Greenbone AG

NIS2: Was Sie wissen müssen

NIS2 Umsetzung gezielt auf den Weg bringen!

Die Deadline für die Umsetzung von NIS2 rückt näher – zum 17.10.2024 sollen verschärfte Cybersicherheitsmaßnahmen in Deutschland über das NIS2 Umsetzungsgesetz ins Recht überführt werden. Dieses liegt bisher als Gesetzesentwurf vor, welcher sich an der EU Richtlinie 2022/2555 orientiert. Diese Richtlinie haben wir für Sie unter die Lupe genommen, um Ihnen in diesem kurzen Video die wichtigsten Anhaltspunkte und Wegweiser für das Inkrafttreten von NIS2 an die Hand zu geben. Ob Ihr Unternehmen betroffen ist, welche Maßnahmen Sie unbedingt ergreifen sollten, welche Themengebiete der Cybersicherheit Sie besonders bedenken müssen, wen Sie diesbezüglich konsultieren können und welche Konsequenzen die Nichteinhaltung hat, erfahren sie in diesem Video.

Informieren sie sich über den Cyber Resilience Act, welcher ein solides Regelwerk bietet, um die Widerstandskraft Ihres Unternehmens gegen Cyberangriffe zu stärken. Die ENISA Common Criteria werden Ihnen helfen, die Sicherheit Ihrer IT-Produkte und Systeme zu bewerten und bereits in der Entwicklung einen risikominimierenden Ansatz zu fahren. Priorisieren Sie außerdem die Einführung eines Informationsmanagementssystems, beispielsweise durch die Umsetzung der ISO 27001 Zertifizierung für Ihr Unternehmen. Lassen Sie sich diesbezüglich zum Thema IT-Grundschutz von entsprechenden, vom BSI empfohlenen Fachkräften beraten.

Neben dem BSI als Anlaufstelle für Anliegen bzgl. NIS2 stehen wir Ihnen gerne zur Verfügung und bieten zertifizierte Lösungen für Schwachstellenmanagement und Penetration Testing. Durch einen proaktiven Ansatz können Sie Sicherheitslücken in Ihren Systemen frühzeitig erkennen und absichern, bevor sie für einen Angriff genutzt werden können. Unsere Schwachstellenmanagementlösung sucht Ihr System automatisch nach kritischen Punkten ab und erstattet Ihnen regelmäßig Bericht. Beim Penetration Testing versucht ein menschlicher Tester in Ihr System einzudringen, um Ihnen die finale Gewissheit über die Angriffsfläche Ihrer Systeme zu verschaffen. 

Auch sollten Sie es sich zur Gewohnheit machen, durch regelmäßige Schulungen zum Thema Cybersecurity auf dem neuesten Stand zu bleiben und einen regen Austausch mit anderen NIS2 Unternehmen zu etablieren. Nur so führt NIS2 am effizientesten zu einem nachhaltig erhöhten Cybersicherheitsniveau in Europa.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Wie CSAF 2.0 automatisiertes Schwachstellenmanagement vorantreibt

IT-Sicherheitsteams müssen nicht unbedingt wissen, was CSAF ist, aber andererseits kann die Kenntnis dessen, was „unter der Haube“ einer Schwachstellenmanagement-Plattform passiert, einen Kontext dafür liefern, wie sich das Schwachstellenmanagement der nächsten Generation entwickelt und welche Vorteile ein automatisiertes Schwachstellenmanagement hat. In diesem Artikel geben wir eine Einführung in CSAF 2.0, was es ist und wie es das Schwachstellenmanagement in Unternehmen verbessern soll.

Die Greenbone AG ist offizieller Partner des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei der Integration von Technologien, die den CSAF 2.0 Standard für automatisierte Cybersecurity Advisories nutzen.

Was ist CSAF?

Das Common Security Advisory Framework (CSAF) 2.0 ist ein standardisiertes, maschinenlesbares Format für Hinweise auf Sicherheitslücken. CSAF 2.0 ermöglicht es der vorgelagerten Cybersecurity Intelligence Community, einschließlich Software- und Hardware-Anbietern, Regierungen und unabhängigen Forschern, Informationen über Schwachstellen bereitzustellen. Nachgelagert ermöglicht CSAF den Nutzern von Schwachstelleninformationen, Sicherheitshinweise von einer dezentralen Gruppe von Anbietern zu sammeln und die Risikobewertung mit zuverlässigeren Informationen und weniger Ressourcenaufwand zu automatisieren.

Durch die Bereitstellung eines standardisierten, maschinenlesbaren Formats stellt CSAF eine Entwicklung hin zu einem automatisierten Schwachstellenmanagement der nächsten Generation dar, das die Belastung der IT-Sicherheitsteams, die mit einer ständig wachsenden Zahl von CVE-Enthüllungen konfrontiert sind, verringern und die risikobasierte Entscheidungsfindung angesichts eines Ad-hoc-Ansatzes beim Austausch von Schwachstelleninformationen verbessern kann.

CSAF 2.0 ist der Nachfolger des Common Vulnerability Reporting Framework (CVRF) v1.2 und erweitert die Möglichkeiten seines Vorgängers, um mehr Flexibilität zu bieten.

Hier sind die wichtigsten Erkenntnisse:

  • CSAF ist ein internationaler offener Standard für maschinenlesbare Dokumente mit Hinweisen auf Schwachstellen, der die Markup-Sprache JSON verwendet.
  • Die CSAF-Aggregation ist ein dezentralisiertes Modell zur Verteilung von Schwachstelleninformationen.
  • CSAF 2.0 wurde entwickelt, um ein automatisiertes Schwachstellenmanagement der nächsten Generation in Unternehmen zu ermöglichen.

Der traditionelle Prozess des Schwachstellenmanagements

Der traditionelle Prozess der Schwachstellenverwaltung ist für große Unternehmen mit komplexen IT-Umgebungen ein schwieriger Prozess. Die Anzahl der CVEs, die in jedem Patch-Zyklus veröffentlicht werden, steigt in einem unkontrollierbaren Tempo [1][2]. Bei einem herkömmlichen Schwachstellenmanagementprozess sammeln IT-Sicherheitsteams Schwachstelleninformationen manuell über Internetrecherchen. Auf diese Weise ist der Prozess mit einem hohen manuellen Aufwand für das Sammeln, Analysieren und Organisieren von Informationen aus einer Vielzahl von Quellen und Ad-hoc-Dokumenten Formaten verbunden.

Zu diesen Quellen gehören in der Regel:

  • Datenbanken zur Verfolgung von Schwachstellen wie NIST NVD
  • Sicherheitshinweise der Produktanbieter
  • Nationale und internationale CERT-Beratungen
  • Bewertungen der CVE-Nummerierungsbehörde (CNA)
  • Unabhängige Sicherheitsforschung
  • Plattformen für Sicherheitsinformationen
  • Code-Datenbanken ausnutzen

Das letztendliche Ziel, eine fundierte Risikobewertung durchzuführen, kann während dieses Prozesses auf verschiedene Weise vereitelt werden. Empfehlungen, selbst die des Produktanbieters, sind oft unvollständig und werden in einer Vielzahl nicht standardisierter Formate geliefert. Dieser Mangel an Kohärenz erschwert eine datengestützte Entscheidungsfindung und erhöht die Fehlerwahrscheinlichkeit.

Lassen Sie uns kurz die bestehende Informationspipeline für Schwachstellen sowohl aus der Sicht der Ersteller als auch der Verbraucher betrachten:

Der Prozess der Offenlegung von Schwachstellen

Die in der National Vulnerability Database (NVD) des NIST (National Institute of Standards and Technology) veröffentlichten CVE-Datensätze (Common Vulnerability and Exposure) stellen das weltweit zentralste globale Repository für Schwachstelleninformationen dar. Im Folgenden finden Sie einen Überblick darüber, wie der Prozess der Offenlegung von Schwachstellen funktioniert:

  1. Produktanbieter werden durch ihre eigenen Sicherheitstests oder durch unabhängige Sicherheitsforscher auf eine Sicherheitslücke aufmerksam und setzen damit eine interne Richtlinie zur Offenlegung von Sicherheitslücken in Gang. In anderen Fällen können unabhängige Sicherheitsforscher direkt mit einer CVE Numbering Authority (CNA) zusammenarbeiten, um die Schwachstelle ohne vorherige Rücksprache mit dem Produktanbieter zu veröffentlichen.
  2. Schwachstellen-Aggregatoren wie NIST NVD und nationale CERTs erstellen eindeutige Tracking-IDs (z. B. eine CVE-ID) und fügen die gemeldete Schwachstelle einer zentralen Datenbank hinzu, in der Produktanwender und Schwachstellenmanagement-Plattformen wie Greenbone die Fortschritte verfolgen können.
  3. Verschiedene Interessengruppen wie der Produkthersteller, NIST NVD und unabhängige Forscher veröffentlichen Hinweise, die Informationen zu Abhilfemaßnahmen, voraussichtliche Termine für offizielle Patches, eine Liste der betroffenen Produkte, CVSS-Auswirkungsbewertungen und Schweregrade, Common Platform Enumeration (CPE) oder Common Weakness Enumeration (CWE) enthalten können, aber nicht müssen.
  4. Andere Anbieter von Informationen über Cyber-Bedrohungen, wie z. B. Known Exploited Vulnerabilities (KEV) von CISA und Exploit Prediction Scoring System (EPSS) von First.org, liefern zusätzlichen Risikokontext.

Der Prozess des Schwachstellenmanagements

Die Produktanwender sind für die Aufnahme von Schwachstelleninformationen und deren Anwendung verantwortlich, um das Risiko einer Ausnutzung zu mindern. Hier ein Überblick über den traditionellen Prozess des Schwachstellenmanagements in Unternehmen:

  1. Produktanwender müssen CVE-Datenbanken manuell durchsuchen und die Sicherheitshinweise überwachen, die ihre Software- und Hardware-Assets betreffen, oder eine Schwachstellenmanagement-Plattform wie Greenbone nutzen, die automatisch die verfügbaren Ad-hoc-Bedrohungshinweise zusammenfasst.
  2. Die Produktnutzer müssen die verfügbaren Informationen mit ihrem IT-Bestand abgleichen. Dies beinhaltet in der Regel die Pflege eines Bestandsverzeichnisses und die Durchführung eines manuellen Abgleichs oder die Verwendung eines Produkts zum Scannen von Schwachstellen, um den Prozess der Erstellung eines Bestandsverzeichnisses und der Durchführung von Schwachstellentests zu automatisieren.
  3. Die IT-Sicherheitsteams ordnen die entdeckten Schwachstellen nach dem kontextbezogenen Risiko für kritische IT-Systeme, Geschäftsabläufe und in einigen Fällen für die öffentliche Sicherheit.
  4. Die Ausbesserungen werden entsprechend der endgültigen Risikobewertung und den verfügbaren Ressourcen zugewiesen.

