Ingenieure haben Modelle für alles, und aus gutem Grund: Sie helfen, die Realität auf die Aspekte herunterzubrechen, die für ein Problem relevant sind, und das Denken zu strukturieren.

Elektroingenieure haben Schaltpläne, Regelungstechniker haben Funktionsblockdiagramme, Maschinenbauer haben CAD-Zeichnungen, Verfahrenstechniker haben Rohrleitungs- und Instrumentierungs-Fließbilder.

Und Security-Ingenieure?

Wäre das nicht ein Traum, wenn wir ein so etwas wie ein R&I-Fließbild für Security hätten? Freunde der Automation Security, wir brauchen ein Systemmodell!

Warum, das lesen Sie hier: Medium

In dieser E-Mail gibt es außerdem Neuigkeiten und weiterführenden Lesestoff zu folgenden Themen:

1. Rückblick auf die S4x20
2. Die ISO/IEC 27002 ändert Ihre Struktur
3. Security-Incidents in Zeiten der Corona-Pandemie
4. Einreichen eines B3S wird kostenpflichtig
5. Störfallverordnung: KAS-51 veröffentlicht
6. Zero-Day in Sophos-Firewall gefunden und gepatcht
7. Corona-Termindomino: SCADA Säkerhet verschoben

1. Rückblick auf die S4x20

Die S4x20, die weltweit wohl größte ICS (Industrial Control Systems)-Security-Konferenz, findet jedes Jahr im Januar in Miami Beach statt und ist ein Veränderungstreiber in einer Branche, in der jeder den Leitspruch „never touch a running system“ kennt.

Ich habe für die atp einen S4-Rückblick aus Ingenieurperspektive geschrieben und drei Mut machende Ideen zusammengefasst: Security-Angriffe “entzaubern” durch systematische Strukturierung (z.B. durch MITRE ATT&CK for ICS), Security-Anforderungen entwickeln, die Automatisierer in ihrer täglichen Arbeit anwenden können (z.B. Secure PLC Coding Practices) und das über die Jahrzehnte hart erarbeitete Automatisiererwissen für Security nutzen (z.B. Alarm Management für Security-Monitoring).

Während der Corona-Pandemie ist die atp hier kostenlos verfügbar; den Rückblick finden Sie ab S.30 – oder auf Englisch im Blog: Medium.

2. Die ISO/IEC 27002 ändert Ihre Struktur

In der vergangenen Woche haben die halbjährlichen Sitzungen des ISO/IEC JTC1 SC27 stattgefunden. Hinter der sperrigen Bezeichnung verbirgt sich das gemeinsame Unterkomitee der ISO und IEC (Sub-Committee 27), das die ISO/IEC 27000-er Standards zum Information Security Management enwickelt und in dem admeritia-Geschäftsführer Heiko Rudolph seit über zehn Jahren wirkt. Aufgrund der Corona-Pandemie haben die Meetings nicht wie geplant in St. Petersburg stattgefunden, sondern per Webkonferenz - bei hunderten Teilnehmern eine Herausforderung, die nur mit strengen Meeting-Regeln (Virtuell die Hand heben, bevor man spricht! Fragen vorher in den Chat schreiben!) funktionieren.

Die wichtigste Neuigkeit ist eigentlich schon älter: Die ISO/IEC 27002, die Umsetzungshinweise für die in ISO/IEC 27001 Annex A definierten “Controls” beschreibt, ändert ihre Struktur grundlegend. Die Controls, die Sie kennen, wird es nicht mehr geben.

Die Controls werden neu geordnet und thematisch in vier Kategorien eingeteilt, namentlich

• „people“ (wenn sie individuelle Personen betreffen),
• „physical“ (wenn sie physische Objekte betreffen),
• „technological“ (wenn sie Technologien betreffen) und
• „organizational“ (wenn keine der obigen Kategorien zutreffen).

Für die individuelle Nutzung der 27002-Controls werden zusätzlich in aus den sozialen Medien bekannter Hashtag-Manier jedem Control Attribute verpasst, um unterschiedliche Perspektiven auf die Controls und ihre Kategorien zu ermöglichen.

Die in der 27002 derzeit behandelten Attribute lauten

• „Control type“ (präventiv, detektiv, korrektiv),
• Information security properties“ (Vertraulichkeit, Integrität, Verfügbarkeit),
• „Cybersecurity concepts“ (identifizieren, schützen, detektieren, reagieren, wiederherstellen) und
• „Operational capabilities“ (Auszug: Governance, Sichere Konfiguration, Asset management und viele andere mehr).

Das Schicksal der grundlegenden Restrukturierung ereilt im Übrigen auch gerade die IEC 62443-2-1, das OT-Äquivalent zur ISO/IEC 27001 - aber dazu im nächsten Briefing mehr.

3. Security-Incidents in Zeiten der Corona-Pandemie

Kaum war Mitte März die erste Homeoffice-Woche eingeläutet, erreichten uns die ersten beiden Security-Vorfälle. So kam es, dass einige unserer Mitarbeiter in der ersten Homeoffice-Woche weder im Home, noch im Office, sondern in Serverräumen verbrachten. Der verwendete Schadcode (”Eight”, ein Derivat des Verschlüsselungstrojaners “Phobos”) richtete nur in einem von beiden Fällen ernsthaften Schaden an, demonstrierte aber zwei Unternehmen eindrücklich den sperrigen Begriff des “weniger vertrauenswürdigen Netzwerks”: Ein Laptop eines Mitarbeiters wurde im heimischen Netzwerk kompromittiert und diente per RDP als Tür ins Netzwerk des ersten Unternehmens (ein Softwarehersteller). Aus diesem Unternehmensnetzwerk gab es wiederum ein Site-to-Site-VPN in das Netzwerk eines Kunden des Softwareherstellers, und somit stand dem Virus ein neues Netzwerk offen.

Also: Für den Softwarehersteller hätte das Heimnetzwek seines Mitarbeiters weniger vertrauenswürdig sein müssen als sein Unternehmensnetzwerk, und für das zweite Unternehmen das des Softwareunternehmens.

Das Leitsystemnetz im zweiten Unternehmen war übrigens nicht betroffen. Das war im Zuge einer ISMS-Einführung vom weniger vertrauenswürdigen Unternehmensnetz getrennt worden.

Und Sie so? Welche weniger vertrauenswürdigen Netze haben Sie in der Corona-Not mit den Netzen verbunden, denen Sie trauen?

Übrigens verhinderte eine vollgelaufene Festplatte, dass der Verschlüsselungstrojaner ein komplettes ERP-System unbrauchbar machte. Das soll nun aber wiederum kein Aufruf sein, zu kleine Festplatten einzubauen. Lektionen aus Vorfällen seien sorgfältig gewählt!

4. Einreichen eines B3S wird kostenpflichtig

Der Bundesrechnungshof lässt grüßen: Dass das BSI branchenspezifische Sicherheitsstandards (B3S) für kritische Infrastrukturen umsonst prüft, geht nicht mehr. Seit dem 1. Oktober 2019 kostet also das Einreichen eines B3S den Einreicher Geld. Das BSI hat wohl versucht, sich zu wehren, war damit aber nicht erfolgreich.

Auch, wenn die Gebühr nicht hoch ist (die Arbeitsstunden für die Prüfung werden in Rechnung gestellt): Für Gremien, Unternehmen oder Einzelpersonen, die ohnehin schon freiwillig und oft ehrenamtlich die Arbeit einer B3S-Erstellung zum Wohle ihrer Branchenkollegen auf sich nehmen, ist die Gebühr nicht gerade ein zusätzlicher Anreiz.

Hinweise zur Eignungsprüfung auf den Seiten des BSI hier.

5. Störfallverordnung: KAS-51 veröffentlicht

Chemie produzierende Unternehmen gehören zwar in Deutschland nicht zu den kritischen Infrastrukturen, werden aber von anderer Stelle mit IT-Sicherheitsanforderungen konfrontiert: Von der Störfallverordnung (offiziell 12. BImSchV, weil sie das BundesImmissionsschutzgesetz „BImSchG“ konkretisiert).

Grundsätzlich ist das Ziel der Störfallverordnung, Schutz vor schädlichen Umwelteinwirkungen durch Störfälle zu gewährleisten. Weil solche Störfälle aber auch durch „Eingriffe Unbefugter in Betriebsbereiche“ hervorgerufen werden können und und ein Weg für den Eingriff Unbefugter ein Cyber-Angriff sein kann, bringt die Störfallverordnung ein bisschen Security mit sich.

Was genau, ist nachzulesen im Leitfaden 51 der Kommission für Anlagensicherheit (KAS) beim Bundesumweltministerium, die mittlerweile veröffentlicht worden ist (https://www.kas-bmu.de/newsletter-versendet/kas-newsletter-01-2020.html).

Für diejenigen, die die Vorgängerdokumente noch kennen, noch ein bisschen Abkürzungskauderwelsch:

Der KAS-51-Leitfaden ersetzt den nach den Terroranschlägen des 11. September in Kraft getretene „SFK-GS 38“ (damals hieß die KAS noch Störfallkommission, SFK) und beinhaltet in seinen Anhängen die beiden ehemals eigenständigen Leitfäden KAS-44 und KAS-45 (Cyberphysische Angriffe und Drohnenangriffe).

„Ein bisschen Security“ brächte die Störfallverordnung mit sich, habe ich oben behauptet, und das „bisschen“ ist durchaus eine bewusste Zuschreibung. Wer sich mit Security schonmal beschäftigt hat, für den dürfte der Leitfaden keine großen Überraschungen bereithalten: Security Management, Security-Sensibilisierung, Vorfallsmanagement, Schwachstellenmanagement, Assetregister und grundlegende Netzwerkarchitekturempfehlungen und IT-Sicherheit bei Anlagenerrichtung sind wohlbekannte Stichpunkte.

6. Zero-Day in Sophos-Firewall gefunden und gepatcht

Die Sophos XG-Firewall ist nicht direkt eine OT-Komponente, aber eine nicht selten auch im OT-Umfeld verwendete Firewall. Im Management-Interface der Firewall wurde Ende April eine vorher nicht bekannte Schwachstelle (Zero Day) von Angreifern genutzt. Es handelte sich um eine SQL-Injection-Schwachstelle, also eine Sicherheitslücke, bei in ein Formular ausführbarer Code eingegeben werden kann, der direkt an eine dahinterliegende SQL-Datenbank weitergeleitet wird – damit können zum Beispiel Nutzernamen und (gehashte) Passwörter ausgelesen werden.

Sophos hat nach eigenen Angaben innerhalb von zwei Tagen nach Bekanntwerden der Schwachstelle ein Hotfix bereitgestellt. (Wichtig ist jetzt nur, das im Falle eines Falles auch schnell zu installieren).

• CVE- Schwachstelle CVE-2020-12271
• Offizielle Sophos-Meldung

7. Corona-Termindomino: SCADA Säkerhet verschoben

Kurze Updates in eigener Sache zum Schluss: Die COVID-19-Pandemie kegelt auch uns den Terminkalender durcheinander – aktuell den hier: Im Mai war geplant, dass ich die Keynote der schwedischen OT-Security-Konferenz „SCADA Säkerhet“ halte – das ist nun auf den 15.09.2020 verschoben (https://insightevents.se/events/scada/#program).

In der Landessprache sieht das so aus: „Sarah Fluchs som presenterar en modell för hur automationsingenjörer kan ta kontroll över systemsäkerheten“.

In der Landessprache sieht das so aus: „Sarah Fluchs som presenterar en modell för hur automationsingenjörer kan ta kontroll över systemsäkerheten“.

Mit dieser kleinen Schwedischlektion schließe ich nun das Mai-Briefing und wünsche Ihnen einen guten Wochenstart.

Stay secure!
Sarah Fluchs