Artikel von unseren Mitgliedern

Ohne Security keine Safety in Kritischen Infrastrukturen – Begriffliche Trennung und Zusammenführung

Unsere Mitglieder Lars Fischer und Michel Messerschmidt haben sich mit der begrifflichen Trennung und Zusammenführung von Security und Safety für die AG KRITIS auseinandergesetzt.Paper der AG KRITIS: Ohne Safety keine Security in Kritischen Infrastrukturen

Wenn es erst einmal brennt bleibt keine Zeit mehr, um Missverständnisse auszudiskutieren. Und auch davor, wenn Systeme entwickelt und aufgebaut werden, um die Infrastruktur für die Grundversorgung unserer Gesellschaft zu bilden, ist es wesentlich, dass die Akteure miteinander Kommunizieren und eine einheitliche Sprache sprechen können. In diesem Artikel wollen wir die Unterscheidung der englischen Begriffe Safety und Security formulieren, was insbesondere deshalb wichtig ist, weil diese beiden Begriffe in vielen Sprachen mit nur einem Wort beschreiben werden. Die beiden Begriffe formulieren in Konzepten allerdings unterschiedliche und durchaus auch konkurrierende Ziele. Daher ist es wesentlich, diese Begriffe klar zu definieren und in der Arbeit zu unterscheiden. Im Folgenden geben wir deshalb eine Einführung und praktische Definitionen und zeigen beispielhaft das Konfliktpotential auf.

Kritische Infrastrukturen

Das wesentliche Merkmal von Systemen, die unter dem Begriff Kritische Infrastrukturen gebündelt werden, ist die Notwendigkeit ihrer Funktionalität und Verfügbarkeit für den Erhalt der Gesellschaft. Ein Ausfall Kritischer Infrastrukturen birgt das unmittelbare Risiko des Zusammenbruchs der Grundversorgung für wesentliche Teile der Bevölkerung.

Gemäß § 2 Abs 10 BSI-Gesetz sind Kritische Infrastrukturen jene, deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit verursachen kann.

Diese Begriffsbestimmung leitet sich aus der EU Richtlinie 2008/114 ab, welche die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen und die Gesundheit, Sicherheit und das wirtschaftliche oder soziale Wohlergehen der Bevölkerung als Aufgabe Kritischer Infrastrukturen begreift.

Aus diesem Grund ergibt sich die Notwendigkeit des besonderen Schutzes Kritischer Infrastrukturen und die Bereithaltung von Notfallplänen, -reserven und -personal. Der Ausfall Kritischer Infrastrukturen ist nicht tolerierbar.

Um dieser Anforderung mit endlichen Ressourcen gerecht zu werden, müssen Risiken bestimmt und Maßnahmen zur Reduktion der Risiken auf ein akzeptables Maß geplant, umgesetzt, geprüft, kontinuierlich aufrechterhalten und verbessert werden. Kritische Infrastrukturen beinhalten physische Komponenten. Durch die Digitalisierung von Kommunikation und Steuerung ist Software bzw. programmierbare Logik aber ein unverzichtbarer Bestandteil Kritischer Infrastrukturen geworden. Diese können daher auch als Cyber-physische Systeme bezeichnet werden. Das bedeutet auch, dass es nicht mehr genügt, nur die physische Sicherheit und den Schutz von Anlagen zu betrachten. Schutz- und Sicherheitsmaßnahmen beinhalten immer auch IT-Sicherheit.

Dabei fällt in der Praxis auf, dass der Begriff „Sicherheit“ bzw. „öffentliche Sicherheit“ oft nur einseitig verstanden wird. Denn im deutschen Sprachgebrauch werden sehr verschiedene Themenbereiche unter dem Begriff „Sicherheit“ versammelt. Wenn wir Begriffe wie Schutz, Sicherheit oder auch IT-Sicherheit verwenden, kann ein gemeinsames Verständnis also nicht vorausgesetzt werden. Klare Begrifflichkeiten sind aber alleine schon deshalb wichtig, weil die unterschiedlichen Bereiche deutlich unterschiedliche und oft auch widersprüchliche Anforderungen oder Ziele haben.

In der deutschen Ausgabe der EU Richtlinie 2008/114 findet sich zur Definition Kritischer Infastrukturen nur der mehrdeutige Begriff „Sicherheit„, obwohl die englische Ausgabe derselben EU Richtlinie nach „Safety“ und „Security“ differenziert:

„kritische Infrastruktur“ [bezeichnet] die in einem Mitgliedstaat gelegene Anlage, ein System oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind und deren Störung oder Zerstörung erhebliche Auswirkungen auf einen Mitgliedstaat hätte, da diese Funktionen nicht aufrechterhalten werden könnten; Richtlinie 2008/114/EG des Rates der Europäischen Union

Es ist also sinnvoll die Bereiche Safety und Security genauer zu differenzieren, auch wenn dieser Unterschied im deutschen Sprachgebrauch nicht offensichtlich ist.

Konflikte von Safety und Security

Wo der Brandschutz einen lebensrettenden Notausgang sieht (Safety), sieht der Sicherheitsberater eine Schwachstelle im Zugangsschutz (Security). Dieses simple Beispiel zeigt den Konflikt, der oft zwischen dem besteht, was im Englischen als Security und Safety unterschieden wird. Im Kern des Konflikts steht die Frage, welche Sicherheit für welche Schutzfunktionen benötigt werden und welche Schutzmaßnahmen notwendige Sicherheitsmaßnahmen untergraben. Die Beschäftigung mit dieser Frage ist notwendig, weil die beiden Seiten oftmals von unterschiedlichen Experten bearbeitet werden. Kommunikation ist notwendig, um die unterschiedlichen Ziele miteinander zu verbinden und Missverständnisse zu vermeiden.

Kommunikation setzt ein gemeinsames Verständnis der Begrifflichkeiten voraus, weshalb wir im Folgenden den Versuch einer Begriffsbestimmung der Sicherheit durch die zwei Begriffe Safety und Security unternehmen wollen. In der Literatur finden sich verschiedene Merkmale, die zur Unterscheidung herangezogen werden.

  1. Unterscheidung nach Schadensursache:
    • Safety als Schutz eines Systems vor zufälligen, nicht-bewusst herbeigeführten Schadereignissen, z.B. Wetterphänomene oder Fehlbedienung.
    • Security als Schutz eines Systems vor bewusst herbeigeführten, zielgerichteten Schadereignissen, z.B. Cyberangriffe.
  2. Unterscheidung nach Art des Schadens und nach Schädigungsrichtung:
    • Safety als Schutz vor Personenschäden, in der Regel durch das betrachtete System.
    • Security als Schutz vor allen Schadensarten am betrachteten System.

Diese Situation ist natürlich unbefriedigend und macht es nötig, dass das Verständnis der Sicherheitsgrundbegriffe neu ausgehandelt werden muss.

Safety und Security nach dem Ursachekriterium

Von Safety sprechen wir, wenn es darum geht Anlagen, Prozesse oder Personen vor Beeinträchtigung durch ungesteuerte, zufällige oder natürliche Ereignisse zu schützen. In diese Klasse fallen Ereignisse die durch „ungewollte Fehlbedienung“ ausgelöst werden, ebenso wie die Beschädigung durch Umweltereignisse wie Erdbeben oder Stürme.

Demgegenüber verstehen wir Security als Verhinderung oder Vermeidung von unerlaubter, absichtlicher Beeinflussung, mit dem Willen zur Schädigung von Werten (Assets). Im Gegensatz zur Safety sind der wesentliche Faktor im Bereich Security die Angreifer (Attacker oder auch Threat Agents), die sich insbesondere dadurch auszeichnen, dass sich ihre Fähigkeiten und ihr Verhalten schlecht vorhersagen lassen. Während es vergleichsweise einfach ist, die erwarteten Sturmereignisse in einer Region historisch aufzuzeichnen, statistisch zu beschreiben und damit zu prognostizieren, ist das Verhalten von Angreifern nicht durch empirische Beobachtung vorhersagbar. Schlimmer noch, es ist anzunehmen, dass, wenn Sicherheitsmaßnahmen auf bekannte Angriffsmuster optimiert werden, sich die Angreifer anpassen und insbesondere die verbleibenden Lücken oder genau die Sicherheitsmaßnahmen selbst angreifen.

Die Definition über die Schadensursache ist für die Planung von Schutzmaßnahmen einfach anzuwenden. Bei der Analyse und Reaktion auf Schadensereignisse ist jedoch gerade dieses einfache Kriterium der bewussten Schädigung schwer zu ermitteln. Denn es erfordert eine Attribution der Schadensursache bzw. Verursacher. Eine eindeutige Attribution ist in einer digitalen Welt aber grundsätzlich nicht möglich. Deshalb ist es sinnvoll, zusätzlich die Definition nach anderen Kriterien zu berücksichtigen.

Safety und Security nach dem Schadenskriterium

Das Kriterium der Schadensrichtung besagt, dass die Unterscheidung sich dadurch ergibt, ob ein möglicher oder tatsächlicher Schaden am betrachteten System oder ein Schaden durch das betrachtete System an einer anderen Sache vorliegt. Der Begriff Safety bezieht sich deshalb auf Schaden, der durch das System selbst entsteht, z.B. einem Zug, dessen Bremssystem versagt. Der Begriff Security bezieht sich auf Schadenswirkung am System.

Das informelle Glossar der Internet Engineering Task Force, welche wesentliche Internet Standards spezifiziert hat, empfiehlt die folgende Definition:

Safety: „The property of a system being free from risk of causing harm (especially physical harm) to its system entities.“ IETF RFC 4949

Sicher, im Sinne von Safety, ist ein System dann, wenn kein Risiko besteht, dass von einem betrachteten System Schaden ausgeht.

Für den Begriff Security werden, je nach Kontext drei unterschiedliche Definitionen angeboten:

  1. Als Zustand wird Security als Ergebnis der Einführung und Aufrechterhaltung von Maßnahmen zum Schutz des Systems verstanden.
  2. Security kann weiterhin als Oberbegriff für genau diese Maßnahmen verstanden werden.
  3. Als Gegenstück zur Safety wird Security analog zur IT-Sicherheit als Zustand in dem ein System frei ist von möglichem Schaden von außen; in Bezug auf die Unmöglichkeit von unautorisiertem Zugang, Veränderung, oder Datenverlust, aber auch zufälligen Schadenseinwirkungen.

Security: „A system condition in which system resources are free from unauthorized access and from unauthorized or accidental change, destruction, or loss.“ IETF RFC 4949

Safety und Security unterscheiden sich auch nach der Art des Schadens. Safety wird immer als ein Schutz vor Personenschäden verstanden, also Verletzung oder Tod von Menschen.

Demgegenüber bezieht sich Security sowohl auf den Schutz vor Personenschäden wie auch vor materiellen und ideellen Schäden. Deshalb ist es sinnvoll, bei Security zusätzlich nach IT Security und Physical Security zu unterscheiden, um besser nach Schadensart differenzieren zu können.

Der Begriff IT-Sicherheit bzw. IT Security oder Computer Security im Englischen kann als Spezialfall der oben definierten Security betrachtet werden. Informationstechnik (IT) ist ein wesentliches Element der aktuellen Veränderungen in Kritischen Infrastrukturen. IT-Sicherheit geht üblicherweise von der Definition des National Institutes for Standards and Technology (NIST) aus. Das NIST definiert Computer Security als die Sicherstellung von Integrität, Geheimhaltung und Verfügbarkeit von Systemen und Daten:

Computer Security: The protection afforded to an automated information system in order to attain the applicable objectives of preserving the integrity, availability, and confidentiality of information system resources (includes hardware, software, firmware, information/data, and telecommunications). NIST Computer Security Handbook, 1995

Der Begriff Physical Security kommt aus dem Militär und bezeichnet im engeren Sinne alle physischen Schutzmaßnahmen gegen unerlaubten Zugriff. Ein vergleichbarer deutscher Begriff ist Objektschutz. Im weiteren Sinne umfasst Physical Security alle Schutzmaßnahmen durch Sicherheitskräfte, auch im nicht-militärischen Bereich wie zum Beispiel durch die Polizei.

Während die IT Security sich überwiegend auf finanzielle Werte bzw. Schäden konzentriert, ist die Physical Security mit finanziellen (Raub), menschlichen (Mord, Verletzung, Entführung, Stalking), ideellen (Rufschädigung, Beleidigung), wirtschaftlichen (Sabotage) und gesellschaftlichen (Terrorismus) Schäden bzw. Werten befasst.

Safety und Security in Cyber-physischen Systemen

Allgemein werden Systeme, die aus verknüpften physischen und digitalen Prozessen bestehen, als Cyber-physisches System bezeichnet. In Cyber-physischen Systemen lässt sich die Beschränkung auf IT Security nicht mehr aufrechterhalten, weil hier grundlegende Eigenschaften von IT-Prozessen und -Artefakten nicht gelten. Zum Beispiel sind physische Assets, anders als Daten, nicht beliebig, nahezu kostenfrei und instantan kopierbar. Auf der anderen Seite sind IT-Prozesse formal rigide, während physische Prozesse regelmäßig Spielräume sowohl bei den Ergebnissen, als auch bei den (menschlichen) Entscheidungen benötigen.

Die Security Cyber-physischer Systeme muss im Vergleich mit IT Security deutlich mehr Schadensarten berücksichtigen, da alle Werte gemäß den oben aufgeführten Definitionen Kritischer Infrastrukturen zu schützen sind. Insbesondere handelt es sich bei Kritischen Infrastrukturen um Anlagen und Systeme, die immer auch menschliche Schäden bewirken können (Safety Schadensart) und daher sowohl gegen Safety wie Security Ereignisse (Ursachen) zu schützen sind.