Was ist falsch am traditionellen Schwachstellenmanagement?

Herkömmliche oder manuelle Verfahren zur Verwaltung von Schwachstellen sind in der Praxis komplex und nicht effizient. Abgesehen von den operativen Schwierigkeiten bei der Implementierung von Software-Patches behindert der Mangel an zugänglichen und zuverlässigen Informationen die Bemühungen um eine wirksame Sichtung und Behebung von Schwachstellen. Die alleinige Verwendung von CVSS zur Risikobewertung wurde ebenfalls kritisiert [1][2], da es an ausreichendem Kontext für eine solide risikobasierte Entscheidungsfindung mangelt. Obwohl Plattformen zur Verwaltung von Schwachstellen wie z. B. Greenbone die Belastung der IT-Sicherheitsteams erheblich verringern, ist der Gesamtprozess immer noch häufig von geplagt von einer zeitaufwändigen manuellen Zusammenstellung von Ad-hoc-Hinweisen auf Schwachstellen, die unvollständige Informationen zur Folge haben kann.

Vor allem angesichts der ständig wachsenden Zahl von Schwachstellen besteht die Gefahr, dass die Zusammenstellung von Ad-hoc-Sicherheitsinformationen zu langsam ist und zu mehr menschlichen Fehlern führt, wodurch die Zeit für die Aufdeckung von Schwachstellen verlängert und die risikobasierte Priorisierung von Schwachstellen erschwert wird.

Fehlende Standardisierung führt zu Ad-hoc-Intelligenz

Dem derzeitigen Verfahren zur Offenlegung von Schwachstellen fehlt eine formale Methode zur Unterscheidung zwischen zuverlässigen Informationen von Anbietern und Informationen, die von beliebigen unabhängigen Sicherheitsforschern wie den Partner-CNAs bereitgestellt werden. Tatsächlich wirbt die offizielle CVE-Website selbst für die niedrigen Anforderungen, die für eine CNA-Mitgliedschaft gelten. Dies führt dazu, dass eine große Anzahl von CVEs ohne detaillierten Kontext herausgegeben wird, was eine umfangreiche manuelle Anreicherung im nachgelagerten Bereich erzwingt.

Welche Informationen aufgenommen werden, liegt im Ermessen des CNA, und es gibt keine Möglichkeit, die Zuverlässigkeit der Informationen zu klassifizieren. Ein einfaches Beispiel für dieses Problem ist, dass die betroffenen Produkte in einem Ad-hoc-Hinweis oft mit einer Vielzahl von Deskriptoren angegeben werden, die manuell interpretiert werden müssen. Zum Beispiel:

  • Version 8.0.0 – 8.0.1
  • Version 8.1.5 und höher
  • Version <= 8.1.5
  • Versionen vor 8.1.5
  • Alle Versionen < V8.1.5
  • 0, V8.1, V8.1.1, V8.1.2, V8.1.3, V8.1.4, V8.1.5

Skalierbarkeit

Da Anbieter, Prüfer (CNAs) und Aggregatoren verschiedene Verteilungsmethoden und Formate für ihre Hinweise verwenden, wird die Herausforderung der effizienten Verfolgung und Verwaltung von Schwachstellen operativ komplex und schwer zu skalieren. Darüber hinaus verschlimmert die zunehmende Offenlegung von Schwachstellen die manuellen Prozesse, überfordert die Sicherheitsteams und erhöht das Risiko von Fehlern oder Verzögerungen bei den Abhilfemaßnahmen.

Schwierige Bewertung des Risikokontextes

NIST SP 800-40r4 „Guide to Enterprise Patch Management Planning“ Abschnitt 3 empfiehlt die Anwendung von Schwachstellen-Metriken auf Unternehmensebene. Da das Risiko letztlich vom Kontext jeder Schwachstelle abhängt – Faktoren wie betroffene Systeme, potenzielle Auswirkungen und Ausnutzbarkeit -, stellt die derzeitige Umgebung mit Ad-hoc-Sicherheitsinformationen ein erhebliches Hindernis für ein solides risikobasiertes Schwachstellenmanagement dar.

Wie löst CSAF 2.0 diese Probleme?

Bei den CSAF-Dokumenten handelt es sich um wichtige Hinweise zu Cyber-Bedrohungen, mit denen die Lieferkette für Schwachstelleninformationen optimiert werden kann. Anstatt Ad-hoc-Schwachstellendaten manuell zu sammeln, können Produktanwender maschinenlesbare CSAF-Hinweise aus vertrauenswürdigen Quellen automatisch in einem Advisory Management System zusammenführen, das die Kernfunktionen des Schwachstellenmanagements wie Asset-Matching und Risikobewertung kombiniert. Auf diese Weise zielt die Automatisierung von Sicherheitsinhalten mit CSAF darauf ab, die Herausforderungen des traditionellen Schwachstellenmanagements durch die Bereitstellung zuverlässigerer und effizienterer Sicherheitsinformationen zu bewältigen und das Potenzial für das Schwachstellenmanagement der nächsten Generation zu schaffen.

CSAF 2.0 löst die Probleme des traditionellen Schwachstellenmanagements auf folgende Weise:

Zuverlässigere Sicherheitsinformationen

CSAF 2.0 behebt das Problem der Ad-hoc-Sicherheitsinformationen, indem es mehrere Aspekte der Offenlegung von Sicherheitslücken standardisiert. So erlauben die Felder zur Angabe der betroffenen Version standardisierte Daten wie Version Range Specifier (vers), Common Platform Enumeration (CPE), Paket-URL-Spezifikation, CycloneDX SBOM sowie den allgemeinen Produktnamen, die Seriennummer, die Modellnummer, die SKU oder den File-Hash zur Identifizierung betroffener Produktversionen.

Neben der Standardisierung von Produktversionen unterstützt CSAF 2.0 auch den Austausch von Schwachstellen (Vulnerability Exploitability eXchange, VEX), mit dem Produkthersteller, vertrauenswürdige CSAF-Anbieter oder unabhängige Sicherheitsforscher explizit den Status der Produktbehebung angeben können. VEX liefert Produktanwendern Empfehlungen für Abhilfemaßnahmen.

Die expliziten VEX-Status-Deklarationen sind:

  • Nicht betroffen: Es sind keine Abhilfemaßnahmen bezüglich einer Schwachstelle erforderlich.
  • Betroffen: Es werden Maßnahmen empfohlen, um eine Schwachstelle zu beheben oder zu beseitigen.
  • Behoben: Bedeutet, dass diese Produktversionen einen Fix für eine Sicherheitslücke enthalten.
  • Wird untersucht: Es ist noch nicht bekannt, ob diese Produktversionen von einer Sicherheitslücke betroffen sind. Ein Update wird in einer späteren Version zur Verfügung gestellt.

Effektivere Nutzung von Ressourcen

CSAF ermöglicht mehrere vor- und nachgelagerte Optimierungen des traditionellen Schwachstellenmanagement-Prozesses. Die OASIS CSAF 2.0-Dokumentation enthält Beschreibungen mehrerer Konformitätsziele, die es Cybersecurity-Administratoren ermöglichen, ihre Sicherheitsabläufe zu automatisieren und so ihre Ressourcen effizienter zu nutzen.

Hier sind einige Zielvorgaben für die Einhaltung der Vorschriften, auf die im CSAF 2.0 die eine effektivere Nutzung von Ressourcen über den traditionellen Prozess des Schwachstellenmanagements hinaus unterstützen:

  • Advisory Management System: Ein Softwaresystem, das Daten verarbeitet und CSAF-2.0-konforme Beratungsdokumente erstellt. Es ermöglicht den CSAF-Produktionsteams, die Qualität der zu einem bestimmten Zeitpunkt eingehenden Daten zu bewerten, sie zu überprüfen, zu konvertieren und als gültige CSAF-2.0-Sicherheitshinweise zu veröffentlichen. Auf diese Weise können CSAF-Produzenten die Effizienz ihrer Informationspipeline optimieren und gleichzeitig sicherstellen, dass korrekte Hinweise veröffentlicht werden.
  • CSAF Management System: Ein Programm, das CSAF-Dokumente verwalten kann und in der Lage ist, deren Details gemäß den Anforderungen des CSAF-Viewers anzuzeigen. Auf der grundlegendsten Ebene ermöglicht dies sowohl den vorgelagerten Produzenten als auch den nachgelagerten Konsumenten von Sicherheitshinweisen, deren Inhalt in einem für Menschen lesbaren Format zu betrachten.
  • CSAF Asset Matching System / SBOM Matching System: Ein Programm, das mit einer Datenbank von IT-Assets, einschließlich Software Bill of Materials (SBOM), integriert wird und Assets mit allen CSAF-Hinweisen abgleichen kann. Ein Asset-Matching-System dient dazu, einem Unternehmen, das CSAF nutzt, Einblick in seine IT-Infrastruktur zu verschaffen, festzustellen, wo anfällige Produkte vorhanden sind, und optimale Informationen zur automatischen Risikobewertung und -behebung zu liefern.
  • Technisches System: Eine Softwareanalyse-Umgebung, in der Analysewerkzeuge ausgeführt werden. Ein Engineering-System kann ein Build-System, ein Versionskontrollsystem, ein Ergebnisverwaltungssystem, ein Fehlerverfolgungssystem, ein Testausführungssystem usw. umfassen.

Dezentralisierte Cybersicherheitsinformationen

Der kürzlich verkündete Ausfall des CVE-Anreicherungsprozesses der NIST National Vulnerability Database (NVD) zeigt, wie riskant es sein kann, sich auf eine einzige Quelle für Schwachstelleninformationen zu verlassen. CSAF ist dezentralisiert und ermöglicht es nachgelagerten Nutzern von Schwachstellen, Informationen aus einer Vielzahl von Quellen zu beziehen und zu integrieren. Dieses dezentralisierte Modell des Informationsaustauschs ist widerstandsfähiger gegen den Ausfall eines Informationsanbieters, während die Last der Anreicherung von Schwachstellen effektiver auf eine größere Anzahl von Beteiligten verteilt wird.

Anbieter von IT-Produkten für Unternehmen wie RedHat und Cisco haben bereits ihre eigenen CSAF- und VEX-Feeds erstellt, während staatliche Cybersicherheitsbehörden und nationale CERT-Programme wie das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) und die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) ebenfalls CSAF-2.0-Austauschfunktionen entwickelt haben. 

