https://dr-christian-knebel.de/tags/kritische-infrastruktur/Recent content in Kritische-Infrastruktur on Dr. Christian KnebelHugo -- gohugo.iode-deWed, 31 May 2017 20:00:00 +0200https://dr-christian-knebel.de/posts/2017-05-monatsrueckblick/Wed, 31 May 2017 20:00:00 +0200https://dr-christian-knebel.de/posts/2017-05-monatsrueckblick/<p>Am 12. Mai 2017 verbreitet sich <a href="https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffsarten/Ransomware/ransomware_node.html" target="_blank" rel="noopener noreferrer" > WannaCry </a> weltweit. Die Ransomware trifft den britischen National Health Service, die Deutsche Bahn, Telekommunikationsunternehmen, Logistikkonzerne und Hunderttausende weitere Systeme in über 150 Ländern. Was sie ausnutzt: eine Windows-Sicherheitslücke, für die ein Patch bereits seit März verfügbar war.</p> <p>Für die öffentliche IT ist das keine abstrakte Bedrohung. Es ist ein Realtest.</p> <h2 id="was-wannacry-über-öffentliche-it-infrastrukturen-sagt">Was WannaCry über öffentliche IT-Infrastrukturen sagt</h2> <p>WannaCry schlägt wo ein, wo Systeme nicht gepatcht sind. Was das über öffentliche IT-Infrastrukturen zeigt: Patch-Management ist eine Schwachstelle. Systeme, die lange im Betrieb sind, werden selten konsequent aktualisiert. Die Gründe sind bekannt: fehlende Ressourcen, Angst vor Kompatibilitätsproblemen, mangelnde Priorisierung.</p> <p>Was die Deutsche Bahn trifft, betrifft auch Behörden. Was die <a href="https://www.bsi.bund.de/" target="_blank" rel="noopener noreferrer" > BSI </a>-Berichte nach WannaCry zeigen: Öffentliche Verwaltungen waren ebenfalls betroffen, wenn auch in vielen Fällen weniger sichtbar als die großen Infrastrukturbetreiber.</p> <p>Was das für die OZG-Digitalisierung bedeutet: Wer jetzt digitale Dienste aufbaut, baut sie auf einer IT-Infrastruktur, die zum Teil aus ungepatchten Legacy-Systemen besteht. Das ist ein Sicherheitsrisiko, das nicht ignoriert werden darf.</p> <h2 id="was-sicherheit-für-digitale-verwaltungsdienste-erfordert">Was Sicherheit für digitale Verwaltungsdienste erfordert</h2> <p>Ein digitaler Verwaltungsdienst ist angreifbar. Was ihn angreifbar macht: Softwarefehler, ungepatchte Systeme, schwache Authentifizierung, unsichere Schnittstellen. Was WannaCry zeigt: Sicherheit ist kein Zustand, sondern ein Prozess.</p> <p>Was das für OZG-Dienste erfordert: Security by Design als Entwicklungsprinzip, analog zu Privacy by Design. Sicherheit wird nicht am Ende eingebaut, sondern von Anfang an mitgedacht. Was das konkret bedeutet: Bedrohungsmodellierung in der Konzeptionsphase, regelmäßige Sicherheitsprüfungen während der Entwicklung, und einen Betriebsplan, der Patch-Management und Incident Response umfasst.</p> <p>Ein Dienst, der produktiv geht, aber kein Patch-Management-Konzept hat, ist ein Sicherheitsrisiko.</p> <h2 id="was-das-bsi-in-dieser-situation-leisten-muss">Was das BSI in dieser Situation leisten muss</h2> <p>Das BSI ist die Bundesbehörde für IT-Sicherheit. Was WannaCry von ihr fordert: nicht nur Warnungen, sondern konkrete Unterstützung für Behörden und Betreiber kritischer Infrastrukturen bei der Härtung ihrer Systeme.</p> <p>Was langfristig nötig ist: eine strukturiertere Verbindung zwischen BSI-Empfehlungen und OZG-Anforderungen. Wenn EfA-Dienste entwickelt werden, sollte die Sicherheitsarchitektur nach BSI-Standards geprüft sein, bevor sie zur Nachnutzung freigegeben wird.</p> <p>Das ist keine neue Idee. Was fehlt, ist die strukturelle Verankerung dieser Anforderung im OZG-Umsetzungsrahmen.</p> <h2 id="hat-sie-das-thema-interessiert">Hat Sie das Thema interessiert?</h2> <p>Wenn Sie IT-Sicherheitsanforderungen in Ihre Digitalisierungsprojekte integrieren wollen: Ich bin über das Kontaktformular unten erreichbar.