Neuigkeiten aus der Zertifizierwelt
Neuigkeiten aus der Zertifizierwelt
Der Verfassungsschutz warnt vor gezielten Cyberattacken auf kritische Infrastrukturen in Deutschland. TÜV SÜD-Experte Alexander Häußler erläutert im Interview, wie die Betreiber von KRITIS sich darauf einstellen und wie sie sich wappnen können.
Deutschland befindet sich im Fadenkreuz von ausländischen Nachrichtendiensten, davon zeigt sich Verfassungsschutzpräsident Hans-Georg Maaßen in einem Interview mit dem rbb-Inforadio überzeugt. Ihr Ziel sei es derzeit, „sabotagevorbereitende Maßnahmen durchzuführen“, indem sie Schadsoftware in kritischen Infrastrukturen (KRITIS) in Deutschland implementieren. Im Falle einer politischen Auseinandersetzung könnten Cyberangreifer die Malware scharf schalten. Maaßen zufolge bietet Deutschland eine große Angriffsfläche, „weil vieles, wenn nicht sogar mittlerweile fast alles, mit dem Internet vernetzt ist und unser Gegner nur eine einzige Schwachstelle braucht, um uns zu treffen.“ Aber wie können sich Unternehmen schützen? Antworten gibt TÜV SÜD-Experte Alexander Häußler.
Das ist meiner Meinung nach von Branche zu Branche sehr unterschiedlich. Im Bereich Energie ist das Bewusstsein, dass man zum Angriffsziel ausländischer Geheimdienste werden könnte, schon sehr ausgeprägt – in den Bereichen Ernährung und Transport eher noch nicht. Speziell in diesen Sektoren ist dem einen oder anderen noch nicht klar, dass es interessant sein könnte, in seinem Unternehmensnetzwerk Unruhe zu stiften.
Man sollte es der Gegenseite zumindest so schwer wie möglich machen, indem man sich vorab überlegt, welches die betriebskritischen Systeme oder wichtige Informationen im Unternehmen sind. Um diese zu schützen, gilt es, konsequent eine gestaffelte Tiefenverteidigung mit möglichst vielen Schutzwällen aufzubauen.
Am einfachsten ist der Zugriff über den Faktor Mensch per Phishing-E-Mails, in denen üblicherweise etwas versprochen oder angedroht wird. Geht man von einem ausländischen Geheimdienst aus, der eine kritische Infrastruktur angreifen möchte, dann sind solche E-Mails sicher nicht mehr an Schreibfehlern oder fehlerhaftem Deutsch erkennbar – das sind die bekannten Warnsignale bei Massen-Phishing-Mails. Solch hochprofessionelle Phishing-Mails enthalten sehr spezifische Informationen über die Person und das Unternehmen, an die sie gerichtet sind. Um zu überzeugen, verwenden Angreifer alles, was sie finden können – von Hobbies über eingesetzte Produkte bis zu geläufigen Problemen im Unternehmen.
Es gibt zwei sehr gute Ansatzpunkte. Zum einen auf technischer Ebene: Die Personen sollten im Unternehmen wirklich nur darauf Zugriff haben, was sie für ihre Arbeit benötigen. Das schränkt das Risiko im Ernstfall deutlich ein. Zum anderen gilt es, das entsprechende Bewusstsein zu schaffen, die „awareness“. Die Mitarbeiter müssen für mögliche Gefahren sensibilisiert sein. Und sie müssen wissen, welches Verhalten in Verdachtsfällen von ihnen erwartet wird. Das sollte die obere Führungsebene vorleben, so dass jeder Mitarbeiter lieber einmal zu oft nachfragt, ob eine Nachricht tatsächlich von dem genannten Absender stammt oder nicht.
Die Erfahrung zeigt, dass dies sehr lange dauern kann. Es gibt sogenannte „advanced persistant threats“, zu Deutsch „fortgeschrittene, andauernde Bedrohungen“. Diese schleust der Angreifer gezielt ins Unternehmen. Sie verhalten sich ruhig, sind damit kaum auffindbar und können über lange Zeit unentdeckt im Unternehmen existieren. Die einzige gute Möglichkeit, einen solchen Eindringling zu finden, ist, sich grundsätzlich zu überlegen: Was ist in meinem Unternehmen, in meinem Netzwerk normal? Alles, was von dieser Normalität abweicht, muss als Angriff gewertet und geprüft werden.
