Verantwortungsdiffusion und Zuständigkeitschaos der staatlichen Cybersicherheitsarchitektur

 

Auch aus unserer Sicht eine spannende Frage, also haben wir dazu einen kleinen Thread geposted.

Wir befinden uns immer noch in einer Situation, wo sich die einzelnen Institutionen im Wesentlichen durch #Koexistenz statt #Kooperation auszeichnen. 1/6 
Software, Hardware und Know-How wird individuell beschafft und sorgt für eine suboptimale Nutzung – leider auch nicht zum Schutz unserer Kritischen Infrastrukturen. 2/6 
Das #NCAZ, das im #Krisenfall die Reaktion der #Behörden koordinieren soll, hat unklare geregelte Zuständigkeiten, da die Entscheidung, wer zuständig ist, von korrekter #Attribution ausgeht. 3/6 
Ein unabhängiges @BSI_Bund könnte hier übergreifende Prozesse schaffen, so könnte das #BSI als zentraler und defensiver Ankerpunkt die wesentliche koordinierende Rolle als Drehscheibe einnehmen und die Verantwortungsdiffusion zu großen Teilen auflösen. 4/6 
Solange sich einzelne #Behörden nicht austauschen und nur mäßig funktionierende gemeinsame Lagezentren vorhanden sind, die einen trägen Informationsaustausch pflegen, bezeichnen wir das als „chaotisch“. 5/6 
Andere Länder sind hier bereits weiter. Wir fordern – rein defensive – gemeinsame Lagezentren von #Staat#Wirtschaft und #Forschung6/6 

Indisches Atomkraftwerk als Command’n’Control Server benutzt!

Zur Unterscheidung:

IT sind Informationstechnische Systeme (#PC #Laptop #Windows #Office#Buchhaltung…)

OT sind Operative Systeme (#ICS #SCADA #SPS #HMI #PLC #Steuertechnik…) 

Angemessener Stand der Technik #SdT wie in #KRITIS gefordert wurde offenbar im #AKW nicht eingehalten.

Strikte #Trennung zwischen #OT-Steuersystemen und #IT ist eine wesentliche #Sicherheitsmaßnahme!

Weitere #Maßnahmen und #Forderungen finder Ihr hier.

ag.kritis.info/politische-for… 

Ob diese Meldung wohl eigentlich einen anderen Hintergrund hat?

SG steht mit hoher Wahrscheinlichkeit für Steam Generator.

m.economictimes.com/industry/energ… 

Die eingesetzte #Malware #dtrack wird oft im #Finanzumfeld in #Indien gefunden und der #Lazarus Gruppe zugeordnet. Die Vermutung liegt daher nahe, dass die kerntechnische Anlage eher ein #Kollateralschaden und nicht das eigentliche Ziel des Angriffs war.
#collateraldamage #KRITIS 

 

Studie warnt: Digitale Souveränität des Staates gefährdet

Die vom Bundesministerium des Inneren  beauftragte Studie „Strategische Marktanalyse zur Reduzierung von Abhängigkeiten von einzelnen Software-Anbietern“ findet deutliche Worte über die Abhängigkeit der deutschen Behörden von nur wenigen zentralen Softwareherstellern. Dies gilt insbesondere für Microsoft, da deren Produkte „in allen Schichten des Software-Stacks“ vielfach eingesetzt werden. Dies führe zu „Schmerzpunkten bei der Bundesverwaltung, die im Widerspruch zu den strategischen Zielen der IT des Bundes stehen“. Die Verfasser der Studie kommen zu dem Schluss, dass ein dringender Handlungsbedarf bestehe, da eine eingeschränkte Informationssicherheit und (datenschutz)-rechtliche Unsicherheiten die „digitale Souveränität“ des Staates gefährden.

Eine mögliche Handlungsoption für diese Misere sei der Umstieg auf Open Source Software (OSS). Dies sei ein „probates Mittel“, um die „digitale Souveränität der Bundesverwaltung langfristig zu sichern“.

Die Studie folgt in diesem Punkt unserer Forderung nach Open Source Software in KRITIS, so dass wir als AG KRITIS diese Empfehlung ausdrücklich unterstützen. Insbesondere im Bereich der kritischen Infrastrukturen sehen wir den Einsatz quelloffener Software, bei Bedarf auch unter treuhänderischer Verwaltung, als dringend geboten. Neben der notwendigen Transparenz z.B. im Bereich von Sicherheitslücken oder versteckten Zugängen (Backdoors), kann nur so gewährleistet werden, dass Produktions- und Industrieanlagen über den gesamten Lebenszyklus von teilweise vielen Jahrzehnten sicher betrieben werden können.

Die daraus resultierende Steigerung der Resilienz kritischer Infrastrukturen unterstützt unmittelbar eine defensive Cybersicherheitsstrategie, die der Staat dringend etablieren muss, um seine Bevölkerung angemessen zu schützen.

Vortrag: Wie Hackback mit der Gesellschaft spielt

Unser Mitglied HonkHase hat auf den MRMCD19 einen vertiefenden Vortrag über das Thema Hackback gehalten, in dem er aufzeigt, wieso ein Hackback oder der Cyberwar keine gute Lösungen für die Bevölkerung darstellt sondern alles riskiert. Dabei werden Antworten auf viele Fragen geliefert, wie z.B. die folgenden:

Wie sieht das mit dem Hackback eigentlich rechtlich aus? Wer könnte eigentlich einen Angriff durch digitale Waffen in Deutschland vornehmen? Was ist die Position der Bundeswehr dazu und wieso handelt es sich dabei eindeutig um digitale Waffen?

Die Folien zum Vortrag sind auf www.blablasecurity.de verfügbar. Da findet Ihr wie immer auch ältere und zukünftige Fassungen und könnt somit die Entwicklung in den diskutierten Themenfeldern aktiv verfolgen.

Vielen Dank an das C3VOC und an die vielen weiteren Ehrenamtlichen, die auf dieser tollen Veranstaltung mitgeholfen haben!

Millionenfach Patientendaten ungeschützt im Internet

Der jüngste Skandal über millionenfach Patientendaten, die ungeschützt im Internet von jedermann abrufbar waren zeigt erneut, dass noch großer Handlungsbedarf bei der IT-Sicherheit in Arztpraxen und Krankenhäusern besteht. Konkret handelt es sich in dem vom BR und ProPublica recherchierten Fall um ein Bildarchiv, dem „Picture Archiving and Communication System“ oder kurz „PACS“ genannt. Hier werden zentral die Bilder von MRT, CT oder digitalen Röntgengeräten gespeichert. Durch ein Konfigurationsfehler waren diese inkl. der dazugehörigen Patientendaten ohne Passwort öffentlich einsehbar.

Leider ist dies kein Einzelfall. Eine einfache Suche mit spezialisierten Suchmaschinen wie Shodan offenbart eine Vielzahl potenziell fehlkonfigurierter und damit öffentlich einsehbarer Server oder Datenbanken. Hier stellt sich prinzipiell die Frage, warum diese Systeme direkt am Internet angebunden und nicht durch zusätzliche Sicherheitsmaßnahmen geschützt sind. Dies stellt den Stand der Technik dar und dieser ist nach § 8a BSI-Gesetz für Krankenhäuser mit mehr als 30.000 vollstationäre Bettenbelegungen im Jahr einzuhalten.

Besonders Problematisch ist, wenn für einen erfolgreichen Datenzugriff noch nicht einmal ein Passwort eingegeben werden muss. Doch auch bei einem gesetzten Passwort mangelt es leider oft an einer ausreichenden Komplexität, so dass dieses durch einfaches Erraten herausgefunden werden kann. Sofern Zugriff z. B. aufgrund von Fernwartung erforderlich ist, sollte hier der hinreichende Schutz über Mechanismen der Multifaktor-Authentikation (MFA) realisiert werden.

In der Regel sind solche Systeme zudem stark veraltet und so über Schwachstellen und dafür frei verfügbare Exploits angreifbar. Beispiele hierfür sind die Windows-Sicherheitslücken EternalBlue (2017) und BlueKeep (2019), für die schon länger Sicherheitsupdates bereitgestellt werden.

Inwiefern auch KRITIS-Betreiber als kritische Infrastruktur betroffen sind und somit zur Absicherung nach Stand der Technik verpflichtet waren oder sogar ein Bußgeld ausgesprochen wurde, ist aktuell nicht bekannt.

Allerdings sollten bereits bei der Umsetzung der Europäischen Datenschutzgrundverordnung (DSGVO) die oben genannten Sicherheitsprobleme nirgendwo auftreten dürfen. Ob und in welcher Höhe hier ein Bußgeld wegen Verstoß gegen Art. 32 DSGVO verhängt wird, bleibt daher ebenfalls abzuwarten.

„Hackbacks ineffektiv und gefährlich“ – sagt der wissenschaftliche Dienst des Bundestags!

