Arbeitshilfen für KRITIS : Ergebnisse des Projekts „Vernetzte IT-Sicherheit Kritischer Infrastrukturen“ (VeSiKi)

Um kritische Infrastrukturen (KRITIS) in Deutschland besonders zu schützen, hat das Bundesministerium für Bildung und Forschung (BMBF) in den Jahren 2014–2018 den Förderschwerpunkt „IT-Sicherheit für Kritische Infrastrukturen“ ITS|KRITIS mit über 24 Millionen Euro gefördert. Darin haben über 100 Forscherinnen und Forscher, Betreiber kritischer Infrastrukturen und Technologieanbieter in dreizehn Forschungsprojekten an neuen Lösungen geforscht.

Das Forschungsprojekt VeSiKi hat als Begleitforschungsprojekt die Projekte im Förderschwepunkt ITS|KRITIS vernetzt und so den kooperativen Forschungsprozess unterstützt. Des Weiteren fördert VeSiKi den Transfer der Forschungsergebnisse in die Praxis und hat zu diesem Zweck verschiedene Werkzeuge und Publikationen erstellt, die im vorliegenden Beitrag vorgestellt werden.

IT-Security-Navigator

Sowohl Standards als auch eine enorme Anzahl gesetzlicher Regelungen helfen dabei, einheitliche Anforderungen und Lösungsansätze im KRITIS-Umfeld zu beschreiben. Allerdings existieren sehr viele Normen, Richtlinien, Standards sowie auch Gesetze und Verordnungen auf nationaler, europäischer und auf internationaler Ebene, welche die IT-Security teilweise nur domänenspezifisch beleuchten. Zudem unterscheiden sich diese Standards stark hinsichtlich ihres Abstraktionsgrads und ihrer Zielanwenderkreise. Für Anwender ist es somit sehr schwierig, für sie relevante Standards, Normen und Gesetze sowie Verordnungen zu identifizieren.

Deshalb haben es sich die „DKE – Deutsche Kommission Elektrotechnik, Elektronik, Informationstechnik in DIN und VDE“ (www.dke.de), das DIN – Deutsche Institut für Normung (www.din.de) und das IGMR – Institut für Informations-, Gesundheits- und Medizinrecht Universität Bremen (www.jura.uni-bremen.de/institute/) zur Aufgabe gemacht, eine Übersicht über existierende sicherheitsrelevante Normen und Gesetze zu schaffen. Im Ergebnis liefert der „IT-Security Navigator“ Nutzern die Möglichkeit, für den eigenen Anwendungsfall nach bestimmten Kriterien zu filtern, um die relevanten Gesetze und Normen zu finden (www.itsecuritynavigator. de, vgl. Abb. 1) – beispielsweise hinsichtlich:

• Geltungsbereich (international, europäisch oder national),
• verantwortliches Komitee,
• Sektor kritischer Infrastrukturen,
• Anwendungsgebiet (z. B. Komponenten, Kommunikation, …) oder
• Anwender

 Der IT-Security-Navigator wurde im Rahmen des VeSiKi-Projekts implementiert. Dies geschah über eine Zusammenarbeit mit der DKE-Kontaktstelle Informationssicherheit (KSi) und der Koordinierungsstelle IT-Sicherheit (KITS) beim DIN, die sich gemeinsam um die Normungsthemen im Bereich IT-Security kümmern. Das bremische Institut für Informations-, Gesundheits- und Medizinrecht (IGMR) hat dazu – speziell für die praxisorientierte Anwendung – sämtliche europäischen wie deutschen Rechtsvorschriften im Themenfeld IT-Sicherheit und Datenschutz gesammelt und strukturiert aufbereitet. Der IT-SecurityNavigator ist unter https://www.itsecuritynavigator.de kostenfrei nutzbar (siehe auch Kipker/Harner/ Müller, Praxishilfe in der Umsetzung von Informationssicherheit durch den IT-Security-Navigator, S. 105 in: [1]).

