Top Thema
Hold My BIA: Vergiftet oder erfroren – Welche ist die KRITISchste Dienstleistung?
Zurzeit lohnt aus dem Gesichtspunkt KRITIS ein langer und tiefer Blick in die USA, wo sich innerhalb kürzester Zeit zwei Szenarien ereigneten, die einige jüngst noch als Panikmache bezeichnet hätten: Während dieser Tage ein Wintereinbruch in Texas und Umgebung Millionen von Haushalten von der Stromversorgung abschneidet, konnte Anfang Februar ein Angriff auf die Wasseraufbereitung in Florida abgewehrt werden, der potenziell das Trinkwasser der Kleinstadt Oldsmar hätte vergiften können.
Aus Security-Sicht scheint vor allem der zweite Fall interessant, aber es macht durchaus Sinn, beide im Vergleich anzuschauen. In der texanischen Katastrophe kommen mindestens vier Dinge zusammen: Unsere wohlbekannte Abhängigkeit vom Strom als der Grund-kDL (kritische Dienstleistung) des Informationszeitalters, die ebenfalls wohlbekannt wackelige Infrastruktur in diesem Bereich in den USA und anderswo, die Zunahme der Volatilität in komplexen Systemen, die wir zu sehr aus dem Gleichgewicht bringen (Stichwort Klimawandel) sowie möglicherweise auch ein stückweit der Hochmut lokaler Machthabender, zu meinen, das eigene Grid besser getrennt vom Rest des Landes betreiben zu können – so viel Föderalismus gibt es nicht einmal bei uns. Trotzdem müssen wir zugeben, dass es nicht möglich ist, eine Infrastruktur gegen jedes „Black Swan“-Risiko abzusichern. Oder sollte Nigeria jetzt schneesichere Kraftwerke bauen? Die Notfallbehandlung im südlichen US-Bundesstaat scheint wiederum, soweit sich das aus der Ferne beurteilen lässt, durchwachsen zu laufen.
Oldsmar hingegen scheint Stoff für Horrorfilme zu bieten: Ganze Kleinstadt ausgelöscht durch böse Terror-Hacker! Also fast! Dabei wird hier eher umgekehrt ein Schuh draus: Dass auch im Bereich Wasser Fernwartung inzwischen die Regel ist und Teamviewer und Co. nicht allerorten sicher konfiguriert sind, hat sich herumgesprochen. Insofern war das Szenario erwartbar – und wurde auch erwartet und entsprechend behandelt. Auf IT-Ebene ist der Angriff zwar geglückt, wurde aber umgehend detektiert (durch Admin) und wäre auch sonst aufgefallen, bevor ein Schaden hätte entstehen können (durch Technik und Prozesse). Aus Sicherheitssicht also ein nützlicher Wakeup-Call oder wenigstens Reminder – aber der unfreiwillige Red-Teaming-Test wurde in jeder Hinsicht bravourös bestanden.
Also doch den Blick wieder nach Texas: Wir müssen auch in der IT aufpassen, dass wir uns in möglichst wenige Situationen hineinmanövrieren, wo die Komplexität außen steigt (Was ist unser „Klimawandel“?*), während wir innen zu viel Energie mit Altlasten („technical debt“) binden. Auch das wird immer wieder einmal schiefgehen – siehe diese Digests der letzten Jahre – aber wir sollten die Gesamttrajektorie im Blick behalten.
https://www.wired.com/story/oldsmar-florida-water-utility-hack/
* Siehe z. B. Lesetipp „Security, Moore’s law, and the anomaly of cheap complexity“ unten.
Neuigkeiten
Baustein-Baustelle: IT-Grundschutzkompendium 2021 veröffentlicht
Das BSI hat turnusgemäß die 2021er-Version des IT-Grundschutz-Kompendiums veröffentlicht, zunächst nur als PDF. In der Version 2021 sind wieder zwei Bausteine neu hinzugekommen: "CON.10 Entwicklung von Webanwendungen" und "INF.11 Allgemeines Fahrzeug". Die übrigen 96 Bausteine wurden überarbeitet, davon 6 Bausteine umbenannt, zusammengefasst und/oder in eine andere Schicht verschoben. Anwendern des Standards bleibt es daher nicht erspart, ihre Sicherheitskonzepte weitgehend zu überarbeiten, um IT-Grundschutz-konform zu bleiben.
Das BSI hat übrigens kürzlich seine Web-Präsenz relauncht, sodass sich die meisten Deep-Links zu Grundschutz-Bausteinen und vielen anderen Themen leider geändert haben.
HISOLUTIONS
Erfolgreiches Krisenmanagement nach Ransomware-Angriff
Infolge eines Ransomware-Angriffs wurden kürzlich sämtliche Betriebsabläufe einschließlich des vollautomatisierten Herstellungsprozesses bei der Firma Schäfer Trennwandsysteme GmbH, Produzentin von Systemen für Umkleide- und Sanitäranlagen, unterbrochen und das Unternehmen erpresst. Dass ein solcher Vorfall bei professionellem Krisenmanagement nicht katastrophal ausgehen muss, zeigt eine gerade veröffentlichte Fallstudie von Schäfer und HiSolutions: Dank umgehender Unterstützung in Form von Krisenmanagern vor Ort und Beratung zum Aufbau eines Krisenmanagements, der dazugehörigen Kommunikation sowie bei der forensischen Analyse und Wiederherstellung der Geschäftsfähigkeit konnten nach vier Wochen der Regelbetrieb wiederhergestellt und nennenswerte Verzögerungen in der Auslieferung von Kundenaufträgen verhindert werden.
https://www.hisolutions.com/detail/krisenmanagement-nach-ransomware-angriff
Kettenreaktion: Supply-Chain bleibt ein schwaches Glied
Spätestens seit den Enthüllungen um #Sunburst aka #Solorigate zum Ende des vergangenen Jahres ist immer klarer geworden, wie tiefgehend und schwer zu beheben das Problem der Supply-Chain-Security ist. Wie die französische Nationale Agentur für Sicherheit der Informationssysteme (ANSSI) nun mitteilte, wurde auch Centreon, ein französischer Mitbewerber zu SolarWinds, zum indirekten Angriff auf mehrere französische Unternehmen und Behörden missbraucht. Hierbei soll eine Schwachstelle in einem Webserver das Einfallstor gewesen sein.
https://www.heise.de/news/Frankreich-Centreon-Server-waren-jahrelang-infiltriert-5055835.html
Kompromisslos geliefert: MITRE-Report Supply-Chain-Security
Derweil sucht die IT-Sicherheitsforschung fieberhabt nach Wegen, wie das komplexe Problem der Supply-Chain-Security in den Griff zu bekommen ist. So hat das US-Forschungszentrum MITRE jüngst den Bericht „Deliver Uncompromised: Securing Critical Software Supply Chains“ veröffentlicht. Dieser enthält nichts geringeres als einen Vorschlag für ein Framework, das Softwareintegrität über die ganze Lieferkette Ende-zu-Ende gewährleisten kann.
Meine Analytics! Microsoft 365 durchleuchtet User
Das „My“ im Namen ist gleichzeitig verräterisch und irreführend: Die Erweiterung MyAnalytics in Microsoft 365 erfasst massenhaft Nutzungsdaten. Seit die Funktion, die umfassend auf Kalender- und E-Mail-Daten zugreifen kann, auch für Europa freigeschaltet wurde, gibt es plötzlich einen Aufschrei in Bezug auf Datenschutz und betrieblicher Mitbestimmung. Wird die Funktion "Productivity Score" aktiviert, so werden standardmäßig Namen, Gruppenzugehörigkeiten und Standorte aller Angestellten sowie automatisch auch alle Nutzungsdaten von Word, PowerPoint, Excel, OneNote, Outlook, Skype und Teams aufgezeichnet – die perfekte Leistungsüberwachung, zumindest von der Möglichkeit her. Eine Anonymisierung muss gezielt durch Admins erfolgen, deren Zugriffe durch die User selbst nicht nachvollzogen werden können.
https://www.sueddeutsche.de/digital/microsoft-productivity-score-ueberwachung-arbeitsplatz-1.5130228
C5 4 AI = AIC4: Cloud Service Compliance Criteria Catologue für KI
Klassische Security-Standards lassen sich aufgrund der Besonderheiten von KI-Systemen nicht einfach auf diese übertragen. Seit 2019 arbeitet das Kompetenzzentrum Künstliche Intelligenz im BSI daran, Aspekte wie Robustheit, Sicherheit, Verlässlichkeit, Integrität, Transparenz, Erklärbarkeit, Interpretierbarkeit und Nichtdiskriminierung zu normieren. Als erstes Ergebnis ist nun der „AI Cloud Service Compliance Criteria Catalogue“ (AIC4) veröffentlicht worden. AIC4 ist an den Cloud Computing Compliance Criteria Catalogue (C5) angelehnt, der ebenfalls auf dem internationalen Standard ISAE 3402 für Interne Kontrollsysteme (IKS) basiert, und kann wie dieser in einem Second-Party-Audit durch Wirtschaftsprüfer testiert werden. Im Katalog AIC4 ist die Umsetzung des C5-Katalogs als Anforderung mit enthalten.
Third Party Cookbook: OpenSSL
Gerade frisch erschienen ist die dritte Auflage des frei verfügbaren „Cookbooks“ zur beliebten Softwarebibliothek für sichere Kommunikation, OpenSSL. Während das erste Kapitel Installation und Konfiguration sowie PKI und Schlüssel- und Zertifikatsmanagement umfasst, behandelt das zweite den Aspekt, wie eigene Server auf eine sichere TLS-Konfiguration getestet werden können.
https://www.feistyduck.com/books/openssl-cookbook/
Schwachstellendarstellungsstandardisierungsvorschlag: OASIS CSAF
Schwachstellen werden in der Regel individuell beschrieben und dokumentiert. Dabei würde eine einheitliche Darstellungsform die Verarbeitung und gar Automation in diesem Bereich erheblich erleichtern. Zwar existieren schon verschiedene Standardvorschläge dazu, bisher konnte sich jedoch keiner davon breiter durchsetzen.
Nun sammelt sich hinter dem OASIS Common Security Advisory Format (CSAF) relevante Unterstützung u. a. von BSI, NIST und MITRE mit geplanten Aktivitäten wie einem Proof-of-Concept-Projekt zur Anwendung.
https://github.com/oasis-tcs/csaf
KMU und raus bist Du? IT-Sicherheit für den Mittelstand
Eine wachsende Zahl von Ressourcen und Handreichungen beschäftigt sich mit der Frage, wie mittelständische Unternehmen Informationssicherheit wirtschaftlich und effektiv umsetzen können. Die Abschlussarbeit unseres Kollegen Patrick Taege beleuchtet die besonderen Herausforderungen, denen sich KMUs in der Security stellen.
HiSolutions Empfehlung: Unsere Checkliste zur Cybersecurity für kleine und mittlere Einrichtungen: https://www.hisolutions.com/detail/checkliste-zur-cybersecurity-fuer-kleine-und-mittlere-einrichtungen
Lesetipps
A Corporate Anthropologist's Guide to Product Security
Was kann ein Unternehmensanthropologe zur Security beitragen? Viel, stellt sich heraus, jedenfalls wenn er Alex Gantman heißt und es um Produktsicherheit geht. Der Bericht seiner jahrzehntelangen Arbeit am Thema Product Security ist nicht nur erhellend, sondern auch äußerst nützlich als Handreichung.
https://www.linkedin.com/pulse/corporate-anthropologists-guide-product-security-alex-gantman
Security, Moore’s law, and the anomaly of cheap complexity
Der (Ex-)Sicherheitsforscher Thomas Dullien alias Halvar Flake hat bereits 2019 einen bisher zu Unrecht weniger beachteten Vortrag zum Thema der ökonomischen Gründe für den Komplexitätsanstieg, der bekanntlich der Hauptfeind der Security ist, gehalten.
Video: https://www.youtube.com/watch?v=q98foLaAfX8
Katastrophenarm(ee): Ich war‘s nicht – Cyberwars!
Zwanzigmal „Cyber“ in einem Artikel? Ob das ein Qualitätsmerkmal sein kann, sollten Sie anhand meiner letzten Security-Kolumne in der Zeitschrift iX am besten selbst beurteilen.
Teaser: „COVID-19 hat eine Überlebensquote von 98–99% – Ebola schnaubt verächtlich – und einen Reproduktionsfaktor von lediglich 2–3, worüber die Masern nur lachen können. Was die aktuelle Pandemie so tragisch macht, ist genau die Kombination aus exponentiellem Wachstum, das aufgrund aufwendiger Detektion nicht „billig“ zu begrenzen ist, und nicht vernachlässigbarer Todesrate. Ebola und SARS waren zu tödlich und auffällig, um sich weit verbreiten zu können, Corona haut genau in einen Sweet Spot von tödlich genug für ein weltweites Massaker, aber auch harmlos genug, um sich von uns immer weiter herumtragen zu lassen.“ Und ja, es geht (auch) um Security.
https://www.heise.de/select/ix/2021/1/2031711062675348992
Der nächste HiS-Cybersecurity Digest erscheint Mitte März 2021.
Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!