Beiträge

CVE in der Krise – Europas Weckruf für digitale Unabhängigkeit

/in /von

Damit Schwachstellen und Sicherheitslücken geschlossen werden können, ist es zuallererst wichtig, diese eindeutig benennen zu können. Cybersecurity-Expert*innen nutzen dafür die CVE-Datenbank, welche von US-amerikanischen Behörden betrieben wird.

Am Beispiel der von MITRE betriebenen CVE-Datenbank (Common Vulnerabilities and Exposures, https://cve.mitre.org/), deren staatliche Finanzierung durch die USA kurzfristig gefährdet war, wird deutlich, warum echte europäische Lösungen für digitale Souveränität unerlässlich sind. Es stellt sich die Frage, ob wir die Informationssicherheit unserer kritischen Infrastrukturen vom Goodwill der USA oder anderer autokratischer Staaten abhängig machen wollen. Unabhängigkeit von staatlicher Einflussnahme ist essenziell, denn nur dann werden auch solche Schwachstellen enummeriert werden, die von staatlichen Behörden für offensive Cyberoperationen ausgenutzt werden. Als Negativbeispiele für unvollständige oder zensierte nationale Schwachstellendatenbanken gelten die chinesische CNNVD und die russische BDU.

Kurzfristig ist die Finanzierung der CVE-Datenbank für die nächsten elf Monate gesichert. Dabei wurde jedoch offensichtlich, wie viele Tools, Unternehmen und Behörden alternativlos von dieser einen staatlich kontrollierten Datenbank abhängig sind. Jetzt bietet sich die Chance für eine souveräne europäische Lösung: Die ENISA veröffentlichte innerhalb weniger Stunden eine Beta-Version ihrer European Union Vulnerability Database (EUVD). Derzeit verweist diese allerdings noch häufig auf CISA und NIST.

Trotz berechtigter Kritik ermöglicht das CVE-System eine einheitliche Identifikation und Katalogisierung von Schwachstellen. Noch ist unklar, wie eine unabhängige und standardisierte Vergabe von Identifikationsnummern in Zukunft koordiniert werden kann, sollte es mehrere parallele Systeme zur Schwachstellenkatalogisierung geben. Ideal wäre eine unabhängige Struktur mit gesicherter Finanzierung.

Grundsätzlich lassen sich mehrere Modelle unterscheiden:

  1. Unkoordinierte Schwachstellen-Identifikation
    Keine Standardisierung von IDs, keine zentrale Datenbank. Wie bei der Benennung von Malware oder APT-Gruppen würden dann zahlreiche unterschiedliche IDs für dieselbe Schwachstelle existieren.
  2. Zentrale Schwachstellen-Identifikation
    Eine global gültige, zentrale Registry zur Verwaltung von Ids und der Vergabe von Rechten, wer IDs beantragen darf. Voraussetzung: Unabhängigkeit von staatlichen Stellen und langfristige Finanzierung.
  3. Community-basierte Schwachstellen-Identifikation
    Ein öffentliches Repository, in dem jede*r Informationen und IDs beitragen kann – ähnlich wie bei Wikipedia. Frühere Versuche sind jedoch alle gescheitert, wie z. B. DWF (Distributed Weakness Filing), GSD (Global Security Database), OSVDB (Open Source Vulnerability Database).
  4. Dezentrale Schwachstellen-Identifikation
    Ein globaler Standard definiert Format und Algorithmus zur eigenständigen ID-Erstellung. Das Erfassen und Veröffentlichen bleibt dezentral den Beitragenden überlassen.

Aufgrund schlechter Erfahrungen bei der Malware-Identifikation ist vom unkoordinierten Modell dringend abzuraten. Eine eindeutige Identifikation von Sicherheitsproblemen – ob Malware, Schwachstelle oder Exploit – erleichtert den Informationsaustausch erheblich und ist gerade für die schnelle Kommunikation bei Vorfällen im KRITIS Bereich wertvoll.