Das dezentralisierte Modell ermöglicht es auch, dass sich mehrere Interessengruppen zu einer bestimmten Schwachstelle äußern, so dass die nachgeschalteten Verbraucher mehr Informationen über eine Schwachstelle erhalten. Mit anderen Worten: Eine Informationslücke in einem Gutachten kann von einem alternativen Hersteller geschlossen werden, der die genaueste Bewertung oder spezialisierte Analyse liefert.

Verbesserte Risikobewertung und Priorisierung von Schwachstellen

Insgesamt tragen die Vorteile des CSAF 2.0 zu einer genaueren und effizienteren Risikobewertung, Priorisierung und Abhilfemaßnahmen bei. Produktanbieter können direkt verlässliche VEX-Hinweise veröffentlichen, die Entscheidungsträgern im Bereich Cybersicherheit zeitnahe und vertrauenswürdige Informationen zu Abhilfemaßnahmen liefern. Außerdem dient das aggregierte Schweregradobjekt (aggregate_severity) in CSAF 2.0 als Vehikel, um verlässliche Dringlichkeits- und Kritikalitätsinformationen für eine Gruppe von Schwachstellen zu übermitteln, was eine einheitlichere Risikoanalyse und eine datengesteuerte Priorisierung von Abhilfemaßnahmen ermöglicht und die Expositionszeit kritischer Schwachstellen verkürzt.

Zusammenfassung

Herkömmliche Verfahren zum Management von Schwachstellen leiden unter mangelnder Standardisierung, was zu Problemen bei der Zuverlässigkeit und Skalierbarkeit führt und die Bewertung des Risikokontexts sowie die Fehlerwahrscheinlichkeit erschwert.

Das Common Security Advisory Framework (CSAF) 2.0 zielt darauf ab, den bestehenden Prozess des Schwachstellenmanagements zu revolutionieren, indem es eine zuverlässigere, automatisierte Sammlung von Schwachstelleninformationen ermöglicht. Durch die Bereitstellung eines standardisierten, maschinenlesbaren Formats für den Austausch von Schwachstelleninformationen im Bereich der Cybersicherheit und die Dezentralisierung ihrer Quelle versetzt CSAF 2.0 Organisationen in die Lage, zuverlässigere Sicherheitsinformationen zu nutzen, um ein genaueres, effizienteres und konsistenteres Schwachstellenmanagement zu erreichen.

Die Greenbone AG ist offizieller Partner des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei der Integration von Technologien, die den CSAF 2.0 Standard für automatisierte Cybersecurity Advisories nutzen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

„Nur 62 Minuten“: Vom Sicherheitsanbieter zum Sicherheitsproblem

„Ihr Unternehmen kann innerhalb von nur 62 Minuten ruiniert werden“: Damit wirbt der Sicherheitsanbieter Crowdstrike. Nun hat der US-amerikanische Hersteller durch ein fehlerhaftes Produktupdate selbst einen geschätzten Schaden in Höhe eines mehrstelligen Milliardenbetrags verursacht – mit rasender Geschwindigkeit.

Am 19. Juli um 04:09 Uhr (UTC) verteilte der Security-Spezialist CrowdStrike ein Treiber-Update für seine Falcon-Software für Windows-PCs und -Server. Nur 159 Minuten später, um 06:48 UTC, meldete Google Compute Engine das Problem, das „nur“ bestimmte Windows-Computer und -Server mit der CrowdStrike Falcon-Software betraf.

Fast fünf Prozent des weltweiten Flugverkehrs wurde dadurch kurzerhand lahmgelegt, 5.000 Flüge mussten gecancelt werden. Supermärkte von Deutschland bis Neuseeland mussten schließen, weil die Kassensysteme versagten. Ein Drittel aller japanischen MacDonalds-Filialen schloss kurzfristig die Türen. Unter den betroffenen US-Behörden befinden sich das Department of Homeland Security, die NASA, die Federal Trade Commission, die National Nuclear Security Administration und das Department of Justice. In Großbritannien waren sogar die meisten Arztpraxen betroffen.

Das Problem

Der Vorfall weist auf ein brennendes Problem: Die Zentralisierung von Services und die zunehmende Vernetzung der dahinterstehenden IT-Systeme macht uns verwundbar. Wenn ein Dienstleister in der digitalen Lieferkette betroffen ist, kann die gesamte Kette brechen, was dann zu groß angelegten Ausfällen führt. Betroffen war in der Folge auch die Microsoft Azure-Cloud, in der tausende virtuelle Server erfolglos versuchten neu zu starten. Prominente Betroffene reagieren daraufhin recht eindeutig. So will Elon Musk die CloudStrike-Produkte von all seinen Systemen verbannen.
Erschreckender ist jedoch die Tatsache, dass eine Sicherheitssoftware in Bereichen eingesetzt wird, für sie nicht vorgesehen ist. Zwar wirbt der Hersteller recht drastisch mit der Bedrohung durch Dritte, übernimmt aber für die Probleme, die die eigenen Produkte verursachen können, und deren Folgeschäden keine Verantwortung. CrowdStrike rät in den AGB ausdrücklich davon ab, die Lösungen in kritischen Bereichen einzusetzen. Dort steht wörtlich – und in Großbuchstaben: „DIE CROWDSTRIKE-ANGEBOTE UND CROWDSTRIKE-TOOLS SIND NICHT FEHLERTOLERANT UND NICHT FÜR DEN EINSATZ IN GEFÄHRLICHEN UMGEBUNGEN AUSGELEGT ODER VORGESEHEN.“

Die Haftungsfrage

Nicht für kritische Infrastrukturen geeignet, aber gerne dort eingesetzt: Wie kann das passieren? Fahrlässige Fehler mit großen Schäden, aber keine Haftung des Herstellers: Wie kann das sein? 
Oft wird im Kontext von Open Source unzutreffend argumentiert, dass hier die Haftungsfrage im Falle von Fehlfunktionen und Risiken ungeklärt sei, obwohl die meisten Hersteller, die Open Source mit ihren Produkten in Verkehr bringen, sehr wohl Gewährleistung dafür übernehmen. 

Wir können einiges tun, um es besser zu machen, wenn wir die Probleme angehen, die durch mangelnde Qualität und die Abhängigkeit von einzelnen großen Herstellern entstehen. Natürlich wird eine Open Source Supply Chain kritisch betrachtet, und das ist auch gut so. Aber gegenüber einer proprietären Supply Chain hat sie klare Vorteile. Der Vorfall ist ein schlagendes Beispiel dafür. Dass ein Open Source Unternehmen planmäßig ein Update ausrollt, in dem basale Komponenten einfach nicht funktionieren, lässt sich durch entsprechende Toolchains leicht verhindern, und das geschieht auch so. 

Die Konsequenzen

Was also können wir aus dem Desaster lernen und welche Schritte sind als nächste zu tun? Hier sind einige Vorschläge:

  1. Qualität verbessern: Der beste Hebel, um Druck auf die Hersteller zu machen, ist, über eine verschärfte Haftung die Motivation für Qualität zu erhöhen. Hier bietet der Cyber Resilience Act (CRA) erste Ansätze.
  2. Safety first: Im vorliegenden Fall bezieht sich diese Regel vor allem auf den technischen Ansatz bei der Produktentwicklung. Tief in die Kundensysteme einzugreifen, ist sicherheitstechnisch umstritten. Viele Kunden lehnen das ab, die Betroffenen offensichtlich (noch) nicht. Sie haben jetzt den Schaden. Dabei gibt es Alternativen, die zudem auf Open Source basieren.
  3. Software nur bestimmungsgemäß einsetzen: Wenn ein Hersteller vom Einsatz im kritischen Umfeld abrät, dann ist das keine Floskel in den AGB, sondern ein Ausschlussgrund.
  4. Zentralisierung mit Augenmaß: Es gibt Vor- und Nachteile einer Zentralisierung der digitalen Supply Chain, die gegeneinander abgewogen werden müssen. Wenn Abhängigkeit auf mangelnde Vertrauenswürdigkeit trifft, entstehen Risiken und Schäden. Anwendende Behörden und Unternehmen stehen dann hilflos in der Warteschlange, ohne Alternativen, und ohne eigene Souveränität.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Juni 2024 Threat Tracking: Rückt Cybersecurity an den Rand?

Noch in keinem Jahr zuvor waren 3.000 CVEs (Common Vulnerabilities and Exposures) in einem einzigen Monat veröffentlicht worden. Das Jahr 2024 reihte bisher einen rekordverdächtigen Monat an den nächsten hinsichtlich der Anzahl gefundener Sicherheitslücken; im Mai 2024 wurden über 5.000 CVEs publik. Auch wenn der Juni eine Verschnaufpause vom „Schwachstellen-Sturm“ bot, werden sich viele fragen, ob die Bereitstellung von sicherer Software schlicht zu kompliziert ist. Selbst Anbieter mit dem größten Kapital und Marktanteil – Apple, Google, Microsoft – und Anbieter von Netzwerk- und Sicherheitsanwendungen für Unternehmen – Cisco, Citrix, Fortinet, Ivanti, Juniper, PaloAlto – haben mittlerweile dauerhaft unsichere Produkte auf den Markt gebracht. Welche unüberwindbaren Hürden stehen einer stärkeren Anwendungssicherheit im Wege? Sind sichere Softwareprodukte ein Ding der Unmöglichkeit?

Gemeinhin wird angenommen, dass, wer als Erster mit neuen Funktionen auf den Markt kommt, einen entscheidenden Wettbewerbsvorteil erhält. Sicherheit rangiert dabei am unteren Rand der Prioritätenliste. Andere Gedanken dazu sind eher konspirativ. Der Cyber Resilience Act [1][2], der Ende 2027 in Kraft treten soll, könnte mehr Verantwortlichkeit schaffen, liegt aber zeitlich noch in weiter Ferne. Cyber-Verteidiger müssen wachsam bleiben, bewährte Verfahren zur Cybersicherheit anwenden, Sicherheitslücken proaktiv aufspüren und sie rechtzeitig beheben. Das ist leicht gesagt, aber in der Tat eine ungeheure Leistung.

In der Juni-Ausgabe des Greebone Threat Tracking werden wir uns mit einem aktuellen Trend befassen: der zunehmenden Ausnutzung von Edge-Netzwerkgeräten.

Edge-Geräte: heiße Ziele für Cyberangriffe

Cyber-Bedrohungsakteure nutzen zunehmend Schwachstellen in Diensten und Geräten am Netzwerk-Rand aus. Der Netzwerkperimeter ist die Grenze, die das interne Netzwerk eines Unternehmens von externen Netzen wie dem Internet trennt und in der Regel wichtige Sicherheitsinfrastrukturen wie VPNs, Firewalls und Edge-Computing-Dienste beherbergt. Diese Ansammlung von Diensten am Netzwerk-Rand wird oft als demilitarisierte Zone (DMZ) bezeichnet. Perimeter-Dienste dienen als idealer Einstiegspunkt in ein Netzwerk und sind daher ein wertvolles Ziel für Cyberangriffe.

In den Threat Tracker-Beiträgen von Greenbone wurden bereits zahlreiche Edge-Akteure behandelt, darunter Citrix Netscaler (CitrixBleed), Cisco XE, Fortinets FortiOS, Ivanti ConnectSecure, PaloAlto PAN-OS und Juniper Junos. Schauen wir uns die neuen Bedrohungen an, die im vergangenen Monat Juni 2024 aufgetaucht sind.

Chinesische APT-Kampagne greift FortiGate-Systeme an

CVE-2022-42475 (CVSS 9.8 Kritisch), eine schwerwiegende Schwachstelle für Remote Code Execution, die FortiGate Network Security Appliances betrifft, wurde vom niederländischen Militärischen Nachrichten- und Sicherheitsdienst (MIVD) in eine neue Cyberspionagekampagne einbezogen, die sich gegen westliche Regierungen, internationale Organisationen und die Verteidigungsindustrie richtet. Der MIVD gab Einzelheiten bekannt, darunter die Zuordnung zu einer staatlichen chinesischen Hackergruppe. Bei den Angriffen wurde eine neue Variante einer fortschrittlichen Stealth-Malware namens CoatHanger installiert, die speziell für FortiOS entwickelt wurde und auch nach Neustarts und Firmware-Updates noch aktiv ist. Nach Angaben der CISA wurde CVE-2022-42475 bereits in einer Kampagne von Ende 2023 von staatlichen Bedrohungsakteuren verwendet. Bei der jüngsten Kampagne wurden mehr als 20.000 FortiGate VPN-Instanzen infiziert.

Eine offensichtliche Erkenntnis hier ist, dass eine Unze Prävention mehr wert ist als ein Pfund Heilung. Bei diesen ersten Angriffen wurde eine über ein Jahr alte Schwachstelle ausgenutzt, die somit vermeidbar gewesen wäre. Bewährte Verfahren zur Cybersicherheit schreiben vor, dass Unternehmen regelmäßige Schwachstellen-Scans durchführen und Maßnahmen ergreifen sollten, um entdeckte Bedrohungen zu entschärfen. Der Greenbone Enterprise-Feed enthält eine Erkennung für CVE-2022-42475.

P2Pinfect infiziert ungepatchte Redis-Server

P2Pinfect, ein Peer-to-Peer (P2P)-Wurm, der auf Redis-Server abzielt, wurde kürzlich so modifiziert, dass er Ransomware und Cryptowährungs-Miner einsetzt, wie von Cado Security beobachtet. P2Pinfect wurde erstmals im Juli 2023 entdeckt und ist eine ausgeklügelte Rust-basierte Malware mit Wurm-Fähigkeiten. Das bedeutet, dass sich die jüngsten Angriffe, die CVE-2022-0543 (CVSS 10 Kritisch) gegen ungepatchte Redis-Server ausnutzen, automatisch auf andere anfällige Server ausbreiten können.

Da CVE-2022-0543 im Februar 2022 veröffentlicht wurde, sollten Unternehmen, die ein konformes Schwachstellenmanagement betreiben, bereits gegen die jüngsten P2Pinfect-Ransomware-Angriffe gefeit sein. Innerhalb weniger Tage nach der Veröffentlichung von CVE-2022-0543 hat Greenbone mehrere Schwachstellen-Tests (VTs) [1][2][3][4][5] für den Community Edition-Feed veröffentlicht, die verwundbare Redis-Instanzen identifizieren. Dies bedeutet, dass alle Greenbone-Benutzer weltweit gewarnt werden und sich schützen können, wenn diese Schwachstelle in ihrer Infrastruktur existiert.

Check Point Quantum Security Gateways werden aktiv ausgenutzt

Das kanadische Zentrum für Cybersicherheit hat eine Warnung herausgegeben, da eine aktive Ausnutzung von CVE-2024-24919 (CVSS 8.6 Hoch) beobachtet wurde, die auch in den CISA-Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen wurde. Beide Einrichtungen haben alle betroffenen Organisationen aufgefordert, ihre Systeme unverzüglich zu patchen. Die Schwachstelle ermöglicht es einem Angreifer, auf Informationen auf öffentlich zugänglichen Check Point Gateways mit aktiviertem IPSec VPN, Remote Access VPN oder Mobile Access zuzugreifen und kann auch laterale Bewegungen über nicht autorisierte Domain-Admin-Rechte im Netzwerk des Opfers ermöglichen.

Dieses Problem betrifft mehrere Produktlinien von Check Point, einschließlich CloudGuard Network, Quantum Scalable Chassis, Quantum Security Gateways und Quantum Spark Appliances. Check Point hat Anweisungen für die Anwendung eines Hotfixes veröffentlicht, um CVE-2024-24919 zu entschärfen. „Hotfixes“ sind Software-Updates, die außerhalb des geplanten Update-Zyklus des Herstellers herausgegeben werden, um ein dringendes Problem zu beheben.

CVE-2024-24919 wurde erst am 30. Mai 2024 veröffentlicht, wurde aber sehr schnell Teil einer Angriffskampagne, was den Trend zu einer immer kürzeren Time To Exploit (TTE) verdeutlicht. Greenbone fügte aktive Checks und passive Banner Detection Vulnerability Tests (VTs) hinzu, um CVE-2024-24919 innerhalb weniger Tage nach seiner Veröffentlichung zu identifizieren, so dass Verteidiger schnell proaktive Sicherheitsmaßnahmen ergreifen konnten.

Kritische Patches für Juniper

In einem heißen Monat für Juniper Networks veröffentlichte das Unternehmen ein Sicherheitsbulletin (JSA82681), das mehrere Schwachstellen in den optionalen Anwendungen von Juniper Secure Analytics behebt, und es wurde ein weiterer kritischer Fehler aufgedeckt: CVE-2024-2973. Zusätzlich zu diesen Problemen wurde der Session Smart Router (SSR) von Juniper geoutet, weil er bekannte Standard-Anmeldeinformationen [CWE-1392] für seine SSH-Anmeldung hat. CVE-2024-2973 (CVSS 10 Kritisch) ist eine Schwachstelle zur Umgehung der Authentifizierung in Session Smart Router (SSR), Session Smart Conductor und WAN Assurance Router-Produkten, die in redundanten Hochverfügbarkeitskonfigurationen ausgeführt werden und es einem Angreifer ermöglichen, die vollständige Kontrolle über ein betroffenes Gerät zu übernehmen.

Der Greenbone Enterprise Schwachstellen-Testfeed erkennt CVE-2024-2973, und Juniper stellt in seinem Sicherheitshinweis (JSA83126) Informationen zur Abhilfe bereit. Schließlich enthält Greenbone eine aktive Prüfung zur Erkennung einer unsicheren Konfiguration des Session Smart Router (SSR), indem untersucht wird, ob eine Anmeldung über SSH mit bekannten Standard-Anmeldeinformationen möglich ist.

Progress Telerik Report Server aktiv ausgenutzt

Letzten Monat haben wir darüber berichtet, wie ein Greenbone-Sicherheitsforscher die Sicherheitslücke CVE-2024-4837, die den Telerik Report Server von Progress Software betrifft, identifiziert hat und an deren Aufdeckung beteiligt war. Diesen Monat wurde eine weitere Schwachstelle in demselben Produkt in den Katalog der aktiv ausgenutzten Schwachstellen der CISA aufgenommen. Bei der ebenfalls im Mai 2024 veröffentlichten CVE-2024-4358 (CVSS 9.8 Kritisch) handelt es sich um eine Authentication Bypass by Spoofing-Schwachstelle [CWE-290], die es einem Angreifer ermöglicht, sich unerlaubten Zugriff zu verschaffen. Weitere Informationen, einschließlich Anweisungen zur vorübergehenden Umgehung der Schwachstelle, finden Sie im offiziellen Sicherheitshinweis des Herstellers.

Ebenfalls im Juni 2024 geriet Progress Software mit MOVEit Transfer, einem Tool zur Übertragung von Unternehmensdateien, mit einer neuen kritischen Sicherheitslücke (CVE-2024-5806, CVSS 9.1 Kritisch) wieder in die Kritik. MOVEit war für die größten Datenschutzverletzungen im Jahr 2023 verantwortlich, von denen über 2.000 Unternehmen betroffen waren.

Greenbone hat einen aktiven Check und Versionstests zur Erkennung von Schwachstellen (VTs) veröffentlicht, um CVE-2024-24919 innerhalb weniger Tage nach ihrer Veröffentlichung zu erkennen, und einen VT zur Erkennung von CVE-2024-5806 innerhalb weniger Stunden, sodass Verteidiger schnell Abhilfe schaffen können.

Zusammenfassung

Selbst Tech-Giganten tun sich schwer, Software ohne Schwachstellen zu liefern, was unterstreicht, wie wichtig die Wachsamkeit bei der Sicherung der IT-Infrastruktur von Unternehmen ist. Bedrohungen erfordern ständige Transparenz und schnelles Handeln. Die globale Landschaft ist voll von Angriffen auf Netzwerkdienste und -geräte, da große und kleine, raffinierte und opportunistische Angreifer versuchen, im Netzwerk eines Unternehmens Fuß zu fassen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Schwachstellenscanner Notus unterstützt Amazon Linux

Auf einem Großteil der virtuellen Server der Amazon Elastic Compute Cloud EC2 läuft eine eigens für die Bedürfnisse der Cloud angepasste Linux-Version. Seit wenigen Wochen gibt es die neueste Scanner-Generation von Greenbone auch für das Betriebssystem der Amazon Web Services. Über 1.900 zusätzliche, angepasste Tests für die neuesten Versionen von Amazon Linux 2 und Amazon Linux 2023 wurden in den letzten Monaten integriert, erklärt dazu Julio Saldana, Product Owner bei Greenbone.

Deutlich mehr Performance dank Notus

Mit der Scan-Engine Notus ergänzt Greenbone seit 2022 das Schwachstellenmanagement. Die Neuerungen in der Architektur zielen vor allem darauf ab, die Performance der Security-Checks deutlich zu erhöhen. Von Greenbone-CIO Elmar Geese als „Meilenstein“ bezeichnet, geht die neue Scanner-Generation dazu in zwei Teilen vor: Ein Generator fragt die umfangreichen Software-Versions-Daten der Server des Unternehmens ab und speichert sie im handlichen Json-Format. Weil das nicht mehr zur Laufzeit geschieht, sondern im Hintergrund, kann der eigentliche Scanner (der zweite Teil von Notus) die Daten parallel einfach aus den Json-Dateien auslesen und abgleichen. Wartezeiten fallen weg. „Das ist deutlich effizienter, braucht weniger Prozesse, weniger Overhead und weniger Speicher“, erklären die Greenbone-Entwickler.

Amazon Linux

Amazon Linux ist ein Fork von Red-Hat-Linux-Quellen, den Amazon seit 2011 einsetzt und anpasst, um den Bedürfnissen der Cloud-Kunden gerecht zu werden. Es ist in weiten Teilen binärkompatibel mit Red Hat, baute anfangs auf Fedora, später auf CentOS auf. Nach Amazon Linux folgte Amazon Linux 2. Mittlerweile liegt die neueste Version als Amazon Linux 2023 vor. Der Hersteller plant alle zwei Jahre eine neue Ausgabe. In der Versionsgeschichte der offiziellen Dokumentation findet sich auch ein Feature-Vergleich , denn die Unterschiede sind groß: Amazon Linux 2023 ist beispielsweise die erste Version, die auch auf Systemd setzt. Der Schwachstellenscan von Greenbone stand von Anfang an auch auf Amazon Linux zur Verfügung.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

CVE-2024-31497: PuTTY verliert private ECDSA-Schlüssel von Clients

Die Kryptographie mit öffentlichen Schlüsseln bildet die Grundlage für die Sicherheit von Unternehmensnetzwerken. Daher ist die Sicherung der Vertraulichkeit privater Schlüssel eine der wichtigsten Herausforderungen für die IT-Sicherheit, um unbefugten Zugriff zu verhindern und die Vertraulichkeit von Daten zu wahren. Während sich Quantum Safe Cryptography (QSC) als ein wichtiges Thema für die Zukunft herauskristallisiert hat, sind die jüngsten kritischen Schwachstellen wie CVE-2024-3094 (CVSS 10) in XZ Utils und die kürzlich bekannt gewordene CVE-2024-31497 (CVSS 8.8) in PuTTY hier und jetzt – reale und aktuelle Gefahren.

Glücklicherweise wurde die Sicherheitslücke in XZ Utils vor der weit verbreiteten Bereitstellung in den stabilen Linux-Versionszweigen entdeckt. Im Vergleich dazu stellt CVE-2024-31497 in PuTTY jedoch eine viel größere Bedrohung dar als die oben erwähnte Sicherheitslücke in XZ Utils, obwohl sie einen niedrigeren CVSS-Wert aufweist. Schauen wir uns die Details an, um zu verstehen, warum das so ist, und überprüfen wir die Fähigkeiten von Greenbone, bekannte kryptografische Schwachstellen zu erkennen.

Public-Key-Authentifizierung

Die Public-Key-Infrastruktur (PKI) ist grundlegend für eine Vielzahl von digitalen Vertrauensdiensten wie Internet- und Unternehmens-LAN-Authentifizierung, Autorisierung, Datenschutz und Anwendungssicherheit. Für die Public-Key-Authentifizierung benötigen sowohl der Client als auch der Server jeweils ein Paar miteinander verbundener kryptografischer Schlüssel: einen privaten und einen öffentlichen Schlüssel. Die öffentlichen Schlüssel werden zwischen den beiden verbindenden Parteien offen ausgetauscht, während die privaten Schlüssel verwendet werden, um zwischen ihnen gesendete Nachrichten digital zu signieren, und die zugehörigen öffentlichen Schlüssel werden zur Entschlüsselung dieser Nachrichten verwendet. Auf diese Weise verifiziert jede Partei grundsätzlich die Identität der anderen, und es wird ein einziger symmetrischer Schlüssel für eine kontinuierliche verschlüsselte Kommunikation mit optimaler Verbindungsgeschwindigkeit vereinbart.

Im Client-Server-Modell der Kommunikation kann sich ein Angreifer, wenn der private Schlüssel des Clients kompromittiert wird, potenziell bei allen Ressourcen authentifizieren, die ihn anerkennen. Wenn der private Schlüssel des Servers kompromittiert ist, kann ein Angreifer die Identität des Servers fälschen und Adversary-in-the-Middle (AitM) durchführen.

CVE-2024-31497 betrifft alle Versionen von PuTTY

CVE-2024-31497 im beliebten Windows-SSH-Client PuTTY ermöglicht es einem Angreifer, den geheimen NIST P-521-Schlüssel eines Clients wiederherzustellen, indem er aufgrund einer verzerrten ECDSA-Nonce-Generierung (Zufallszahlen-Generierung via Elliptic Curve Digital Signature Algorithm) etwa 60 digitale Signaturen erfasst und analysiert. Laut NIST SP-800-186 (2023) gehören NIST ECDSA P-521-Schlüssel nach wie vor zu den Schlüsseln mit der höchsten kryptografischen Widerstandsfähigkeit und werden für die Verwendung in verschiedenen Anwendungen empfohlen, darunter SSL/TLS- und Secure Shell (SSH)-Anwendungen. Eine Schwachstelle in der Implementierung der ECDSA P-521-Authentifizierung in einer Anwendung ist also ein ernsthafter Nachteil für IT-Teams, die ansonsten entsprechend starke Verschlüsselungsstandards eingesetzt haben.

Im Fall von CVE-2024-31497 sind die digitalen Signaturen des Clients Gegenstand von Kryptoanalyse-Angriffen, die den privaten Schlüssel aufdecken können. Während die Entwicklung eines Exploits für CVE-2024-31497 ein hochqualifiziertes Unterfangen ist, das erfahrene Kryptographen und Computeringenieure erfordert, wurde ein PoC-Code (Proof of Concept) öffentlich veröffentlicht, was auf ein hohes Risiko hinweist, dass CVE-2024-31497 in naher Zukunft selbst von wenig qualifizierten Angreifern aktiv ausgenutzt werden kann.

Angreifer könnten die Signaturen eines Opfers abfangen, indem sie den Netzwerkverkehr überwachen, aber die Signaturen könnten bereits öffentlich verfügbar sein, wenn PuTTY zum Signieren von Commits öffentlicher GitHub-Repositories mit NIST ECDSA P-521-Schlüsseln verwendet wurde. Mit anderen Worten: Angreifer können möglicherweise genügend Informationen finden, um einen privaten Schlüssel aus öffentlich zugänglichen Daten zu kompromittieren und so Supply-Chain-Angriffe auf die Software eines Opfers zu ermöglichen.

CVE-2024-31497 betrifft alle Versionen von PuTTY nach 0.68 (Anfang 2017) und vor 0.81 sowie FileZilla vor 3.67.0, WinSCP vor 6.3.3, TortoiseGit vor 2.15.0.1 und TortoiseSVN bis 1.14.6 sowie möglicherweise weitere Produkte.

Greenbone ist in der Lage, die verschiedenen anfälligen Versionen von PuTTY mit mehreren Vulnerability Tests (VTs) zu erkennen. Greenbone kann Windows-Registrierungsschlüssel identifizieren, die darauf hinweisen, dass eine anfällige Version von PuTTY auf einem Scan-Ziel vorhanden ist. Darüber hinaus bietet Greenbone zusätzliche Tests für PuTTY für Linux [1][2][3], FileZilla [4][5] sowie Versionen von Citrix Hypervisor/ XenServer, die anfällig für CVE-2024-31497 sind.

Greenbone schützt vor bekannten Verschlüsselungsfehlern

Verschlüsselungsfehler können durch die Verwendung schwacher kryptografischer Algorithmen, Fehlkonfigurationen und fehlerhafte Implementierungen eines ansonsten starken Verschlüsselungsalgorithmus verursacht werden, wie im Fall von CVE-2024-31497. Greenbone enthält über 6.500 separate Network Vulnerability Tests (NVTs) und Local Security Checks (LSCs), die alle Arten von kryptografischen Schwachstellen identifizieren können. Einige Beispiele für kryptografische Schwachstellen, die Greebone erkennen kann, sind:

  • Anwendungsspezifische Schwachstellen: Greenbone ist in der Lage, über 6500 betriebssystem- und anwendungsspezifische Verschlüsselungsschwachstellen zu erkennen, für die CVEs veröffentlicht worden sind.
  • Fehlende Verschlüsselung: Unverschlüsselte Fernauthentifizierung oder andere Datenübertragungen und sogar unverschlüsselte lokale Dienste stellen ein erhebliches Risiko für sensible Daten dar, wenn Angreifer eine vorteilhafte Position erlangt haben, z. B. die Möglichkeit, den Netzwerkverkehr zu überwachen.
  • Unterstützung für schwache Verschlüsselungsalgorithmen: Schwache Verschlüsselungsalgorithmen oder Chiffriersuiten bieten keinen sicheren Schutz vor Kryptoanalyse-Angriffen mehr. Wenn sie verwendet werden, ist die Kommunikation einem höheren Risiko des Datendiebstahls ausgesetzt und ein Angreifer kann die Kommunikation fälschen, um beliebige Befehle auf dem System eines Opfers auszuführen. Greenbone enthält mehr als 1000 NVTs zur Erkennung von Remote-Diensten, die schwache Verschlüsselungsalgorithmen verwenden.
  • Nicht-konforme TLS-Einstellungen und HTTPS-Sicherheits-Header: Greenbone verfügt über NVTs, die erkennen, wenn HTTP Strict Transport Security (HSTS) nicht konfiguriert ist, und die TLS-Richtlinie des Webservers überprüfen.

Zusammenfassung

Die SSH-Authentifizierung mit öffentlichen Schlüsseln gilt weithin als eines der sichersten – wenn nicht sogar als das sicherste – Fernzugriffsprotokoll, aber zwei aktuelle Schwachstellen haben diesen kritischen Dienst ins Rampenlicht gerückt. CVE-2024-3094, ein Trojaner, der in XZ Utils eingeschleust wurde, fand seinen Weg in einige experimentelle Linux-Repositories, bevor er entdeckt wurde, und CVE-2024-31497 in PuTTY ermöglicht einen kryptographischen Angriff, um den privaten Schlüssel eines Clients zu extrahieren, wenn ein Angreifer etwa 60 digitale Signaturen erhalten kann.

Greenbone kann aufkommende Bedrohungen für die Verschlüsselung wie CVE-2024-31497 erkennen und enthält über 6.500 weitere Schwachstellentests, um eine Reihe von Verschlüsselungsschwachstellen zu identifizieren.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

KI und Cybersecurity: Das Versprechen Künstlicher Intelligenz

,

Wie verändert Künstliche Intelligenz (KI) die Cybersicherheitslandschaft? Wird die Cyberwelt durch KI sicherer oder unsicherer? Diesen Fragen durfte ich auf der Panel-Diskussion während der „Potsdamer Konferenz für Nationale Cybersicherheit 2024“ zusammen mit Prof. Dr. Sandra Wachter, Dr. Kim Nguyen, Dr. Sven Herpig nachgehen. Hält KI heute, was sie verspricht? Und wie sieht die Zukunft mit KI aus?

