heise online – AG KRITIS: Innenministerium verbummelt die Digitalisierung der Verwaltung

heise online berichtete über den Bericht der AG KRITIS, in der die AG KRITIS die immer noch fehlenden IT-Sicherheitsvorgaben für die Umsetzung des Onlinezugangsgesetz bemängelt. Auf Nachfrage von Heise äußerte sich das Bundesministerium des Inneren nun in folgender Weise:

die Rechtsverordnung zur IT-Sicherheit werde derzeit „mit Hochdruck erarbeitet“ und solle bis Ende 2020 erlassen werden. Allerdings gebe es noch keinen veröffentlichungsfähigen Entwurf. Man strebe einen frühestmöglichen Beschluss an, um für die beteiligten Akteure „größtmögliche Planungssicherheit“ herzustellen

Der vollständigen Artikel ist hier:

BMI gefährdet die Umsetzung des Onlinezugangsgesetzes

Das Bundesministerium des Inneren für Bau und Heimat (BMI) hat es versäumt, eine wichtige Rechtsverordnung zu erlassen – entsprechend ist es möglich, dass die bisher entwickelte Software zur Digitalisierung der staatlichen Verwaltung neu entwickelt werden muss.

2017 hat sich die Bundesregierung zum Ziel gesetzt, innerhalb von 5 Jahren alle Dienstleistungen aller Behörden zu digitalisieren. Das Ziel ist, das Bürger zukünftig alle Verwaltungsdienstleistungen auch von zu Hause aus per Internet erreichen können. Aus diesem wichtigen Ziel folgte ein Gesetz – das sogenannte Onlinezugangsgesetz. Dort findet sich der wichtige Paragraph 5.

§ 5 IT-Sicherheit

Für die im Portalverbund und für die zur Anbindung an den Portalverbund genutzten IT-Komponenten werden die zur Gewährleistung der IT-Sicherheit erforderlichen Standards durch Rechtsverordnung des Bundesministeriums des Innern, für Bau und Heimat ohne Zustimmung des Bundesrates festgelegt. (…)

Unser Mitglied clarity hat eine Anfrage (nach Informationsfreiheitsgesetz) über Fragdenstaat.de gestellt, um genau diese Rechtsverordnung einsehen zu können. Die Anfrage findet sich hier. Die IFG-Anfrage förderte zu Tage, dass diese Rechtsverordnung, in der beschrieben wird, welche IT-Sicherheits-Standards für die IT-Komponenten der digitalen Verwaltung gelten sollen, bisher nicht erlassen worden ist. Auch einen Entwurf dazu gibt es bisher nicht.

 

Die Umsetzung des Onlinezugangsgesetzes geschieht nach dem Prinzip „Einer für Alle“ – jedes Bundesland soll einen der Lebensbereiche komplett digitalisieren und die so entstandene Software den anderen Ländern zur Verfügung stellen. Die meisten Länder haben bereits angefangen und geben sich große Mühe, die Versäumnisse der letzten 20 Jahre im Bereich eGovernment unter Hochdruck nachzuholen.

Aus einigen Ländern und Kommunen hört man bereits jetzt, das man an der fristgemäßen Umsetzung zweifelt, da die Entwicklung langsamer voranschreitet als geplant.

Bei der Digitalisierung der Verwaltungsdienstleistungen müssen ebenen-übergreifende Verknüpfung geschaffen werden, denn notwendige Daten liegen sowohl in den Kommunen, den Ländern aber auch beim Bund. Es ist technisch eine immense Herausforderung, Software zu entwickeln, die unserem Föderalismus gerecht wird, denn zugegriffen wird hier auf sämtliche bei Bund, Ländern und Kommunen vorliegenden Informationen. Wenn Sicherheit in diesem komplexen System erst nachträglich implementiert werden muss, kann dies sehr aufwendig oder sogar unmöglich sein. Eine gute Konzeption (Privacy by Design), die sich intensiv mit Verschlüsselung, Zugrifftokens und den Nutzern befasst, wäre daher sinnvoller als eine spätere Nachrüstung der Sicherheit.

