Bundesamt für Sicherheit in der Informationstechnik

Wesentliche Themen der ersten zehn Sitzungen (2012-2016)

Expertenkreis : Cyber-Sicherheit

Im Fokus des Expertenkreises Cyber-Sicherheit steht der Erfahrungsaustausch zu aktuellen Fragen und Trends der Cyber-Sicherheit in Wirtschaft und öffentlicher Verwaltung.

Eine zentrale Aufgabe stellt die Bewertung von Maßnahmen zur Abwehr von Cyber-Angriffen dar.

Die Ergebnisse dieses Expertenaustausches werden auf der Webseite der Allianz für Cyber-Sicherheit veröffentlicht.

Im Folgenden finden Sie eine Übersicht der wesentlichen Themen mit denen sich der Expertenkreis Cyber-Sicherheit befasst hat. Die Liste wird fortlaufend aktualisiert und für Sie bereitgestellt.

Wesentliche Themen der ersten zehn Sitzungen (2012-2016)

Wesentliche Themen der ersten zehn Sitzungen (2012-2016)

Schnell zum Abschnitt


1. Cyber-Sicherheits-Exposition und Basismaßnahmen

Der Expertenkreis befasste sich nach einer Vorstellung der Cyber-Sicherheits-Exposition sowie der Basismaßnahmen der Cyber-Sicherheit

mit den fachlichen und organisatorischen Details der BSI-Empfehlungen und deren praktischer Umsetzbarkeit.

Eingegangen wurde dabei auch auf Ähnlichkeiten und Unterschiede bei diesen Maßnahmen im internationalen Vergleich:

Im Ergebnis kommt der Expertenkreis zum Schluss, dass es auch auf internationaler Ebene Unterschiede zwischen den verschiedenen Maßnahmenempfehlungen gibt. So ist z. B die Gewichtung von "Application Whitelisting" bei den "35 Mitigation Strategies" höher priorisiert als bei den SANS 20 Critical Security Controls. Der Expertenkreis sieht Whitelisting nicht als ersetzend für andere Techniken an, sondern als sinnvolle Ergänzung und zusätzliche Sicherheitsbarriere. Ein Einsatz von Whitelisting sollte demnach anlassbezogen abgewogen werden.

2. The Global State for Information Security Survey

Innerhalb des Expertenkreises wurde bei der Vorstellung und Diskussion der Studien

auf die Ergebnisse der Befragungen vor und nach den NSA-Enthüllungen eingegangen. Ein signifikanter Unterschied der Ergebnisse konnte jedoch nicht verzeichnet werden. Die Teilnehmer des Expertenkreises sind sich einig, dass die Awareness zwar leicht angestiegen ist, jedoch ist die Bereitschaft, Spionage und Kriminalität mit geeigneten Maßnahmen entschlossen entgegenzutreten, offenbar ausgeblieben.

Im Ergebnis bleibt die grundsätzliche Einschätzung, dass sich IT-Sicherheitsrisiken schneller entwickeln als die zu deren Minimierung notwendigen Sicherheitsstrategien.

3. Schwachstellen-Management

Ein funktionierendes Schwachstellen-Managementbildet die Grundvoraussetzung für Sicherheit in jeder IT-Infrastruktur. Das BSI hat folgende Papiere zu diesem Thema veröffentlicht:

Innerhalb des Expertenkreises für Cyber-Sicherheit wurde die Bedeutung der Aspekte "Bewertung der Gefährdungslage" und "Management von Sicherheitsupdates und deren Ausrollung" besonders herausgestellt.

Der Expertenkreis kommt zum Schluss, dass Sicherheitsaktualisierungen möglichst zeitnah installiert und bei deren Ausbleiben zumindest Mitigationsmaßnahmen kurzfristig umgesetzt werden müssen (z. B. Isolation des Systems). Sobald ein Sicherheitsupdate verfügbar ist, sollte es zunächst geprüft und getestet werden, bevor es in Produktivumgebungen ausgerollt wird.

