Beiträge

BMI rettet die fristgemäße Umsetzung des OZG durch schwächstmögliche Verordnung zur IT-Sicherheit

Das BMI hat nun endlich die Verordnung zur Gewährleistung der IT-Sicherheit der im Portalverbund und zur Anbindung an den Portalverbund genutzten IT-Komponenten (ITSiV-PV) erlassen. Diese Verordnung ist die Verordnung, die in §5 des Onlinezugangsgesetz versprochen wurde.

Am 20. September 2020 schrieben wir dazu noch:

Das Onlinezugangsgesetz (OZG) trat am 18. August 2017 in Kraft. Es regelt, dass bis zum 31.12.2022 die Umsetzung abgeschlossen sein muss. Der Gesetzgeber hat den Ländern also 1961 Tage oder auch 5,37 Jahre gegeben, die 578 Verwaltungsdienstleistungen, geteilt in 14 sog. „Lebensbereiche“ digital abzubilden.
Nun sind von den 1961 Tagen Projektdauer bereits 1115 Tage (Stand 06.09.2020) verstrichen. Das sind 56,8% der gesamten Projektdauer, ohne das festgelegt wurde, welche IT-Sicherheits-Standards beachtet werden sollen. Selbstverständlich haben die Länder und die Kommunen bereits angefangen, Software zu entwickeln.
Es ist zu befürchten, das ein Großteil dieser bisher geleisteten Arbeit der Länder und Kommunen „für die Tonne“ ist – denn wie sollen sich Softwareentwickler an Standards halten, wenn nicht feststeht, welche Standards das sind? (Quelle)

Die Verordnung trat am 20.01.2022 in Kraft. Zu diesem Zeitpunkt waren 83% der Projektdauer bereits verstrichen und nur noch 345 Tage Zeit, bis die Umsetzung abgeschlossen sein muss.

Unsere früheren Befürchtungen, dass bereits entwickelte Software grundsätzlich geändert werden muss, sind nun nicht eingetreten – weil IT-Sicherheit so wenig und so schwach berücksichtigt wird, dass die halbherzige Umsetzung einiger weniger IT-Sicherheitsmaßnahmen nun effektiv auf Anfang 2024 verschoben wurde. Weiterlesen

Twitterfrage zu Bestrebungen in Richtung Zertifizierung oder Anforderungen bei IT & OT

Während des Vortrags auf dem 94. netzpolitischen Abend der Digitalen Gesellschaft erreichte uns diese Frage auf Twitter:

Die Beantwortung passt nicht in 260 Zeichen, deswegen haben wir hier kurz gebloggt. Vielen Dank an unser Mitglied Clarity für das spontane Verfassen des Beitrags.

KRITIS-Betreiber sind jetzt schon dazu angehalten, Sicherheitsmaßnahmen nach „Stand der Technik“ umzusetzen – das kann auch die ausschließliche Verwendung von (ggf. zertifizierten) Geräten von vertrauenswürdigen Herstellern umfassen. Dies ist jedoch noch nicht bei jeder kritischen Infrastruktur umgesetzt.

Einzelne Branchen verfügten bereits vor der KRITIS-Gesetzgebung über eigene Zertifizierungsverfahren, um Geräte zu prüfen; oft gibt es auch Standards und Normen, die sich mit KRITIS-Regulatorik zumindest überschneiden (beispielsweise standardisierte Signalsicherung für Ampeln, die Konflikt-Grün verhindert o.ä.). Auch für #SCADA bzw. #IoT-Geräte im Industrieumfeld gibt es einschlägige Normen wie die DIN EN IEC 62443-Reihe, welche technische Anforderungen an ebenddiese Geräte stellen. Auch offizielle Stellen empfehlen beispielsweise die Nutzung dieser Norm.

Im neuen Entwurf zur Resortabstimmung des IT-Sicherheitsgesetzes 2.0 gibt es den Paragraph 9b „Untersagung des Einsatzes kritischer Komponenten nicht vertrauenswürdiger Hersteller“, welcher aber eher auf Backdoors (dein zweiter Tweet) abzielt. Laut dem Entwurf soll (a) der Einbau von kritischen Komponenten beim @BMI_Bund angezeigt werden (b) der Hersteller einer solchen Komponente eine Garantieerklärung über die „Backdoorfreiheit“ abgeben und (c) das BMI den Einbau bestimmter Komponenten verbieten können, wenn der Lieferant nicht vertrauenswürdig ist. Die Probleme daran haben wir in unserer Stellungnahme verlinkt.