Das zentrale Modell entspricht im Wesentlichen dem CVE-System, sollte aber durch eine transparente Finanzierung und Unabhängigkeit von staatlichem oder kommerziellem Einfluss weiterentwickelt werden. Die von ENISA betriebene EUVD könnte in diese Richtung gehen – auch hier bleibt die Frage der staatlichen Unabhängigkeit offen, scheint aber noch gestaltbar.

Ein Community-Modell bietet viele Vorteile und funktioniert bei anderen Wissensplattformen gut. Allerdings erfordert die Pflege tagesaktueller Schwachstelleninformationen erheblichen Aufwand, der kaum auf ehrenamtlicher oder spendenfinanzierter Basis tragbar ist. Zudem beruhen viele Geschäftsmodelle im Bereich Cybersicherheit auf der kommerziellen Nutzung dieser öffentlich verfügbarer Daten. Diese Tatsache hemmt freiwilliges Engagement, wie die gescheiterten Versuche zeigen.

Ein globaler Standard zur einheitlichen aber dezentralen Vergabe von Schwachstellen-IDs – idealerweise auch für Malware und APTs – erscheint als beste Lösung. Universally Unique Identifiers (UUIDs) nach RFC 9562, die auch zeitstempelbasierte IDs ermöglichen, bieten einen geeigneten Ansatz. Durch die Beschränkung auf die reine ID-Koordination ließe sich der Verwaltungsaufwand minimieren. Viele Zusatzinformationen in CVE- und NVD-Datenbanken sind ohnehin oft unzureichend verifiziert und in der Praxis wenig hilfreich. Der Fokus sollte auf Werkzeugen liegen, die Schwachstellen eindeutig identifizieren und praxisnahe Anleitungen zu Patches und Updates liefern, statt komplizierte Scores und Dashboards bereitzustellen.

Ohne eine gute, unabhängige Lösung zur Schwachstellen-Katalogisierung drohen kritischen Infrastrukturen:

  • Verzögerte Einschätzung und Behebung von Softwarefehlern
  • Ausfall von Sicherheitswerkzeugen wie Scannern, Verteidigungssystemen und Dashboards
  • Fehlende gemeinsame Sprache für den weltweiten Austausch von Bedrohungsinformationen

Vorerst bleibt das MITRE-CVE-Programm bestehen – doch niemand weiß, wie lange noch. Jetzt ist der richtige Zeitpunkt für eine globale Lösung, die nicht von Nationalstaaten abhängig ist.

Die AG KRITIS fordert daher die deutsche Bundesregierung auf, sich auf der europäischen Ebene für den Aufbau einer wirklich unabhängigen Schwachstellendatenbank unter Führung der ENISA einzusetzen. Wer 100 Milliarden Euro für „KI-Gigafactorys“ ausgeben will, der kann nicht behaupten, die etwa 20-30 Mio € im Jahr, die für den Betrieb der CVE-Datenbank benötigt werden, nicht zu haben.

Egal wie sich die europäische Digitalwirtschaft entwickelt und welche mehr- oder weniger innovativen Vorhaben von SpitzenpolitikerInnen im nächsten Hype-Zyklus präsentiert werden – Auf dem Boden der Tatsachen braucht es auch weiterhin ein Fundament aus größtmöglicher IT-Sicherheit.

Wir Europäer haben nun die Chance, die Kritikpunkte die es am CVE-System gibt, durch Schaffung eines besseren Systems auszuräumen und genau dies fordern wir.