Die gemeinsamen IT-Sicherheits-Grundsätze dieser drei Ebenen, dem Bund, der Länder und den Kommunen, fehlen jedoch nicht nur im OZG, sondern auch an anderen Stellen. Bei kritischer Infrastruktur werden die Anforderungen an den Sektor Staat und Verwaltung auf Bundesebene durch den sogenannten Umsetzungsplan Bund (UP Bund) festgelegt. Die notwendigen Regelungen für Länder und Kommunen treffen die Länder selbst, aber auch diese Regelungen fehlen bisher. Die Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung des IT-Planungsrates ist immerhin verbindlich für Bund und Länder – für Kommunen ist sie aber leider nur empfehlend.

Der Sektor „Staat und Verwaltung“, und damit auch manche Teile der Verwaltung, die bürgernahe Verwaltungsdienstleistungen erbringen, fallen auch unter die kritischen Infrastrukturen, auch wenn in diesem Sektor die Kritis-Verordnung nicht anwendbar ist. Umso wichtiger ist es, dass der Staat bei Softwareprojekten in diesem Bereich höchste Sorgfalt walten lässt, den Stand der Technik beachtet und IT-Sicherheit von Anfang an mitdenkt.

Das Onlinezugangsgesetz (OZG) trat am 18. August 2017 in Kraft. Es regelt, dass bis zum 31.12.2022 die Umsetzung abgeschlossen sein muss. Der Gesetzgeber hat den Ländern also 1961 Tage oder auch 5,37 Jahre gegeben, die 578 Verwaltungsdienstleistungen, geteilt in 14 sog. „Lebensbereiche“ digital abzubilden.

Nun sind von den 1961 Tagen Projektdauer bereits 1115 Tage (Stand 06.09.2020) verstrichen. Das sind 56,8% der gesamten Projektdauer, ohne das festgelegt wurde, welche IT-Sicherheits-Standards beachtet werden sollen. Selbstverständlich haben die Länder und die Kommunen bereits angefangen, Software zu entwickeln.

Es ist zu befürchten, das ein Großteil dieser bisher geleisteten Arbeit der Länder und Kommunen „für die Tonne“ ist – denn wie sollen sich Softwareentwickler an Standards halten, wenn nicht feststeht, welche Standards das sind?

Durch das Versäumnis des Bundesministerium des Inneren (BMI) diese Rechtsverordnung zu Projektbeginn zu erlassen, droht nun das Projekt zu scheitern, denn eine jahrelange Verzögerung dieses mehr als überfälligen Projekts wäre nichts anderes als ein Scheitern.

Da bereits mehr als die Hälfte der Projektdauer verstrichen ist, ohne das die notwendigen Standards festgelegt wurden, ist eine fristgemäße Fertigstellung der digitalisierten Verwaltungsdienstleistungen mehr als unwahrscheinlich geworden.

Es ist daher dringend notwendig, dass diese Rechtsverordnung nun zügig erlassen wird. Bundesminister des Inneren Horst Seehofer muss nun dafür sorgen, das trotz des Versäumnisses seiner Behörde, das Prinzip „Security by Design“ eingehalten wird. IT-Sicherheit darf kein nachgerüstetes Feature sein, sondern muss von Anfang an in jeder Architektur und jeder Entscheidung mitgedacht werden.

Süddeutsche Zeitung – Deutschlands Internet-Armee : Wozu dient die Cyberwehr?

Die Süddeutsche Zeitung hat über die aktuelle Ausrichtung und mögliche Einsatzgebiete des KdoCIR der Bundeswehr berichtet. In einem zuvor geführten Hintergrundgespräch schilderte @AG KRITIS Mitglied @HonkHase unsere Position:

Unabhängig von der Klärung dieser Frage warnen zivilgesellschaftliche Organisationen wie die AG KRITIS, die sich um die Sicherheit der kritischen Infrastruktur in Deutschland bemüht, vor einem Cyber-Wettrüsten zum Schaden der Bürger. Gegenseitige Feindaufklärung führe vor allem dazu, dass Systeme und Netze für die Allgemeinheit unsicher blieben. Kritische Schwachstellen würden nicht behoben, weil Armeen oder Geheimdienste sie noch für ihre Cyber-Kriegsvorbereitungen nutzen wollen und sie geheim halten. „Cyberwaffen können nicht so einfach gezielt eingesetzt werden wie Granaten oder Bomben. Das ist nur sehr schwer zu bewerkstelligen und erfordert hohen Ressourcenaufwand“, sagt Manuel Atug, Gründer und Sprecher der AG KRITIS. Wenn ein Wasserversorger oder ein Energieunternehmen zum Kollateralschaden eines Cyberangriffs wird, hat schnell auch die Bevölkerung ein Problem.

