 Von Holger.Ellgaard – Eigenes Werk, CC BY-SA 3.0, Link |
Wer seine elektronische Kommunikation noch damit erledigt, darf aufatmen.Alle anderen sollten sich Gedanken machen. |
(Zur Erläuterung: Das Bild zeigt ein Telefon, das mit Impulswahlverfahren arbeitet. In den 80ern des letzten Jahrhunderts löste das Mehrfrequenzwahlverfahren die Wählscheibe ab. Erst danach fand elektronische Kommunikation (zunächst mittels über Modem) Einzug in den allgemeinen Gebrauch.
Kommunikation, Schlüssel zum Erfolg
Funktastatur, Presenter, Bluetooth … offen für mehr als gedacht.
Prüfeinrichtungen, Laboratorien, wissenschaftliche Einrichtungen, Makerspaces und Sciencespaces leben durch den Austausch von Nachrichten und Daten. Recherchen in Datenbanken, das Verfassen von E-Mails, ebenso wie das Verfassen von Aufzeichnungen oder Präsentation erfolgt in der Regel über die Nutzung von Maus, Tastatur, Presenter. Arbeiten diese unerlässlichen Hilfsmittel drahtlos, sind sie Teil einer kompromittierbaren elektronischen Kommunikation. Dass auch diese Kommunikation als Einfallstor zu nutzen sein kann, berichtete das c’t-Magazin und sorgte damit für einigen Aufruhr.
- Der Betrieb entsprechender Hardware ist im Risikomanagement der EDV-Sicherheit zu würdigen.
- Die Aktualität der Firmware und Treiber entsprechender, verwendeter Hardware ist in angemessenen Intervallen herzustellen.
- Nicht mehr vom Hersteller mit Aktualisierungen unterstützte Hardware ist zu kennzeichnen und nur in nachgewiesen sicherer Umgebung zu verwenden oder zu entsorgen.
- Die Nutzung entsprechender Hardware außerhalb der für sicher erachteten Umgebung ist zielführend einzuschränken. Am Ende der Präsentation könnte sonst eine Schattenkopie nicht nur des Vortrages und der verwendeten Passworte den Weg den Weg in die „Öffentlichkeit“ gefunden, sondern auch das Notebook manipuliert oder Schadsoftware installiert sein.
Router, WLan, Access-Point
Ob Telefonieren über Voice over IP, Internet- und Mailservice, lokale Kommunikation mit dem eigenen Server, Vertraulichkeit und die Sicherung von Geheimnissen hängt zuerst am Router. Ein Router ist ein Gerät, das die Kommunikation zwischen Netzwerken herstellt und regelt. Dabei kann es sich zum Beispiel um die Verbindung des lokalen Datennetzes einer Einrichtung / Firma / eines Haushalts und dem Internet handeln. Eine Suche nach „Router“ auf Heise-Security bringt spontan eine ganze Anzahl von Meldungen zu aktuellen Lücken und Sicherheitsproblemen an den Tag. Das Bundesamt für Sicherheit in der Informationstechnik gibt Hinweise auf die minimal notwendige Konfiguration zur Erlangung einer gewissen Basissicherheit. In Zusammenschau mit den auf Heise veröffentlichten Meldungen fällt auf, wie schnell Sicherheit altert. Einerseits wird geraten, die Firmware des Routers stets aktuell zu halten, andererseits pflegen Hersteller die Geräte nur für eine begrenzte Zeit mit Firmwareupdates zu versorgen. Gibt es kein aktuelles Update, könnte also für das Fehlen aktueller Update-Angebote neben der Qualität und erreichten Sicherheit, das Fehlen bekannter Lücken und Probleme, die mit einem Update zu beheben wären, auch das Alter des Gerätes eine Rolle spielen. Es wird gegebenenfalls einfach nicht mehr vom Hersteller unterstützt. Die Verantwortung liegt in jedem Fall bei den Nutzenden.
- Der Betrieb entsprechender Hardware ist im Risikomanagement der EDV-Sicherheit zu würdigen.
- Die Aktualität der Firmware und Treiber entsprechender, verwendeter Hardware ist in angemessenen Intervallen herzustellen.
- Nicht mehr vom Hersteller mit Aktualisierungen unterstützte Hardware ist zu kennzeichnen und nur in nachgewiesen sicherer Umgebung zu verwenden oder zu entsorgen.
E-Mail-Verkehr und Datentransfer
Das Handelsblatt berichtet über eine Studie nach der jedes dritte Unternehmen in den vergangenen 2 Jahren von digitaler Erpressung betroffen war. In der Regel sind in einem solchen Fall die Daten auf den eigenen System waren nicht mehr zugänglich. Auch die Zahlung eines „Lösegeldes“ führt nicht immer zu einer Wiedererlangung der vollständigen Kontrolle über die Systeme/Daten. Von der Zahlung von „Lösegeld“ wird abgeraten.
Handelsblatt: Wenn Hacker eine ganze Stadt als Geisel nehmen.
Borns IT- und Windows-Blog: Stadt in Florida zahlt nach Ransomwarebefall
eGovernment-Computing.de: Ransomware-Angriffe auf Behörden
Kommunal.de: Cyberangriffe auf Kommunen und Mitarbeiter
Für Prüfeinrichtungen/ Laboratorien, wissenschaftliche Einrichtungen, Makerspaces und Sciencespaces bedeutet der Hoheitsverlust über die eigenen Daten mehr: Die Audit Trail-Fähigkeit/Rückverfolgbarkeit ist gebrochen, die Vertraulichkeit ist gefährdet, die Geheimhaltung ist unwirksam …. Selbst bei Wiedererlangung der Daten nach Zahlung eines „Lösegeldes“ ist die Vertraulichkeit dahin.
Das Problem ist in den meisten Fällen nicht das „System“, sondern sitzt davor oder sitzt in den Entscheidungsstrukturen. Viele Kommunen und öffentliche Einrichtungen exportieren die Problematik zudem auf Betriebe und Einrichtungen, wenn sie sich einer verschlüsselten oder gesicherten Kommunikation entziehen und kein geschlossenes und verbindliches Schutzkonzept erstellen und durchsetzen. Oft ist die beliebte und für die Kommunikation unerlässliche Email das Einfallstor in die Systeme. Kann es einen guten Grund geben, auf sicherere und existierende Kommunikationsmittel wie De-Mail zu verzichten oder weitere Alternativen zu entwickeln? Die elektronische Kommunikation mit dem Finanzamt verläuft gesondert und gesichert. Auch große Softwareunternehmen können gesicherte Kommunikation bieten, die nicht von Sicherheitslücken bei verschlüsselten Emails betroffen sind. Das Angebot zum Einsatz von Verschlüsselung über PGP kann die Sicherheit erhöhen, aber nicht mehr gewährleisten, wie ein Beitrag auf Heise-Security unter dem Titel „PGP: Der langsame Tod des Web of Trust“ beschreibt. Auch die Übermittlung großer Datenmengen über Cloud-Dienste ist nicht sicher, denn was bedeutet es, wenn einer der größten Betriebssystemhersteller mitteilt, dass er nun einen Sicherheitsbereich für besonders sensibele Daten in seinem Cloudspeicher anbietet. Andere Anbieter von Cloud-Lösungen fielen schon durch Benachrichtigung der falschen Empfänger über verfügbare Daten auf.
Fehler passieren, absolute Sicherheit gibt es nicht. Der angemessene und umsichtige Umgang mit elektronischer Kommunikation ist ein Schlüssel zu mehr Sicherheit im eigenen Netzwerk.
- Die gewünschte Form des Umgangs mit elektronischer Kommunikation ist in einer Verfahrensanweisung zu beschreiben. Sie gehört in die Zuständigkeit der EDV-Sicherheit.
- Die aus elektronischer Kommunikation erwachsenden Risiken sind im Risikomanagement zu berücksichtigen.
- Auch wenn es keine absolute Sicherheit gibt,denn elektronische Kommunikation liegt im vitalen Interesse der oben genannten Einrichtung, so ist ein Verzicht auf machbare Erhöhungen des Sicherheitsniveaus fahrlässig.
Sichere Kommunikation zumindest:
- in Form von Verschlüsselung gezippter Daten,
- weitgehender Verzicht auf die Übermittlung und Akzeptanz von Inhalten mit erhöhtem Risikopotenzial (Dateien mit Makros, Excel-Datenblättern etc.),
- telefonische Rückfrage bei eingegangenen Mails mit Dateianhängen,
- Angebot der Verwendung sicherer Kommunikation (De-Mail, PGP und so weiter),
- tagesaktueller Virenschutz und Überprüfung ALLER Anhänge, auch wenn es sich um erwartete und abgesprochene Daten handelt, denn der Partner könnte schon unwissentlich infiziert sein.
Die regelmäßige Überprüfung der verwendeten Prüfmethoden, Normen, Technischen Regeln und Richtlinien auf Aktualität, die Rückführung verwendeter Normale gehören zur Basisaktivität jeder Einrichtung. Die EDV-Sicherheit ist vitales Interesse jeder Einrichtung und reiht sich in den obigen Kanon ein, ist also ebenfalls zyklisch und belegbar zu hinterfragen. Die Nutzung einer besonderen Verfahrensanweisung „Elektronische Kommunikation“ ist als Handlungsanweisung über die Verfahrensanweisung „EDV-Sicherheit“ hinaus, dringend zu empfehlen.