Mühsam aber hilfreich Photo by Damon Janis on Unsplash
Bericht vom Webinar für den Maschinenraum.
17. Januar 2022
Die Bedrohungslage ist enorm, eine hundertprozentige Sicherheit gibt es nicht, aber eben doch Strategien, um mit überschaubarem Aufwand viele Risiken herunterzufahren. Insoweit ist das Zitat in der Überschrift bewusst doppeldeutig, es stammt eigentlich vom Referenten Daniel Penn, der damit mögliche Angriffsszenarien beschreiben wollte. Man kann es aber auch auf die angebotenen Abhilfen beziehen.
Robert Dorsch warb dafür, IT (Büro/Redaktion) und OT (Prozesssteuerung/Sendesysteme) weitgehend zu trennen. Wenn sich jemand in der Redaktion Schadsoftware beim Recherchieren einfängt, ist dann vielleicht das Büro lahmgelegt (schmerzhaft genug), aber wenigstens läuft die Sendung weiter. Das erfordert alles Aufwand, ist aber in der Abwägung sehr viel günstiger als der Schadensfall. Robert Dorsch war vor langen Jahren Vorsitzender der Fachgruppe Technik der APR und hat sich inzwischen mit Cybersicherheit und Datenschutz selbständig gemacht, er vertritt die APR im Bundesarbeitskreis Medien des BSI.
Robert Dorsch wurde ergänzt von Andreas Nikolofsky, der ein Beispiel gab, was mit überschaubarem Aufwand als präventiver Ansatz gerade in KRITIS-Betrieben möglich ist. Angreifer seien erfahrungsgemäß schon länger im Netz, bevor sie zuschlagen können. Im ersten Schritt wird im Darknet gefahndet, ob beispielsweise E-Mail-Adressen, Passwörter und Zugangsdaten des Unternehmens auffindbar sind. Schwachstellen werden gescannt etwa bei der Telefonanlage oder bei Netzwerkdruckern - oft ist gar nicht bekannt, was von außen alles völlig unnötigerweise erreichbar ist. Falls ein Angreifer im Netzwerk ist, muss er darin nach Bedrohungsmöglichkeiten Ausschau halten, auch das kann beobachtet werden. Wenn sich ein Angreifer einen Client für seine Attacken aussucht, hat man Chancen das festzustellen, wenn plötzlich Anomalien von einzelnen Rechnern oder Devices ausgehen. Derartige Dienste werden nach der Anzahl von Clients monatlich berechnet .
Prof. Dr. Christoph Sorge, Informatiker auf dem Lehrstuhl für Rechtsinformatik an der Universität des Saarlandes beschrieb aus abstrakter Sicht, wie Firewalls die Verbindung zwischen zwei Seiten - innen und außen oder OT und IT im Sinne von Robert Dorsch kontrollieren. Um Angriffmuster zu erkennen, müsste eine Deep Package Inspection (DPI) erfolgen, was die Transportverschlüsselung im eigenen Netzwerk aushebele. Firewalls seien inzwischen nicht mehr von Systemen glasklar abzugrenzen, die ein Eindringen aufspüren oder verhindern sollen. Abgesehen davon, dass man bei der Auswahl entsprechender Produkte aufpassen muss, um in der konkreten Anwendung nicht wiederum neue Löcher aufzutun, muss man sich überlegen, welche Regeln gelten - was darf von außen rein, was von innen raus? Das tangiert Fragen des Datenschutzes und der Mitbestimmung und unter anderem die Regelung im Betrieb, ob die Einrichtungen privat genutzt werden können. In einem Diskussionsbeitrag wies Kristin Benedikt als Teilnehmerin des Webinars darauf hin, dass eigentlich alle Tools mitbestimmungspflichtig sind, wenn es einen Betriebsrat gibt, da die Leistungen von Mitarbeitern überwacht werden können. Allerdings könne sich mit Blick auf die DSGVO sogar die Pflicht ergeben, technische und organisatorische Maßnahmen zu ergreifen. Wichtig sei die Einhaltung von Transparenzpflichten durch Aufklärung. Die Hinweise von Sorge und Benedikt sind dann wieder etwas für das spätere Webinar "für die Brücke".
Daniel Penn und Claudio Di Maio (Prianto GmbH, München) stellten ihr Produkt vor, mit dem Risiken minimiert werden, die entstehen, wenn mit alter Software gearbeitet wird. Jede Lösung habe eine spezielle Perspektive auf die Sicherheit. Hier geht es also nicht um Kontrolle der Datenströme, sondern um die im Haus vorhandene Software und die Möglichkeit, diese für Angriffe auszunutzen. Zwar würden Microsoft-Produkte rasch mit Updates versorgt, bei anderen Produkten wie etwa Acrobat dauere das deutlich länger. Das vorgestellte Produkt installiert einen Client auf den zu überwachenden Rechnern und trägt zusammen, was an Software darauf liegt, um das mit einer Datenbank zu vergleichen. Welche Produkte sind End of Live und werden überhaupt nicht mehr supportet? Welche Produkte sind auf dem neuesten Stand gepatcht? Und welche Produkte haben Schwachstellen? Die letztgenannten können (bei Microsoft, nicht bei Linux und Mac) automatisch aktualisiert werden. Der Dienst wird monatlich mit einem geringen Betrag pro Rechner abgerechnet, die Einrichtungsgebühr je Kunde wird als überschaubar berichtet.
Am Ende des Webinars berichtete Dr. Uwe Jendricke vom Bundesamt für Sicherheit in der Informationstechnik (BSI) über die Hilfestellung der Behörden. Die Medien seien ein Sektor kritischer Infrastrukturen, auch wenn sie im IT-Sicherheitsgesetz nicht mit Rechten und Pflichten belegt sind - der Bund hat für Medien keine Regelungskompetenz. Trotzdem können Medienunternehmen im UP KRITIS mitarbeiten und zwar sowohl im Bundesarbeitskreis Medien als auch in einzelnen Themenarbeitskreisen - die APR arbeitet hier mit, auf die Möglichkeit vertrauliche Berichte des Lagezentrums sowie allgemeine Zusammenfassungen zu erhalten, wird an dieser Stelle verwiesen. Die Präsentationsformen aus dem BSI beinhalten zahlreiche Papiere aus der aktuellen Arbeit, die Unternehmen Hilfestellung geben wollen. So gibt es Anleitung für Security Level Agreements, Anleitung über das Krisenmanagement, Hilfestellungen für die Meldungen eines Vorfalles und Spezifikationen für den Stand der Technik.
Der 
zweite Teil der Webinarreihe richtet sich an Geschäftsführer, Studioleiter und andere Verantwortliche, die den organisatorischen Rahmen für die IT vorgeben. Die Überlegung dabei ist, dass es nicht (mehr) möglich ist, beim Thema Cybersicherheit den technischen Leiter ein "das machen Sie schon" zuzurufen, sondern die notwendigen Entscheidungen, Prioritäten und Regeln sind Chefsache.
Release 17. Januar 2022, 15:30 - OR
Präsentation Dorsch