</p>https://dr-christian-knebel.de/posts/2016-07-monatsrueckblick/Sun, 31 Jul 2016 20:00:00 +0200https://dr-christian-knebel.de/posts/2016-07-monatsrueckblick/<p>Am 6. Juli 2016 tritt die EU-Richtlinie zur Netz- und Informationssicherheit (NIS) in Kraft. Was sie bedeutet: Erstmals gibt es EU-weit verbindliche Anforderungen an die IT-Sicherheit für kritische Infrastrukturen und wesentliche digitale Dienste. Deutschland hat zwei Jahre Zeit, sie in nationales Recht umzusetzen.</p> <h2 id="was-die-nis-richtlinie-für-öffentliche-verwaltungen-bedeutet">Was die <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016L1148" target="_blank" rel="noopener noreferrer" > NIS-Richtlinie </a> für öffentliche Verwaltungen bedeutet</h2> <p>Die NIS-Richtlinie adressiert primär Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste. Was öffentliche Verwaltungen betrifft: Sie sind sowohl Nutzer von IT-Infrastrukturen als auch, in manchen Fällen, Betreiber kritischer Systeme.</p> <p>Was das in der Praxis bedeutet: Behörden, die Infrastrukturen für Gesundheitsversorgung, Wasserversorgung, Transport oder Energie verwalten, sind direkt von der NIS-Richtlinie betroffen. Was für alle anderen gilt: Die NIS-Richtlinie hebt den allgemeinen IT-Sicherheitsstandard, an dem Behörden gemessen werden.</p> <p>Was die Verbindung zur Verwaltungsdigitalisierung ist: Wer digitale Dienste entwickelt und betreibt, entwickelt und betreibt auch angreifbare Systeme. Was die NIS-Richtlinie erzwingt: Security muss in den Betrieb digitaler Dienste eingebaut sein, nicht als nachträgliche Sicherheitsschicht.</p> <h2 id="was-das-bsi-in-diesem-rahmen-leistet">Was das <a href="https://www.bsi.bund.de/" target="_blank" rel="noopener noreferrer" > BSI </a> in diesem Rahmen leistet</h2> <p>Das Bundesamt für Sicherheit in der Informationstechnik ist die deutsche Fachbehörde für IT-Sicherheit. Was der <a href="https://www.bsi.bund.de/grundschutz" target="_blank" rel="noopener noreferrer" > IT-Grundschutz </a> des BSI leistet: eine praxisnahe Methodik für die Umsetzung von IT-Sicherheitsanforderungen in Behörden.</p> <p>Was viele Behörden mit dem IT-Grundschutz machen: ihn als Compliance-Instrument behandeln, das man einmalig durchläuft und dann zum Ruhen bringt. Was ihn wirkungsvoll macht: kontinuierliche Anwendung, regelmäßige Aktualisierung, und Verknüpfung mit dem laufenden IT-Betrieb.</p> <p>Was für OZG-Dienste relevant ist: Die BSI-Anforderungen sollten als Abnahmekriterium in die EfA-Dienst-Entwicklung eingebaut werden. Ein Dienst, der die IT-Grundschutz-Anforderungen nicht erfüllt, sollte nicht zur Nachnutzung freigegeben werden. Was das erfordert: BSI-Konformität als explizite Anforderung in der OZG-Entwicklungsplanung, die noch aussteht.</p> <h2 id="was-it-sicherheit-mit-bürgerinnenvertrauen-zu-tun-hat">Was IT-Sicherheit mit Bürger:innenvertrauen zu tun hat</h2> <p>Was häufig vergessen wird: IT-Sicherheit ist nicht nur ein technisches Problem. Sie ist ein Vertrauensproblem. Bürger:innen, die digitale Verwaltungsdienste nutzen, übergeben persönliche Daten. Was sie dafür erwarten: dass diese Daten nicht in falsche Hände geraten.</p> <p>Was ein Sicherheitsvorfall bei einem Verwaltungsdienst anrichtet: nicht nur operativen Schaden, sondern Vertrauensverlust in die digitale Verwaltung insgesamt. Ein Datenleck bei einem OZG-Dienst kann die Bereitschaft der Bürger:innen, andere Dienste zu nutzen, nachhaltig beschädigen.</p> <p>Was das für die Entwicklungsprioritäten bedeutet: Sicherheit und Vertrauenswürdigkeit sind keine Nachrangthemen. Sie sind Kernqualitäten eines digitalen Verwaltungsdienstes.</p> <h2 id="hat-sie-das-thema-interessiert">Hat Sie das Thema interessiert?</h2> <p>Wenn Sie IT-Sicherheitsanforderungen in Ihre Digitalisierungsprojekte strukturiert einbauen wollen: Das Kontaktformular unten ist der direkteste Weg zu mir.</p>