Den vollständigen Artikel findet ihr hier:

Süddeutsche Zeitung – Bundeswehr – Mission: unklar

Die Süddeutsche Zeitung berichtete über die Veröffentlichung einer Studie der Stiftung Wissenschaft und Politik zur generellen Sinnhaftigkeit des Einsatzes von Cyberwaffen. Zu dieser Veröffentlichung haben wir mit dem Autor ein Hintergrundgespräch geführt.

Zivilgesellschaftliche Organisationen wie die AG Kritis, die sich um die Sicherheit der kritischen Infrastruktur in Deutschland bemüht, warnen vor einem Cyber-Wettrüsten zum Schaden der Bürger. Beispiele dafür gibt es – etwa Schadsoftware, die für den Einsatz in einem begrenzten Konflikt geschrieben wurde und sich dann selbständig machte. Die Verschlüsselungssoftware NotPetya, mit der mutmaßlich die russische Regierung die Ukraine treffen wollte, traf die ganze Welt. Sie legte Hunderttausende Computer lahm und richtete Milliardenschäden in Unternehmen an.

Den vollständigen Artikel findet ihr hier:

Blog der Republik – Steigt die Bedrohung der Wasserwirtschaft angesichts massiver Sicherheitslücken?

Anlässlich eines Artikels vom Tagesspiegel zu wesentlichen IT Sicherheitsmängeln bei den Berliner Wasserbetrieben als KRITIS-Betreiber hat das Blog der Republik einen Beitrag über den Sachstand in der Wasserwirtschaft gebracht. Darin sind auch unsere Evaluierungsforderungen und Teile eines Interviews mit Manuel Atug von der AG KRITIS im Deutschlandradio mit eingeflossen.

Auch die AG KRITIS, eine aus 40 IT-/Sicherheits-ExpertInnen bestehende verbandsfreie Arbeitsgruppe, erhebt starke Kritik an der Rahmensetzung durch die Bundesregierung. Die Experten schreiben „Die KritisV, und damit auch die Schwellenwerte, soll laut § 9 KritisV alle zwei Jahre evaluiert werden. Die Frist für die Evaluierung ist allerdings bereits zweimal verstrichen, ohne dass das BMI eine entsprechende Evaluierung vorgelegt hat. Dabei hatte sich das BMI diese Evaluierungen und Fristen selbst verbindlich in der Verordnung vorgegeben. Auch das IT-Sicherheitsgesetz von 2015 hätte bereits mindestens einmal (alle vier Jahre) evaluiert werden müssen.“

Lebensraum Wasser – Steigt die Bedrohung der Wasserwirtschaft angesichts massiver Sicherheitslücken?

Aufgrund eines Artikels vom Tagesspiegel wegen wesentlicher IT Sicherheitsmängel bei den Berliner Wasserbetrieben als KRITIS-Betreiber hat das Blog Lebensraum Wasser einen Beitrag über die Wasserwirtschaft veröffentlicht. Darin wurden unsere Evaluierungsforderungen und Teile des Interviews mit Manuel Atug von der AG KRITIS im Deutschlandradio berücksichtigt.

Die AG KRITIS blickt daher mit großer Sorge darauf, dass die Versorgungssicherheit der Bevölkerung für das BMI nachrangig ist.

Dringender Handlungsbedarf

„Die Gefahr ist so groß, dass schnell gehandelt werden muss“, heißt es im Beitrag des DEUTSCHLANDFUNK, „denn die bisherigen Bestimmungen in der sogenannten Kritis-Verordnung könnten auch schon geändert werden, ohne dass auf die Verabschiedung des IT-Sicherheitsgesetzes 2.0 durch den Deutschen Bundestag gewartet werden muss“, erklärt Manuel Atug, Mitbegründer von AG KRITIS.

