Australien gründet Cyber-Untersuchungsgremium nach US-Vorbild

Zusammenfassung

Australien hat am Montag die Einrichtung eines Gremiums angekündigt, das nach schwerwiegenden Cyberangriffen unabhängige Untersuchungen durchführen soll. Das Cyber Incident Review Board nimmt schuldunabhängige Analysen bedeutender Angriffe auf australische Regierungsstellen und Unternehmen vor und zielt dabei auf systemische Lehren statt auf individuelle oder unternehmerische Schuld. Tony Burke, australischer Minister für Inneres und Cybersicherheit, gab sieben Berufungen in das Gremium bekannt, das mehrheitlich weiblich besetzt ist – eine Seltenheit in einem Feld, das auf Führungsebene stark männlich geprägt ist. Den Vorsitz übernimmt Narelle Devine, globale Chief Information Security Officer bei Telstra; weitere Mitglieder stammen von Boeing Australia, NBN Co, der University of New South Wales, der Anwaltskanzlei Allens, der Toll Group und SA Power Networks. „Wir wissen, dass Cyberangriffe konstant stattfinden. Das stellt sicher, dass wir aus jedem Angriff lernen und unsere Widerstandsfähigkeit weiter erhöhen“, sagte Burke. Das Gremium ist eine Reaktion auf eine Reihe aufsehenerregender Angriffe in Australien, darunter jene auf den Krankenversicherer Medibank und das Telekommunikationsunternehmen Optus, die Canberra unter Druck setzten, seine Cyberabwehr zu stärken.

Mit dem Schritt reiht sich Australien in eine kleine Gruppe von Staaten ein, die vergleichbare Programme geschaffen haben. Das Cyber Incident Review Board orientiert sich am Cyber Safety Review Board, das die Biden-Regierung 2022 in den USA einrichtete – allerdings mit einer enger gefassten Mitgliedschaft, die überwiegend aus Branchen der kritischen Infrastruktur stammt.

Das US-Gremium legte drei Berichte vor, bevor es von der Trump-Regierung aufgelöst wurde. Zum Zeitpunkt der Auflösung steckte es mitten in einer Untersuchung zu Salt Typhoon, einer weitreichenden chinesischen Geheimdienstoperation gegen Telekommunikationsnetze. Mehrere demokratische Senatoren kritisierten den Schritt der Regierung und forderten die Wiedereinsetzung des Gremiums.

Ein ähnlicher Mechanismus wurde auch in der Europäischen Union im Rahmen des Cyber Solidarity Act geschaffen, der die EU-Cybersicherheitsbehörde ENISA mit nachträglichen Untersuchungen bedeutender grenzüberschreitender Angriffe beauftragt. Diese Untersuchungsfunktion wurde bislang jedoch nicht ausgeübt.

Der folgenreichste Bericht des US-Gremiums warf Microsoft eine Kette vermeidbarer Fehler vor, die staatlich verbundenen chinesischen Hackern den Zugriff auf E-Mail-Konten hochrangiger US-Regierungsvertreter ermöglicht hätten, und forderte „echte kulturelle und führungsbezogene Veränderungen“ im Unternehmen. Nach Veröffentlichung des Berichts erließ Microsoft-Chef Satya Nadella eine unternehmensweite Anweisung, wonach es für die Zukunft des Unternehmens entscheidend sei, Sicherheit „über alles andere“ zu stellen.

Die früheren Untersuchungen des Gremiums zur Log4j-Schwachstelle und zur Hackergruppe Lapsus$ hatten weniger Wirkung. In einem Beitrag für Lawfare argumentierte Jeff Greene – ein ehemaliger Cyber-Beamter der Biden-Regierung, der beim Aufbau des Gremiums mitwirkte –, diese ersten Untersuchungen seien zu kurz gegriffen, weil sie sich nicht auf einen konkreten, einem einzelnen Unternehmen zurechenbaren Vorfall konzentriert hätten, was ihre Fähigkeit zur Durchsetzung von Verantwortlichkeit begrenzt habe.

Anders als sein US-Pendant, das vollständig auf freiwilliger Mitwirkung beruhte, kann das australische Gremium Informationen auch von Stellen erzwingen, die eine Teilnahme verweigern – ein Punkt, der in Greenes Empfehlungen enthalten war. Anderen Vorschlägen folgen die Pläne der australischen Regierung nicht, etwa der Möglichkeit, die Zusammensetzung des Gremiums für einzelne Untersuchungen um Fachleute mit Spezialwissen zu erweitern.

Australien gründet Cyber-Untersuchungsgremium nach US-Vorbild

Ähnliche Artikel

Neueste Artikel