BSI-Präsidentin Claudia Plattner fordert NIS-2 noch vor den Neuwahlen zu verabschieden. Unternehmen benötigen Planungssicherheit und Cybersicherheit dürfe nicht aufgeschoben werden. Doc Storage unterstützt dies zwar, sagt aber auch, dass IT-Sicherheit mit gesundem Menschenverstand und einigen unpopulären Maßnahmen einfach umzusetzen sei.

Leserfrage: Die pünktliche Einführung von NIS-2 hat Deutschland verschlafen. Nun hat die EU-Kommission ein Vertragsverletzungsverfahren gegen uns eingeleitet (und 22 weitere Länder). BSI-Präsidentin Claudia Plattner appelliert an die Mitglieder des Bundestages, das Gesetz noch in dieser Legislaturperiode zu verabschieden, weil Unternehmen sonst zu viel Zeit verlieren. Wie steht Doc Storage zu NIS-2 und IT-Sicherheit, sind wir immer noch zu nachlässig?

Anzeige

Kommentar Doc Storage:

Der besagte Appell stammt aus einem Interview mit dem Deutschlandfunk. Und ja, Cybersicherheit ist ein ernstes Thema und darf nicht aufgeschoben werden. Nicht von Unternehmen und schon gar nicht von der Politik – auch wenn für die dieses IT-Zeugs immer neu Neuland ist…

Auf jeden Fall ist es mehr als befriedigend, dass das BSI endlich von einer echten Fachfrau geleitet wird, und nicht von einer durch politische Gezeiten angespülte Notlösungen. Das zeigt sich im gesamten Verlauf des besagten Gespräches durch ihre jederzeit fachlichen und qualifizierten Aussagen, und auch und vor allem durch den Bezug auf die tatsächliche Realität in der DV zuhause und in den Unternehmen.

Allerdings sollte Frau Plattner selbst hier, als sie auf das Thema Cloudstrike und die durch diesen Anbieter verursachten großen Ausfälle im Sommer zu sprechen kommt, bitte eines nicht vergessen: ihr ehemaliger Arbeitgeber, die Deutsche Bahn, war von den Software-Problemen nur deshalb kaum bis gar nicht betroffen, weil die meisten Systeme schlichtweg so veraltet waren, dass die einschlägigen Anwendungen dort einfach nicht liefen. Da war es wohl eher ein Glücksfall, dass laufende Systeme aufgrund des Kostendruckes nicht ersetzt werden, solange sie eben ihre Arbeit tun.

Tipps für die privaten Anwender

In der Tat ist es gut auch aus dieser Quelle zu hören, dass der Schutz vor allem mobiler Endgeräte für den »Verbraucher« Priorität haben sollte. Die üblichen Hinweise auf automatische Updates, möglichst komplexe und wechselnde Passworte und die Verwendung von Passwort-Containern sind daher auch alle valide. Allerdings steckt auch hier wieder die übliche Panikmache in den Nebensätzen. Als würden die bösen Verbrecher dort draußen ständig die armen Telefone und Pads der Verbraucher angreifen und Daten abziehen.

Umgekehrt wird doch wohl eher ein Schuh draus. Die meisten der publikumswirksam »geleakten« Daten von Privatleuten werden doch von diesen Tag für Tag mehr als bereitwillig ins Netz gepumpt. Bilder, Filme, ja selbst Angaben zum Wohnort, der eigenen Wohnung, dem eigenen Auto oder ähnlichem sind ganz einfach aus den sich selbst für »sozial« haltenden Medien herauszufiltern, dafür brauchen die meisten »bösen« Menschen noch nicht einmal besonderes Talent. Darüber hinaus sind 99,9 Prozent der Daten, die sich auf Telefonen und anderen mobilen Endgeräten befinden, für echte gewinnorientierte Verbrecher absolut uninteressant. Die Anwender halten sich selbst inzwischen für so wichtig, dass ihr Gesicht, ihr Wohnort, ihre Telefonnummer oder ähnliches »empfindliche« Daten sein könnten.