Bundesinnenministerium ignoriert Fristen in den eigenen Gesetzen!

Unsere Mitglieder einfachnurmark und TheC haben diese Einschätzung aus Sicht der AG KRITIS vorgenommen.

Die Bevölkerung erhält über Versorgungsunternehmen kritischen Dienstleistungen wie z. B. Energie, Wasser oder Gesundheitsversorgung.

Überschreiten diese Versorgungsunternehmen den in der „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (KritisV) vorgegebenen Regelschwellenwert von aktuell 500.000 versorgten Personen, sind sie Betreiber einer kritischen Infrastruktur (KRITIS) im Sinne des BSI-Gesetzes (BSIG). Dadurch werden sie zur Umsetzung und Einhaltung von im BSIG geforderten Maßnahmen zum Schutz Ihrer Produktionsumgebungen verpflichtet.

Der Berliner Tagesspiegel berichtete erneut über unzureichend geschützte Wasserbetriebe:

Dabei wirft der Tagesspiegel auch die Frage auf, ob die Schwellenwerte noch zeitgemäß sind oder einer Evaluierung bedürfen. Auf diese Fragestellung gehen wir hier näher ein.

Nehmen wir beispielsweise die Größe von Städten in Deutschland als Maßstab, überschreiten in Deutschland nur 14 von 81 Großstädten den Schwellenwert von 500.000 Einwohnern. Dies sind bei insgesamt mehr als 2.000 Städten lediglich ca. 20% aller Einwohner. Der Überwiegende Anteil aller Bürger wird also von Unternehmen versorgt, die nicht verpflichtet sind, ihre Systeme und IT-Infrastruktur entsprechend der Anforderungen für KRITIS-Betreiber abzusichern.

Evaluierung längst überfällig

Die KritisV, und damit auch die Schwellenwerte, soll laut § 9 KritisV alle zwei Jahre evaluiert werden. Die Frist für die Evaluierung ist allerdings bereits zweimal verstrichen, ohne dass das BMI eine entsprechende Evaluierung vorgelegt hat. Dabei hatte sich das BMI diese Evaluierungen und Fristen selbst verbindlich in der Verordnung vorgegeben.

Auch das IT-Sicherheitsgesetz von 2015 hätte bereits mindestens einmal (alle vier Jahre) evaluiert werden müssen.

Die AG KRITIS blickt daher mit großer Sorge darauf, dass die Versorgungssicherheit der Bevölkerung für das BMI nachrangig ist.

Statt also die gesetzlich vorgeschriebene Evaluierungen vorzunehmen und damit einhergehend auch eine Berücksichtigung von Kaskadeneffekten zu analysieren, drückt das BMI lieber eine zweite Version des IT-Sicherheitsgesetzes durch, ohne die erste Version evaluiert zu haben.

Auch Mario Brandenburg MdB, der technologiepolitische Sprecher der Fraktion der Freien Demokraten im Deutschen Bundestag veröffentlichte ein entsprechendes Statement dazu.

Die AG KRITIS fordert daher das BMI auf, die gesetzlich vorgegebene Evaluierung der KritisV umgehend – und damit vor allem noch vor Verabschiedung des IT-Sicherheitsgesetz 2.0 – vorzunehmen, um den Gesetzesbruch abzustellen. Damit einhergehend ist die offensichtlich benötigte Senkung der Schwellwerte in Bezug auf effektiven Bevölkerungsschutz zu realisieren. Nur so kann die Versorgungssicherheit der Bürger in Deutschland gewährleistet werden. Selbstverständlich fordern wir auch, dass das BMI die Evaluierung unter Einbeziehung der in diesem Bereich aktiven Interessensvertretungen aus Wirtschaft und Zivilgesellschaft durchführt und das Ergebnis im Sinne einer lebendigen Demokratie veröffentlicht.

Kritische Sicherheitslücke in F5 Produkten zeigt dramatische Schwachstelle für KRITIS-Betreiber

Unsere Mitglieder Thomas Fricke und Manuel Atug haben sich die aktuelle Situation zu F5 angeschaut und eine Einschätzung aus Sicht der AG KRITIS vorgenommen.

Erneut ist eine wesentliche Komponente, die oftmals auch in kritischen Infrastrukturen zum Einsatz kommt, von einer schwerwiegenden Sicherheitslücke betroffen. Hersteller F5, bekannt für eine Reihe von Produkten aus dem Loadbalancer und VPN Bereich wie BIG-IP, die vor allem von großen Unternehmen eingesetzt werden, kann über die Management Schnittstelle angegriffen werden. Das CERT-Bund des BSI meldet schon seit einigen Tagen Scans und vor allem die aktive Ausnutzung der Remote Code Execution Schwachstelle mit der CVE-2020-5902. Eine Überwachung der Anfälligkeit eigenen Systeme via Shodan ist inzwischen auch schon möglich.

F5 BIG-IP

Quelle: https://support.f5.com/csp/article/K52145254?sf235665517=1

Mit F5 BIG-IP Loadbalancern können große verteilte Serverinfrastrukturen verwaltet werden. Normalerweise sind sie auch die DNS Server, VPN Server, Endpunkte für die Verschlüsselung, TLS Terminatoren und verwalten die privaten Schlüssel für hunderte oder tausende Internet Domains.

Aufgrund der bekannt gewordenen Schwachstelle ist es möglich, eine sog. Remote Code Execution, also das Ausführen von Schadcode aus dem Internet heraus auf den entsprechenden Systemen auszuführen. Ist das Traffic Management User Interface (TMUI), welches auch bekannt ist als „Configuration utility“, zur Verwaltung der Anwendung aus dem Internet erreichbar, können sich also Angreifer Zugriff auf die gesamte Zertifikatsinfrastruktur eines Unternehmens, einer Institution oder einer Behörde verschaffen.

Der Angriff ist bereits als Modul für Metasploit verfügbar, eigentlich ein Tool für Penetrationstests zur Beurteilung der Sicherheit von Umgebungen und Systemen, welches aber von Angreifern auch zum Aufspüren von verwundbaren Systemen genutzt werden kann.

Dabei ist der Angriff effektiv gesehen so einfach, dass er sogar in einen einzigen Tweet auf Twitter passt.

Das gleiche ist natürlich auch von innen heraus möglich, also aus jedem Netzsegment, aus dem man das Management Interface erreichen kann. Haben Angreifer hinreichende Kenntnisse, wie sie die Konfiguration auf der F5 verändern können, sind sie auch in der Lage, verschleierte Angriffe durchzuführen, wie z.B. die Umleitung bestimmter URL-Pfade der Webseiten auf andere Serversysteme.

Das eröffnet im KRITIS-Umfeld die Möglichkeit z.B. das Online Banking im Finanzsektor anzugreifen und tiefer in Kritische Infrastrukturen einzudringen. F5 Server als zentrale Schaltstelle – üblicher Weise in der Demilitarisierten Zone (DMZ) betrieben – haben daher in der Regel erweiterte Zugriffe auf eine Vielzahl von inneren und äußeren Diensten der hiervon Betroffenen KRITIS-Betreiber.

Nötig sind dazu lediglich einige elementare Linux- und TCL/TK-Kenntnisse und ein Grundverständnis der Funktionsweise von F5 selbst. Themenkomplexe, die sich eine organisierte Kriminalität oder auch staatliche Akteure und APT-Gruppen zügig aneignen können, wenn dieses Know-How nicht eh schon vorhanden ist.

Notwendige Maßnahmen

Selbstredend sind alle betroffenen Installationen umgehend zu patchen!

Da aktive Kompromittierungen bereits berichtet werden sind unbedingt im Nachgang die Systemlandschaft – und die betriebenen F5 Systeme im Speziellen – auf erfolgreiche Angriffe zu überprüfen.

Alle Schlüssel, die auf einer F5 verwaltet wurden, sollten daher als möglicherweise kompromittiert betrachtet und damit erneuert, sowie über die Certificate Revocation Lists (CRL) zurückgerufen und ihr Status über das Online Certificate Status Protocol (OCSP) als unsicher eingestuft werden. Im Einzelfall muss sogar die von den F5 erreichbare Infrastruktur als kompromittiert eingestuft und entsprechend neu aufgesetzt werden, wenn man Backdoors in der eigenen Systemlandschaft vermeiden möchte.

