Kritische Infrastrukturen und IT-Ausstattung
von Oliver Flüs
Ausgehend von der „Königsklasse“ Kritische Infrastrukturen will dieser Artikel Denkanstöße und Beispiele geben sowie auf nützliche Quellen hinweisen. Hintergrund sind ComConsult-Erfahrungen rund um kritische IT, aus KRITIS- und nicht-KRITIS-Umgebungen.
Fällt IT aus Sicht des Kerngeschäfts oder wichtiger Versorgungsketten länger aus, kann sich das kritisch auswirken. Bedrohungen durch Cyber-Kriminelle sind allgegenwärtig. Angriffe aus politischen Gründen machen immer wieder Schlagzeilen. Corona-Pandemie und jüngste Wetterkatastrophen haben gezeigt, dass solche Szenarien keine graue Theorie sind.
Besondere Absicherung ist schnell besonders teuer und aufwändig. Effektiver Schutz für Kritisches und Verhältnismäßigkeit sind schwer in eine gute Balance zu bringen.
FOSS – Free and Open Source Software, eine Alternative
von Markus Geller
Die Überlegungen zu diesem Beitrag liegen schon eine Weile zurück. Sie beruhen im Grunde auf drei Auslösern, die in den vergangenen Jahren aufgetreten sind:
- Kunden und Teilnehmer an Veranstaltungen der ComConsult Akademie erkundigen sich immer häufiger nach Alternativen zu den marktüblichen Produkten.
- Cloudlösungen werden hinterfragt, und Kunden wünschen Informationen zu Lösungen, die ohne die Public Cloud ebenfalls einsetzbar sind.
- 2019 stellte das CERN in Genf mit MAlt ein Projekt vor, welches die Möglichkeiten zur Ablösung von Microsoft-Lösungen in großen Umgebungen ermöglichen sollte.
Zu den ersten beiden Punkten werde ich im weiteren Verlauf einige Beispiele aus verschiedenen IT-Bereichen präsentieren.
Doch zunächst möchte ich das Projekt MAlt vorstellen und mit diesem Beispiel zeigen, dass sich auch große Organisationen von klassischen Softwareanbietern unabhängig machen können.
Sind wir reif für IT-Mündigkeit?
von Dr. Behrooz Moayeri
In den letzten zwei Jahren hat sich die Art und Weise der dienstlichen Nutzung von IT grundlegend geändert – zumindest an denjenigen Arbeitsplätzen, die gezwungenermaßen von den Räumlichkeiten der Unternehmen in die privaten Haushalte verlagert wurden. Auch wenn mit sinkenden Covid-19-Fallzahlen etliche Beschäftigte wieder in die Bürogebäude zurückkehren, werden bei vielen Organisationen einige wegen der Pandemie erfolgte Änderungen in der IT-Nutzung nicht mehr rückgängig gemacht werden. Dazu zählt zum Beispiel die Nutzung virtueller Plattformen für Kommunikation und Zusammenarbeit (UCC). Damit geht in zahlreichen Fällen der direkte Cloud-Zugriff der Arbeitsplatzendgeräte aus dem Homeoffice einher. Diese Endgeräte, meistens PCs, kommunizieren häufig direkt mit Public Clouds, den Hosting-Umgebungen für UCC-Plattformen. Selbst wenn der Weg zu diesen Plattformen über ein Virtual Private Network (VPN) des Unternehmens und damit über das firmeneigene RZ führen sollte, können im Falle von UCC-Nutzung Firewalls und andere Sicherheitskomponenten in Firmen-RZs nicht viel kontrollieren. Deshalb haben einige Organisationen den kürzesten Weg von den Endgeräten zu den Clouds erlaubt, nämlich den Weg über das Internet – ohne VPN. Vor ein paar Jahren hätte das einer Vielzahl an IT-Sicherheitsverantwortlichen große Bauchschmerzen bereitet, und oftmals tut es das immer noch. Immerhin wird ein Endgerät direkt mit dem Internet verbunden. Bei Wegfall der Kontrollen, Einschränkungen und Sicherheitsmechanismen des Firmennetzes ist man wohl oder übel auf die möglichst sichere Konfiguration des Endgeräts UND die IT-Mündigkeit des Benutzers angewiesen. Letzteres bedeutet, dem Benutzer zuzumuten, dass er sensibilisiert genug ist, nicht etwa auf Phishing Mails reinfällt, nicht jede Web Page öffnet und bei nicht vertrautem Verhalten des Endgeräts und der Software innehält und wachsam bleibt.