Insbesondere die ISO 27001 für Informationssicherheit rückt das Thema Risikobetrachtung klar in den Vordergrund. Im Rahmen eines standardmäßigen Managementsystems muss sich ein Unternehmen systematisch mit allen bestehenden Risiken auseinandersetzen, identifizieren, welches die wichtigen Assets sind, und darauf aufbauend Maßnahmen ableiten, um diese „Kronjuwelen“ zu schützen. Wichtige Hilfestellungen liefert dabei insbesondere Anhang A der ISO 27001.
Und man muss sich klar machen: Die Art der Bedrohung entwickelt sich immer weiter. Wer also als mögliches Ziel eines Cyberangriffs dasteht, muss hier mitgehen, um nicht schleichend in Rückstand zu geraten. Ein Managementsystem nach ISO 27001 zwingt das zertifizierte Unternehmen durch den PDCA-Zyklus regelmäßig dazu, darüber nachzudenken, welche Maßnahmen ergriffen wurden, ob diese nach wie vor ausreichen, inwiefern sich das Umfeld verändert hat und ob Anpassungen notwendig sind.
Die Betreiber von KRITIS müssen gegenüber dem BSI einen Nachweis nach § 8a BSIG liefern, dass sie sich an den Stand der Technik halten. Auch hier liefert die ISO 27001-Zertifizierung eine gute Ausgangsposition. Zudem unterstützt TÜV SÜD KRITIS bei der Nachweisführung. Ergänzend gibt es bei der TÜV SÜD Akademie Schulungsmöglichkeiten im Bereich ISO 27001 und auf technischer Ebene.
Die TÜV SÜD Sec-IT GmbH bietet Penetrationstests, die Schwachstellen in den getesteten Systemen ans Licht bringen. Auf dieser Basis kann man tiefer graben und die Ursache analysieren. Denn Schwachstellen sind meist das Ergebnis einer Prozessschwäche im Hintergrund. Wenn beispielsweise ein Patch nicht aufgespielt wurde, dann darf es nicht nur darum gehen, dies mal eben nachzuholen. Man muss den Grund dafür herausfinden, um sicherzustellen, dass eine solche Lücke in Zukunft nicht mehr entsteht. Ein Penetrationstest ist eine hervorragende Möglichkeit, um Prozessschwächen aufzuspüren.
In der ursprünglichen Gesetzesbegründung zum IT-Sicherheitsgesetz war die Rede von circa 2.000 KRITIS-Betreibern. Nach aktuellen Schätzungen sind es 1.700 bis 1.800 Unternehmen, die von der BSI-Verordnung betroffen sind. Aber: Diese haben auch Zulieferer, Dienstleister, Kunden oder Partner, die wiederum oft genug Zugriffspunkte auf das Netz des KRITIS-Betreibers haben. Je kleiner ein Unternehmen ist, umso weniger Möglichkeiten hat es, sich sinnvoll zu schützen – ein interessanter Weg für Angreifer, um in die kritische Infrastruktur vorzudringen.
Selbstverständlich. Und er entscheidet, welche Lieferanten er haben möchte. Die ISO 27001 gibt auch zum Thema Lieferantenauswahl und -monitoring einen Handlungsrahmen vor. Jedes Unternehmen sollte überlegt haben, welches Risiko mit der Anbindung von externen Lieferanten verbunden ist. Und es sollte einen klar definierten Zugang sowie standardisierte Verfahren einrichten, über die Lieferanten und Sub-Lieferanten ans Unternehmensnetzwerk angebunden werden. Auch hier empfiehlt sich das Prinzip des geringstmöglichen Zugriffs.
Danke für das Gespräch.
Weitere Infos finden Sie auf unserer Webseite:
TÜV SÜD Ansprechpartner: Alexander Häußler, Product Compliance Manager, TÜV SÜD Management Service GmbH