Konkrete technische Anforderungen (zum ersten Tweet) gibt es in den Gesetzen, abseits der Stand-der-Technik-Verpflichtung, nicht.

Implikationen für KRITIS durch Schwachstelle in Microsoft Krypto-Bibliothek

Update zum Thema: Was kann der Gesetzgeber aus dem Citrix-Vorfall lernen und für KRITIS Betreiber verbessern?

Was haben elliptische Kurven, Zertifikate und Windows-Updates mit Kritischen Infrastrukturen zu tun?

Mehr als man zunächst denken mag.

Was ist passiert?

Am 14. Januar 2020 veröffentlichte Microsoft ein Update, das bereits im Vorfeld viel Aufmerksamkeit erhalten hat. Der amerikanische Geheimdienst NSA hatte den Softwarehersteller auf einen Fehler aufmerksam gemacht, sodass die Schwachstelle behoben werden kann.

Bei der Schwachstelle (CVE-2020-0601, auch bekannt als #curveball) handelt es sich um einen Fehler in der Überprüfung von kryptographischen Zertifikaten. Zertifikate werden unter anderem für die Validierung von Softwarepaketen und -updates oder HTTPS-Verbindungen verwendet. Der Fehler ist in einer Microsoft Windows Standardbibliothek entdeckt worden und betrifft daher gleichzeitig auch viele andere Programme. Bei bestimmten kryptographischen Methoden wird ein eigentlich ungültiges Zertifikat als trotzdem gültig gekennzeichnet – eine eigentlich nicht vertrauenswürdige Verbindung, wird vertrauenswürdig oder ein Softwarepaket bzw. Update erhält den Eindruck, es kommt von einer vertrauenswürdigen Quelle. Neben Webseiten und Programmen kommen Zertifikate aber auch bei der Signatur und Verschlüsselung von E-Mails zum Einsatz. Outlook nutzt bei S/MIME Zertifikate – diese können ebenfalls gefälscht werden. Benjamin Deply hat hierzu ein entsprechendes Video veröffentlicht.

Details können der entsprechenden Veröffentlichung der amerikanischen Regierung entnommen werden. Die kryptographischen Details hat Tal Be’ery analysiert. Die Schwachstelle wird auch unter dem Namen ChainOfFools (Zertifikatsketten) oder CurveBall (elliptische Kurven) geführt.

Innerhalb weniger Tage ist von Forschern bereits ein entsprechender Angriff entwickelt und veröffentlicht worden, der fehlerhafte, aber gültige Zertifikate erstellt. Erste Schadsoftware wurde identifiziert, die mit vermeintlich gültigen Zertifikaten signiert worden ist.

Implikationen für KRITIS

Kryptographische Verfahren sind für einige KRITIS Betreiber auf dem ersten Blick eher von nachrangigem Interesse. Bestimmte Branchen wie Banken oder Telekommunikation nutzen Krypto als Teil ihres Geschäftsmodells oder sind bereits seit Jahrzehnten zur Verschlüsselung gezwungen. Es ist davon auszugehen, dass diese Branchen ein erhöhtes Augenmerk auf die oben genannte Schwachstelle haben.

Die Schwachstelle betrifft aber alle Betreiber und Internetanwender – nicht nur die, die Bank- oder Telekommunikationsdaten verschlüsseln. KRITIS Betreiber verwenden natürlich auch das Internet und verschlüsselte Verbindungen für einen gesicherten Datenaustausch. HTTPS (also verschlüsselte Internetverbindungen) beruht auf Vertrauen. Von zentralen vertrauenswürdigen Instanzen werden Zertifikate ausgegeben, die validiert werden können. Auf Basis der Validierung können Betreiber zwischen betrügerischen Webseiten bzw. Angreifern und dem eigentlichen Kommunikationspartner unterscheiden. Diese Validierung ist auf einem ungepatchten und somit anfälligen Windows System nur noch eingeschränkt möglich und es werden ggf. Daten durch einem unbefugten Dritten ausgetauscht oder heruntergeladen.

