Licht in den dunklen Cyberraum

PrintMailRate-it

veröffentlicht am 7. Januar 2019

​Ein Cybersecurity-Rating hilft Verantwortlichen in den Kommunen, die eigene Cybersecurity-Resilienz beurteilen zu können.

Ein Cybersecurity-Rating kann allen helfen, die Sicherheitsschwächen der eigenen Institution zu erkennen, um entsprechende Gegenmaßnahmen ergreifen zu können. Aber nicht nur das. Auch die Resilienz wesentlicher Kooperationspartner kann damit beurteilt werden. Dabei bedient sich das Rating bewusst aus Quellen verfügbarer Daten und Informationen aus dem Internet und kann daher auch auf Dritte angewendet werden. Wie dieses System die vorhandenen Sicherheitsinstrumente sinnvoll ergänzt und was es langfristig für Vorteile bietet, soll dieser Beitrag klären.


Zugegeben, die Beurteilung, ob das eigene IT-System vor Angriffen Dritter sicher ist, ist vor dem Hintergrund der Komplexität von digitalisierten Verwaltungsprozessen und Informationstechnologie nur schwer bis gar nicht möglich. Im Idealfall befindet man über das einhergehende Risiko, ist aber weit davon entfernt, die Sicherheit absolut beurteilen zu können. Verschiedene Instrumenten verhelfen sich die Verantwortlichen (kommunaler Behördenleiter, IT-Verantwortliche, Informationssicherheitsbeauftragte, Datenschutzbeauftragte, Rechnungsprüfer etc.), die Grundlage für die Einschätzung zur eigenen Sicherheit abzuleiten. Generell gehören zu diesen Instrumenten

 

  • Hinweise aus den eingeführten Sicherheitsmaßnahmen wie Firewalls, Virenschutzprogrammen, Sandbox-Systemen etc.
  • Fallweise durchgeführte Penetrationstests (z.B. technische Server- oder Web-Tests, Social Engineering-
    Tests, etc.)
  • Stichprobenbasierende IT-Audits (Prüfung vorhandener Dienstanweisungen, Nachweise über die Wirksamkeit von Rechtekonzepten, etc.)
  • Sicherstellung über entsprechende Sicherheitskonzepte im Idealfall nach gängigen Rahmenwerken wir ISO IEC 27001 oder ISIS12®

 

Die Daten und Informationen aus diesen Instrumenten sind alle wichtig. Einzeln betrachtet beinhalten sie jedoch in der Regel eine von folgenden Schwachstellen:

 

Erste Schwachstelle: Sie beziehen nur einen Bruchteil des

 „Cyberraums” in die Betrachtung mit ein!


Zweite Schwachstelle: Sie beziehen sich in der Regel nur auf einen Stichtag und liegen nicht kontinuierlich vor!

 

Dabei ist festzuhalten, dass diese obigen Instrumente enorm wichtig sind. Die Auseinandersetzung jedoch mit den vermeintlichen Mängeln sollte Ansätze zu deren Lösung liefern.

 

Daher zunächst ein paar einführende Worte, was mit dem „Cyberraum” gemeint ist und warum in der Regel die heutigen Instrumente Lücken haben.

 

Das Cybersecurity-Öko-System aus Sicht einer Behörde

Vereinfachend blickt man in der Regel bei dem Begriff von Informations- oder IT-Sicherheit auf die eigene Verwaltung bzw. sogar nur auf die eigene IT. Das ist nachvollziehbar, ist dies doch der Bereich, den man selbst verantwortet und auf den man einen Einfluss hat.

 

Stellt man sich aber die Frage, mit wem sich die Verwaltung in digitalem Austausch befindet und wer alles bei digitalen Verwaltungsprozessen eine Rolle spielt, dann weitet sich der Blick auf ein sehr komplexes Öko-System aus.

 

Verwaltungsprozesse System 


Werden heute die Verwaltungsprozesse digital umgesetzt, so sind diese von der Sicherheit einer Vielzahl von Akteuren abhängig. Stellt man sich die Frage, ob der digitale Wertschöpfungsprozess (also der Verwaltungsprozess) sicher im Sinne von

 

  • Vertraulichkeit,
  • Integrität und
  • Verfügbarkeit

 

ist, so muss man schnell feststellen, dass die Antwort sich immer nur auf den eigenen Verantwortungsbereich beziehen kann.

 

Hier setzt ein Cybersecurity-Rating an. Durch die vielen Spuren, die heute Anwender wie Unternehmen, Behörden und andere Institutionen im „Netz”, also im Cyberraum hinterlassen, ist eine Beurteilung der Cybersecurity schon allein von außen durchaus möglich! Und zwar ohne in die IT von innen Einblick zu haben.