Der Wissenschaftliche Dienst hat in einem eingestuften Gutachten wesentliche Teile unserer Forderungen bestätigt. Das Gutachten wurde auf netzpolitik.org veröffentlicht und bestätigt im Wesentlichen „Die Bundesregierung arbeitet an offensiven Kapazitäten und Hackbacks, doch das ist ineffektiv und gefährlich.“. Das Gutachten entwickelt hat Dr. John Zimmermann Oberstleutnant der Bundeswehr, der seit über 30 Jahren im Dienst der Bundeswehr steht.
Im Gutachten wird aufgezeigt, dass „digitale Gegenmaßnahmen als wartungsaufwändige Einmal-Wirkmittel mit hohem Proliferationsrisiko“ nur als „Einmal-Wirkmittel mit Bumerangeffekt“ auftreten und somit ein wesentliches Risiko darstellen. Darüber Hinaus wird klargestellt, dass von zivilen Kollateralschäden auszugehen ist, wie auch die Vergangenheit schon gezeigt hat. Das offene Thema der Attribution und ihrer Auswirkung wird ebenfalls angesprochen: „Am Ende eines digitalen Wettrüstens ergäbe sich daher in globaler Hinsicht eine anarchische Situation, in der gut gerüstete Cyber-Mächte und nichtstaatliche Hacker einander auf Augenhöhe bedrohen“.
Weiterhin wird festgestellt: „Das Ziehen von klaren definitorischen Grenzen zwischen Angriff und Verteidigung ist kaum möglich“. Daher lassen sich die technischen Mittel für eine „offensive Abwehr“ nicht von digitalen Waffen unterscheiden. Das Gutachten zeigt darüberhinaus erneut, dass unsere Bundesregierung nicht weiß, wer „in Deutschland für die Durchführung der ‚Hackbacks‘ zuständig sein, und wer die rechtlichen und technischen Kompetenzen dazu besitzen soll“.
Die AG KRITIS fordert eine defensive Cybersicherheitsstrategie. Dieser Forderung schließt sich auch das Gutachten mit „Verteidigung ist die beste Verteidigung“ als Quintessenz an. 
Berücksichtigung fand unter anderem die Expertise von @Perceptic0n und der SWP, welcher Forderungen, die unseren sehr ähnlich sind, in den beiden Publikationen Überschätzte Cyber-Abschreckung und Governance von 0-Day-Schwach­stellen in der deutschen Cyber-Sicherheitspolitik veröffentlicht hat. Diese wurden vom Gutachter unter anderem als Quelle genutzt.
Das eingestufte Gutachten bestätigt unsere Forderungen und macht uns Hoffnung, dass unsere Expertise auch hinter verschlossenen Türen Gehör findet. Nichtsdestotrotz ist das Ziel noch nicht erreicht – die offizielle Cybersicherheitsstrategie unserer Bundesregierung muss zu einer defensiven Cybersicherheitsstrategie werden!

Vortrag: Defensive statt Offensive am Beispiel KRITIS

Unser Mitglied HonkHase hat auf dem CCCamp 2019 einen Vortrag über KRITIS gehalten, in dem einige unserer Forderungen erläutert und viele der Problematiken, die wir aktuell sehen, aufgezeigt werden.

Die Folien zum Vortrag wurden auf www.blablasecurity.de veröffentlicht. Da findet Ihr auch ältere und zukünftige Fassungen und könnt somit die Entwicklung im Themenfeld aktiv verfolgen.

Der Vortrag wurde unter https://media.ccc.de/v/Camp2019-10208-defensive_statt_offensive_am_beispiel_von_kritis auf media.ccc.de zusätzlich mit englischer Übersetzung veröffentlicht. Vielen Dank an das C3VOC und an die vielen weiteren Ehrenamtlichen, die geholfen haben!

Artikel in der Datenschleuder

In der 100. Ausgabe der Datenschleuder, dem Vereinsmagazin des CCC haben wir zusammen einen Artikel veröffentlicht, der die Arbeit des ersten Jahres beschreibt.

Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässeerhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

www.kritis.bund.de

Ein wichtiger Teil des Artikels sind die von uns entwickelten politischen Forderungen. Diese Forderungen, wenn sie umgesetzt werden, schaffen die gesetzgeberische und strukturelle Grundlage um für angemessene Ausfallsicherheit der informationstechnischen Komponenten in kritischer Infrastruktur zu sorgen.

Die 100. Datenschleuder wird erst kurz nach der Veröffentlichung der 101. Ausgabe auf ds.ccc.de veröffentlicht. Trotzdem stellen wir den Artikel hier zum Download zur Verfügung.

Update 21.06.2020: Inzwischen hat der CCC die Datenschleuder Ausgabe 100 Online gestellt: