Angesichts der zunehmenden Bedrohungen der Cybersicherheit wird es immer wichtiger, Systeme zu schützen und Sicherheitslücken zu schließen. Dieser Blog beschreibt einige der Erfahrungen, die wir bei der Inbetriebnahme komplexer Sicherheits- und audiovisueller Systeme gemacht haben.
Im Jahr 2020 stellte IBM fest, dass der öffentliche Sektor in Bezug auf die Zeit zur Erkennung und Eindämmung von Datenschutzverletzungen hinter anderen Branchen zurückliegt. Im weltweiten Durchschnitt aller Sektoren dauert es 177 Tage, bis eine Sicherheitsverletzung entdeckt wird. Der Durchschnitt im öffentlichen Sektor liegt dagegen bei 231 Tagen [1]. Weitere zu berücksichtigende Trends:
- Die Cyberkriminalität stieg während der COVID-19-Pandemie um 600 %.
- Der Finanzsektor erlitt im Jahr 2020 die größten finanziellen Verluste
- Es wird erwartet, dass sich die Gesamtkosten aller durch Cyberkriminalität verursachten Schäden im Jahr 2021 weltweit auf etwa 6 Billionen Dollar belaufen werden[2].
Die zunehmende Zahl von Cyber-Bedrohungen macht es erforderlich, vernetzte Geräte zu härten, um sicherzustellen, dass diese Systeme wie vorgesehen funktionieren und dass ausreichende Maßnahmen zur Erkennung von Bedrohungen und zum Schutz kritischer Systeme getroffen werden.
Geschichte/Hintergrund
Um die Widerstandsfähigkeit dieser Infrastruktur zu stärken, wurde mit dem Cybersecurity Enhancement Act of 2014 (CEA) (S.1353) die Rolle des National Institute of Standards and Technology (NIST) aktualisiert, um die Entwicklung von Cybersecurity-Risikorahmenwerken zu erleichtern und zu unterstützen“[3].
Das NIST hat das Rahmenwerk entwickelt, um einen landesweit anerkannten Ansatz für das Cyber-Risikomanagement unter Verwendung bewährter Verfahren und Prozesse zu bieten. Je mehr Sektoren und Organisationen das Rahmenwerk umsetzen, desto mehr wird sein Ansatz als anerkannte Grundlage für Cybersicherheitspraktiken in Organisationen mit kritischen Infrastrukturen dienen[4].
Das Rahmenwerk konzentriert sich auf die Nutzung von Geschäftsfaktoren zur Steuerung von Cybersicherheitsaktivitäten und die Berücksichtigung von Cybersicherheitsrisiken als Teil der Risikomanagementprozesse des Unternehmens. Der Rahmen besteht aus drei Teilen:
- Der Rahmen Kern
- Die Implementierungsebenen
- Die Rahmenprofile
Der Kern des Rahmens besteht aus einer Reihe von Aktivitäten, Ergebnissen und informativen Verweisen, die für alle Sektoren und kritischen Infrastrukturen gleich sind. Die Elemente des Framework Core bieten detaillierte Anleitungen für die Entwicklung individueller Organisationsprofile. Durch die Verwendung von Profilen hilft das Rahmenwerk einer Organisation, ihre Cybersicherheitsaktivitäten mit ihren Geschäfts-/Auftragsanforderungen, Risikotoleranzen und Ressourcen abzustimmen und zu priorisieren. Die Umsetzungsebenen bieten Organisationen einen Mechanismus, um die Merkmale ihres Ansatzes zur Verwaltung von Cybersicherheitsrisiken zu sehen und zu verstehen, was bei der Priorisierung und Erreichung von Cybersicherheitszielen helfen wird [3].
Bei der Entwicklung dieses Rahmens wurde eine gemeinsame Plattform entwickelt, von der aus verschiedene Organisationstypen Sicherheitsbedrohungen angehen und Sicherheit in ihr System einbauen können, und zwar nicht als nachträgliche Maßnahme, sondern als Vorteil.
Die fünf Funktionen des Rahmenwerks wurden so entwickelt, dass Organisationen Sicherheitsprogramme entwickeln können, die die wichtigsten Aspekte der Computersicherheit abdecken.