 

Der Cyberraum als Quelle eines Ratings

Wie soll das gehen? Ebenso wie jeder Anwender, der durch die Nutzung von Diensten und Services Spuren im Netz hinterlässt, ist auch eine Verwaltung mit ihren Endgeräten und Servern im Netz nicht unbekannt. Sie hat einen Web-Auftritt und bei jedem Besuch einer Web-Seite werden Basis-Informationen ausgetauscht. In der Regel handelt es sich hierbei um Informationen, die notwendig sind, um einen reibungslosen Besuch der Web-Seite zu gewährleisten. Sie sind also öffentlich verfügbar!

 

Darin sind üblicherweise Informationen enthalten, nach welchen Sicherheitsstandards der Server der Web-Seite kommunizieren will. Ist dieser veraltet, stellt das eine Sicherheitslücke dar. Ebenso verhalten sich Server für E-Mail-Kommunikation, Server für mobile Applikationen und so weiter.

 

Verwaltungsprozess Beispiel 

 

Diese sogenannten Risikovektoren (also z.B. Verschlüsselung), die aus den öffentlichen Daten und Informationen zu gewinnen sind, lassen sich grob in 3 wesentliche Risiko-Kategorien einteilen:

 

Kompromittierte Systeme

Ist erkennbar, dass Endgeräte oder Server aus der eigenen Verwaltung mit bekannten Botnetzen kommunizieren und somit das eigenen System kompromittiert ist? Werden Endgeräte oder Server für SPAM-Mails missbraucht? Werden eigene Systeme missbraucht, um Schadsoftware zu verteilen?

 

Anwenderverhalten

Kommunizieren Endgeräte über Kommunikationsprotokolle mit Dritten oder als gefährlich einzustufende Server (Tauschserver, etc.) außerhalb der eigenen Verwaltung? Liegt somit der Verdacht nahe, dass eigene Anweisungen und Regelungen missachtet werden? Ist die Gefahr gegeben, dass Daten und Informationen auf diesem Weg weitergeleitet werden? Gibt es in einschlägigen Datenbanken von Sicherheitsinstitutionen Informationen, dass Userkennungen offengelegt wurden?

 

Sorgfältiger Betrieb von Systemen

Sind die Systeme und Endgeräte, die offiziell mit Dritten kommunizieren (E-Mail-Server, etc.) so eingerichtet, dass auf einen sicheren oder eher unsicheren Betrieb geschlossen werden kann? Werden Best-Practice-Sicherheitsmechanismen (Verschlüsselung, Vermeidung von Man-in-the-Middle, etc.), die im Rahmen der Protokolle erkennbar sind, verwendet?

 

Alle diese Ergebnisse sind allein durch das Kommunikationsverhalten ableitbar und liefern Hinweise auf die gewählten Schutzmaßnahmen.

 

Diese Informationen sind nicht geheim, denn sie sind für die Kommunikation zwischen 2 Systemen notwendig, können aber Rückschlüsse auf die dahinter liegende Organisation von Sicherheitsmaßnahmen liefern. Und, sie liegen nicht nur für die eigene Verwaltung, sondern auch bezüglich der Partner, die im Verwaltungsprozess eine Rolle einnehmen (Kooperationspartner, Dienstleister, Eigen- und Beteiligungsgesellschaften etc.) vor.

 

Diese Einzelinformationen werden gewichtet und zu einem Cybersecurity-Rating zusammengeführt. Und sie liegen nicht nur für die eigene Verwaltung vor, sondern auch für alle anderen Partner.
 
Durch die Nutzung dieser Informationen ist die Beurteilung des gesamten Cybersecurity-Öko-Systems durch die Verantwortlichen möglich. Sie kommen hier in Verbindung mit den obigen Instrumenten ihrer Verantwortung näher, für die Überwachung der Wirksamkeit der Sicherheitsmaßnahmen Sorge zu tragen.

 

Aber noch viel bedeutsamer ist, dass im Rahmen des Ratings konkrete Handlungsbedarfe aus den obigen Kategorien an die Beteiligten formuliert werden können. So können die Verantwortlichen auch ihren Pflichten zur Steuerung nachkommen.

