Seit KRITIS-II und NIS-II das Bewusstsein der Entscheider erreicht haben, wird vermehrt auf die Informatiossicherheit, vor allem aber auf die Cybersecurity, geachtet. Die Absicht des Gesetzgebers scheint erreicht. Die strukturkritischen Informationssyteme genießen eine besondere Aufmerksamkeit. In Zeiten der Industrie 4.0 und der fortschreitenden Digitalisierung aller Lebensbereiche ist dieser Schritt unumgänglich.
Die digitale Erpressung mit Hilfe von Ransomware verursacht hohe Schäden sowohl in Privatunternehmen als auch bei staatlichen Einrichtungen. Backups wie z.B. unser Secure online B@ckup sind Vorsorgemaßnahmen mit dem Ziel der Schadensbegrenzung. Doch ein Backup ist nicht das einzige Mittel des Schutzes der IT. Daneben gibt es viele akute und präventive Maßnahmen, die den Verlust oder Leak von Daten begrenzen sollen. Dazu zählt man die Härtung der Systeme (Updates, Firewall, Verzicht auf nicht benötigte Software und Dienste) und die Detektion von Anomalien (Deep Package Inspection in Routern und Firewalls, regelmäßige Netzwerk-Scans und Überwachung auf Virenbefall). Jedes davon begegnet einem bestimmten Risiko, welches in der Schutzziel-Analyse erkannt wurde. Eine solche ist in den meisten Informatonssicherheitsmanagementsystemen (ISMS) enthalten und soll die allgemein gehaltene Anforderung in messbare (vgl. ISO 27001, Punkt 9.1), logisch zusammenhängende Einheiten herunter brechen. (Eine nützliche Liste für eine Analyse und den Umgang mit Risiken bietet BSI-Standard 200-3.) Die Maßnahmen müssen dem Risiko angemessen sein. Jedoch welche es sein sollen, muss genau abgewogen werden.
Die allgemeinen Empfehlungen sind zu indifferent und führen bei unüberlegter Umsetzung zu wenig sinnvollen Forderungen wie z.B. „Backup aller Geräte, die einen Datenträger beinhalten“. Server, PCs und Smartphones eines Betriebes können wichtige „Systeme mit Datenträger“ sein und und sind deshalb als solche zu sichern. Es gibt jedoch eine ganze Reihe an Geräten, die Datenträger haben aber nicht gesichert werden können: Drucker, Messgeräte, Router etc. Hier scheidet sich Spreu vom Weizen und der Kenner vom Theoretiker. Denn in der Praxis sind es nicht nur „undurchführbare“ Tätigkeiten, sondern oftmals kontraproduktive Ansätze, die dem Ausfallrisiko in die Karten spielen.
In den meisten Anfragen zur „Selbstauskunft des Dienstleisters“ durch unsere KRITIS-Kunden werden wir sehr allgemein nach „Virenschutz“ gefragt. Diese Frage mit Ja oder Nein zu beantworten ist in etwa genauso exakt wie es mit der berühmten „42“ gewesen wäre. Die volle Antwort muss eigentlich lauten: „Der E-Mail-Server und alle Windows-Systeme verfügen über ein aktuelles Virenschutzsystem. Andere Systeme werden mit anderen Mitteln überwacht. Die Schadensbegrenzung erfolgt auf anderem Wege wie z.B. durch Härtung, separierte Netze, Versionierung der Dateisysteme, Detektion und Zugriffs-Rollenmodell.“ Mit einem Mail-Scanner und einer Echtzeit-Systemüberwachung von Windows-Rechnern fangen wir Schätzungsweise über 95% der Risiken des Einschleusens ab. Das Gefahrenbewustsein durch regelmäßige Datenschutz- und Informationssicherheitsschulungen erhöhen die präventiven Maßnahmen in Summe um weitere 2-3%. Dass es präventiv niemals einen 100%-Schutz geben wird, dürfte jedem Kenner der Materie bekannt sein. Einem kleiner Restbereich an kalkulierbaren Risiken muss mit akuten oder „wiederherstellenden“ Methoden begegnet werden.