Doch sind wir in diesem Sinne reif für IT-Mündigkeit?
Halb kaputt ist meist schlimmer als ganz kaputt!
von Dr. Joachim Wetzlar
Neulich: Produktionsstillstand bei einem Industrieunternehmen. Wichtige Anwendungen zur Produktionssteuerung und Logistik waren „ausgefallen“. Genauer gesagt konnten die in der Produktion verteilten Clients ihre Server nur mit schlechter Performance und zum Teil gar nicht mehr erreichen. Aus Bürobereichen wurde überdies gemeldet, dass Dateizugriffe auf File Shares zum Teil nicht mehr möglich waren.
Eine erste Prüfung – nachdem ich mich über VPN mit dem Kundennetz verbunden hatte – ergab, dass die mir bekannten Subnetze in der Produktion allesamt erreichbar waren. Das Routing war aus meiner Perspektive unauffällig. Die IT-Abteilung vor Ort prüfte inzwischen verschiedene Meldungen im Netzwerkmanagement. Schließlich sagte einer: „Ich sehe bei einem Switch OSPF-Meldungen im Event Log!“
Herausforderungen bei der technischen Konzeption und Betreuung einer virtuellen Konferenz
mit Nils Wantia sprach Christiane Zweipfennig
Digitale Messen, virtuelle Konferenzen, Remote-Seminare – diese Begriffe sind spätestens seit dem Frühjahr 2020 in der Eventbranche nicht mehr wegzudenken. Damals häufig aus der Not heraus entstanden, erkennen Unternehmen heute zunehmend das Potential, das der virtuelle Raum für Veranstaltungen unterschiedlicher Art bietet.
Nils Wantia leitet bei ComConsult das Competence Center Kommunikationslösungen und erzählt in diesem Interview, wie er mit seinem Team am Anfang der Pandemie eine der ersten großen virtuellen Konferenzen technisch umgesetzt und begleitet hatte.
Sind wir reif für IT-Mündigkeit?
Fortsetzung
Wachsende Bedeutung von Security Awareness
Voraussetzung für IT-Mündigkeit ist das Bewusstsein über die IT-Sicherheit, übersetzt Security Awareness. Ein solches Bewusstsein wird immer wichtiger. In den 1990er Jahren, als das World-Wide Web das Internet vom Medium für wenige zur wichtigsten Informationsquelle machte, habe ich dafür plädiert, dieses neue virtuelle Straßennetz wie das altbekannte zu behandeln. Das hätte bedeutet, dass Organisationen als Voraussetzung für den Webzugriff eine Art Internet-Führerschein eingeführt hätten. Das kann man auch Security Awareness nennen. Seit den Anfängen des WWW ist ein Vierteljahrhundert vergangen. Security Awareness ist noch wichtiger geworden. Deshalb wird meine Kollegin Dr. Stollenwerk auf unserer Sommerschule 2022 dazu einen Vortrag halten.
Es ist nicht unrealistisch zu erwarten, dass wir IT-mündiger und sicherheitsbewusster werden. Schließlich nutzt jede Person IT auch privat. Es ist nicht egal, ob unsere privaten Daten plötzlich von Ransomware verschlüsselt werden. Uns ist es wichtig, dass wir unsere Fotos und Filme aufbewahren und vor unbefugtem Zugriff schützen. Unser Online-Banking-Zugang ist ebenfalls sehr schützenswert. Genauso wie man die eigene Wohnung, das eigene Verkehrsmittel und die eigene Brieftasche nach Kräften schützt, muss man sich auch über den Schutz des eigenen PCs, des eigenen Smartphones und des eigenen Heimnetzes Gedanken machen. So entsteht automatisch mehr IT-Sicherheitsbewusstsein. Davon profitieren auch Organisationen, in denen die sensibilisierten Menschen arbeiten.