Referenzen:

Zu CNNVD und BDU: https://www.darkreading.com/cyberattacks-data-breaches/russian-national-vulnerability-database-operation-raises-suspicions
CVE Kritik: https://lwn.net/Articles/679315/
DWF: https://seclists.org/oss-sec/2016/q1/560
GSD: https://cloudsecurityalliance.org/blog/2022/02/22/why-we-created-the-global-security-database
GSD: https://github.com/CloudSecurityAlliance/gsd-database
OSVDB: https://en.wikipedia.org/w/index.php?title=Open_Source_Vulnerability_Database&oldid=1247288031
OSVDB: https://web.archive.org/web/20191124210140/https://www.networkworld.com/article/3053613/open-source-vulnerabilities-database-shuts-down.html
OSVDB Lizenzfrage: https://www.theregister.com/2014/05/08/whats_copyright_mcafee_mcslurps_vuln_database/
Virus Namensschema: https://bontchev.nlcv.bas.bg/papers/naming.html
Malware Bennungsprobleme: https://www.gdatasoftware.com/blog/2019/08/35146-taming-the-mess-of-av-detection-names
RFC 9562: Universally Unique IDentifiers (UUIDs) https://www.rfc-editor.org/rfc/rfc9562

Picture by Antony-22 – Own work, CC BY-SA 4.0, https://commons.wikimedia.org/w/index.php?curid=60094941

Vielen Dank an unsere Mitglieder Lioba und random für das Anfertigen dieses Artikels

Schriftliche Stellungnahme zur Anhörung „Cybersicherheit – Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland“

/in , /von

Für die öffentliche Anhörung des Ausschusses für Digitales im Deutschen Bundestag am 25.01.2023 wurde unser Mitglied, Gründer und Sprecher Manuel ‚HonkHase‘ Atug als Sachverständiger  und Vertreter der AG KRITIS geladen. Der Titel der öffentlichen Anhörung ist „Cybersicherheit – Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland“. Die Stellungnahme wurde fristgerecht am 18.01.23 dem Deutschen Bundestag zur Verfügung gestellt.

Die Frage sollte aus Sicht der AG KRITIS nicht lauten “welche Stufen der aktiven Cyberabwehr existieren?”, sondern “wo liegt die Grenze zwischen offensiver und defensiver Cyberabwehr?”

Die Stellungnahme wurde am 19.01. 2023 vom Deutschen Bundestag hier veröffentlicht

Die Stellungnahme bieten wir auch als PDF zum Download an:

PDF Download

Wir möchten uns herzlich bei unseren Mitgliedern bedanken, die aktiv an dieser Stellungnahme in Ihrer Freizeit mitgewirkt haben.

Wir cybern besser nicht zurück – Warum offensive Cyberoperationen wie Hackback die eigene Bevölkerung bedrohen

/in /von

Schon vor dem kriegerischen Angriff durch Russland auf die Ukraine, waren offensive Cyberoperationen und Cyberabwehrmaßnahmen im Zuge der Gefahrenabwehr im Cyberraum – wie z. B. der Hackback – immer wieder in den Medien präsent.

Politikerinnen forderten und fordern wiederholt das gezielte Zurückhalten von Schwachstellen und offensive Cyberfähigkeiten. So soll der deutsche Staat noch besser in der Lage sein, andere Staaten auszuspähen – (auch Aufklärung genannt), seien es Freunde oder Feinde. Mit dem Krieg in der Ukraine ist die Forderung nach generellen offensiven Cyberfähigkeiten bzw. militärischen Cyberoperationen (vormals Computer-Netzwerkoperationen, CNO) und zugehöriger Kapazitäten lauter geworden. Auch, weil die Befürchtung im Raum stand, dass kritische Infrastrukturen in Deutschland durch Cyberangriffe in Gefahr sein werden.

Heute wissen wir bereits, dass Bomben, Raketen und Kalaschnikows sehr viel effektiver kritische Infrastrukturen in der Ukraine zerstört haben, als Cyberangriffe das jemals könnten. Nichtsdestotrotz sind kritische Infrastrukturen durchaus vermehrt Cyberangriffen ausgesetzt. Nicht nur in der Ukraine, sondern weltweit. Und damit eben auch in Deutschland.

Welche Auswirkungen hätte denn das euphemistisch als „staatliches Schwachstellenmanagement zur Gefahrenabwehr“ bezeichnete Zurückhalten von Sicherheitslücken für Hackbacks auf unsere Versorgungssicherheit?

