02 Special Sichere Digitalisierung für staatliche Infrastrukturen

Verlagsbeilage, April 2024 Special Sichere Digitalisierung für staatliche Infrastrukturen Standortvernetzung in höchster Vertraulichkeitsstufe Sicheres Arbeiten mit sensiblen Daten Wann sind Daten „sauber“ = gefahrlos nutzbar? Seite 2 Seite 5 Seite 6 Mitherausgeber Impressum GmbH Augustinusstraße 11 A, 50226 Frechen (DE) Tel.: +49 2234 98949-30, Fax: +49 2234 98949-32 redaktion@datakontext.com, www.datakontext.com Geschäftsführer: Dr. Karl Ulrich Handelsregister: Amtsgericht Köln, HRB 82299 Anzeigenleitung: Birgit Eckert (verantwortlich für den Anzeigenteil) Tel.: +49 6728 289003, anzeigen@kes.de Satz: BLACK ART Werbestudio Stromberger Straße 43a, 55413 Weiler Druck: QUBUS media GmbH, Beckstraße 10, 30457 Hannover Bild: Suelzengenappel - stock.adobe.com

Verlagsbeilage Verschlüsselung auf mehreren Ebenen Standortvernetzung in höchster Vertraulichkeitsstufe Wenn es um vertrauenswürdige Netzwerkinfrastrukturen für sichere und in höchstem Maße vertrauliche Kommunikation geht, stehen Organisationen mit hohem Schutzbedarf ganz oben auf der Interessentenliste. Organe der öffentlichen Sicherheit, Behörden oder Unternehmen der geheimschutzbetreuten Industrie sind zudem oft gesetzlich zur Einhaltung der Vertraulich- keitsstufen „VS-NfD“ und „EU/NATO Restricted“ verpflichtet. Durch eine Kooperation zweier führender deutscher Technologieschmieden lassen sich jetzt große sicherheitssensible Kommu- nikationsinfrastrukturen deutlich vereinfacht aufbauen und verwalten. Von Stefan Mutschler, freier Journalist Für den Aufbau von sicheren Kommunikationsnetzwerken kön- nen verschiedene VPN-Technologi- en verwendet werden. Layer-2-VPN ermöglicht die sichere Übertragung von Daten zwischen zwei Kommu- nikationspartnern über verschlüs- selte Ethernet-Verbindungen, wobei die Daten in ihrer ursprünglichen Form transportiert werden und eine vollständig transparente Kommuni- kation für höhere Netzwerkschich- ten gewährleistet ist. Layer-3-VPN hingegen ermöglicht die sichere Übertragung von Datenströmen zwischen Endgeräten auf IP-Basis, unabhängig von der verwendeten Übertragungstechnik. Typischerweise verwenden zentrale Standorte wie Hauptbüros oder Rechenzentren Layer-2-Ver- schlüsselungstechnologien, wäh- rend kleinere Standorte, Homeofﬁces oder mobile Nutzer oft Layer-3-Tech- nologien nutzen. In jedem Fall muss gewähr- leistet sein, dass die Vertraulichkeit den gewünschten, beziehungsweise vom Gesetzgeber vorgegebenen Anforderungen genügt. Zu den wichtigsten Geheimhaltungsgraden zählen VS-NfD (Verschlusssachen – nur für den Dienstgebrauch) sowie EU/NATO Restricted. VS-NfD ist eine Sicherheitskennzeichnung in Deutschland und bedeutet, dass die Information als nicht öffentlich eingestuft ist und nur für diejenigen Personen bestimmt ist, die sie für ihre dienstliche Arbeit benötigen. EU/NATO Restricted bezieht sich auf Informationen, die auf euro- päischer oder NATO-Ebene nur einem beschränkten Nutzerkreis zugänglich sein dürfen. Lösungen für die Datenübertragung nach die- sen Geheimhaltungsgraden werden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zuge- lassen. Auf Layer 2 gehört Adva Network Security zu den namhaften Lösungsanbietern für die beschrie- benen Geheimhaltungsgrade, auf Layer 3 ist genua einer der bedeu- tendsten Player. Mit einer neuen Kooperationsvereinbarung schaffen die beiden deutschen Unternehmen nun eine integrierte Lösung für Netzanschlüsse bei Behörden und kritischen Infrastrukturen. Wich- tigster Punkt dabei: Layer-2- und Layer-3-Verschlüsselung kommen vereint und mit einem zentralen Management. Zentrales Management Im Rahmen der Kooperation will genua zunächst das Netzzu- gangsgerät FSP 150-XG118Pro von Adva Network Security in sein Port- folio aufnehmen, das bis zu 40 Gbit/s verschlüsselten Datendurchsatz in Echtzeit ermöglicht. Mit seinen Metro-Ethernet-Funktionen und der vom BSI zugelassenen L2-Verschlüs- selung ergänzt dieses System die be- währte Layer-3-Lösung genuscreen von genua zur sicheren Kommuni- kation via VPN. Über die derzeitige Reseller-Vereinbarung hinaus wollen genua und Adva Network Security gemeinsam an der Weiterentwick- lung dieser kombinierten Lösung arbeiten. Im Vordergrund steht dabei zunächst eine integrierte Konﬁgura- tion und Verwaltung der kombinier- ten Layer-2/Layer-3-Verschlüsselung über das Managementsystem genu- center. Diese soll noch 2024 reali- siert werden. Die Integration beider Technologien in ein einheitliches Managementsystem bedeutet für den Anwender eine deutlich einfa- chere und damit kostengünstigere 2 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Sichere Digitalisierung für staatliche Infrastrukturen, April 2024

Standortvernetzung in besonders kritischen Umgebungen. Die Central Management Station genucenter von genua sorgt bereits in genua-Umgebungen für sinkenden Administrationsaufwand bei steigendem Sicherheitsniveau. Ein wichtiges Merkmal von ge- nucenter ist das hierarchische Rechtemanagement. Auch extrem komplexe Netzwerke lassen sich damit übersichtlich und präzise ab- bilden. Von der Firmenzentrale bis hinunter zu einzelnen Abteilungen an verschiedenen Standorten kann die Netzwerkstruktur nach dem Organigramm des Unternehmens dargestellt werden. Neben individuellen Benut- zerrechten können ebenso unterneh- mensweite Regeln für VPN-Zugriff und Anwendungen konfiguriert werden. Die Integration der Zugangs- genucenter erlaubt das zentrale Ma- nagement von Layer-2- und Layer-3-Ver- schlüsselung in einer integ- rierten Lösung. (Foto: genua GmbH) technik von Adva Network Security in genucenter erfolgt schrittweise über das Network Conﬁguration Pro- tocol (NETCONF). genucenter bietet neben Dashboards auch Vorlagen für die Konﬁguration, was eine ﬂexi- ble und skalierbare Verwaltung der geschützten Ethernet-Verbindungen ermöglicht. Organisationen mit hohem Schutzbedarf haben durch die Ko- operation von Adva und genua nun sehr efﬁziente Möglichkeiten, ihre Standortkommunikation sicher auf- zusetzen. n Verantwortliche für IT-Sicherheit direkt erreichen ▪ Newsletter ▪ Content- Marketing ▪ Webinare & Webkonferenzen Schreiben Sie uns: wolfgang.scharf@datakontext.com www.kes-informationssicherheit.de www.itsicherheit-online.com © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Sichere Digitalisierung für staatliche Infrastrukturen, April 2024 3 . m o c . e b o d a k c o t s - f f o k n e d o r o G ©

Der Security Incident Manager – Ihr Schlüssel zur erfolgreichen Vorfallsbewältigung Firmen müssen sich schützen und von Angriffen erholen können Drei Vorteile für Unternehmen Verbesserte Cyberresilienz Der Manager hilft, Cyberangrif- fe effizient zu bewältigen und steigert die Widerstandsfähig- keit gegenüber solchen Bedro- hungen. Schutz von Geheimnissen und Kundendaten Ein etablierter Security Incident Response Prozess erhöht die Schadensbegrenzung. Einhaltung von Compliance- Anforderungen Unternehmen erfüllen leichter die Anforderungen relevanter Sicherheitsstandards und -normen, wie z. B. ISO 27001, ISO 27035 und ISO 22301 Ein Schutzschild für Ihr Business! Verhindern Sie Cyberangriffe, bevor sie passieren! Erfahren Sie in unserem Semi- nar, wie Sie als Security Incident Manager (TÜV®) optimal auf Cyberattacken reagieren -> Ursachen identifizieren -> Maßnahmen festlegen. Security Incident Manager (TÜV®) ISO 27035, ISO 27001 und ISO 22301 – Information Security Incident Management und der Security-Incident-Response- Prozess Alle Details zur TÜV NORD Akademie Security Incident Manager (TÜV®) Schulung Cybersicherheit wird immer wichti- ger. Cyberangriffe werden komple- xer und können großen Schaden anrichten. Sie bedrohen Unterneh- men jeder Größe und Branche. Hier kommt der Security Incident Mana- ger ins Spiel, ein wichtiger Akteur in der IT-Sicherheit eines jeden Unternehmens. Ein Security Incident Manager sorgt dafür, dass bei Sicherheits- vorfällen kein Chaos entsteht. Er reagiert schnell, wenn etwas pas- siert, um den Schaden klein zu halten. Seine Aufgabe ist es, einen starken und wirksamen Plan für den Umgang mit Sicherheitsvorfäl- len zu entwickeln und umzusetzen. Dieser Plan hilft Unternehmen, auf Cyberangriffe zu reagieren und Ri- siken zu verringern. 2. Identifizierung Er benutzt Tools und Techniken, um mögliche Sicherheitsvorfälle zu erkennen. 3. Reaktion Wenn ein Vorfall erkannt wird, ergreift der Manager sofort Maß- nahmen, um die Lage in den Griff zu kriegen. 4. Wiederherstellung Nach dem Vorfall sorgt der Ma- nager für die Wiederherstellung betroffener Systeme sowie eine Normalisierung des Betriebs. 5. Nachbetrachtung und Verbesserung Der Manager analysiert jeden Vorfall und verbessert den Plan für die Zukunft. Die fünf wichtigsten Aufgaben eines Security Incident Managers 1. Vorbereitung Der Manager erstellt einen Plan, wie auf Sicherheitsvorfälle re- agiert wird. Der Plan deckt Identi- fizierung, Reaktion und Wieder- herstellung ab. Die richtige Perspektive: Schutz statt Unüberwindbarkeit Es ist unmöglich, unüberwindbare Mauern gegen Cyberangriffe zu errichten. Stattdessen sollten Un- ternehmen eine ausreichend hohe Hürde aufbauen, um auf Angriffe adäquat und schnell reagieren zu können.

Verlagsbeilage R&S Mobile Connectivity: Sicheres Arbeiten mit sensiblen Daten Die „R&S Mobile Connectivity“-Lösung basierend auf Indigo verbindet komfortables und sicheres Arbeiten mit sensiblen Daten auf Smartphones und Tablets nach dem VS-NfD- Standard. Rohde & Schwarz Cybersecurity R&S Mobile Connectivity von Rohde und Schwarz Cyber- security bietet erhebliche Vorteile für Behörden, die eine sichere mobile Kommunikation mit mobilen Endge- räten zur Erledigung ihrer täglichen Aufgaben bevorzugen und dabei höchsten Sicherheitsanforderungen genügen – ohne auf Bequemlichkeit verzichten zu müssen. Die Lösung ermöglicht auf nur einem Gerät zwei Umgebungen: eine für die private und eine für die beruﬂiche Nutzung. Die Eigenschaften der R&S Mobile Connectivity-Lösung im Überblick: ––——— Die Nutzung eines mobilen Geräts für die private und gesicherte beruﬂiche Nutzung: Zwei Aufgaben können mit nur einem mobilen Ge- rät abgedeckt werden – die private und geschützte Nutzung; und das ohne die VS-NfD-Richtlinien zu ver- letzen. Zur Verwendung von E-Mail, Kalender und Kontakten können die bekannten Standardanwendungen von Apple im hochsicheren Be- reich genutzt werden – die Lösung erfordert keine Containerlösung. Optional können Messenger sowie Browser für Intranet und Internet vorinstalliert werden. ––——— „R&S Mobile Connectivity“- Lösung inklusive BSI-Zulassung: Die Sichere Nutzung von Apple Standard- Anwendungen gem. VS-NfD-Richtlinien. Keine Containerlösung erforderlich. Apple Indigo-Lösung hat vom BSI eine Freigabeempfehlung zur Verar- beitung von VS-NfD-Daten erhalten. Somit ist sie als sichere Lösung be- stätigt, es werden keine zusätzlichen Smartcards oder SD-Karten als Si- cherheitsanker benötigt; das in den Geräten enthaltene Secure-Element ist ausreichend. ––——— Eine Lösung – von der Pla- nung bis zum Betrieb: Die „R&S Mo- bile Connectivity“-Lösung schließt die Komponenten komplettes VPN- Backend, Mobile Device Manage- ment (MDM) und automatisiertes Zertiﬁkatsmanagement mit ein. Vom BSI getestete Sicherheitsmerkmale – VS-NfD-geeignet Das BSI hat die allgemeinen Sicherheitsmerkmale und die Mög- lichkeiten zur sicheren Nutzung der Geräte für die Betriebssysteme iOS und iPadOS untersucht. Die Tests haben die Wirksamkeit der eingebet- teten Sicherheitsmerkmale bestätigt – integrierte Apps für Kalender, Kon- takte und Mail ermöglichen auch die Verarbeitung von Informationen in der Klassiﬁzierungsstufe „VS-NfD“. Dabei wird das von Apple entwi- ckelte Indigo (iOS Native Devices in Government Operation) verwendet. Informieren Sie sich jetzt Die Sicherheitsspezialis- ten R&S Cybersecurity, agilimo Consulting und Materna Virtual Solution stehen als kompetentes Realisierungsteam für den Schutz Ihrer sensiblen Daten – IT Security Made in Germany – zur Verfügung. Die agilimo Consulting GmbH unterstützt Unternehmen bei Lösungen für Mobile Device Management (MDM) und Cyber- security sowie bei der Entwicklung und Implementierung hochsicherer IT-Strategien und -Prozesse. Materna Virtual Solution ist ein Software- hersteller mit Mobile-Security- Expertise, der auf Produkte und Beratungsleistungen im Bereich des sicheren ultramobilen Arbeitens spezialisiert ist. n Mehr Informationen dazu ﬁnden Sie unter: https://www.rohdeschwarz. com/de/loesungen/cybersicherheit/ mobile-connectivity/mobileconnectivity _257125.html © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Sichere Digitalisierung für staatliche Infrastrukturen, April 2024 5

Verlagsbeilage Wann sind Daten „sauber“ = gefahrlos nutzbar? Daten unterschiedlicher Vertrauenswürdigkeit laufen täg- lich in großen Mengen über verschiedene Kanäle in jede Organisation. Downloads der Anwender aus dem Internet, E-Mail-Anhänge zum Beispiel in der Personalabteilung von Unbekannten Bewerbern, Schadensberichte mit Fotos oder Videos – über anonyme Whistleblowerkanäle, eigene Fach- verfahren, Upload Portale, Unterlagen von Partnern oder Kunden, mobile Datenträger et cetera – auch wenn man die Inhalte gerne ansehen möchte oder sogar verpflichtet ist, sie zu verarbeiten, können Angriffsvektoren in den Daten versteckt sein. Nahezu alle Datenformate können ausge- feilte Angriffe enthalten – auch jedes Bild zum Beispiel als Logo eingebettet in Office-Dokumente übermittelt in einem verschlüsselten Archiv! Keine Daten annehmen, ist keine Option. Es gilt alle zulaufenden Daten geeignet, also „sauber“, in die Nutzung zu bringen! Von Ramon Mörl, itWatch GmbH Eine vollständige Datenwä- sche benötigt alle Nutzdaten im Klar- text. Bestimmte Datentypen können kundenseitig verboten sein – zum Beispiel nicht signierte Executables oder Makros – und werden deshalb abgewiesen. Um die verbleibenden Daten in den Klartext zu überfüh- Nicht alles passt in jede Wasch- anlage – kenne die Bedürfnisse deines Objekts! (Bild: itWatch) ren, sind Vorabanalysen notwendig, sodass sie dem jeweils richtigen Waschprogramm zugeführt werden können. Verschlüsselte Daten wer- den erkannt und entweder abgelehnt oder in einem separierten Kontext dem Anwender zur Entschlüsselung vorgelegt, um sie danach wieder in die Vorwäsche unter erweiterten Vertraulichkeitsauﬂagen einzuspei- sen. Archive oder mit eingebauten Mitteln verschlüsselte Objekte wer- den natürlich auch in den Klartext überführt, entpackt und entschlüs- selt. Alle Details der Vorwäsche und weiteren Waschvorgänge werden in den Metadaten des Objektes in den weiteren Prozess