln, mit denen die Verteidigungssysteme anderer Nationen überwacht, möglicherweise infiltriert und untergraben werden können.

Häufigere Cyber-Bedrohungen wie Malware- und Ransomware-Angriffe haben in den letzten Jahren ebenfalls zugenommen, da kritische militärische und zivile Infrastrukturen modernisiert und mit Netzwerken und dem Internet verbunden wurden, was sie anfällig für Hacker macht. Das Aufkommen neuer Technologien wie künstliche Intelligenz und fortgeschrittene Automatisierung brachte eine neue Kategorie potenzieller Schwachstellen mit sich, die den Bedarf an Cyberabwehr verstärkten. Infolgedessen ist der Luft- und Raumfahrt- sowie der Verteidigungssektor stark reguliert und wird von den Regierungen genauestens überwacht.

In den USA wurde die CMMC-Zertifizierung (Cybersecurity Capability Maturity Model) von der US-Regierung eingeführt, um die niedrigen Konformitätsraten im Zusammenhang mit NIST SP 800-171 zu beheben. CMMC ist ein neues Rahmenwerk, das den Schutz von Federal Contract Information (FCI) und Controlled Unclassified Information (CUI) für alle Auftragnehmer oder Unterauftragnehmer des US-Verteidigungsministeriums (DoD) gewährleisten soll. Alle Unternehmen, die innerhalb der Lieferkette der Defense Industrial Base (DIB) tätig sind oder an einer Ausschreibung des DoD teilnehmen möchten, müssen CMMC-zertifiziert sein.

Da sie nicht nur personenbezogene Daten von Kunden erfassen, sondern bei der Einstellung von Mitarbeitern oft auch umfangreiche Hintergrundprüfungen durchführen, müssen Unternehmen der Luft- und Raumfahrt- sowie der Verteidigungsindustrie die von ihnen erfassten personenbezogenen Daten auch vor Datenverletzungen schützen. Im Rahmen von Gesetzen wie der Allgemeinen Datenschutzverordnung (GDPR) sind Unternehmen der Luft- und Raumfahrt- sowie der Verteidigungsindustrie verpflichtet, dafür zu sorgen, dass die personenbezogenen Daten der betroffenen Personen in der EU nicht verloren gehen oder gestohlen werden und müssen Einschränkungen bei der grenzüberschreitenden Übermittlung personenbezogener Daten beachten. Die DSGVO enthält eine Extraterritorialitätsklausel, was bedeutet, dass Unternehmen, die Daten von EU-Personen sammeln, die Verordnung unabhängig von ihrem Standort einhalten müssen.

Aus all diesen Gründen benötigen Unternehmen der Verteidigungs- und Luft- und Raumfahrtindustrie fortschrittliche Cybersicherheitsstrukturen, um alle Compliance-Anforderungen zu erfüllen und sich gegen die zahlreichen Cyber-Bedrohungen zu schützen, denen sie in Echtzeit ausgesetzt sind. Doch wie können Unternehmen der Verteidigungs- und Luftfahrtindustrie die Datensicherheit am besten verbessern? Werfen wir einen genaueren Blick darauf.

Bewerten Sie die Sensibilität der Daten

Eine wirksame Sicherheitsstrategie schützt nicht nur das Netzwerk eines Unternehmens und die darin gespeicherten Daten, sondern sorgt auch dafür, dass die Mitarbeiter ihre Aufgaben effizient erledigen können, ohne dass ihre Systeme durch umständliche Richtlinien gebremst werden. Um die Auswirkungen von Datenschutzlösungen auf den täglichen Geschäftsbetrieb so gering wie möglich zu halten, müssen Unternehmen der Verteidigungs- und Luft- und Raumfahrtindustrie nur Daten identifizieren und schützen, die als sensibel gelten.

Die Datenklassifizierung ist auch ein wichtiger Bestandteil der Compliance-Bemühungen. Um korrekt zu bestimmen, welche CMMC-Konformitätsstufe ein Unternehmen erreichen muss, muss es zunächst herausfinden, welche Arten von CUI es sammelt. CUI bezieht sich auf hochsensible Geschäfts- und Kundendaten wie steuerbezogene Informationen, sensible Geheimdienstdaten, Patente und geistiges Eigentum. Lösungen wie Data Loss Prevention (DLP) ermöglichen es Unternehmen, Dateien mit sensiblen Informationen nicht nur zu identifizieren und zu überwachen, sondern auch ihre Bewegungen durch Richtlinien zu kontrollieren, die nur auf als sensibel definierte Daten abzielen.

Schutz von Daten in isolierten Umgebungen

Isolierte Umgebungen sind im Verteidigungs- und Luftfahrtsektor weit verbreitet. Das bedeutet, dass sie nicht mit dem Internet und manchmal nicht einmal mit einem größeren internen Unternehmensnetz verbunden sind. Das macht sie zwar sicherer vor Angriffen von außen, aber die Isolation bedeutet auch, dass häufig Wechseldatenträger angeschlossen werden, um Daten abzurufen oder einem Computer hinzuzufügen. Ob es sich nun um neue Software oder einfach nur um das Abrufen von Protokollen und Berichten handelt, Wechselmedien wie USB-Sticks und externe Laufwerke können für den Zugriff auf isolierte Informationssysteme verwendet werden.

Dies birgt gewisse Gefahren für die Datensicherheit. Zum einen sind insbesondere USB-Geräte ein beliebtes Mittel zur Verbreitung von Malware, aber auch böswillige oder kompromittierte Mitarbeiter können versuchen, auf diese Weise Daten zu stehlen. Selbst die legitime Nutzung von Wechseldatenträgern kann problematisch sein: Sobald die Daten die Sicherheit eines isolierten Rechners verlassen, sind sie nicht mehr geschützt, da solche Geräte leicht verloren gehen oder gestohlen werden können.

Richtlinien zur Gerätekontrolle können dazu beitragen, diese Risiken zu mindern. Durch die Kontrolle der Verwendung von USB- und Peripherieanschlüssen können Unternehmen deren Verwendung auf vertrauenswürdige Geräte beschränken, die vom Unternehmen ausgegeben wurden und den Benutzer sowie den Zeitpunkt, zu dem ein Gerät an einen isolierten Rechner angeschlossen wurde, eindeutig identifizieren. In Verbindung mit DLP-Richtlinien kann die Gerätekontrolle auch dazu verwendet werden, jeden Versuch zu blockieren, zu protokollieren und zu melden, hochsensible Daten auf Wechseldatenträger zu übertragen.

Damit DLP-Lösungen in isolierten Umgebungen funktionieren, müssen sie direkt auf dem Endpunkt angewendet werden. Sobald dies geschehen ist, benötigt die Software keine Internetverbindung, um zu funktionieren. Protokolle werden lokal gespeichert und Updates können auch offline durchgeführt werden.

Verschlüsselung verwenden

Alle CMMC-Stufen beinhalten verschlüsselungsbezogene Anforderungen wie die Notwendigkeit, Kommunikationssitzungen und Speichergeräte mit CUI wie Laptops, USB-Laufwerke und Smartphones zu verschlüsseln. Die Verschlüsselung ist auch eine von nur zwei technischen Sicherheitsmaßnahmen, die ausdrücklich im Text der Datenschutz-Grundverordnung erwähnt werden.

Verschlüsselungslösungen müssen häufig die aktuellen Verschlüsselungsstandards wie FIPS 140-2 und FIPS 197 erfüllen. Viele der Lösungen, die bereits als native Tools auf Mobiltelefonen oder Betriebssystemen wie Windows und macOS vorhanden sind, erfüllen diese Standards bereits, so dass Unternehmen nicht in zusätzliche externe Lösungen zur Verschlüsselung von Festplatten oder Telefonen investieren müssen.

Für Wechseldatenträger können Unternehmen eine erzwungene Verschlüsselungslösung wie die von Endpoint Protector nutzen. Damit werden alle zeitkritischen Daten, die auf Geräte wie USBs übertragen werden, automatisch mit einer von der Regierung genehmigten Verschlüsselung verschlüsselt. Dies verhindert, dass Außenstehende ohne ein Passwort auf die Daten zugreifen können und hilft Unternehmen, die Compliance-Anforderungen zu erfüllen.

Fazit

Der Diebstahl hochsensibler Daten oder der Verlust der Kontrolle über ein System kann schwerwiegende Folgen für die nationale Sicherheit, aber auch für das Geschäftsergebnis eines Unternehmens der Verteidigungs- und Raumfahrtindustrie haben. Datenschutzverletzungen können ihre Fähigkeit untergraben, neue Verträge zu gewinnen, da Sicherheitsvorfälle als Warnsignale angesehen werden. Auch die Erlangung von Zertifizierungen wie CMMC kann dadurch erschwert werden. Die Verteidigungs- und Luft- und Raumfahrtindustrie muss daher die Bekämpfung dieser Bedrohungen und den Aufbau von Cyber-Resilienz zu einer Priorität machen.

guest
0 Comments
Inline Feedbacks
View all comments