Bewertung

Bei genauer Betrachtung kommen wir hier einem erneuten Totalschaden in solchen Szenarien sehr nahe. Es ist aufgrund der Banalität der Schwachstelle anzunehmen, dass eine Sicherheitslücke dieses Ausmasses bei sorgfältigen, geordneten und kontinuierlichen Sicherheits- und Abnahmetests nicht übersehen worden wäre.

Forderungen

Die Preise für F5 Hardware und Softwarelizenzen gehen für individuelle Server bis weit über 100.000,- €. Eine Clusterinstallation kann auch schnell die Grenze von 1 Millionen € erreichen. Es kann daher zu Recht gefordert werden, dass die Haftung der Hersteller auf Schäden, die aus so groben Fehlern herrühren, ausgedehnt werden sollten. Weil es für einzelne Kunden nicht ohne weiteres möglich ist, in die internen Prozesse der Hersteller Einblick zu nehmen, muss die Beweislast umgekehrt und der Hersteller dazu gezwungen werden, mindestens seine Sicherheits- und Abnahmetests offen zulegen.

Es ist eine alte aber wie man sieht weiterhin aktuelle Forderung, Server- und Netzwerk-Komponenten als Open Source Lösungen zu implementieren. Die großen Cloud-Anbieter tolerieren schon seit längerem kaum noch Closed Source Komponenten in den Netzwerken ihrer Cloud-Rechenzentren. Diese Praxis muss auch in kritischen Infrastrukturen Einzug halten.

Der Druck auf einzelne Hersteller hat bereits zu Anpassungen geführt. Es gibt auch bekannte Marken und Hersteller, die mehrfach durch grobe Sicherheitslücken aufgefallen sind und jetzt auf ihrer Hardware Open Source Implementierungen unterstützen.

Insgesamt werden allein im professionellen Netzwerkbereich fast 100 Switches unterstützt. Es ist zu hoffen, dass KRITIS-Betreiber in Zukunft keine Closed Source Komponenten mehr einsetzen (müssen), wenn nötig, dann auch durch eine Änderung der Zertifizierungskriterien.

Hersteller mit einer unsicheren Historie sollten bei Audits zu einer Abwertung der Sicherheitseinschätzung vom Prüfer führen.

Und täglich grüßt das Murmeltier?!

Parallelen zu Citrix #Shitrix Anfang des Jahres sind erkennbar und eher ein strukturelles Defizit als purer Zufall.

 

Die Katschützer: AG Kritis

@diekatschuetzer haben in ihrem Podcast mit unserem Mitglied @HonkHase über die AG KRITIS und das Cyber-Hilfswerk gesprochen.

In dieser Folge unterhalten wir uns mit Manuel Atug über seine Arbeit in der AG Kritis, über die Arbeit die in das Konzept zum Cyberhilfswerk geflossen ist, was man mitbringen muss um in der AG Kritis mitarbeiten zu können und vieles mehr.

Den vollständigen @diekatschuetzer Podcast „AG Kritis“ mit @HonkHase findet ihr hier:

Hier findet Ihr unser CHW-Konzept:

IT-Sicherheitsgesetz 2.0: Neue Meldepflichten für Unternehmen

BASECAMP hat sich zum aktuellen Entwurf für das IT-Sicherheitsgesetz 2.0 geäußert und dabei auch mehrere unserer wesentlichen Kritikpunkte mit aufgegriffen.

Ein zweiter Kritikpunkt der AG KRITIS richtet sich gegen “die offensichtliche Umgehung des frisch geschaffenen Nationalen Cyberabwehrzentrum (NCAZ) bei erfolgreichen Angriffen auf IT-Systeme”. Den Änderungsplänen zu § 109a TKG zufolge sollen Datenverluste an das Bundeskriminalamt (BKA) gemeldet werden. Diese Meldung sollte stattdessen an das NCAZ erfolgen, fordert die AG KRITIS.

Dern vollständigen Artikel bei BASECAMP findet ihr hier:

Unseren Blogpost zu diesem Thema findet ihr hier: