Schlagwortarchiv für: Cyber-Sicherheit

Elmar Geese

TISAX-Zertifizierung für Greenbone

Greenbone ist nun ein TISAX-Mitglied und sein Information Security Management System (ISMS) und seine Datenschutzprozesse sind im Rahmen des TISAX-Programms der deutschen Automobilindustrie zertifiziert. „Wir haben diesen Schritt unternommen, um unserer Kundschaft den bestmöglichen Schutz sensibler und vertraulicher Informationen zu bieten, als nächsten logischen Schritt nach der erfolgreichen Zertifizierung nach weltweit anerkannten internationalen Industriestandards wie ISO 27001 und ISO 9001.“ – Dr. Jan-Oliver Wagner, CEO von Greenbone. Die Ergebnisse sind auf dem ENX-Portal unter der Scope-ID S3LW9L und der Assessment-ID A1P7V9 verfügbar. TISAX und die TISAX-Ergebnisse sind nicht für die Allgemeinheit bestimmt.

TISAX-Logo

TISAX, der „Trusted Information Security Assessment Exchange“, ist ein Mechanismus zur Überprüfung und zum Austausch von Testergebnissen nach branchenspezifischen Standards. Ursprünglich als System für den Austausch von standardisierten Testergebnissen in der Automobilindustrie geschaffen, ist es für die Risikobewertung von Zulieferern optimiert. Deshalb wird TISAX von der ENX Association entwickelt und verwaltet und vom Verband der Automobilindustrie (VDA) herausgegeben. Der Fokus liegt auf der sicheren Informationsverarbeitung zwischen Geschäftspartnern, dem Schutz von Prototypen und dem Datenschutz gemäß der EU-Datenschutzgrundverordnung (DSGVO) bei möglichen Geschäften zwischen Automobilherstellern und ihren Dienstleistern oder Lieferanten.

Als wesentlicher Bestandteil einer sicheren Lieferkette ist TISAX ein Standard für Information Security Management Systems (ISMS), der im Jahr 2017 ursprünglich von der Norm ISO/IEC 27001 abgeleitet wurde, sich aber inzwischen weiterentwickelt hat. Für die Automobilindustrie bringt TISAX Standardisierung, Qualitätssicherung und garantiert, dass Informationssicherheitsmaßnahmen von Auditanbietern nach den VDA-Standards bewertet werden. Audits nach TISAX, insbesondere bei Dienstleistern und Zulieferern, werden von sogenannten „TISAX-Prüfdienstleister“ durchgeführt und umfassen drei Reifegrade, über die Sie sich im TISAX-Teilnehmerhandbuch und auf den Websites von Zertifizierungsanbietern wie Adacor einen Überblick verschaffen können.

Greenbones Zertifizierungen erhöhen den Wert unserer Produkte für unsere Kundschaft, nicht nur durch Zeit- und Kostenersparnis, sondern auch durch den Nachweis eines hervorragenden Sicherheitsniveaus und hoher Standards. Elmar Geese, CIO bei Greenbone: „Mit TISAX haben wir unseren unabhängig geprüften Sicherheitsstatus dokumentiert. Unsere Kundschaft muss keine individuellen Bewertungen vornehmen, nicht mit langwierigen Fragebögen arbeiten oder all die anderen Dinge tun, die für ein Bottom-up-Audit erforderlich sind. Wir garantieren, dass wir ihre Sicherheitsanforderungen erfüllen.“

Deshalb folgt Greenbone dem Fragenkatalog zur Informationssicherheit des Verbandes der Automobilindustrie (VDA ISA). Die Bewertung wurde von einem Auditanbieter durchgeführt. Das Ergebnis ist ausschließlich über das ENX-Portal abrufbar (Scope-ID: S3LW9L, Assessment-ID: A1P7V9).


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Jan-Oliver Wagner

Aktive und passive Schwachstellenscans – den Cyber-Kriminellen einen Schritt voraus

In der vernetzten Produktion wachsen IT und OT immer stärker zusammen. Wo früher eine Sicherheitslücke „nur“ ein Datenleck verursacht hat, kann heute die gesamte Produktion zusammenbrechen. Wer regelmäßige aktive und passive Schwachstellenscans durchführt, kann sich schützen.

Was bei der physischen Infrastruktur etwas befremdlich wirkt – wer stellt schon einen Einbruch nach, um seine Alarmanlage zu testen – ist in der IT ein probates Verfahren, um Schwachstellen zu identifizieren. Dieses sogenannte aktive Scanning kann täglich und automatisch durchgeführt werden. Passives Scanning hingegen erkennt einen laufenden Einbruch, denn auch jeder Cyber-Einbruch hinterlässt Spuren, wenn auch oft verdeckt.

Den Verkehr kontrollieren

Firewalls und Antivirus-Programme nutzen beispielsweise passive Scans und überprüfen so den Traffic, der ein System erreicht. Diese Daten werden dann mit einer Datenbank abgeglichen. Dort sind Informationen zu Schadsoftware, unsicheren Anfragen und anderen Anomalien hinterlegt. Wenn die Firewall etwa eine Anfrage von einem unsicheren Sender bekommt, der Profildaten von Nutzenden auslesen will, lehnt sie die Anfrage ab. Das System selbst bekommt davon nichts mit, denn der passive Scan greift nicht auf das System zu, sondern nur auf den Datenverkehr.

Der Vorteil dabei: Das System muss keine zusätzliche Rechenleistung aufwenden. Trotz der Überprüfung kann die volle Bandbreite genutzt werden. Das ist vor allem bei kritischen Komponenten sinnvoll. Sie sollen eine möglichst hohe Verfügbarkeit aufweisen. Je weniger Zusatztätigkeiten sie ausführen, desto besser.

Der Nachteil des passiven Scannings: Nur Systeme, die selbst aktiv kommunizieren, kann man auch sehen. Nicht dazu gehört beispielsweise Büro-Software oder PDF-Reader. Aber auch Dienste, die kommunizieren, tun das vor allem mit ihren Hauptfunktionen. Funktionen mit Schwachstellen, die selten oder gar nicht im Regiebetrieb genutzt werden, sind nicht sichtbar oder eben erst dann, wenn der Angriff bereits läuft.

Die Infrastruktur überprüfen

Aktive Scans arbeiten anders und simulieren Angriffe. Sie stellen Anfragen an das System und versuchen dadurch, unterschiedliche Reaktionen auszulösen. Der aktive Scanner schickt zum Beispiel eine Anfrage zur Datenübermittlung an verschiedene Programme im System. Reagiert eines der Programme und leitet die Daten an die simuliert unbefugte Stelle weiter, hat der Scanner eine Sicherheitslücke gefunden.

Unterschiede zwischen aktiven und passiven Schwachstellenscans

Links: Beim aktiven Scan werden Anfragen an das System gesendet und dadurch versucht, unterschiedliche Reaktionen auszulösen. Rechts: Passive Scans überprüfen den Traffic, der ein System erreicht und gleichen diese Daten mit einer Datenbank ab.

Der Vorteil: Die Datenqualität, die beim aktiven Scannen erreicht werden kann, ist höher als beim passiven Scannen. Da die Interaktion direkt mit der Software und den Schnittstellen stattfindet, können Probleme in Programmen erkannt werden, die normalerweise nicht direkt mit dem Netz kommunizieren. Auf diese Weise werden auch Schwachstellen in Programmen wie Office-Anwendungen entdeckt.

Bei der direkten Interaktion müssen Systeme allerdings Extraanfragen bearbeiten, die dann unter Umständen die Grundfunktionen eines Programms beeinträchtigen. Betriebstechnik wie Maschinensteuerungen sind zum Beispiel nicht unbedingt dafür ausgelegt, Nebentätigkeiten auszuführen. Hier empfiehlt sich zum Beispiel Scannen unter Aufsicht und als Ergänzung kontinuierliches passives Scannen.

Aktiv scannen, aber minimalinvasiv

Trotzdem sind aktive Scans für die betriebliche Cyber-Sicherheit essenziell. Denn das Risiko, welches von der kurzfristigen Überbeanspruchung einer Systemkomponente ausgeht, ist klein im Vergleich zu einem Produktionsausfall oder einem Datenleck. Zudem decken aktive Scans nicht nur Schwachstellen auf, sie können auch passive Scans verbessern. So lassen sich die Schwachstellen, die erkannt werden, etwa in die Datenbanken von Firewalls aufnehmen. Das hilft auch anderen Unternehmen, die ähnliche Systeme nutzen.

Aktives und passives Scannen arbeiten Hand in Hand

Da der passive Scanner dem aktiven Scanner auch hilfreiche Informationen wie beispielsweise zu Mobiltelefonen oder Eigenschaften zu Netzwerk-Diensten geben kann, kann man von einer komplementären Ergänzung dieser beiden Sicherheitstools sprechen. Beiden ist gemein, dass sie aus der gegebenen Situation im Netzwerk automatisch immer das Beste herausholen. Für die Techniken des passiven und aktiven Scannens ist es egal, aus welchen oder wie vielen Komponenten und Programmen das Netzwerk besteht. Beide Sicherheitstechnologien erkennen dies von selbst und stellen sich darauf ein. Erst mit einem höheren Sicherheitsgrad beginnt die optimierte Abstimmung von Netzwerk und Scannern.

Es ist also keine Frage, ob man das eine oder das andere anwenden sollte. Beide Verfahren sind notwendig, um eine sichere Netzwerkumgebung zu gewährleisten. Ein rein passiver Ansatz wird in vielen Fällen nicht helfen. Ein proaktives Schwachstellenmanagement benötigt aktive Scans und Tools, um diese zu verwalten. Das ist es, was Greenbones Schwachstellenmanagement-Produkte bieten.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

Krieg in der Ukraine – Auch Cyber-Angriffe stellen eine Gefahr dar

Cyber Security zur Abwehr von Cyber-Angriffen

Kaum ein Thema ist derzeit so präsent wie der Krieg in der Ukraine, der zahlreiche zivile und militärische Opfer fordert. Doch in unserer heutigen vernetzten und digitalisierten Welt besteht die Gefahr nicht nur in militärischen Angriffen, sondern weitet sich auch auf den Cyber-Raum aus. Laut Institute for Economics and Peace (IEP) steigen bereits jetzt die Cyber-Angriffe auf die Ukraine und andere Länder [1]. Besonders gefährdet sind dabei kritische Infrastrukturen (KRITIS).

Darunter fallen laut Definition der Bundesregierung „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Bestandteil der KRITIS in den meisten Ländern sind somit das Gesundheitswesen, der Energie- und der Wassersektor, das Transportwesen und die Informations- und Kommunikationstechnologie.

Aber nicht nur KRITIS-Organisationen müssen sich daher besonders gut gegen Cyber-Angriffe schützen und ihre Angriffsfläche verringern. Für die gesamte IT-Infrastruktur besteht eine grundsätzliche Gefahr, eine grundsätzliche Angreifbarkeit, der man begegnen muss: defensiv und nachhaltig. Einen elementaren Einfluss hat hier das Beseitigen von Schwachstellen in den IT-Infrastrukturen. Da die meisten Schwachstellen bereits seit langer Zeit bekannt sind, können sie mithilfe von Schwachstellenmanagement aufgedeckt und anschließend entfernt werden. Letztlich bedeutet das, Cyber-Kriminellen einen Schritt voraus zu sein.

„Wir setzen dabei konsequent darauf, die Defensive zu stärken und nicht die Offensive“, sagt Elmar Geese, CIO/CMO von Greenbone. Dabei folgt Geese der Ansicht international renommierter Fachleute wie Manuel Atug von der AG KRITIS: „Offensiv vorzugehen ist nie zielführend, erst recht nicht in einem Krieg. Denn dann wird man Kombattant in einem Krieg und riskiert einiges, was vielen offenbar so nicht klar ist.“ Laut Atug sei nicht absehbar, welche Folgen auf Angreifende zukommen könnten [2].

Unser Ziel ist deshalb eine starke Defensive. Wir freuen uns zu sehen, dass unsere Open-Source-Technologie auch in der Ukraine hilft, russische Cyber-Angriffe abzuwehren.

[1] https://www.zeit.de/news/2022-03/02/experten-warnen-vor-cyberterrorismus-im-ukraine-konflikt

[2] https://background.tagesspiegel.de/cybersecurity/putin-wird-sich-nicht-wegcybern-lassen


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von