Cyber-Angriffe: (Beinahe) ein Alltagsphänomen?
Die Welt um uns herum wird immer digitaler. Das Internet der Dinge (IoT) dringt zunehmend in unseren Alltag vor. Immer mehr Prozesse werden überführt und digital abgebildet bzw. nachgebildet, was auch beispielsweise an den allgegenwärtigen Smartphones zu sehen ist. Jedes digitale (smarte) Gerät sammelt Informationen, welche wiederum häufig auf Servern im Internet gespeichert werden. Damit entstehen immer mehr Daten, bzw. Datentöpfe.
Der Nutzen der Vernetzung webbasierter Dienste und der Austausch von Informationen zeigt sich in vielen Bereichen von Industrie 4.0 über Mobilität und Energie bis hin zu Gesundheit und Wohnen. Die Digitale Transformation ist eine grundlegende und tiefgreifende Veränderung der Gesellschaft und der Wirtschaft.
Die damit verbundene, immer weiter steigende Komplexität der IT, die Verlagerung von Geschäftsprozessen ins Internet, viele neue Technologien und Entwicklungen erzeugen dabei permanent neue Flanken für Cyber-Angreifer. Immer öfter ergeben sich weitreichende Möglichkeiten Informationen auszuspähen oder Prozesse zu sabotieren. Zudem rüsten Cyber-Angreifer kontinuierlich auf und entwickeln ihre Angriffsmethoden und -mittel rasant weiter. Dabei ist ein hoher Professionalisierungsgrad zu erkennen.
IoT: Willst Du ein S kaufen?
Bevor wir dieses oben beschriebene Szenario etwas näher betrachten, noch ein paar Anmerkungen zum Thema IoT-Devices: Das S in der Abkürzung IoT steht für Sicherheit. Dieser Running-Gag, gibt (leider) die Realität sehr gut wieder. So wie es kein S in IoT gibt, so sucht man häufig auch das Sicherheitsbewusstsein der Hersteller von IoT-Komponenten vergebens. Dieses ist oft nicht einmal im Ansatz erkennbar!
Das Internet der Dinge hat eine hohe Komplexität, die auch für erfahrene Entwickler eine Herausforderung darstellt. Außerdem erfordert die Integrationstiefe der IoT-Produkte oft ein Zusammenspiel von unterschiedlichen Fachspezialisten und Zulieferern. Industrie-Netze, Gebäudetechnik und diverse andere Anwendungen nutzen verschiedene Dialekte bei Feldbussen, Ethernet-Verkabelungen und drahtloser Kommunikation. Oft sind diese Standards herstellerspezifisch. So kennt allein das Industrial Ethernet sechs unterschiedliche Standards. Aber auch die Datenstrukturen von IoT-Geräten sind oft herstellerspezifisch und aus diesem Grund nicht zueinander kompatibel.
In dieser Gemengelage sind Fehlermöglichkeiten zu Lasten der Informationssicherheit und des Datenschutzes geradezu vorprogrammiert, wenn man sich als Hersteller keine Gedanken für eine langfristig tragfähige Konzeption gemacht hat.
Cyber-Angriffe: (Beinahe) ein Alltagsphänomen?
Aber nun wieder zurück zur aktuellen Bedrohungslage: Mehr als die Hälfte der Unternehmen in Deutschland (53 Prozent) wurden in den vergangenen beiden Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl. Dadurch ist ein Schaden von rund 55 Milliarden Euro pro Jahr entstanden. Das ist das Ergebnis einer Studie des Digitalverbands Bitkom, für die 1.069 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Branchen repräsentativ befragt wurden.
Ohne Informationssicherheit keine Digitalisierung
Digitalisierung kann nur gelingen, wenn die damit verbundenen Risiken beherrschbar bleiben. Nur so können die Chancen und Potenziale der Digitalisierung ausgeschöpft werden. Ohne das Vertrauen der Anwender in die Integrität und die Verlässlichkeit digitaler Lösungen wird es unmöglich, für diese Lösungen eine dauerhafte Akzeptanz zu schaffen.
