US-Executive Order - Verbesserung der nationalen Cybersecurity

 Die US-Administration hat soeben eine präsidentielle Verordnung (Executive Order) veröffentlicht, in der ein Bündel der Cybersecurity Maßnahmen definiert ist. Nach den jüngsten Cyberangriffen gegen staatliche Organisationen und Provider der kritischen Infrastruktur will man rasch handeln. Die Administration Biden's meint, die Lage der Cybersecurity erfordert ganz einschneidende Maßnahmen. Der kleinen Verbesserungen reichen nicht mehr aus. Deswegen fordert die Verordnung eine Umsetzung der vorgeschlagenen Maßnahmen binnen sehr kurzen Zeitrahmen - viele der Punkte müssen schon in 60 oder 90 Tagen erledigt sein.


Im Kern der Verordnung steht eine moderne Cybersecurity-Strategie mit Zero-Trust-Architektur, Multifactor-Authenitifizierung, Daten-Verschlüsselung und einer angemessenen Cloud-Security. Die Verordnung konzentriert sich nicht nur auf die Bestimmung der notwendigen Sicherheitsmaßnahmen, sondern auch auf Methoden für regelmäßige Überprüfung der Einhaltung dieser Maßnahmen.

Ein anderer wichtiger Aspekt der Verordnung ist Sicherheit von Software Supply Chain. Auch hier sollen binnen kurzer Zeit Sicherheitsmaßnahmen für die Implementierung und auch Überprüfung der Software definiert und umgesetzt werden. Dazu gehören auch geeignete Tools für Code-Analyse und Suche nach Vulnerabilities.

Mit dieser Verordnung und im Rahmen dieser Verordnung ausgearbeiteten konkreten Vorgaben und Überprüfungsmethoden werden alle US-staatlichen Organisationen zur Implementierung dieser Maßnahmen verpflichtet. Auch die Lieferanten der Software-Produkte und Cloud-Services werden dann nachweisen müssen, dass ihre Produkte die Vorgaben erfüllen.

Diese Verordnung ist ein gewaltiges Packet von Maßnahmen, mit dem Ziel die Cybersecurity der Regierungsorganisationen zu modernisieren. Die konkrete Benennung der erforderlichen Maßnahmen und Umsetzungstermine zeigt die Entschlossenheit der Biden's Administration die längst notwendige Modernisierung endlich umzusetzen.

Ich denke, wir in Europa müssen sehr genau die Arbeiten an der Umsetzung dieser Verordnung beobachten. Es können dabei ganz neue, praktische Cybersecurity-Standards entstehen, die auch in Europa eingesetzt werden sollen.
am Keine Kommentare:
Labels:

Datenschutz oder Fortschritt - das ist das aktuelle europäische Dilemma.

Der Vorstoß des Datenschutzbeauftragten von Mecklenburg-Vorpommern für ein sofortiges Verbot der Nutzung von Cloud-Services von Microsoft zeigt es deutlich - Europa muss sich entscheiden: entweder wollen wir Datenschutz oder Fortschritt haben. Beides gleichzeitig geht es nicht.

Wenn wir uns für Datenschutz entscheiden und die Nutzung von MS 365 verbieten, müssen wir akzeptieren, dass dann europäische Unternehmen mit dramatisch veralteten Methoden arbeiten werden müssen. Jeder, der behauptet man soll sofort ein alternatives Produkt einsetzen, das der Datenschutz-Grundverordnung entspreche, hat keine Ahnung. Es gibt ja zurzeit kein alternatives europäisches Produkt (weder kommerzielles noch Open Source) dass nur annähend den Funktionsumfang von modernen Kollaboration-Tools wie MS Teams oder Slack anbieten kann. Der Vorsprung der amerikanischen Anbieter beträgt in diesem Umfeld mindestens 5 Jahre und ist nicht mehr einholbar.

Die Entscheidung für Datenschutz wird also katastrophale Folgen für die Produktivität der europäischen Unternehmen haben.

