Der Strip in Las Vegas von oben

Hacker stahlen 10 GB Daten aus einem Casino in Las Vegas

| 12019 / Pixabay
22.05.2018 Fachinformation 469 0

Immer einen Schritt voraus: Cybersicherheit und die Rolle internationaler Normen

Es ist nicht alles Gold, was glänzt. Und so profitieren wir durch die weltweite Vernetzung nicht nur von den Vorteilen des Internets, sondern müssen uns auch neuen Herausforderungen wie der Cyberkriminalität stellen. Internationale Normen bieten die Chance, immer einen Schritt voraus zu sein.

IEC-Logo

Von Michael A. Mullane

Innovationen bringen neue Herausforderungen mit sich – oder anders gesagt: Wo ein Silberstreif am Horizont ist, ist auch eine Wolke. Das Internet hat uns nicht nur verbundene, intelligente und interaktive Technologien, sondern auch die düstere Unterwelt der Cyberkriminalität beschert.

Die Cybersicherheit ist sich permanent verändernden Herausforderungen in Anbetracht einer zunehmenden Zahl verbundener Geräte und intelligenter Technologien, die in unser Heim und unseren Arbeitsplatz Einzug halten, ausgesetzt. Während vor zehn Jahren noch der Schutz unserer Computer und Smartphones im Mittelpunkt stand, machen wir uns heute eher Gedanken um die Risiken, die Kühlschränke, Thermostate, Industriemaschinen und andere Systeme für die Netzwerksicherheit darstellen.

Kontakt

DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE

ISO/IEC JTC 1/SWG 5 in 2014 beschreibt das „Internet der Dinge" (IoT) als eine „Infrastruktur aus miteinander verbundenen Objekten, Personen, Systemen und Informationsquellen in Kombination mit intelligenten Diensten, die es ihnen ermöglichen, Informationen aus der physischen und virtuellen Welt zu verarbeiten und darauf zu reagieren". Es umfasst die verschiedensten Dinge von Haushaltsgeräten über mit dem Internet verbundene Fahrzeuge bis hin zu Widgets in Kernkraftwerken (NPP).

Im industriellen Bereich hat das Wachstum verbundener Geräte die Konvergenz der zuvor separaten Bereiche der Informationstechnologie (IT) und der Operational Technology (OT) zum industriellen IOT (IIOT) beschleunigt. Dies hat dazu geführt, dass Cybersicherheitsverletzungen und -bedrohungen schwieriger zu erkennen und zu verhindern sind.

IHS Markit erwartet, dass die Anzahl der verbundenen IoT-Geräte weltweit sprunghaft von 27 Milliarden im Jahr 2017 auf 125 Milliarden bis 2030 ansteigen wird. Eine zunehmende Zahl verbundener Geräte führt zu mehr potenziellen Schwachstellen, die von Cyberkriminellen ausgenutzt werden können.

Laut einem aktuellen Bericht entstand 978 Millionen Opfern 2017 ein Schaden in Höhe von 172 Milliarden USD durch Cyberkriminalität. Die meisten Risikoexperten sind überzeugt, dass eine Datenverletzung oder ein Cyberangriff durch unsichere IoT-Geräte „katastrophale" Folgen für ihre Organisation haben könnte.

Verdächtiges Treiben

Tools wie die IoT-Suchmaschine Shodan machen es Hackern leichter als jemals zuvor, anfällige Geräte in einem Netzwerk zu identifizieren. Hacker können nach Kühlschränken, Heizungssystemen oder, im Fall des Hackerangriffs auf ein Casino in Nordamerika, einem Aquarium suchen.

Den Casino-Hackern gelang es, 10 GB Daten aus dem Netzwerk über ein intelligentes Thermostat in die Cloud zu übertragen, einschließlich der Kontodaten reicher Kunden. Das Problem ist hierbei, dass ein an das Netzwerk angeschlossenes Gerät mit schwacher Sicherheit ein Risiko für die gesamte Organisation darstellt.

Malware bietet Hackern einen noch schnelleren Weg in ein Netzwerk, wenn ihre Opfer dazu gebracht werden können, infizierte Dokumente zu öffnen. Geheime Dokumente, die im vergangenen Jahr an die Öffentlichkeit gelangten, zeigten, dass CIA-Agenten regelmäßig Malware nutzen, um verbundene TV-Geräte in Abhörgeräte zu verwandeln.

Die manchmal als industrielles IoT bezeichnete Operational Technology (OT) bezieht sich auf Hardware und Software, die physische Prozesse, Industriegeräte und Infrastruktur steuert. Die Produktionsindustrie wurde in Anbetracht ihrer zunehmend besseren Konnektivität sehr schnell zu einem beliebten Ziel für Hacker.

In anderen Bereichen gewinnt der Schutz der Versorgungssicherheit und kritischer Energieinfrastruktur vor Cyberangriffen sehr schnell an enormer Bedeutung. Das FBI und Homeland Security warnten in einem Bericht im Mai 2017 davor, dass Hacker in die Computernetzwerke von Kernkraftwerken und anderen Energieanlagen in den USA und weltweit eindringen.

Sieben Monate später, im Dezember 2017, schaltete ein Cyberangriff ein Kraftwerk ab, das wahrscheinlich in Saudi-Arabien lag. Angriffe auf Kernkraftwerke (NPP) könnten katastrophale Folgen für das gesamte Stromnetzwerk haben und eine Umweltkatastrophe auslösen.

Das IEC hat 235 sicherheitsbezogene Publikationen zu OT und IT veröffentlicht. Etwa 160 dieser Publikationen, einschließlich der ISO/IEC-27000-Normenreihe, wurden in Zusammenarbeit mit der ISO entwickelt.

Die Notwendigkeit von Normen

Im Kampf gegen Cyberkriminalität ist es von größter Bedeutung, zu verstehen, wann und wie ein Eindringen in ein Netzwerk, ein System oder eine Anwendung stattfindet. Sicherheitssysteme müssen in der Lage sein, festzustellen, welche Schwachstelle ausgenutzt wurde, um die richtigen Prüfungen und Kontrollen zu implementieren und vergleichbare Einbrüche in Zukunft zu verhindern.

Auch wenn Organisationen weiterhin wachsam sein müssen, steht ihnen zumindest die Normungsarbeit des ISO/IEC Joint Technical Committee (JTC) 1 als Hilfe zur Verfügung. Die Norm ISO/IEC 27039 bietet beispielsweise Richtlinien für die Erstellung und Implementierung eines Eindringungserkennungs- und -vermeidungssystems (IDPS).

Das JTC 1 hat eine Reihe von Normen für IT-Sicherheitstechniken entwickelt, die eine gemeinsame Terminologie für IT-bezogene Bedrohungen festlegen, helfen, Informationen in der Cloud zu schützen, sowie integrierte Lösungen für Dienste und vieles mehr bieten. Die weithin bekannte ISO/IEC-27000-Normenreihe bietet ein effektives Rahmenwerk für den Vergleich mit besten Praktiken der Implementierung, Instandhaltung und kontinuierlichen Verbesserung von Kontrollen.

ISO/IEC 27001 identifiziert potenzielle Risiken für Kunden- und Stakeholder-Daten und stellt sicher, dass Organisationen relevante Kontrollen zur Reduzierung dieser Risiken implementieren. Dies erfordert Verschlüsselung, kontinuierliche Prüfung und Risikobeurteilungen.

Sektor- und organisationsübergreifende Kommunikation

Innerhalb der ISO/IEC-27000-Normenreihe bietet ISO/IEC 27010 eine Anleitung für die Initiierung, Implementierung, Instandhaltung und Verbesserung der Informationssicherheit in der organisations- und sektorübergreifenden Kommunikation. Die Norm hilft, das Wachstum globaler Informationsaustauschgemeinschaften zu fördern, und enthält allgemeine Grundsätze zur Erfüllung dieser Anforderungen durch festgelegte Messaging- und andere technische Verfahren.

ISO/IEC 27010 ist besonders für den Schutz kritischer nationaler Infrastruktur relevant, wo der sichere Austausch empfindlicher Informationen von größter Bedeutung ist. Auch Sicherheitszwischenfall-Interventionsteams nutzen diese Norm.

Integrierte Lösungen für Dienstleistungen

Einige Organisationen kombinieren ISO/IEC 27001 mit ISO/IEC 20000-1, einem Servicemanagementsystem. Das daraus resultierende integrierte System ermöglicht es Organisationen, die Qualität ihrer Dienstleistungen effizient zu steuern und gleichzeitig ihre Daten zu schützen.

ISO/IEC 27013 bietet einen systematischen Ansatz zur Unterstützung der Integration eines Informationssicherheitsmanagementsystems in ein Servicemanagementsystem. Dies reduziert Implementierungskosten und vermeidet unnötigen Aufwand, da nur eine Prüfung für die Zertifizierung erforderlich ist.

Kommunikationsnetzwerke, Steuerungssysteme und Stromanlagen

Andere IEC-Normenreihen sind für den Schutz von Kommunikationsnetzwerken, Steuerungssystemen und Stromanlagen vor Cyberbedrohungen relevant. Hierzu zählen:

  • IEC 62443, Industrial communication networks — Network and system security
  • IEC 61850, Communication networks and systems for power utility automation
  • IEC 60870, Telecontrol equipment and systems
  • IEC 62351, Power systems management and associated information exchange

Behandlung der besonderen Anforderungen von Kernkraftwerken (NPP)

IEC entwickelt maßgeschneiderte Lösungen für jeden Bedarf. Das IEC Subcommittee (SC) 45A: „Instrumentation, control and electrical systems of nuclear facilities" entwickelt beispielsweise spezifische Normen für NPP durch die Anpassung der Normen ISO/IEC 27001 und ISO/IEC 27002 an den nuklearen Kontext und die Koordination mit der IEC-62443-Normenreihe.

Das SC 45A hat die Norm IEC 62645, Nuclear power plants — Instrumentation and control [I&C] systems — Requirements for security programmes for computer-based systems, entwickelt, um mikroprozessorbasierte Informations- und Steuerungssysteme zu schützen. Eine weitere Norm, IEC 62859, Nuclear power plants — Instrumentation and control systems — Requirements for coordinating safety and cyber security, bietet ein Rahmenwerk für die Steuerung der Interaktionen zwischen Sicherheit und Cybersicherheit.

Ebenso wie andere IEC-SC-45A-Normen berücksichtigen IEC 62645 und IEC 62859 die Sicherheitsgrundsätze für NPP der International Atomic Energy Agency.

Schutz kritischer Infrastruktur

Verschiedene andere technische IEC-Komitees (TC) und SC erstellen internationale Normen, die bestimmte Bereiche schützen und die Sicherheit von Industrie- und kritischen Infrastrukturanlagen unterstützen. Nachfolgend finden Sie eine Auswahl:

  • IEC TC 57: „Power systems management and associated information exchange" entwickelt unter anderem die Reihe der IEC-61850-Publikationen für Kommunikationsnetzwerke und Systeme für die Automation von Elektrizitätsnetzwerken und die IEC-60870-Normenreihe für Fernsteuerungseinrichtungen und -systeme.
  • IEC TC 65: „Industrial-process measurement, control and automation" erstellt Publikationen, die Sicherheitsanforderungen für industrielle Automatisierungs- und Steuerungssysteme (IACS) in der IEC-62443-Normenreihe spezifizieren.
  • IEC TC 62: „Electrical equipment in medical practice" und seine Unterausschüsse entwickeln Normen zum Schutz der Sicherheit, Integrität und Vertraulichkeit medizinischer Daten.
  • IEC TC 80: „Maritime navigation and radiocommunication equipment and systems" hat IEC 61162-450:2016 entwickelt. Gleichzeitig hat das TC80 die Norm IEC 61162-460:2018 entwickelt, um die Anforderungen im Fall erforderlicher erhöhter Schutz- und Sicherheitsnormen zu erweitern.

Prüfung und Zertifizierung

Immer mehr Organisationen nutzen Zertifizierungsprüfungen durch dritte Parteien, um zu zeigen, dass sie über ein solides Informationssicherheitsmanagementsystem verfügen, das die Anforderungen nach ISO/IEC 27001 erfüllt. ISO/IEC 27006 legt fest, welche Anforderungen Zertifizierungs- und Registrierungsorgane für eine Akkreditierung erfüllen müssen, um ISO/IEC-27001-Zertifizierungsdienstleistungen anbieten zu können.

Das IEC Advisory Committee on Security (ACSEC) befasst sich mit Informationssicherheits- und Datenschutzaspekten, die nicht spezifisch mit einem einzelnen IEC Technical Committee verbunden sind. Das ACSEC koordiniert darüber hinaus Aktivitäten in Verbindung mit Informationssicherheit und Datenschutz, berät SMB zu diesen Themen und bietet TC und SC Anleitungen für die Implementierung der Informationssicherheit und des Datenschutzes.

Cybersicherheit steht im Fokus der IEC Conformity Assessment Board (CAB) Working Group (WG) 17 und IEC Conformity Assessment for Electrotechnical Equipment and Components (IECEE) Certification Management Committee Task Force.

Immer einen Schritt voraus

„Technologie ermöglicht Kriminalität und wir sind permanent bestrebt, Technologie zu entwickeln, um der Person, die versucht, sie auf negative Weise zu nutzen, immer einen Schritt voraus zu sein”, erklärt Frank Abagnale, der sich mit der kriminellen Psyche auskennt. Abagnale, dessen Lebensgeschichte von Steven Spielberg verfilmt wurde, arbeitete für das FBI und verschiedene Organisationen als Sicherheitsberater. In seiner Jugend war er jedoch einer der meistgesuchten Verbrecher Amerikas.

Die Einhaltung internationaler Normen ist die effektivste Möglichkeit, immer einen Schritt voraus zu sein. Normen bieten ein robustes und zuverlässiges Rahmenwerk für die Cybersicherheit auf der Grundlage der von führenden Industrie- und Technologieexperten weltweit entwickelten besten Praktiken.

Redaktionelle Hinweise:
Der englischsprachige Originalartikel erschien erstmals im IEC-Newsletter Ausgabe 03/2018.
Zu finden unter: https://iecetech.org/issue/2018-03/Staying-one-step-ahead

Die im Text aufgeführten Normen können Sie im VDE-Verlag käuflich erwerben:
https://www.vde-verlag.de/iec-normen/suchen.html

Internationale Zusammenarbeit