Und genau an dieser Stelle zeigt sich das Dilemma: Die Herausforderung für die Hersteller, Betreiber und Anwender der digitalen Lösungen und Prozesse ist es, einen lückenlosen Schutz aufzubauen und zu erhalten. Wohingegen die jeweiligen Angreifer nur eine kleine Schwachstelle identifizieren und ausnutzen müssen. Denn die überwiegende Mehrheit erfolgreicher Cyberangriffe beruht auf nicht gut programmierter, schlecht gewarteter oder mangelhaft konfigurierter Software und Systemen.
Um die Widerstandsfähigkeit der digitalen Produkte oder Prozesse gegenüber Cyberbedrohungen zu steigern, ist es notwendig, die Anforderungen der Informationssicherheit im gesamten Lebenszyklus einer digitalen Lösung oder eines Prozesses im erforderlichen Umfang zu berücksichtigen. Also von der Planung und Konzeption, der Umsetzung, dem Betrieb bis hin zur Stilllegung.
In diesem Artikel gehe ich überblickartig auf die Phasen: Planung, Konzeption und Umsetzung ein. Da oftmals gerade dort entscheidende Versäumnisse bestehen, mit denen sich im Anschluss die Betreiber im Rahmen ihres Informationssicherheitsmanagements herumschlagen müssen.
IT-Security by Design: Informationssicherheit gehört in die Spezifikation
Bereits beim Design und der Planung müssen sicherheitsrelevante Anforderungen in den Spezifikationen der Anwendungen berücksichtigt werden. Denn gehört Security nicht zu den Design-Kriterien bei der Entwicklung, wird sie von den Entwicklern auch nicht abgearbeitet. Der Fokus der Architekten und Entwickler liegt gerade in dieser Phase primär auf den funktionalen Aspekten und Anforderungen der Anwendungen. Die meist nicht-funktionalen Anforderungen der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit, Nicht-Abstreitbarkeit, etc.) und die daraus abgeleiteten funktionalen Anforderungen, fallen dabei oft durch das Raster der Architekten.
An dieser Stelle ist es daher besonders wichtig, durch IT-Security by Design, die möglichen Sicherheitslücken, Schwachstellen und somit die Angriffsfläche von Anfang an zu reduzieren. Im Idealfall fließt der Sicherheitsaspekt so bereits in den Prototyp ein und wird durch alle weiteren Produktionsstufen mitgetragen. Die Hersteller verringern durch IT-Security by Design ihr Haftungsrisiko und die späteren Aufwände für die Produktpflege.
Auf Anwenderseite werden zukünftige Aufwände für Wartungsprozesse reduziert, da deutlich seltener Sicherheits-Patches erstellt, getestet sowie verteilt und installiert werden müssen. Dadurch vermindern sich die Kosten einer Software im Betrieb, was letztlich als gutes Verkaufs- und Marketinginstrument taugen kann.
DevOps trifft Informationssicherheit
Der Wunsch nach Security by Design ist allerdings einfacher formuliert, als in der Praxis umgesetzt. Denn gerade die oft verwendeten agilen Entwicklungsmethoden stellen die bisherigen eher sequenziell ausgerichteten Prozesse der Informationssicherheit vor die Herausforderung, mit dem Entwicklungstempo und den dynamischen Entwicklungsprozessen Schritt halten zu müssen.
Das bedeutet, dass hier sowohl auf Seiten der Entwickler und Architekten, als auch auf Seiten der Informationssicherheitsberater ein Umdenken erforderlich ist. Es muss diskutiert und bewertet werden, ob und wie sich eine (funktionale) Idee unter Sicherheitsgesichtspunkten überhaupt realisieren lässt. Wie muss die funktionale Sicherheitsanforderung aussehen und lässt sie sich konkret über alle relevanten Funktionen hinweg umsetzen?