Wenn wir uns für den Fortschritt entscheiden und die Nutzung von MS 365 zulassen, müssen wir dann das minimale Risiko akzeptieren, nämlich dass die amerikanische Behörde auf die dort gespeicherten personenbezogenen Daten zugreifen kann. Dieses Risiko ist aber verschwindend gering im Vergleich zu dem Risiko eines Cyberangriffs. Das wirklich reale Risiko, mit dem wir uns also befassen sollen, stellen die immer häufigere Cyberangriffe dar, bei denen untern anderen auch große Mengen der personenbezogenen Daten regelmäßig entwendet werden. Die täglichen Berichte über solche Cyberangriffe zeigen, wie schlecht viele Unternehmen darauf vorbereitet sind.

https://www.heise.de/news/Datenschutzbeauftragter-Behoerden-sollten-unverzueglich-auf-Microsoft-verzichten-5990886.html?wt_mc=rss.red.ho.ho.rdf.beitrag.beitrag 

am Keine Kommentare:
Labels:

"Assume Breach“ muss das Leitmotiv für jedes Unternehmen sein

In Confare-Bloginterview antwortete ich die Fragen von Michael Ghezzo. Wir sprachen über Risiko im Digitalen Zeitalter, die veränderten Anforderungen an Compliance Verantwortliche und Tools und wie es um die Einhaltung von Guidelines und Vorgaben in der Praxis steht.

Was bedeutet Risiko in Zeiten des Digitalen Wandels?

Ich glaube hier hat sich generell nicht viel geändert. Nicht identifizierte bzw. nicht angemessen behandelte Risiken haben negative Folgen für Unternehmen (z.B. finanzieller Verlust, Verlust der Reputation, Verlust des Knowhows, Verletzung von geltenden Gesetzen oder Unterbrechungen der Produktion). Was sich geändert hat, sind die Bedrohungen, die zu solchen negativen Folgen führen können. Mit der Digitalisierung kommen zunehmend neue Bedrohungen wie diverse Cyber-Attacken (Ransomware) und Data Breach auf Unternehmen zu.

“Assume Breach“ – Gehen Sie davon aus, dass nicht alle Sicherheitsvorgaben eingehalten werden!

Man muss also immer zunächst begreifen, woher kommt die größte Bedrohung für die Daten und Infrastruktur. Das größte Risiko, sowohl im Büro als auch im Home-Office, kommt derzeit aus den „dunklen Ecken“ des Internets. Sehr viele Unternehmen kümmern sich leider noch immer vornehmlich oder sogar ausschließlich um die Büro- und häusliche Umgebung. Hier ist ein Umdenken unbedingt notwendig.

„Fokus auf das Wichtigste“


Das Wichtigste für die richtige Bewertung der Sicherheitslage und sinnvollen Einsatz der Ressourcen ist adäquate Einschätzung der Bedrohungen. Es gibt unzählige Security-Incident-Statistiken, die gut zeigen, welche Gefahren tatsächlich bedrohlich sind. Ein Unternehmen ist gut beraten, ständig diese Statistiken zu beobachten und sich auf die dort dargestellten Bedrohungen zu konzentrieren.

Fokus auf die gefährlichsten Bedrohungen ist viel wichtiger als der Versuch alle möglichen Gefahren zu analysieren und Gegenmaßnahmen zu ergreifen. Für die Vorbeugung aller möglichen Gefahren reichen in der Regel die Ressourcen des Unternehmens nicht aus.

Wie kann man Risiko überhaupt managen, wenn kein Stein auf dem anderen bleibt?

So schnell sind die Änderungen doch wieder nicht. Wir kämpfen seit Jahren mit ähnlichen Themen und sehr viele Risiken sind seit Jahren gleichgeblieben; dazu zählen u.a. schlecht gepatchte Systeme, Phishings-Attacken, Risiken die Mobilität mit sich bringt und ähnliche Herausforderungen. Bestimmte Themen gewinnen tatsächlich plötzlich an Aktualität und das macht den Eindruck einer schnellen Veränderung. z. B. das Thema Remote Working ist 2020 durch Covid-19 besonders rasch akut geworden, nachdem sehr viele Unternehmen in den Lockdown-Phasen nicht anders arbeiten konnten. Mobiles Arbeiten wurde aber seit zumindest 15 Jahren in vielen Unternehmen praktiziert und geduldet. Man hat sich bestimmt zu wenig um die daraus resultierende Risiken gekümmert, weil man glaubte, es ist ein unwichtiges Randthema.

Welche Methoden haben sich bewährt?

Bestehen im digitalen Zeitalter können nur Daten-orientierte, flexible und wenig aufwändige Methoden. Hier ist wichtig, dass man zumindest sehr regelmäßig aber am besten kontinuierlich, die Risiko-Situation erfassen kann und dass dieses Lagebild ständig aktualisiert wird.

Welche Bedeutung hat dabei der „menschliche Faktor“?

Der menschliche Faktor ist weiterhin der Wichtigste; weil Menschen durch ihr Handeln die Sicherheitslage massiv (sowohl positiv als auch negativ) beeinflussen können. Es ist also wichtig, dass man das Sicherheitsbewusstsein der Mitarbeiter fortlaufend schärft. Gleichzeitig kann man sich nicht darauf verlassen, dass alle Mitarbeiter ausreichendes Verständnis für die Sicherheitsrisiken haben und sich gemäß den Vorgaben richtig verhalten. Die Sicherheit eines Unternehmens kann ja nicht nur ausschließlich von dem richtigen Verhalten jedes einzelnen Mitarbeiters abhängig werden. Es reicht nur ein einziger Mitarbeiter, der die Regeln missachtet, für einen gelungenen Ransomware-Angriff oder Data Breach!

„Assume Breach“


Unternehmen müssen also davon ausgehen, dass nicht alle Sicherheitsvorgaben eingehalten werden. “Assume Breach“ muss das Leitmotiv für jedes Unternehmen sein. Darin muss auch das Fehlverhalten der Mitarbeiter berücksichtigt werden. Es gibt kaum eine wirkungsvolle Methode, um die Befolgung der Sicherheitsvorgaben durch Mitarbeiter zu kontrollieren. Man muss also hier nach Alternativen suchen. Ich sehe diese Alternativen in viel besseren Datenmanagement, als das jetzt meistens praktiziert wird, und in dem Informationsschutz, welches vollständig auf den Schutz der Daten fokussiert ist. Dieser Informationsschutz muss völlig unabhängig davon wirken, wo und durch wem Daten verarbeitet werden.

Welche Möglichkeiten bieten dazu GRC Tools? Wie sieht Ihr Einsatz in der Praxis aus?


Es gibt viele unterschiedliche GRC Tools und sie sind auch unterschiedlich gut geeignet, um die aktuellen Herausforderungen zu adressieren. Ein modernes GRC Tool muss sehr flexibel sein und eine rasche Anpassung an organisatorische und technische Veränderungen ermöglichen. Wichtig ist auch dabei, dass man die Compliance- und Sicherheits-Lage des Unternehmens laufend (also nicht wie bei den meisten GRC Tools nur periodisch) darstellen kann. Nur so kann ein GRC Tools die Resilienz des Unternehmens gegen die Cyber-Angriffe erhöhen und Data Leaks verhindern.

„Kontinuierlich statt regelmäßig“


Die Voraussetzung dafür ist ständige Überwachung der Sicherheitslage und schnelle Reaktion auf nicht-vorgesehene Ereignisse (z: B. neue gefährliche Schwachstellen). GRC Tools müssen besser und schneller die Sicherheitslage des Unternehmens erfassen und steuern als das der Fall jetzt ist. Quartalweise oder noch seltenere Berichte sind nicht mehr zeitgemäß. Gestern war eine regelmäßige Betrachtung der Sicherheitslage noch gut genug. Heute oder spätestens Morgen muss alles kontinuierlich geschehen. Continuous Adaptive Risk and Trust Assessment (CARTA) Konzept von Gartner ist hier ein guter Wegweiser.

Ein modernes GRC Tool muss also auf automatisch und kontinuierlich gesammelten Daten basieren. GRC Tool soll auch Bedrohungen gemäß der aktuellen Cyber-Angriff-Statistiken priorisieren (nicht jede Bedrohung stellt die gleiche Gefahr dar) und eine aktuelle Sicht auf die Sicherheitslage des Unternehmens bieten. Auf dieser Basis wird die aktuelle Risikosituation des Unternehmens erstellt und notwendigen Maßnahmen eingeleitet.

Man muss dabei sagen, dass der Risiko-orientierte Ansatz etwas im Konflikt mit dem Compliance-orientierten Ansatz steht. Leider konnte der bis vor kurzen vorherrschende Compliance-Ansatz, wie wir es in der Cyber-Angriff-Statistiken erkennen können, wegen seiner statischen Natur die Cyber-Angriffe nicht verhindern.

Was sind die 3 wichtigsten Erfolgsfaktoren für GRC im Digitalen Zeitalter?

Moderne GRC muss imstande sein, rasch auf sich änderte Bedingungen zu reagieren. Hier meine ich in erster Linie aus derzeitiger Sicht vier Veränderungen: Migration in die Cloud, schnelle Änderungen der Bedrohungen- und Risiko-Situation, Mobiles Arbeiten (Home-Office) und rasante Zunahme der Zusammenarbeit mit Kunden, Partnern, Lieferanten.

GRC muss auf diese Veränderungen mit proaktiven Konzepten (Blockieren und Verbieten ist passé) und Schnelligkeit reagieren.  GRC soll Konzepte, Vorgaben, Auswertungen und Berichte nicht für Ewigkeit ausdenken, sondern als flexible Werkzeuge verwenden, um mit sich ständig änderten Situation umzugehen.

Die modernen GRC-Tools müssen im digitalen Zeitalter folgende Eigenschaften vorweisen:

  • Flexibilität – schnelle Anpassung auf die sich änderte Umgebung.
  • Daten-Orientierung – automatisches Sammeln von Daten als Basis für aktuelle Risikosituation.
  • Risiko-Orientierung – sehr schnelle Reaktion auf neue Bedrohungen und ständige Aktualisierung der Risikosituation.

Die Corona Pandemie hat viele Unternehmen dazu gebracht Digitalisierungsschritte schneller umzusetzen, als sie es normalerweise gewagt hätten. Hat sich dadurch der GRC Status in den Unternehmen verschlechtert?


Tatsächlich hat Corona-Pandemie Cloud-Implementierung massiv beschleunigt. Damit wurden Tatsachen geschaffen, die in vielen Unternehmen mit dem bis jetzt vorherrschenden “On-Prem”-Prinzip gebrochen haben.  Wenn die GRC-Abteilungen vorher eine Politik “Cloud-nur-über-meine-Leiche” befolgt haben, dann ist ihr Status natürlich stark verschlechtert.

Jetzt ist es aber enorm wichtig, dass die GRC-Abteilungen rasch eine “Zero-Trust”-Architektur entwickeln und Cloud als fixer Bestandteil der IT-Infrastruktur akzeptieren. Nur so können sie in dem digitalen Zeitalter noch einen sinnvollen Beitrag zum Erfolg des Unternehmens leisten.

Dieser Artikel erschein zunächst im Confare Blog: https://confare.at/assume-breach-muss-das-leitmotiv-fuer-jedes-unternehmen-sein/

am Keine Kommentare:

Profitgier führte direkt zu Hack

Während die Mehrheit im SolarWind hack hauptsächlich sich auf den geopolitischen Aspekt und den angeblichen russischen Angriff auf viele US-amerikanische Organisationen und andere wichtige Provider der kritischen Infrastruktur konzentriert, sieht Matt Stoller, ein Finanzexperte,  die Ursache von dem Hack hauptsächlich in dem Geschäftsmodel von Private Equity (PE) Unternehmen.


PE kaufen in letzter Zeit sehr viele IT- und Cybersecurity-Unternehmen auf. Dabei wird nur auf eines geschaut - Profit. Alles wird der Profitmaximierung unterordnet. Alle Kosten werden dabei drastisch reduziert. Gute Experten werden entlassen und die Produktion in Billigländer verlagert. Alle Cybersecurity-Maßnahmen werden aufs Minimum zurückgeschraubt und das Risiko auf Kunden abgewälzt. 


„But they also degrade product quality by firing or disrespecting good workers, under-investing in good security practices, or sending work abroad and paying badly, meaning their products are more prone to espionage. In other words, the same sloppy and corrupt practices that allowed this massive cybersecurity hack made Bravo a billionaire. .... The problem is how these financiers - usually large ones who do cookie cutter deals - offload risk onto employees, lenders, investors, and the public itself.“


Matt Stoller meint also, dass der SolarWind Hack kein Zufall war. Man müsste nicht der am meisten talentierte Hacker der Welt sein, um in die schlecht abgesicherte Systeme einzubrechen. Es gab sogar schon in Vergangenheit etliche Hinweise auf Sicherheitsmängel aber diese wurden von Geschäftsführung ignoriert.


Laut Matt Stoller macht die Geschäftspraxis der PE-Unternehmen es unmöglich, den ausreichenden Schutz der kritischen Infrastruktur im Sinne der nationalen Interessen zu garantieren. Solange sehr viele Unternehmen, die kritische Infrastruktur für IT und Cybersecurity liefern, sich in der Hand von PE befinden, müssen wir mit solchen Situationen wie bei SolarWind rechnen, sagt Matt Stoller.


„The most interesting part of the cybersecurity problem is that it isn’t purely about government capacity at all; private sector corporations maintain critical infrastructure that is in the ‚battle space.‘ ... National security in a world where private software companies handle national defense simply cannot long co-exist with our monopoly and financier-dominated corporate apparatus.“


Die Lage der Cybersecurity ist leider nicht nur bei den Unternehmen schlecht, die sich im Besitz von PE befinden. Die Praxis der Kostenreduktion, auch auf Kosten der Sicherheit, ist leider bei sehr vielen Unternehmen weit verbreitet. Die Hacks sind eine logische Konsequenz davon. 


Ein anderer Aspekt, das selten bei diesem Hack zur Sprache kam, ist die totale Unwirksamkeit den üblichen Sicherheitsauflagen in der Lieferantenverträgen - sogenanntes Third Party Management. Ein Teil der Kunden von SolarWind hat vermutlich „vergessen“, solche Sicherheitsauflagen in die Verträge aufzunehmen. Der Rest begnügte sich mit der vertraglichen Sicherheit ohne es zu überprüfen, wie die Sicherheitslage bei SolarWind tatsächlich ist. 

am Keine Kommentare:

Sicherheit ist ohne Vertrauen undenkbar. Vertrauen muss aber kontrolliert werden!

 

Sicherheit ist ohne Vertrauen undenkbar. Es klingt wie ein Wiederspruch ist aber keiner. 

Wir merken oft gar nicht, wie stark unsere Sicherheit auf Vertrauen aufgebaut ist. Wir glauben, dass wir mit den vielen Sicherheitsrichtlinien und Sicherheitstools die Sicherheit der Daten und Infrastruktur garantieren können. Hintern der Sicherheitstools agieren aber Unternehmen, denen wir vertrauen (müssen). 

Die modernen Sicherheitstools selbst basieren sehr oft auch auf dem Prinzip Vertrauen (genannt Reputation). Diese Tools lasen zum Beispiel den Datenverkehr von den Domänen mit guter Reputation durch und blockieren alles andere. Für einen zuverlässigen Schutz gegen Cyberangriffe haben wir also keine andere Wahl und müssen den Hersteller der Sicherheitstools vertrauen. 

Es ist also sehr beunruhigend, wenn wir in letzter Zeit Berichte lesen, wonach eben manche Hersteller der Sicherheitstools durch Hacker erfolgreich angegriffen wurden. Das ist vor kurzem Sophos passiert - Hacker stahlen dort eine gewisse Menge der Kundendaten. Die neuesten beunruhigenden Nachrichten betreffen Diebstahl der „Red Team Tools“ bei FireEye und die Hack-Angriffe rund um Solarwinds. Brad Smith, Präsident bei Microsoft, bezeichnet den SolarWind-Hack als „an attack on the trust and reliability of the world’s critical infrastructure“ und schreibt im Microsoft-Blog unter anderen folgendes dazu:

„It’s critical that we step back and assess the significance of these attacks in their full context. This is not “espionage as usual,” even in the digital age. Instead, it represents an act of recklessness that created a serious technological vulnerability for the United States and the world. In effect, this is not just an attack on specific targets, but on the trust and reliability of the world’s critical infrastructure in order to advance one nation’s intelligence agency. While the most recent attack appears to reflect a particular focus on the United States and many other democracies, it also provides a powerful reminder that people in virtually every country are at risk and need protection irrespective of the governments they live under.„

Es gibt auch eine exzellente Zusammenfassung des Angriffs gegen  SolarWinds von Bruce Schneier.

Bruce Schneier meint, dass trotz des enormen offensiven Potentials der USA im Cyberspace, Schwächen in dem supply chain von kritischen Software-Produkten können nicht nur die Sicherheit der USA bedrohen. Es ist eine große Gefahr für den globalen Frieden. Schneier schreibt:   

„We need to invest in securing the world’s supply chains from this type of attack, and to press for international norms and agreements prioritizing cybersecurity ... Hardening widely used software like Orion (or the core internet protocols) helps everyone. We need to dampen this offensive arms race rather than exacerbate it, and work towards cyber peace.“

Ich hoffe, dass alle Sicherheitsunternehmen, jetzt alles Notwendige tun werden, um die so wichtige Vertrauensbasis wieder zu stärken. 

Aber auch Anwender müssen ihre Cybersecurity-Strategie überdenken. Empfehlenswert ist die Anwendung der „assume breach“ und defense-in-depth Philosophie als Basis für alle Cybersecurity-Maßnahmen. Bruce Schneier zitiert eine Aussage von Ken Thompson: „You can’t trust code that you did not totally create yourself“, die recht gut zu der „assume breach“-Philosophie passt. Besonders wichtig ist die lückenlose Überwachung der Netzwerk- und Computeraktivitäten, um Anomalien zu finden. Einige wichtige Hinweise von Microsoft für dementsprechende Gestaltung der Cybersecurity kann man in „Microsoft Security Best Practices“ finden. 


  • Microsoft Security Best Practices - https://docs.microsoft.com/en-us/security/compass/compass
  • Stellungnahme von Brad Smith zu SolarWind Hack - https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybersecurity-solarwinds-fireeye/
  • Bruce Schneier über SolarWind-Hack .- https://www.schneier.com/blog/archives/2020/12/russias-solarwinds-attack.html
  • Bruce Schneier über Code-Kontrolle - https://www.schneier.com/blog/archives/2021/01/injecting-a-backdoor-into-solarwinds-orion.html

am Keine Kommentare:

Es gibt noch immer zu viele nicht gepatchte Systeme

 Das Beseitigen der Sicherheitsschwachstellen (Patchen) ist eine verdammt schwierige Aufgabe. Obwohl es schon sehr gut bekannt ist, das nicht gepatchte Schwachstellen wie eine offene Tür für die Angreifen sind, sind die meisten Unternehmen bei dem Patchen nicht schnell genug. Das ist gut in dem "Teenable Threat Report 2002" zu sehen. Besonders bedenklich ist, dass unter den 5 Top Vulnerabilities 2 schon seit 2019 und eine sogar seit 2018 bekannt sind. Für diese Vulnerabilities gibt es schon sehr lange patches, die bei sehr vielen Unternehmen noch immer nicht eingespielt sind. Die von Jahr zu Jahr längere Berichte über die erfolgreiche Angriffe sind leider in vielen Fällen Konsequenz der Versäumnisse beim Patchen.


Ein Mitarbeiter von Tenable beschreibt die Lage so:

"Every day, cybersecurity professionals in the world are faced with new challenges and vulnerabilities that can put their organisations at risk. The 18,358 vulnerabilities disclosed in 2020 alone reflects a new normal and a clear sign that the job of a cyber defender is only getting more difficult as they navigate the ever-expanding attack surface," 


am Keine Kommentare:
Abonnieren Posts (Atom)