Zertifikate als Vertrauensanker und die Validierung dieser wird nicht nur bei HTTPS-Verschlüsselung eingesetzt, sondern auch im Umfeld von signiertem Programmcode. Entwickler können entsprechende Signaturzertifikate beantragen, um die Herkunft und Integrität ihrer Software bestätigen zu lassen. Setzen Unternehmen für kritische Geschäftsprozesse auf signierte oder verschlüsselte E-Mails können diese durch gefälschte E-Mail-Signaturen gestört werden.

Falsche Validierung wiederum eröffnet die Möglichkeit eines Supply-Chain-Angriffs. Die Kompromittierung der ukrainischen Softwarefirma MeDoc führte durch manipulierte Updatepakete zu einer der größten Ransomware-Infektionen weltweit. Nutzen nun Lieferanten für Kritische Infrastrukturen entweder keine Signatur oder validieren Betreiber diese unzureichend, so können Angriffe auf KRITIS erfolgen, ohne die Betreiber direkt anzugreifen. Die Schwachstelle erlaubt es einem Angreifer, Software gültig zu signieren, selbst wenn die Software manipuliert wurde.

KRITIS-Unternehmen, die das Microsoft Update nicht eingespielt haben, laufen daher dringend Gefahr, dass schädliche oder manipulierte Software einen legitimen Eindruck macht und deshalb innerhalb ihrer IT-Landschaften ausgeführt wird.

Gegenmaßnahmen

Wie bei fast allen öffentlich bekannt gewordenen Schwachstellen ist die erste Gegenmaßnahme die Evaluierung von Risiken im Patchmanagement-Prozess und anschließend zumeist das zeitnahe Einspielen der verfügbaren Sicherheitsaktualisierungen des Herstellers. Microsoft hat koordiniert aktualisierte Pakete bereitgestellt, die durch Kunden bzw. deren Systemadministratoren installiert werden müssen. Patchmanagement und Systemaktualisierungen in Kritischen Infrastrukturen ist ein sehr komplexes Thema, das an dieser Stelle nicht weiter vertieft werden soll. KRITIS Betreiber nutzen zum Teil weiterhin alte, nicht mehr unterstützte und nicht sichere Software – beispielsweise aufgrund von Legacy Komponenten in der Produktionsumgebung – und setzen sich und anderen damit stärker den Gefahren von Cyber-Angriffen aus.

Zulieferer für Kritischen Infrastrukturen sollten sich ihrer Supply-Chain-Verantwortung bewusst sein. Gerade in so einer Umgebung ist es notwendig, im Rahmen des Patchmanagements Aktualisierungen und Softwareverteilung auf Integrität und Herkunft zu prüfen. Dies erfordert, dass die Hersteller entsprechende Signaturen implementieren, die Betreiber müssen diese Signaturen aber auch auf Gültigkeit prüfen.

Politische Forderungen

Was kann der Gesetzgeber von diesem Vorfall lernen und für uns alle verbessern?

Quellcode Open Source oder in treuhänderischer Verwaltung

Schwachstellen in (insbesondere komplexer) Software können nie ausgeschlossen werden, daher empfiehlt sich immer ein geregeltes Patchmanagement im Rahmen eines etablierten Informationssicherheitsmanagementsystems (ISMS) – wie es auch über § 8a Abs. 1 BSIG als Stand der Technik gefordert und in  branchenspezifischen Sicherheitsstandards (B3S) nach § 8a Abs. 2 enthalten ist. Für sicherheitskritische Komponenten sollten jedoch höchste Standards gefordert und im Idealfall auch überprüfbar gemacht werden.

Durch Open Source oder treuhänderische Verwaltung von Quellcode und ggf. zugehöriger Patente kann die Überprüfbarkeit als auch eine sichere und dauerhafte Weiternutzung der Software gewährleistet werden, sofern der Hersteller irgendwann einmal nicht mehr verfügbar ist (Stichwort Insolvenz). Es sollte nicht dem Zufall oder den Interessen einzelner Institutionen überlassen werden, dass sicherheitsrelevante Software überprüft und weitergenutzt werden kann.