Da muss man mal etwas geraderücken. Niemand, wirklich niemand ist noch an diesen Daten interessiert. Selbst Kontonummern oder ähnliches sind seit der Einführung einer (mindestens) Zwei-Faktor-Authentifizierung bei der Nutzung von Internet-Banking völlig uninteressant geworden. Die einzigen, die wirklich noch an der Aufrechterhaltung der Mär von den ach so empfindlichen persönlichen Daten interessiert sind, sind die Hersteller von Anwendungen, die die Endgeräte eben vor dem unerlaubten Zugriff schützen sollen. Aber wie gesagt, welches Schaf kann man schon vor dem Wolf beschützen, wenn es selbst über den Zaun steigt und in den Wald spaziert?

Firmenanwender und NIS-2

Nicht viel, aber etwas wichtiger sind allerdings die Hinweise auf den Schutz sensibler Daten im Firmen- und Organisationsumfeld. Deren Rechner speichern – meist unverschlüsselt und mit sträflich vernachlässigten Zugangskontrollen – Gehaltsdaten, intellektuelles Gut oder ähnlich interessante Inhalte. Während die Gehaltsdaten vielleicht nur für die nächste Verhandlung mit dem Chef oder für Banken auf der Suche nach neuen Opfern für abstruser Finanzprodukte interessant sein könnten, kann es beim Zugriff auf geistiges Eigentum schon um die Existenz eines Unternehmens gehen. Dass man den Betreibern hier noch einmal einen Hinweis geben muss, ist dramatisch genug. Was ich vom BSI und andere Sicherheits-Experten in der Regel vermisse, ist die Beschreibung des einzig sicheren Szenarios, um entsprechende unberechtigte externe Zugriffe zu vermeiden, nämlich die strikte Trennung der einschlägigen Systeme von jeglichem Internet-Zugang. Ja, huaaaaa, der alte Mann hat es gesagt – kein Internet für bestimmte Systeme. Und falls doch einmal Daten von Kunden, Bestellungen oder andere Transaktionen in die interne DV gelangen sollen, dann müssen diese eben durch ein entsprechendes Gateway-System gesammelt, dort überprüft und erst nach bestandener Prüfung an das interne System weitergeleitet werden. Nicht ohne jedoch vorher durch geändertes Routing den Kontakt aller beteiligten Rechner zum Internet zu unterbinden.

Kein Internet für wichtige Systeme

Geht alles, man muss es nur machen. Und nochmal – kein Internet für bestimmte Systeme! Jeder Rechner, auf dem auch nur halbwegs sensible Daten gelagert werden, gehört in keinem Falle in den Kontakt zu irgendeinem externen System. Und der wirklich ernstgemeinte Hinweis: Windows-Rechner sind allesamt Geräte der Datendarstellung, nicht der Datenverarbeitung. Auch wenn Microsoft auf manche Packungen wagt »Server« draufzudrucken – es existieren seit Jahrzehnten richtige und vor allem in der Sicherheit bewährte Alternativen.

Ich sage so platt: wer Windows nutzt, ist selbst schuld. Da kann er noch so viele Firewalls, Gateways und andere Hilfsmittel nutzen. Vor allem spare ich mir bei entsprechend vernünftigem Entwurf meiner Architekturen nicht nur Zeit und Nerven, sondern einen ganzen Batzen an Budget, den ich dann nicht mehr den panikverbreitenden Herstellern in den Rachen werfen muss.

Keine sensiblen Daten auf Endgeräten speichern

Was ich darüber hinaus etwas vermisse, ist der Hinweis auf die Nutzung unveränderlicher Sicherungen aller sensiblen Daten. Erstens gehören sensible Daten nicht, nirgendwo und niemals auf Endgeräte. Diese Daten kann ich mir gern dort darstellen lassen, das ist dann aber auch schon alles. Und man komme mir jetzt nicht mit dem kluggeschissenen Klassiker, dem Geschäftsführer, der seine Tabellen und Dokumente aber auf dem Desktop haben will.

