Eine Gruppe von über 40 Chief Information Security Officers (CISOs) hat sich in einem offenen Brief an die Mitgliedstaaten der G7 und der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) gewandt. Der Brief wurde auch im Hinblick auf den nächsten G7-Gipfel veröffentlicht, der Mitte Juni in Kanada stattfindet.

Unterzeichnet haben den Brief CISOs aus unterschiedlichen Ländern, darunter solche von Konzernen und Tech-Unternehmen wie Salesforce, AWS, Thales, SAP, Atlassian, Tenable, Fortinet, Github und Siemens, aber auch aus der Finanzindustrie.

"Als Gemeinschaft von Chief Information Security Officers möchten wir Ihnen unsere Unterstützung für Ihre Bemühungen zur Stärkung der Cybersicherheit und Resilienz sowie zur Bekämpfung von Cyberbedrohungen ausdrücken", heisst es im Brief. Gleichzeitig möchten die Security-Spezialisten die Staaten "ermutigen, einer stärkeren Angleichung der Cybersicherheitsvorschriften Priorität einzuräumen, um die Nutzung begrenzter Ressourcen zu maximieren".

Die Vernetzung der Cyberlandschaft erfordere eine grenzüberschreitende Zusammenarbeit, heisst es weiter. Zwar gebe es weltweit immer mehr Gesetze und Vorschriften zur Cybersicherheit, die internationale Zusammenarbeit und Koordination in diesem Bereich stecke aber nach wie vor in den Anfängen.

Die unterschiedlichen nationalen Regulierungsbemühungen würden die Cyberabwehr immer komplexer machen, schreiben die CISOs. Die Unterzeichnenden fordern deshalb: "Verpflichten Sie sich, die Cybersicherheitsvorschriften in relevanten Foren, insbesondere den bevorstehenden G7- und OECD-Treffen, besser aufeinander abzustimmen." Das Forum der OECD sollte genutzt werden, damit Regulierungsbehörden aus allen Ländern und Sektoren regelmässig mit Interessengruppen aus dem Privatsektor, der Industrie und Nichtregierungsorganisationen zusammenkommen.

"Die Gruppe sollte einen Aktionsplan entwickeln und Entscheidungsträger und Behörden regelmässig über den Fortschritt informieren", so die Forderung. Auch die Übernahme internationaler Standards und eine grenzübergreifende Anwendbarkeit von Bewertungen und Audits durch Dritte könnten zur Lösung beitragen.

Zu den Mitunterzeichner gehören auch Vertreter aus der Schweiz. Marco Wyrsch, CISO Swisscom, erklärt auf Anfrage zu den Beweggründen: "Der offene Brief unterstreicht die Herausforderungen, die durch unterschiedliche und fragmentierte internationale Cybersecurity-Regulationen entstehen. Dabei würden einheitliche Regulierungen helfen, Bedrohungen im internationalen Umfeld besser zu bekämpfen."

Marcel Zumbühl, CISO der Schweizerischen Post und Co-Präsident der Information Security Society Switzerland (ISSS), führt zum Zusammenschluss aus: "Wir leben eine partizipative Sicherheit und die CISOs der grossen Unternehmen Europas stehen im regelmässigen Austausch. Gerade in dieser länderübergreifenden Zusammenarbeit fällt uns auf, dass eine noch bessere Abstimmung der Regulationen untereinander einen positiven Effekt auf die Cybersecurity insgesamt hat."

Cybersicherheit sei kein Selbstzweck, bei dem die Erfüllung einer Regulation im Zentrum steht, sondern ein kontinuierlicher Prozess, so Zumbühl gegenüber inside-it.ch. "Es geht um die Wahrung des digitalen Vertrauens der Kundinnen und Kunden wie der Bevölkerung, die Schaffung resilienter Organisationen, und das Finden der richtigen Risikobalance."

Der Brief soll "gerade in unserer geopolitisch turbulenten Zeit" eine Anregung zu einem Commitment zur multilateraler Zusammenarbeit in der Cybersecurity sein. "Das OECD Policy Framework schlägt eine geteilte Verantwortung vor, im Sinne der partizipativen Sicherheit und postuliert, dass der Schutz vor digitalen Risiken im Verhältnis zu wirtschaftlichen und gesellschaftlichen Chancen stehen muss. Die Grundrechte müssen abgesichert sein, so dass Massnahmen der digitalen Sicherheit stets rechtlich abgesichert und transparenzfördernd ausgerichtet sind", erklärt Zumbühl.

Auch die Schweiz ist OECD-Mitglied. Wie steht es mit dem Handlungsbedarf hierzulande? "Die Schweiz ist in Bezug auf Cybersecurity hervorragend vernetzt und ich stelle fest, dass auch unsere Gesetzgebung diesbezüglich die Interoperabilität mit internationalen Prozessen sucht", betont der Post-CISO. "So können wir auch in der Schweiz dafür sorgen, dass Cybersecurity durch klare Regulationen unterstützt wird – mit Fokus auf ein ausgewogenes Risikomanagement und eine starke, widerstandsfähige Gesellschaft und Wirtschaft."

Dies sei im Sinne einer partizipativen Sicherheit zu sehen. Auch Swisscom-CISO Wyrsch findet, dass die Lage in der Schweiz "erfreulicherweise deutlich besser" sei. "Hier findet ein regelmässiger Austausch mit anderen Betreibern kritischer Infrastrukturen, Sicherheitsdienstleistern und dem Bund statt. Dadurch erhalten wir ein umfassendes Bild der aktuellen Bedrohungslage und stärken die allgemeine Abwehrfähigkeit gegen Cyberkriminalität", so Wyrsch.