Monitor IT-Sicherheit Kritischer Infrastrukturen

In Kooperation mit den Forschungsprojekten im ITS|KRITIS-Förderschwerpunkt hat VeSiKi zwei Umfragen zur IT-Sicherheit in kritischen Infrastrukturen erstellt: den „ITS|KRITIS Monitor“ und den „ITS|KRITIS Monitor 2.0“ (siehe [2] sowie Hofmeier/Gurschler/Dännart, Bedarf an Werkzeugen und Verfahren für die IT-Sicherheit, S. 103 in [1]). Diese Studien dokumentieren die Anstrengungen von IT-Sicherheitsverantwortlichen und Betreibern kritischer Infrastrukturen, die Anforderungen des IT-Sicherheitsgesetzes umzusetzen und die Sicherheit im KRITIS-Bereich zu gewährleisten.

Für den Monitor haben die Forscher IT-Sicherheitsverantwortliche in Deutschland zu wichtigen Themen der IT-Sicherheit befragt. Dabei wurden unter anderem Themen wie Bedrohungslage, Ressourcen für die IT-Sicherheit, Bedarf an Forschung sowie der Einfluss des IT-Sicherheitsgesetzes aufgegriffen.

Die Ergebnisse der beiden Umfragen „ITS|KRITIS Monitor“ und „ITS|KRITIS Monitor 2.0“ stehen unter https://monitor.itskritis.de sowie unter www.unibw.de/wirtschaftsinformatik/publikationen kostenfrei zum Download zur Verfügung.

IT-Security-Matchplays

Operation Digitales Chamäleon“ sowie die auf einer Krankenhaus-Infrastruktur basierende Variante „Operation Digitale Schlange“ dieser IT-Security-Matchplays wurden im Rahmen von VeSiKi als „Serious Games“ zur Sensibilisierung von IT- und Führungspersonal entwickelt (siehe auch Rieb/Lechner, IT-Security-Awareness für Fachpersonal mit dem IT-Security-Matchplay „Operation Digitale Schlange“, S. 107 in [1]).

Auf Basis eines Netzplans treten dabei zwei Teams gegeneinander an, wobei das eine Team die Rolle der Angreifer und das andere Team die Rolle der Verteidiger übernimmt. Das Spiel wird über zwei Tage gespielt: Dabei erarbeiten sowohl die Angreifer als auch die Verteidiger ihre Strategien und in einer Gegenüberstellung der Strategien wird das siegreiche Team ermittelt.

Im Verlauf des Spiels betrachten die Teilnehmer die IT-Infrastruktur einer Organisation bewusst mit den Augen unterschiedlicher Angreifer – dabei nutzen die Angreifer ein Repertoire technischer Maßnahmen kombiniert mit Angriffsvektoren aus dem Social-Engineering. Zudem können durch das bewusste „Sich-Hineinversetzen in den Angreifer“ Schwachstellen in den bisherigen IT-Sicherheitskonzepten aufgezeigt werden.

Darüber hinaus wurde im Laufe der durchgeführten Spiele wissenschaftlich nachgewiesen, dass die „Operation Digitales Chamäleon“ Teilnehmer nicht nur sensibilisiert, sondern auch eine Verhaltensänderung initiiert. Zusammenfassend lässt sich feststellen, dass das Serious Game den Teilnehmern hilft, Wirkzusammenhänge von Cyberangriffen und Schutzmaßnahmen sowie von technischen Maßnahmen und dem Faktor Mensch zu erkennen.

Interessierte an den IT-Security-Matchplays können sich gerne per E-Mail an Ulrike.Lechner@unibw.de wenden.

CASE|KRITIS – Fallstudien

Welchen speziellen Herausforderungen stehen kritische Infrastrukturen gegenüber? Und wie kann man ihnen wirksam und effizient begegnen? Letztlich müssen dazu IT-Sicherheitsmaßnahmen eingeführt, Verfahren ausgewählt und im Unternehmen implementiert werden und das Thema IT-Sicherheit muss in Strategien und der täglichen Agenda die notwendige Priorität erhalten – an dieser Stelle setzt das Buch CASE|KRITIS [3] mit einer Serie von neun Fallstudien an.

Fallstudien sind wie gute Geschichten – in diesem Buch sind es gute Geschichten über erfolgreiche IT-Sicherheit: Sie berichten über erfolgreiche IT-Sicherheitsprojekte, innovative Lösungen und gelebte Unternehmenskulturen. Sicherheitskonzepte und Technologie bleiben dadurch nicht abstrakt. Die Fallstudien zeigen auf, wie sich die IT-Sicherheit verbessern lässt, aber auch welche Tricks und Kniffe sowie Ressourcen dafür notwendig sind. Die Fallstudien gehen jedoch über die IT-Sicherheit selbst hinaus und illustrieren auch, was eine erfolgreiche Praxis der IT-Sicherheit für Strategie und Geschäftsmodell bedeutet.

Folgende Fallstudien werden in CASE|KRITIS betrachtet:

• Bundeswehr: AG IT-SecAwBw – Wie eine Arbeitsgruppe IT-Security Awareness im In- und Ausland fördert
• genua gmbh: Fernwartung kritischer Infrastrukturen
• itWatch GmbH: Ein sicherer Standardprozess für die digitale Tatortfotografie mit DeviceWatch
• Die Kliniken des Bezirks Oberbayern: Ausgewogenes Risikomanagement für nachhaltige Sicherhe
• IT-Sicherheit in der Molkerei: Familientradition und Hochverfügbarkeit
• IT-Sicherheit für Geschäftsprozesse im Finanzsektor: Die Managementlösung PREVENT
• Informationssicherheit bei SAP SE: Die längste Human Firewall der Welt
• Zentrale Leitstelle Ostthüringen: IT-Sicherheit in einer Leitstelle
• Informationssicherheit durch ClassifyIt: Informationssicherheit durch gestützte Klassifizierung von Dokumenten und E-Mails

Eine übergreifende Analyse der Fallstudien zeigt zudem, was erfolgreiche Projekte, Verfahren und Umsetzungen von Sicherheitstechnologie auszeichnet. So werden unter anderem Aspekte wie Einfachheit und Kosteneffizienz von Maßnahmen, Nebeneffekte und Wechselwirkungen mit anderen IT-Sicherheitsmaßnahmen oder Geschäftsprozessen, Treibern und Auslösern sowie organisationskulturelle Aspekte und Erfolgsfaktoren betrachtet.

Das Buch ist im Logos Verlag als Printversion erschienen und als kostenfreier Download (PDF/E-Book) beim Verlag verfügbar [3].

State of the Art – Ergebnisssammlung

Im Rahmen des ITS|KRITIS Förderschwerpunktes haben in den vergangenen fünf Jahren die folgenden Verbundprojekte für die IT-Sicherheit der kritischen Infrastrukturen in Deutschland geforscht (vgl. Kasten auf S. 44): AQUA-IT-Lab, Cyber-Safe, INDI, ITS.APT, MoSaIK, PREVENT, PortSec, RiskViz, SecMaaS, SICIA, SIDATE, SURF und VeSiKi.

Die Ergebnisse dieser Forschung wurden von VeSiKi im Buch „IT-Sicherheit für Kritische Infrastrukturen – State of the Art“ [1] gebündelt und der Öffentlichkeit zur Verfügung gestellt. Das Abschlusswerk wurde im Rahmen der Sicherheitsmesse it-sa 2018 im Oktober 2018 in Nürnberg an den BSI-Präsidenten Arne Schönbohm übergeben.

Der „State of the Art“ richtet sich an verschiedene Nutzergruppen:

• Betreibern kritischer Infrastrukturen und ITSicherheitsverantwortlichen gibt es einen Überblick über die Forschungsergebnisse und damit über die nächste Generation der IT-Sicherheitstechnologie.
• Technologieanbietern zeigt es neue Konzepte der IT-Sicherheit und Kooperationsmöglichkeiten im Themenfeld der IT-Sicherheit kritischer Infrastrukturen auf.
• Forschenden gibt es einen Überblick über den State of the Art der IT-Sicherheit kritischer Infrastrukturen.
• Der Öffentlichkeit vermittelt das Buch einen Eindruck vom Themenfeld der IT-Sicherheit, den spezifischen Anforderungen und Herausforderungen – und fasst zusammen, was durch die Forschung der Verbundprojekte und die Förderung durch das BMBF erreicht werden konnte.

In fünf Sektionen werden dazu

• die Forschungsprojekte selbst mit ihren Inhalten und Projektpartnern vorgestellt,
• der Bezug zu den IT-Grundschutz-Katalogen und dem IT-Grundschutz-Kompendium des BSI hergestellt,
• die adressierten KRITIS-Sektoren mit ihren Ausprägungen und Besonderheiten beleuchtet,
• die Werkzeuge und Methoden der Forschungsprojekte vorgestellt sowie
• die Referenzimplementierung dieser Werkzeuge und Methoden in der Praxis dargestellt sowie ein Ausblick in die Zukunft gegeben.

Die beschriebenen Lösungen umfassen Methoden und Werkzeugunterstützungen für die Risikoanalyse, mit denen sich der Stand der IT-Sicherheit in kritischen Infrastrukturen systematisch erfassen lässt und unmittelbar geeignete und notwendige IT-Sicherheitsmaßnahmen aus Sammlungen von IT-Sicherheitsmaßnahmen vorgeschlagen werden können.

Die einzelnen Projekte stellen im „State of the Art“ beispielsweise folgende Forschungsergebnisse vor:

• Verfahren, um aus Komponenten und ihren Verbindungen ein Risikolagebild für eine kritische Infrastruktur zu generieren
• Methoden für Sicherheitsanalysen auf Ebene einer Unternehmensarchitektur
• Werkzeuge für das Management von Risiken für Geschäftsprozesse auf der Basis unternehmensweiter Daten mithilfe verschiedener Analyse- und Simulationsmethoden
• Verfahren, um Risiken industrieller Kontroll- und Steuerungsanlagen systematisch aus verschiedenen Quellen zusammenzuführen
• Methoden, die den Stand der Sicherheit für industrielle Kontroll- und Steuerungsanlagen oder komplexe Softwarekomponenten, wie sie für kritische Infrastrukturen typisch sind, verbessern und mit denen spezifische Risiken identifiziert oder aber auch Malware oder Angriffe entdeckt werden können
• Verfahren für die Nutzung moderner cloudbasierter IT-Sicherheitsdienste
• Methoden der Vernetzung von Akteuren zur Schärfung von Risikobewusstsein und dem Aufzeigen von Handlungsoptionen
• Methoden, um das IT-Sicherheitsbewusstsein und die IT-Sicherheitskompetenzen von Mitarbeitern zu steigern und auch das Sicherheitsverhalten von Mitarbeitern im Sinne eines Penetrationstests zu überprüfen.

Der „State of the Art“ [1] ist kostenfrei unter www. itskritis.de sowie www.unibw.de/wirtschaftsinformatik/publikationen zum Download verfügbar.

Bei Fragen zu den beschriebenen Werkzeugen können <kes> -Leser sich gerne an Steffi.Rudel@unibw.de wenden.

Dr. Steffi Rudel und Manfred Hofmeier sind wissenschaftliche Mitarbeiter im Forschungsprojekt „Vernetzte IT-Sicherheit Kritischer Infrastrukturen“ (VeSiKi). Prof. Dr. Ulrike Lechner ist Leiterin des Projekts und Professorin an der Universität der Bundeswehr München.

Literatur

[1] Dr. Steffi Rudel, Prof. Dr. Ulrike Lechner (Hrsg.), ITSicherheit für Kritische Infrastrukturen – State of the Art, Ergebnisse des Förderschwerpunkts IT-Sicherheit für Kritische Infrastrukturen ITS|KRITIS des BMBF, Universität der Bundeswehr, September 2018, ISBN 978-3-943207-33-0 (Print), ISBN 978-3-943207-34-7 (elektronisch), online kostenlos verfügbar auf www.itskritis.de/state-of-the-art.html

[2] Prof. Dr. Ulrike Lechner, Manfred Hofmeier, Dr. Steffi Rudel, Monitor 2.0 – IT-Sicherheit Kritischer Infrastrukturen, Kernaussagen einer Umfrage des Förderschwerpunkts „IT-Sicherheit für Kritische Infrastrukturen“, 2018# 3, S. 29

[3] Prof. Dr. Ulrike Lechner, Sebastian Dännert, Andreas Rieb, Dr. Steffi Rudel, CASE|KRITIS – Fallstudien zur IT-Sicherheit in Kritischen Infrastrukturen, Logos, Juli 2018, ISBN 978-3-8325-4727-1, als E-Book (OpenAccess) kostenlos verfügbar über www.logos-verlag.de/ebooks/OA/978-3-8325-4727-1.pdf