Nein, will er nicht mehr, wenn man ihm einmal erklärt, was es heißt, wenn er spät abends im Bahnhof beim amerikanischen Kaffee-Anbieter im WLAN hängt und andere fröhlich seine Inhalte abziehen, weil sich Windows eben nicht schützen lässt. Und zweitens gehören alle sensiblen Daten mindestens zwei, besser noch viermal am Tag in ein versioniertes, unveränderliches zentrales Backup. Dann kann ich nämlich, wie von Frau Plattner beschrieben, Montag morgens ins Büro kommen, und nach dem Hinweis, dass all meine Daten verschlüsselt wären und ich einen abstrusen Betrag an Bitcoins oder anderen Betrügerwährungen für die Wiederbeschaffung bezahlen soll, dem Bildschirm den Finger zeigen, mir kaltlächelnd den ersten Kaffee holen und mein System durch die interne DV einfach plattmachen lassen. Dafür brauche ich kein NIS-2, sondern einfach nur gesunden Menschenverstand und bereits vorhandene Bordmittel.

A propos Bordmittel: USB und Firewire ausmachen wäre auch noch sinnvoll, und niemand, wirklich niemand braucht das Bild seines Hundes, seiner Familie oder seines Autos auf dem Desktop. Nochmal einfacher wäre es natürlich, dem Endanwender keine dicken Systeme mehr zur Verfügung zu stellen, sondern nur noch kleine, kostengünstige Nicht-Windows-Rechner, die dann nur noch zentral verwaltete virtuelle Desktops mit Standard-Installationen darstellen. Falls mit denen etwas passiert – runterfahren, löschen, durch eine Replik ersetzen und wieder hochfahren. Zack, fertig. Und all das gibt’s sogar als Open-Source.

Kritische Infrastruktur

Ich stimme Frau Plattner in einem anderen Punkt absolut zu – wir müssen unsere »kritische Infrastruktur« wieder besser schützen. Ich frage mich nur, auch in Bezug auf den vorherigen Punkt, was die kritischen Systeme von Wasserwerken, Stromerzeugern, Verkehrsregelanlagen oder ähnlichem am Internet zu suchen haben?

Würde man diese komplett wie bereits beschrieben mit vernünftigen, proprietären Umgebungen ausstatten und vom Netz nehmen, wären 99 Prozent der Gefahren gebannt. Dann gibt es eben keine Fernwartung durch die Hersteller mehr, und falls diese doch gewünscht wird, stellt man neben die Maschinen ein Modem, das der Betreiber erst im Bedarfsfalle beaufsichtigt anschaltet. »Ein Modem, jetzt spinnt der alte Mann völlig«, werden die meisten nun denken. Allerdings – auf den meisten vernünftigen Systemen reicht die Darstellung von Kommandozeilen, und sollte doch einmal ein GUI dargestellt werden müssen, dauert der Bildaufbau eben mal eine Sekunde. Die Frage, die sich die Betreiber eben stellen müssen, ist »ist mir meine Bequemlichkeit die Sabotage meiner Systeme wert«?

Was auch immer gern vergessen wird, ist die Möglichkeit der Nutzung von Nicht-TCP/IP-Transporten. Wenn man schon, zum Beispiel in der Kopplung von Verkehrslenkungssystemen, nicht umhinkommt, Anlagen an verschiedenen Orten koppeln zu müssen, dann muss man doch bitteschön nicht das zu absoluter Offenheit entwickelte IP dafür nutzen. Denn die bösen Menschen da draußen nutzen nur IP, und kennen auch nur das. Sobald andere Protokolle genutzt werden (wer kennt zum Beispiel noch SNA, ist nie geknackt worden, nur mal so als Hinweis…), stehen sie mit Kuhaugen daneben.

Was die meisten Angestellten in RZs heute nicht hören wollen, ist die schlichte Tatsache, dass die meisten Sicherheitslücken einfach nur ihrer Bequemlichkeit geschuldet sind. Je jünger die Kollegen werden, umso größer ist ihr Hang, alles automatisch und vor allem in grafischen Umgebungen lösen zu wollen. Scripting oder Kommandozeilen gelten als Old School und werden belächelt, obwohl sich damit schon viele der angesprochenen Probleme lösen ließen. Und nochmal, vor allem an die jüngere Generation: Windows ist kein Server-Betriebssystem, auch wenn Ihr nichts anderes kennt! Dann lernt Ihr eben, mindestens mit Linux, besser noch mit einem proprietären Unix umzugehen. Ansonsten gäbe es noch die Alte-Männer-Alternativen, zum Beispiel auf den »Dinosauriern« (sind unter RACF oder ACF-2 auch noch nie geknackt worden – auch wenns nervt…).

Es gehört einfach zur angewandten Verantwortung, dafür zu sorgen, dass niemand an die aufgezählten Systeme rankommt, es sei denn, er kommt durch den Vereinzelner am Eingang!

Künstliche Intelligenz

Das musste ja zum Schluss noch kommen – der Schwenk hin zur neuen Geißel der EDV, der Künstlichen Intelligenz (KI). Ich will jetzt gar nicht damit anfangen, den Begriff selbst zu zerlegen, obwohl es sich hierbei in den meisten Fällen nur um organisierten intellektuellen Diebstahl handelt. Natürlich muss jeder einigermaßen normale Mensch (darf man »normal« eigentlich noch sagen?) wissen, und das von sich aus ohne ständige Hinweise, dass eine Information, sobald sie aus einem rein elektronischen Umfeld kommt, absolut nicht vertrauenswürdig ist. Selbst wenn sie vorgeblich von jemandem kommt, den man kennt. Selbst wenn sich die Quelle bisher als »zuverlässig« erwiesen hat. Jede Information ist heute durch mindestens eine zweite aus nicht nur anderer, sondern bestenfalls medial anderer Quelle gegenzuprüfen, also Zeitung, Fernsehen oder ähnliches.

Zum Glück nutzen die meisten Anwender KI lediglich um Gesichter auf nackte Körper zu basteln, selbst keine Essais mehr scheiben oder selbst ordentlich programmieren zu müssen. Von dort droht also kaum eine akute Gefahr, und wenn die RZ-Betreiber die oben beschriebene Trennung bestimmter Systeme vom Internet auch mal durchziehen würden, könnten KI-nutzende Verbrecher auch kaum zu diesen durchdringen.

Nochmal – auch und vor allem in Zeiten des Wahlkampfes kann man niemandem trauen, vor allem nicht Nachrichten, die aus irgendeinem sozialen Medium kommen. Gegenargument meiner Social-Media-verseuchten Kollegen ist dann immer »Zeitung – soll ich einen Tag warten?« Ja sicher sollt Ihr das, ansonsten seid Ihr selbst schuld. Und dass diejenigen, die am lautesten nach einem elektronischen Wahlverfahren schreien, wohl am verantwortlichsten für Wahlfälschung währen, wollen sie auch nicht hören. Die letzten Fälle sind in Deutschland alle aufgedeckt worden, eben genau, weil alles auf Papier abgehandelt wird. Ich möchte mir nicht vorstellen müssen, wie das mit einem elektronischen Verfahren werden sollte.

So, und jetzt können mich die lieben Kollegen gern zerlegen. Aber bitte bedenkt bei allem – es gibt für alles bereits Lösungen, man muss sich nur ein wenig anstrengen. Und von manchen Sachen einfach die Finger lassen. Dass man Dinge tun kann, heißt nicht, dass man sie auch tun muss! Vor allem nicht in der EDV!

Gruß
Doc Storage