Liebe Leserin, lieber Leser,

Die erste Ausgabe unseres KRITIS-Newsletters 2024 behandelt die nicht-öffentlichen Abstimmungen zu einer neuen Version des NIS2-Umsetzungsgesetzes hinter diversen Ressorttüren und eine Runderneuerung und Veröffentlichung des KRITIS-Dachgesetzes durch das BMI. Auf der Angreiferseite berichten wir von „Ancybern und Zurückcybern“ in Russlands Krieg gegen die Ukraine, und als Gegenbeispiel dazu von einer Attacke durch einen Geheimdienst anno 2006, von dem die Politik nichts wusste, und zu der jetzt weitere Details bekannt wurden. Wir enden mit einem Absolutionsversuch der Tätergruppe Lockbit 3.0 – und last but not least mit einem Paper zu einem Industrial Control System (ICS) von Siemens als beliebtes Angriffsziel, an dem der Autor dieses Newsletters nicht ganz unbeteiligt war (am Paper, nicht am Angriff!).

BMI stimmt neue (nicht-öffentliche) Version der deutschen NIS2-Umsetzung mit weiteren Ressorts ab

Das Bundesministeriums des Innern und für Heimat (BMI) hat eine weitere Version der deutschen Umsetzung der europäischen Richtlinie NIS2, das NIS2-Umsetzungsgesetz (NIS2UmsuCG), mit den anderen Ressorts abgestimmt und weiterverhandelt. Leider ist diese Version nicht öffentlich und auch noch nirgendwo öffentlich aufgetaucht. Derzeit wird wohl noch fleißig über zwei Themen debattiert: zum einen über die Unabhängigkeit des BSI und zum anderen über das Schwachstellenmanagement. Wir sind weiterhin gespannt, wann die Öffentlichkeit über diese neue Version mitdiskutieren darf.

Aufgrund der EU-Vorgabe wird das NIS2UmsuCG in Deutschland im Oktober 2024 verbindlich.

KRITIS-Dachgesetz runderneuert

Das KRITIS-Dachgesetz für physische Resilienz von Kritischen Infrastrukturen wurde vom BMI in einer aktuellen Version vom 21.12.2023 mit einer Vergleichsversion und einer Übersicht der wesentlichen Änderungen für alle Verbände und Beteiligten öffentlich bereitgestellt. Die drei Dokumente können Sie beispielsweise hier einsehen:

https://ag.kritis.info/2023/07/18/referentenentwurf-des-bmi-kritis-dachgesetz-kritis-dachg/

Einen ersten guten Überblick liefert wie immer Prof. Dennis Kipker dazu:

https://intrapol.org/2024/01/11/das-neue-kritis-dachgesetz-kommt-ganzheitlicher-digitaler-und-analoger-infrastrukturschutz/

Aufgrund der EU-Vorgabe wird das KRITIS-Dachgesetz in Deutschland im Oktober 2024 verbindlich.

Ancybern und Zurückcybern im Kriegsgeschehen im KRITIS-Sektor IT und TK

Die Eskalationsspirale im Cyberraum dreht sich weiter und so wird u. a. bei Reuters berichtet, dass Russland in die IT von Kyivstar, einem großen ukrainischen Telekommunikationsunternehmen – also zivil genutzter Kritischer Infrastruktur(!) – eingedrungen ist und Schaden angerichtet hat. Gleichzeitig wussten wohl die ukrainischen Dienste davon, da sie ihrerseits in russische Systeme eingedrungen waren. Das ist keine gute Entwicklung – und bedrohlich für die Versorgungssicherheit der Bevölkerung weltweit. Aber machen Sie sich selbst ein Bild:

Exclusive: Russian hackers were inside Ukraine telecoms giant for months: https://www.reuters.com/world/europe/russian-hackers-were-inside-ukraine-telecoms-giant-months-cyber-spy-chief-2024-01-04/

Wenn der Geheimdienst vom Geheimdienst ausgenutzt wird und die Politik nichts davon weiß – Stuxnet Episode 2342

Obskure Details von 2008 sind offenbar zu Stuxnet bekannt geworden – und keiner weiß von nichts, aber alle sind entsetzt. Stuxnet als Schadsoftware hatte damals das iranische Atomprogramm, genauer gesagt Zentrifugen einer Urananreicherungsanlage, zerstört. Dieser cyber-physische Angriff hatte hohe Wellen geschlagen. Details, die erst jetzt öffentlich gemacht wurden, lassen einen nun doch verwundert zurück.

Dutch man sabotaged Iranian nuclear program without Dutch government's knowledge - report: https://nltimes.nl/2024/01/08/dutch-man-sabotaged-iranian-nuclear-program-without-dutch-governments-knowledge-report

Mea culpa – Wir waren unschuldig

Gleich drei Kliniken der Katholischen Hospitalvereinigung Ostwestfalen mussten sich aufgrund eines Ransomwarevorfalls von der Notfallversorgung abmelden. Unterdessen teilte die Tätergruppe Lockbit 3.0 mit, sie habe damit nichts zu tun. Ein Affiliate, also ein quasi selbstständiger Krimineller, der die Ransomware dieser Tätergruppierung gegen Gebühren nutzt, hätte in diesem Fall einfach eigenständig gehandelt.

Skrupel nur vorgeschoben? Ransomware-Banden attackieren Kliniken: https://www.heise.de/news/Skrupel-nur-vorgeschoben-Ransomware-Banden-attackieren-Kliniken-9591987.html

Paper „A Decade After Stuxnet: How Siemens S7 is Still an Attacker’s Heaven“ veröffentlicht

Fink und Dohrmann haben ein Paper im Kontext von Stuxnet zu Industrial Control Systems (ICS), also Industriesteueranlagen in der Prozessautomatisierung, konkret Siemens S7 Programmable Logic Controllers (PLCs) veröffentlicht. Dazu wurde ein Siemens S7-1500 Software Controller PLC durch Reverse Engineering auf seine Sicherheit hin analysiert. Das Paper finden Sie hier, und ich war nicht ganz unbeteiligt: https://files.enlyze.com/EU-23-Finck-A-Decade-After-Stuxnet-How-Siemens-S7-is-Still-an-Attackers-Heaven-wp.pdf

Soviel für dieses Mal – bleiben Sie auch 2024 wie immer safe and secure!

Herzliche Grüße
Ihr Manuel "HonkHase" Atug

Unser nächster KRITIS-Newsletter erscheint Ende April 2024.

Jetzt abonnieren!

Lesen Sie hier alle bisher erschienenen KRITIS-News.