Dabei kommt dem Risikomanagement-Prozess eine wesentliche Rolle zu. Denn man wird nicht immer alle Risiken vollständig kompensieren können. Gerade bei verbleibenden (Rest-)Risiken muss immer eindeutig sein wer das Risiko trägt und wie damit umgegangen wird. Insofern ist es notwendig, einen standardisierten und wirkungsvollen Risikomanagement-Prozess etabliert zu haben. Und diesen dann auch zu nutzen!
Typische Fragen betreffen beispielsweise in diesem Zusammenhang oft:
|
Sicherer Betrieb: Risikomanagement leben und weiterentwickeln
Wenn dann die Prozesse und IoT-Devices betrieben und genutzt werden, ist ein Informationssicherheitsmanagementsystem (ISMS) erforderlich, welches dazu dient, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.
So, oder so ähnlich kann man das an unzähligen Stellen in der Literatur nachlesen. Daher möchte ich hier nicht erneut das Thema ISMS in der Tiefe aufgreifen. Zu diesem Thema habe ich in der Vergangenheit bereits einige Blog-Artikel1 veröffentlicht.
Leider wird in der Praxis oft übersehen, dass besagtes ISMS bereits von Anfang an (in den Phasen Planung, Konzeption und Umsetzung) erforderlich ist und nicht erst in der Betriebsphase! Mir geht es in diesem Beitrag um einige Aspekte, die gerade im Zusammenhang mit dem Betrieb von IoT-Devices gar nicht oft genug gesagt werden können.
Wie bereits schon in der Entwicklungsphase festgestellt, ist die Update-Fähigkeit ein wesentliches Merkmal von IoT-Devices. Die Geräte müssen über eine gemäß dem Stand der Technik abgesicherte Schnittstelle (remote) updatefähig und managebar sein, sodass die Betreiber-Organisation Updates verteilen kann, um damit neu bekannt gewordene Schwachstellen schließen zu können. Auch hier ist wieder der Risikomanagement-Prozess der Betreiber-Organisation wichtig. Als Betreiber muss man zeitnah bewerten, in welchem Maß und in welcher Form man von Software-Schwachstellen betroffen ist.
Häufig ergibt sich daraus ein gestaffeltes Verfahren, sodass zeitnah die unmittelbar gefährdeten und direkt aus dem Internet oder von Fremdnetzen aus erreichbaren Devices gepatcht werden. In einem zweiten, zeitlich nachgelagerten Schritt, werden dann die restlichen Devices gepatcht. Oder aber man platziert ergänzende Maßnahmen im Umfeld der betroffenen Devices, um die Ausnutzung von Schwachstellen zu verhindern, wenn noch keine Patches des Herstellers zur Verfügung stehen oder man diese erst in der eigenen Umgebung testen muss.
Die Betreiber-Organisation kann bei diesem Vorgang viel über den Hersteller der jeweiligen IoT-Devices lernen, denn der Umgang des Herstellers mit dem Sachverhalt, lässt unmittelbar Rückschlüsse auf die Qualität und Güte von Entwicklungs- und Betriebsprozessen des Herstellers zu. Somit kann diese Information in den Beschaffungsprozess der Betreiber mit einfließen und u.a. ein zukünftiges Entscheidungskriterium sein, z.B. keine Komponenten von Herstellern zu kaufen, die ihrer Verpflichtung nicht mit der erforderlichen Qualität und Geschwindigkeit nachkommen.
Die Betreiber und Anwender müssen zukünftig umdenken: Ein erforderliches Security-Update bedeutet nicht, dass etwa das gerade gekaufte Gerät schon defekt ist. Es bedeutet vielmehr, dass der Hersteller verantwortungsvoll handelt und eine neu identifizierte Schwachstelle schließt.
1 https://ubdg.de/trends/ein-lokales-isms-fuer-die-cloud-nutzung;
https://ubdg.de/trends/eu-dsgvo-und-informationssicherheit