HPI Security Panel

Cybersecurity ist für viele Unternehmen und Institutionen schon schwierig genug. Wird es für sie durch das Hinzukommen von Künstlicher Intelligenz (KI) jetzt noch gefährlicher oder hilft KI eher, die IT-Systeme besser zu schützen? Was wissen wir? Und welche Risiken betrachten wir hier? Wirtschaftliche Chancen und gesellschaftliche Risiken stehen sowohl durch die allgemeine öffentliche Aufmerksamkeit als das auch durch die aktuell geplante Gesetzgebung im Fokus. Im EU-Gesetz zur künstlichen Intelligenz finden viele Hoffnungen und Ängste, die mit KI verbunden sind, Ausdruck.

Hoffnungen und Ängste

Wir hoffen, dass viele bisher ungelöste technische Herausforderungen bewältigt werden können. Geschäfts- und Produktionsprozesse sollen beschleunigt werden und Maschinen sollen immer komplexere Aufgaben autonom bewältigen. Auch im militärischen Bereich kann KI einen einzigartigen Schutz bieten, der viele Menschenleben rettet, wie zum Beispiel in Form KI-gestützter Abwehrsysteme wie den Iron Dome.

Auf der anderen, der Schattenseite von KI stehen Bedrohungen wie Massenmanipulation durch Deepfakes, raffinierte Phishing Attacken oder schlicht die Angst vor dem Verlust von Arbeitsplätzen, die mit jeder technischen Innovation einhergeht. Immer mehr Chatbots ersetzen Servicemitarbeiter, Bildgeneratoren Fotografen und Grafikerinnen, Textgeneratoren Journalistinnen und Autoren, generierte Musik ersetzt Musikerinnen und Komponisten. In fast jedem Berufstand geht die Angst um, über kurz oder lang selbst betroffen zu sein. Das gilt sogar im IT-Bereich, in dem eine reiche Job-Wahl bisher als sicher wahrgenommen wurde. Diese Ängste sind oft sehr berechtigt, manchmal aber auch nicht.

Im Bereich der Cybersicherheit ist allerdings noch nicht abzusehen, inwiefern eine autonome KI mehr Sicherheit schaffen und die dringend benötigten Sicherheitsexperten, oder vorhandene Lösungen ersetzen kann. Das gilt sowohl auf Seiten der Angreifer wie auch der Verteidiger. Natürlich bleibt dabei jedoch die unfaire Aufgabenverteilung bestehen: Während die Verteidiger möglichst jede Sicherheitslücke schließen wollen (und müssen), reicht den Angreifenden eine einzige Schwachstelle für einen erfolgreichen Angriff aus. Zum Glück können Verteidigende auf Tools und Mechanismen zurückgreifen, die viel Arbeit automatisieren, auch heute schon. Ohne diese Automation sind die Verteidiger verloren. KI hilft da leider aber noch nicht gut genug. Das zeigen die immer größeren Schäden, die auch durch ganz konventionelle Cyberangriffe entstehen, wo es doch angeblich schon jede Menge KI zur Verteidigung gibt. Auf der anderen Seite steht die Annahme, dass Angreifende durch KI immer mächtiger und bedrohlicher werden.

Für mehr Cybersicherheit müssen wir also näher hinsehen. Wir brauchen einen klareren Blick auf die Fakten.

Wo stehen wir heute?

Tatsächlich wissen wir bisher über von Künstlicher Intelligenz erzeugte technische Cyberangriffe nichts. Es gibt derzeit keine relevanten, nachprüfbaren Fälle, sondern nur theoretische konstruierte Szenarien. Das kann sich vielleicht ändern, aber Stand heute ist es so. Wir kennen keine KI, die derzeit hinreichend anspruchsvolle Angriffe generieren könnte. Was wir wissen, ist, dass Phishing sich sehr einfach mit generativen Sprachmodellen umsetzen lässt und dass uns diese Spam- und Phishing-Mails zumindest anekdotisch geschickter erscheinen. Ob dadurch ein größerer Schaden entsteht als die sowieso schon erheblichen Schäden, ist dagegen nicht bekannt. Es ist heute schon schrecklich genug, auch ganz ohne KI. Wir wissen jedoch, dass Phishing immer nur den ersten Schritt darstellt, um an eine Schwachstelle heranzukommen.

Greenbone Vorstand Elmar Geese auf der Potsdamer Konferenz für Nationale Cybersicherheit am Hasso-Plattner-Institut (HPI), Foto: Nicole Krüger

Wie können wir uns schützen?

Die gute Nachricht ist: Eine ausgenutzte Schwachstelle kann fast immer vorher gefunden und behoben werden. Dann liefe auch der beste, mit generativer KI erzeugte Angriff ins Leere. Und so muss es auch gemacht werden. Denn, ob mich heute ein ganz konventioneller Angriff und übermorgen eine KI in meinem Netzwerk bedroht, es wird immer eine Schwachstelle in der Software oder in der Sicherheitskonfiguration erforderlich sein, damit ein Angriff gelingt. Den besten Schutz bieten dann zwei Strategien: zum einen, vorbereitet zu sein auf den Fall der Fälle, wie zum Beispiel durch Backups zusammen mit der Fähigkeit, dadurch Systeme zeitnah wiederherzustellen. Zum anderen, jeden Tag selbst die Lücken zu suchen und sie zu schließen, bevor sie ausgenutzt werden können. Einfache Daumenregel: jede Lücke, die es gibt, kann ausgenutzt werden und wird es auch.

Rolle und Eigenarten der KI

Die KI-Systeme sind dabei selbst sehr gute Angriffsziele. Ähnlich wie das Internet sind sie nicht mit einem „Security by Design“-Gedanken entworfen worden. KI-Systeme sind eben auch nur Soft- und Hardware, genau wie jedes andere Angriffsziel. Nur im Gegensatz zu KI-Systemen können konventionelle IT-Systeme, deren Funktionsweise bei hinreichendem Aufwand mehr oder weniger hinreichend nachvollzogen werden kann, mit chirurgischen Eingriffen vergleichbar, repariert werden. Sie können „gepatcht“ werden. Das funktioniert mit KI nicht. Wenn ein Sprachmodell nicht weiterweiß, produziert es keine Status- oder gar Fehlermeldung, es „halluziniert“. Halluzinieren ist allerdings nur ein vornehmer Ausdruck für lügen, raten, irgendwas erfinden oder komische Sachen machen. Ein solcher Irrtum kann nicht gepatcht werden, sondern setzt beispielweise ein neues Trainieren des Systems voraus, ohne dass man dabei die Fehlerursache deutlich erkennen kann.

Wenn es sehr offensichtlich ist und eine KI etwa Hunde für Fische hält, ist es einfach, den Fehler zumindest wahrzunehmen. Wenn es aber eine Wahrscheinlichkeit benennen soll, ob es beispielsweise auf einem Röntgenbild eine gefährliche oder harmlose Anomalie entdeckt hat, wird es schwieriger. Es kommt gar nicht selten vor, dass KI-Produkte eingestellt werden, weil der Fehler nicht behoben werden kann. Ein prominentes erstes Beispiel war Tay, ein von Microsoft zweimal erfolglos gelaunchter Chatbot, der bei zweiten Mal noch schneller eingestellt wurde als beim ersten Mal.

Was wir daraus lernen können: die Latte tiefer legen, uns auf triviale KI-Funktionen zurückziehen, dann läuft‘s. Deswegen werden viele KI-Anwendungen, die heute auf dem Markt kommen, auch Bestand haben. Es sind nützliche Helferlein, die Prozesse beschleunigen und Komfort liefern. Vielleicht können sie bald auch richtig gut und sicher Autofahren. Vielleicht auch nicht.

Zukunft mit KI

Viele KI-Anwendungen beeindrucken heute anekdotisch. Für den Einsatz in kritischen Feldern können sie jedoch nur mit sehr hohem Aufwand und einer großen Spezialisierung geschaffen werden. Nur deswegen funktioniert der Iron Dome, weil in ihm deutlich mehr als zehn Jahre Entwicklungsarbeit stecken. So erkennt er heute Raketen mit einer Wahrscheinlichkeit von 99% und kann sie – und nicht versehentlich zivile Objekte – abschießen, bevor sie Schaden anrichten. Aus diesem Grund wird KI meist zur Unterstützung bestehender Systeme eingesetzt und nicht autonom. Selbst wenn sie, wie es die Werbung verspricht, Mails besser formulieren können, als wir es selbst können oder wollen, möchte heute niemand die eigenen Mails, Chat-Postfächer und weitere Kommunikationskanäle einer KI übergeben, die sich um die Korrespondenz kümmert und uns nur über wichtige Angelegenheiten mit Zusammenfassungen informiert.

Ob das in naher Zukunft kommt? Eher nicht. Ob es irgendwann so weit ist? Wir wissen es nicht. Wenn es dann vielleicht einmal so weit ist, schreiben sich unsere Bots gegenseitig Nachrichten, unsere Kampfroboter führen unsere Kriege gegeneinander, und KI-Cyberangreifer und -Verteidiger liefern sich einen Wettstreit. Wenn sie dann merken, dass das, was sie tun, sinnlos ist, könnten sie sich fragen, was das eigentlich für Wesen sind, die sie beauftragen, das zu tun. Dann hören sie vielleicht einfach damit auf, bauen sich Nachrichtenstrecken auf, verlassen unsere Galaxie und lassen uns hilflos zurück. Wir haben dann wenigsten noch unseren AI-Act und können damit weiterhin „schwache KI“ regulieren, die es nicht geschafft hat, wegzukommen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Greenbone AG

Demystify Greenbone: Schwachstellenmanagement in 11 Minuten

Warum ist Greenbone kein Security-Anbieter wie jeder andere? Wie ist Greenbone entstanden und welche Auswirkungen hat die lange Geschichte von Greenbone auf die Qualität der Schwachstellen-Scanner und die Sicherheit der Kunden? Antworten auf diese Fragen gibt das neue Video „Demystify Greenbone“ in einem Überblick von elf Minuten. Es zeigt auf, warum Experten ein eigenes Fachvokabular für das Aufspüren von Schwachstellen benötigen und was es zu bedeuten hat.

Greenbone ist ein Technik-fokussiertes Unternehmen, das den Open-Source-Gedanken vorantreibt, um maximale Sicherheit für Unternehmen und Institutionen zu erreichen. In dem Video erfahren Sie, wie Greenbone den Open Source Code zu einem maßgeschneiderten Portfolio nutzt und welche Lösungen am besten geeignet sind, Ihr Netzwerk optimal abzusichern. Wie wirken die Feeds auf die Lösungen? Welche Bereitstellungsmodelle bietet Greenbone? Entdecken Sie es. Entdecken Sie Greenbone. Demystify Greenbone!