eingespeist. Was leisten Antiviren- Systeme bei der Daten- wäsche Antiviren-Systeme sind geeignet, schon bekannte An- griffsvektoren in Dokumenten zu identiﬁzieren. Die inﬁzierten Datei- en werden aber nicht verändert, also gereinigt in die Nutzung gegeben, sondern abgewiesen. Auch werden keine neuen, noch unbekannte Angriffsmuster erkannt. Sogenannte Zero Day Exploits sehen aber wie jeder andere ausführbare Code aus. Wird also jeglicher Code herausge- waschen, so ist sicher auch kein Zero Day Angriff mehr enthalten. Da sich fast alle Anti Viren- software Hersteller gegenseitig Zugang zu ihren erkannten Viren- pattern gewähren, kann man nach der Anwendung von meist drei aus- gewählten Antiviren-Systemen keine Steigerung in der Erkennung erwar- ten. Eine signiﬁkante Steigerung der Erkennung bringt es aber, die Daten- objekte vollständig rekursiv in ihre einzelnen Bestandteile zu zerlegen. Jedes einzelne Element wird separiert und wieder der Vorwäsche zugeführt. So werden auch verschlüsselte Ele- mente in eingebetteten Objekten erkannt und deren Verwendung wie- der in der Vorwäsche entschieden. Für die Gesamtsicherheit der Daten- 6 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Sichere Digitalisierung für staatliche Infrastrukturen, April 2024

wäsche ist also nicht die Anzahl der eingesetzten Antiviren-Programme entscheidend, sondern die Arbeits- vorbereitung und wie infizierte Objekte weiterverarbeitet werden, sodass sie jeder nutzen kann. Welches Waschmittel für welches Objekt Digitale Wäsche besteht aus Zerlegen, Inspizieren, Durchleuch- ten, Entfernen von Unerwünsch- tem und dann wieder nutzbar Zusammensetzen. Ein Teil dieser Verfahren wurde bekannt unter dem Begriff Content Disarm and Recover (CDR). Sinnbehaftete Datenwäsche enthält aber noch mehr Funkti- onalität. Natürlich können alle Ofﬁce-Dokumente in „pdf/A Typ 1b“-Dokumente konvertiert werden. Videos, Tonaufzeichnungen, CAD und viele andere Datentypen passen gar nicht in dieses Format. Sinnvoll sind hybride Verfahren, die es zum einen erlauben, entlang der Herkunft und weiterer Metadaten der Objekte die richtige Behandlung – also das Waschmittel – zu bestimmen und gleichzeitig die Fähigkeit besitzen, eine Standardisierung durchzusetzen und beliebige Sonderformate wie zum Beispiel medizinische Bildinfor- mation kontextabhängig zu behan- deln. So ist in vielen Unternehmen die Nutzung von Video und Voice auf mp4 beziehungsweise mp3 Formate standardisiert. Zero Trust ruft nach Datenwäsche! Daten von unbekannten, weniger vertrauenswürdigen oder unsichereren Quellen vertraut man in einer sicheren Arbeitsumgebung nicht. Im Zuge eines Zero-Trust-An- satzes schützt man sich vor unsiche- ren E-Mail-Anhängen, Downloads, Daten von mobilen Datenträgern, dem verpﬂichtenden anonymen In- formationskanal für Whistleblower et cetera. Bei Ende zu Ende verschlüs- selter Kommunikation braucht man eine Vorwäsche. Workﬂow und auto- matisierte Auslieferung Das Sammeln der Metadaten über den gesamten Waschprozess wurde bereits angesprochen. Durch das Einhängen von Plug-in-Produk- ten wie zum Beispiel KI-Verfahren zur Bild- und Deepfake-Erkennung sowie Sprach- und Videoanalyse werden die Metadaten weiter ange- reichert. Mit diesen Metadaten wird der gesamte Workﬂow in der Daten- waschmaschine und die Ausliefe- rung der gewaschenen Daten sowie die verschlüsselte Archivierung der identiﬁzierten Schlechtdaten algo- rithmisch organisiert. Die Zugriffs- rechte auf die gewaschenen Daten, die benötigte Verschlüsselung, die Zustellungsart und die Prioritäten sind durch die Metadaten algorith- misch deﬁniert. Netztrennung Die Quelle nicht vertrauens- würdiger Daten verbindet man bei höheren Schutzzielen nicht mit der sicheren Umgebung über Ethernet. Angriffe, die nicht dateibasiert sind, könnten so das Schleusensystem „tunneln“. Deshalb sollte eine Waschmaschine auch die Möglich- keit der vollständigen Netztrennung haben. Fazit CDR-Technologie braucht eine Einbettung in funktionale Mehrwerte, um sinnvoll in die Firmenprozesse zu integrieren. Schleusentechnologie, die mit ech- ter Netztrennung zwischen einer schmutzigen und einer sauberen Seite agiert, ist genauso wichtig wie das automatisierte Herauslösen von Metadaten, über die dann im Workﬂow die Zustellung und Sicher- heitseinstellungen voll automatisiert stattﬁnden. Noch wichtiger ist aber die Analyse der Daten, um eine rekur- sive Extraktion aller eingebetteten Inhalte mit einer Erkennung der ver- schlüsselten Inhalte zu verbinden, Suchen Sie nicht länger nach sauberen Daten! (Bild: Pixabay Gratis) die mit einer Sicherheitstechnologie auf den Endpoints und einer zentra- len Wäsche kombinierbar ist, sodass Klartext-E-Mail-Anhänge zentral gewaschen werden, aber verschlüs- selte Anhänge sicher erkannt, nach der Entschlüsselung und vor der Nutzung gewaschen werden. Mit der Datenwäsche itWash erreichen Sie diese Ziele. n In Kürze öffnet unser Waschsalon Sie wollen test- weise waschen? Datenwaesche@itWatch.de Die ersten 100 Registrierten nehmen an der Verlosung verschiedener Präsente teil © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Sichere Digitalisierung für staatliche Infrastrukturen, April 2024 7

Datenschleuse Workflow Datenwäsche Netztrennung itWash Details zur Datenwäsche: www.itWash.de Mehrwerte am Arbeitspatz: www.itWESS.de Interesse? Ihr Kontakt: info@itWatch.de +49 (0)89 62 03 01 00 www.itWatch.de Ihre Sicherheit. Unsere Mission.

+ SPECIAL Die perfekte Kombination für CISO & Co ✓ Verlagsbeilage mit wechselnden Mitherausgebern ✓ auf ein Thema fokussierte Beiträge der Mitherausgeber ✓ Printausgabe liegt <kes> bei ✓ digitales eMagazine kostenfrei verfügbar weitere Specials hier kostenfrei downloaden: kes.info/archiv/specials/ ✓ führende Fachzeitschrift in der IT-Sicherheit ✓ hohes technisches Niveau und redaktionell unabhängig ✓ offizielles Organ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ✓ nur im Abonnement erhältlich unter: datakontext.com/kes <kes> genauer kennenlernen? Einfach kostenfreies Probeheft anfordern unter: kes.info/service/probeheft/ LESEPROBE <kes> AUF DEN FOLGESEITEN weitere Leseproben unter: kes.info/archiv/leseproben/

Management und Wissen Incident-Response Reaktions-Training Üben von Incident-Response für IT-Sicherheitsvorfälle Egal ob man bislang noch weitgehend ungeschoren davongekommen ist oder der alltäg- liche Wahnsinn weniger häufig benötigte Werkzeuge, Prozesse und Fertigkeiten ins Abseits drängt: Nur Übung macht den Meister und ist als Vorbereitung für eine angemessene und schnelle Reaktion auf IT-Sicherheitsvorfälle unabdingbar. Unser Autor liefert dazu einen Überblick über verschiedene Optionen und die damit verbundenen Aufwände sowie die erreichbaren Übungsziele. Von Michael Brügge, Heilbronn Seit Langem gilt bei IT-Sicherheitsvorfällen: „Die Frage ist nicht, ob es einen trifft, sondern wann es einen trifft.“ Es ist davon auszugehen, dass jedes Unternehmen früher oder später von einem IT-Sicherheitsvorfall be- troffen sein wird. Daher ist es einerseits notwendig, über die entsprechenden Fähigkeiten zu verfügen, um diese Angriffe frühzeitig erkennen zu können – ebenso wich- tig ist nach einer erfolgreichen Erkennung jedoch auch die Reaktion darauf. Denn das bloße Wissen um einen IT-Sicherheitsvorfall allein führt ja noch nicht zu dessen Eindämmung und Beseitigung, wozu es der passenden Reaktionsfähigkeiten bedarf. Wie so oft geht es auch hier allerdings nicht nur um die Verfügbarkeit entsprechender technischer Werkzeuge, sondern gleichzeitig um die notwendigen or- ganisatorischen Prozesse und schlussendlich den kühlen Kopf zu deren Umsetzung. In der Praxis stellen sowohl der Umgang mit Werkzeugen als auch organisatorische Abläufe oft eine ernst zu nehmende Herausforderung dar – besonders wenn sie nicht regelmäßig geschult und vor allem auch geübt werden. Daher ist es empfehlenswert, sich frühzeitig und regelmäßig in Übungssituationen auf den Ernstfall vorzubereiten. Unterschiedliche Varianten Für derartige Übungssituationen gibt es im Wesentlichen drei verschiedene Ansätze: Table-Top- Übungen, War-Gaming oder ein vollumfängliches Red- Team-Assessment. Bei Table-Top-Übungen liegt der Fokus primär auf den Incident-Response-Prozessen sowie der internen und externen Kommunikation – War-Gaming- Übungen zielen hingegen vorrangig auf die korrekte Nutzung der vorhandenen technischen Werkzeuge zur Erkennung und Reaktion ab. Bei einem Red-Team-Assessment (vgl. [1]) ist das Üben des richtigen Umgangs mit IT-Sicherheitsvorfällen ein wesentlicher Bestandteil, jedoch geht es in einem derartigen Projekt vor allem auch um die Identiﬁkation von Schwachstellen bei einem bewusst offenen Scope. Dieser offene Rahmen erschwert die Deﬁnition konkreter Übungsinhalte, da sich im Vorfeld eines Projekts nicht vollständig abschätzen lässt, welche Angriffsvektoren genutzt werden und letztlich zu einem Erfolg führen könnten. Daher ist ein Red-Team-Assessment zwar eine sehr gute Gelegenheit, die korrekte Reaktion auf realitäts- nahe Angriffe zu üben, allerdings aufgrund des hohen Auf- wands sowie des offenen Rahmens nicht für regelmäßige und gezielte Übungen geeignet. Aus diesem Grund geht es nachfolgend nur noch um die verschiedenen Table-Top- und War-Gaming-Varianten. Auswahl der passenden Übungs-Form Die Auswahl der zweckmäßigen Variante beim Üben ist maßgeblich von den gewünschten Zielen ab- hängig – daher ist zunächst festzulegen, was man mit der Übung konkret erreichen will (vgl. Tab. 1). Eine wesent- liche Fragestellung ist der Fokus der Übung: Stehen primär die Prozesse im Mittelpunkt oder soll der technische Um- gang mit Erkennungs- und Reaktionswerkzeugen geübt werden? Die Antwort auf diese Frage liefert bereits einen entscheidenden Hinweis zur Auswahl der geeigneten Übungsvariante. Table-Top-Übungen Die Durchführung von Table-Top-Übungen ﬁn- det, wie der Name bereits andeutet, an einem Tisch statt. Ein unbeteiligter Leiter* führt durch die Übung während in aller Regel eine weitere unbeteiligte Person den Verlauf © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2024#2 11

Management und Wissen Incident-Response protokolliert. Derartige Übungen beruhen auf einem angenommenen Szenario, dass den Rahmen der Übung vorgibt und anschließend in Form von Diskussionen bearbeitet wird. Da es sich um ﬁktives Szenario handelt, also kei- ne IT-Systeme tatsächlich betroffen sind, existieren auch keine Artefakte beziehungsweise sogenannte Indicators of Compromise (IoCs), die von technischen Erkennungs- lösungen erkannt und gemeldet werden können. Das bedeutet, dass Table-Top-Übungen bewusst ohne Inter- aktion mit technischen Werkzeugen zur Erkennung- und Reaktion ablaufen. Vielmehr beschreiben Teilnehmer im Rahmen der Übung, welche Maßnahmen sie aus welchem Grund treffen und beeinﬂussen damit den Verlauf der Übung. Diese Rahmenbedingungen verdeutlichen bereits, dass eine Table-Top-Übung weniger auf technische Details einer Vorfallsbehandlung abzielt, sondern primär den Fokus auf Prozesse, Kommunikation und Interaktion mit anderen Parteien legt. Fokus auf Security-Incident- Response-Prozesse Hinsichtlich vorhandener Incident-Response- Prozessen bietet eine derartige Übung eine sehr gute Ge- legenheit, den Teilnehmern aufzuzeigen, welche Prozesse und Richtlinien in diesem Zusammenhang existieren und welche Prozessschritte zu durchlaufen sind. In der Praxis zeigt sich, dass häuﬁg vielen Beteiligten die Prozesse nur teilweise oder sogar gar nicht bekannt sind. Aber auch Deﬁzite in deﬁnierten Prozessen lassen sich so aufdecken, denn oft werden die Prozesse nicht umfassend befolgt oder sind für das gewählte Szenario nicht vollständig anwendbar. Aus diesem Grund bietet eine Table-Top-Übung eine gute Gelegenheit, bestehende Prozesse zu schulen, zu üben und Mängel zu erkennen. Ein weiterer wesentlicher Aspekt einer Table-Top- Übung ist es, dass jeder Teilnehmer die Rolle übernimmt, die er auch bei einem realen Angriff hätte – und so in einer Übungssituation lernt, welche Tätigkeiten in seinen Zuständigkeitsbereich fallen. Die Teilnehmer üben dabei nicht nur ihre eigenen Aufgaben, sondern für sie werden gleichzeitig auch die Rollen der anderen involvierten Personen sichtbar. Dies ermöglicht im Ernstfall eine be- wusstere Aufgabenverteilung und Abgrenzung, sodass sich IT-Sicherheitsvorfälle efﬁzienter bearbeiten lassen. Kommunikations-Training Ein ebenso wichtiger Teil der eigenen Rolle ist das Erlernen der richtigen Verständigung während eines IT-Sicherheitsvorfalls: Bei der Vorfallsbearbeitung ist eine klare Kommunikation mit anderen Teammitgliedern, Verantwortlichen sowie internen und externen Parteien unerlässlich. In der Praxis zeigt sich, dass bei Teilnehmern oft eine gewisse Zurückhaltung dahingehend herrscht, bestimmte Personen oder Parteien zu informieren oder sogar aktiv zu involvieren. Diese Scheu ist in einer Übungssituation häuﬁg weniger stark ausgeprägt. Daher berichten Teilnehmer nach Übungen oft, dass sie sich nun selbstbewusster fühlen und es ihnen beispielsweise leichter fällt, das Top-Level-Management aktiv über einen IT-Sicherheitsvorfall zu informieren. Neben den menschlichen Faktoren der Kommu- nikation lassen sich auch organisatorische und technische Aspekte gut überprüfen. Dies können beispielsweise Fragestellungen sein wie „Ist tatsächlich jemand unter der Bereitschaftsnummer zu erreichen?“ oder „Ist die hinterlegte Telefonnummer für eine bestimmte Person/ Rolle korrekt?“ Dies weicht zwar aufgrund der tatsäch- lichen Durchführung von Aktionen von dem klassischen Verständnis einer Table-Top-Übung ab, lässt sich aber bei entsprechender Planung im Vorfeld gut abbilden. Die zuvor genannten Übungsaspekte stellen die typischen Fokuspunkte dar. Je nach konkretem Bedarf kann man aber auch weitere Aspekte in eine Übung mit aufnehmen. Dazu zählt zum Beispiel das Protokollieren eines IT-Sicherheitsvorfalls. Auch problematische Rah- menbedingungen, wie beispielsweise Deﬁzite bei der technischen Ausstattung des Krisenraums, lassen sich während solcher Übungen gut identiﬁzieren. Tabelle 1: Vergleich verschiedener Übungsvarianten zur Incident- Response Form Table-Top-Übung, generisch Table-Top-Übung, individuell War-Gaming Red-Team- Assessment Aufwand gering mittel hoch sehr hoch Fokus Regelmäßigkeit Bezug des Szenarios Prozesse und Kommunikation gut geeignet gering Prozesse und Kommunikation gut geeignet mittel bis hoch technische Erkennungs- und Reaktionsfähigkeiten Prozesse, Kommunikation und technische Erkennungs- und Reaktionsfähigkeiten gut geeignet hoch ungeeignet sehr hoch 12 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2024#2

Übungsablauf: generisch oder individualisiert? Im Wesentlichen gibt es zwei grundsätzliche An- sätze für Table-Top-Übungen: generisch oder individuell auf das Unternehmen abgestimmt. Bei einer generischen Table-Top-Übung kom- men vordeﬁnierte und allgemein gehaltene Szenarien zum Einsatz. Dies hat auf der einen Seite den Vorteil, dass nur ein sehr geringer Vorbereitungsaufwand nötig ist – auf der anderen Seite sind die allgemeinen Szenarien mög- licherweise nicht zu 100 % passend. Geht beispielsweise das Szenario davon aus, dass die initiale Infektion eines Clients über ein Makro in einem Excel-Anhang erfolgt, entsprechende Anhänge in der Umgebung jedoch gar nicht zugestellt werden, basiert das gesamte anschlie- ßende Szenario auf einer unrealistischen Annahme. Das kann in der Praxis schnell zu einer Art Abwehrhaltung der Teilnehmer führen. Darüber hinaus können generische Table-Top- Übungen weniger mitreißend sein, da die Gefahr besteht, dass die Teilnehmer sich in allgemeinen Szenarien weniger wiedererkennen. Da bei Table-Top-Übungen keine tat- sächliche Kompromittierung vorliegt und sich die gesamte Übung lediglich als „Gedankenspiel“ beziehungsweise Diskussion abspielt, ist es jedoch besonders wichtig, dass die Teilnehmer einen Bezug zu dem jeweiligen Szenario aufbauen können. Im Gegensatz zu einer generischen Übung exis- tiert mit der individuellen Table-Top-Variante die Möglichkeit, den genannten Deﬁziten einer allgemeinen Übung bewusst entgegenzuwirken. Das erfordert zwar einen höheren Vorbereitungsaufwand, ermöglicht es jedoch, ein exakt auf die Lernziele und Kundenumge- bung abgestimmtes Szenario zu gestalten. Dies führt der Erfahrung nach zu einer deutlich höheren Akzeptanz bei den Teilnehmern, da sie sich in dem Szenario und der Umgebung wiedererkennen – dass das gewählte Szenario tatsächlich eine realistische Eintrittswahrscheinlichkeit und somit auch Relevanz für das Unternehmen hat, ist dabei offensichtlich. Allem voran sind es aber Details bei der Ausgestal- tung des Szenarios, die schlussendlich dazu führen, dass es von den Teilnehmern als realistisch und mitreißend beschrieben wird. Dazu zählen beispielsweise passende Computer- oder Servernamen, die Wahl existierender Webseiten als Einfallstor und damit verbunden auch die tatsächliche Involvierung der entsprechenden Applikati- bcmacademy.de 8. BCM Summit HAMBURG 01. und 02. Oktober 2024 Gastwerk Hotel Hamburg Das Original Jetzt Kurs nehmen auf den 8. BCM Summit. Zum mittlerweile 8. Mal setzen wir wieder alles in Bewegung, damit auch dieser BCM Summit das Highlight des Jahres wird. Natürlich war dies nur möglich durch Ihre hohe Akzeptanz, Unterstützung und das zahlreiche Erscheinen Jahr für Jahr. Danke! So viel Zuspruch motiviert: Freuen Sie sich auf jede Menge brandaktuelle Themen von absoluten Top-Referent:innen, die wir nach Hamburg lotsen. Das Ganze natürlich wie immer absolut sturmsicher vorgetragen in spannenden Workshops, Acts und Vorträgen. Mit dem Insiderwissen unserer Referent:innen bleiben Sie immer auf Kurs: Ob Breaking News, starke Inhalte oder wertvolle Erstinformationen – nutzen Sie den Summit für Ihre berufliche Zukunft! Worauf warten Sie? Let‘s summit! Jetzt aber fix anmelden ... Viel frischer Wind also aus allen Richtungen des BCM, ITSCM, Krisenmanagement und Resiliencemanagement. bcmacademy.de summit@bcmacademy.de Hotline: +49(0)40 284 842 860 8.BCM SUMMIT DIE CONVENTION DER BCM ACADEMY HAMBURG

Management und Wissen Incident-Response onsverantwortlichen. Dadurch nimmt jeder Teilnehmer seine eigene Rolle entsprechend seiner konkreten Verant- wortlichkeiten wahr und übt sie. Damit das funktioniert, sollte man eine individuelle Übung immer auch an die bestehenden Prozesse anpassen: So können ausgewählte Prozessschritte konkret geschult oder gezielt die Interakti- on zwischen zwei Parteien herbeigeführt werden. War-Gaming-Übung Wie bereits erläutert, stehen bei Table-Top- Übungen primär organisatorische Aspekte und Prozesse im Fokus und bilden die Basis für eine strukturierte Vor- fallsbearbeitung. Demgegenüber kommt jedoch kaum ein IT-Sicherheitsvorfall ohne technische Erkennungs- und Reaktionsfähigkeiten aus. Typische Ziele einer War- Gaming-Übung sind daher der Test konkreter Erken- nungsfähigkeiten und das Üben gezielter Reaktionen auf IT-Sicherheitsvorfälle – hier steht also die tatsächliche technische Eindämmung im Vordergrund. Technische Aspekte im Fokus Angriffe werden beim War-Gaming nicht nur diskutiert, sondern tatsächlich in der eigenen Umge- bung ausgeführt. Entsprechende Events und Alarme der durchgeführten Angriffe sollen dabei in den vorhandenen Erkennungslösungen sichtbar sein. Das ermöglicht auf der einen Seite das Aufdecken von Deﬁziten in den tech- nischen Erkennungsfähigkeiten und auf der anderen Seite das Einüben der angemessenen Reaktion auf den Ernstfall in der realen Umgebung. Obwohl entsprechende Angriffe in der eigenen Umgebung durchgeführt werden, sind War-Gaming- Übungen explizit nicht als Sicherheitsüberprüfung oder Penetrationstest zu verstehen, denn im Gegensatz zu diesen steht hier nicht die Suche nach Schwachstellen im Fokus: Vielmehr folgen die Angriffe einem zuvor festge- legten Drehbuch, das ein bestimmtes Szenario abbildet und konkrete Angriffsketten vorsieht. Diese werden dabei gegebenenfalls erst durch gezielte Vorbereitungen ermög- licht, beispielsweise durch den bewussten Einbau einer Schwachstelle zur lokalen Rechteerweiterung auf einem konkret ausgewählten Server. Der klar vorgegebene Rah- men der Angriffsdurchführung führt dabei dazu, dass sich typischerweise keine unerwarteten Beeinträchtigungen für betroffene Systeme ergeben, da sämtliche Angriffe, be- Literatur [1] Michael Brügge, Der ultimative Pentest, Red-Team- Assessments – „echte“ Angriffe für mehr Sicherheit, <kes> 2019#2, S. 13 troffene Systeme und Nutzer sowie Auswirkungen bereits im Vorfeld feststehen. Analysten haben in einem solchen Übungsszena- rio die Möglichkeit, in ihrer bekannten Umgebung mit ihren vertrauten Werkzeugen in einer sicheren Übungs- situation auf einen simulierten IT-Sicherheitsvorfall zu reagieren. Dabei übt man den korrekten Umgang mit den Werkzeugen und kann mögliche Einschränkungen identiﬁzieren, die dabei zutage treten. Der Vorteil einer derartigen War-Gaming-Übung ist, dass sich ganz gezielt bestimmte Erkennungs- und/ oder Reaktionsfähigkeiten testen und üben lassen. Beispiele hierfür sind etwa die Einführung einer neu- en Endpoint-Detection-and-Response-(EDR)-Lösung oder die Implementierung eines neuen Use-Cases zur Angriffserkennung. Da es sich hierbei um einen indivi- duellen Ansatz handelt, erfordert dieser allerdings – wie auch individuelle Table-Top-Übungen – einen gewissen Vorbereitungsaufwand. Die Lehren einer Übung Unabhängig davon, welche Übungsvariante ange- wendet wird, ergeben sich bei der Durchführung wertvolle Erkenntnisse auf unterschiedlichen Ebenen – sowohl bei den Teilnehmern, aber auch bei unbeteiligten Beobach- tern und dem Übungsleiter. Um diese Erkenntnisse zu sammeln und zu strukturieren, darf eine Lessons-Learned-Runde am Ende der Übung nicht fehlen, denn genau in diesem Rahmen kristallisieren sich neben den offensichtlichen Erkenntnis- sen in aller Regel weitere wichtige Lehren heraus. Diese reichen häuﬁg von fehlenden prozessualen Vorgaben und unzulänglicher Ausrüstung über falsche Telefonnummern bis hin zu zwischenmenschlichen Erfahrungen. Am Ende ist jedoch das Entscheidende, aus den gewonnenen Ein- blicken auch die richtigen Schlüsse zu ziehen und identi- ﬁzierte Deﬁzite aktiv anzugehen. Nach der Übung ist vor der Übung Die heutige Bedrohungslage setzt sich aus einer Vielzahl verschiedener Angriffsvektoren und -techniken zusammen. Im Rahmen einer Übung lässt sich allerdings nur ein Bruchteil davon gezielt adressieren und üben. Daher sollten Unternehmen das Üben ihrer Prozesse sowie Erkennungs- und Reaktionsfähigkeiten als kontinuier- lichen Prozess verstehen. Dazu empﬁehlt es sich, über das Jahr verteilt mehrere kleinere, dafür aber gezielte Übungen anstelle einer großen und besonders komplexen Übung durchzuführen. ■ 14 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2024#2 Michael Brügge ist Leitender Berater bei cirosec.