Nicht allein auf die IT-Mündigkeit setzen
Jedoch ist es verständlich, wenn viele Organisationen nach wie vor nicht allein auf die IT-Mündigkeit ihrer Beschäftigten setzen. Technische Vorkehrungen bleiben wichtige Komponenten des Schutzes der Ressourcen und der Daten von Organisationen.
Ein technischer Ansatz besteht darin, den Schutzwall um die Ressourcen und Daten der Organisation enger zu ziehen und alles außerhalb dieses Schutzwalls als nicht vertrauenswürdig zu betrachten („Zero Trust“). Dann sind die Endgeräte nicht mehr vertrauenswürdig, unabhängig davon, ob sie firmeneigene Endgeräte sind oder im Sinne von „Bring Your Own Device“ (BYOD) den Usern selbst gehören.
Setzt man konsequent auf Datenhaltung in eigenen oder Cloud-Rechenzentren, bedeutet Zero Trust gegenüber den Endgeräten, dass auf diesen keine Unternehmensdaten gehalten werden dürfen. Und genau hier fangen die Schwierigkeiten bei der Umsetzung von Zero Trust an.
Der Offline-Modus
Die Vermeidung der Speicherung von Unternehmensdaten auf Endgeräten ist leichter gesagt als getan. Eine große Anzahl an Usern möchte Endgeräte auch im Offline-Modus benutzen können. Dokumente lesen oder bearbeiten sowie E-Mails lesen und schreiben sollen aus Sicht vieler User und Organisationen auch dann möglich sein, wenn das Endgerät gerade mal nicht mit dem Netz verbunden ist. Wenn Dokumente und E-Mails, die im Offline-Modus auf den Endgeräten bearbeitet werden, schützenswerte Unternehmensdaten enthalten, dann ist der erforderliche Schutzwall um die Daten der Organisation nicht mehr identisch mit den RZ-Grenzen.
Daten auf Endgeräten: Risiken und Gegenmaßnahmen
Häufig sind Endgeräte ohne Unternehmensdaten nicht realistisch. Die Frage wäre dann, wie diese Daten vor verschiedenen Gefährdungsszenarien zu schützen sind, zum Beispiel vor folgenden:
- Verlust der Verfügbarkeit durch verlorene oder defekte Endgeräte: Nicht anderweitig gesicherte oder replizierte Daten auf Endgeräten können mit dem Endgerät selbst oder durch Defekte auf dem Endgerät verloren gehen. Gegen ein solches Szenario hilft die automatische Replikation der Daten, sobald das Endgerät mit dem Netz verbunden wird, oder regelmäßige Sicherung der Daten auf dem Endgerät.
- Verlust der Verfügbarkeit durch böswillige Verschlüsselung: Ransomware auf einem Endgerät kann dessen Daten verschlüsseln. Automatische Replikation hilft hier kaum, denn dann sind auch die Replika verschlüsselt und unbrauchbar. Datensicherung kann helfen, wenn es mit Medienbruch einhergeht. Das bedeutet, dass die Ransomware über File Services keinen Zugriff auf Backup-Daten haben darf.
- Verlust der Vertraulichkeit durch Verlust der Endgeräte: Daten können in falsche Hände geraten, wenn Endgeräte verloren gehen oder entwendet werden. Dagegen hilft die verschlüsselte Speicherung von Daten auf Endgeräten.
- Verlust der Vertraulichkeit durch kompromittiertes Endgerät: Ohne dass es dem legitimen User auffällt, kann Spyware auf einem kompromittierten Endgerät dessen Daten ausspionieren. Dagegen hilft keine verschlüsselte Speicherung der Daten, denn die Spyware greift die Daten genauso ab wie legitime Software auf dem Endgerät.
- Verlust der Integrität durch kompromittiertes Endgerät: Ziel des Angreifers kann die Modifikation der Daten sein. Das kann zum Beispiel der Vorbereitung weiterer Angriffe dienen. Man denke etwa an Injizieren schadhafter Makros in Office-Dokumente. Auch diesem Angriff ist auf einem infizierten Endgerät kaum beizukommen. Auf einem infizierten Endgerät muss man von der Kompromittierung der Daten ausgehen, sowohl was die Vertraulichkeit als auch die Integrität der Daten betrifft.
Wenn also davon auszugehen ist, dass ein gegenüber dem Internet exponiertes Endgerät mangels Sensibilisierung und IT-Mündigkeit des Benutzers mit Spyware oder sonstiger Malware infiziert werden kann, besteht das Risiko der Verletzung der Vertraulichkeit oder der Integrität der auf dem Endgerät gehaltenen Daten.
Kompartimentierung
Zahlreiche Unternehmen nutzen ein Mobile Device Management (MDM). Bestandteil einiger gängiger MDM-Lösungen ist die Kompartimentierung des Endgeräts. Damit ist gemeint, dass auf demselben physischen Endgerät getrennte Umgebungen für dienstliche und private Nutzung eingerichtet werden. Die beiden Umgebungen (manchmal Container genannt) können nur nach zentral eingestellten Regeln interagieren. Der privat genutzte Browser kann technisch daran gehindert werden, auf die im dienstlich genutzten Container gehaltenen Daten zuzugreifen. Damit macht man aus einem physischen Endgerät zwei. Das eine Endgerät ist gegenüber dem Internet exponiert, das andere nicht oder nur nach sicheren Regeln. Bei Einsatz einer solchen Lösung ist für viele Organisationen die Speicherung von Unternehmensdaten (auch E-Mails) im dienstlich genutzten Kompartiment mit einem akzeptablen Restrisiko verbunden.
Auch auf klassischen PCs kann Kompartimentierung realisiert werden. Beispielsweise kann eine virtuelle Maschine (VM) der dienstlichen Nutzung vorbehalten sein. Auf der dienstlich genutzten VM hat der Benutzer keine weitreichenden Administrationsrechte. Ein VPN-Client wird automatisch mit der VM gestartet und hindert die VM an der direkten Kommunikation mit dem Internet. Das funktioniert auch umgekehrt. Die physische Maschine startet immer direkt mit einem VPN-Client und einer System-Firewall, die den direkten Zugriff auf das Internet einer privat genutzten VM, nicht aber den Applikationen auf der physischen Maschine erlaubt.
Auf einem Endgerät mit getrennten Kompartiments für dienstliche und private Nutzung können daher mit einem für etliche Organisationen akzeptablen Restrisiko Unternehmensdaten gehalten werden, sofern dies im dienstlichen, abgesicherten Kompartiment erfolgt. So ist das Endgerät auch im Offline-Modus nutzbar.
Trust-Exklaven
Unabhängig davon, wie man sichere Datenhaltung auf exponierten Endgeräten betreibt, werden diese Endgeräte zu Trust-Exklaven außerhalb des physischen Schutzwalls um das Rechenzentrum.
In nicht wenigen Organisationen lässt sich daher die Zero-Trust-Architektur nicht einfach durch bloße physische Netztrennung zwischen dem RZ und den Clients realisieren. Zu dieser Architektur gehört viel mehr als eine Data Center Firewall. Und dabei haben wir hier die Vertrauensfrage nur bei den Clients gestellt. Die Clients sind zwar das Haupteinfallstor vieler Angreifer, jedoch nicht die einzigen Achillesfersen der IT-Sicherheit, die man mit dem Zero-Trust-Ansatz reduzieren möchte. Man denke nur an Maßnahmen wie Mikrosegmentierung im RZ, auf die ich im letzten Geleit eingegangen bin.
Fazit
Das Sicherheitsbewusstsein der IT-Benutzer nimmt zu, einfach deshalb, weil diese sich auch bei der privaten IT-Nutzung immer besser absichern müssen. Es ist jedoch absehbar, dass zahlreiche Organisationen nicht ausschließlich auf die IT-Mündigkeit ihrer IT-Benutzer setzen und mit technischen Maßnahmen die Risiken reduzieren müssen, die auf der Kombination von Sicherheitslücken auf Clients und fehlender Sensibilisierung der Benutzer beruhen.
Kontakt
ComConsult GmbH
Pascalstraße 27
DE-52076 Aachen
Telefon: 02408/951-0
Fax: 02408/951-200
E-Mail: info@comconsult.com
Dein Kommentar
An Diskussion beteiligen?Hinterlassen Sie uns Ihren Kommentar!