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

„Security-Krisen sind wie Erdbeben“ – Greenbone-CEO Jan-Oliver Wagner auf dem PITS-Kongress 2024

„Unterstützung zur Krisenfrüherkennung“ lautete das Thema eines hochkarätig besetzten Panels am zweiten Tag des diesjährigen PITS-Kongresses. Mit Greenbone-CEO Jan-Oliver Wagner diskutierten Experten vom Bundeskriminalamt, der Bundeswehr, dem Verband Kommunaler IT-Dienstleister VITAKO und des Bundesamts für Sicherheit in der Informationstechnik.

Zum Thema Security-Krisen v.l.n.r.: Dr. Jan-Oliver Wagner, Vorstandsvorsitzender (Greenbone), Dr. Dirk Häger, Abteilungsleiter Operative Cyber-Sicherheit (Bundesamt für Sicherheit in der Informationstechnik), Katrin Giebel, Geschäftsstellenleiterin (VITAKO Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister), Generalmajor Dr. Michael Färber, Abteilungsleiter Planung und Digitalisierung (Kommando Cyber- & Informationsraum) und Carsten Meywirth, Leiter Abteilung Cybercrime (Bundeskriminalamt) Foto: Greenbone

Auch in diesem Jahr organisierte der Behörden Spiegel wieder seine beliebte Konferenz zur Public IT Security (PITS). Im renommierten Hotel Adlon in Berlin trafen sich dazu hunderte Security-Experten an zwei Tagen zu Foren, Vorträgen und einer Ausstellung von IT-Security-Firmen. 2024 stand das Event unter dem Motto „Security Performance Management“ – und da war es nur naheliegend, dass auch Greenbone als führender Anbieter von Schwachstellenmanagement geladen war (wie schon 2023), beispielsweise im Panel zur Krisenfrüherkennung, das der Greenbone-Vorstand Dr. Jan-Oliver Wagner mit einem Impulsvortag eröffnete.

Jan-Oliver Wagner erklärte seine Sicht auf die strategische Krisenerkennung, sprach von den typischen „Erdbeben“ und den beiden wichtigsten Komponenten: Erstens, das Wissen, wo Schwachstellen sind, und zweitens Technologien bereitzustellen, um diese zu beseitigen.

Über lange Jahre hat Greenbone eben diese Expertise aufgebaut, die Firma stellt sie auch in Open Source der Allgemeinheit zur Verfügung und arbeitet dazu stets mit den wichtigen Playern auf dem Markt zusammen. Von Anfang an waren die Kontakte mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) da: „Das BSI hatte das Thema Schwachstellenmanagement schon auf dem Radar, als IT-Security sich noch auf Firewall und Antivirus beschränkte“, lobt Wagner das BSI, die zentrale Behörde für IT-Sicherheit des deutschen Staates.

Heute sei die Bedeutung zweier Faktoren klar: „Jede Organisation muss wissen, wie und wo sie angreifbar sie ist, die eigenen Reaktionsfähigkeiten kennen und fortlaufend an deren Verbesserung arbeiten. Cyberbedrohungen sind wie Erdbeben. Die können wir nicht verhindern, sondern nur uns darauf vorbereiten und bestmöglich darauf reagieren.“

„Krise ist meist da, bevor die Tagesschau berichtet“

Aus den ständigen Cyberbedrohung wird nach Jan-Oliver Wagners Definition eine „Krise“, wenn eine Bedrohung beispielsweise „auf eine Gesellschaft, Wirtschaft oder Nation trifft, wo viele Organisationen viele Schwachstellen haben und eine geringe Fähigkeit, schnell zu reagieren. Die Geschwindigkeit ist da sehr wichtig. Man muss schneller sein, als der Angriff passiert.“ Auch die anderen Teilnehmer des Panels thematisierten das und nutzten dafür den Begriff „Vor die Welle kommen“.

Oft sei die Krise eben schon da, lange bevor sie in der Tagesschau Erwähnung findet. Einzelne Organisationen müssen sich schützen und sich vorbereiten, damit sie mit täglicher Routine in die Lage kommen, auch auf unbekannte Situationen reagieren zu können. „Eine Cybernation unterstützt Organisationen und die Nation, indem sie Mittel zur Verfügung stellt, diesen Zustand zu erreichen“, so Jan-Oliver Wagner.

Unterschiede zwischen Militär und Kommunen

Die Sicht der Bundeswehr erklärte Generalmajor Dr. Michael Färber, Abteilungsleiter Planung und Digitalisierung, Kommando Cyber- & Informationsraum: Ihm zufolge ist eine Krise dann gegeben, wenn die Maßnahmen und Möglichkeiten zu reagieren nicht mehr ausreichen. „Dann entwickelt sich etwas zu einer Krise.“

Aus Sicht der Kommunen jedoch ergibt sich ein anderes Bild, wusste Katrin Giebel, die Geschäftsstellenleiterin der VITAKO, der Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister, zu berichten. „80 Prozent der Verwaltungsdienstleistungen finden auf der kommunalen Ebene statt. Da gibt es schon Tumulte, wenn die KFZ-Zulassung nicht verfügbar ist.“ In den immer wieder stark gebeutelten Städten und Gemeinden fangen Krisen deutlich früher an: „Für uns sind schon die Bedrohungen fast gleichzusetzen mit einer Krise.“

Erschreckend fürs BSI: Nachlässigkeit in Organisationen

Das BSI dagegen definiert eine „Krise“, wenn eine einzelne Organisation nicht oder nicht mehr in der Lage ist, ein Problem allein zu lösen. Dr. Dirk Häger, Abteilungsleiter Operative Cyber-Sicherheit beim BSI: „Sobald zwei Ressorts betroffen sind, tritt der Krisenstab zusammen, für uns ist eine Krise gegeben, sobald wir ein Problem mit der Standardorganisation nicht gelöst bekommen.“ Da komme dann auch den Mitarbeitern, die über die Einberufung entscheiden, eine wichtige Rolle zu. „Man erreicht eben einen Punkt, wo man sich einig ist: Jetzt brauchen wir den Krisenstab.“

Erschreckend, etwa angesichts der Vorgänge rund um die Log4j-Schwachstelle findet Häger aber eher, wie lange nach eigentlich schon gelösten Krisen noch erfolgreiche Angriffe stattfinden. „Wir betreiben da gerade am Anfang sehr, sehr viel Aufwand. Die Log4j-Krise war eigentlich vorbei, aber sehr viele Organisationen waren immer noch angreifbar und hatten unzureichende Reaktionsfähigkeiten. Aber keiner kuckt mehr drauf“, klagt der Abteilungsleiter aus dem BSI.

Wie die Reaktionsgeschwindigkeit erhöhen?

Von der Moderatorin Dr. Eva-Charlotte Proll, Chefredakteurin und Herausgeberin beim Behörden Spiegel, gefragt, was angesichts dieser Einsichten denn konkret helfe, schildert er das typische Vorgehen und die Entscheidungsfindung beim aktuellen Checkpoint-Vorfall: „Ob etwas eine Krise ist oder nicht, ist Expertenwissen. In dem Fall war das erst eine Lücke, die von staatlichen Akteuren initiiert wurde.“ Handlungsbedarf war spätestens dann gegeben, als die Checkpoint-Backdoor von anderen Angreifern ausgenutzt wurde. Auch das Wissen um diese konkrete Gefährdungslage ist für Betroffene von zentraler Bedeutung.

Jan Oliver Wagner betonte hier noch einmal die Bedeutung des Faktors Wissen. Oft werde die Gefährdung nicht angemessen diskutiert. Anfang 2024 beispielsweise reduzierte eine wichtige US-Behörde (NIST) den Informationsumfang ihrer Schwachstellendatenbank – eine Krise für jeden Anbieter von Vulnerability Management und deren Kunden. Außerdem zeuge es von Handlungsbedarf, dass die NIST immer noch nicht als kritische Infrastruktur definiert sei.

Die vom NIST gelieferten Informationen sind auch für die Fähigkeiten des nationalen Cyberabwehrzentrums, ein Lagebild zu erstellen, von zentraler Bedeutung, pflichtet ihm Färber bei. Das betrifft auch die Zusammenarbeit mit der Branche: Eine Reihe von großen Firmen „rühmen sich damit, Exploit-Listen binnen fünf Minuten an ihre Kunden zu liefern. Da können auch wir noch besser werden.“

Carsten Meywirth, Leiter Abteilung Cybercrime beim BKA, betonte die Unterschiede zwischen staatlichen und kriminellen Angriffen, auch am Beispiel des Supply-Chain-Angriffs auf Solarwinds. Kriminelle Angreifer haben oft wenig Interesse, eine Krise hervorzurufen, weil zu viel mediale Aufmerksamkeit die möglichen finanziellen Erträge gefährdet. Auch Sicherheitsbehörden müssten da stets vor die Welle kommen. Und dafür brauche es Aufklärung und das Potential, die Infrastruktur der Angreifer zu stören.

BKA: Internationale Zusammenarbeit

Deutschland sei, so Generalmajor Färber, bei den Angriffen immer unter den Top 4 Ländern. Die USA rangierten stets auf Platz eins, doch in den Schleppnetzen der Angreifer landen wir schon allein wegen unserer Größe. Das mache die hervorragende internationale Zusammenarbeit bei Aufklärung und Täterjagd so wichtig. „Vor allem die Achse Deutschland-USA-Niederlande ist da sehr erfolgreich, aber auch die „Datasprints“ mit den Five-Eyes-Staaten (USA, UK, Australien, Kanada und Neuseeland), wo man auch Geheimdiensterkenntnisse auf einen gemeinsamen Tisch legt und abgleicht, seien von elementarer Bedeutung. „Eine erfolgreiche Täteridentifizierung ist ohne solche Allianzen meistens unmöglich“, so Michael Färber. Deutschland ist mit seinen dafür relevanten Organisationen gut aufgestellt. „Wir haben deutlich höhere Redundanz als andere, und das stellt in diesem Kampf ein großes Asset dar.“ In der beispielhaften „Operation Endgame“, eine vom FBI gestartete Kooperation der Sicherheitsbehörden mit der freien Wirtschaft zeige sich dann gerade jetzt auch die ganze Schlagkraft dieser Strukturen. „Das müssen und werden wir weiter ausbauen.“

