Information Security and digitics

Of digital mice and men – for availability, integrity and privacy


Leave a comment

Emotet-Warnung bei der Stadt Frankfurt – vorbildliche Reaktion

Kurz vor Weihnachten ging bei der Stadt Frankfurt auf einem PC eines Bürgeramts eine E-Mail ein, die auf das Eindringen der Schadsoftware Emotet hindeutete. Der Virensucher am Endgerät (End Point) gab eine Warnung aus. Dies wurde an die zentrale Verwaltung gemeldet, und dort wurde sehr schnell entschieden, alle verbundenen IT-Systeme herunterzufahren.

Was mir hieran zuerst auffällt, ist die Schnelligkeit und Konsequenz der Reaktion verbunden mit der geringen Dauer der Wiederherstellung der IT-Services. Ich hatte selbst die Meldung früh wahrgenommen und mich dann bei der Site http://www.frankfurt.de umgeschaut, und das vor der offiziellen Bekanntgabe der Verfügbarkeit, und war erstaunt, dass fast alle Informationsangebote dort in weniger als 24 Stunden nach der Warnung wieder zu lesen waren.

Das ist ein gutes Zeichen für eine gute Vorbereitung. Die Leute in der Alarmzentrale hatten offenbar klare Kriterien für die Eskalation, die Entscheidung wurde schnell getroffen und – umgesetzt. Eine IT-Landschaft auch nur eines Teilverbundes einer Großstadt wie Frankfurt am Main herunterzufahren ist ja schon ein besonderes Ereignis. Bei einer solchen vorsorglichen Abschaltung aufgrund einer befürchteten Infektion mit Malware werden ja auch alle Spiegelsysteme angehalten und geprüft. (Ein Hinweis an Alle, die meinen, dass Hochverfügbarkeit allein schon BCM wäre.)

Gut vorbereitet ist offenbar auch das Verfahren des Wiederanlaufs der IT-Systeme und der Wiederherstellung der IT-Services. Hier müssen Abhängigkeiten berücksichtigt werden, um neuerliche Fehlerzustände zu vermeiden, in denen ein System startet, obwohl es auf andere Systeme angewiesen ist, die noch nicht verfügbar sind.

Verständlich, dass darüber keine Details publiziert werden, aber ich würde gerne mal mit den IT-, ITSCM- und BCM-Verantwortlichen sprechen, wie sie das vorbereitet und das Recovery durchgeführt haben. Ich glaube, da kann man was lernen.

Wie immer gab es natürlich Überreaktionen von unbeteiligten Schaumschlägern und Besserwissern. Eine Zeitung schrieb “Emotet legt Stadt lahm” – offenbarer Blödsinn, denn Busse, Straßenbahnen und U-Bahnen fuhren weiter, das Licht ging nicht aus, es kam weiter Wasser aus der Leitung … Manche Headliner wissen wohl nicht mehr, auf was es im Leben ankommt. Schlaue Kommentatoren meinten, die IT habe sich selbst lahmgelegt aufgrund einer einfachen Meldung, das sei doch übertrieben. Nun, wenn man vom Rathaus kommt, ist man schlauer. Die Reaktion war meiner Meinung nach eine richtige.

Jedenfalls ging es gut ab. Es war auch offenbar ein Fehlalarm, die Schadsoftware hat es offenbar nicht auf den PC im Bürgeramt geschafft. Darin liegt ein wesentlicher Unterschied zu dem Vorfall in Neustadt am Rübenberge im vergangenen Sommer. Vielleicht war es aber auch eine Vorstufe einer realen Gefährdung.

Quelle – Frankfurter Rundschau onlinehttps://www.fr.de/frankfurt/frankfurt-am-main-ort28687/frankfurt-emotet-virus-sorgt-stadt-aufregung-offline-zr-13354472.html


2.000 Kreditkarten-Kunden von illegalen Einzügen betroffen

Wie sicher sind Kreditkarten? oder noch schärfer: Wie sicher sind Konten, die von Kreditkarten belastet werden können ?

Kriminelle haben es auch nicht leicht. Mittlerweile ist dies eines meiner Mantren für Informationssicherheitsfragen, wenn es einzig um die Bereicherung geht. Der NDR meldet, dass die Oldenburgische Landesbank 1,5 Millionen in einem Angriff verloren hat, bei dem die Konten von 2.000 Kunden belastet wurden. Da nichts auf ein Fehlverhalten der Kunden hinweist, hat die Bank in jedem Einzelfall den Fehlbetrag (aus dem Risikopuffer für operationelle Risiken?) ausgeglichen.

Continue reading


Informationssicherheit – Compliance oder Wirksamkeit

Gäbe es heute Airbags in Autos, wenn in den sechziger Jahren nicht die Sicherheitsgurte eingeführt und folglich zur Pflicht gemacht wurden ? Und wurden die vielen Sicherheitselemente, die schon seit über zehn Jahren in einem Kraftfahrzeug Standard sind, eingebaut, um Gesetze zu erfüllen, oder weil Interessenten eher einen Wagen kaufen, in dem sie sich sicher fühlen.

Vielleicht

ist das der Schlüssel für mehr Sicherheit in der IT. Bis jetzt gibt es das nur ex negativo: Wenn ein Unternehmen einen schweren Sicherheitsvorfall beichten muss, wandern Kunden ab. Ein positiver Impuls wäre es, wenn Kunden Anbieter bevorzugen würden, die ihnen nachvollziehbar mehr Sicherheit bieten.  Die Nachvollziehbarkeit aber ist der Haken, denn wer kann schon beurteilen, ob die Verbindung zum Online-Angebot der Bank A effektiv sicherer ist als dem der Bank B.

Dann also doch auf Gesetztestreue setzen, und auf Gesetze im Interesse der Vielen, der Allgemeinheit, und auf die Durchsetzung. Auf Anbieterseite: auf Compliance.

In der Gastronomie hat es ja im Großen und Ganzen funktioniert. Die immer wieder aufgebrachten Skandale um Mäusekot im Brot oder andere Geschmacklosigkeiten bestätigen inzwischen eher den hohen Standard an Hygiene in Herstellung und Verkauf von Lebensmitteln und Speisen.

Bevor Industrie 4.0 und Internet of Things nicht auf einem vergleichbaren Niveau zum Schutz der Endverbraucher sind, sollte kein IoT auf den Markt kommen. Sind erst mal unsichere Systeme installiert, wird es kein sicheres Netz der Dinge geben.

Effektive Sicherheit im Netz wird es nur durch verbindliche Rechtsnormen geben.

(Mal sehen, wie ich das in vierzehn Tagen oder später lese.)


Ein Virus in einem Atomkraftwerk

Pünktlich zum Gedenktag an den GAU von Tschernobyl teilte der Betreiber des Kernkraftwerks Grundremmingen, die RWE, mit, dass in den Steuerungssystemen eine “Büro-Schadsoftware”, also ein Virus oder Tronajer, entdeckt wurde. Der Name wird nicht genannt. Es soll eine Malware sein, die Backdoors öffnet zum Internet. Aus der Umschreibung in der Pressemitteilung könnte man auf den ersten Schritt eines gezielten Angriffs schließen.

Entdeckt wurde die Malware im Rahmen der Vorbereitung auf ein IT-Sicherheits-Audit.

Betroffen war laut Pressemitteilung ein Rechner im Umfeld der Entwicklung, der nicht mit produktiven Systemen (die unmittelbare Steuerung) verbunden war.

Was kann man daraus schließen:

Continue reading


Öffentliche Warnung der Bundesbank: IT-Sicherheit wird geprüft

Die Süddeutsche Zeitung ermöglicht auf Seite 2 regelmäßig Gastbeiträge. Am 31. August 2015 las ich dort eine deutliche Warnung an die Banken, die IT-Sicherheit im öffentlichen Interesse und im Interesse der Kunden sehr ernst zu nehmen, und der Autor war Dr. Andreas Dombret, für die Aufsicht zuständiges Vorstandsmitglied der Deutschen Bundesbank.

Ausgehend von einem Fall einer Advanced Persistent Attack (im Unterschied zum Threat eine tatsächlich gelungener Angriff) schreibt Dr. Dombret: “Als Aufseher der Finanzbranche alarmieren uns solche Fälle zunehmend.” Um dann deutlich zu werden:

In diesem Jahr stellt die IT-Sicherheit deshalb bei bankaufsichtlichen Prüfungen in Deutschland und in europäischen Großbanken auch einen besonderen Schwerpunkt dar.

Und weil er offenbar ahnt, dass das noch nicht deutlich genug ist und damit klar ist, wen er adressiert, heißt es im letzten Absatz:

Zuvorderst gilt aber, dass die Ernsthaftigkeit von Cyberrisiken bis zu den Geschäftsführern aller Banken, zu anderen Finanzdienstleistern und Verbrauchern durchdringt.

Es ist naheliegend, dass mir das auffällt, weil ich als Berater in Business Continuity (BCM) und Informations-Sicherheit von Projekten zur Erhöhung der IT Security Nutzen ziehe. Das sollte aber die Wahrnehmung von Vorständen und CISOs nicht ablenken von dieser deutlichen, und wie ich meine begründeten, Warnung.

Den vollständigen Beitrag kann man immer noch lesen – auf der Website der Bundesbank.

Moderner Banküberfall Gastbeitrag von Dr. Andreas Dombret in der Süddeutschen Zeitung am 31.08.2015


Windows XP lebt

Da hat der Berliner Datenschutzbeauftragte ja ein Lüftchen entfacht, und der Blätterwald versucht damit Wind zu erzeugen: Herr Dix verlangt, dass die Arbeitsplätze in Berliner Behörden, die noch mit Windows XP arbeiten, sofort abgeschaltet werden. Offenbar hat die Stadtverwaltung den Wartungsvertrag mit Microsoft nicht mehr verlängert, und so können die Arbeitsplätze nicht mehr mit der Unterstützung von Microsoft gegen neue Bedrohungen geschützt werden.

In der Tat nicht schön. Andererseits:

Continue reading


Sicherheitsschranken – einhalten oder gewinnen ?

Auflagen, die auf Anforderungen der Sicherheit oder Compliance hervorgehen, können stören oder gar die Erreichung eines Ziels verhindern. Dies ist nicht neu, und daraus entstehen im IT-Sicherheitsmanagement regelmäßig Konflikte im Tagesgeschäft. Ein Vorfall, zum Glück ohne Personenschaden, im Radrennen Lille-Roubaix am 12. April 2015 kann als Parabel zum Verständnis dieses Konflikts dienen.

Das Rennen, einer der großen Klassiker des Radsports mit teils historisch bedingt abenteuerlichen Herausforderungen, führt unter anderem über einen beschrankten Bahnübergang. Die Schranken sperren in der jeweiligen Fahrtrichtung der Landstraße nur die rechte Spur. Und hier wurde es am Sonntag richtig brenzlig, als ein Verfolgerpeloton den Übergang zugleich mit einem Zug erreichte. Das war dann auch gleich ein TGV, also der französische ICE.

Das Geschehen:

Ein Feld von Rennradlern erreicht den Bahnübergang, als sich die Schranken senken. In dem Moment müssen die Ampeln des Übergangs bereits sei zehn Sekunden auf Rot gestanden sein. Trotzdem wird weitergefahren. Ein Polizist auf Motorrad versucht durch Handzeichen die Fahrer zu stoppen. Die herabsinkenden Schranken streifen einige Radler von oben, aber es kommt zu keinem Sturz. Noch als die Schranken ganz unten sind umfahren etliche von ihnen die Schranken in gekonnten S-Kurven über die freie linke Spur. Der Polizist verengt die Spur mit seinem Motorrad, hält mit seinem rechten Arm einen auf, fährt dafür selbst gefährdet nah an das Gleis, da fährt ein besonders zielstrebiger Sportler noch links an ihm vorbei über die Gleise, bis endlich die Übrigen alle stehen und warten. Knapp sechs Sekunden später rauscht der TGV vorbei.

Was ist daran so exemplarisch bildhaft für ein IT-Sicherheitsmanagement ?

Zuerst: Wer die Regeln ignoriert gewinnt gegenüber dem Wettbewerb. Wer bremst, verliert.

Sodann: Das Risiko wird ignoriert. Ich glaube nicht, dass die Sportler gar nicht wussten was sie tun, oder dass sie mit etwas Abstand im Rückblick feststellen, dass sie für eine bessere Platzierung im Rennen ihr Leben aufs Spiel gesetzt haben. Aber das wird in der Hitze der Aktion ausgeblendet.

Es war knapp: Unter der sich absenkenden Schranke durchzufahren, kann noch einer vernünftigen Risikoabwägung zuzuschreiben sein. Aber bei geschlossen ruhender Schranke zu fahren erschiene mir einfach als zu riskant, die Gefährdung ist schließlich existenziell. (In der Konsequenz auch für die Veranstalter – hätten sich doch vier oder fünf Sportler vor den Zug geworfen, wäre das vielleicht das Ende dieser Veranstaltung gewesen.) Sechs Sekunden sind kein großer Abstand, und die konnten ja nicht kalkuliert werden.

Compliance – nur wenn es sein muss: Die Staatsgewalt, analog die Aufsichtsbehörde, hat klar zum Halten aufgefordert. Dies war eindeutig, und dies war eine Anweisung, die ebenso eindeutig übergangen oder ignoriert wurde. Der eine Polizist hätte auch kaum mehr erreichen können, und ganz sicher ist es ihm zu verdanken, dass es nicht zu einen Unglück kam. Gleichwohl werden sich die, die durchgekommen sind, bestätigt fühlen, dass es richtig war, Regeln und Anweisungen zu übergehen.

Kein Sicherheitsmanagement des Veranstalters: Der Veranstalter des Rennens musste die Gefahrenstelle und die konkrete Gefährdung gekannt haben. Trotzdem war er nicht darauf vorbereitet, bei einer Konkretisierung der Gefährdung angemessen einzuschreiten und die Fahrer selbst wirksam zu stoppen. Für den Veranstalter allerdings gilt nicht, was für die Fahrer gilt, er hat durch das Verhalten nichts gewonnen, steht aber m.E. als unverantwortlich da. Es wäre interessant zu erfahren, ob die Behörden nach dem Vorfall mit dem Veranstalter über Konsequenzen reden. Wären Personen zu Schaden gekommen, hätte dies die gesamte Veranstaltung aus dem Rennen werfen können.

Und jetzt die Frage an die Verantwortlichen: Ist ein IT-Sicherheitsmanagement nur eine Bremse ? Soll es im Alltag besser ignoriert werden ? Oder gewährleistet es den dauerhaften Bestand, auch wenn manche Vorteile dann nicht erzielt werden können ?

Nachzusehen bei Youtube

Quelle FAZ, Le Monde