Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene

Redaktion: Heinz Schmitz


Schleppende NIS2-Umsetzung als Sicherheitsrisiko

Die Konferenz soll helfen den Weg durch das Labyrinth zu finden. (Bild: DepSec.net)

Die Konferenz soll helfen den Weg durch das Labyrinth zu finden. (Bild: DepSec.net)

 

Die Richtlinie (EU) 2022/2555, abgekürzt als NIS-2-Richtlinie, soll die Resistenz gegen digitale Angriffe potentieller Ziele in der Europäischen Union stärken. Umsetzungspflichtig sind bestimmte Unternehmen einer gewissen Größe in festgelegten Sektoren. Die Richtlinien zielt bei der Auswahl auf kritische und wichtige Unternehmen ab. Die diesjährige DeepSec Konferenz stellt zusammen mit der Firma sematicon AG einen praktischen Ansatz zur Umsetzung vor.

 

Checklisten und Metriken reichen nicht

Die Umsetzung von Sicherheitsmaßnahmen erfordert immer einer gewissen Vorbereitung. Viele scheitern schon bei dieser ersten Hürde, denn die genaue Kenntnis des eigenen Netzwerks und aller darin befindlichen Geräte kann je nach Zählweise variieren. Ist ein Steuerungs- oder Messgerät nur ein Gerät oder ein voller Computer mit Betriebssystemen? Die Klassifizierung entscheidet über sehr viele Konsequenzen bei der Absicherung solcher Geräte. Verbucht man diese korrekter Weise Betriebssystem und als Computer, dann finden sich plötzlich sehr viele Arbeitsgeräte im Inventar, auch wenn sie nur Maschinen oder Anzeigen bedienen. Ehrlichkeit ist bei der Erfassung Trumpf, denn falsche Klassifikationen führen unweigerlich zu falschen Sicherheitsmaßnahmen.

 

Netzwerke sind wegen der vielen märchenhaft beworbenen Produkte in diesem Bereich nicht immer klar dokumentiert und übersichtlich. Die Etiketten "Next Generation", "Smart", "Cloud" oder "AI" können oft durch beliebige Produkte ersetzt werden, die angemessene Netzwerkprotokolle und -standards unterstützen. Es geht letztlich immer um die Segmentierung der eigenen Netzwerke und dem Steuern und protokollieren der transportierten Daten. Wer kunstgerechte Netzwerktopologien zeichnet, aber nicht weiß was in den Netzwerken vorgeht, hat keine brauchbare Dokumentation für die Absicherung. Als Magie angepriesene Produkte oder Aussagen wie "Ja, OT können wir natürlich auch" entsprechen meist nicht den Erwartungen. Hier gilt eher: Nur echtes Fachwissen zählt! Das gilt für alle Netzwerkarchitekturen, unabhängig von der eingesetzten Technologie.

 

Anomalien voraus - Reihenfolge beachten!

Oft verlaufen ambitionierte Sicherheitsprojekte im Sand, weil man die letzten Schritte zuerst umsetzen möchte. Zentrale Überwachungssysteme, die Anomalien erkennen und Sicherheitsereignisse administrieren können, sind zwar teilweise Vorgaben, aber sie stehen am Schluss bei der Implementierung von Sicherheitsmaßnahmen. Anomalien lassen sich nur erkennen, wenn der Normalzustand bekannt ist. Selbst lernfähige Algorithmen können ohne die Randbedingungen und Vergleichsdaten vom Normalzustand nichts lernen.

 

Auch die Hersteller wissen nicht was für Kundensysteme normal oder verdächtig ist. Das Wissen muss intern vorhanden sein oder erarbeitet werden. Dasselbe gilt für den Begriff Sicherheitsvorfall. Wenn plötzlich die Bestandsdaten verschlüsselt sind, dann ist das Kriterium klar. Sendet hingegen ein internes System über Monate hinweg ab und zu nur wenige Kilobyte ins Internet, dann muss man dieses Verhalten erst einmal finden. Angreifende, die wenig Spuren hinterlassen, fallen erst nach einem halben Jahr oder später auf.

 

Die Sicherheitsüberwachung und Anomalie-Erkennung ist immer das Ende eines Sicherheitsprojekts. Zur Vorbereitung zählt ebenso das Sammeln und Abführen aller relevanten Logdaten. Was sind relevante Logs, und wo sind diese zu finden? Das ist leider auch ein hochaktuelles Problem in vielen Unternehmen.

 

Industrie 4.0 mit Sicherheit

Die DeepSec Konferenz hat mit dem Unternehmen sematicon gemeinsam eine Anlaufstelle für Secure Design und Secure Coding im Bereich der Softwareentwicklung geschaffen. Code wird nicht von alleine sicher. Sicherer Code lässt sich in vielen bestehenden Programmiersprachen umsetzen. Die Voraussetzung dabei ist, ganz genau wie bei der IT Infrastruktur, die genaue Kenntnis der von Stärken und Schwächen der jeweils eingesetzten Sprache. Auf der DeepSec Konferenz stellen sich DeepSec und sematicon mit Vorträgen zu Secure Coding dem Publikum und geben einen Einblick wie moderne Software entsteht. Die Präsentationen finden im Third Track der Konferenz statt, der Raum für Diskussionen ohne Aufzeichnungen bietet.

 

Sicherer Source Code entscheidet die Zukunft

Die DeepSec Konferenz hat mit dem Unternehmen sematicon gemeinsam eine Anlaufstelle für Secure Design und Secure Coding im Bereich der Softwareentwicklung geschaffen. Code wird nicht von alleine sicher. Sicherer Code lässt sich in vielen bestehenden Programmiersprachen umsetzen. Die Voraussetzung dabei ist, ganz genau wie bei der IT-Infrastruktur, die genaue Kenntnis der von Stärken und Schwächen der jeweils eingesetzten Sprache. Auf der DeepSec Konferenz stellen sich DeepSec und sematicon mit Vorträgen zu Secure Coding dem Publikum und geben einen Einblick wie moderne Software entsteht. Die Präsentationen finden im Third Track der Konferenz statt, der Raum für Diskussionen ohne Aufzeichnungen bietet.

 

Die DeepSec-2024-Konferenztage sind am 21. und 22. November. Die DeepSec-Trainings finden an den zwei vorangehenden Tagen, dem 19. und 20. November statt. Die DeepINTEL Security Intelligence Konferenz findet am 20. November statt.

 

Siehe auch:

https://deepsec.net/contact.html

 

Zurück