4. Abwehr von gezielten E-Mail Angriffen

Angriffe über E-Mail sind laut dem Expertenkreis immer noch weit verbreitet und sind häufig auch Teil von gezielten Angriffen. Folgende Ansätze zur Abwehr von gezielten E-Mail-Angriffen bildeten den Schwerpunkt der Betrachtungen des Expertenkreises:

  • SPF (Sender Policy Framework): Beim SPF-Verfahren wird die Absenderadresse im Envelope der Mail (MAIL FROM) mit den im reverse MX-Record der absendenden Domain als berechtigte Mail-Server aufgeführten IP- Adressen verglichen.
  • DKIM (Domain Keys Identified Mail): Der sendende E-Mail-Server oder Client versieht bestimmte Header-Informationen und den Body einer Nachricht mit einer elektronischen Signatur. Die Verifizierung erfolgt mittels des im Domain Name System (DNS) der sendenden Domäne hinterlegten öffentlichen Schlüssels.
  • Archivierung von Daten (Mails): Das Archiv sollte immer wieder von aktuellen Virenscannern überprüft werden, um mögliche Schadsoftware, die erst später als solche identifiziert werden kann, zu finden.
  • Netztrennung: Trennung von Firmengeheimnissen/Kronjuwelen vom übrigen Netz derart, dass diese nicht bei Kompromittierung der Infrastruktur gestohlen werden können
  • URL- und Inhaltsfilter: Einsatz von Filterlösung in Web-Browsern (Beispiele: Google Safe Browsing oder Microsoft SmartScreen)
  • Schulung/Awareness der Nutzer: Jeder in einem Unternehmen (ob Administrator, Manager oder Bürokraft) sollte entsprechend seiner Tätigkeiten und seinem Know-How in Bezug auf IT-Sicherheit geschult werden.
  • Fein-granulare Rechteverteilung: Bei einem erfolgreichen Angriff kann durch geeignete Rechteverteilungen ein umfassender Datendiebstahl deutlich erschwert werden.

Die Teilnehmer des Expertenkreises Cyber-Sicherheit kommen zu dem Schluss, dass die individuelle Awareness von Nutzern, ganz gleich welche Tätigkeiten sie in der Firma ausüben, gegen professionelles Social-Engineering nicht hilft. Bei einem maßgeschneiderten, zielgerichteten Angriff bietet zudem selbst ein konsequentes Patchmanagement keinen vollständigen Schutz, da womöglich Tage vor dem jeweiligen Patchday schon Exploits zu den Schwachstellen "in the wild" existieren. AV-Scanner können durch leichte Veränderung der Schadsoftware umgangen werden. Oft wird ein zielgerichteter Angriff daher erst im Nachhinein erkannt.

Neben dem verstärkten Einsatz von SPF und DKIM kommt der Expertenkreis Cyber-Sicherheit zum Schluss, dass, wenn eine physikalische Trennung der Kronjuwelen nicht möglich ist, zumindest das Monitoring auf diese verstärkt werden sollte.

5. Analyse von großen Mailbeständen und Auswertung großer Datenmengen

Folgende Aspekte der Auswertung von großen Mailbeständen und großer Datenmengen generell standen im Mittelpunkt der Betrachtung des Expertenkreises:

  • Aufgrund des hohen E-Mail Aufkommens muss vor dem manuellen Review eine Datenreduktion erfolgen (Suchwörter, Zeitscheibe). Daher ist ein "Early Case Assessment" sehr sinnvoll. Der Ressourcenaufwand nach der Datenreduktion ist jedoch immer noch sehr hoch.
  • Es gibt Werkzeuge am Markt, die mit folgenden "Hilfsmitteln" arbeiten:
    Verdächtiger Personenkreis → Untersuchungszeitraum → Suchwortlisten etc.
    Die Ergebnisse werden dabei geeignet graphisch aufbereitet.
  • Predictive Coding (manuelles/maschinelles Anlernen): Das Suchwort stimmt z. B. nicht überein, jedoch stimmt der Kontext. Am Ende reduziert dieser Ansatz nochmals die Kosten.

Der Expertenkreis Cyber-Sicherheit kommt zu der Einschätzung, dass Werkzeuge zur Auswertung großer Datenmengen sehr wichtig sind. Jedoch sind Tools aus dem Ausland nicht immer mit dem deutschen Datenschutzbestimmungen vereinbar. Der Betriebsrat oder der Datenschutzbeauftragte eines Unternehmens würde daher diese Tools ggf. nicht zulassen, allein schon wegen Speicherung privater Daten wie Mobilnummern usw.

Laut Expertenkreis gibt es jedoch auch weitere, ganz andere Probleme, die auf Unternehmen zukommen, speziell bei der Nutzung von Cloud-Diensten und in BYOD-Szenarien ("Bring your own device").

6. Ist eine Zwei-Browser-Strategie in der Praxis sinnvoll?

Das BSI empfiehlt in den Veröffentlichungen

den Einsatz einer Zwei-Browser-Strategie – ist diese Empfehlung unrealistisch?

Aus Sicht des Expertenkreises ist die 2-Browser-Strategie sicherheitstechnisch grundsätzlich als positiv zu bewerten. Jedes Unternehmen hat jedoch seine eigene Bedürfnisse, Lösungen und Budgets. Somit kann dieser sicherheitstechnische sinnvolle Ansatz an der Wirtschaftlichkeit scheitern.

7. Empfehlungen zum Schutz vor Ausspähung

Mit der folgenden, eigenen Empfehlung zum Schutz vor Ausspähung richten sich die Mitglieder des Expertenkreises Cyber-Sicherheit an Unternehmen mit dem Ziel, das Risiko einer Ausspähung zu minimieren:

Der Expertenkreis zieht als zentrale Konsequenz aus den Enthüllungen zu Angriffen auf die Sicherheit der internetbasierten Kommunikation den Schluss, dass als präventive Sicherung stets ein Ziel im Vordergrund stehen muss: Verschlüsseln Sie Ihre Kommunikation – immer!

Konkret bedeutet das z. B. im Falle von E-Mail den Einsatz von PGP und S/MIME sowie Server-zu-Server-Verschlüsselung. Wenn jeder seine Daten angemessen schützt und Kommunikation immer verschlüsselt, sieht der Expertenkreis mögliche Angreifer dem Zwang ausgesetzt, deutlich mehr Zeit und Energie aufwenden zu müssen, um Daten zu erbeuten und diese zu entschlüsseln. Bei durchgehender Verschlüsselung wird daher das Risiko einer massenhaften Ausspähung deutlich minimiert.

8. Einsatz von TLS 1.2

Der Expertenkreis diskutierte Herausforderungen bei der Umsetzung des BSI-Mindeststandards für die Transportverschlüsselung.

Der Expertenkreis kommt zum Schluss, dass TLS 1.2 als Mindeststandard eingesetzt werden sollte, auch trotz aktuell ggf. noch fehlenden praktischen Angriffen auf ältere TLS-Versionen. Wenn ältere TLS-Versionen von Dienstleistern, Behörden oder Unternehmen eingesetzt werden, geht es eher um einen Imageschaden, als um eine akute Gefährdung.

9. Bereinigung von mit fortgeschrittenen, gezielten Methoden erfolgreich kompromittierten IT-Systemen

Der Expertenkreis tauschte sich zum Thema APT, besonders zu den Themen "Incident Management" und Technische Analysen, aus. Dazu ist auf dem Portal der Allianz für Cyber-Sicherheit u. a. folgende Veröffentlichung verfügbar:

Der Expertenkreis kommt zur Einschätzung, dass viele Unternehmen forensische Untersuchungen eines Vorfalls bzw. eine weitergehende Analyse scheuen und befallene Systeme daher einfach neu aufsetzen. Die Identifikation des Infektionswegs ist jedoch von entscheidender Bedeutung. Die Gründe für die Scheu sind vielschichtig, sei es aus Bequemlichkeit, Angst, möglichen Problemen mit dem Personalrat oder wegen geltender Datenschutzbestimmungen.