Ziel eines Hackbacks ist die Befähigung, einen lang anhaltenden Ausfall einer kritischen Infrastruktur durch cyber-physische Schäden zu bewirken und die Versorgungsleistung im Idealfall sogar überregionalen ausfallen zu lassen. Wirtschaftliche Schäden sind in diesen Szenarien eher sekundär. Verwendet würde das Eindringen in fremde IT-Systeme und IT-Umgebungen zur strategischen Aufklärung, als auch im Bündnisverteidigungsfall zum Zweck der Wirkung durch offensive Cyberoperationen.

Nun stellt sich die Frage, wieso konkret die Durchführung von offensiven Angriffen und damit einhergehend das Zurückhalten von Sicherheitslücken – umgangssprachlich als Hackback bekannt – eine sehr schlechte Idee für das Wohlergehen der eigenen Bevölkerung ist.

Man stelle sich folgendes Szenario vor: Wenige ausgewählte Personen mit entsprechender Expertise aus Militär, Innenministerium, Sicherheitsbehörden und Nachrichtendiensten sowie weitere Expertinnen für Informationssicherheit treffen sich in geheimer „staatliches Schwachstellenmanagement-Runde“ und entscheiden, welche Schwachstellen geheim gehalten und damit gegenüber der Öffentlichkeit und vor allem dem betroffenen Software- oder Hardware-Hersteller zurückgehalten werden sollen.

In diesem Szenario gibt es zwei eindeutige Schwachstellen: Erstens die Frage nach der Auswahl der Eingeweihten. Und zweitens die Auswahl der spezifischen Schwachstellen. Ganz zu schweigen von der Auswirkung auf die Versorgungssicherheit für die Zivilbevölkerung, deren Versorgung dann aufgrund unzureichender Risikoanalysen und Kollateralschäden nicht mehr gewährleistet werden kann. Doch dazu später mehr.

Zunächst ist es ein Thema, wer Teil eines solchen Gremiums sein soll. Insgesamt dürfen nicht zu viele Personen eingeweiht sein, sonst sind die Schwachstellen schnell öffentlich, weil sie durchsickern und dadurch öffentlich werden. Die Qualifikation der ausgewählten Expertinnen ist ein weiterer zentraler Punkt. Es gibt im BSI-Gesetz und der zugehörigen BSI-Kritisverordnung acht Sektoren (Energie, Gesundheit, Informationstechnik und Telekommunikation, Transport und Verkehr, Wasser, Finanz- und Versicherungswesen, Ernährung, Siedlungsabfallentsorgung) in über 40 Branchen sowie zwei weitere nicht regulierte Sektoren (Medien und Kultur, Staat und Verwaltung), die sogenannte kritische Dienstleistungen wie Strom und Wasser erbringen.

Anzumerken ist, dass es derzeit ca. 2.200 KRITIS-Betreiberinnen in acht KRITIS-Sektoren gibt, da diese mehr als 500.000 Personen versorgen. Alle Betreiberinnen aus diesen acht Sektoren, die weniger als 500.000 Personen versorgen oder den anderen beiden Sektoren angehören, sind hier nicht erfasst. Es gibt in Deutschland alleine über 10.000 Kommunen mit zugehörigem Notfall- und Rettungswesen als kritischer Dienstleistung, die von wichtiger Bedeutung für das staatliche Gemeinwesen ist, die hier keine Berücksichtigung finden. Daher betrifft eine vollständige Risikobetrachtung eine erheblich größere Anzahl von kritischen Infrastrukturen, als es offiziell und gesetzlich definierte KRITS-Betreiberinnen gibt.

Nun fällt es schwer, sich vorzustellen, dass es Personen gibt, die in allen zehn Sektoren vollständig über den Einsatz der betroffenen IT-Komponenten bei jeder(!) KRITIS-Betreiberin in diesen Sektoren und den zugehörigen ca. 40 unterschiedlichen Branchen informiert sind. Wenn es um 0days oder Schwachstellen in KRITIS geht, die kaum bekannt sind, ist ein erhebliches Wissen über IT und OT sowie den Industriesteueranlagen und Industrieautomatisierungen in den Produktionsumgebungen in den einzelnen Sektoren gefragt.

KRITIS-Betreiberinnen aus dem gleichen Sektor verwenden durchaus unterschiedliche Technologien und IT- oder OT-Komponenten. Das führt zu Problemen mit der Informationsbeschaffung. Eine vermeintliche Lösung wäre es, sich durch geheim gehaltene Abfragen einen Überblick zu verschaffen, welche KRITIS-Betreiberin welche IT- und OT-Komponenten verwendet. Sehr wahrscheinlich wäre eine solche Liste (quasi die immer aktuelle Assetmanagement-Liste) nicht aktuell und eine solche Umfrage bliebe auch nicht lange geheim.

Weiterhin ist die Auswahl der Sicherheitslücken relevant. Ziel wäre es ja, Schwachstellen zu identifizieren, die einen lang anhaltenden und überregionalen cyber-physischen Schaden und damit einen umfassenden Versorgungsausfall für die Zivilbevölkerung zu bewirken. Das wären dann naheliegender Weise eine Sicherheitslücken z. B. in einem Schaltrelais innerhalb einer Industriesteueranlage.

Es gibt weltweit nur sehr wenige Hersteller von solchen IT- und OT-Komponenten in Industriesteueranlagen. Damit ist die Wahrscheinlichkeit, dass deutsche kritische Infrastrukturen genau die gleichen IT- und OT-Komponenten mit den zurückgehaltenen Schwachstellen verwenden, sehr hoch. Dadurch sind auch deutsche kritische Infrastrukturen von den zurückgehaltenen Schwachstellen und offensiven Cyberabwehrmaßnahmen wie einem Hackback bedroht.

Nehmen wir an, das oben beschriebene Gremium existiert und führt die Risikoanalyse nebst Implikationen und Wahrscheinlichkeiten zu Ausnutzung der betroffenen Komponenten und möglichen Kollateralschäden aufgrund des Einsatzes oder der Zurückhaltung bzw. Geheimhaltung solchen Schwachstellen durch. Diese Analyse kann nur für alle gesetzlich bekannten KRITS-Betreiberinnen, also gemäß BSI-Kritisverordnung durchgeführt werden.

Es wird dann in geheimer Weise bei den ca. 2.000 potentiell betroffenen KRITIS-Betreiberinnen in Deutschland bewertet, ob sie anfällige Komponenten mit den vorhandenen Sicherheitslücken in ihrer Produktionsumgebung einsetzen. Gehen wir vereinfacht davon uns, dass die Umfrage gelingt und geheim bleibt. Man beschließt nun, solche Schwachstellen in der entsprechenden Industriesteueranlage auszunutzen und offensive Cyber-Operationen zu wirken, beispielsweise mittels eines Hackbacks.

KRITIS-Betreiberinnen, welche diese IT- und OT-Komponenten nicht einsetzen, scheinen dadurch sicher. Sofern nicht bei der Abfrage übersehen wurde, dass sie doch diese Komponenten einsetzen. Für die oben erwähnten mehreren tausend weiteren KRITIS-Betreiberinnen, die nicht nach BSI-Kritisverordnung bekannt sind, entsteht nun das gravierendes Risiko, dass die Versorgung der Zivilbevölkerung – im Extremfall sogar großflächig – ausfallen kann.

Stadtwerke in Städten wie Paderborn, Augsburg oder Bonn mit einer Einwohnerzahl um die 200.000 -250.000 Personen sind bereits betroffen, es sei denn sie versorgen noch ca. 300.000 Personen im Umland mit.

Die Befähigung zu offensive Cyber-Operationen als auch zum Hackback führt folglich zu einer Bedrohung der eigenen (kritischen) Infrastrukturen, verbunden mit dem Risiko möglicher Versorgungsausfälle in Deutschland. Besonders bei Betreiberinnen von kritischen Infrastrukturen, die nicht formal gesetzlich erfasst wurden und bei denen, die unterhalb der Schwellenwerte der BSI-Kritisverordnung agieren.

Die Risikoeinschätzung kann daher nur sehr unvollständig und damit absolut unzureichend vorgenommen werden oder involviert so umfassend viele Personen, dass die für einen Cyberangriff zur Gefahrenabwehr mittels z. B. Hackback erforderlichen Cyber-Wirkmittel nicht mehr geheim bleiben würden.

Zudem können Cyberangriffe nur auf eine Technologie zielen, aber nicht auf ein spezifisches Ziel wie ein Land oder eine Organisation. Ein Hackback kann potentiell jede Nutzung derselben Technologie weltweit treffen, auch wenn das nicht beabsichtigt ist.

Wer verantwortet den durch einen solchen Kollateralschaden möglichen Ausfall kritischer Infrastrukturen und die dadurch entstehende Gefährdung für Leib und Leben in der eigenen Zivilbevölkerung?

Unser Mitglied @HonkHase hat das Thema Hackback in diesem Vortragsauszug „Warum Hackback eine sehr schlechte Idee ist“ ebenfalls dargelegt.

Vortragsauszug „Warum Hackback eine sehr schlechte Idee ist“ von März 2022.

KRITIS Betreiber von schwerwiegender Citrix-Schwachstelle betroffen

/in /von

Update zum Thema: Was kann der Gesetzgeber aus dem Citrix-Vorfall lernen und für KRITIS Betreiber verbessern?

Das zentrale Zugriffsgateway des Herstellers Citrix, welches auch in Leitstellen für Polizei und Feuerwehr, in Krankenhäusern und Stadtwerken, aber auch in vielen Unternehmen zum Einsatz kommt, wird aktuell angegriffen und ausgenutzt. Dabei wird eine im Dezember 2019 bekannt gewordene Sicherheitslücke ausgenutzt, die es erlaubt, beliebigen Schadcode auf den IT-Systemen betroffener Unternehmen und KRITIS-Betreiber auszuführen. Das BSI bestätigt, dass es derzeit aktive Angriffe gegen anfällige Systeme gibt.

Im Dezember 2019, vor 23 Tagen, ist eine schwerwiegende Sicherheitslücke in Citrix Netscaler VPN Gateways bekannt geworden. Diese Schwachstelle erlaubt es einem Angreifer, beliebigen Code auf Systemen auszuführen und anschließend weiter in betroffene Infrastrukturen vorzudringen. Details hierzu wurden von Tripwire veröffentlicht. Der Angriff ist vergleichsweise einfach und entsprechende Angriffswerkzeuge bereits frei verfügbar. Es erfolgt zudem bereits eine aktive Ausnutzung – das heißt, dass anfällige KRITIS Betreiber bereits kompromittiert sein können.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits ab dem 07.01.2020 begonnen, Unternehmen in Deutschland zu informieren. Dennoch sind tausende von Systemen weiterhin anfällig und bieten Angreifern ein mögliches Einfallstor in deren Umgebungen. Zwar konnten seit dem 07.01.2020 bereits über 500 anfällige Systeme geschützt werden, allerdings sind laut BSI über 3.600 Systeme in Deutschland weiterhin anfällig. Unter den Betroffenen sind weiterhin auch Kritische Infrastrukturen.

Eine Recherche in entsprechenden Suchmaschinen für IT-Systeme (z. B. Shodan) ergibt, dass neben Baumarktketten und Automobilzulieferern auch KRITIS Betreiber mit unter denen dabei sind, die keine Gegenmaßnahmen umgesetzt haben. Dazu gehören unter anderem auch:

  • Kreisverwaltungen
  • Landwirtschaftskammern
  • Leitstellen für Polizei und Feuerwehr
  • Krankenhäuser
  • Stadtwerke

Die nachfolgenden Screenshots zeigen detaillierte Systeminformationen von ausgewählten Systemen, die über öffentlich verfügbare Suchmaschinen abgerufen werden können. Eine dieser Suchmaschinen ist Shodan – das Google für IT-Systeme. Diese durchsucht das Internet nach öffentlich erreichbaren Systemen und erlaubt es Benutzern nach bestimmten Attributen zu suchen. So können die anfälligen Systeme und die zugehörigen Organisationen auch einfach den KRITIS Unternehmen zugeordnet werden.

Ciritx Fail 1/3

Ciritx Fail 2/3

Ciritx Fail 3/3

Der Vorfall zu dieser Sicherheitslücke zeigt erneut, dass sowohl auf Seiten der Softwarehersteller, der KRITIS Betreiber und ihrer IT-Dienstleister, als auch bei den Behörden der Umgang mit Schwachstellen weiterhin verbessert werden kann und muss. Solange Betreiber und Behörden mit der Aktualisierung von verwundbaren Systemen hinterherhinken und sowohl Softwarehersteller als auch IT-Dienstleister Schwachstellen nicht umgehend beheben bzw. gar nicht erst erzeugen, solange sind dann eben auch die Angreifer den Verteidigern der Kritischen Infrastrukturen einen Schritt voraus. Ein direkter Zugriff auf wesentliche Anlagenteile in Kritischen Infrastrukturen ist zwar oftmals nicht möglich; sind aber Angreifer in der Lage, in der Umgebung eines KRITIS Betreibers Fuß zu fassen, so kann zumindest indirekt auch auf die Versorgungsleistung und Verfügbarkeit Einfluss genommen werden. Dies zeigen die durch Erpresser vorgenommenen Ransomware-Angriffe und dadurch bedingten Ausfälle auf Stadtverwaltungen, Versorgungsunternehmen, Universitäten und Krankenhäuser in den letzten Monaten.

Das BSI hat zwar betroffene KRITIS Betreiber und Unternehmen informiert, allerdings scheinen entweder die Organisationen und ihre IT-Dienstleister mit der Aktualisierung überfordert zu sein, die Dringlichkeit nicht verstanden zu haben oder die Informationen nicht die richtigen Adressaten gefunden zu haben. Ein sicherer Betrieb unserer Kritischen Infrastrukturen erfordert qualifiziertes Personal sowohl bei Behörden, als auch bei den Betreibern und ihren IT-Dienstleistern. Dies schließt auch ein, Schwachstellen bewerten zu können und zeitnah Korrekturmaßnahmen zu etablieren. Darüber hinaus müssen IT-Betreiber und ihre IT-Dienstleister sich mit der Frage der Haftung konfrontiert sehen. Werden die falschen Personen durch Behörden oder Sicherheitsforscher kontaktiert? Müssen Korrekturmaßnahmen wie Patchmanagement und zugehörige Konfliktpotentiale wie Einhaltung von SLAs in Vertragswerken beim Auslagerungsmanagement (Outsourcing) richtig adressiert werden? Sind aufgrund von Wochenenden oder Feiertagen wichtige Ressourcen nicht verfügbar? Dann müssen KRITIS-Betreiber,  Unternehmen und Behörden ihre Organisationsstrukturen und Maßnahmen überdenken und neu ausrichten.

Nicht nur die direkten Anlagen und Komponenten von Kritischen Infrastrukturen selbst müssen gemäß § 8a BSI-Gesetz nachweislich sicher betrieben werden, sondern auch die Systeme, die für den Zugriff auf die Infrastrukturen genutzt werden, beispielsweise für die Fernadministration. Dazu gehören insbesondere auch mit dem Internet verbundene Büro-Systeme von Administratoren, die einen Zugriff auf wesentliche interne Ressourcen zulassen.