KMU und raus bist Du? IT-Sicherheit für den Mittelstand

Eine wachsende Zahl von Ressourcen und Handreichungen beschäftigt sich mit der Frage, wie mittelständische Unternehmen Informationssicherheit wirtschaftlich und effektiv umsetzen können. Die Abschlussarbeit unseres Kollegen Patrick Taege beleuchtet die besonderen Herausforderungen, denen sich KMUs in der Security stellen.

https://research.hisolutions.com/2021/01/warum-der-mittelstand-besonders-auf-it-sicherheit-achten-sollte/

HiSolutions Empfehlung: Unsere Checkliste zur Cybersecurity für kleine und mittlere Einrichtungen 

Schwachstellendarstellungsstandardisierungsvorschlag: OASIS CSAF

Schwachstellen werden in der Regel individuell beschrieben und dokumentiert. Dabei würde eine einheitliche Darstellungsform die Verarbeitung und gar Automation in diesem Bereich erheblich erleichtern. Zwar existieren schon verschiedene Standardvorschläge dazu, bisher konnte sich jedoch keiner davon breiter durchsetzen.

Nun sammelt sich hinter dem OASIS Common Security Advisory Format (CSAF) relevante Unterstützung u. a. von BSI, NIST und MITRE mit geplanten Aktivitäten wie einem Proof-of-Concept-Projekt zur Anwendung.

https://github.com/oasis-tcs/csaf

C5 4 AI = AIC4: Cloud Service Compliance Criteria Catologue für KI

Klassische Security-Standards lassen sich aufgrund der Besonderheiten von KI-Systemen nicht einfach auf diese übertragen. Seit 2019 arbeitet das Kompetenzzentrum Künstliche Intelligenz im BSI daran, Aspekte wie Robustheit, Sicherheit, Verlässlichkeit, Integrität, Transparenz, Erklärbarkeit, Interpretierbarkeit und Nichtdiskriminierung zu normieren. Als erstes Ergebnis ist nun der „AI Cloud Service Compliance Criteria Catalogue“ (AIC4) veröffentlicht worden. AIC4 ist an den Cloud Computing Compliance Criteria Catalogue (C5) angelehnt, der ebenfalls auf dem internationalen Standard ISAE 3402 für Interne Kontrollsysteme (IKS) basiert, und kann wie dieser in einem Second-Party-Audit durch Wirtschaftsprüfer testiert werden. Im Katalog AIC4 ist die Umsetzung des C5-Katalogs als Anforderung mit enthalten.

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Kuenstliche-Intelligenz/kuenstliche-intelligenz_node.html

Meine Analytics! Microsoft 365 durchleuchtet User

Das „My“ im Namen ist gleichzeitig verräterisch und irreführend: Die Erweiterung MyAnalytics in Microsoft 365 erfasst massenhaft Nutzungsdaten. Seit die Funktion, die umfassend auf Kalender- und E-Mail-Daten zugreifen kann, auch für Europa freigeschaltet wurde, gibt es plötzlich einen Aufschrei in Bezug auf Datenschutz und betrieblicher Mitbestimmung. Wird die Funktion „Productivity Score“ aktiviert, so werden standardmäßig Namen, Gruppenzugehörigkeiten und Standorte aller Angestellten sowie automatisch auch alle Nutzungsdaten von Word, PowerPoint, Excel, OneNote, Outlook, Skype und Teams aufgezeichnet – die perfekte Leistungsüberwachung, zumindest von der Möglichkeit her. Eine Anonymisierung muss gezielt durch Admins erfolgen, deren Zugriffe durch die User selbst nicht nachvollzogen werden können. 

https://www.sueddeutsche.de/digital/microsoft-productivity-score-ueberwachung-arbeitsplatz-1.5130228

Kompromisslos geliefert: MITRE-Report Supply-Chain-Security

Derweil sucht die IT-Sicherheitsforschung fieberhabt nach Wegen, wie das komplexe Problem der Supply-Chain-Security in den Griff zu bekommen ist. So hat das US-Forschungszentrum MITRE jüngst den Bericht „Deliver Uncompromised: Securing Critical Software Supply Chains“ veröffentlicht. Dieser enthält nichts geringeres als einen Vorschlag für ein Framework, das Softwareintegrität über die ganze Lieferkette Ende-zu-Ende gewährleisten kann.

https://www.mitre.org/sites/default/files/publications/pr-21-0278-deliver-uncompromised-securing-critical-software-supply-chains.pdf

Kettenreaktion: Supply-Chain bleibt ein schwaches Glied

Spätestens seit den Enthüllungen um #Sunburst aka #Solorigate zum Ende des vergangenen Jahres ist immer klarer geworden, wie tiefgehend und schwer zu beheben das Problem der Supply-Chain-Security ist. Wie die französische Nationale Agentur für Sicherheit der Informationssysteme (ANSSI) nun mitteilte, wurde auch Centreon, ein französischer Mitbewerber zu SolarWinds, zum indirekten Angriff auf mehrere französische Unternehmen und Behörden missbraucht. Hierbei soll eine Schwachstelle in einem Webserver das Einfallstor gewesen sein.

https://www.heise.de/news/Frankreich-Centreon-Server-waren-jahrelang-infiltriert-5055835.html

HISOLUTIONS – Erfolgreiches Krisenmanagement nach Ransomware-Angriff

Infolge eines Ransomware-Angriffs wurden kürzlich sämtliche Betriebsabläufe einschließlich des vollautomatisierten Herstellungsprozesses bei der Firma Schäfer Trennwandsysteme GmbH, Produzentin von Systemen für Umkleide- und Sanitäranlagen, unterbrochen und das Unternehmen erpresst. Dass ein solcher Vorfall bei professionellem Krisenmanagement nicht katastrophal ausgehen muss, zeigt eine gerade veröffentlichte Fallstudie von Schäfer und HiSolutions: Dank umgehender Unterstützung in Form von Krisenmanagern vor Ort und Beratung zum Aufbau eines Krisenmanagements, der dazugehörigen Kommunikation sowie bei der forensischen Analyse und Wiederherstellung der Geschäftsfähigkeit konnten nach vier Wochen der Regelbetrieb wiederhergestellt und nennenswerte Verzögerungen in der Auslieferung von Kundenaufträgen verhindert werden.

https://www.hisolutions.com/detail/krisenmanagement-nach-ransomware-angriff

Baustein-Baustelle: IT-Grundschutzkompendium 2021 veröffentlicht

Das BSI hat turnusgemäß die 2021er-Version des IT-Grundschutz-Kompendiums veröffentlicht, zunächst nur als PDF. In der Version 2021 sind wieder zwei Bausteine neu hinzugekommen: „CON.10 Entwicklung von Webanwendungen“ und „INF.11 Allgemeines Fahrzeug“. Die übrigen 96 Bausteine wurden überarbeitet, davon 6 Bausteine umbenannt, zusammengefasst und/oder in eine andere Schicht verschoben. Anwendern des Standards bleibt es daher nicht erspart, ihre Sicherheitskonzepte weitgehend zu überarbeiten, um IT-Grundschutz-konform zu bleiben.

https://www.heise.de/news/Neues-IT-Grundschutz-Kompendium-Web-Anwendungs-und-Fahrzeug-IT-Sicherheit-5051743.html

Das BSI hat übrigens kürzlich seine Web-Präsenz relauncht, sodass sich die meisten Deep-Links zu Grundschutz-Bausteinen und vielen anderen Themen leider geändert haben.

Nicht über den Jordan gehen: TIBER-EU

TIBER-EU ist das europäische Framework für Threat Intelligence-basiertes Red-Teaming. Der zugehörige EU Leitfaden beschreibt, wie Behörden und Unternehmen mit Threat-Intelligence- und Red-Team-Anbietern zusammenarbeiten können, um die Cyber-Resilienz zu testen und zu verbessern.

Das TIBER-EU Framework

Bei Tests nach TIBER-EU werden Taktiken, Techniken und Vorgehensweisen (TTPs, Tactics, Techniques and Procedures) realistischer Angriffe auf die kritischen Funktionen eines Unternehmens und seine zugrundeliegenden Systeme simuliert, welche auf maßgeschneiderter Threat Intelligence basieren.

Daher gibt es als Ergebnis auch kein „bestanden“ oder „nicht bestanden“. Viel mehrsoll der Test die Stärken und Schwächen aufdecken und dem Unternehmen zu einer höheren Stufe des Cyber-Reifegrads verhelfen.

Rollen

  • Blue Team – die Mitarbeiter:innen des Unternehmens, das im Scope des Tests ist und dessen Präventions-, Erkennungs- und Reaktionsfähigkeiten ohne ihr Wissen geprüft werden
  • Anbieter Threat Intelligence – ein Unternehmen, das das Spektrum möglicher Bedrohungen untersucht und das Unternehmen von außen auskundschaftet
  • Anbieter Red-Teaming – ein Unternehmen, das den simulierten Angriff durchführt
  • White Team: ein kleines Team im Zielunternehmen, das als einziges vom Test weiß und diesen gemeinsam mit dem TIBER-Cyberteam leitet und verwaltet
  • TIBER-Cyberteam – Team innerhalb der Behörde, das für die Überwachung des Tests verantwortlich ist und sicherstellt, dass er die Anforderungen des TIBER-EU-Frameworks erfüllt (wichtig für die gegenseitige Anerkennung der Tests)

Quellen

Der Leitfaden für die Beschaffung von TIBER-EU-Dienstleistungen enthält weitere Details zur Auswahl und Beschaffung der Dienstleistungen von Bedrohungsdaten- und Red-Team-Anbietern. Die TIBER-EU White Team Guidance erklärt, wie das Team, das den TIBER-Test verwaltet, innerhalb der Zielinstanz eingerichtet wird.