Ein neues Zeitalter? Wie die neue Regierung die australische Cybersicherheit verändern will

Die Cyberkriminalität nimmt in Australien weiterhin in alarmierendem Maße zu.

Zahlen des Australian Cyber Security Centre (ACSC) zeigen, dass das Land alle acht Minuten von einem Cyberangriff betroffen ist, wobei sich die selbst gemeldeten Verluste im Jahr 2021 auf 33 Milliarden Dollar belaufen.

Australiens Cyber-Politik versucht, Schritt zu halten

Das ACSC, das zum Australian Signals Directorate (ASD) gehört, ist seit 2014, als es das Cyber Security Operations Centre ablöste, federführend bei den Maßnahmen der Regierung zur Cybersicherheit. Doch seit seinem Amtsantritt hat es zwei wichtige politische Veränderungen gegeben - und eine weitere steht noch bevor.

2016 brachte der liberale Premierminister Malcolm Turnbull eine Cybersicherheitsstrategie auf den Weg, in der er die Vorteile eines "offenen, freien und sicheren Internets" anpries und die Rolle des Internets als Motor für Vertrauen und Wirtschaftswachstum hervorhob. Im Jahr 2020 wurde unter der Führung von Scott Morrison eine neue Strategie eingeführt, bei der der Schwerpunkt auf der Online-Sicherheit durch die Aufklärung der Öffentlichkeit und die Stärkung von ASD und ACSC liegt.

Jüngste Vorfälle im Bereich der Cybersicherheit geben Anlass zum Handeln

Die Tatsache, dass der Telekommunikationsriese Optus aus den falschen Gründen in die Schlagzeilen geriet, gibt dem Wandel noch mehr Schwung. Die neue Regierung hat bereits zwei wichtige Aktualisierungen vorgenommen, und zwar

1. Die Möglichkeit für Telekommunikationsbetreiber, Informationen mit APRA-regulierten Finanzinstituten auszutauschen, um potenziellen Betrugsfällen zuvorzukommen

2. Änderungen des Datenschutzgesetzes in Bezug auf die Erhebung und Speicherung von PII-Daten

Die Ministerin für Kommunikation, die Abgeordnete Michelle Rowland, äußerte sich dazu: "Die Regierung Albanese nimmt den Schutz personenbezogener Daten ernst. Die vorgeschlagenen Verordnungen wurden sorgfältig mit strengen Datenschutz- und Sicherheitsvorkehrungen konzipiert, um sicherzustellen, dass nur begrenzte Informationen für bestimmte Zwecke zugänglich gemacht werden können. Dies wird es Optus, dem Finanzdienstleistungssektor und den zuständigen Behörden ermöglichen, effektiver zusammenzuarbeiten, um verbesserte Überwachungs- und Schutzmaßnahmen zum Schutz der von der Sicherheitsverletzung betroffenen Kunden einzuführen."

Cybersicherheit hat jetzt einen Sitz auf höchster Regierungsebene

Die Cybersicherheitsstrategie für 2020 sollte eigentlich ein Jahrzehnt lang gelten, doch der Wahlsieg der Labor-Partei im Mai bedeutet, dass sich die Dinge schnell ändern werden. Nur zwei Wochen nach seiner Wahl kündigte Premierminister Anthony Albanese die Ernennung von Clare O'Neil zur Innenministerin und Ministerin für Cybersicherheit an - das erste Mal, dass die Cybersicherheit ein eigenes Kabinettsressort hat.

Dies ist eine willkommene Anerkennung der Bedeutung des Sektors. Die Cyber-Ausgaben sind in den letzten Jahren sprunghaft angestiegen, von 230 Millionen Dollar im Jahr 2016 auf 1,67 Milliarden Dollar im Jahr 2020, wobei im Haushalt 2022 9,9 Milliarden Dollar für die Umsetzung des REDSPICE-Programms (Resilience, Effects, Defense, Space, Intelligence, Cyber and Enablers) vorgesehen sind. Mit einem eigenen Ministerium hofft man, dass die Ausgaben konzentriert und proaktive Maßnahmen ergriffen werden können. Die Tatsache, dass O'Neil eine Frau ist, ist auch eine gute Nachricht für eine Branche, die oft mit mangelnder Vielfalt zu kämpfen hat.

Die jüngsten Maßnahmen zielen auf Ransomware ab

Die Anzeichen, die von der neuen Regierung ausgehen, sind zwar vielversprechend, aber der Wandel wird Zeit brauchen. Die Unternehmen sind noch dabei, sich auf die Cybersicherheitsmaßnahmen der Regierung Morrison einzustellen:

• Der Ransomware-Aktionsplan von 2021 machte die Meldung von Angriffen für Unternehmen mit einem Umsatz von mehr als 10 Millionen Dollar zur Pflicht, richtete eine spezielle Taskforce zur Bekämpfung von Ransomware ein und führte strengere Strafen für Internetkriminalität ein.
• Im März 2022 wurden 9,9 Milliarden Dollar für den Ausbau der ASD und ACSC bereitgestellt.
• In Anbetracht der Gefahr, die von Angriffen auf wichtige Industrien ausgeht, wurde das Gesetz über kritische Infrastrukturen im April dahingehend geändert, dass Organisationen in zahlreichen "kritischen Anlageklassen" - zu denen nun auch Sektoren wie Bildung, Rundfunk, Lebensmittel und Verkehr gehören - schwerwiegende Vorfälle innerhalb von 12 Stunden nach ihrer Entdeckung melden müssen, da sie sonst eine Geldstrafe von mindestens 11.100 Dollar riskieren.
• Die Gesetzgebung verlangt nun auch, dass "Systeme von nationaler Bedeutung" über Risikomanagementprogramme verfügen, und staatliche Hilfe wurde als mögliches letztes Mittel bei Cybervorfällen zur Verfügung gestellt.

