Flughäfen in Deutschland, Postdienste in Großbritannien und Krankenhäuser in Frankreich: Cyberangriffe kennen keine Grenzen. Jede Organisation kann zum Ziel von Cyberangriffen werden. Doch das bedeutet nicht zwangsläufig, ein Opfer zu werden. Werden 2023 „abgehärtete“ Cybersicherheitsprodukte Fuß fassen?
Ende 2014 wurde die US-amerikanische Firma Sony Pictures Entertainment Opfer eines schweren Cyberangriffs. Dieser wurde vom FBI der nordkoreanischen Regierung zugeschrieben und als Vergeltung für den Film „The Interview“ angesehen. Einige Monate später machte die cyberkriminelle Gruppe Cybercaliphate Schlagzeilen, nachdem sie sich in die Twitter-Konten des US-Army-Kommandos für den Nahen Osten und Zentralasien und der US-Wochenzeitschrift Newsweek gehackt hatte. Im April 2015 wurde die Sendeinfrastruktur des französischen Fernsehsenders TV5 Monde abgeschaltet, während die Social-Media-Konten des Senders mit Botschaften überflutet wurden, die den Islamischen Staat befürworteten. Diese Ereignisse waren eine öffentliche Demonstration der Fähigkeit eines Krieg führenden Staates, ein ziviles Unternehmen anzugreifen – unabhängig von dessen Größe und den getroffenen Cybersicherheitsmaßnahmen.
Die schrittweise Abhärtung von Cybersicherheitsprodukten
Leider kursieren fast zehn Jahre später immer noch solch ausgefeilte Angriffe. Die Techniken wurden dabei weiterentwickelt und zielen nun auf die Cybersecurity-Produkte selbst ab. Durch die Deaktivierung oder Kompromittierung der Schutzlösung erhoffen sich Cyberkriminelle, eine Sicherheitslücke nutzen zu können, um erweiterte Privilegien auf der infizierten Maschine zu erlangen. Das von den Produkten gebotene Sicherheitsniveau muss daher ständig überwacht und abgehärtet werden, denn – wie der CISA-Katalog der bekannten Schwachstellen veranschaulicht – kein Anbieter ist gegen diese Attacken immun. Aus diesem Grund wird das Thema Stärkung und Abhärtung (Hardening auf Englisch) von Sicherheitsprodukten zu einer großen Herausforderung. Dieser Ansatz wurde ursprünglich in der militärischen Welt entwickelt, um hochsensible IT-Ressourcen zu schützen, und besteht darin, „die Angriffsfläche eines Systems, einer Software oder eines Produktes zu reduzieren, um es sicherer zu machen“, erklärt Uwe Gries, Country Manager DACH bei Stormshield. In der Praxis auf System- oder Infrastrukturebene umfasst der Abhärtungsansatz eine Kombination von Techniken: eine optimale Konfiguration von Betriebssystemen, eine regelmäßige Überprüfung von privilegierten Konten und Firewall-Regeln, Beschränkungen für zugelassene IP-Adressen und strengere Regeln im Zusammenhang mit der Verwendung von Passwörtern. Im Bereich der Cybersicherheitslösungen kann die Abhärtung (beispielsweise) in Form einer Microservices-Architektur oder der Umsetzung vom Prinzip des geringsten Privilegs für Dienste erfolgen. Für Anbieter stellt es eine Aussage von Qualität und Professionalität dar: „Die Intention ist es, zu verhindern, dass das Cybersicherheitsprodukt für bösartige Zwecke missbraucht wird, zum Beispiel als Trojaner oder durch das Einfügen von Hintertüren“, fügt Gries hinzu.
„Immer mehr öffentliche Ausschreibungen vom Staat oder von öffentlichen Strukturen wie Krankenhäusern enthalten spezifische Anforderungen in Bezug auf Sicherheitsaspekte und die Notwendigkeit, abgehärtete Produkte zu implementieren“, bemerkt Gries.
Ein Cyber-Übergang von der Militärwelt zur Zivilgesellschaft
Obwohl sich militärische Informationssysteme von zivilen unterscheiden, weisen sie ähnliche Eigenschaften sowie gemeinsame Technologien, Hardware und Software auf. Aufgrund der hochsensiblen Infrastruktur und Daten, die sie schützen, müssen Cybersicherheitsprodukte militärischen Grades besondere Anforderungen erfüllen – beispielsweise durch bestimmte Konfigurationen. Es bleibt nur noch, Best-Practice-Übergänge zu schaffen. Die Abhärtung der Produkte bietet einen solchen Übergang. Die Vertrauenswürdigkeit der Lösung ist ein weiteres und ebenso wichtiges Merkmal.
Einige europäische Länder haben Qualifizierungsprogramme für Cybersicherheitsprodukte durch ihre nationalen Sicherheitsgremien entwickelt (wie die ANSSI in Frankreich, das BSI in Deutschland, die ACN in Italien, das CCN in Spanien und das NCSC in Großbritannien). Um eine zwischenstaatliche Anerkennung der Qualifikationen zu ermöglichen, wurde eine europäische gegenseitige Vereinbarung unterzeichnet. Das Ziel ist einfach: robuste, zuverlässige Lösungen für den Schutz sensibler Dienste zu identifizieren. Die ANSSI definiert ein qualifiziertes Produkt als robust und teilt diese Qualifikation Produkten zu, die die Anforderungen der ANSSI erfüllen und, basierend auf einer Analyse des Quellcodes für den Software-Teil, nach strengsten Kriterien zertifiziert sind. Zudem müssen sie noch garantiert frei von Backdoors sein. Diese Definition zeigt deutlich, dass diese Lösungen nicht nur für militärische Zwecke gedacht sind. Tatsächlich nutzen bereits einige zivile Unternehmen qualifizierte Sicherheitsprodukte: Die europäische NIS2-Richtlinie umfasst auch Subunternehmen und Dienstleister mit Zugang zu kritischen Infrastrukturen in der Riege der wesentlichen und wichtigen Organisationen. Dies sind alles zivile Unternehmen, die sich nun mit dem Konzept der Qualifikation beschäftigen sollten.
Wenn eine robuste, zuverlässige Sicherheitslösung sensible Regierungsdienste schützen kann, ergibt es auch Sinn, sie zum Schutz sensibler Unternehmensdaten zu verwenden. „Bei Stormshield konzentrieren wir uns darauf, robuste, schlüsselfertige Produkte durch intensive Integrations- und Entwicklungsarbeit zu liefern“, erklärt Gries. Qualifizierte und abgehärtete Sicherheitsprodukte sind sowohl für den militärischen als auch für den zivilen Einsatz geeignet. Man braucht lediglich einen vertrauenswürdigen Partner.