Eine einzelne Maßnahme währt nur eine ganz bestimmte Gefahr ab. Ihr Wirksamkeitsgrad sollte über 50% betragen aber nicht in allen Szenarien wird sie an die 100% heran kommen. Im Fall von Virenscannern, die einige Cyber-Versicherungen blind fordern, werden auf den von uns aufgebauten OracleDB-Servern die ca. 10% des Schutzes mit schätzungsweise 20% Ausfallrisiko durch Komplikationen in internen Abläufen zwischen Virenscanner, Dateisystem und Anwendung erkauft. Schlimmer noch: der Hersteller der Anwendung schließt oftmals in den Allgemeinen Geschäftsbedingungen die Haftung für Fälle aus, die durch den Einsatz von Anti-Viren-Software entstanden sind. Die Firma Oracle ist bezüglich des Supports restriktiv und lehnt Anfragen ab, die im Zusammenhang mit nicht zertifizierter Software stehen und die Richtlinie von Oracle nicht umsetzen. Für uns als Dienstleister ist es häufig unmöglich, den Einfluss von überwachenden Hintergrunddiensten als Ursache zu widerlegen. Bereits den Zusammenhang zu erkennen bedeutet eine nicht unerhebliche Investition an Zeit, denn die Fehlermeldungen können eine ganze Palette an Ursachen haben.
Deshalb verfolgen wir den Grundsatz der Härtung statt der Detektion im laufenden System. Die stets aktuellen Systeme – abgeschottet per Firewall des Betriebssystems – und minimalisierten Diensten im Einsatz bei einigen großen Kunden scheinen uns Recht zu geben. Erst neulich hat ein Fall sehr eindrücklich vor Augen geführt, dass die strikte Trennung zwischen Datenbanken, Benutzer- und Steuerungssytemen ein probates Mittel der Abwehr sei. Die Datenbank als Datenlieferant überlebte den Angriff unbeschadet. Dabei war das Linux-Betriebssystem ohne schwerwiegende Schwachstellen und die Datenbank noch nicht für den neuesten Softwarestand freigegeben. Die Beschränkungen der Zugriffe aus dem Steuerungssystem und Ausschluss eines Großteils der Benutzer-PCs durch geteilte Netze und Firewalls minimierte entscheidend die Angriffsfläche. Als Datenbankdienstleister sehen wir ganz andere Gefahren, die von keinem Virenscanner erkannt würden: Die Datenmanipulation. Hier lauert die Gefahr meist in der Auftrags- und Steuerungssoftware, die mit validen Anmeldedaten des Benutzers arbeitet. Sowohl Gefahren für die hoch spezialisieren Programme als auch durch die Industriespionage können nur durch Heuristiken oder KI erkannt und verhindert werden, denn ein Auftragshacker möchte möglichst unbemerkt Daten gewinnen und vermeidet bereits bekannte Angriffsvektoren.
Nach dem gleichen Grundsatz gehen wir bei der PostgreSQL-Appliance vor. Aktuelle Software und die unbedingt notwendige Dienste – eingeschränkt auf die benötigten Einsatzgebiete – als ein Docker/Podman-Stack ergeben das Maximum an Schutz vor Missbrauch. Die Wahrscheinlichkeit eines wirksamen Virenbefalls bei Schutz des Hosts mit Hilfe von Firewall tendiert gegen Null.
Die Monitoring-Software DBLM wird nach demselben Prinzip installiert und eingerichtet. Durch die Sonderstellung als Update-Server und Überwachung von Hard- und Software sind einige weitere Ports für den Zugriff auf die Datenbanken, deren Betriebssysteme und Managementsoftware sowie der Abruf von Daten aus dem zentralen Update-Server zu gewähren. Beim Beginn des Projektes werden die Informationen detailliert beschrieben. Die virtualisierten Programmumgebungen bieten kaum Angriffsfläche. Die unveränderbaren Vorlagen stellen den ursprünglichen Zustand mit einem Kommando wieder her, so dass Manipulationen an Programmen rückgängig gemacht werden können.
Die Maßnahmenpakete folgen den Gefahren und müssen deshalb immer flexibel bleiben. Deshalb bleiben auch wir immer wachsam und bereit, weitere Ansätze zu diskutieren und zu verfolgen. So bauen wir z.B. eine zentrale Maschine auf, die Multifaktor-Authentifizierung ebenso wie strikte Abschottung und Manipulationsüberwachung vereinen soll, damit die Wartung immer von einer sauberen Umgebung heraus gestartet wird. Statt auf Best-Pactices der 90er-Jahre zu vertrauen richten wir uns gezielt auf die Abwehr aktueller und zukünftiger Gefahren aus. Wir wollen den Risiken angemessen begegnen.