Die Regierung strebt eine souveräne Handlungsfähigkeit an

Der Plan, die bestehende Strategie zu "zerreißen" und mit einem Neuanfang zu beginnen, deutet darauf hin, dass einige radikale Veränderungen anstehen könnten. O'Neil sagte, die künftige Strategie werde "auf souveränen Fähigkeiten beruhen, mit einem Plan für die künftige Belegschaft und das Wachstum des Cybersicherheitssektors, einschließlich australischer Cyber-KMU".

Was bedeutet das in der Praxis? Trotz des medialen Rampenlichts betrachten zu viele Unternehmen die Cybersicherheit immer noch als nachträglichen Gedanken und nicht als integralen Bestandteil ihrer Infrastruktur. Um ihrer Botschaft Nachdruck zu verleihen, könnte die Regierung sogar versuchen, die Cybersicherheit in einem einzigen Rahmenwerk zu konsolidieren, das nationale Standards festlegt und die Befugnis hat, strenge Strafen zu verhängen, ähnlich wie die Allgemeine Datenschutzverordnung der Europäischen Union (GDPR).

Die Regierung könnte auch ihre Pläne zur Bekämpfung von Ransomware überdenken, z. B. die Vorschrift, dass alle Unternehmen die ACSC informieren müssen, bevor sie Zahlungen für Ransomware leisten.

Änderungen könnten mehr Cyber-Mitarbeiter und mehr Zusammenarbeit bedeuten

Frühere Regierungen haben sich darauf verlassen, dass sie in der Lage sein würden, mehr hochqualifizierte Fachkräfte für die Cybersicherheit einzustellen, aber auf dem australischen Arbeitsmarkt klafft bereits eine große Lücke bei den Cyber-Fachkräften, da die Ressourcen knapp sind und die Löhne im Privatsektor oft höher sind. Die Behebung dieses Mangels hat eindeutig Priorität und wird wahrscheinlich eine stärkere Betonung der Cybersicherheitsausbildung in Schulen und Universitäten erfordern. O'Neil wies auch darauf hin, wie wichtig die Migration ist, um Australien beim Aufbau einer "florierenden, vielfältigen Cyber-Fachkraft" zu unterstützen.

Die Minister erwägen eine Initiative nach dem Vorbild des britischen Projekts Industry 100 (i100), bei dem Fachleute aus der Wirtschaft in gutem Glauben" mit Regierungsmitarbeitern zusammenkommen, um gemeinsam an der nationalen Sicherheit zu arbeiten.

Staatlich unterstützte Akteure bedrohen die Nation

Die neue Regierung steht noch am Anfang und es bleiben viele Fragen offen. O'Brien hat versprochen, "mit echtem Engagement und Branchenallianzen Widerstandsfähigkeit aufzubauen, um Cyber-Schocks sicher und nicht ängstlich zu begegnen", aber solange diese Worte nicht durch konkrete Maßnahmen untermauert werden, ist es schwer vorherzusagen, wie sich der Regierungswechsel auf einzelne Organisationen auswirken wird.

2021 trat Australien dem AUKUS-Pakt bei und versprach eine immer engere Zusammenarbeit mit den USA und dem Vereinigten Königreich im Bereich der Cybersicherheit - angesichts der zunehmenden Bedrohungen durch staatlich unterstützte Akteure muss die Regierung noch mitteilen, wie sich diese wichtige Beziehung in den kommenden Jahren entwickeln wird. Angesichts der globalen Reichweite staatlich unterstützter Angreifer ist jedoch zu erwarten, dass die Cybersicherheitsstrategien der verschiedenen Länder viele Gemeinsamkeiten aufweisen werden, was die gegenseitige Kooperation und Zusammenarbeit erheblich erleichtert.

Cyberkriminalität erhält die Aufmerksamkeit, die sie verdient

Es besteht kein Zweifel daran, dass die australische Cybersicherheitsstrategie dringend überarbeitet werden muss, und indem die Regierung der Branche eine eigene Kabinettsrolle zugewiesen hat, hat sie ihr Engagement für Veränderungen unterstrichen.

Derzeit sind die Auswirkungen bestehender Rechtsvorschriften wie des Ransomware-Aktionsplans noch nicht absehbar, aber in den nächsten Jahren könnten wichtige Schritte in Bezug auf die Gesetzgebung, die Aufklärung und die Zusammenarbeit zwischen verschiedenen Branchen und mit Ländern auf der ganzen Welt unternommen werden. Die Entscheidung steht noch aus - aber CISOs sollten sich mit der Tatsache trösten, dass Cyberkriminalität fest im Fadenkreuz der Regierung steht und sie in Zukunft wahrscheinlich mehr Unterstützung - und Verantwortung - erhalten werden.