Mehr als drei Jahre in der Herstellung, die britische Regierung heute angekündigt ein neues, weitreichendes Regelwerk, das es Breitband- und Mobilfunkanbietern auferlegen wird, um ihre Netzwerksicherheit gegen Cyberangriffe zu verbessern – mit dem Ziel, „zu den stärksten der Welt“ zu gehören, wenn sie eingeführt werden, sagte das Ministerium für Digital, Kultur , Medien und Sport.
Die neuen Anforderungen decken Bereiche ab, wie (und von wem) Anbieter Infrastruktur und Dienste beziehen können; wie Anbieter Aktivität und Zugriff überwachen; die Investitionen, die sie in ihre Sicherheit und ihren Datenschutz tätigen, und deren Überwachung; wie Anbieter Interessengruppen über resultierende Datenschutzverletzungen oder Netzwerkausfälle informieren; und mehr. Die Regeln werden im Oktober eingeführt, wobei die Fluggesellschaften die neuen Verfahren voraussichtlich bis März 2024 vollständig implementieren werden.
Entscheidend ist, dass diejenigen, die die neuen Vorschriften nicht einhalten, mit hohen Geldstrafen rechnen müssen: Die Nichteinhaltung kann zu bis zu 10 % des Jahresumsatzes führen; Bei fortgesetzten Verstößen werden Geldstrafen von 100.000 £ (117.000 $) pro Tag verhängt. Die Kommunikationsregulierungsbehörde Ofcom, die mit dem National Cyber Security Center zusammengearbeitet hat, um die neuen Vorschriften und Verhaltensregeln zu formulieren, wird die Einhaltung der Vorschriften und Bußgelder durchsetzen.
Die Regeln sind die ersten großen Durchsetzungsrichtlinien, die aus dem hervorgehen Telekommunikations(sicherheits)gesetzdas im November 2021 in Kraft getreten ist.
„Wir wissen, wie schädlich Cyberangriffe auf kritische Infrastrukturen sein können, und unsere Breitband- und Mobilfunknetze sind von zentraler Bedeutung für unsere Lebensweise“, sagte Matt Warman, Minister für digitale Infrastruktur, in einer Erklärung. „Wir erhöhen den Schutz für diese lebenswichtigen Netzwerke, indem wir eines der strengsten Telekommunikationssicherheitssysteme der Welt einführen, das unsere Kommunikation vor aktuellen und zukünftigen Bedrohungen schützt.“
Die Entstehung der neuen Sicherheitsgesetze und Durchsetzungsverfahren steht an einem Scheideweg.
Da Sicherheitsverletzungen in Umfang und Häufigkeit weiter zunehmen, ist einerseits die Netzwerkinfrastruktur eines der wichtigsten Schlachtfelder im Kampf gegen Cyberkriminalität – die Mobilfunk- und Breitbandschienen, die alle unsere Apps und Geräte benötigen, um zu funktionieren. Zum größten Teil haben Breitband- und Mobilfunkanbieter ihre eigenen Standards und Prozesse festgelegt, obwohl die Regierung heute darauf hinwies, dass eine von ihr durchgeführte Überprüfung der Telekommunikationslieferkette „feststellte, dass Anbieter oft wenig Anreiz haben, die besten Sicherheitspraktiken anzuwenden“.
Andererseits gab es im Laufe der Jahre eine Reihe von Verstößen, die nicht nur auf die sitzende Ente, die Netzwerkinfrastruktur, hinweisen, sondern auch auf das Versäumnis, sie zu schützen. Dazu gehörten Vorfälle, die zu enthüllen drohen Quellcode der Netzbetreiber; Offenlegung laxer Sicherheitsrichtlinien, um Zugang zum Netzwerk zu erhalten; und Erstellen von Zielen aus ihren Kunden durch nicht stärker auf Sicherheit. Der Stand der Dinge wurde vor einigen Jahren besonders deutlich, als 5G-Netze Gestalt anzunehmen begannen, als es nicht nur Fragezeichen gab, wie diese Netze gesichert werden würden, sondern auch, ob die eigentliche Ausrüstung, die beschafft wurde – chinesische Anbieter waren ein Schlüsselfrage zu der Zeit, als die Gesetzgebung zum ersten Mal Gestalt annahm – war sicher.
Das Ziel der neuen Regeln soll allumfassend sein und nicht nur abdecken, wie Netzwerke aufgebaut und betrieben werden, sondern auch die Dienste, die darauf laufen.
Wie die Regierung darlegt, „schützen sie die von ihren Netzwerken und Diensten verarbeiteten Daten und sichern die kritischen Funktionen, die ihren Betrieb und ihre Verwaltung ermöglichen; Schutz von Software und Ausrüstung, die ihre Netzwerke und Dienste überwachen und analysieren; [require providers to] über ein tiefes Verständnis ihrer Sicherheitsrisiken und die Fähigkeit zu erkennen, wenn anomale Aktivitäten stattfinden, mit regelmäßiger Berichterstattung an interne Gremien; Risiken in der Lieferkette berücksichtigen und verstehen und kontrollieren, wer Zugang zu seinen Netzwerken und Diensten hat und Änderungen am Betrieb vornehmen kann, um die Sicherheit zu erhöhen.“
Insbesondere enthalten die neuen Gesetze keine spezifischen Namen von Unternehmen oder Ländern, was der Regierung die Erlaubnis gibt, den Kurs zu ändern, aber als eine Möglichkeit angesehen werden könnte, den Prozess weiter zu politisieren.
„Wir verlassen uns für unser tägliches Leben, unsere Wirtschaft und die wesentlichen Dienste, die wir alle nutzen, zunehmend auf unsere Telekommunikationsnetze“, sagte der technische Direktor des NCSC, Dr. Ian Levy, in einer Erklärung. „Diese neuen Vorschriften werden sicherstellen, dass die Sicherheit und Widerstandsfähigkeit dieser Netzwerke und der ihnen zugrunde liegenden Ausrüstung für die Zukunft angemessen ist.“