Je nach Kunde, Art der Organisation (Finanzwesen, Bildungswesen, Behörden usw.) und Risikotoleranz bietet die Kernstruktur des Rahmens ein Mittel, um bestimmte Cybersicherheitsergebnisse zu erzielen[3]:
- Identifizieren – Entwickeln eines organisatorischen Verständnisses für das Management von Cybersicherheitsrisiken für Systeme, Menschen, Vermögenswerte, Daten und Fähigkeiten
- Schutz – Entwicklung und Umsetzung geeigneter Schutzmaßnahmen, um die Erbringung kritischer Dienste zu gewährleisten
- Erkennen – Entwicklung und Umsetzung geeigneter Maßnahmen, um das Auftreten eines Cybersicherheitsereignisses zu erkennen
- Reagieren – Entwicklung und Umsetzung geeigneter Maßnahmen zur Reaktion auf einen festgestellten Vorfall im Bereich der Cybersicherheit
- Wiederherstellung – Entwicklung und Umsetzung geeigneter Maßnahmen zur Aufrechterhaltung von Plänen für die Widerstandsfähigkeit und zur Wiederherstellung von Fähigkeiten oder Diensten, die durch einen Vorfall im Bereich der Cybersicherheit beeinträchtigt wurden
Sicherheit als Vermögenswert
Die Grundsätze der Auftragsvergabe stimmen recht gut mit dem Sicherheitsrahmen überein. Die Themen, am Anfang zu beginnen und Leistungskennzahlen, Konfigurationen usw. zu überprüfen und zu validieren, sind beiden gemeinsam.
In vielen Fällen handelt es sich bei den verschiedenen Aspekten der Computersicherheit um Ergänzungen zu bestehenden Computersystemen. Computersysteme ist der allgemeine Begriff für die IT-Infrastruktur. Dazu gehören das Netz, die Geräte im Netz, Zugangskontrollen, Betriebssysteme, Hardware, Firmware, Software usw. Zusätzliche Sicherheit bedeutet sowohl für die Sicherheit als auch für die Inbetriebnahme, dass bei der Planung und dem Entwurf die Sicherheit nicht von Anfang an berücksichtigt wird.
In den frühen Phasen des Inbetriebnahmeprozesses wird das Problem angegangen:
OPR
Die OPR (Owners Project Requirements) geben Aufschluss über die Qualität, die Leistung und die Möglichkeiten der Sicherheitsziele der IT-Infrastruktur des Eigentümers. Dies führt in der Regel zu Komplikationen und Problemen, die Patches oder eine vollständige Umgestaltung von Teilen der Infrastruktur erfordern.
Um diese Systeme zu schützen, ist ein gründliches Verständnis der Funktionsweise dieser Systeme, der Bedingungen, unter denen sie arbeiten, und ein Mittel zur Überprüfung und Aufrechterhaltung ihres ordnungsgemäßen Betriebs im Laufe der Zeit erforderlich.
Die Grundlage des Entwurfs (BoD) enthält die Annahmen, die bei der Entwicklung einer Entwurfslösung getroffen wurden, die die Absicht und die Kriterien des OPR-Dokuments erfüllt. Narrative Beschreibungen von Geräten, Systemen und Baugruppen werden entwickelt und in den BoD aufgenommen, und der Cx-Plan wird erweitert, um die Details der Bauphase und der Nutzungs- und Betriebsphase zu erfassen. Die Rahmenprofile bieten die Möglichkeit, die Entwurfskriterien vertikal mit frei verfügbaren Empfehlungen für den Zugang zu den Anschlüssen und den verfügbaren Verwendungsmöglichkeiten und Lösungen zur Risikominderung für eine Reihe von vernetzten Geräten abzustimmen, die regelmäßig aktualisiert werden.
Gestaltung
Diese Konstruktionskriterien werden dann verwendet, um Systeme mit bekannten Betriebskonfigurationen zu bauen, die erfolgreich in der Praxis eingesetzt werden. Derartige Implementierungen haben viele Vorteile, einer davon ist die verbesserte Fähigkeit, Zero-Day-Bedrohungen/Bedrohungen unbekannten Ursprungs zu bekämpfen.
Diese Rahmenfunktionen sollten zumindest auf die folgenden kritischen Systeme angewendet werden:
- Daten-Zentren
- Pumpen
- UPS
- Stromerzeuger
- Computer-Netzwerke
- AV-Ausrüstung
- Brandmeldeanlagen
- Aufzüge
- Ausrüstung für Notfalldurchsagen
- Kommunikationssysteme
Die Rolle des Cybersicherheitsingenieurs
Es ist wichtig, einen Cybersicherheitsingenieur zu haben, der den Eigentümer in Fragen der OPR, des BOD und des Designs vertritt. Der Cyber Security Engineer wird ein wertvolles Mitglied des Cx-Teams sein. Der Ingenieur hilft bei der Entwicklung von Plänen für kritische Systeme und bietet Überprüfung und Feedback zu Cx-Spezifikationen, Testplänen, vorfunktionalen Prüfungen, Inbetriebnahmen und funktionalen Leistungstests.
Der Cybersicherheitsingenieur wird bei der Entwicklung der Testspezifikationen und Testanforderungen für die Abnahme helfen. Der Cybersicherheitsingenieur wird auch bei der Entwicklung der zu verwendenden „internen“ Ressourcen helfen. Diese Ressourcen werden oft getrennt oder in isolierten Netzen gehalten, um ein Eindringen in das Hauptnetz zu verhindern. Der Testraum muss ständig auf Bedrohungen überwacht werden.
Der Cybersicherheitsingenieur wird vorfunktionale Prüfungen, vorfunktionale Tests und funktionale Leistungstests für die Abnahme überprüfen. Er/sie gibt Empfehlungen, welcher Test unter Laborbedingungen durchgeführt werden kann und welcher Test im Zielnetz durchgeführt oder wiederholt werden muss. Der Prozess der Entwicklung von vorfunktionalen Checklisten, vorfunktionalen Tests und funktionalen Leistungstests wird in ähnlicher Weise ergänzt, wie unten beschrieben.
Andere Überlegungen
Die Art des Eigentümers oder Kunden muss bei der Ausarbeitung des Inbetriebnahmeplans berücksichtigt werden, da das Ausmaß des Risikos, die Sicherheitsanforderungen und die Investitionen je nach Organisation und/oder Branche, zu der der Eigentümer gehört, unterschiedlich sind. Regulierte Industrien und Regierungsbehörden befinden sich am oberen Ende der Skala von geringer Toleranz und hohen Investitionen. Während soziale und zivilgesellschaftliche Organisationen wie Kultureinrichtungen und Schulen oft eine höhere Toleranz und geringere Investitionen in die Cybersicherheit haben. Im Idealfall werden diese Überlegungen als Teil der OPR erfasst.
Bei der Planung der Sicherheit im Cx-Prozess ist es wichtig, den Zeitplan schon früh im Prozess zu berücksichtigen. Die meisten Behörden und einige größere Unternehmen verfügen über ein Konfigurationskontrollgremium, das Änderungen am Computernetzwerk überprüft und genehmigt. Diese Überprüfungen und Entscheidungen können Wochen oder sogar Monate dauern und müssen in den Prozess eingeplant werden. Ablehnungen und Änderungen von Plänen, die der Behörde vorgelegt werden, können zu erheblichen Verzögerungen führen und kostspielig sein. Diese Probleme können durch die Verwendung von Geräten mit bekannten Profilen und zuverlässigen Systemarchitekturen, die sich bei ihrer Umsetzung bewährt haben, gemildert werden.
Auch die Vorlaufzeiten sind ein wichtiger Aspekt bei der Planung der Inbetriebnahme. Häufig wird das Scannen der Geräte von einem Drittanbieter durchgeführt. In der Regel erhält der Verkäufer die Ausrüstung von dem Unternehmen, das die Arbeiten durchführt. Mithilfe ihrer eigenen internen Einrichtung werden die Geräte anhand ihres Rahmenprofils auf Schwachstellen gescannt. Es wird ein Bericht erstellt, und wenn in diesem Bericht Fehler auftauchen, werden diese behoben. Das Gerät wird erneut gescannt, bis der Bericht keine Fehler mehr anzeigt. Wenn das Gerät die Prüfung bestanden hat, wird es zusammen mit einem Bericht an den Auftragnehmer zurückgeschickt, aus dem hervorgeht, dass das Gerät die Prüfung bestanden hat. Im Falle des ersten Projekts führte dieser Prozess zu einer Verschiebung des Zeitplans um mehr als 7 Monate.
Eine Erfahrung wie im Testlabor
Betrachten wir das folgende Szenario. Zwei Design-Build-Projekte mit zwei verschiedenen Generalunternehmern, die neben kritischer Infrastruktur auch AV- und Sicherheitssysteme implementieren, werden im Abstand von etwa einem Jahr begonnen. Bei dem ersten Projekt war die Sicherheitsplanung eher ein nachträglicher Gedanke. Beim zweiten Projekt wurden die Erfahrungen aus dem ersten Projekt genutzt und ein besser geplanter Ansatz mit einer Sandbox umgesetzt. In einer RFI wurde um Klärung der Anforderungen an die Sicherheitshärtung gebeten, woraufhin ein Arbeitsumfang und eine Liste der gewünschten Geräte erstellt wurden. Da der Mieter des Eigentümers detaillierte Anforderungen an die Einführung neuer Geräte in sein Netzwerk stellt, wurde jedes einzelne Gerät einem gründlichen Cybersicherheitsprozess unterzogen, einschließlich Imaging, Härtung und Schwachstellensuche. Dies galt für die Daten- und Sprachtechnologie in Gebäuden (BIT) sowie für spezielle Systeme (Funk, Sicherheit, Brandschutzsysteme (automatische Feuerlöschsysteme), Brandmeldeanlagen, HLK-Steuerungen, Gebäudeautomationssysteme usw.). Der vom Mieter geforderte Umfang der Arbeiten umfasste:
- Erstes Baseline- und Post-Baseline-Validierungs-Scanning der untersuchten Anlagen
- Schwachstellen-Scans in der Testumgebung unter Verwendung von Tools, die vom Mieter vorgegeben sind
- Erstellung eines Berichts über die Ergebnisse von Schwachstellen-Scans, der vorläufige Analysen und vom Scanner bereitgestellte Empfehlungen enthält
- Eine Risikoanalyse der Ergebnisse, die zu einer Priorisierung der zu behebenden Schwachstellen und zu detaillierten Handlungsempfehlungen führt
Das Ergebnis ist ein Plan, in dem die anvisierten Geräte in einer kontrollierten Umgebung unter Verwendung von Profilen bekannter Geräte (falls verfügbar) getestet und erneut getestet werden, sowie Scanergebnisse für alle Geräte mit Empfehlungen zur Behebung aufgedeckter Schwachstellen.
Zusammenfassend lässt sich sagen, dass es wichtig ist, die Sicherheitskonzepte frühzeitig zu entwickeln, bevor die Überbrückungsdokumente erstellt werden, zu ermitteln, welche Teile des Rahmenwerks anwendbar sind, und mit dem Eigentümer zusammenzuarbeiten, um die Sicherheitsanforderungen des Eigentümers und gegebenenfalls auch die des Mieters zu ermitteln. Bei dieser Art von Projekten muss ein Cybersicherheitsingenieur Teil des Inbetriebnahme-Teams sein. Diese Person würde als Bindeglied zwischen dem Eigentümer, dem Mieter, dem Bauunternehmer und den Unterauftragnehmern fungieren. Der Cybersicherheitsingenieur würde mit der Inbetriebnahmebehörde zusammenarbeiten, um Testskripte zu entwickeln, mit dem Eigentümer und den Mietern zusammenarbeiten, um Testspezifikationen und Testumgebungen zu entwickeln, und mit dem Auftragnehmer zusammenarbeiten, um Testpläne zu entwickeln und die Netzwerksicherheitskonfiguration für die Testumgebung zu verifizieren. Die frühzeitige Annahme eines Härtungsplans für vernetzte Systeme, die in Betrieb genommen werden sollen, verkürzt die Zeit, die erforderlich ist, um diese Systeme in Betrieb zu nehmen, indem ein klarer und eindeutiger Weg für die Inbetriebnahme und die Prüfung der funktionalen Leistung vorgegeben wird. Eine frühzeitige Annahme ermöglicht die Auswahl und Genehmigung von Geräten mit bekannten Sicherheitsprofilen als Grundlage für den Entwurf. Diese Ideen in Kombination mit anderen verfügbaren Instrumenten zur Bewertung der Cybersicherheit und zum Risikomanagement erhöhen die Aussichten auf eine rechtzeitige und erfolgreiche Bereitstellung sicherer Systeme.
[1] Security Intelligence, IBM „Roundup: Sicherheitsbedrohungen für Regierungsdaten im Jahr 2021“ Regierung, November 11, 20221
[2] „Top Cyber Security Statistics, Facts & Trends in 2022“, Cloudwards.net, Max Pitchkites (Writer), Zuletzt aktualisiert: 22 Mar’22
[3] Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1, National Institute of Standards and Technology, 16. April 2018
[4] Cyber Security Framework Implementation Guidance, Mai 2020, U. S. Department of Homeland Security, Cybersecurity and Infrastructure Security Agency
[5] NIST Special Publication 800-70 Revision 4, National Checklist Program for IT Products – Guidelines for Checklist Users and Developers