Ein angegriffenes Unternehmen muss von sich aus tätig werden. Zunächst sollte eine eigene Erstbewertung erfolgen und danach entschieden werden, ob externen Dienstleister hinzugezogen werden müssen. Laut Expertenkreis fehlt den Unternehmen noch eine angemessene (öffentliche) Anlaufstelle zur Meldung eines Vorfalls.

10. Kritische Software, Komponenten und Protokolle

Angelehnt an den Heartbleed-Bug in der Bibliothek Open-SSL (http://heartbleed.com/) erfolgte im Expertenkreis eine Diskussion über Software, Komponenten und Protokolle, die für eine Funktion des Internets essentiell wichtig sind.

International hat sich seit der Aufdeckung des Heartbleed-Bugs bereits einiges getan. So gründete sich z. B. die Core Infrastructure Initiative

welche das Ziel verfolgt, verbreitete Open-Source-Projekte und -Software, die von den beteiligten Unternehmen selbst in für die Aufrechterhaltung des Geschäftsbetriebs kritischen Umgebungen eingesetzt werden, sicherheitstechnisch zu evaluieren.

Im Ergebnis kommt der Expertenkreis zum Schluss, dass der koordinierte Ansatz der Industrie in Form der Core Infrastructure Initiative unterstützt, aber noch deutlich mehr in Richtung einer durchgehenden und langfristig angelegten Evaluierung verbreiteter Open-Source-Projekte getan werden muss.

11. Virenschutz auf Smartphone-Plattformen

Immer wieder tauchen am Markt neue Lösungen zum lokalen Schutz vor Schadprogrammen auf mobilen Plattformen wie Android oder Apple iOS auf. Nach einer Diskussion des Themas kommt der Expertenkreis Cyber-Sicherheit zu dem Ergebnis, dass die aktuell unbefriedigende Qualität solcher mobiler Antivirus-Lösungen den Nutzern ein falsches Gefühl von Sicherheit gibt. In Unternehmens- und Behördenumgebungen bildet vielmehr der sichere, zentrale Einsatz eines geeigneten Mobile Device Managements (MDM) die Voraussetzung für die effektive Abwehr von Angriffen gegen mobile Systeme.

12.Risiken beim Einsatz von JavaScript

Der Expertenkreis befasste sich mit den Risiken des Einsatzes von JavaScript sowohl für die Nutzer wie auch für die Anbieter. Dabei wurden insbesondere die Erhöhung der Angriffsfläche durch dynamische Codeausführung und die Einbindung von externen Bibliotheken diskutiert, da der Webseitenbetreiber deren Integrität nicht sicherstellen kann. Da viele Nutzer interaktive Webseiten bevorzugen, ist die Nutzung von JavaScript für viele Hersteller essentiell. Dennoch sollten neben der Möglichkeit JavaScript mit Werkzeugen wie NoScript nur gezielt für vertrauenswürdige Seiten einzuschalten auch ein Angebot ohne JavaScript den Nutzern angeboten werden, welches dann ggf. nicht den gleichen Funktionsumfang aufweist wie das mit JavaScript.

13.Cyber-Versicherung

Innerhalb des Expertenkreises wurde über den aktuellen Trend zu Cyber-Versicherungen für Unternehmen diskutiert. Es wurde festgestellt, dass diese kein Mittel sind, um die tatsächliche IT-Sicherheit zu erhöhen, jedoch zurVerringerung der Risiken beitragen können, da ein Teil der Risiken im Versicherungsfall von Dritten übernommen wird. Sie sind daher nur als Ergänzung für einen angemessenen Schutz zu sehen.

Weiterhin wurde der Fall diskutiert, dass Versicherungsprämien aus dem für die Umsetzung von IT-Sicherheitsmaßnahmen vorgesehenen Budget finanziert werden und somit unmittelbar zu einer Verschlechterung der tatsächlichen IT-Sicherheit beitragen könnten. Der Expertenkreis sieht es daher als wichtige Voraussetzung für den Erfolg von Cyber-Versicherungen an, dass die Risiken realistisch geschätzt werden und die Budgets für die Versicherung und Sicherheits­maßnahmen in Unternehmen getrennt sind.

14.Telemetriefunktionen in Windows 10

Microsoft nutzt in Windows 10 in größerem Maße als in den vorhergehenden Produktversionen Telemetrie, um Informationen über das Nutzerverhalten zu bekommen. Der Expertenkreis diskutiert das Spannungsfeld der Interessen von Herstellern, die diese Daten nutzen wollen, um ihre Produkte zu verbessern, und den Nutzern, die ihre Daten schützen wollen. Einige Teilnehmer haben vorgeschlagen, diesen Konflikt durch eine vollständige Transparenz aufzulösen, bei der der Nutzer nachvollziehen kann, was an den Hersteller übertragen wird, und dies durch Konfigurations­einstellungen auch verhindern kann.

15.Sichere Softwareentwicklung

Die Berücksichtigung von Sicherheitsaspekten bereits bei der Entwicklung von Software ist aktuell immer noch nicht ausreichend gewährleistet. Sicherheit lässt sich dabei nicht automatisch prüfen. Werkzeuge und Standards unterstützen den Entwickler, können jedoch die individuelle Sensibilisierung für das Thema Sicherheit nicht ersetzen. Hierfür können Empfehlungen für Hersteller und Entwickler sowie Kundenanforderungen den Stellenwert des Themas Sicherheit bei der Softwareentwicklung erhöhen. Wesentlich ist ein entsprechend gelebter Prozess, wobei ggf. auch spezifische Anreize für die Softwareentwickler sinnvoll wären. Hersteller von Entwicklungsplattformen sollten diesen Prozess durch entsprechende Informationen bis hin zu Einschränkungen unterstützen. So ist z.B. nur in sehr seltenen Fällen sinnvoll, kryptographische Funktionen selber zu entwickeln. Vielmehr sollten die entsprechenden Funktionen des Betriebssystems, Web-Browsers usw. genutzt werden.

16.Ransomware: Ein Problem in der Praxis?

Der Expertenkreis tauschte sich zum Thema Ransomware aus und diskutierte die vom BSI unter

veröffentlichten Dokumente.

Der Expertenkreis unterstützt die obige Empfehlung des BSI, insbesondere

Ein Backup ist die wichtigste Schutzmaßnahme, mit der im Falle eines Ransomware-Vorfalls die Verfügbarkeit der Daten gewährleistet ist. Jede Institution sollte über ein Datensicherungskonzept (IT Grundschutz: B 1.4 Datensicherungskonzept) verfügen und dieses auch umsetzen. Insbesondere müssen die Daten in einem Offline-Backup gesichert werden, da viele Ransomware-Varianten auch Online-Backups, wie Daten auf NAS-Systemen oder Schattenkopien, verschlüsseln. Zu einem Backup gehört auch immer die Planung und Vorbereitung des Wiederanlaufs und der Rücksicherung der Daten.“

Die Mitglieder des Expertenkreises stimmen darüber hinaus überein, dass die meisten Sicherheitslösungen insbesondere die signaturbasierten Verfahren nur begrenzt gegen Ransomware wirksam sind und klassische präventive Maßnahmen nicht ersetzten können. Durch die mediale Aufmerksamkeit haben viele Nutzer/Unternehmen Angst und reagieren über, indem sie kurzfristig (und nicht nachhaltig) wahllos in offensiv vermarktete, begrenzt wirksame Sicherheitslösungen investieren. Neben Lücken im Schutz der Systeme stellen nicht-getestete Prozesse wie Incident Handling mit Wiederherstellung von Systemen und Daten die Unternehmen vor große Herausforderungen.

17. Herausforderungen von Industrieunternehmen beim Thema IoT am Beispiel der Automobilindustrie

PwC stellte die Ergebnisse des „Connected Car Report 2016“ vor. Diese wurden im Expertenkreis diskutiert. In der Automobilindustrie steigt nicht nur der Softwareanteil in den Fahrzeugen stetig an, sondern auch der Gewinn wird zunehmend von „Digitalen Services“ bestimmt. Dies hat zur Folge, dass nicht nur die IT des Fahrzeugs abgesichert werden muss, sondern auch die „Digitalen Services“. Eine besondere Herausforderung stellen dabei die unterschiedlichen Entwicklungszyklen von Automobilen und IT-Komponenten dar. Da der Produktionsstart („Start Of Production“, SOP) bei allen Automobilherstellern eine nahezu fester Zeitpunkt ist, führen alle Verzögerungen, die bei Softwareprojekten häufig entstehen, zu weniger Zeit für die Integration oder sogar Nachlieferung („Pre-sales“) zu Softwareanteilen („Feature Upgrades“). Die Frage wie diese dynamischen Entwicklungsprozesse in Einklang mit den Anforderungen an die IT-Sicherheit in Einklang gebracht werden können, wird der Expertenkreis weiterverfolgen.

18. Nutzung von Schwachstellen in Produkten durch staatliche Organisationen

Am Beispiel der veröffentlichten Angriffstools für Netzwerkkomponenten („TAO/Equation-Group“-Tool-Leak) wurde die Nutzung von Schwachstellen in Produkten durch staatliche Organisationen diskutiert. Dabei wurden grundsätzlich u. a. fünf Möglichkeiten betrachtet, wie staatliche Organisationen an Schwachstellen zu Produkten gelangen können:

  1. Einflussnahme auf oder Kooperation mit Herstellern zur Schwächung von Standards im Rahmen der Standardisierung
  2. Einflussnahme auf oder Kooperation mit Herstellern zum Einbau von Schwachstellen bzw. Hintertüren (Backdoors)
  3. Infiltrieren von Herstellern durch eigene Mitarbeiter, die Schwachstellen bzw. Hintertüren in Produkte des Herstellern einbauen
  4. Eigenes Suchen oder Aufkauf von Schwachstellen auf dem grauen Markt
  5. Öffentliche Quellen oder Analyse von Sicherheitsupdates

Die ersten drei Möglichkeiten werden vom Expertenkreis sehr kritisch gesehen, da die Sicherheit der Produkte vorsätzlich durch das Einbringen von Schwachstellen geschwächt wird. Hierdurch ist die Sicherheit der Produkte dauerhaft gefährdet. Zudem wird hierdurch das Vertrauen der Nutzer in die Hersteller stark angegriffen. Die letzten beiden Möglichkeiten sind weniger invasiv und verschlechtern die Sicherheit der Produkte nicht weiter, da den Produkten keine neuen Schwachstellen hinzugefügt werden. Eine zusätzliche Gefährdung kann trotzdem bestehen, wenn auch Dritte, z. B. organisierte Kriminalität, diese Schwachstellen auch ausnutzen.

Da bisher keine Normen und Regeln für Staaten im Cyberraum existieren, gibt es verschiedene Initiativen z. B. von der Deutschen Telekom oder Microsoft um diese zu etablieren.

19. Quick Reaction Force Cybercrime des BKA

Der Expertenkreis informiert sich über die Aufgaben und erste Erfahrungen der Quick Reaction Force (QRF) Cybercrime des Bundeskriminalamts. Die QRF wurde beim BKA eingerichtet, um die Strafverfolgung von Cyberstraftaten auf Bundesbehörden und kritische Infrastrukturen zu unterstützen. Hierfür wurde eine 24/7 Erreichbarkeit geschaffen.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK