Der Januar war ein eher ruhiger OT-Security-Monat - das war nach dem Wirbel und IT-Sicherheitsgesetz und Solarwinds Ende 2020 auch mal nicht schlecht.

Für uns Schutzhelmfreunde bedeutet diese Ruhe, dass wir uns diesen Monat mit der nötigen Zeit ein paar längere Texte anschauen können:
Ein Buch, eine Masterarbeit, einen Standard und ein bisschen EU-Gesetzgebung.

In dieser E-Mail gibt es Neuigkeiten und Lesestoff zu folgenden Themen:

1. Ernie Haydens Buch: Critical Infrastructure Risk Assessment
2. Security- und KRITIS-Politik in der EU vs USA
3. Security- und KRITIS-Politik in der EU vs USA
4. Wie Standards unser Denken prägen - am Beispiel Safety
5. § 8a-Nachweise in der Pandemie
6. Die OT-Security-Armutsgrenze

1. Ernie Haydens Buch: Critical Infrastructure Risk Assessment

Ernie Hayden hat 2020 sein Buch "Critical Infrastructure Risk Assessment" veröffentlicht und mit dem ambitionierten Untertitel "The Definitive Threat Identification and Threat Reduction Handbook" versehen. Den Link zur Verlagswebsite finden Sie unten im Lesestoff (das Buch kostet stolze 75 $).

Ernie Hayden ist jahrelanger Praktiker und hat viele Risikoanalysen selbst durchgeführt, und das merkt man dem Buch an.

Der Leser bekommt einen soliden und sehr praxisnahen Leitfaden, vor allem fürs Begehen einer Anlage mit "Risikoblick" - anschaulich mit Fotos, bis hin zu der Frage, wie man am besten den Notizblock zum Aufschreiben der Beobachtungen transportiert (in der hinteren Hostentasche). Starke Teile des Buchs sind Lektionen zum guten Beobachten, Checklisten für mitzubringende Werkzeuge (Spiegel?) und zum sinnvollen Strukturieren von Findings (gemäß US Government Accountability Office).
Was diese Aspekte angeht, kann man das mit dem "Definitive Handbook" gelten lassen. "Definitive Walkdown Inspections Handbook" wäre ein absolut legitimer Titel.

Aber das Buch möchte nun einmal Risikoanalysen in Gänze behandeln, inklusive "Threat Identification and Threat Reduction" - und da wird es dünn. Ein bisschen mehr theoretischer Überbau über das - ohne Zweifel reichhaltige - Erfahrungswissen des Autors hinaus wäre schön gewesen, ebenso wie ein methodischeres, auf dem Stand der Technik zu Risikoanalyse und Risikobehandlung aufbauendes Vorgehen, denn da sind wir doch etwas weiter als Anlagenbegehungen. Zur Netzwerkarchitekturanalyse findet sich eine - durchaus nicht schlechte - Checkliste. Aber es bleibt eben eine Checkliste, die in der Erfahrungswelt des Autors gut funktioniert; kein methodisches Vorgehen.

Der Grund, warum Ernie Haydens Buch hier trotzdem so ausführliche Erwähnung findet, ist ein Kapitel, über das der Klappentext sich zu Unrecht ausschweigt: Das 54 Seiten umfassende erste Kapitel "Just What is Critical Infrastructure?" ist ein unterhaltsamer Ritt durch die Geschichte des Begriffs "kritische Infrastruktur".
Hayden zeichnet nach, wie der Begriff "kritische Infrastruktur" im Laufe der Jahre, immer auch getrieben vom jeweiligen Zeitgeist, geformt wurde - und findet erste Spuren 1983.
Er vergleicht auch Unterschiede in der Begriffsbildung, der Definition zugehöriger Sektoren und der Anforderungen an kritische Infrastrukturen in der Gesetzgebung verschiedener Staaten.
Was dabei interessant ist: Wie die Nachwirkungen von 9/11 vor allem der US-Gesetzgebung für kritische Infrastrukturen immer mehr den Schwerpunkt "Schutz vor terroristischen Angriffen" verpasst haben. Hoch lesenswert!

2. Security- und KRITIS-Politik in der EU vs USA

Da wir gerade beim Thema Unterschiede in der Security-Gesetzgebung zwischen verschiedenen Nationen sind, verweilen wir da noch eine Weile.

Julia Schütze von der "Stiftung Neue Verantwortung" hat in ihrem Paper "EU-US Cybersecurity Policy Coming Together" (Lesestoff-Link 1) detailliert die Herangehensweisen der USA und EU an die Security-Gesetzgebung verglichen. Erfrischend an dem Paper ist das Ziel, Gemeinsamkeiten zu finden und konstruktiv Möglichkeiten zur Zusammenarbeit zu skizzieren.
Das Paper untersucht zuerst Gemeinsamkeiten in strategischen Zielen, und dann Gemeinsamkeiten in der Ziellerreichung mittels "Instrumenten", also Gesetzen und Richtlinien inklusive Umsetzung.

Bevor wir auf die Gemeinsamkeiten schauen, vorweg das vielleicht Offensichtliche: Der größte Unterschied in der Security-Gesetzgebung zwischen USA und EU ist der Grad der offensiven Tätigkeiten - Abhören und Angreifen. Die Autorin beschreibt das anschaulich am Beispiel des Wortes "Abschreckung", das diesseits und jenseits des großen Teichs unterschiedlich ausgelegt wird:

• Die EU möchte Abschreckung durch gute defensive Maßnahmen sowie konsequente Verfolgung von Angreifern erreichen, und darüber hinaus höchstens noch diplomatisch "Cyber-Stability" erreichen.
• Für die USA bedeutet Abschreckung die Klarstellung, dass im Falle eines Cyber-Angriffs alle Gegenwehr-Register gezogen würden, inklusive offensive Gegenmaßnahmen. Das ist die Politik, die Bruce Schneier in seinem Kommentar zu Solarwinds für gescheitert erklärt hat (siehe HardHats-Briefing aus dem Januar.)

Da diese Unterschiede sich nicht "mal eben" beilegen lassen, liegen die im Paper herausgarbeiteten gemeinsamen Ziele und gemeinsamen Handlungsfelder zur Erreichung dieser Ziele eher in den Bereichen Informationsaustausch und Ausbildung, zusammengefasst:

1. Gemeinsame Threat Intelligence: Gemeinsame Alerts, gemeinsames standardisiertes Austauschformat für Bedrohungs- und Schwachstelleninformationen, gemeinsame Einschätzung diese Informationen.
2. Gemeinsame Ausbildungsstandards: Standardisierte und damit "übersetzbare" Anforderungen für Ausbildungen und Schulungen im Bereich Security.
3. Gemeinsame Incident Reponse-Prozesse: Finden von Anknüpfungspunkten in Incident-Response-Prozessen, Einsetzen von gegenseitigen Liaison Officers in beteiligten Institutionen, gemeinsames Üben der Prozesse
4. Vergleichende Studien bei unterschiedlichen Ansätzen: Wirksamkeitsstudien für unterschiedliche Gesetzgebung, zum Beispiel für kritische Infrastrukturen, bei denen das wichtige Instrument in den USA das NIST Cybersecurity Framework ist, in der EU die Network and Information Systems (NIS)-Direktive (die auch Anforderungen an kritische Infrastrukturen beinhaltet, aber erst nach dem deutschen IT-Sicherheitsgesetz 1.0 in Kraft getreten ist).

Interessante, detaillierte Arbeit - nur macht die "Stiftung Neue Verantwortung" natürlich weder EU- noch US-Richtlinien. Aber vielleicht sickern gute Ideen durch zu denen, die sie machen.

A propos: Aus der EU, die uns nun einmal mehr betrifft als die USA, gibt es auch von den Richtlinienmachern noch zwei nennenswerte Veröffentlichungen:

Die ENISA hat einen NIS-Umsetzungsbericht (Lesestoff-Link 2) veröffentlicht, der die Investitionen zur Umsetzung der NIS-Direktive in Unternehmen und Organisationen in Frankreich, Deutschland, Italien, Spanien und Polen untersucht (Lesestoff-Link 2). Gemäß der Studie sind knapp 60 % mit der Umsetzung fertig, und 23 % haben immerhin angefangen. Nur 30 % haben dazu neue Mitarbeiter eingestellt.
Weitere Zahlen nach Ländern, Sektoren, Unternehmensabteilungen und Security-Themen aufgedröselt finden sich bunt und übersichtlich in der frei verfügbaren Studie. Das Dokument ist gar nicht schlecht geeignet, um zu sehen, wo die eigene Organisation im Vergleich steht.

Die EU-Kommission hat außerdem etwas angekündigt, was uns wohl noch eine Weile beschäftigen wird: Eine neue EU-Direktive "on the resilience of critical entities" (Lesestoff-Link 3). Auch eine "NIS2-Direktive" ist unterwegs. Werden die Direktiven auf EU-Ebene Gesetz, müssen sie auch in Deutschland umgesetzt werden; beide Ankündigungen
Ein Entwurf der neuen Resilienz-Direktive ist im Lesestoff-Link 3 aufrufbar. Momentan läuft eine Feedbackrunde dazu; wenn die durch ist, schauen wir uns das Dokument hier mal genauer an.

3. OT Security-Testumgebungen

Wenn Sie damit liebäugeln, eine OT-Testumgebung aufzubauen, hat Ihnen Josue Gonzalez Pariente, Masterstudent aus Madrid, einiges an Recherche abgenommen.
Im Paper "Cloud and hybrid proposals for Industrial Cybersecurity testbed" (Lesestoff-Link) - eine Auskopplung aus seiner Masterarbeit - gibt er einen Überblick über notwendige Komponenten und mögliche Architekturen - und strengt auch Überlegungen zum Thema "Testumgebung in der Cloud" an. Sogar Zeit- und Kostenschätzungen liefert er mit.

Definitiv keine Forschung für die Schublade.

4. Wie Standards unser Denken prägen - am Beispiel Safety

In einem feinen, kurzen Blogpost mit dem Titel "The Genius of ANSI/ISA S84.01-1996 (Link im Lesestoff) macht die ISA deutlich, wie ein kleines Team hinter einem Standard jahrzehntelang Denkweisen in einer ganzen Branche prägen kann.

Der Beitrag macht klar, dass er eigentliche Wert eines Standards oft erst sehr viel später klar wird, wenn plötzlich alle ganz selbstverständlich danach arbeiten.
Iwan van Beurden und William M. Goble erklären das am Beispiel des Standards ANSI/ISA S84.01, der grundlegende Konzepte definierte, die nun aus internationalen Safety-Standards wie IEC 61508 (Safety-Horizontalstandard), IEC 61511 (Safety für die Prozessindustrie) und ISO 26262 (Safety für die Automobilbranche) nicht mehr wegzudenken sind.

Bereits in den 80er Jahren hat das kleine ISA-Kommittee "SP84" wesentliche Pflöcke in den Boden gerammt: Allen voran Safety Integrity Levels (SILs), also das Konzept, das die Risikoreduktion auf der Senkung der Fehlerwahrscheinlichkeit beruht.
Interessante Anekdote: Innerhalb des Kommittees waren diese Entscheidung durchaus umstritten - die alternative waren vorgeschriebene Designprinzipien. Wichtigstes Argument gegen die wahrscheinlichkeitsbasierte Methode: "Wir werden nie eine valide Datenbasis bekommen. Die Unternehmen werden niemals ihre Fehlerstatistiken teilen."

Fühlt sich jemand an unsere Diskussionen über Wahrscheinlichkeiten in Security-Risikoanalysen erinnert?

5. § 8a-Nachweise in der Pandemie

Da das Dokument kurioserweise nicht auf der BSI-Seite zu finden ist, obwohl es den Adler trägt, ist es womöglich dem einen oder der anderen von Ihnen untergegangen: Aber das BSI hat Ende November 2020 ein "Konzeptpapier: Remote-Prüfungen in der Corona-Pandemie" veröffenlticht. Gemeint sind Nachweise gemäß § 8a BSIG - also "KRITIS-Prüfungen".

Da das Papier offenbar durch Kommentare des Branchenarbeitskreis "Medizinische Versorgung" entstanden ist, der seinerseits keinen eigenen Internetauftritt hat, finden Sie es zum Download beim "Bundesverband der Krankenhaus-IT-Leiterinnen/Leiter" (Lesestoff-Link).

Lassen Sie sich nicht verunsichern: Das Dokument gilt ausdrücklich für alle KRITIS-Betreiber, nicht nur für den Sektor Medizin, und beschreibt, wie und unter welchen Umständen Remote-Prüfungen für die Nachweiserbringung in der Corona-Pandemie erlaubt sind.

6. Die OT-Security-Armutsgrenze

Man lernt ja nie aus. Diesen Monat habe ich ein neues Wort gelernt, das ich mit Ihnen teilen möchte: Die OT-Security-Armutsgrenze. Unternehmen unter der Armutsgrenze haben nicht genug Mittel, um grundlegende Security-Bedarfe zu decken.

Dank an Bryan Owen, der mir das Konzept erklärt hat und auf seine Urheberin Wendy Nather verwiesen. Ihre Präsentation von 2013 ist immer noch sehenswert; Sie finden die unterhaltsamen Folien im letzten Lesestoff-Link für heute. Übrigens: Unter der Security-Armutsgrenze lebt auch, wer für Security komplett von Dienstleistern abhängt...

Stay secure!
Sarah Fluchs