Gesetzlich verpflichtendes Patchmanagement

KRITIS Betreiber können häufig nicht ihre eigene Software für Spezialanwendungen schreiben und müssen diese zukaufen. Wir fordern daher neben der Veröffentlichung des Quellcodes, oder aber der treuhänderischen Verwaltung des Quellcodes eine gesetzliche Verpflichtung der KRITIS-Betreiber, Aktualisierungen und Softwareverteilung auf Integrität und Herkunft zu prüfen, aber auch binnen einer vorgegebenen und Bußgeldbewehrten Frist, Empfehlungen des BSI umzusetzen. Dies erfordert, dass Hersteller entsprechende Signaturen implementieren. Unsignierte Software, die nicht Open Source ist, und wo sich der Quellcode nicht in treuhändischer Verwaltung befindet, darf im KRITIS-Umfeld unserer Meinung nach nicht eingesetzt werden.

Responsible Disclosure von Schwachstellen – verpflichtend auch für Sicherheitsbehörden!

Die Schwachstelle wurde initial durch die NSA an Microsoft gemeldet, sodass eine Fehlerbehebung vorgenommen werden kann. Ein Meldeverfahren zur Behebung von Schwachstellen durch den Hersteller sollte auch für alle deutschen Sicherheitsbehörden verpflichtend vorgegeben sein – werden Schwachstellen an unsere Sicherheitsbehörden gemeldet, durch diese ermittelt oder anderweitig Kenntnis davon erlangt, so dürfen diese nicht für offensive Angriffe verwendet werden, da der Schutz der Kritischen Infrastrukturen im Vordergrund stehen muss. Responsible Disclosure und das Beheben von Schwachstellen trägt wesentlich zu einer sicheren und stabilen digitalen Gesellschaft bei, als das Zurückhalten und Ausnutzen von Schwachstellen.

Ist ein angemessener Schutz von digitalen Cyberwaffen möglich?

Wie lange die Sicherheitslücke dem staatlichen Akteur bekannt war ist nicht öffentlich bekannt. Die vergleichbar kritische Schwachstelle EternalBlue wurde vermutlich von der NSA Spezialeinheit Tailored Access Operations über fünf Jahre lang zurückgehalten und für eigene Angriffe (aktive Cyber-Abwehr oder auch Hack-Back) genutzt. Man hat diese digitale Cyberwaffe mit vielen anderen gehortet aber es nicht geschafft, diese Sammlung so zu sichern, dass kein anderer daran gelangen konnte und eine Sammlung an digitalen Cyberwaffen der NSA sind inzwischen öffentlich gewordenen.

Daher wurden auf Basis dieses NSA-Expoits die Erpressungstrojaner WannaCry und anschließend NotPetya entwickelt, die unter anderen auch die Institutionen Telefónica, FedEx, Deutsche Bahn und Schenker, Sandvik, Beiersdorf, Maersk, Rosneft oder auch Mondelez usw. betroffen und Schäden in Millionenhöhe verursacht haben.

Ransomware lähmt Unternehmen, Verwaltung und Kritische Infrastrukturen

Die Meldungen von Institutionen, die teilweise tagelang vom Internet getrennt waren bzw. sich als Maßnahme zur Schadensreduktion selber vom Internet getrennt haben, häuften sich zum Jahresende 2019. Viele der Vorfälle waren auf die Schadsoftware Emotet und die damit in Verbindung stehenden Malware-Familien zurückzuführen. Nach fast zwei Wochen „Urlaub“ ist Emotet zurück und infiziert erneut Institutionen und Privatpersonen auf der ganzen Welt. Selbst ein anschauliches Video einer Infektion der initialen und unsichtbaren ersten Schadsoftware ist verfügbar. Das Perfide daran ist, dass Betroffene erst den Angriff bemerken, wenn die Verschlüsselung bereits begonnen hat. Die Dunkelziffer von Betroffenen, die keine Mitteilung machen, ist vermutlich sehr hoch.

