So oder ähnlich konnte man es lesen. Prophete? Fahrradhersteller? Was hat das mit Qualitätssicherung und virtuellem Gemeinlabor zu tun?
Nachdem sich auch Hersteller von Rüstungsmaterial, Krankenhäuser, öffentliche Verwaltungen und andere große Player mit einem großen Budget des Problems von Cyber-Attacken nicht immer erwehren konnten, konnte man der Meinung sein, dass dies ja auch lohnende Ziele für Attacken seien. Makerspaces oder Prüfeinrichtungen mochten sich jenseits des Fokus der Angreifer wähnen.
Jenseits einer ausgeklügelten Forensik, also kompetenter Nachsorge, sollte ein zeitgemäßes Vorbeugen oder Versichern preiswerter sein. [2] Das Versichern gegen Folgen von Cyberattacken gestaltet sich zunehmen schwerer. Demnach bleibt nur die Vorsorge. Die DIN 17025 stellt in Kapitel 7.11 „Lenkung von Daten und Informationsmanagement“ die Erfüllung von Anforderungen in Bezug auf:
- Sicherung des Zugriffs auf Daten (7.11.1)
- Eignung & Validierung der Funktionsfähigkeit von Soft- und Hardware (7.11.2)
- Schutz vor unbefugtem Zugriff (7.11.3a)
- Schutz gegen Manipulation und Verlust von Daten (7.11.3b)
- Sicherung der Unversehrtheit von Daten (7.11.3d)
- Schutz der Vertraulichkeit (4.2)
explizit in die Verantwortung der Prüfeinrichtung. Leider werden diese Aspekte in Akkreditierungs- und Überwachungsverfahren derzeit oft nicht genügend aktuell, stringend und kompetent geprüft. Eine Akkreditierung sichert den Kunden somit keine profunde Kompetenz gegenüber Dritten (Kunden) zu. Die Handreichung des Akkreditierers fußt auf einem Dokument des vergangenen Jahrtausends und damals waren viele der vermeidbaren Fehler und aktuell möglichen Szenarien noch unbekannt. Schlimmer noch: Der Akkreditierer selbst stellt Dokumente im bekannten Officeformat zur Verfügung und erwartet andererseits im Rahmen von Akkreditierungsverfahren eine bestimmte Verzeichnisstruktur.
Unserer Meinung nach lädt dies zu neuen Formen von Attacken mit Angriffsszenarien unter Nutzung besonderer Latenzen ein. Attacken können verteilt über mehrere Dateien und somit verschleiert inszeniert werden. Eine nicht speziell trainierte Erkennungsroutine hätte ihre liebe Mühe. Eine Einschleusung wäre vermutlich sowohl getarnt als Prüfeinrichtung als auch indirekt als Kunde möglich, denn noch verhindert keine Schulung oder Konfiguration, dass Begutachtende einfach einen USB-Stick einer Prüfeinrichtung in ihr zur Akkreditierung mitgebrachtes Notebook stecken.
Was haben die Hersteller von Rüstungsmaterial mit Akkreditierung zu tun? Sie kommunizieren zum Beispiel mit akkreditierten Prüfeinrichtungen für chemische oder schalltechnische Untersuchungen.
Niemand kann Cyber-Attacken wollen. Alle Betriebe, Makerspaces, Ausbildungseinrichtungen, Verwaltungen und Privatleute sind gehalten, sich geeignet zu schützen. Wäre es nicht eine prima Idee, Vorgaben für angemessene und mit niedrigschwelligen Mitteln erreichbare sowie kosteneffiziente Schutzstrategie zu publizieren? Das aktuelle [3] IT-Grundschutzkompendium des Bundesamtes für Sicherheit in der Informationstechnik stellt mit seinen 900 Seiten keine einfache Handreichung dar und bleibt in vielen Punkten fleischlos unkonkret. In unserer Handreichung auf dieser Webseite finden sich zwar konkretere Hinweise auf Schutzstrategieen, müssen jedoch konstatieren, dass der erforderliche Aufwand nicht vernachlässigbar ist. Die regelmäßige Überprüfung der Aktualität des BIOS unterschiedlicher PC-Systeme, die Aktualisierung und Validierung von Routern etc. sind zeitaufwändige, regelmäßige wiederkehrende Tätigkeiten. Zum Glück gibt es eine Anzahl aktuellerer Handreichungen aus dem Bereich GMP und GLP [4], die sowohl einen inneren Bezug zu FDA als auch Europa haben. Sollten Lesende dieses über Beitrages über aktuelle Quellen zur Informationssicherheit / Schutz der EDV akkreditierter Prüfeinrichtungen verfügen, würden wir uns freuen, diese im Rahmen eines Beitrages oder einer Handreichung auf dieser Webseite würdigen zu können.
[1] https://www.heise.de/news/Fahrradbauer-Prophete-Erste-Details-zum-Cyber-Angriff-7457031.html
[4] https://www.gmp-navigator.com/mygmp/computervalidierung/guidelines-computervalidierung