Schlagwortarchiv für: Greenbone
IT-Sicherheitsteams müssen nicht unbedingt wissen, was CSAF ist, aber andererseits kann die Kenntnis dessen, was „unter der Haube“ einer Schwachstellenmanagement-Plattform passiert, einen Kontext dafür liefern, wie sich das Schwachstellenmanagement der nächsten Generation entwickelt und welche Vorteile ein automatisiertes Schwachstellenmanagement hat. In diesem Artikel geben wir eine Einführung in CSAF 2.0, was es ist und wie es das Schwachstellenmanagement in Unternehmen verbessern soll.
Die Greenbone AG ist offizieller Partner des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei der Integration von Technologien, die den CSAF 2.0 Standard für automatisierte Cybersecurity Advisories nutzen.
Was ist CSAF?
Das Common Security Advisory Framework (CSAF) 2.0 ist ein standardisiertes, maschinenlesbares Format für Hinweise auf Sicherheitslücken. CSAF 2.0 ermöglicht es der vorgelagerten Cybersecurity Intelligence Community, einschließlich Software- und Hardware-Anbietern, Regierungen und unabhängigen Forschern, Informationen über Schwachstellen bereitzustellen. Nachgelagert ermöglicht CSAF den Nutzern von Schwachstelleninformationen, Sicherheitshinweise von einer dezentralen Gruppe von Anbietern zu sammeln und die Risikobewertung mit zuverlässigeren Informationen und weniger Ressourcenaufwand zu automatisieren.
Durch die Bereitstellung eines standardisierten, maschinenlesbaren Formats stellt CSAF eine Entwicklung hin zu einem automatisierten Schwachstellenmanagement der nächsten Generation dar, das die Belastung der IT-Sicherheitsteams, die mit einer ständig wachsenden Zahl von CVE-Enthüllungen konfrontiert sind, verringern und die risikobasierte Entscheidungsfindung angesichts eines Ad-hoc-Ansatzes beim Austausch von Schwachstelleninformationen verbessern kann.
CSAF 2.0 ist der Nachfolger des Common Vulnerability Reporting Framework (CVRF) v1.2 und erweitert die Möglichkeiten seines Vorgängers, um mehr Flexibilität zu bieten.
Hier sind die wichtigsten Erkenntnisse:
- CSAF ist ein internationaler offener Standard für maschinenlesbare Dokumente mit Hinweisen auf Schwachstellen, der die Markup-Sprache JSON verwendet.
- Die CSAF-Aggregation ist ein dezentralisiertes Modell zur Verteilung von Schwachstelleninformationen.
- CSAF 2.0 wurde entwickelt, um ein automatisiertes Schwachstellenmanagement der nächsten Generation in Unternehmen zu ermöglichen.
Der traditionelle Prozess des Schwachstellenmanagements
Der traditionelle Prozess der Schwachstellenverwaltung ist für große Unternehmen mit komplexen IT-Umgebungen ein schwieriger Prozess. Die Anzahl der CVEs, die in jedem Patch-Zyklus veröffentlicht werden, steigt in einem unkontrollierbaren Tempo [1][2]. Bei einem herkömmlichen Schwachstellenmanagementprozess sammeln IT-Sicherheitsteams Schwachstelleninformationen manuell über Internetrecherchen. Auf diese Weise ist der Prozess mit einem hohen manuellen Aufwand für das Sammeln, Analysieren und Organisieren von Informationen aus einer Vielzahl von Quellen und Ad-hoc-Dokumenten Formaten verbunden.
Zu diesen Quellen gehören in der Regel:
- Datenbanken zur Verfolgung von Schwachstellen wie NIST NVD
- Sicherheitshinweise der Produktanbieter
- Nationale und internationale CERT-Beratungen
- Bewertungen der CVE-Nummerierungsbehörde (CNA)
- Unabhängige Sicherheitsforschung
- Plattformen für Sicherheitsinformationen
- Code-Datenbanken ausnutzen
Das letztendliche Ziel, eine fundierte Risikobewertung durchzuführen, kann während dieses Prozesses auf verschiedene Weise vereitelt werden. Empfehlungen, selbst die des Produktanbieters, sind oft unvollständig und werden in einer Vielzahl nicht standardisierter Formate geliefert. Dieser Mangel an Kohärenz erschwert eine datengestützte Entscheidungsfindung und erhöht die Fehlerwahrscheinlichkeit.
Lassen Sie uns kurz die bestehende Informationspipeline für Schwachstellen sowohl aus der Sicht der Ersteller als auch der Verbraucher betrachten:
Der Prozess der Offenlegung von Schwachstellen
Die in der National Vulnerability Database (NVD) des NIST (National Institute of Standards and Technology) veröffentlichten CVE-Datensätze (Common Vulnerability and Exposure) stellen das weltweit zentralste globale Repository für Schwachstelleninformationen dar. Im Folgenden finden Sie einen Überblick darüber, wie der Prozess der Offenlegung von Schwachstellen funktioniert:
- Produktanbieter werden durch ihre eigenen Sicherheitstests oder durch unabhängige Sicherheitsforscher auf eine Sicherheitslücke aufmerksam und setzen damit eine interne Richtlinie zur Offenlegung von Sicherheitslücken in Gang. In anderen Fällen können unabhängige Sicherheitsforscher direkt mit einer CVE Numbering Authority (CNA) zusammenarbeiten, um die Schwachstelle ohne vorherige Rücksprache mit dem Produktanbieter zu veröffentlichen.
- Schwachstellen-Aggregatoren wie NIST NVD und nationale CERTs erstellen eindeutige Tracking-IDs (z. B. eine CVE-ID) und fügen die gemeldete Schwachstelle einer zentralen Datenbank hinzu, in der Produktanwender und Schwachstellenmanagement-Plattformen wie Greenbone die Fortschritte verfolgen können.
- Verschiedene Interessengruppen wie der Produkthersteller, NIST NVD und unabhängige Forscher veröffentlichen Hinweise, die Informationen zu Abhilfemaßnahmen, voraussichtliche Termine für offizielle Patches, eine Liste der betroffenen Produkte, CVSS-Auswirkungsbewertungen und Schweregrade, Common Platform Enumeration (CPE) oder Common Weakness Enumeration (CWE) enthalten können, aber nicht müssen.
- Andere Anbieter von Informationen über Cyber-Bedrohungen, wie z. B. Known Exploited Vulnerabilities (KEV) von CISA und Exploit Prediction Scoring System (EPSS) von First.org, liefern zusätzlichen Risikokontext.
Der Prozess des Schwachstellenmanagements
Die Produktanwender sind für die Aufnahme von Schwachstelleninformationen und deren Anwendung verantwortlich, um das Risiko einer Ausnutzung zu mindern. Hier ein Überblick über den traditionellen Prozess des Schwachstellenmanagements in Unternehmen:
- Produktanwender müssen CVE-Datenbanken manuell durchsuchen und die Sicherheitshinweise überwachen, die ihre Software- und Hardware-Assets betreffen, oder eine Schwachstellenmanagement-Plattform wie Greenbone nutzen, die automatisch die verfügbaren Ad-hoc-Bedrohungshinweise zusammenfasst.
- Die Produktnutzer müssen die verfügbaren Informationen mit ihrem IT-Bestand abgleichen. Dies beinhaltet in der Regel die Pflege eines Bestandsverzeichnisses und die Durchführung eines manuellen Abgleichs oder die Verwendung eines Produkts zum Scannen von Schwachstellen, um den Prozess der Erstellung eines Bestandsverzeichnisses und der Durchführung von Schwachstellentests zu automatisieren.
- Die IT-Sicherheitsteams ordnen die entdeckten Schwachstellen nach dem kontextbezogenen Risiko für kritische IT-Systeme, Geschäftsabläufe und in einigen Fällen für die öffentliche Sicherheit.
- Die Ausbesserungen werden entsprechend der endgültigen Risikobewertung und den verfügbaren Ressourcen zugewiesen.
Was ist falsch am traditionellen Schwachstellenmanagement?
Herkömmliche oder manuelle Verfahren zur Verwaltung von Schwachstellen sind in der Praxis komplex und nicht effizient. Abgesehen von den operativen Schwierigkeiten bei der Implementierung von Software-Patches behindert der Mangel an zugänglichen und zuverlässigen Informationen die Bemühungen um eine wirksame Sichtung und Behebung von Schwachstellen. Die alleinige Verwendung von CVSS zur Risikobewertung wurde ebenfalls kritisiert [1][2], da es an ausreichendem Kontext für eine solide risikobasierte Entscheidungsfindung mangelt. Obwohl Plattformen zur Verwaltung von Schwachstellen wie z. B. Greenbone die Belastung der IT-Sicherheitsteams erheblich verringern, ist der Gesamtprozess immer noch häufig von geplagt von einer zeitaufwändigen manuellen Zusammenstellung von Ad-hoc-Hinweisen auf Schwachstellen, die unvollständige Informationen zur Folge haben kann.
Vor allem angesichts der ständig wachsenden Zahl von Schwachstellen besteht die Gefahr, dass die Zusammenstellung von Ad-hoc-Sicherheitsinformationen zu langsam ist und zu mehr menschlichen Fehlern führt, wodurch die Zeit für die Aufdeckung von Schwachstellen verlängert und die risikobasierte Priorisierung von Schwachstellen erschwert wird.
Fehlende Standardisierung führt zu Ad-hoc-Intelligenz
Dem derzeitigen Verfahren zur Offenlegung von Schwachstellen fehlt eine formale Methode zur Unterscheidung zwischen zuverlässigen Informationen von Anbietern und Informationen, die von beliebigen unabhängigen Sicherheitsforschern wie den Partner-CNAs bereitgestellt werden. Tatsächlich wirbt die offizielle CVE-Website selbst für die niedrigen Anforderungen, die für eine CNA-Mitgliedschaft gelten. Dies führt dazu, dass eine große Anzahl von CVEs ohne detaillierten Kontext herausgegeben wird, was eine umfangreiche manuelle Anreicherung im nachgelagerten Bereich erzwingt.
Welche Informationen aufgenommen werden, liegt im Ermessen des CNA, und es gibt keine Möglichkeit, die Zuverlässigkeit der Informationen zu klassifizieren. Ein einfaches Beispiel für dieses Problem ist, dass die betroffenen Produkte in einem Ad-hoc-Hinweis oft mit einer Vielzahl von Deskriptoren angegeben werden, die manuell interpretiert werden müssen. Zum Beispiel:
- Version 8.0.0 – 8.0.1
- Version 8.1.5 und höher
- Version <= 8.1.5
- Versionen vor 8.1.5
- Alle Versionen < V8.1.5
- 0, V8.1, V8.1.1, V8.1.2, V8.1.3, V8.1.4, V8.1.5
Skalierbarkeit
Da Anbieter, Prüfer (CNAs) und Aggregatoren verschiedene Verteilungsmethoden und Formate für ihre Hinweise verwenden, wird die Herausforderung der effizienten Verfolgung und Verwaltung von Schwachstellen operativ komplex und schwer zu skalieren. Darüber hinaus verschlimmert die zunehmende Offenlegung von Schwachstellen die manuellen Prozesse, überfordert die Sicherheitsteams und erhöht das Risiko von Fehlern oder Verzögerungen bei den Abhilfemaßnahmen.
Schwierige Bewertung des Risikokontextes
NIST SP 800-40r4 „Guide to Enterprise Patch Management Planning“ Abschnitt 3 empfiehlt die Anwendung von Schwachstellen-Metriken auf Unternehmensebene. Da das Risiko letztlich vom Kontext jeder Schwachstelle abhängt – Faktoren wie betroffene Systeme, potenzielle Auswirkungen und Ausnutzbarkeit -, stellt die derzeitige Umgebung mit Ad-hoc-Sicherheitsinformationen ein erhebliches Hindernis für ein solides risikobasiertes Schwachstellenmanagement dar.
Wie löst CSAF 2.0 diese Probleme?
Bei den CSAF-Dokumenten handelt es sich um wichtige Hinweise zu Cyber-Bedrohungen, mit denen die Lieferkette für Schwachstelleninformationen optimiert werden kann. Anstatt Ad-hoc-Schwachstellendaten manuell zu sammeln, können Produktanwender maschinenlesbare CSAF-Hinweise aus vertrauenswürdigen Quellen automatisch in einem Advisory Management System zusammenführen, das die Kernfunktionen des Schwachstellenmanagements wie Asset-Matching und Risikobewertung kombiniert. Auf diese Weise zielt die Automatisierung von Sicherheitsinhalten mit CSAF darauf ab, die Herausforderungen des traditionellen Schwachstellenmanagements durch die Bereitstellung zuverlässigerer und effizienterer Sicherheitsinformationen zu bewältigen und das Potenzial für das Schwachstellenmanagement der nächsten Generation zu schaffen.
CSAF 2.0 löst die Probleme des traditionellen Schwachstellenmanagements auf folgende Weise:
Zuverlässigere Sicherheitsinformationen
CSAF 2.0 behebt das Problem der Ad-hoc-Sicherheitsinformationen, indem es mehrere Aspekte der Offenlegung von Sicherheitslücken standardisiert. So erlauben die Felder zur Angabe der betroffenen Version standardisierte Daten wie Version Range Specifier (vers), Common Platform Enumeration (CPE), Paket-URL-Spezifikation, CycloneDX SBOM sowie den allgemeinen Produktnamen, die Seriennummer, die Modellnummer, die SKU oder den File-Hash zur Identifizierung betroffener Produktversionen.
Neben der Standardisierung von Produktversionen unterstützt CSAF 2.0 auch den Austausch von Schwachstellen (Vulnerability Exploitability eXchange, VEX), mit dem Produkthersteller, vertrauenswürdige CSAF-Anbieter oder unabhängige Sicherheitsforscher explizit den Status der Produktbehebung angeben können. VEX liefert Produktanwendern Empfehlungen für Abhilfemaßnahmen.
Die expliziten VEX-Status-Deklarationen sind:
- Nicht betroffen: Es sind keine Abhilfemaßnahmen bezüglich einer Schwachstelle erforderlich.
- Betroffen: Es werden Maßnahmen empfohlen, um eine Schwachstelle zu beheben oder zu beseitigen.
- Behoben: Bedeutet, dass diese Produktversionen einen Fix für eine Sicherheitslücke enthalten.
- Wird untersucht: Es ist noch nicht bekannt, ob diese Produktversionen von einer Sicherheitslücke betroffen sind. Ein Update wird in einer späteren Version zur Verfügung gestellt.
Effektivere Nutzung von Ressourcen
CSAF ermöglicht mehrere vor- und nachgelagerte Optimierungen des traditionellen Schwachstellenmanagement-Prozesses. Die OASIS CSAF 2.0-Dokumentation enthält Beschreibungen mehrerer Konformitätsziele, die es Cybersecurity-Administratoren ermöglichen, ihre Sicherheitsabläufe zu automatisieren und so ihre Ressourcen effizienter zu nutzen.
Hier sind einige Zielvorgaben für die Einhaltung der Vorschriften, auf die im CSAF 2.0 die eine effektivere Nutzung von Ressourcen über den traditionellen Prozess des Schwachstellenmanagements hinaus unterstützen:
- Advisory Management System: Ein Softwaresystem, das Daten verarbeitet und CSAF-2.0-konforme Beratungsdokumente erstellt. Es ermöglicht den CSAF-Produktionsteams, die Qualität der zu einem bestimmten Zeitpunkt eingehenden Daten zu bewerten, sie zu überprüfen, zu konvertieren und als gültige CSAF-2.0-Sicherheitshinweise zu veröffentlichen. Auf diese Weise können CSAF-Produzenten die Effizienz ihrer Informationspipeline optimieren und gleichzeitig sicherstellen, dass korrekte Hinweise veröffentlicht werden.
- CSAF Management System: Ein Programm, das CSAF-Dokumente verwalten kann und in der Lage ist, deren Details gemäß den Anforderungen des CSAF-Viewers anzuzeigen. Auf der grundlegendsten Ebene ermöglicht dies sowohl den vorgelagerten Produzenten als auch den nachgelagerten Konsumenten von Sicherheitshinweisen, deren Inhalt in einem für Menschen lesbaren Format zu betrachten.
- CSAF Asset Matching System / SBOM Matching System: Ein Programm, das mit einer Datenbank von IT-Assets, einschließlich Software Bill of Materials (SBOM), integriert wird und Assets mit allen CSAF-Hinweisen abgleichen kann. Ein Asset-Matching-System dient dazu, einem Unternehmen, das CSAF nutzt, Einblick in seine IT-Infrastruktur zu verschaffen, festzustellen, wo anfällige Produkte vorhanden sind, und optimale Informationen zur automatischen Risikobewertung und -behebung zu liefern.
- Technisches System: Eine Softwareanalyse-Umgebung, in der Analysewerkzeuge ausgeführt werden. Ein Engineering-System kann ein Build-System, ein Versionskontrollsystem, ein Ergebnisverwaltungssystem, ein Fehlerverfolgungssystem, ein Testausführungssystem usw. umfassen.
Dezentralisierte Cybersicherheitsinformationen
Der kürzlich verkündete Ausfall des CVE-Anreicherungsprozesses der NIST National Vulnerability Database (NVD) zeigt, wie riskant es sein kann, sich auf eine einzige Quelle für Schwachstelleninformationen zu verlassen. CSAF ist dezentralisiert und ermöglicht es nachgelagerten Nutzern von Schwachstellen, Informationen aus einer Vielzahl von Quellen zu beziehen und zu integrieren. Dieses dezentralisierte Modell des Informationsaustauschs ist widerstandsfähiger gegen den Ausfall eines Informationsanbieters, während die Last der Anreicherung von Schwachstellen effektiver auf eine größere Anzahl von Beteiligten verteilt wird.
Anbieter von IT-Produkten für Unternehmen wie RedHat und Cisco haben bereits ihre eigenen CSAF- und VEX-Feeds erstellt, während staatliche Cybersicherheitsbehörden und nationale CERT-Programme wie das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) und die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) ebenfalls CSAF-2.0-Austauschfunktionen entwickelt haben.
Das dezentralisierte Modell ermöglicht es auch, dass sich mehrere Interessengruppen zu einer bestimmten Schwachstelle äußern, so dass die nachgeschalteten Verbraucher mehr Informationen über eine Schwachstelle erhalten. Mit anderen Worten: Eine Informationslücke in einem Gutachten kann von einem alternativen Hersteller geschlossen werden, der die genaueste Bewertung oder spezialisierte Analyse liefert.
Verbesserte Risikobewertung und Priorisierung von Schwachstellen
Insgesamt tragen die Vorteile des CSAF 2.0 zu einer genaueren und effizienteren Risikobewertung, Priorisierung und Abhilfemaßnahmen bei. Produktanbieter können direkt verlässliche VEX-Hinweise veröffentlichen, die Entscheidungsträgern im Bereich Cybersicherheit zeitnahe und vertrauenswürdige Informationen zu Abhilfemaßnahmen liefern. Außerdem dient das aggregierte Schweregradobjekt (aggregate_severity) in CSAF 2.0 als Vehikel, um verlässliche Dringlichkeits- und Kritikalitätsinformationen für eine Gruppe von Schwachstellen zu übermitteln, was eine einheitlichere Risikoanalyse und eine datengesteuerte Priorisierung von Abhilfemaßnahmen ermöglicht und die Expositionszeit kritischer Schwachstellen verkürzt.
Zusammenfassung
Herkömmliche Verfahren zum Management von Schwachstellen leiden unter mangelnder Standardisierung, was zu Problemen bei der Zuverlässigkeit und Skalierbarkeit führt und die Bewertung des Risikokontexts sowie die Fehlerwahrscheinlichkeit erschwert.
Das Common Security Advisory Framework (CSAF) 2.0 zielt darauf ab, den bestehenden Prozess des Schwachstellenmanagements zu revolutionieren, indem es eine zuverlässigere, automatisierte Sammlung von Schwachstelleninformationen ermöglicht. Durch die Bereitstellung eines standardisierten, maschinenlesbaren Formats für den Austausch von Schwachstelleninformationen im Bereich der Cybersicherheit und die Dezentralisierung ihrer Quelle versetzt CSAF 2.0 Organisationen in die Lage, zuverlässigere Sicherheitsinformationen zu nutzen, um ein genaueres, effizienteres und konsistenteres Schwachstellenmanagement zu erreichen.
Die Greenbone AG ist offizieller Partner des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei der Integration von Technologien, die den CSAF 2.0 Standard für automatisierte Cybersecurity Advisories nutzen.
Auf einem Großteil der virtuellen Server der Amazon Elastic Compute Cloud EC2 läuft eine eigens für die Bedürfnisse der Cloud angepasste Linux-Version. Seit wenigen Wochen gibt es die neueste Scanner-Generation von Greenbone auch für das Betriebssystem der Amazon Web Services. Über 1.900 zusätzliche, angepasste Tests für die neuesten Versionen von Amazon Linux 2 und Amazon Linux 2023 wurden in den letzten Monaten integriert, erklärt dazu Julio Saldana, Product Owner bei Greenbone.
Deutlich mehr Performance dank Notus
Mit der Scan-Engine Notus ergänzt Greenbone seit 2022 das Schwachstellenmanagement. Die Neuerungen in der Architektur zielen vor allem darauf ab, die Performance der Security-Checks deutlich zu erhöhen. Von Greenbone-CIO Elmar Geese als „Meilenstein“ bezeichnet, geht die neue Scanner-Generation dazu in zwei Teilen vor: Ein Generator fragt die umfangreichen Software-Versions-Daten der Server des Unternehmens ab und speichert sie im handlichen Json-Format. Weil das nicht mehr zur Laufzeit geschieht, sondern im Hintergrund, kann der eigentliche Scanner (der zweite Teil von Notus) die Daten parallel einfach aus den Json-Dateien auslesen und abgleichen. Wartezeiten fallen weg. „Das ist deutlich effizienter, braucht weniger Prozesse, weniger Overhead und weniger Speicher“, erklären die Greenbone-Entwickler.
Amazon Linux
Amazon Linux ist ein Fork von Red-Hat-Linux-Quellen, den Amazon seit 2011 einsetzt und anpasst, um den Bedürfnissen der Cloud-Kunden gerecht zu werden. Es ist in weiten Teilen binärkompatibel mit Red Hat, baute anfangs auf Fedora, später auf CentOS auf. Nach Amazon Linux folgte Amazon Linux 2. Mittlerweile liegt die neueste Version als Amazon Linux 2023 vor. Der Hersteller plant alle zwei Jahre eine neue Ausgabe. In der Versionsgeschichte der offiziellen Dokumentation findet sich auch ein Feature-Vergleich , denn die Unterschiede sind groß: Amazon Linux 2023 ist beispielsweise die erste Version, die auch auf Systemd setzt. Der Schwachstellenscan von Greenbone stand von Anfang an auch auf Amazon Linux zur Verfügung.
Wie verändert Künstliche Intelligenz (KI) die Cybersicherheitslandschaft? Wird die Cyberwelt durch KI sicherer oder unsicherer? Diesen Fragen durfte ich auf der Panel-Diskussion während der „Potsdamer Konferenz für Nationale Cybersicherheit 2024“ zusammen mit Prof. Dr. Sandra Wachter, Dr. Kim Nguyen, Dr. Sven Herpig nachgehen. Hält KI heute, was sie verspricht? Und wie sieht die Zukunft mit KI aus?
Cybersecurity ist für viele Unternehmen und Institutionen schon schwierig genug. Wird es für sie durch das Hinzukommen von Künstlicher Intelligenz (KI) jetzt noch gefährlicher oder hilft KI eher, die IT-Systeme besser zu schützen? Was wissen wir? Und welche Risiken betrachten wir hier? Wirtschaftliche Chancen und gesellschaftliche Risiken stehen sowohl durch die allgemeine öffentliche Aufmerksamkeit als das auch durch die aktuell geplante Gesetzgebung im Fokus. Im EU-Gesetz zur künstlichen Intelligenz finden viele Hoffnungen und Ängste, die mit KI verbunden sind, Ausdruck.
Hoffnungen und Ängste
Wir hoffen, dass viele bisher ungelöste technische Herausforderungen bewältigt werden können. Geschäfts- und Produktionsprozesse sollen beschleunigt werden und Maschinen sollen immer komplexere Aufgaben autonom bewältigen. Auch im militärischen Bereich kann KI einen einzigartigen Schutz bieten, der viele Menschenleben rettet, wie zum Beispiel in Form KI-gestützter Abwehrsysteme wie den Iron Dome.
Auf der anderen, der Schattenseite von KI stehen Bedrohungen wie Massenmanipulation durch Deepfakes, raffinierte Phishing Attacken oder schlicht die Angst vor dem Verlust von Arbeitsplätzen, die mit jeder technischen Innovation einhergeht. Immer mehr Chatbots ersetzen Servicemitarbeiter, Bildgeneratoren Fotografen und Grafikerinnen, Textgeneratoren Journalistinnen und Autoren, generierte Musik ersetzt Musikerinnen und Komponisten. In fast jedem Berufstand geht die Angst um, über kurz oder lang selbst betroffen zu sein. Das gilt sogar im IT-Bereich, in dem eine reiche Job-Wahl bisher als sicher wahrgenommen wurde. Diese Ängste sind oft sehr berechtigt, manchmal aber auch nicht.
Im Bereich der Cybersicherheit ist allerdings noch nicht abzusehen, inwiefern eine autonome KI mehr Sicherheit schaffen und die dringend benötigten Sicherheitsexperten, oder vorhandene Lösungen ersetzen kann. Das gilt sowohl auf Seiten der Angreifer wie auch der Verteidiger. Natürlich bleibt dabei jedoch die unfaire Aufgabenverteilung bestehen: Während die Verteidiger möglichst jede Sicherheitslücke schließen wollen (und müssen), reicht den Angreifenden eine einzige Schwachstelle für einen erfolgreichen Angriff aus. Zum Glück können Verteidigende auf Tools und Mechanismen zurückgreifen, die viel Arbeit automatisieren, auch heute schon. Ohne diese Automation sind die Verteidiger verloren. KI hilft da leider aber noch nicht gut genug. Das zeigen die immer größeren Schäden, die auch durch ganz konventionelle Cyberangriffe entstehen, wo es doch angeblich schon jede Menge KI zur Verteidigung gibt. Auf der anderen Seite steht die Annahme, dass Angreifende durch KI immer mächtiger und bedrohlicher werden.
Für mehr Cybersicherheit müssen wir also näher hinsehen. Wir brauchen einen klareren Blick auf die Fakten.
Wo stehen wir heute?
Tatsächlich wissen wir bisher über von Künstlicher Intelligenz erzeugte technische Cyberangriffe nichts. Es gibt derzeit keine relevanten, nachprüfbaren Fälle, sondern nur theoretische konstruierte Szenarien. Das kann sich vielleicht ändern, aber Stand heute ist es so. Wir kennen keine KI, die derzeit hinreichend anspruchsvolle Angriffe generieren könnte. Was wir wissen, ist, dass Phishing sich sehr einfach mit generativen Sprachmodellen umsetzen lässt und dass uns diese Spam- und Phishing-Mails zumindest anekdotisch geschickter erscheinen. Ob dadurch ein größerer Schaden entsteht als die sowieso schon erheblichen Schäden, ist dagegen nicht bekannt. Es ist heute schon schrecklich genug, auch ganz ohne KI. Wir wissen jedoch, dass Phishing immer nur den ersten Schritt darstellt, um an eine Schwachstelle heranzukommen.
Greenbone Vorstand Elmar Geese auf der Potsdamer Konferenz für Nationale Cybersicherheit am Hasso-Plattner-Institut (HPI), Foto: Nicole Krüger
Wie können wir uns schützen?
Die gute Nachricht ist: Eine ausgenutzte Schwachstelle kann fast immer vorher gefunden und behoben werden. Dann liefe auch der beste, mit generativer KI erzeugte Angriff ins Leere. Und so muss es auch gemacht werden. Denn, ob mich heute ein ganz konventioneller Angriff und übermorgen eine KI in meinem Netzwerk bedroht, es wird immer eine Schwachstelle in der Software oder in der Sicherheitskonfiguration erforderlich sein, damit ein Angriff gelingt. Den besten Schutz bieten dann zwei Strategien: zum einen, vorbereitet zu sein auf den Fall der Fälle, wie zum Beispiel durch Backups zusammen mit der Fähigkeit, dadurch Systeme zeitnah wiederherzustellen. Zum anderen, jeden Tag selbst die Lücken zu suchen und sie zu schließen, bevor sie ausgenutzt werden können. Einfache Daumenregel: jede Lücke, die es gibt, kann ausgenutzt werden und wird es auch.
Rolle und Eigenarten der KI
Die KI-Systeme sind dabei selbst sehr gute Angriffsziele. Ähnlich wie das Internet sind sie nicht mit einem „Security by Design“-Gedanken entworfen worden. KI-Systeme sind eben auch nur Soft- und Hardware, genau wie jedes andere Angriffsziel. Nur im Gegensatz zu KI-Systemen können konventionelle IT-Systeme, deren Funktionsweise bei hinreichendem Aufwand mehr oder weniger hinreichend nachvollzogen werden kann, mit chirurgischen Eingriffen vergleichbar, repariert werden. Sie können „gepatcht“ werden. Das funktioniert mit KI nicht. Wenn ein Sprachmodell nicht weiterweiß, produziert es keine Status- oder gar Fehlermeldung, es „halluziniert“. Halluzinieren ist allerdings nur ein vornehmer Ausdruck für lügen, raten, irgendwas erfinden oder komische Sachen machen. Ein solcher Irrtum kann nicht gepatcht werden, sondern setzt beispielweise ein neues Trainieren des Systems voraus, ohne dass man dabei die Fehlerursache deutlich erkennen kann.
Wenn es sehr offensichtlich ist und eine KI etwa Hunde für Fische hält, ist es einfach, den Fehler zumindest wahrzunehmen. Wenn es aber eine Wahrscheinlichkeit benennen soll, ob es beispielsweise auf einem Röntgenbild eine gefährliche oder harmlose Anomalie entdeckt hat, wird es schwieriger. Es kommt gar nicht selten vor, dass KI-Produkte eingestellt werden, weil der Fehler nicht behoben werden kann. Ein prominentes erstes Beispiel war Tay, ein von Microsoft zweimal erfolglos gelaunchter Chatbot, der bei zweiten Mal noch schneller eingestellt wurde als beim ersten Mal.
Was wir daraus lernen können: die Latte tiefer legen, uns auf triviale KI-Funktionen zurückziehen, dann läuft‘s. Deswegen werden viele KI-Anwendungen, die heute auf dem Markt kommen, auch Bestand haben. Es sind nützliche Helferlein, die Prozesse beschleunigen und Komfort liefern. Vielleicht können sie bald auch richtig gut und sicher Autofahren. Vielleicht auch nicht.
Zukunft mit KI
Viele KI-Anwendungen beeindrucken heute anekdotisch. Für den Einsatz in kritischen Feldern können sie jedoch nur mit sehr hohem Aufwand und einer großen Spezialisierung geschaffen werden. Nur deswegen funktioniert der Iron Dome, weil in ihm deutlich mehr als zehn Jahre Entwicklungsarbeit stecken. So erkennt er heute Raketen mit einer Wahrscheinlichkeit von 99% und kann sie – und nicht versehentlich zivile Objekte – abschießen, bevor sie Schaden anrichten. Aus diesem Grund wird KI meist zur Unterstützung bestehender Systeme eingesetzt und nicht autonom. Selbst wenn sie, wie es die Werbung verspricht, Mails besser formulieren können, als wir es selbst können oder wollen, möchte heute niemand die eigenen Mails, Chat-Postfächer und weitere Kommunikationskanäle einer KI übergeben, die sich um die Korrespondenz kümmert und uns nur über wichtige Angelegenheiten mit Zusammenfassungen informiert.
Ob das in naher Zukunft kommt? Eher nicht. Ob es irgendwann so weit ist? Wir wissen es nicht. Wenn es dann vielleicht einmal so weit ist, schreiben sich unsere Bots gegenseitig Nachrichten, unsere Kampfroboter führen unsere Kriege gegeneinander, und KI-Cyberangreifer und -Verteidiger liefern sich einen Wettstreit. Wenn sie dann merken, dass das, was sie tun, sinnlos ist, könnten sie sich fragen, was das eigentlich für Wesen sind, die sie beauftragen, das zu tun. Dann hören sie vielleicht einfach damit auf, bauen sich Nachrichtenstrecken auf, verlassen unsere Galaxie und lassen uns hilflos zurück. Wir haben dann wenigsten noch unseren AI-Act und können damit weiterhin „schwache KI“ regulieren, die es nicht geschafft hat, wegzukommen.
„Unterstützung zur Krisenfrüherkennung“ lautete das Thema eines hochkarätig besetzten Panels am zweiten Tag des diesjährigen PITS-Kongresses. Mit Greenbone-CEO Jan-Oliver Wagner diskutierten Experten vom Bundeskriminalamt, der Bundeswehr, dem Verband Kommunaler IT-Dienstleister VITAKO und des Bundesamts für Sicherheit in der Informationstechnik.
Auch in diesem Jahr organisierte der Behörden Spiegel wieder seine beliebte Konferenz zur Public IT Security (PITS). Im renommierten Hotel Adlon in Berlin trafen sich dazu hunderte Security-Experten an zwei Tagen zu Foren, Vorträgen und einer Ausstellung von IT-Security-Firmen. 2024 stand das Event unter dem Motto „Security Performance Management“ – und da war es nur naheliegend, dass auch Greenbone als führender Anbieter von Schwachstellenmanagement geladen war (wie schon 2023), beispielsweise im Panel zur Krisenfrüherkennung, das der Greenbone-Vorstand Dr. Jan-Oliver Wagner mit einem Impulsvortag eröffnete.
Jan-Oliver Wagner erklärte seine Sicht auf die strategische Krisenerkennung, sprach von den typischen „Erdbeben“ und den beiden wichtigsten Komponenten: Erstens, das Wissen, wo Schwachstellen sind, und zweitens Technologien bereitzustellen, um diese zu beseitigen.
Über lange Jahre hat Greenbone eben diese Expertise aufgebaut, die Firma stellt sie auch in Open Source der Allgemeinheit zur Verfügung und arbeitet dazu stets mit den wichtigen Playern auf dem Markt zusammen. Von Anfang an waren die Kontakte mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) da: „Das BSI hatte das Thema Schwachstellenmanagement schon auf dem Radar, als IT-Security sich noch auf Firewall und Antivirus beschränkte“, lobt Wagner das BSI, die zentrale Behörde für IT-Sicherheit des deutschen Staates.
Heute sei die Bedeutung zweier Faktoren klar: „Jede Organisation muss wissen, wie und wo sie angreifbar sie ist, die eigenen Reaktionsfähigkeiten kennen und fortlaufend an deren Verbesserung arbeiten. Cyberbedrohungen sind wie Erdbeben. Die können wir nicht verhindern, sondern nur uns darauf vorbereiten und bestmöglich darauf reagieren.“
„Krise ist meist da, bevor die Tagesschau berichtet“
Aus den ständigen Cyberbedrohung wird nach Jan-Oliver Wagners Definition eine „Krise“, wenn eine Bedrohung beispielsweise „auf eine Gesellschaft, Wirtschaft oder Nation trifft, wo viele Organisationen viele Schwachstellen haben und eine geringe Fähigkeit, schnell zu reagieren. Die Geschwindigkeit ist da sehr wichtig. Man muss schneller sein, als der Angriff passiert.“ Auch die anderen Teilnehmer des Panels thematisierten das und nutzten dafür den Begriff „Vor die Welle kommen“.
Oft sei die Krise eben schon da, lange bevor sie in der Tagesschau Erwähnung findet. Einzelne Organisationen müssen sich schützen und sich vorbereiten, damit sie mit täglicher Routine in die Lage kommen, auch auf unbekannte Situationen reagieren zu können. „Eine Cybernation unterstützt Organisationen und die Nation, indem sie Mittel zur Verfügung stellt, diesen Zustand zu erreichen“, so Jan-Oliver Wagner.
Unterschiede zwischen Militär und Kommunen
Die Sicht der Bundeswehr erklärte Generalmajor Dr. Michael Färber, Abteilungsleiter Planung und Digitalisierung, Kommando Cyber- & Informationsraum: Ihm zufolge ist eine Krise dann gegeben, wenn die Maßnahmen und Möglichkeiten zu reagieren nicht mehr ausreichen. „Dann entwickelt sich etwas zu einer Krise.“
Aus Sicht der Kommunen jedoch ergibt sich ein anderes Bild, wusste Katrin Giebel, die Geschäftsstellenleiterin der VITAKO, der Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister, zu berichten. „80 Prozent der Verwaltungsdienstleistungen finden auf der kommunalen Ebene statt. Da gibt es schon Tumulte, wenn die KFZ-Zulassung nicht verfügbar ist.“ In den immer wieder stark gebeutelten Städten und Gemeinden fangen Krisen deutlich früher an: „Für uns sind schon die Bedrohungen fast gleichzusetzen mit einer Krise.“
Erschreckend fürs BSI: Nachlässigkeit in Organisationen
Das BSI dagegen definiert eine „Krise“, wenn eine einzelne Organisation nicht oder nicht mehr in der Lage ist, ein Problem allein zu lösen. Dr. Dirk Häger, Abteilungsleiter Operative Cyber-Sicherheit beim BSI: „Sobald zwei Ressorts betroffen sind, tritt der Krisenstab zusammen, für uns ist eine Krise gegeben, sobald wir ein Problem mit der Standardorganisation nicht gelöst bekommen.“ Da komme dann auch den Mitarbeitern, die über die Einberufung entscheiden, eine wichtige Rolle zu. „Man erreicht eben einen Punkt, wo man sich einig ist: Jetzt brauchen wir den Krisenstab.“
Erschreckend, etwa angesichts der Vorgänge rund um die Log4j-Schwachstelle findet Häger aber eher, wie lange nach eigentlich schon gelösten Krisen noch erfolgreiche Angriffe stattfinden. „Wir betreiben da gerade am Anfang sehr, sehr viel Aufwand. Die Log4j-Krise war eigentlich vorbei, aber sehr viele Organisationen waren immer noch angreifbar und hatten unzureichende Reaktionsfähigkeiten. Aber keiner kuckt mehr drauf“, klagt der Abteilungsleiter aus dem BSI.
Wie die Reaktionsgeschwindigkeit erhöhen?
Von der Moderatorin Dr. Eva-Charlotte Proll, Chefredakteurin und Herausgeberin beim Behörden Spiegel, gefragt, was angesichts dieser Einsichten denn konkret helfe, schildert er das typische Vorgehen und die Entscheidungsfindung beim aktuellen Checkpoint-Vorfall: „Ob etwas eine Krise ist oder nicht, ist Expertenwissen. In dem Fall war das erst eine Lücke, die von staatlichen Akteuren initiiert wurde.“ Handlungsbedarf war spätestens dann gegeben, als die Checkpoint-Backdoor von anderen Angreifern ausgenutzt wurde. Auch das Wissen um diese konkrete Gefährdungslage ist für Betroffene von zentraler Bedeutung.
Jan Oliver Wagner betonte hier noch einmal die Bedeutung des Faktors Wissen. Oft werde die Gefährdung nicht angemessen diskutiert. Anfang 2024 beispielsweise reduzierte eine wichtige US-Behörde (NIST) den Informationsumfang ihrer Schwachstellendatenbank – eine Krise für jeden Anbieter von Vulnerability Management und deren Kunden. Außerdem zeuge es von Handlungsbedarf, dass die NIST immer noch nicht als kritische Infrastruktur definiert sei.
Die vom NIST gelieferten Informationen sind auch für die Fähigkeiten des nationalen Cyberabwehrzentrums, ein Lagebild zu erstellen, von zentraler Bedeutung, pflichtet ihm Färber bei. Das betrifft auch die Zusammenarbeit mit der Branche: Eine Reihe von großen Firmen „rühmen sich damit, Exploit-Listen binnen fünf Minuten an ihre Kunden zu liefern. Da können auch wir noch besser werden.“
Carsten Meywirth, Leiter Abteilung Cybercrime beim BKA, betonte die Unterschiede zwischen staatlichen und kriminellen Angriffen, auch am Beispiel des Supply-Chain-Angriffs auf Solarwinds. Kriminelle Angreifer haben oft wenig Interesse, eine Krise hervorzurufen, weil zu viel mediale Aufmerksamkeit die möglichen finanziellen Erträge gefährdet. Auch Sicherheitsbehörden müssten da stets vor die Welle kommen. Und dafür brauche es Aufklärung und das Potential, die Infrastruktur der Angreifer zu stören.
BKA: Internationale Zusammenarbeit
Deutschland sei, so Generalmajor Färber, bei den Angriffen immer unter den Top 4 Ländern. Die USA rangierten stets auf Platz eins, doch in den Schleppnetzen der Angreifer landen wir schon allein wegen unserer Größe. Das mache die hervorragende internationale Zusammenarbeit bei Aufklärung und Täterjagd so wichtig. „Vor allem die Achse Deutschland-USA-Niederlande ist da sehr erfolgreich, aber auch die „Datasprints“ mit den Five-Eyes-Staaten (USA, UK, Australien, Kanada und Neuseeland), wo man auch Geheimdiensterkenntnisse auf einen gemeinsamen Tisch legt und abgleicht, seien von elementarer Bedeutung. „Eine erfolgreiche Täteridentifizierung ist ohne solche Allianzen meistens unmöglich“, so Michael Färber. Deutschland ist mit seinen dafür relevanten Organisationen gut aufgestellt. „Wir haben deutlich höhere Redundanz als andere, und das stellt in diesem Kampf ein großes Asset dar.“ In der beispielhaften „Operation Endgame“, eine vom FBI gestartete Kooperation der Sicherheitsbehörden mit der freien Wirtschaft zeige sich dann gerade jetzt auch die ganze Schlagkraft dieser Strukturen. „Das müssen und werden wir weiter ausbauen.“
„Wir brauchen eine Notrufnummer für Kommunen in IT-Krisen“
So vor die Welle zu kommen, ist für die Kommunen noch Zukunftsmusik. Die seien stark angewiesen auf interföderale Unterstützung und eine Kultur der Zusammenarbeit, ein aktuelles Lagebild ist für sie unabdingbar, berichtet Katrin Giebel von VITAKO. Als Vertreter der kommunalen IT-Dienstleister kenne man viele kritische Situationen und die Nöte der Gemeinden gut – von Personalnot bis hin zu fehlender Expertise oder einer heute noch fehlenden Notrufnummer für IT-Krisen. So eine Hotline wäre nicht nur hilfreich, sie entspricht wohl auch der Definition aus Wagners einführenden Vortrag: „Eine Cybernation schützt sich, indem sie die Unternehmen dabei unterstützt, sich zu schützen.“
BSI: Vorsorge ist das Wichtigste
Auch wenn das BSI sich nicht in der Lage sieht, einen solchen Anspruch allein zu erfüllen, habe man diese dezentrale Denkweise schon immer verinnerlicht. Aber ob das BSI zu einer Zentralstelle in diesem Sinne ausgebaut werden soll, müsse man erst diskutieren, erklärt Dirk Häger vom BSI. „Viel wichtiger ist aber Prävention. Wer heute ein ungesichertes System ins Netz stellt, wird schnell gehackt. Die Bedrohungslage ist da. Wir müssen das abwehren können. Und genau das ist Prävention.“
Dafür, ergänzt Wagner, sei die Information zentral. Und die Informationen zu verteilen, sei durchaus eine Aufgabe des Staates, da sieht er „die existierenden Organisationen in der perfekten Rolle.“
Der Winter naht: Der Leitspruch des Hauses Stark aus der Serie „Game of Thrones“ deutet auf das Heraufziehen eines nicht näher definierten Unheils hin. Ist NIS2 eine Walze aus Eis und Feuer, die die gesamte europäische IT-Landschaft unter sich begräbt und vor der sich nur retten kann, wer eines der zahllosen Webinare besucht und alle Ratschläge befolgt?
NIS2 als solches ist lediglich eine Richtlinie, die von der EU erlassen wurde. Sie soll die vielleicht noch nicht optimale IT-Sicherheit von Betreibern wichtiger und kritischer Infrastrukturen sicherstellen und die Cyberresilienz erhöhen. Auf Basis dieser Richtlinie sind nun die Mitgliedsländer aufgerufen, ein entsprechendes Gesetz zu schaffen, das diese Richtlinie in nationales Recht umsetzt.
Was soll geschützt werden?
Bereits 2016 wurde die NIS-Richtlinie durch die EU eingeführt, um für die Gesellschaft relevante Branchen und Dienstleister vor Angriffen in der Cybersphäre zu schützen. Diese Regelung enthält verbindliche Vorgaben zum Schutz von IT-Strukturen in Unternehmen, die als Betreiber kritischer Infrastrukturen (KRITIS) tätig sind. Hierbei handelt es sich um Unternehmen, die eine unverzichtbare Rolle innerhalb der Gesellschaft spielen, weil sie in Bereichen wie Gesundheitsdiensten, Energieversorgung und Transport tätig sind. Bereiche also, in denen vorsätzlich herbeigeführte Störungen oder Ausfälle zu katastrophalen Zuständen führen können – wessen Haushalt gerüstet ist, einen mehrtägigen Stromausfall mit allen Konsequenzen zu überstehen, der möge die Hand heben…
Angesichts der weiter voranschreitenden Digitalisierung musste die EU eine Nachfolgeregelung (NIS2) schaffen, die zum einen strengere Anforderungen an die Informationssicherheit stellt, zum anderen aber auch einen größeren Kreis an Unternehmen erfasst, die für die Gesellschaft „wichtig“ oder „besonders wichtig“ sind. Diese Unternehmen werden nun in die Pflicht genommen, gewisse Standards in der Informationssicherheit zu erfüllen.
Obwohl die NIS2-Richtlinie bereits im Dezember 2022 verabschiedet wurde, haben die Mitgliedsländer bis zum 17. Oktober 2024 Zeit, ein entsprechendes Umsetzungsgesetz zu verabschieden. Deutschland wird es bis dahin wohl nicht schaffen. Trotzdem gibt es keinen Grund, sich zurückzulehnen. Das NIS2UmsuCG wird kommen, und mit ihm erhöhte Anforderungen an die IT-Sicherheit vieler Unternehmen und Institutionen.
Wer muss jetzt handeln?
Betroffen sind Unternehmen aus vier Gruppen. Einmal sind das die besonders wichtigen Einrichtungen mit 250 oder mehr Mitarbeitern oder 50 Millionen Euro Jahresumsatz und einer Bilanzsumme ab 43 Millionen Euro. Ein Unternehmen, das diese Kriterien erfüllt und in einem der Sektoren Energie, Transport/ Verkehr, Finanzen/ Versicherungen, Gesundheit, Wasser/ Abwasser, IT und TK oder Weltraum tätig ist, gilt als besonders wichtig.
Daneben gibt es die wichtigen Einrichtungen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz und einer Bilanzsumme von 10 Millionen Euro. Erfüllt ein Unternehmen diese Kriterien und ist es in einem der Sektoren Post/ Kurier, Chemie, Forschung, verarbeitendes Gewerbe (Medizin/ Diagnostika, DV, Elektro, Optik, Maschinenbau, Kfz/ Teile, Fahrzeugbau), digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke), Lebensmittel (Großhandel, Produktion, Verarbeitung) oder Entsorgung (Abfallwirtschaft) tätig, so gilt es als wichtig.
Neben besonders wichtigen und wichtigen Einrichtungen gibt es die kritischen Anlagen, die weiterhin durch die KRITIS-Methodik definiert werden. Zusätzlich werden auch Bundeseinrichtungen reguliert.
Was ist zu tun?
Konkret bedeutet das, dass alle betroffenen Unternehmen und Institutionen, ganz gleich ob „besonders wichtig“ oder „wichtig“, eine Reihe von Auflagen und Pflichten zu erfüllen haben, die wenig Interpretationsspielraum lassen und daher strikt zu beachten sind. Auf folgenden Gebieten muss gehandelt werden:
Risikomanagement
Betroffene Unternehmen sind verpflichtet, ein umfassendes Risikomanagement einzuführen. Dazu gehören neben einer Zugangskontrolle, Multi-Faktor-Authentifizierung und Single Sign-On (SSO) auch Training und Incident Management sowie ein ISMS und Risikoanalysen. Darunter fallen auch das Schwachstellenmanagement und die Anwendung von Schwachstellen- und Compliance-Scans.
Meldepflichten
Für alle Unternehmen besteht eine Meldepflicht für „erhebliche Sicherheitsvorfälle“: Diese müssen unverzüglich, spätestens aber innerhalb von 24 Stunden der Meldestelle des BSI berichtet werden. Weitere Updates haben innerhalb von 72 Stunden und 30 Tagen zu erfolgen.
Registrierung
Die Unternehmen sind verpflichtet, ihre Betroffenheit von der NIS2-Gesetzgebung selbst festzustellen und sich innerhalb einer Frist von drei Monaten selbst zu registrieren. Wichtig: Niemand sagt einem Unternehmen, dass es unter die NIS2-Regelung fällt und sich registrieren muss. Die Verantwortung liegt ausschließlich bei den einzelnen Unternehmen und deren Geschäftsführern.
Nachweise
Es reicht nicht aus, die vorgegebenen Vorkehrungen lediglich zu treffen, sondern es müssen auch entsprechende Nachweise erbracht werden. Wichtige und besonders wichtige Einrichtungen werden stichprobenartig durch das BSI kontrolliert werden, wobei entsprechende Dokumentationen vorgelegt werden müssen. KRITIS-Einrichtungen werden turnusmäßig alle drei Jahre überprüft.
Informationspflichten
Sicherheitsvorfälle unter den Teppich zu kehren, ist zukünftig nicht mehr möglich. Das BSI erhält eine Weisungsbefugnis zur Unterrichtung von Kunden über Sicherheitsvorfälle. Ebenso erhält das BSI eine Weisungsbefugnis über die Unterrichtung der Öffentlichkeit von Sicherheitsvorfällen.
Governance
Geschäftsführer werden verpflichtet, Maßnahmen zum Risikomanagement zu billigen. Ebenso werden Schulungen zum Thema Pflicht. Besonders gravierend: Geschäftsführer haften persönlich mit ihrem Privatvermögen bei Pflichtverletzungen.
Sanktionen
In der Vergangenheit war es gelegentlich so, dass Unternehmen lieber die diffuse Möglichkeit eines Bußgeldes in Kauf nahmen als konkrete Investitionen in Cybersicherheitsmaßnahmen zu tätigen, da das Bußgeld im Verhältnis durchaus annehmbar erschien. NIS2 wirkt dem nun durch neue Tatbestände und teils drastisch erhöhte Bußgelder entgegen. Verschärft wird das nochmal durch die persönliche Haftung von Geschäftsführern.
Wie man sieht, ist das zu erwartende NIS2-Umsetzungsgesetz ein komplexes Gebilde, welches sich auf eine Vielzahl von Bereichen erstreckt und dessen Anforderungen in den seltensten Fällen mit einer einzigen Lösung abgedeckt werden können.
Welche Maßnahmen sind möglichst bald zu treffen?
Scannen Sie Ihre IT-Systeme kontinuierlich auf Schwachstellen. Sicherheitslücken werden damit schnellstmöglich aufgedeckt, priorisiert und dokumentiert. Dank regelmäßiger Scans und ausführlicher Berichte schaffen sie die Grundlage zur Dokumentation der Entwicklung der Sicherheit Ihrer IT-Infrastruktur. Gleichzeitig erfüllen Sie damit Ihre Nachweispflichten und sind im Fall einer Prüfung bestens gewappnet.
Experten können auf Wunsch den kompletten Betrieb des Schwachstellenmanagements in Ihrem Unternehmen übernehmen. Dazu gehören auch Leistungen, wie Web-Application Pentesting, bei dem gezielt Schwachstellen in Webanwendungen aufgedeckt werden. Damit decken Sie einen wichtigen Bereich im NIS2-Anforderungskatalog, und erfüllen die Anforderungen des § 30 (Risikomanagementmaßnahmen).
Fazit
Es gibt es nicht die eine, alles umfassende Maßnahme, mit der Sie sofort rundum NIS2-konform sind. Vielmehr ist eine Vielzahl unterschiedlicher Maßnahmen, die zusammengenommen eine gute Basis ergeben. Ein Bestandteil davon ist Schwachstellenmanagement mit Greenbone. Wenn Sie das im Hinterkopf behalten und rechtzeitig auf die richtigen Bausteine setzen, sind Sie als IT-Verantwortlicher auf der sicheren Seite. Und der Winter kann kommen.
Am 19. und 20. Juni 2024 geht’s ums Ganze: In Potsdam treffen sich hochrangige IT-Spezialisten und Verantwortliche aus Politik, Wirtschaft und Wissenschaft, um einen Überblick über die „Nationale Cybersicherheit“ zu geben. Eine der größten, flächendeckenden Herausforderungen ist die rasante Entwicklung Künstlicher Intelligenz (KI). Über ihren Einfluss auf die IT-Security wird Elmar Geese, Vorstand von Greenbone, mit Dr. Christoph Bausewein (CrowdStrike), Dr. Sven Herpig (Stiftung Neue Verantwortung) und Dr. Kim Nguyen (Bundesdruckerei) auf dem Podium diskutieren.
- Zeit: Juni 2024; 13:45
- Ort: Hasso-Plattner-Institut, Potsdam, Prof.-Dr.-Helmert-Straße 2-3 (Campus Griebnitzsee)
- Thema: Wie verändert Künstliche Intelligenz die Cybersicherheitslandschaft?
- Moderation: Dr. Sandra Wachter, University of Oxford
Die „Potsdamer Konferenz für Nationale Cybersicherheit“ findet am 19. und 20. Juni 2024 statt. Besuchen Sie uns gerne auf unserem Stand auf der Konferenz!
Anmeldung: https://hpi.de/das-hpi/bewerbung/2024/potsdam-cybersecurity-conference/
Nachdem Experten bereits 2023 einen rapiden Zuwachs bei Cyberangriffen auf Kommunen und Behörden feststellen mussten, hören die Schreckensmeldungen auch 2024 nicht auf. Der Handlungsdruck ist enorm, denn ab Oktober tritt die NIS2-Richtline der EU in Kraft und macht Risiko- und Schwachstellenmanagement zur Pflicht.
„Die Gefährdungslage ist so hoch wie nie“ sagt die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner bei der Bitkom Anfang März. Die Frage sei nicht, ob ein Angriff erfolgreich ist, sondern nur wann. Auch die jährlichen Berichte des BSI, zum Beispiel der jüngste Report von 2023 sprächen da Bände. Auffällig sei aber, so Plattner, wie oft Kommunen, Krankenhäuser und andere öffentliche Institutionen im Mittelpunkt der Angriffe stünden. Aber es gebe „kein Maßnahmen- sondern ein Umsetzungsproblem in den Unternehmen und Behörden“. Klar ist: Schwachstellenmanagement wie das von Greenbone kann dabei schützen und helfen, das Schlimmste zu vermeiden.
US-Behörden durch chinesische Hacker unterwandert
Angesichts der zahlreichen gravierenden Sicherheitsvorfälle wird das Schwachstellenmanagement von Jahr zu Jahr wichtiger. Knapp 70 neue Sicherheitslücken kamen in den letzten Monaten täglich hinzu. Einige von Ihnen öffneten tief in US-Behörden hinein Tür und Tor für Angreifer, wie im Greenbone Enterprise Blog berichtet:
Über gravierende Sicherheitslücken waren US-Behörden Medien zufolge seit Jahren durch chinesische Hackergruppen wie die wohl staatlich gesponserte „Volt Typhoon“ unterwandert. Dass Volt Typhoon und ähnliche Gruppierungen ein großes Problem sind, bestätigte sogar Microsoft selbst in einem Blog bereits im Mai 2023. Doch damit nicht genug: „Volt Typhoon macht sich die reichlich auftretenden Sicherheitslücken in VPN-Gateways und Routern der Marken FortiNet, Ivanti, Netgear, Citrix und Cisco zunutze. Diese gelten derzeit als besonders verwundbar“, war bei Heise zu lesen.
Dass der Quasi-Monopolist bei Office, Groupware, Betriebssystemen und diversen Clouddiensten 2023 auch noch zugeben musste, dass er sich den Masterkey für große Teile seiner Microsoft-Cloud hat stehlen lassen, zerstörte das Vertrauen in den Redmonder Softwarehersteller vielerorts. Wer diesen Key besitzt, braucht keine Backdoor mehr für Microsoft-Systeme, schreibt Heise. Vermutet werden hierbei ebenfalls chinesische Hacker.
Softwarehersteller und -Lieferanten
Die Lieferkette für Softwarehersteller steht nicht erst seit log4j oder dem Europäischen Cyber Resilience Act unter besonderer Beobachtung bei Herstellern und Anwendern. Auch das jüngste Beispiel um den Angriff auf den XZ-Komprimierungsalgorithmus in Linux zeigt die Verwundbarkeit von Herstellern. Bei der „#xzbackdoor“ hatte eine Kombination aus purem Zufall und den Aktivitäten von Andres Freund, ein sehr an Performance orientierter, deutscher Entwickler von Open-Source-Software für Microsoft, das Schlimmste verhindert.
Hier tat sich ein Abgrund auf: Nur dank der Open-Source-Entwicklung und einer gemeinsamen Anstrengung der Community kam heraus, dass Akteure über Jahre hinweg mit hoher krimineller Energie und mit Methoden, die sonst eher von Geheimdiensten zu erwarten sind, wechselnde Fake-Namen mit diversen Accounts benutzt hatten. Ohne oder mit nur wenig Benutzerhistorie bedienten sie sich ausgeprägter sozialer Betrugsmaschen, nutzen die notorische Überlastung von Betreibern aus und erschlichen sich das Vertrauen von freien Entwicklern. So gelang es ihnen, fast unbemerkt Schadcode in Software einzubringen. Nur dem Performance-Interesse von Freund war es schließlich zu verdanken, dass der Angriff aufflog und der Versuch scheiterte, eine Hintertür in ein Tool einzubauen.
US-Offizielle sehen auch in diesem Fall Behörden und Institutionen besonders bedroht, selbst wenn der Angriff eher ungezielt, für den massenhaften Einsatz ausgerichtet zu sein scheint. Das Thema ist komplex und noch lange nicht ausgestanden, geschweige denn vollumfänglich verstanden. Sicher ist nur: Die Usernamen der Accounts, die die Angreifer verwendet haben, waren bewusst gefälscht. Wir werden im Greenbone Blog weiter darüber berichten.
Europäische Gesetzgeber reagieren
Schwachstellenmanagement kann solche Angriffe nicht verhindern, aber es leistet unverzichtbare Dienste, indem es Administratoren proaktiv warnt und alarmiert, sobald ein derartiger Angriff bekannt wird – und dies meist, noch bevor ein Angreifer Systeme kompromittieren konnte. Angesichts aller Schwierigkeiten und dramatischen Vorfälle überrascht es nicht, dass auch Gesetzgeber die Größe des Problems erkannt haben und das Schwachstellenmanagement zum Standard und zur Best Practice in mehr und mehr Szenarien erklären.
Gesetze und Regulierungen wie die neue NIS2-Richtline der EU schreiben den Einsatz von Schwachstellenmanagement zwingend vor, auch in der Software-Lieferkette. Selbst wenn NIS2 eigentlich nur für etwa 180.000 Organisationen und Unternehmen der Kritischen Infrastruktur (KRITIS) beziehungsweise „besonders wichtige“ oder „bedeutende“ Unternehmen Europas gilt, sind die Regulierungen grundsätzlich sinnvoll – und ab Oktober Pflicht. Die „Betreiber wesentlicher Dienste“, betont die EU-Kommission, „müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren. Wichtige Anbieter digitaler Dienste wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze müssen die Sicherheits- und Benachrichtigungsanforderungen der Richtlinie erfüllen.“
Ab Oktober vorgeschrieben: Ein„Minimum an Cyber-Security-Maßnahmen“
Die „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2)“ zwingt Unternehmen der europäischen Gemeinschaft, einen „Benchmark eines Minimums an Cyber-Security-Maßnahmen zu implementieren“, darunter auch Risikomanagement, Weiterbildung, Policies und Prozeduren, auch und gerade in der Zusammenarbeit mit Software-Lieferanten. In Deutschland sollen die Bundesländer die genaue Umsetzung der NIS2-Regelungen definieren.
Haben Sie Fragen zu NIS2, dem Cyber Resilience Act (CRA), zu Schwachstellenmanagement allgemein oder den beschriebenen Sicherheitsvorfällen? Schreiben Sie uns! Wir freuen uns darauf, mit Ihnen zusammen, die richtige Compliance-Lösung zu finden und Ihrer IT-Infrastruktur den Schutz zu geben, den sie heute angesichts der schweren Angriffe benötigt.
Grüner wird’s nicht mehr? Von wegen! Soeben haben wir die Zertifizierung für unser Umweltmanagementsystem nach ISO 14001 abgeschlossen. Und wir haben festgestellt: Es geht immer noch etwas „grüner“ – man musss sich nur engagieren und bereit sein, dieses Engagement in messbaren Fortschritten voranzutreiben.
Die internationale Norm ISO 14001 legt Anforderungen fest, mit deren Hilfe Unternehmen Umweltziele erreichen und dabei auch rechtliche Verpflichtungen erfüllen können. Weil die ökologische Nische für jede Organisation unterschiedlich ist, sieht der Standard zwar keine absoluten Werte und Ziele vor, betont jedoch die Integration ins Qualitätsmanagement, die Leitungsverantwortung für das Umweltmanagement und die Beseitigung von Unklarheiten hinsichtlich der Umweltziele.
Ziele, Vorgaben, Kennzahlen: Trockenes Gerüst für grünes Wachstum
So legt die aktuelle deutsche Fassung der Norm als DIN EN ISO 14001:2015 besonderen Wert auf die „Umweltleistungsverbesserung“ und deren Messung durch entsprechende Kennzahlen. Die ökologischen Ziele beziehen sich so auf vor- und nachgelagerte Umweltauswirkungen von Produkten und Dienstleistungen ebenso wie die Berücksichtigung von Chancen und Risiken im täglichen Business. Das Ganze ist im Rahmen eines kontinuierlichen Verbesserungsprozesses (KVP) einzurichten, sodass die Auswirkungen jeder neuen Maßnahme kontrollierbar sind und diese entsprechend angepasst werden kann. Wir sind stolz darauf, mit der Zertifizierung jetzt einen weiteren, wichtigen Schritt in Richtung auf ein nicht nur von außen, im Firmenlogo, sondern auch von innen „grünen“ Unternehmens verkünden zu können.
Schon im Herbst 2023, als das „Environmental Management System“ eingeführt wurde, war uns klar: Wir können zwar nicht die Welt retten, aber jeder Schritt in diese Richtung ist uns wichtig! Also Schritt für Schritt: Los ging es mit der Sammlung aller Aspekte, die überhaupt Einfluss auf die Umwelt haben können. Nach dem Ranking der Faktoren und ihrer Priorisierung kristallisierten sich elf Gebiete heraus, auf denen Greenbone ökologisch wirksam und aktiv werden kann: Angefangen beim Stromverbrauch über die Kühlung von Servern, die Heizung von Büroräumen und den Warenversand bis hin zur Mülltrennung und der Energieeffizienz unserer Appliances.
Und immer wieder: messen…
Als ein Unternehmen, das hohen Wert auf die Verwirklichung und die klare Darstellung von Zielvorgaben legt, ist Greenbone bereits nach ISO 9001:2015 (Qualitätsmanagement) und ISO 27001:2017 (Informationssicherheit) sowie im Rahmen von TISAX für das Information Security Management System (ISMS) zertifiziert. Für ISO 14001 haben wir unsere Ziele entsprechend in klar definierten Key Performance Indikatoren (KPI) konkretisiert, um sie für spätere Messungen wieder bereitzustellen. So können bestehende Maßnahmen nachjustiert und weitere Verbesserungen eingeführt werden. Was sich zunächst trocken anhört, trägt bereits erste, „grüne“ Früchte:
- Unser Strom speist sich seit Firmengründung komplett aus erneuerbaren Energien. Der Gesamtverbrauch – inklusive Clients und Server – soll in Kürze noch um 3% gesenkt werden.
- Bei jeder Neuanschaffung von Equipment achten wir besonders auf Nachhaltigkeit und Energieeffizienz.
- Seit 2020 nutzen wir ausschließlich E-Autos als Firmenfahrzeuge.
- Wir haben auf digitale Gehaltsabrechnungen umgestellt.
- Der Serverraum wird regelmäßig auf mögliche Einsparpotenziale überprüft.
- Auch im Kleinen schreiben wir Umweltschutz groß: Müll wird nur noch zentral gesammelt, und Verpackungsmaterial wird prinzipiell wiederverwendet.
Um unseren ökologischen Fortschritten schließlich mehr Nachhaltigkeit zu verleihen, halten wir uns in regelmäßigen internen Schulungen zur Energieeffizienz auf dem Laufenden. So tragen wir dazu bei, dass die Welt auch außerhalb von Greenbone noch „grüner“ wird.