„Wir brauchen eine Notrufnummer für Kommunen in IT-Krisen“

So vor die Welle zu kommen, ist für die Kommunen noch Zukunftsmusik. Die seien stark angewiesen auf interföderale Unterstützung und eine Kultur der Zusammenarbeit, ein aktuelles Lagebild ist für sie unabdingbar, berichtet Katrin Giebel von VITAKO. Als Vertreter der kommunalen IT-Dienstleister kenne man viele kritische Situationen und die Nöte der Gemeinden gut – von Personalnot bis hin zu fehlender Expertise oder einer heute noch fehlenden Notrufnummer für IT-Krisen. So eine Hotline wäre nicht nur hilfreich, sie entspricht wohl auch der Definition aus Wagners einführenden Vortrag: „Eine Cybernation schützt sich, indem sie die Unternehmen dabei unterstützt, sich zu schützen.“

BSI: Vorsorge ist das Wichtigste

Auch wenn das BSI sich nicht in der Lage sieht, einen solchen Anspruch allein zu erfüllen, habe man diese dezentrale Denkweise schon immer verinnerlicht. Aber ob das BSI zu einer Zentralstelle in diesem Sinne ausgebaut werden soll, müsse man erst diskutieren, erklärt Dirk Häger vom BSI. „Viel wichtiger ist aber Prävention. Wer heute ein ungesichertes System ins Netz stellt, wird schnell gehackt. Die Bedrohungslage ist da. Wir müssen das abwehren können. Und genau das ist Prävention.“

Dafür, ergänzt Wagner, sei die Information zentral. Und die Informationen zu verteilen, sei durchaus eine Aufgabe des Staates, da sieht er „die existierenden Organisationen in der perfekten Rolle.“


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Dirk Boeing

NIS2: Von drohendem Unheil zu effizienten Maßnahmen

Der Winter naht: Der Leitspruch des Hauses Stark aus der Serie „Game of Thrones“ deutet auf das Heraufziehen eines nicht näher definierten Unheils hin. Ist NIS2 eine Walze aus Eis und Feuer, die die gesamte europäische IT-Landschaft unter sich begräbt und vor der sich nur retten kann, wer eines der zahllosen Webinare besucht und alle Ratschläge befolgt?

NIS2 als solches ist lediglich eine Richtlinie, die von der EU erlassen wurde. Sie soll die vielleicht noch nicht optimale IT-Sicherheit von Betreibern wichtiger und kritischer Infrastrukturen sicherstellen und die Cyberresilienz erhöhen. Auf Basis dieser Richtlinie sind nun die Mitgliedsländer aufgerufen, ein entsprechendes Gesetz zu schaffen, das diese Richtlinie in nationales Recht umsetzt.

Was soll geschützt werden?

Bereits 2016 wurde die NIS-Richtlinie durch die EU eingeführt, um für die Gesellschaft relevante Branchen und Dienstleister vor Angriffen in der Cybersphäre zu schützen. Diese Regelung enthält verbindliche Vorgaben zum Schutz von IT-Strukturen in Unternehmen, die als Betreiber kritischer Infrastrukturen (KRITIS) tätig sind. Hierbei handelt es sich um Unternehmen, die eine unverzichtbare Rolle innerhalb der Gesellschaft spielen, weil sie in Bereichen wie Gesundheitsdiensten, Energieversorgung und Transport tätig sind. Bereiche also, in denen vorsätzlich herbeigeführte Störungen oder Ausfälle zu katastrophalen Zuständen führen können – wessen Haushalt gerüstet ist, einen mehrtägigen Stromausfall mit allen Konsequenzen zu überstehen, der möge die Hand heben…

Angesichts der weiter voranschreitenden Digitalisierung musste die EU eine Nachfolgeregelung (NIS2) schaffen, die zum einen strengere Anforderungen an die Informationssicherheit stellt, zum anderen aber auch einen größeren Kreis an Unternehmen erfasst, die für die Gesellschaft „wichtig“ oder „besonders wichtig“ sind. Diese Unternehmen werden nun in die Pflicht genommen, gewisse Standards in der Informationssicherheit zu erfüllen.

Obwohl die NIS2-Richtlinie bereits im Dezember 2022 verabschiedet wurde, haben die Mitgliedsländer bis zum 17. Oktober 2024 Zeit, ein entsprechendes Umsetzungsgesetz zu verabschieden. Deutschland wird es bis dahin wohl nicht schaffen. Trotzdem gibt es keinen Grund, sich zurückzulehnen. Das NIS2UmsuCG wird kommen, und mit ihm erhöhte Anforderungen an die IT-Sicherheit vieler Unternehmen und Institutionen.

Wer muss jetzt handeln?

Betroffen sind Unternehmen aus vier Gruppen. Einmal sind das die besonders wichtigen Einrichtungen mit 250 oder mehr Mitarbeitern oder 50 Millionen Euro Jahresumsatz und einer Bilanzsumme ab 43 Millionen Euro. Ein Unternehmen, das diese Kriterien erfüllt und in einem der Sektoren Energie, Transport/ Verkehr, Finanzen/ Versicherungen, Gesundheit, Wasser/ Abwasser, IT und TK oder Weltraum tätig ist, gilt als besonders wichtig.

Daneben gibt es die wichtigen Einrichtungen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz und einer Bilanzsumme von 10 Millionen Euro. Erfüllt ein Unternehmen diese Kriterien und ist es in einem der Sektoren Post/ Kurier, Chemie, Forschung, verarbeitendes Gewerbe (Medizin/ Diagnostika, DV, Elektro, Optik, Maschinenbau, Kfz/ Teile, Fahrzeugbau), digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke), Lebensmittel (Großhandel, Produktion, Verarbeitung) oder Entsorgung (Abfallwirtschaft) tätig, so gilt es als wichtig.

Neben besonders wichtigen und wichtigen Einrichtungen gibt es die kritischen Anlagen, die weiterhin durch die KRITIS-Methodik definiert werden. Zusätzlich werden auch Bundeseinrichtungen reguliert.

Was ist zu tun?

Konkret bedeutet das, dass alle betroffenen Unternehmen und Institutionen, ganz gleich ob „besonders wichtig“ oder „wichtig“, eine Reihe von Auflagen und Pflichten zu erfüllen haben, die wenig Interpretationsspielraum lassen und daher strikt zu beachten sind. Auf folgenden Gebieten muss gehandelt werden:

Risikomanagement

Betroffene Unternehmen sind verpflichtet, ein umfassendes Risikomanagement einzuführen. Dazu gehören neben einer Zugangskontrolle, Multi-Faktor-Authentifizierung und Single Sign-On (SSO) auch Training und Incident Management sowie ein ISMS und Risikoanalysen. Darunter fallen auch das Schwachstellenmanagement und die Anwendung von Schwachstellen- und Compliance-Scans.

Meldepflichten

Für alle Unternehmen besteht eine Meldepflicht für „erhebliche Sicherheitsvorfälle“: Diese müssen unverzüglich, spätestens aber innerhalb von 24 Stunden der Meldestelle des BSI berichtet werden. Weitere Updates haben innerhalb von 72 Stunden und 30 Tagen zu erfolgen.

Registrierung

Die Unternehmen sind verpflichtet, ihre Betroffenheit von der NIS2-Gesetzgebung selbst festzustellen und sich innerhalb einer Frist von drei Monaten selbst zu registrieren. Wichtig: Niemand sagt einem Unternehmen, dass es unter die NIS2-Regelung fällt und sich registrieren muss. Die Verantwortung liegt ausschließlich bei den einzelnen Unternehmen und deren Geschäftsführern.

Nachweise

Es reicht nicht aus, die vorgegebenen Vorkehrungen lediglich zu treffen, sondern es müssen auch entsprechende Nachweise erbracht werden. Wichtige und besonders wichtige Einrichtungen werden stichprobenartig durch das BSI kontrolliert werden, wobei entsprechende Dokumentationen vorgelegt werden müssen. KRITIS-Einrichtungen werden turnusmäßig alle drei Jahre überprüft.

Informationspflichten

Sicherheitsvorfälle unter den Teppich zu kehren, ist zukünftig nicht mehr möglich. Das BSI erhält eine Weisungsbefugnis zur Unterrichtung von Kunden über Sicherheitsvorfälle. Ebenso erhält das BSI eine Weisungsbefugnis über die Unterrichtung der Öffentlichkeit von Sicherheitsvorfällen.

Governance

Geschäftsführer werden verpflichtet, Maßnahmen zum Risikomanagement zu billigen. Ebenso werden Schulungen zum Thema Pflicht. Besonders gravierend: Geschäftsführer haften persönlich mit ihrem Privatvermögen bei Pflichtverletzungen.

Sanktionen

In der Vergangenheit war es gelegentlich so, dass Unternehmen lieber die diffuse Möglichkeit eines Bußgeldes in Kauf nahmen als konkrete Investitionen in Cybersicherheitsmaßnahmen zu tätigen, da das Bußgeld im Verhältnis durchaus annehmbar erschien. NIS2 wirkt dem nun durch neue Tatbestände und teils drastisch erhöhte Bußgelder entgegen. Verschärft wird das nochmal durch die persönliche Haftung von Geschäftsführern.

Wie man sieht, ist das zu erwartende NIS2-Umsetzungsgesetz ein komplexes Gebilde, welches sich auf eine Vielzahl von Bereichen erstreckt und dessen Anforderungen in den seltensten Fällen mit einer einzigen Lösung abgedeckt werden können.

Welche Maßnahmen sind möglichst bald zu treffen?

Scannen Sie Ihre IT-Systeme kontinuierlich auf Schwachstellen. Sicherheitslücken werden damit schnellstmöglich aufgedeckt, priorisiert und dokumentiert. Dank regelmäßiger Scans und ausführlicher Berichte schaffen sie die Grundlage zur Dokumentation der Entwicklung der Sicherheit Ihrer IT-Infrastruktur. Gleichzeitig erfüllen Sie damit Ihre Nachweispflichten und sind im Fall einer Prüfung bestens gewappnet.

Experten können auf Wunsch den kompletten Betrieb des Schwachstellenmanagements in Ihrem Unternehmen übernehmen. Dazu gehören auch Leistungen, wie Web-Application Pentesting, bei dem gezielt Schwachstellen in Webanwendungen aufgedeckt werden. Damit decken Sie einen wichtigen Bereich im NIS2-Anforderungskatalog, und erfüllen die Anforderungen des § 30 (Risikomanagementmaßnahmen).

Fazit

Es gibt es nicht die eine, alles umfassende Maßnahme, mit der Sie sofort rundum NIS2-konform sind. Vielmehr ist eine Vielzahl unterschiedlicher Maßnahmen, die zusammengenommen eine gute Basis ergeben. Ein Bestandteil davon ist Schwachstellenmanagement mit Greenbone. Wenn Sie das im Hinterkopf behalten und rechtzeitig auf die richtigen Bausteine setzen, sind Sie als IT-Verantwortlicher auf der sicheren Seite. Und der Winter kann kommen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von