 

Es ergibt sich eine Vielzahl von Steuerungsmöglichkeiten aus Sicht der einzelnen Verantwortlichkeiten:

 

  • Der Informationssicherheitsbeauftragte kann die eigenen Sicherheitsmaßnahmen beurteilen, aber auch im Rahmen der Auswahl und Überwachung Dritter einwirken.
  • Der Datenschutzbeauftragte kann nachhalten, ob die technischen und organisatorischen Maßnahmen des Verantwortlichen und die der ausgewählten Auftragsdatenverarbeiter wirksam sind.
  • Die Behördenleitung der Verwaltung kann das Rating zum Gegen-
    stand von Dezernats- und Beteiligungssteuerung machen. Sie kann die Anforderungen an einen sicheren Betrieb von digitalen Verwaltungsprozessen an dem Rating orientieren.
  • Die Rechnungsprüfung kann auf Basis der Ratings konkrete Handlungsbedarfe im Rahmen von großen Software-Projekten bzw. im laufenden Betrieb formulieren.

 

Die Ausdehnung des Rahmens der Steuerung und Überwachung über den eigenen Verantwortungsbereich hinaus ist ein enormer Gewinn.

 

Cybersecurity-Rating als kontinuierlicher Service

Ein Mangel steckt in den bisherigen Instrumenten jedoch nach wie vor. Nämlich die Zeitpunktbetrachtung. Fast jedes bisher bekannte Instrument (Audit, Penetrationstest, etc.) bezieht sich auf einen Zeitpunkt. Aussagen über einen Zeitraum sind nur bedingt möglich.

 

Die Daten und Informationen zu obig grob beschriebenen Risikovektoren können über einen größeren Zeitraum vorgehalten werden. Das heißt, dass die Information, an welchem Tag eine Kompromittierung eines Endgerätes in den eigenen Reihen stattgefunden hat und ab wann die eigenen Gegenmaßnahmen (Virenscanner, Intrusion Detection and Prevention System, etc.) gegriffen haben, auch erkennbar ist. Dies bedeutet, dass nicht nur eine Stichtagsbetrachtung, sondern eine Zeitraumbetrachtung greift. Und die Wirksamkeit der eigenen Maßnahmen wird messbar.

 

Wie so oft, werden auch im Sicherheitsbereich die Dienste Dritter in Anspruch genommen (Managed Security). Aber wer in den eigenen Reihen der Verwaltung kann beurteilen, ob diese Dienstleister und Instrumente die richtige Wahl waren und sind? Das Cybersecurity-Rating kann diese Dienste bewertbar machen und dient daher als wirksames Werkzeug der Verifizierung.

 

Geht man davon aus, dass die Handlungsempfehlungen zu den einzelnen Risikovektoren auch umgesetzt werden müssen, ist der Bedarf an „ständiger” Beurteilung sowieso gegeben. So wird das Rating-System zu einem ständigen Monitoring-System, um die Resilienz im Cyberraum zu überwachen.

 

Rating History
 
Dabei sind sogar neuralgische Zeitpunkte, die das Rating im Verlauf beeinflusst haben, erkennbar. Die sie auslösenden Ereignisse, z.B. eine Serverumstellung im Haus, können direkt mit dem Verlust an Sicherheit (Verwundbarkeit) in Verbindung gebracht werden.

 

Die Kenntnis hierüber beeinflusst auch nachhaltig das Management und fördert somit das Sicherheitsverständnis insgesamt.

 

Cybersecurity-Rating als Instrument nutzen

Die Nutzung eines solchen Systems ist einfach, der Umgang erfordert jedoch eine gewisse Methodik. Denn die Ergebnisse eines solchen Ratings und die hieraus verfügbaren Detailinformationen bedürfen einer behutsamen Nutzung.

 

Daher ist es ratsam, sich über folgende Schritte dem Cybersecurity-Rating zu nähern:

 

  • Start eines Ratings über einen abgegrenzten Bereich für einen ersten Einstieg
  • Ableitung des Nutzens des Ratingsystems in Bezug auf Umfang und Zeitpunkt. Nicht jede Verwaltung benötigt ein kontinuierliches Rating über das gesamte Öko-System. In vielen Fällen reicht eine Analyse z.B. eines wichtigen Lieferanten einmal oder zweimal im Jahr aus. Die eigene Verwaltung sollte für sich selbst ein kontinuierliches Monitoring bevorzugen.
  • Ableitung der Aufbau- und Ablauforganisation in Bezug auf die Nutzung des Systems. Wer übernimmt das Monitoring? Wer agiert bei Auffälligkeiten?
  • Ableitung von Zuständigkeiten für erkannte Sicherheitslücken. Wer agiert wann bei erkannten Sicherheitsvorfällen?
  • Integration des Systems in die vorhandenen Sicherheits- und Datenschutzkonzepte.
  • Umsetzung eines Reportingsystems, das die verschiedenen Adressaten berücksichtigt.
  • Sicherer und wirksamer dauerhafter Betrieb.

 

 

Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu