Schlagwortarchiv für: BSI

Elmar Geese

Aktueller Bericht zur Lage der IT-Sicherheit in Deutschland 2023

Bundesinnenministerin Nancy Faeser und Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), haben am 2.11.2023 den aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland vorgestellt. Angriffe mit Ransomware stellen dabei das größte und häufigste, aber bei weitem nicht das einzige Risiko dar. Solange diese Angriffe nicht gänzlich verhindert werden können, müssen die Systeme sicherer werden, um Schaden zu verhindern oder wenigstens zu verringern.

In Deutschland gibt es eine Reihe von Initiativen, um das Schwachstellenmanagement zu verbessern. Dazu gehört das Nationale IT-Sicherheitsgesetz (IT-SiG) und das IT-Grundschutz-Kompendium des BSI. Das von der BSI-Präsidentin Claudia Plattner zurecht geforderte „bundeseinheitliche Lagebild“ kann so die Bedrohungslage auf die Situation der angreifbaren Systeme abbilden und dadurch dabei helfen, vorab zu warnen und im konkreten Angriffsfall schnell und wirksam zu reagieren.

„Die Digitalisierung macht vieles in unserem Alltag leichter. Gleichzeitig schafft sie neue Angriffsflächen“, so Bundesinnenministerin Nancy Faeser. Das ist richtig. Den wachsenden Risiken durch die fortschreitende Vernetzung müssen wir durch automatisierte Tools und Prozesse begegnen. Durch deren Einsatz können Unternehmen und Organisationen ihre IT-Systeme besser schützen und die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs verringern.

Unsichere Systeme machen es Angreifern leichter, Schaden anzurichten. Die Verbesserung des Schwachstellenmanagements ist daher ein wichtiger Schritt, um die IT-Sicherheit in Deutschland zu erhöhen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Greenbone testet Ihre Webanwendungen

Verringern Sie das Risiko eines Angriffs aus dem Internet auf Ihre Server: Nutzen Sie das neueste Angebot von Greenbone: Mit unserem Pentesting Webanwendungen helfen wir Ihnen, die bestmöglichste Sicherheit für Ihre Webanwendungen zu erhalten.

Die Zahlen sprechen eine eindeutige Sprache: Angriffe auf Webanwendungen nehmen zu, seit Jahren schon, und ein Ende ist nicht in Sicht. Die Komplexität moderner Internetauftritte und -dienste erfordert ein hohes Maß an Sicherheitsmaßnahmen und ist ohne Tests durch Experten nicht zu bewerkstelligen.

Dabei hilft nur das die Technik des so genannten „Pentesting“ von Webanwendungen, genauer das „Web Application Penetration Testing“. Mit diesem Versuch, von außen in geschützte Systeme einzudringen („Penetration“) erstellen die Experten von Greenbone eine aktive Analyse der Schwachstellen und können so die Sicherheit einer Webapplikation bewerten. Zwar gibt es Leitfäden wie den sehr empfehlenswerten des Bundesamt für Sicherheit in der Informationstechnik (BSI), das die Vorgehensweise fürs Testen beschreibt, doch kann nichts den Experten ersetzen, der Ihr System selbst unter die Lupe nimmt. In diesem Video erhalten Sie einen ersten Eindruck von der Arbeit unserer Experten.

Greenbone agiert dabei streng nach den Vorschriften der DSGVO, ist nach ISO 27001/9001 zertifiziert. Wie bei den Produkten im Bereich des Schwachstellenmanagements erhalten Sie auch bei den Webanwendungen-Pentests ausführliche Berichte über Ihre Sicherheitssituation mit klaren Handlungsanweisungen, bei deren Umsetzung die Greenbone-Experten gerne helfen. Da Angebot umfasst sowohl Client- als auch Server-Seite Ihrer Webanwendungen und richtet sich nach den modernsten und aktuellsten Vorgaben, beispielsweise der OWASP Top 10 oder auch dem OWASP Risk Assessment Framework (RAF). Egal ob es sich um Cross-Site-Scripting (XSS), SQL Injection, Information Disclosure oder Command Injection handelt, egal ob es Lücken in den Authentifizierungsmechanismen Ihrer Server gibt oder Websockets die Gefahrenquelle sind – Greenbones Experte werden die Schwachstellen finden.

Als weltweit führender Anbieter von Open Source Produkten zum Vulnerability Management verfügt Greenbone stets über die aktuellste Expertise im Umgang mit Schwachstellen und Sicherheitsrisiken, auch hier im „Black Box Testing“, wenn unsere Experten Ihre Systeme von außen unter die Lupe nehmen, genauso wie das ein Angreifer tun würde: mit dem Blickwinkel einer potenziellen angreifenden Person finden Sie im Idealfall jede existierende Schwachstelle in Ihrer IT-Infrastruktur und können sich um ihre Behebung kümmern. Nur wer seine Schwachstellen kennt, kann die Sicherheitsmaßnahmen zielgerichtet einsetzen. Finden Sie hier mehr zu den Produkten und Services von Greenbone AG.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

BSI warnt: Log4J bleibt weiter ein Problem

Auch mehr als zwei Jahre nach Bekanntwerden der ersten Probleme mit Log4j betreiben viele Szenarien offensichtlich immer noch ungepatchte Versionen der Logging-Bibliothek.

Greenbones Produkte helfen – gerade beim Aufspüren von veralteter Software.

Niemand sollte Log4j als erledigt auf die leichte Schulter nehmen, nur weil die Sicherheitslücke (CVE 2021-44228) eigentlich seit anderthalb Jahren behoben ist. Das ist das Fazit einer Veranstaltung Ende März, in der das Bundesamt für Sicherheit in der Informationstechnik (BSI) eindringlich warnt. Die Schwachstelle betraf Log4j in den Versionen 2.0 bis 2.14.1 und erlaubte es Angreifern, eigenen Programmcode auf Zielsystemen auszuführen und fremde Server zu kompromittieren.

Unter dem Titel „Log4j & Consequences“ in der Reihe „BuntesBugBounty“ sprach das BSI mit Christian Grobmeier aus dem Log4j Team und Brian Behlendorf von der Open Source Security Foundation (OpenSSF). Erschreckenderweise addieren sich auf der Log4j-Webseite immer noch mehr als ein Drittel der Downloads auf veraltete Versionen, die den wichtigen Patch nicht beinhalten – es ist davon auszugehen, dass zahlreiche Systeme in Unternehmen immer noch verwundbar sind.

Schuld daran sei überwiegend Software Dritter, die Log4j einbette oder diese über Softwareverteilung integriere – was Grobmeier ganz und gar nicht überrascht, denn so funktioniere die Lieferkette bei Open-Source-Software nun mal. Daran, so der Log4J-Entwickler, lasse sich so schnell auch nichts ändern.

Das bestätigt auch die Open SSF: Für Behlendorf könnte nur eine verschärfte Haftung für Softwarehersteller hilfreich sein, so wie diese in den USA bereits erwogen werde. Ohne grundlegend neue Ansätze dürfte sich an den Problemen nichts ändern.

Wer sich dennoch dauerhaft vor Angriffen auf bekannten, bereits gepatchten Schwachstellen schützen will, sollte sich die Produkte von Greenbone ansehen. Nur das professionelle Schwachstellenmanagement gibt Administratoren den Überblick über veraltete Softwareversionen und ungepatchte Lücken in den Systemen der Firma – und schafft so die Grundlage für weitere Sicherheitsmaßnahmen.

Die Entwicklung von Schwachstellentests ist bei Greenbone eine Schlüsselaktivität und ein kontinuierlicher Prozess, der die hohe Qualität der Produkte und damit den hohen Nutzen für die Kunden sicherstellt. Sicherheitsprüfungen erfolgen jeden Tag und Schwachstellentests werden nach Sicherheitslage priorisiert und ebenfalls täglich in die Produkte integriert. Bei kritischen Sicherheitswarnungen, wie bei Log4j, berichtet Greenbone über den aktuellen Stand, die Fakten und dem Umgang damit, wie beispielsweise in den Blogbeiträgen über Log4j.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

BSI warnt vor Schwachstelle in VMware ESXi

Eine neue Welle von Ransomware-Attacken bedroht zahlreiche Server in Europa. Im Fokus liegen der Angriffe die Hypervisoren in VMwares Virtualisierungsserver ESXi. Patches stehen bereit, Greenbones Produkte können schützen und helfen, die Schwachstelle zu finden.

Das BSI warnt ausdrücklich vor der Schwachstelle und spricht in seinen aktuellen Informationen zur Sicherheitslage von tausenden Servern und einer weltweiten Bedrohung mit Fokus auf Europa, den USA und Kanada, wobei eine Schwachstelle genutzt wird, die der Hersteller bereits vor fast zwei Jahren gefixt hat: (CVE-2021-21974).

Nicht nur VMWare-Server selbst gefährdet

Laut dem IT-Security-Portal Hackernews hat der französische Provider OVHcloud die Open-Source-Implementierung des IETF Service Location Protocol (OpenSLP) als Einfallstor bestätigt.

Die Bedrohungslage für IT-Systeme wird dabei als geschäftskritisch eingestuft – der erfolgreiche Angriff mit Ransomware kann also auch in diesem Fall massive Beeinträchtigungen des Regelbetriebs verursachen. Besonders gravierend bei Angriffen dieser Art ist, dass unter Umständen nicht nur Institutionen betroffen sind, die VMware ESXi selbst einsetzen, sondern auch Dritte – beispielsweise über die in der VMware-Virtualisierung gehosteten Serversysteme.

Frankfreich, Italien, Finnland, Kanada und die USA

Der Verdacht, dass bei der jüngsten Angriffswelle vor allem europäische Organisationen und Institutionen im Fokus der Angreifer stehen, bestätigte sich auch wenige Tage später, als die Nationale Italienische Cybersecurity Agentur ACN vor den Schwachstellen und einer „groß angelegten Angriffswelle“ warnte. Eine Reuters-Meldung spricht auch von Angriffen in Finnland und den USA.

Anwender können sich jedoch schützen: Der Hersteller VMware rät zum Upgrade auf die neueste Version seiner Software – und zur Installation des Patches. Generell helfen Systeme wie das Greenbone Schwachstellenmanagement, derlei Einbrüche zu verhindern, indem Sie die ungepatchten Lücken finden und Administratoren proaktiv in Reports warnen.

Überprüfen mit der Greenbone Cloud

Die Installation des Vmware-Patches ist kostenlos, ebenso eine Prüfung Ihrer Systeme mit dem Greenbone Cloud Service Trial. Generell sollten Administratoren immer sicherstellen, dass alle Backups gegen Ransomware gesichert sind und Log-Dateien auf verdächtige Systemzugriffe untersuchen – das BSI nennt auf der Checkliste in seiner Warnung sechs Fragen, die sich jeder Administrator jetzt stellen sollte.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

ViPNet, Protelion: Greenbone ermöglicht es den Status zu überprüfen

ViPNet Client in Greenbone Schwachstellenmanagement integriert

Nach einem Bericht des ZDF Magazin Royale am vergangenen Freitag mehren sich die Befürchtungen dafür, dass die VPN-Software „ViPNeT“, der Firma Protelion, ein Tochterunternehmen der russischen Cybersecurity-Firma O.A.O.Infotecs, Sicherheitslücken aufweisen könnte.

Dabei wird befürchtet, die Software, die Protelion vertreibt, könnte dem russischen Geheimdienst FSB (KGB) Zugang zu vertraulichen Informationen ermöglichen. Auch wenn diese Behauptung Gegenstand kontroverser Debatten zwischen Security-Experten und Politikern ist, sind Kunden an uns mit der Bitte herangetreten, einen Test bereitzustellen, mit dem ViPNeT insbesonders auf Windows Rechner detektiert werden kann.

Anwender des Greenbone Enterprise und des Community Feeds können durch einen authentifizierten Test die Registrierung von InfoTeCS / Protelion ViPNet auf Windows Rechnern überprüfen.

Unsere Kunden können ihr Greenbone Produkt einfach weiter nutzen, der Test ist bereits im Feed implementiert. Diejenigen, die noch kein Greenbone Produkt besitzen, nutzen bitte diesen Link zur Testversion (hier testen).

Nachhaltige Sicherung von Ihren IT-Netzwerken

Wenn Sie wissen wollen, welche Systeme in ihrem Netzwerk (noch) anfällig für Schwachstellen –sind, hilft Ihnen unser Schwachstellenmanagement. Es findet Anwendung in Systemen, die auf jeden Fall gepatcht oder anderweitig geschützt werden müssen. Je nach Art der Systeme und Schwachstelle können diese besser oder schlechter gefunden werden. Auch die Erkennung verbessert sich ständig und wird fortlaufend aktualisiert. Neue Lücken werden gefunden. Es können daher immer noch weitere Systeme mit Schwachstellen im Netz vorhanden sein. Daher lohnt sich eine regelmäßige Aktualisierung und das Scannen aller Systeme. Hierfür bietet das Greenbone-Schwachstellenmanagement entsprechende Automatisierungsfunktionen.

Unser Schwachstellenmanagement bietet besten Schutz

Schwachstellenmanagement ist ein unverzichtbarer Bestandteil der IT-Sicherheit. Es kann Risiken finden und liefert wertvolle Hinweise zu deren Behebung. Eine 100%ige Sicherheit bietet jedoch keine einzelne Maßnahme, auch kein Schwachstellenmanagement. Um ein System sicher zu machen, werden viele Systeme eingesetzt, die in ihrer Gesamtheit die bestmögliche Sicherheit bieten sollen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

Kaspersky-Bann: Mit Open Source wäre das nicht passiert

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dem Einsatz der Antivirensoftware des russischen Herstellers Kaspersky. Kein Wunder, denn Sicherheit ist Vertrauenssache. Sicherheitssoftware erst recht.

Im Zuge des Ukraine-Kriegs trifft es einen Closed-Source-Anbieter wie Kaspersky an seiner schwächsten Stelle. Denn seine Kundschaft muss etwas glauben, was sie aber wissen wollen und in kritischen Einsatzbereichen sogar wissen müssen: Dass der Einsatz einer Software keine nicht auditierbaren Risiken beinhaltet.

Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Kaspersky

Der Anbieter hat versucht, diesem Anspruch zu genügen, ohne seine Quellen Open Source zu stellen – durch sogenannte Transparenzzentren, in denen Quellcode eingesehen werden darf. Doch das reicht den Nutzenden aus verschiedenen Gründen nicht mehr.

Aktueller Anlass ist der Krieg in der Ukraine und letztlich die Tatsache, dass es sich um ein russisches Unternehmen handelt. Doch die Gründe und Ursachen liegen tiefer. Letztlich sind nicht nur russische Anbieter vom grundsätzlichen Problem betroffen. Software (und auch Hardware) kann, genauso wie die Daten, die verarbeitet werden, nur dann vertrauenswürdig sein, wenn die Quellen offen sind und der Produktionsprozess transparent ist.

Wir kennen das Problem bereits auch aus anderen Kontexten – ob ein Konstrukt „Transparenzzentrum“, „Safe Harbour“ oder „Privacy Shield“ heißt – letztlich sind dies Marketingbegriffe, die nicht verschleiern können, dass sie nicht die Transparenz und das Vertrauen bieten können, welches wir für sichere digitale Infrastrukturen brauchen. Das kann nur Open Source.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

Neue BSI-Empfehlungen zu Windows 10 im Greenbone Security Feed

SiSyPHuS Win10 ist ein Projekt des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Auf Basis einer Analyse der sicherheitskritischen Funktionen im Betriebssystem Microsoft Windows 10, wurden Handlungsempfehlungen zu dessen Härtung entwickelt. Diese Empfehlungen sind jetzt auch in Form einer Compliance-Richtlinie Bestandteil des Greenbone Security Feeds und können für Greenbone-Kunden komfortabel direkt mit den Greenbone-Appliances geprüft werden.

Die Maßnahmen beinhalten unter Anderem Konfigurationsempfehlungen, Kennwortrichtlinien, Verschlüsselungsvorgaben und natürlich Aktualisierungen. Sie helfen dabei, Windows-10-Systeme deutlich sicherer zu machen. Durch die Integration der Compliance-Richtlinie in den Greenbone Security Feed, sind die Maßnahmen einfach in die Prüfroutinen des Greenbone-Schwachstellenmanagements integrierbar.

Weitere Informationen finden Sie hier.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Greenbone AG

Schwachstellenmanagement im Wassersektor

Der Wassersektor zählt zu den kritischen Infrastrukturen (KRITIS). Ein erfolgreicher Angriff auf den Sektor kann zu erheblichen hygienischen und gesundheitlichen Problemen führen und schlimmsten Fall Menschenleben bedrohen. Bei der 6. VDI-Konferenz zum Thema „Optimierung industrieller Kläranlagen“ informiert Greenbone über Schwachstellenmanagement im Wassersektor und wie durch frühzeitiges Erkennen und Beseitigen von Schwachstellen die Angriffsfläche von IT-Infrastrukturen verkleinert werden kann.

Ansicht eines industrielle Kontrollsystem (ICS)

Alles gut durch Digitalisierung?

Digitalisierung gilt als Heilsbringer der Stunde. Auch wenn man das manchmal kritisch bewerten mag, ist diese Entwicklung nicht aufzuhalten. Es gibt einfach zu viele Gründe, die für Digitalisierung sprechen. Es gibt aber auch viele Gründe, mit denen wir uns kritisch auseinandersetzen müssen, auch und gerade dort, wo es um unsere Sicherheit geht. Je mehr Informationstechnologie wir aufstellen, desto mehr digitalisierte Angriffsfläche bieten wir.
Böswillige Nutzende dieser Angriffsflächen können weltweit agieren und ebenfalls digitalisierte Währungen wie Bitcoin ermöglichen es ihnen, auch weltweit Profit aus Schwachstellen zu schlagen.

Im Gegensatz zu einem Bankeinbruch ist der Angriff auf eine industrielle Abwasseranlage eher ein Mittel zum Zweck. Angreifende wollen nicht den Inhalt eines Safes, sondern zielt dabei auf die Verwundbarkeit als solche ab, um sich dadurch Vorteile zu verschaffen, meist durch Erpressung. Angegriffen werden nicht nur technische Anlagen selbst, sondern oft auch das technische und organisatorische Umfeld von Netzen bis zur Verwaltung. Diese Angreifenden sind keine Hacker mit Hoodies und Matrix-Bildschirmschoner, die mal eben Notstand auf dem Konto haben, sondern kriminelle Organisationen, die industriell und professional organisiert sind. Dem gegenüber müssen wir uns mit widerstandsfähigen Organisationen, Prozessen und Lösungen wappnen. Das rückt das Thema Cyber-Resilienz immer mehr in unsere Aufmerksamkeit.

Unter Cyber-Resilienz versteht man die Fähigkeit eines Unternehmens oder einer Organisation, ihre Geschäftsprozesse trotz widriger Cyber-Umstände aufrechtzuerhalten. Das können Cyber-Angriffe sein, aber auch unbeabsichtigte Hindernisse wie ein fehlgeschlagenes Software-Update oder menschliches Versagen. Cyber-Resilienz ist ein umfassendes Konzept, das über die IT-Sicherheit hinausgeht. Es vereint die Bereiche Informationssicherheit, Business-Kontinuität und organisatorische Resilienz. Um einen Zustand der Cyber-Resilienz zu erreichen, ist es wichtig, Schwachstellen frühzeitig zu erkennen, sie wirtschaftlich zu priorisieren und zu beseitigen.

Infografik zeigt den zyklischen Prozess des Schwachstellenmanagements mit den Schritten: vorbereiten, identifizieren, klassifizieren, priorisieren, zuweisen, entschärfen und beseitigen, speichern und wiederholen, verbessern.

Warum Cyber-Resilienz für kritische Infrastrukturen besonders wichtig ist

Nachhaltige Cyber-Resilienz ist für Unternehmen aller Branchen wichtig. Unverzichtbar ist sie aber im Bereich der kritischen Infrastrukturen (KRITIS). Darunter fallen laut Definition der Bundesregierung „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

KRITIS-Organisationen müssen sich daher besonders gut gegen Cyber-Angriffe schützen – das schreibt der Gesetzgeber vor. Die EU begann bereits 2006 mit dem European Programme for Critical Infrastructure Protection (EPCIP) und erweiterte und ergänzte dieses in den folgenden Jahren. Mitgliedsstaaten setzen die EU-NIS Direktive in nationales Recht um, Deutschland beispielsweise mit dem IT-Sicherheitsgesetz (IT-SIG). Große Wirtschaftsnationen haben bereits Regulierungsinstanzen entwickelt. In den USA ist dies zum Beispiel das National Institute of Standards and Technology (NIST) und in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI).

In Deutschland sind die kritischen Infrastrukturen in 9 Sektoren eingeteilt. Einer davon ist der Wassersektor mit den Sparten öffentliche Wasserversorgung und Abwasserbeseitigung. Er umfasst zum Beispiel Wasserwerke, Pumpanlagen, Wasserleitungen und -netze, Kläranlagen, die Kanalisation sowie Stau- und Hochwasserschutzanlagen. Sie alle spielen eine entscheidende Rolle für unsere Gesellschaft.

Angriffe auf die Wasserversorgung könnten eine Gesellschaft daher bis ins Mark treffen und im schlimmsten Fall Menschenleben bedrohen. Ebenso gefährlich sind Attacken auf die Abwasserentsorgung. Funktioniert sie nicht mehr, würde das zu erheblichen hygienischen und gesundheitlichen Problemen führen. Da in der Wasserinfrastruktur heute eine Vielzahl von IT-Systemen und elektronischen Steuerungssystemen (ICS) zum Einsatz kommt, wird sie zum
attraktiven Ziel für Hacker.

Vorfälle zeigen die Verwundbarkeit des Wassersektors

In den vergangenen Jahren gab es weltweit zahlreiche Angriffe auf Wasser-Infrastrukturen. Gravierende Folgen blieben dabei bisher zum Glück aus. Die Attacken zeigen jedoch, dass Hacker ausloten, wie sie die Kontrolle über Steuerungssysteme übernehmen und weitere Angriffe vorbereiten können. So versuchten 2013 iranische Hacker in die Systeme des Bowman Avenue Damms in der Nähe des Ortes Rye Brooke bei New York einzudringen. Der Damm dient dazu, den Wasserfluss nach starken Regenfällen zu kontrollieren und eine Überflutung des Orts zu vermeiden. Den Hackern gelang es, Kontrolle über die Steuerung der Fluttore zu erlangen. Da diese aber gerade wegen einer Wartung nicht am Netz waren, konnten die Cyber-Kriminellen glücklicherweise keinen Schaden anrichten.

Im März 2016 berichtete der Sicherheitsspezialist Verizon in seinem monatlichen Security Breach Report von einem Cyber-Angriff auf einen amerikanischen Wasserversorger, der unter dem Pseudonym Kemuri Water Company genannt wird. Hacker waren in die SCADA-Plattform eingedrungen. Dadurch konnten sie programmierbare Logik-Controller manipulieren. Sie änderten Einstellungen am Wasserfluss und an der Menge der Chemikalien, die für die Wasseraufbereitung zugesetzt wurden. Glücklicherweise entdeckte der Wasserversorger den Vorfall schnell und konnte die Einstellungen wieder korrigieren, ohne dass größerer Schaden entstand. Für ihren Angriff nutzten die Hacker eine ungepatchte Schwachstelle im Kunden-Zahlungsportal aus.

Zwischen November 2016 und Januar 2017 hackten Cyber-Kriminelle mehrere Mobilfunk-Router einer US-Wasserbehörde. Die Router dienten dazu, sicheren kabellosen Zugang für das Monitoring der Pumpstationen zur Verfügung zu stellen. Zum Glück waren die Angreifenden jedoch nicht auf Sabotage aus, sondern hatten es auf die Internetressourcen der Behörde abgesehen. Deren Rechnung stieg von durchschnittlich 300 US-Dollar pro Monat auf satte 45.000 Dollar im Dezember und 53.000 Dollar im Januar an. Für ihre Attacke nutzen die Hacker eine Schwachstelle in den Routern des Herstellers Sixnet aus. Dieser hatte nach eigenen Angaben bereits im Mai einen Patch zur Verfügung gestellt, den die Behörde jedoch nicht installiert hatte.

Im vergangenen Jahr wurde Israel gleich mehrfach Opfer von Cyber-Angriffen auf Wasserversorgungs- und -aufbereitungsanlagen. Im April unternahmen Hacker einen großen Cyber-Angriff auf Steuerungs- und Kontrollsysteme von Kläranlagen, Pumpstationen und Abwasserkanäle, wie das Israeli National Cyber Directorate (INCD) in einer Erklärung mitteilte. Das INCD forderte daraufhin Unternehmen im Wassersektor dazu auf, Passwörter für alle mit
dem Internet verbundenen Systeme zu ändern und sicherzustellen, dass die Software der Kontrollsysteme auf dem neuesten Stand ist. Laut Financial Times versuchten die Hacker, den Chlorgehalt des Wassers in einer Wasseraufbereitsungsanlage zu verändern. Der Angriff war nicht erfolgreich. Wäre er es gewesen, hätte eine leichte Vergiftung der Bevölkerung, die von der Aufbereitsungsanlage versorgt wird, die Folge sein können. Bereits im Juni gab es zwei weitere Angriffe auf Israels Wasseranlagen. Dieses Mal waren landwirtschaftliche Wasserpumpen betroffen.

In Deutschland gab es zwar noch keinen vergleichbaren Vorfall, allerdings berichtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland über die Umsetzung der erforderlichen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen. Im Wassersektor treten dabei Mängel in den Bereichen Netztrennung, Notfallmanagement und physischer Sicherheit auf. Im Berichtszeitraum von Juni 2019 bis Mai 2020 gab es im Wassersektor in Deutschland mehrere Vorfälle, die auf Störungen in Steuerungskomponenten zurückzuführen waren. Die Behebung der Störungen war sehr langwierig und aufwendig. Schäden konnten dadurch vermieden werden, dass die Betreiber umsichtig handelten und Redundanzen vorhanden waren.

Angriffspunkte im Wassersektor

IT- und OT-Systeme unterstützen den Wasserkreislauf. In der Wassererzeugung (1) werden Systeme zur Qualitätskontrolle und digitale Pumpensteuerung
genutzt, um den Wasserzufluss aus verschiedenen Quellen hin zur Wasserverteilung (2) zu steuern. Digitale Mess- und Steuerungsverfahren kontrollieren Wasserdruck und -qualität im Wassernetz und sind somit Teil der gesamten IT-Angriffsfläche. In der Entwässerung (3) werden Abwasserpumpen und Vorreinigungen durch Siebe, die an zentralen Stellen überwacht werden, eingesetzt. Die Wasseraufbereitung (4) ist gerade durch die notwendige digitalisierte Steuerung von physikalischen, chemischen und biologischen Prozessen eine kritische Komponente.

Schematische Darstellung des Wasserkreislaufs mit den vier Stationen: Wassererzeugung, Wasserverteilung, Wasserentsorgung und Wasseraufbereitung.

In der Trinkwasserversorgung und Abwasserentsorgung kommen daher eine Vielzahl von vernetzten IT-Systemen und industriellen Steuerungssystemen zum Einsatz, die weitgehend automatisierte Prozesse ermöglichen. Beispiele dafür sind Sensoren für die Temperatur, die Durchflussgeschwindigkeit oder den Chlorgehalt, fernauslesbare Zähler, aber auch Webportale und mobile Apps für Kunden.

Hürden für die IT-Sicherheit im Wassersektor

Um ihre Angriffsfläche für Cyber-Kriminelle zu verkleinern, müssen Unternehmen aus dem Wassersektor das gesamte Spektrum der vernetzten Systeme, Geräte und Applikationen berücksichtigen.

Doch das ist nicht immer ganz einfach. Ein Problem dabei ist, dass die ICS, die in der Wasserinfrastruktur im Einsatz sind, aus unterschiedlichen Generationen stammen. Viele der älteren Steuerungssysteme wurden in einer Zeit entwickelt, in der Cyber Security noch kaum oder gar nicht berücksichtigt wurde. Das führt zu einer heterogenen, verwundbaren IT-Landschaft. Die hochgradige Automatisierung und Abhängigkeit von Industriesteuerungen macht die Wasserinfrastruktur zusätzlich besonders angreifbar. Außerdem werden die eingesetzten IT-Systeme immer komplexer. Dadurch haben es Unternehmen schwer, ein ausreichendes Schutzniveau zu erreichen. Die zunehmende Vernetzung von Komponenten innerhalb der Feld-
und Steuerungsebene sowie der Steuerungs- und Prozessleittechnik erhöht die Komplexität noch weiter. Gleichzeitig vergrößert sich damit die Angriffsfläche für Hacker. Sie haben immer mehr Möglichkeiten, in Netzwerke einzudringen, Daten zu stehlen oder Industrie-Steuerungen zu manipulieren.

Auch bislang nicht ausgenutzte Schwachstellen dürfen nicht unterschätzt werden

Eine kürzlich durchgeführte Studie von Kenna Security hat ergeben, dass die Anzahl der insgesamt entdeckten Schwachstellen pro Jahr von 4.100 im Jahr 2011 auf 17.500 im Jahr 2021 gestiegen ist. Andererseits ist der Anteil der Schwachstellen, die von Hackern ausgenutzt wurden, nicht gleichermaßen stark gewachsen. Was ist der Grund hierfür?

Cyberkriminalität folgt den gleichen ökonomischen Regeln wie jedes andere Geschäftsmodell: geringste Investition für maximales Ergebnis. Aber die Cyberkriminalität leidet auch unter demselben Problem wie die IT-Branche im Allgemeinen: Experten sind eine begrenzte Ressource. Unternehmen können diese Ausgangslage nicht ändern, aber sie können dafür sorgen, dass ihre Angriffsfläche reduziert wird. Eine große Angriffsfläche zu tolerieren, auch wenn die Schwachstellen noch nicht waffenfähig sind, bedeutet, Kontrolle durch Glücksspiel zu ersetzen. Sobald es für Cyberkriminelle billiger erscheint oder das Ergebnis vielversprechend ist, wird sich die Internetkriminalität auf noch nicht waffenfähige Schwachstellen konzentrieren und die Umwandlung der Schwachstellen in Waffen wird schnell erfolgen.

Noch schlimmer ist die Motivation von Cyber-Terroristen, die bisher aufgrund mangelnder Fachkenntnisse glücklicherweise erfolglos waren. Es ist unklar, ob sie die notwendigen Fähigkeiten erlangen werden und falls ja, wann. Aber sie folgen nicht den Regeln der Ökonomie, was sie bei der Auswahl von Zielen und geeigneten waffenfähigen Schwachstellen weniger berechenbar macht.

Im Wesentlichen gibt es zwei gute allgemeine Gründe, warum Organisationen einen Prozess zur Verwaltung und Minimierung ihrer gesamten Angriffsoberfläche einrichten sollten und sich nicht nur auf die aktuellen (oder wahrscheinlichen) waffenfähigen Schwachstellen konzentrieren
sollten:

  • Pandemierisiko: Während es für eine einzelne kriminelle Organisation vielleicht nicht attraktiv ist, in die Umwandlung einer teureren Schwachstelle in eine Waffe zu investieren, wird es umso interessanter, je mehr Unternehmen sich dazu entscheiden, nichts gegen diese Schwachstelle zu unternehmen. Je weniger geimpft werden, desto besser breitet sich die Pandemie aus.
  • Automatisierungsrisiko: Die Automatisierung von Exploits ist nicht nur ein attraktiver, kostengünstiger Weg. Sie reduziert das Zeitfenster, um mit Gegenmaßnahmen zu reagieren, erheblich.

Geringe Angriffsfläche durch Schwachstellenmanagement

Unabhängig davon, wie viele Schwachstellen vorhanden sind, wird die Bewältigung von Schäden und aktiven Gegenmaßnahmen gegen laufende Angriffe für Unternehmen exponentiell teuer, wenn sie nicht von einem kontinuierlichen Prozess begleitet werden, der die Angriffsfläche identifiziert, verwaltet und reduziert.

Cyber-Resilienz ist ein kontinuierlicher Prozess. Er verstärkt die Fähigkeiten eines Unternehmens, einer Attacke zu widerstehen, und versetzt es in die Lage, auch während eines Angriffes zu funktionieren. Um dies zu erreichen, ist es wichtig, die Angriffsfläche zu reduzieren und so die Basis zu stabilisieren. Das bedeutet, Schwachstellen zu identifizieren, die von Angreifenden ausgenutzt werden könnten und somit den Angreifenden einen Schritt voraus zu sein.
999 von 1.000 Schwachstellen sind bereits über ein Jahr bekannt. Mit Schwachstellenmanagement können diese Schwachstellen also erkannt und beseitigt werden, bevor sie von Angreifenden ausgenutzt werden. Dies reduziert die Angriffsfläche der IT-Infrastruktur stark.

Schwachstellenmanagement-Lösungen arbeiten voll automatisiert und bieten durch Features wie Zeitpläne und benutzerdefinierte Scan-Konfigurationen den Nutzern die Möglichkeit, vollständige Schwachstellenmanagement-Prozesse zu erstellen, die ständig nach Schwachstellen suchen. Im Endergebnis sorgt Schwachstellenmanagement für nachhaltig widerstandsfähigere Systeme.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Direkte Einbindung von Compliance-Richtlinien über den Greenbone Security Feed

Mithilfe von Compliance-Richtlinien kann ein Unternehmen prüfen, ob alle im System integrierten Komponenten die erforderlichen Vorgaben erfüllen. Durch die steigende Digitalisierung und die damit einhergehende Zunahme neuer Technologien entstehen Chancen, aber auch Risiken. Aus diesem Grund nehmen auch die Anforderungen an die Compliance zu. Mit GOS 20.08 wurden alle Compliance-Richtlinien über den Greenbone Security Feed verfügbar gemacht und vier neue Compliance-Richtlinien hinzugefügt: TLS-Map, BSI TR-03116: Part 4, Huawei Datacom Product Security Configuration Audit Guide und Windows 10 Security Hardening.

Compliance Richtlinien für unterschiedliche Branchen

Was ist überhaupt eine Compliance Richtlinie?

Neben den gesetzlichen Vorgaben haben Unternehmen und Behörden oft auch ihre eigenen Richtlinien, die für die sichere Konfiguration eines Systems zu erfüllen sind. Ziel dabei ist es, für die Informationssicherheit des Unternehmens oder der Behörde zu sorgen, indem die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Authentizität von Informationen sichergestellt wird.

Alle Vorgaben und Richtlinien, die dafür nötig sind, werden in einem Dokument zu einer Richtlinie zusammengefasst.

Auf Basis der einzelnen Kriterien der Richtlinien entwickelt Greenbone Schwachstellentests – grob gesagt: ein Kriterium ergibt einen Schwachstellentest. Diese Tests fasst Greenbone zu Scan-Konfigurationen zusammen.

Solche Scan-Konfigurationen, die Richtlinien von Unternehmen oder Behörden abbilden, werden als Compliance-Richtlinien bezeichnet.

Beispiel: Ein Unternehmen bringt eine Security-Richtlinie mit den folgenden Anforderungen heraus:

  • Version 2 der Software A ist auf dem Zielsystem installiert
  • SSH ist auf dem Zielsystem aktiviert
  • Software B ist nicht auf dem Zielsystem installiert

Greenbone entwickelt für jede der Anforderungen jeweils einen Schwachstellentest, der abfragt, ob die jeweilige Bedingung erfüllt ist.

Die drei Tests werden dann zu einer Compliance-Richtlinie zusammengefasst, die ein Nutzer der Greenbone-Lösungen beim Ausführen eines Schwachstellenscans wählen kann. Während des Scans wird dann geprüft, ob die oben genannten Bedingungen auf dem Zielsystem erfüllt werden.

Neu: Verteilung der Compliance-Richtlinien über den Greenbone Security Feed

Ab GOS 20.08 werden alle standardmäßigen Scan-Konfigurationen, Berichtsformate, Portlisten und Compliance-Richtlinien von Greenbone über den Greenbone Security Feed verteilt.

Dies ermöglicht unter anderem die Veröffentlichung und Verteilung von Scan-Konfigurationen für aktuelle, heiße Schwachstellen-Tests. Früher wurden diese als XML-Dateien für den manuellen Download auf der Greenbone-Download-Website veröffentlicht und mussten vom Nutzer selbst importiert werden – was sehr mühsam war und Raum für Fehler ließ, weshalb eine schnelle Anwendung kaum möglich war.

Doch dies ist nicht der einzige Vorteil. Auch die Fehlerbehebung für den Kunden ist somit viel einfacher und schneller: die Objekte können mit einem einzigen Feed-Update für alle Setups aktualisiert und, falls nötig, gefixt werden.

Zusätzlich zu dieser Neuerung wurde der Greenbone Security Feed um ein paar wichtige Compliance-Richtlinien erweitert.

Mehr Compliance-Richtlinien im Greenbone Security Feed

Dem Greenbone Security Feed wurden im 4. Quartal 2020 vier neue Compliance-Richtlinien hinzugefügt:

  • TLS-Map
  • BSI TR-03116: Part 4
  • Huawei Datacom Product Security Configuration Audit Guide
  • Windows 10 Security Hardening

Über die spezielle Scan-Konfiguration TLS-Map

Hinweis: Bei TLS-Map handelt es sich um eine Scan-Konfiguration für spezielle Scans, die sich von Schwachstellenscans unterscheiden. Aus Gründen der Übersichtlichkeit wird diese spezielle Scan-Konfiguration in diesem Beitrag mit den Compliance-Richtlinien zusammen aufgeführt.

Die spezielle Scan-Konfiguration TLS-Map ist überall dort hilfreich, wo eine gesicherte Kommunikation über das Internet stattfindet. TLS – kurz für Transport Layer Security – ist ein Protokoll für die sichere Übertragung von Daten im Internet. Es ist der Nachfolger von SSL – Secure Sockets Layer –, weshalb beide Protokolle auch heute oft noch synonym verwendet werden. Alle SSL-Versionen und TLS-Versionen vor Version 1.2 sind allerdings seit spätestens 2020 veraltet und somit unsicher.

Das größte Einsatzgebiet von TLS ist die Datenübertragung im World Wide Web (WWW), beispielsweise zwischen einem Webbrowser als Client und einem Server wie www.greenbone.net. Andere Anwendungsgebiete finden sich im E-Mail-Verkehr und bei der Übertragung von Dateien über File Transport Protocol (FTP).

Die spezielle Scan-Konfiguration TLS-Map prüft, ob die erforderliche TLS-Version auf dem Zielsystem vorhanden ist und ob die benötigten Verschlüsselungsalgorithmen – sogenannte Ciphers – angeboten werden.

Über die Compliance-Richtlinie BSI TR-03116: Part 4

Die Technische Richtlinie BSI TR-03116 Kryptographische Vorgaben für Projekte der Bundesregierung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt für Projekte der Bundesregierung zum Einsatz. Das bedeutet, soll ein Bundesprojekt umgesetzt werden, muss die Richtlinie erfüllt werden. Sie besteht aus insgesamt 5 Teilen:

  • Teil 1: Telematikinfrastruktur
  • Teil 2: Hoheitliche Ausweisdokumente
  • Teil 3: Intelligente Messsysteme
  • Teil 4: Kommunikationsverfahren in Anwendungen
  • Teil 5: Anwendungen der Secure Element API

Die Compliance-Richtlinie, die Greenbone entsprechend entwickelt hat, prüft, ob die Inhalte des vierten Teils der Richtlinie erfüllt werden. Dieser Teil enthält Anforderungen für Kommunikationsverfahren.

Die Compliance-Richtlinie BSI TR-03116: Part 4 im Greenbone Security Feed prüft die drei Hauptanforderungen – minimal unterstützte TLS-Version sowie notwendige und nicht legitime Ciphers – der technischen Richtlinie.

 Über die Compliance-Richtlinie Huawei Datacom Product Security Configuration Audit Guide

Compliance-Richtlinien für Huawei-Lösungen befinden sich bereits seit längerer Zeit im Greenbone Security Feed.

Für die folgenden beiden Lösungen hatte Greenbone bereits zuvor Compliance-Richtlinien entwickelt:

  • EulerOS: Linux-Betriebssystem, basierend auf CentOS
    Zugehörige Compliance-Richtlinie: EulerOS Linux Security Configuration
  • GaussDB: Datenbankmanagementsystem (DBMS)
    Zugehörige Compliance-Richtlinie: GaussDB 100 V300R001C00 Security Hardening Guide

Mit einer Compliance-Richtlinie für Huawei Datacom, einer Produktkategorie, die auch Router und Switches mit einem eigenen Betriebssystem umfasst, kommt nun eine dritte Compliance-Richtlinie für von Huawei entwickelte Lösungen hinzu.

Für alle drei Produkte – Huawei Datacom, EulerOS und GaussDB – gibt es Sicherheitskonfigurationen, die von Huawei vorgegeben wurden. Auf deren Basis hat Greenbone Compliance-Richtlinien entwickelt, die die Einhaltung eben jener Sicherheitskonfigurationen prüfen. Die unterschiedlichen Compliance-Richtlinien finden immer dann Anwendung, wenn auf dem Zielsystem die entsprechende Lösung vorhanden ist.

Für Huawei Datacom vertreibt Huawei den Huawei Datacom Product Security Configuration Audit Guide. Die zugehörige, neu entwickelte Compliance-Richtlinie prüft beispielsweise ob die korrekten Versionen von SSH und SNMP auf dem Zielsystem vorhanden ist.

Über die Compliance-Richtlinie Windows 10 Security Hardening

Die Compliance-Richtlinie Windows 10 Security Hardening beinhaltet Schwachstellentests, um die Härtung von Windows 10 nach Industriestandards zu bewerten.

Unter anderem prüft die Compliance-Richtlinie unterschiedliche Passwortvorgaben wie Alter, Länge und Komplexität des Passworts, Vorgaben für das Vergeben von Benutzerrechten und Anforderungen für unterschiedliche Systemdienste.

Jetzt noch schnellere Einbindung von Compliance-Richtlinien mit GOS 20.08

Mit fortschreitender Digitalisierung wachsen in Unternehmen jeder Größe und Branche die Anforderungen an die Compliance.

Durch die direkte Einbindung der Compliance-Richtlinien über den Greenbone Security Feed und der Aufnahme neuer Compliance-Richtlinien, werden Zielsysteme noch effektiver, einfacher und schneller geprüft und somit der Schutz der IT-Infrastruktur erhöht, ohne dass spezielles Compliance-Know-How benötigt wird.

Natürlich arbeiten wir auch weiterhin laufend an neuen Compliance-Richtlinien. Sie dürfen also gespannt sein!

/von