Dabei können Konflikte zwischen Safety und Security Schutzmaßnahmen kaum vermieden werden. Safety Maßnahmen wie Redundanz oder Notfall-Kontrollsysteme können gerade erst Angriffe ermöglichen. Und IT Security Maßnahmen können potentiell Safety Maßnahmen blockieren.

Während in physischen Prozessen schon durch räumliche Nähe eine grundsätzliche, und flexible Form von Autorisierungsprüfung besteht, sind diese in der digitalen Welt immer formal streng umgesetzt und absolut. Dies führt zum Beispiel dazu, dass der Übergang in einen – wie auch immer gearteten – Notzustand digital schwieriger Umzusetzen ist. Wir wollen das nachfolgend kurz an Beispielen demonstrieren.

Der Zugriff auf Notbremsen ist üblicherweise nicht eingeschränkt. Jede Person, welche sich in räumlicher Nähe befindet (sowie eine minimale Körpergröße und physische Kraft mitbringt) soll eine Notbremsung auslösen können. Eine Autorisierungsprüfung findet nicht statt. Der Vorgang der Notbremsung stellt dazu mit einer hohen Wahrscheinlichkeit sicher, dass die auslösende Person für diese Aktion verantwortlich gemacht werden kann. Bei Notbremsen findet eine Abwägung statt, welche das Missbrauchspotential durch unautorisierte Auslösung einer Notbremsung (Security) gegen den möglichen Schaden eines Feuers oder einer vermeidbaren Kollision (Safety) abwägt. Darüber hinaus ist die Motivation der denkbaren Angreifer für einen Missbrauch sehr gering. In Kombination mit der möglichen Strafhöhe, ist der Missbrauch anscheinend sehr selten.

Eine andere Art der Abwägung findet bei Notrufnummern statt. Obwohl die Missbrauchsrate (Security) der Polizei- und Feuerwehr-Notruftelefonnummern signifikant ist, überwiegt der Nutzen, in prozentual wenigen Fällen, großen Schaden (Safety) verhindern zu können.

Fazit

Schon bei diesen einfachen Beispielen zeigt sich, dass die Anforderungen von Safety und Security nicht einfach in Einklang zu bringen sind und sich Maßnahmen oftmals wechselseitig beeinflussen. Es ist offensichtlich, das insbesondere Schutzmaßnahmen (im Sinne der Safety) gegen Angriffe auf die Verfügbarkeit und Integrität geschützt werden müssen (im Sinne der Security). Schutzsysteme sind regelmäßig selbst „kritisch“ für den Schutz vor Schaden an Leib und Leben oder für den Erhalt kritischer Funktionen. Eine Beeinflussung der Schutzsysteme durch Angreifer ist ein wesentliches Ziel für den Betrieb solcher Anlagen. In diesem Sinne gibt es keine Safety ohne Security.

Security ist wiederum auch kein Selbstzweck. Die primäre Aufgabe kritischer Systeme ist die Versorgung der Gesellschaft mit absolut notwendigen Diensten und Gütern. Das bedeutet aber auf der anderen Seite nicht, dass wir im Namen der Notfallvorsorge auf grundsätzliche Prinzipien und Regeln unserer Gesellschaft verzichten können. Gerade in der Krise und seiner Bewältigung zeigt sich oftmals das wahre Gesicht eines Menschen – und vielleicht auch einer Gesellschaft.

In diesem Wechselspiel der Anforderungen gibt es sicher viele offene Fragen und wenige endgültige Antworten. Dieser Text ist deshalb auch eher als Anfang einer Diskussion zu verstehen, denn als finale Lösung.


Quellen (Auszug aus dem Paper)

Safety and Security

  • Einzige Quelle zu Safety Security in der deutschen WP: Sichere Industrie (nicht wirklich autoritativ)
  • Aircraft Security Glossary (Englisch)
  • BDEW Whitepaper: Definiert Safety = Freiheit von untragbaren Risiken
  • BSI 100-1: Begriff Safety taucht nicht auf
  • BSI 200-1: Definiert und unterscheidet IT-Sicherheit, Informationssicherheit und Cyber-Sicherheit
  • IEC 62351-1:
    • Security
      • A condition that results from the establishment and maintenance of protective measures that ensure a state of inviolability from hostile acts or influences. [JP1]
      • With respect to classified matter, the condition that prevents unauthorized persons from having access to official information that is safeguarded in the interests of national security. [After JP1]
      • Measures taken by a military unit, an activity or installation to protect itself against all acts designed to, or which may, impair its effectiveness. [JP1] [ATIS]
      • All aspects related to defining, achieving, and maintaining confidentiality, integrity, availability, non-repudiation, accountability, authenticity, and reliability. [ISO/IEC 13335-1]
  • EU Directive Critical Infrastructure
    • „essential for the maintenance of vital societal functions, health, safety, security, economic or social well-being of people“
  • Common Criteria
    • „Security is concerned with the protection of assets.“ §192
    • Keine Erwähnung von „safety“
  • RFC 4949
    • $ safety (I) The property of a system being free from risk of causing harm (especially physical harm) to its system entities. (Compare: security.)
    • security 1a. (I) A system condition that results from the establishment and maintenance of measures to protect the system. 1b. (I) A system condition in which system resources are free from unauthorized access and from unauthorized or accidental change, destruction, or loss. (Compare: safety.)

Critical Infrastructure

  • RFC 4949:
    • critical information infrastructure (I) Those systems that are so vital to a nation that their incapacity or destruction would have a debilitating effect on national security, the economy, or public health and safety.

Paper der AG KRITIS: Ohne Safety keine Security in Kritischen Infrastrukturen

#Shitrix: Was kann der Gesetzgeber aus dem Citrix-Vorfall lernen und für KRITIS Betreiber verbessern?

Seit dem 07.01.2020 hat das CERT-Bund des BSI deutsche Netzbetreiber, die Bundesverwaltung, Betreiber Kritischer Infrastrukturen und andere -Nutzergruppen über verwundbare Citrix-Systeme informiert. Darüber hinaus wurde beispielsweise am 16.01.2020 nochmal verschärft darauf hingewiesen, dass seit dem 10.01.2020 verstärkt Exploit-Code zur Ausnutzung der Schwachstelle veröffentlicht wurde. Trotzdem sind heute immer noch viele Systeme verwundbar und werden aktiv kompromittiert, wie beispielsweise auch die Landeshauptstadt Potsdam und die Stadt Brandenburg!

Wie kann es sein, dass nach Veröffentlichung von Schwachstellen durch Hersteller und Entdecker als auch nach Warnmeldungen vom BSI ein sicherer Betrieb und eine zügige Absicherung der IT-Infrastruktur nicht gewährleistet werden kann? Bis heute sind immer noch viele Systeme ungepatcht.

Um den beschriebenen Herausforderungen auf geeignete Weise begegnen zu können, bedarf es staatlicher Unterstützung, die wir in diesem Beitrag zu politischen Forderungen zur Diskussion stellen möchten.

So kann es nicht weitergehen. Die Politik ist jetzt gefragt, einige wenige, aber sehr notwendige gesetzliche Änderungen durchzuführen.

Politische Forderungen

Was kann der Gesetzgeber aus dem Citrix-Vorfall als auch der kürzlich bekannt gewordenen Krypto-Schwachstelle bei Microsoft lernen und für uns alle verbessern?

Unabhängigkeit des Bundesamt für Sicherheit in der Informationstechnik

Wie einem Mitglied der AG KRITIS vertraulich zugetragen wurde, hätte die Citrix-Sicherheitslücke bereits einige Tage oder Wochen vor der ersten Meldung von Citrix am 17.12.2019 an das BSI gemeldet werden können. Mitarbeiter eines Unternehmens hatten schon früher Kenntnis über die Sicherheitslücke erlangt – entschieden sich aber, diese die Kenntnis der Sicherheitslücke vorerst nicht dem BSI öffentlich zu machen oder zu melden. Mangels Vertrauen, dass diese Erkenntnisse nicht auch an Angreifer oder über das BMI an die Sicherheitsbehörden zur Ausnutzung gelangen würden!

Stellungnahme vom 29.01.2020 zum obigen Abschnitt: Es handelte sich hierbei nicht um eine Meinung des Unternehmens, sondern um eine private Meinung, die in dieser Weise nicht für die Veröffentlichung vorgesehen war. Dafür entschuldigen wir uns nachdrücklich.

Das BSI muss aus den Strukturen des Bundesinnenministeriums herausgelöst werden, um eine unabhängige und defensive IT-Sicherheit in Deutschland zu etablieren. Das BMI ist auch für deutsche Sicherheitsbehörden zuständig, die zwangsläufig aufgrund ihres staatlichen Auftrags den IT-Sicherheitszielen gegensteuern müssen.

Ein unabhängiges und ausschließlich defensiv agierendes BSI kann zum einen das benötigte Vertrauen schaffen, so dass Sicherheitsforscher alle gefundenen Schwachstellen dem Hersteller als auch dem BSI möglichst umgehend bereitstellen. Zum anderen kann es dann wiederum auch konsequent die Entwicklung eines Patches und das ausrollen und installieren bei KRITIS Betreibern als Kunden dieser Hersteller überwachen und sicherstellen. Zur Not auch durch den Einsatz von Bußgeldern und Strafzahlungen, vergleichbar dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit im Rahmen der DSGVO.

Solange dieses Vertrauen nicht hergestellt ist, werden durch Sicherheitsforscher entdeckte Sicherheitslücken nicht konsequent an das BSI gemeldet. Des weiteren wird dadurch auch der Schwarzmarkt zum Handel mit Sicherheitslücken (0days oder zero day exploits) und zugehörigen Exploits zum Ausnutzen der Lücken angefeuert und nicht ausgetrocknet.

Gesetzlich verpflichtendes Patchmanagement

KRITIS Betreiber können häufig nicht ihre eigene Software für Spezialanwendungen schreiben und müssen diese zukaufen. Wir fordern daher neben der Veröffentlichung des Quellcodes, oder aber der treuhänderischen Verwaltung des Quellcodes eine gesetzliche Verpflichtung der KRITIS-Betreiber, Aktualisierungen und Softwareverteilung auf Integrität und Herkunft zu prüfen, aber auch binnen einer vorgegebenen und Bußgeldbewehrten Frist, Empfehlungen und Mindeststandards des BSI umzusetzen. Dies erfordert, dass Hersteller entsprechende Signaturen implementieren. Unsignierte Software, die nicht Open Source ist, und wo sich der Quellcode nicht in treuhändischer Verwaltung befindet, darf im KRITIS-Umfeld unserer Meinung nach nicht eingesetzt werden.

Patches müssen gesichert eingespielt werden können, um einen dauerhaften Schutz der IT-Landschaft zu gewährleisten.

Implikationen für KRITIS durch Schwachstelle in Microsoft Krypto-Bibliothek

Update zum Thema: Was kann der Gesetzgeber aus dem Citrix-Vorfall lernen und für KRITIS Betreiber verbessern?

Was haben elliptische Kurven, Zertifikate und Windows-Updates mit Kritischen Infrastrukturen zu tun?

Mehr als man zunächst denken mag.

Was ist passiert?

Am 14. Januar 2020 veröffentlichte Microsoft ein Update, das bereits im Vorfeld viel Aufmerksamkeit erhalten hat. Der amerikanische Geheimdienst NSA hatte den Softwarehersteller auf einen Fehler aufmerksam gemacht, sodass die Schwachstelle behoben werden kann.

Bei der Schwachstelle (CVE-2020-0601, auch bekannt als #curveball) handelt es sich um einen Fehler in der Überprüfung von kryptographischen Zertifikaten. Zertifikate werden unter anderem für die Validierung von Softwarepaketen und -updates oder HTTPS-Verbindungen verwendet. Der Fehler ist in einer Microsoft Windows Standardbibliothek entdeckt worden und betrifft daher gleichzeitig auch viele andere Programme. Bei bestimmten kryptographischen Methoden wird ein eigentlich ungültiges Zertifikat als trotzdem gültig gekennzeichnet – eine eigentlich nicht vertrauenswürdige Verbindung, wird vertrauenswürdig oder ein Softwarepaket bzw. Update erhält den Eindruck, es kommt von einer vertrauenswürdigen Quelle. Neben Webseiten und Programmen kommen Zertifikate aber auch bei der Signatur und Verschlüsselung von E-Mails zum Einsatz. Outlook nutzt bei S/MIME Zertifikate – diese können ebenfalls gefälscht werden. Benjamin Deply hat hierzu ein entsprechendes Video veröffentlicht.

Details können der entsprechenden Veröffentlichung der amerikanischen Regierung entnommen werden. Die kryptographischen Details hat Tal Be’ery analysiert. Die Schwachstelle wird auch unter dem Namen ChainOfFools (Zertifikatsketten) oder CurveBall (elliptische Kurven) geführt.

Innerhalb weniger Tage ist von Forschern bereits ein entsprechender Angriff entwickelt und veröffentlicht worden, der fehlerhafte, aber gültige Zertifikate erstellt. Erste Schadsoftware wurde identifiziert, die mit vermeintlich gültigen Zertifikaten signiert worden ist.

Implikationen für KRITIS

Kryptographische Verfahren sind für einige KRITIS Betreiber auf dem ersten Blick eher von nachrangigem Interesse. Bestimmte Branchen wie Banken oder Telekommunikation nutzen Krypto als Teil ihres Geschäftsmodells oder sind bereits seit Jahrzehnten zur Verschlüsselung gezwungen. Es ist davon auszugehen, dass diese Branchen ein erhöhtes Augenmerk auf die oben genannte Schwachstelle haben.

Die Schwachstelle betrifft aber alle Betreiber und Internetanwender – nicht nur die, die Bank- oder Telekommunikationsdaten verschlüsseln. KRITIS Betreiber verwenden natürlich auch das Internet und verschlüsselte Verbindungen für einen gesicherten Datenaustausch. HTTPS (also verschlüsselte Internetverbindungen) beruht auf Vertrauen. Von zentralen vertrauenswürdigen Instanzen werden Zertifikate ausgegeben, die validiert werden können. Auf Basis der Validierung können Betreiber zwischen betrügerischen Webseiten bzw. Angreifern und dem eigentlichen Kommunikationspartner unterscheiden. Diese Validierung ist auf einem ungepatchten und somit anfälligen Windows System nur noch eingeschränkt möglich und es werden ggf. Daten durch einem unbefugten Dritten ausgetauscht oder heruntergeladen.

Zertifikate als Vertrauensanker und die Validierung dieser wird nicht nur bei HTTPS-Verschlüsselung eingesetzt, sondern auch im Umfeld von signiertem Programmcode. Entwickler können entsprechende Signaturzertifikate beantragen, um die Herkunft und Integrität ihrer Software bestätigen zu lassen. Setzen Unternehmen für kritische Geschäftsprozesse auf signierte oder verschlüsselte E-Mails können diese durch gefälschte E-Mail-Signaturen gestört werden.

Falsche Validierung wiederum eröffnet die Möglichkeit eines Supply-Chain-Angriffs. Die Kompromittierung der ukrainischen Softwarefirma MeDoc führte durch manipulierte Updatepakete zu einer der größten Ransomware-Infektionen weltweit. Nutzen nun Lieferanten für Kritische Infrastrukturen entweder keine Signatur oder validieren Betreiber diese unzureichend, so können Angriffe auf KRITIS erfolgen, ohne die Betreiber direkt anzugreifen. Die Schwachstelle erlaubt es einem Angreifer, Software gültig zu signieren, selbst wenn die Software manipuliert wurde.

KRITIS-Unternehmen, die das Microsoft Update nicht eingespielt haben, laufen daher dringend Gefahr, dass schädliche oder manipulierte Software einen legitimen Eindruck macht und deshalb innerhalb ihrer IT-Landschaften ausgeführt wird.

Gegenmaßnahmen

Wie bei fast allen öffentlich bekannt gewordenen Schwachstellen ist die erste Gegenmaßnahme die Evaluierung von Risiken im Patchmanagement-Prozess und anschließend zumeist das zeitnahe Einspielen der verfügbaren Sicherheitsaktualisierungen des Herstellers. Microsoft hat koordiniert aktualisierte Pakete bereitgestellt, die durch Kunden bzw. deren Systemadministratoren installiert werden müssen. Patchmanagement und Systemaktualisierungen in Kritischen Infrastrukturen ist ein sehr komplexes Thema, das an dieser Stelle nicht weiter vertieft werden soll. KRITIS Betreiber nutzen zum Teil weiterhin alte, nicht mehr unterstützte und nicht sichere Software – beispielsweise aufgrund von Legacy Komponenten in der Produktionsumgebung – und setzen sich und anderen damit stärker den Gefahren von Cyber-Angriffen aus.

Zulieferer für Kritischen Infrastrukturen sollten sich ihrer Supply-Chain-Verantwortung bewusst sein. Gerade in so einer Umgebung ist es notwendig, im Rahmen des Patchmanagements Aktualisierungen und Softwareverteilung auf Integrität und Herkunft zu prüfen. Dies erfordert, dass die Hersteller entsprechende Signaturen implementieren, die Betreiber müssen diese Signaturen aber auch auf Gültigkeit prüfen.

Politische Forderungen

Was kann der Gesetzgeber von diesem Vorfall lernen und für uns alle verbessern?

Quellcode Open Source oder in treuhänderischer Verwaltung

Schwachstellen in (insbesondere komplexer) Software können nie ausgeschlossen werden, daher empfiehlt sich immer ein geregeltes Patchmanagement im Rahmen eines etablierten Informationssicherheitsmanagementsystems (ISMS) – wie es auch über § 8a Abs. 1 BSIG als Stand der Technik gefordert und in  branchenspezifischen Sicherheitsstandards (B3S) nach § 8a Abs. 2 enthalten ist. Für sicherheitskritische Komponenten sollten jedoch höchste Standards gefordert und im Idealfall auch überprüfbar gemacht werden.

Durch Open Source oder treuhänderische Verwaltung von Quellcode und ggf. zugehöriger Patente kann die Überprüfbarkeit als auch eine sichere und dauerhafte Weiternutzung der Software gewährleistet werden, sofern der Hersteller irgendwann einmal nicht mehr verfügbar ist (Stichwort Insolvenz). Es sollte nicht dem Zufall oder den Interessen einzelner Institutionen überlassen werden, dass sicherheitsrelevante Software überprüft und weitergenutzt werden kann.

Gesetzlich verpflichtendes Patchmanagement

KRITIS Betreiber können häufig nicht ihre eigene Software für Spezialanwendungen schreiben und müssen diese zukaufen. Wir fordern daher neben der Veröffentlichung des Quellcodes, oder aber der treuhänderischen Verwaltung des Quellcodes eine gesetzliche Verpflichtung der KRITIS-Betreiber, Aktualisierungen und Softwareverteilung auf Integrität und Herkunft zu prüfen, aber auch binnen einer vorgegebenen und Bußgeldbewehrten Frist, Empfehlungen des BSI umzusetzen. Dies erfordert, dass Hersteller entsprechende Signaturen implementieren. Unsignierte Software, die nicht Open Source ist, und wo sich der Quellcode nicht in treuhändischer Verwaltung befindet, darf im KRITIS-Umfeld unserer Meinung nach nicht eingesetzt werden.

Responsible Disclosure von Schwachstellen – verpflichtend auch für Sicherheitsbehörden!

Die Schwachstelle wurde initial durch die NSA an Microsoft gemeldet, sodass eine Fehlerbehebung vorgenommen werden kann. Ein Meldeverfahren zur Behebung von Schwachstellen durch den Hersteller sollte auch für alle deutschen Sicherheitsbehörden verpflichtend vorgegeben sein – werden Schwachstellen an unsere Sicherheitsbehörden gemeldet, durch diese ermittelt oder anderweitig Kenntnis davon erlangt, so dürfen diese nicht für offensive Angriffe verwendet werden, da der Schutz der Kritischen Infrastrukturen im Vordergrund stehen muss. Responsible Disclosure und das Beheben von Schwachstellen trägt wesentlich zu einer sicheren und stabilen digitalen Gesellschaft bei, als das Zurückhalten und Ausnutzen von Schwachstellen.

Ist ein angemessener Schutz von digitalen Cyberwaffen möglich?

Wie lange die Sicherheitslücke dem staatlichen Akteur bekannt war ist nicht öffentlich bekannt. Die vergleichbar kritische Schwachstelle EternalBlue wurde vermutlich von der NSA Spezialeinheit Tailored Access Operations über fünf Jahre lang zurückgehalten und für eigene Angriffe (aktive Cyber-Abwehr oder auch Hack-Back) genutzt. Man hat diese digitale Cyberwaffe mit vielen anderen gehortet aber es nicht geschafft, diese Sammlung so zu sichern, dass kein anderer daran gelangen konnte und eine Sammlung an digitalen Cyberwaffen der NSA sind inzwischen öffentlich gewordenen.

Daher wurden auf Basis dieses NSA-Expoits die Erpressungstrojaner WannaCry und anschließend NotPetya entwickelt, die unter anderen auch die Institutionen Telefónica, FedEx, Deutsche Bahn und Schenker, Sandvik, Beiersdorf, Maersk, Rosneft oder auch Mondelez usw. betroffen und Schäden in Millionenhöhe verursacht haben.

Ransomware lähmt Unternehmen, Verwaltung und Kritische Infrastrukturen

Die Meldungen von Institutionen, die teilweise tagelang vom Internet getrennt waren bzw. sich als Maßnahme zur Schadensreduktion selber vom Internet getrennt haben, häuften sich zum Jahresende 2019. Viele der Vorfälle waren auf die Schadsoftware Emotet und die damit in Verbindung stehenden Malware-Familien zurückzuführen. Nach fast zwei Wochen „Urlaub“ ist Emotet zurück und infiziert erneut Institutionen und Privatpersonen auf der ganzen Welt. Selbst ein anschauliches Video einer Infektion der initialen und unsichtbaren ersten Schadsoftware ist verfügbar. Das Perfide daran ist, dass Betroffene erst den Angriff bemerken, wenn die Verschlüsselung bereits begonnen hat. Die Dunkelziffer von Betroffenen, die keine Mitteilung machen, ist vermutlich sehr hoch.

Allein im November und Dezember 2019 waren unter anderem folgende KRITIS-Sektoren durch Emotet-Angriffe betroffen:

  • Staat und Verwaltung
    • Stadtverwaltung Frankfurt
    • Kammergericht Berlin
    • Bundesanstalt für Immobilienaufgaben
  • Gesundheit
    • Klinikum Fürth
    • Universität Gießen
    • Spital Wetzikon (Schweiz)
  • Telekommunikation
    • Everis (Spanien)
  • Medien
    • Rundfunksender Cardena SER (Spanien)
  • Transport und Verkehr
    • RavnAir (USA)
  • Energie
    • Stadtwerke Langenfeld

Eine kontinuierlich gepflegte Liste von Ransomware-Infektionen führt der Twitter Nutzer @GerritOpper.

Ursachen für Ransomware-Infektionen

Als ein Beispiel für eine entsprechende Schadsoftwareinfektion kann die mit Emotet in Verbindung stehende Malware-Familie genannt werden. Diese dringt initial über ein Office-Dokument mit Makros in ein Netzwerk ein. Makros sind aktiver Code, der in Word, Excel und ähnlichen Dokumenten eingebunden werden kann. Derartiger Code wird bereits seit Jahrzehnten für die Verteilung von Schadsoftware verwendet, hat aber in den letzten Jahren eine Renaissance erlebt.

Folgende Ursachen erleichtern diese Art der Infektion:

  • Die Standard-Einstellungen der Microsoft-Produkte ermöglichen das Ausführen von Code in Makros. Die erscheinenden Warnungen sind viel zu unauffällig und werden so vom Benutzer ignoriert. Viele Organisationen wollen diese Standardeinstellungen nicht anpassen.
  • Eine Software-Monokultur fördert die Verbreitung. Mit den Vorteilen der Standardisierung geht der Nachteil einher, dass ein Angreifer ebenfalls Skaleneffekte nutzen kann. Wenn ein Angriff fertig entwickelt wurde, kann er weltweit zum Einsatz kommen.
  • Benutzer wurden nicht oder nur unzureichend für das Thema sensibilisiert. Die Awareness für Gefahren und die Konsequenzen des Zulassens aktiver Inhalte in Office-Dokumenten ist noch ausbaufähig.
  • Die IT-Abteilungen setzen Sicherheitsmaßnahmen nach Stand der Technik nur unzureichend um, Filter für eingehende E-Mails würden in Verbindung mit restriktiven Regeln eine Infektion wirksam verhindern. Die Weiterverbreitung innerhalb der betroffenen Institution wird durch unzureichende Regeln für die IT-Administration erleichtert.

Technische Details und Hintergründe zu Emotet, auch im Zusammenspiel z.B. mit Trickbot und Ryuk sind von Thomas Hungenberg aus dem CERT-Bund des BSI veröffentlicht worden.

Warum sind gerade Krankenhäuser, die öffentliche Verwaltung und Universitäten (nicht KRITIS) betroffen? Die Ursachen sind sicherlich vielfältig. Unter anderem wurde aber in den letzten Jahren so an der IT und dem Personal als auch der Ausbildung selbiger gespart bzw. andere Prioritäten gesetzt, dass ein erheblicher „Schuldenberg“ bezüglich der Umsetzung von Sicherheitsmaßnahmen entstanden ist.

Forderungen für KRITIS

KRITIS-Betreiber sind nach § 8a BSI-Gesetz dazu verpflichtet, Sicherheitsmaßnahmen nach Stand der Technik umzusetzen. In der Praxis erfolgt diese Umsetzung allerdings nur sehr schleppend. Insbesondere auch, weil Sanktionen und eine effektive Prüfung fehlen. Hier müssen andere Kontrollmöglichkeiten als die im Moment üblichen und weitestgehend folgenlosen Überprüfungen (alle zwei Jahre) gefunden werden.

Die Bewältigungskapazitäten sind insgesamt zu gering, wenn sich die Fälle weiter häufen. Institutionen sind schlichtweg überfordert, wenn die gesamte Institution oder Teile davon nicht mehr arbeitsfähig sind. Dies geht aber über gewöhnliche IT-Sicherheit und -Betrieb hinaus. Ein effektives und erprobtes Business Continuity Management muss in der heutigen Zeit zur Steigerung der Resilienz auch den Ausfall von IT-Infrastruktur durch Schadsoftware beinhalten. Wie lange dauert es, Backups wieder einzuspielen wenn die restliche Infrastruktur offline ist? Wenige Organisationen können hier eine belastbare Aussage treffen.

KRITIS Betreiber von schwerwiegender Citrix-Schwachstelle betroffen

Update zum Thema: Was kann der Gesetzgeber aus dem Citrix-Vorfall lernen und für KRITIS Betreiber verbessern?

Das zentrale Zugriffsgateway des Herstellers Citrix, welches auch in Leitstellen für Polizei und Feuerwehr, in Krankenhäusern und Stadtwerken, aber auch in vielen Unternehmen zum Einsatz kommt, wird aktuell angegriffen und ausgenutzt. Dabei wird eine im Dezember 2019 bekannt gewordene Sicherheitslücke ausgenutzt, die es erlaubt, beliebigen Schadcode auf den IT-Systemen betroffener Unternehmen und KRITIS-Betreiber auszuführen. Das BSI bestätigt, dass es derzeit aktive Angriffe gegen anfällige Systeme gibt.

Im Dezember 2019, vor 23 Tagen, ist eine schwerwiegende Sicherheitslücke in Citrix Netscaler VPN Gateways bekannt geworden. Diese Schwachstelle erlaubt es einem Angreifer, beliebigen Code auf Systemen auszuführen und anschließend weiter in betroffene Infrastrukturen vorzudringen. Details hierzu wurden von Tripwire veröffentlicht. Der Angriff ist vergleichsweise einfach und entsprechende Angriffswerkzeuge bereits frei verfügbar. Es erfolgt zudem bereits eine aktive Ausnutzung – das heißt, dass anfällige KRITIS Betreiber bereits kompromittiert sein können.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits ab dem 07.01.2020 begonnen, Unternehmen in Deutschland zu informieren. Dennoch sind tausende von Systemen weiterhin anfällig und bieten Angreifern ein mögliches Einfallstor in deren Umgebungen. Zwar konnten seit dem 07.01.2020 bereits über 500 anfällige Systeme geschützt werden, allerdings sind laut BSI über 3.600 Systeme in Deutschland weiterhin anfällig. Unter den Betroffenen sind weiterhin auch Kritische Infrastrukturen.

Eine Recherche in entsprechenden Suchmaschinen für IT-Systeme (z. B. Shodan) ergibt, dass neben Baumarktketten und Automobilzulieferern auch KRITIS Betreiber mit unter denen dabei sind, die keine Gegenmaßnahmen umgesetzt haben. Dazu gehören unter anderem auch:

  • Kreisverwaltungen
  • Landwirtschaftskammern
  • Leitstellen für Polizei und Feuerwehr
  • Krankenhäuser
  • Stadtwerke

Die nachfolgenden Screenshots zeigen detaillierte Systeminformationen von ausgewählten Systemen, die über öffentlich verfügbare Suchmaschinen abgerufen werden können. Eine dieser Suchmaschinen ist Shodan – das Google für IT-Systeme. Diese durchsucht das Internet nach öffentlich erreichbaren Systemen und erlaubt es Benutzern nach bestimmten Attributen zu suchen. So können die anfälligen Systeme und die zugehörigen Organisationen auch einfach den KRITIS Unternehmen zugeordnet werden.

Ciritx Fail 1/3

Ciritx Fail 2/3

Ciritx Fail 3/3

Der Vorfall zu dieser Sicherheitslücke zeigt erneut, dass sowohl auf Seiten der Softwarehersteller, der KRITIS Betreiber und ihrer IT-Dienstleister, als auch bei den Behörden der Umgang mit Schwachstellen weiterhin verbessert werden kann und muss. Solange Betreiber und Behörden mit der Aktualisierung von verwundbaren Systemen hinterherhinken und sowohl Softwarehersteller als auch IT-Dienstleister Schwachstellen nicht umgehend beheben bzw. gar nicht erst erzeugen, solange sind dann eben auch die Angreifer den Verteidigern der Kritischen Infrastrukturen einen Schritt voraus. Ein direkter Zugriff auf wesentliche Anlagenteile in Kritischen Infrastrukturen ist zwar oftmals nicht möglich; sind aber Angreifer in der Lage, in der Umgebung eines KRITIS Betreibers Fuß zu fassen, so kann zumindest indirekt auch auf die Versorgungsleistung und Verfügbarkeit Einfluss genommen werden. Dies zeigen die durch Erpresser vorgenommenen Ransomware-Angriffe und dadurch bedingten Ausfälle auf Stadtverwaltungen, Versorgungsunternehmen, Universitäten und Krankenhäuser in den letzten Monaten.

Das BSI hat zwar betroffene KRITIS Betreiber und Unternehmen informiert, allerdings scheinen entweder die Organisationen und ihre IT-Dienstleister mit der Aktualisierung überfordert zu sein, die Dringlichkeit nicht verstanden zu haben oder die Informationen nicht die richtigen Adressaten gefunden zu haben. Ein sicherer Betrieb unserer Kritischen Infrastrukturen erfordert qualifiziertes Personal sowohl bei Behörden, als auch bei den Betreibern und ihren IT-Dienstleistern. Dies schließt auch ein, Schwachstellen bewerten zu können und zeitnah Korrekturmaßnahmen zu etablieren. Darüber hinaus müssen IT-Betreiber und ihre IT-Dienstleister sich mit der Frage der Haftung konfrontiert sehen. Werden die falschen Personen durch Behörden oder Sicherheitsforscher kontaktiert? Müssen Korrekturmaßnahmen wie Patchmanagement und zugehörige Konfliktpotentiale wie Einhaltung von SLAs in Vertragswerken beim Auslagerungsmanagement (Outsourcing) richtig adressiert werden? Sind aufgrund von Wochenenden oder Feiertagen wichtige Ressourcen nicht verfügbar? Dann müssen KRITIS-Betreiber,  Unternehmen und Behörden ihre Organisationsstrukturen und Maßnahmen überdenken und neu ausrichten.

Nicht nur die direkten Anlagen und Komponenten von Kritischen Infrastrukturen selbst müssen gemäß § 8a BSI-Gesetz nachweislich sicher betrieben werden, sondern auch die Systeme, die für den Zugriff auf die Infrastrukturen genutzt werden, beispielsweise für die Fernadministration. Dazu gehören insbesondere auch mit dem Internet verbundene Büro-Systeme von Administratoren, die einen Zugriff auf wesentliche interne Ressourcen zulassen.

 

Studie warnt: Digitale Souveränität des Staates gefährdet

Die vom Bundesministerium des Inneren  beauftragte Studie „Strategische Marktanalyse zur Reduzierung von Abhängigkeiten von einzelnen Software-Anbietern“ findet deutliche Worte über die Abhängigkeit der deutschen Behörden von nur wenigen zentralen Softwareherstellern. Dies gilt insbesondere für Microsoft, da deren Produkte „in allen Schichten des Software-Stacks“ vielfach eingesetzt werden. Dies führe zu „Schmerzpunkten bei der Bundesverwaltung, die im Widerspruch zu den strategischen Zielen der IT des Bundes stehen“. Die Verfasser der Studie kommen zu dem Schluss, dass ein dringender Handlungsbedarf bestehe, da eine eingeschränkte Informationssicherheit und (datenschutz)-rechtliche Unsicherheiten die „digitale Souveränität“ des Staates gefährden.

Eine mögliche Handlungsoption für diese Misere sei der Umstieg auf Open Source Software (OSS). Dies sei ein „probates Mittel“, um die „digitale Souveränität der Bundesverwaltung langfristig zu sichern“.

Die Studie folgt in diesem Punkt unserer Forderung nach Open Source Software in KRITIS, so dass wir als AG KRITIS diese Empfehlung ausdrücklich unterstützen. Insbesondere im Bereich der kritischen Infrastrukturen sehen wir den Einsatz quelloffener Software, bei Bedarf auch unter treuhänderischer Verwaltung, als dringend geboten. Neben der notwendigen Transparenz z.B. im Bereich von Sicherheitslücken oder versteckten Zugängen (Backdoors), kann nur so gewährleistet werden, dass Produktions- und Industrieanlagen über den gesamten Lebenszyklus von teilweise vielen Jahrzehnten sicher betrieben werden können.

Die daraus resultierende Steigerung der Resilienz kritischer Infrastrukturen unterstützt unmittelbar eine defensive Cybersicherheitsstrategie, die der Staat dringend etablieren muss, um seine Bevölkerung angemessen zu schützen.

Millionenfach Patientendaten ungeschützt im Internet

Der jüngste Skandal über millionenfach Patientendaten, die ungeschützt im Internet von jedermann abrufbar waren zeigt erneut, dass noch großer Handlungsbedarf bei der IT-Sicherheit in Arztpraxen und Krankenhäusern besteht. Konkret handelt es sich in dem vom BR und ProPublica recherchierten Fall um ein Bildarchiv, dem „Picture Archiving and Communication System“ oder kurz „PACS“ genannt. Hier werden zentral die Bilder von MRT, CT oder digitalen Röntgengeräten gespeichert. Durch ein Konfigurationsfehler waren diese inkl. der dazugehörigen Patientendaten ohne Passwort öffentlich einsehbar.

Leider ist dies kein Einzelfall. Eine einfache Suche mit spezialisierten Suchmaschinen wie Shodan offenbart eine Vielzahl potenziell fehlkonfigurierter und damit öffentlich einsehbarer Server oder Datenbanken. Hier stellt sich prinzipiell die Frage, warum diese Systeme direkt am Internet angebunden und nicht durch zusätzliche Sicherheitsmaßnahmen geschützt sind. Dies stellt den Stand der Technik dar und dieser ist nach § 8a BSI-Gesetz für Krankenhäuser mit mehr als 30.000 vollstationäre Bettenbelegungen im Jahr einzuhalten.

Besonders Problematisch ist, wenn für einen erfolgreichen Datenzugriff noch nicht einmal ein Passwort eingegeben werden muss. Doch auch bei einem gesetzten Passwort mangelt es leider oft an einer ausreichenden Komplexität, so dass dieses durch einfaches Erraten herausgefunden werden kann. Sofern Zugriff z. B. aufgrund von Fernwartung erforderlich ist, sollte hier der hinreichende Schutz über Mechanismen der Multifaktor-Authentikation (MFA) realisiert werden.

In der Regel sind solche Systeme zudem stark veraltet und so über Schwachstellen und dafür frei verfügbare Exploits angreifbar. Beispiele hierfür sind die Windows-Sicherheitslücken EternalBlue (2017) und BlueKeep (2019), für die schon länger Sicherheitsupdates bereitgestellt werden.

Inwiefern auch KRITIS-Betreiber als kritische Infrastruktur betroffen sind und somit zur Absicherung nach Stand der Technik verpflichtet waren oder sogar ein Bußgeld ausgesprochen wurde, ist aktuell nicht bekannt.

Allerdings sollten bereits bei der Umsetzung der Europäischen Datenschutzgrundverordnung (DSGVO) die oben genannten Sicherheitsprobleme nirgendwo auftreten dürfen. Ob und in welcher Höhe hier ein Bußgeld wegen Verstoß gegen Art. 32 DSGVO verhängt wird, bleibt daher ebenfalls abzuwarten.

„Hackbacks ineffektiv und gefährlich“ – sagt der wissenschaftliche Dienst des Bundestags!

Der Wissenschaftliche Dienst hat in einem eingestuften Gutachten wesentliche Teile unserer Forderungen bestätigt. Das Gutachten wurde auf netzpolitik.org veröffentlicht und bestätigt im Wesentlichen „Die Bundesregierung arbeitet an offensiven Kapazitäten und Hackbacks, doch das ist ineffektiv und gefährlich.“. Das Gutachten entwickelt hat Dr. John Zimmermann Oberstleutnant der Bundeswehr, der seit über 30 Jahren im Dienst der Bundeswehr steht.
Im Gutachten wird aufgezeigt, dass „digitale Gegenmaßnahmen als wartungsaufwändige Einmal-Wirkmittel mit hohem Proliferationsrisiko“ nur als „Einmal-Wirkmittel mit Bumerangeffekt“ auftreten und somit ein wesentliches Risiko darstellen. Darüber Hinaus wird klargestellt, dass von zivilen Kollateralschäden auszugehen ist, wie auch die Vergangenheit schon gezeigt hat. Das offene Thema der Attribution und ihrer Auswirkung wird ebenfalls angesprochen: „Am Ende eines digitalen Wettrüstens ergäbe sich daher in globaler Hinsicht eine anarchische Situation, in der gut gerüstete Cyber-Mächte und nichtstaatliche Hacker einander auf Augenhöhe bedrohen“.
Weiterhin wird festgestellt: „Das Ziehen von klaren definitorischen Grenzen zwischen Angriff und Verteidigung ist kaum möglich“. Daher lassen sich die technischen Mittel für eine „offensive Abwehr“ nicht von digitalen Waffen unterscheiden. Das Gutachten zeigt darüberhinaus erneut, dass unsere Bundesregierung nicht weiß, wer „in Deutschland für die Durchführung der ‚Hackbacks‘ zuständig sein, und wer die rechtlichen und technischen Kompetenzen dazu besitzen soll“.
Die AG KRITIS fordert eine defensive Cybersicherheitsstrategie. Dieser Forderung schließt sich auch das Gutachten mit „Verteidigung ist die beste Verteidigung“ als Quintessenz an. 
Berücksichtigung fand unter anderem die Expertise von @Perceptic0n und der SWP, welcher Forderungen, die unseren sehr ähnlich sind, in den beiden Publikationen Überschätzte Cyber-Abschreckung und Governance von 0-Day-Schwach­stellen in der deutschen Cyber-Sicherheitspolitik veröffentlicht hat. Diese wurden vom Gutachter unter anderem als Quelle genutzt.
Das eingestufte Gutachten bestätigt unsere Forderungen und macht uns Hoffnung, dass unsere Expertise auch hinter verschlossenen Türen Gehör findet. Nichtsdestotrotz ist das Ziel noch nicht erreicht – die offizielle Cybersicherheitsstrategie unserer Bundesregierung muss zu einer defensiven Cybersicherheitsstrategie werden!