Allein im November und Dezember 2019 waren unter anderem folgende KRITIS-Sektoren durch Emotet-Angriffe betroffen:

  • Staat und Verwaltung
    • Stadtverwaltung Frankfurt
    • Kammergericht Berlin
    • Bundesanstalt für Immobilienaufgaben
  • Gesundheit
    • Klinikum Fürth
    • Universität Gießen
    • Spital Wetzikon (Schweiz)
  • Telekommunikation
    • Everis (Spanien)
  • Medien
    • Rundfunksender Cardena SER (Spanien)
  • Transport und Verkehr
    • RavnAir (USA)
  • Energie
    • Stadtwerke Langenfeld

Eine kontinuierlich gepflegte Liste von Ransomware-Infektionen führt der Twitter Nutzer @GerritOpper.

Ursachen für Ransomware-Infektionen

Als ein Beispiel für eine entsprechende Schadsoftwareinfektion kann die mit Emotet in Verbindung stehende Malware-Familie genannt werden. Diese dringt initial über ein Office-Dokument mit Makros in ein Netzwerk ein. Makros sind aktiver Code, der in Word, Excel und ähnlichen Dokumenten eingebunden werden kann. Derartiger Code wird bereits seit Jahrzehnten für die Verteilung von Schadsoftware verwendet, hat aber in den letzten Jahren eine Renaissance erlebt.

Folgende Ursachen erleichtern diese Art der Infektion:

  • Die Standard-Einstellungen der Microsoft-Produkte ermöglichen das Ausführen von Code in Makros. Die erscheinenden Warnungen sind viel zu unauffällig und werden so vom Benutzer ignoriert. Viele Organisationen wollen diese Standardeinstellungen nicht anpassen.
  • Eine Software-Monokultur fördert die Verbreitung. Mit den Vorteilen der Standardisierung geht der Nachteil einher, dass ein Angreifer ebenfalls Skaleneffekte nutzen kann. Wenn ein Angriff fertig entwickelt wurde, kann er weltweit zum Einsatz kommen.
  • Benutzer wurden nicht oder nur unzureichend für das Thema sensibilisiert. Die Awareness für Gefahren und die Konsequenzen des Zulassens aktiver Inhalte in Office-Dokumenten ist noch ausbaufähig.
  • Die IT-Abteilungen setzen Sicherheitsmaßnahmen nach Stand der Technik nur unzureichend um, Filter für eingehende E-Mails würden in Verbindung mit restriktiven Regeln eine Infektion wirksam verhindern. Die Weiterverbreitung innerhalb der betroffenen Institution wird durch unzureichende Regeln für die IT-Administration erleichtert.

Technische Details und Hintergründe zu Emotet, auch im Zusammenspiel z.B. mit Trickbot und Ryuk sind von Thomas Hungenberg aus dem CERT-Bund des BSI veröffentlicht worden.

Warum sind gerade Krankenhäuser, die öffentliche Verwaltung und Universitäten (nicht KRITIS) betroffen? Die Ursachen sind sicherlich vielfältig. Unter anderem wurde aber in den letzten Jahren so an der IT und dem Personal als auch der Ausbildung selbiger gespart bzw. andere Prioritäten gesetzt, dass ein erheblicher „Schuldenberg“ bezüglich der Umsetzung von Sicherheitsmaßnahmen entstanden ist.

Forderungen für KRITIS

KRITIS-Betreiber sind nach § 8a BSI-Gesetz dazu verpflichtet, Sicherheitsmaßnahmen nach Stand der Technik umzusetzen. In der Praxis erfolgt diese Umsetzung allerdings nur sehr schleppend. Insbesondere auch, weil Sanktionen und eine effektive Prüfung fehlen. Hier müssen andere Kontrollmöglichkeiten als die im Moment üblichen und weitestgehend folgenlosen Überprüfungen (alle zwei Jahre) gefunden werden.

Die Bewältigungskapazitäten sind insgesamt zu gering, wenn sich die Fälle weiter häufen. Institutionen sind schlichtweg überfordert, wenn die gesamte Institution oder Teile davon nicht mehr arbeitsfähig sind. Dies geht aber über gewöhnliche IT-Sicherheit und -Betrieb hinaus. Ein effektives und erprobtes Business Continuity Management muss in der heutigen Zeit zur Steigerung der Resilienz auch den Ausfall von IT-Infrastruktur durch Schadsoftware beinhalten. Wie lange dauert es, Backups wieder einzuspielen wenn die restliche Infrastruktur offline ist? Wenige Organisationen können hier eine belastbare Aussage treffen.