Virusinfektion: Planen, vorbeugen und richtig reagieren
Jedes Computersystem, jedes Computernetz ist kompromittierbar. Lange bekannte, aber nicht geschlossene Lücken, spezielle Hintertüren von denen angeblich nur der Hersteller von Hard- oder Software und die Geheimdienste der Länder wissen, neue Angriffs- und Ausspähszenarien [1] und als wichtigstes Risiko „der Mensch“ sorgen für ein stets vorhandenes mehr oder weniger stark ausgeprägtes Risiko. „Alles richtig gemacht und doch infiziert!“ So stellt sich derzeit das Szenario bei der Handelskette Coop in Schweden dar [2, 3]. Infektion via Updateprozess eines Dienstleisters – vermutlich. Dies bedeutet nicht notwendigerweise eine Schuldzuweisung an den Dienstleister Kaseya. Nach derzeitigem Kenntnisstand wusste der zunächst nichts von der Kompromittierung des eigenen Systems. Der Landkreis Bitterfeld wurde von einer Infektion ebenso heimgesucht [4, 5] wie andere Gemeinden, Krankenhäuser, Firmen.
Ransomware (Viren und Trojaner), kompromittierte Netze von Firmen und Gemeinden betreffen immer auch Prüfeinrichtungen und Gutachterbüros und umgekehrt!
- Prüfeinrichtungen dürfen nicht zu Superspreadern werden
- Kaseya darf nicht als Muster für die DAkkS herhalten
Gutachtende Tätigkeit ist mit einer Vielzahl von Kontakten verbunden. Kunden von Prüfeinrichtungen sind neben Kommunen und Privatleuten auch Hochtechnologiefirmen mit interessanten Entwicklungsabteilungen. Es ist nicht abwegig zu vermuten, dass diese Ziel von Attacken sein könnten. Es ist eher wenig wahrscheinlich, dass ein „Spiel über die Bande“ also ein Angriff über einen Umweg auszuschließen ist. Aktuelle Angriffstechniken mit hoher Latenz führen offensichtlich zu Erfolgen. Erpressung könnte dabei als Ablenkungsmanöver für die eigentlichen Ziele gelten. Noch vor 15 Jahren ergab sich während der Begutachtung bei einer größeren staatlichen Prüfeinrichtung an mehreren Tagen ein Virusalarm. Damals galt als Handreichung für Prüfeinrichtungen der gleichen Leitfaden zum Einsatz von Computersystemen wie er auch heute von der DAkkS als Handreichung angeboten wird [6]. Die Techniken ändern sich die Angriffsszenarien reifen. Im Laufe von Überwachungsbegehungen und Akkreditierungsbegutachtungen kann man wiederholt mangelnde Sensibilität auf dem Gebiet der EDV-Sicherheit beobachten, dabei stellt „Vertraulichkeit“ eine der Grundfesten akkreditierter Prüfeinrichtungen dar. Das Fortbestehen einer Akkreditierung ist KEIN Ausweis ausreichender EDV-Sicherheit. Die Verantwortung liegt immer bei der Prüfeinrichtung. Die Handreichung aus dem letzten Jahrtausend genügt modernen Anforderungen keinesfalls. Dies zu bemerken, gehört zum Ausweis der Kompetenz einer Prüfeinrichtung.
Jede aktuell akkreditierte Prüfeinrichtung sollte über Notfallpläne, Spiegelungen und Backup-Sicherungen über mindestens 3 Zeithorizonte verfügen. Was soll da schiefgehen? Fast ALLES. Wenn der Spiegel funktioniert hat, hat er auch die Infektion gespiegelt. Sollte die Latenz der Infektion bis zum offenen Ausbruch „ausreichend“ dimensioniert sein, dürften auch die Sicherungen betroffen sein. Soweit das kleinere der Probleme.
… und das größere Problem mit Haftungsrisiko?
Nicht nur Vorsatz schon Fahrlässigkeit kann Haftungsansprüche auslösen. Zu Bedenken ist:
Hat sich das akute Risiko eines EDV-Störfalls signifikant erhöht?
Die Sensibilität für das Thema Sicherheit informationstechnischer Strukturen („Cybersicherheit“) ist gewachsen. Der Kommunikation maßgeblicher öffentlicher Stellen ist zu entnehmen, dies ist der Fall [7] und werden auch vorbeugende Maßnahmen vorgeschlagen. Sensibilisierung von Mitarbeitenden und Management-Awareness als Bestandteil des Risiko- und Vorsorgemanagements werden dort zuletzt genannt und sind doch die zentralen Bausteine einer adaptiven und schlanken Sicherheitsstrategie.
Alle Angriffsszenarien benötigen Brückenköpfe / Ankerpunkte / Schwachstellen auf der Seite des potenziellen Opfers. Da von teilweise gezielten Angriffen auszugehen ist, muss eine schlanke Sicherheitsstrategie die mögliche Beute für die Angreifenden ausloten, den ein erfolgreicher Angriff bringen kann. Nicht jedes Ziel ist „lohnend“ und daher gleichstark bedroht. Das Kleinreden / Verharmlosen / Wegbosseln von Risiken ist hierbei kontraproduktiv und kann zu Fahrlässigkeit und Haftung führen. Neben der Verschlüsselung der Daten auf betroffenen Systemen kommt es oft zu enormen Abflüssen von Informationen, zu Teilveröffentlichungen. In jedem Fall sind Rückverfolgbarkeit, Vertraulichkeit (beides Punkte der DIN 17025) bedroht. Ein Schaden durch Verletzung der DSGVO steht im Raum.
Beratungsunternehmen und Prüfeinrichtungen könnten als Türöffner in streng gesicherte Bereiche herhalten. Eine Strategie zur Potenzierung der Durchschlagskraft eines Angriffs wären akkreditierende Einrichtungen denkbar,
- weil hier regelmäßige Kontakte zu Prüfeinrichtungen bestehen
- weil sicherheitsvorkehrungen meist sehr asymmetrisch zu Lasten der Prüfeinrichtung gestaltet sind
- weil manche akkreditierende Einrichtung auf der Nutzung von bereitgestellten Dateien im MS-Office-Format bestehen und diese teilweise selbst im Internet verfügbar machen (statt Webformulare zu nutzen, wie dies beispielsweise bei Bewerbungen, dem Stellen von X-Rechnungen etc. an anderer Stelle schon gemacht wird)
- weil ein Austausch von Dateien im MS-Office-Format in einer bestimmten Konstellation mit bekannter Verzeichnisstruktur stattfindet
- weil verteilte Zugriffe oder DriveBy-Downloads hier ein Zusammenschrauben einer Schadsoftware unter dem Radar von Schutzprogrammen erlauben
- weil gutachtende Prüfer über eine unzureichende Schulung im Bereich EDV-Sicherheit verfügen
- …
Da Änderungen hier nicht induzierbar scheinen, bleibt der ohnehin fällige Aufbau einer eigenen, schlanken Kompetenz- und Sicherheitsstruktur. Schlanke Maßnahmen könnten sein:
- Führen einer Liste mit datierten Kontakten und Einschätzung des Risko und Impacts, der von diesen Kontakten ausgeht im Zuge der Bewertung externer Anbieter (Punkt 6.6.2b)
- Automatisiertes Logging elektronischer Kontakten mit Aufzeichnung der Art und ggf. Anhangsbezeichnungen (Dateinamen etc.)
- Anlegen zusätzlicher Sicherungsgenerationen von Backups z. B. mit 6; 12 oder 18 Monatsabstand, die sicher und physikalisch wie datentechnisch getrennt aufbewahrt werden
- Beauftragung eines Penetrationstests durch einen aktuell geschulten und vertrauenswürdigen Anbieter
- Senkung der inneren Meldebarriere (Fehler von Mitarbeitenden gehören möglichst aktuell auf den Tisch, denn aus diesen Fehlern lernen auch Nichtverursachende. Angst vor Konsequenzen behindert zeitnahes Meldeverhalten, obwohl gerade die Zeitnähe des Umgangs mit einem Vorfall den Schaden minimieren hilft)
- Aufbau einer Meldekette, die sofort in Abhängigkeit von der Art des Vorfalls gemäß Notfallplan aktivierbar ist und mögliche Kontakte der Prüfeinrichtungen warnt. Als Meldeweg schließt sich Email selbstverständlich aus)
In Erwartung einer Überwachungsbegehung wird meist die Liste externer Dokumente aktualisiert, denn diese wird oft von Gutachtenden geprüft. Wann wurde die Liste von Risikohardware und deren EOL- / Aktualisierungsstand von einer Gutachtenden Person eingesehen? Auch dies gehört zum „System“ und zum „Fach“.
Sind Systeme kompromittiert und ist ein wirtschaftlicher Schaden entstanden, wird zunächst meist die Ursache ermittelt und anschließend die Haftung geprüft. Die Wiederherstellung von Daten und Infrastruktur soll nicht das Vorspiel für eine RiskoImpactBeitrag von 36 also den Totalschaden des Unternehmens ergeben. Um beim Bild des Beitrags zu bleiben: Auch an nichthaftend anmutenden Oberflächen, getestet durch Klebeversuche mit Klebefilm, Klettband, kann etwas hängen bleiben und sei es eine Schuld durch Fahrlässigkeit oder Unterlassung oder weil eine neue Angriffsmethode gewählt wurde. [8]
[1] https://de.wikipedia.org/wiki/WannaCry
[6] 71 SD 0 004 Leitfaden zum Einsatz von Computersystemen in akkrediterten Laboratorien