CyberWiz – ein EU-Projekt zum Schutz kritischer Infrastrukturen
Informationen sind die Währung des 21. Jahrhunderts. Die Sicherheit von Informationen und Informationsflüssen zu gewährleisten, gehört zu den großen Herausforderungen, denen sich Unternehmen und ganze Gesellschaften stellen müssen. Insbesondere für Netzwerke, deren Ausfall katastrophale Auswirkungen hätte, nämlich die sogenannten kritischen Infrastrukturen (KRITIS), ist es von höchster Wichtigkeit, zuverlässigen Schutz für die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.
Eine Hauptaufgabe im Kampf gegen Malware, Spionage und Cyber-Terroristen ist es, Schwachpunkte in einem Netzwerk zu entdecken und die Frage zu beantworten, wie lange das Netzwerk einer Attacke standhalten würde. Der Komplettausfall des Netzwerkes des Deutschen Bundestages aufgrund eines Hackerangriffs im Jahr 2015 und die seit geraumer Zeit weltweit grassierende Welle von Ransomware, wie beispielsweise des Locky-Trojaners, der schon ganze Krankenhäuser lahmgelegt hat, sind prominente warnende Beispiele.
EU fördert Kampf gegen Cyber-Angriffe
Zu den kritischen Infrastrukturen zählen unter anderem Energie- und Wasserversorger, Unternehmen der Gesundheitsversorgung, große Telekommunikationsanbieter, die Nahrungsmittelversorgung, sowie Banken und Versicherungen. Das World Economic Forum nennt in seinem Risikoreport 2016 Cyberangriffe, Datendiebstahl und den Zusammenbruch kritischer Informationsinfrastrukturen in einem Atemzug mit Terrorattacken (s. Abb.1) [1].
Techniken zu entwickeln und zu verbreiten, die diese kritischen Infrastrukturen schützen, ist Ziel des Projektes CyberWiz [2].
CyberWiz wird von der EU im Rahmen des Programmes Horizon 2020 [3] gefördert. Dieses Programm hat den Fokus, die Entwicklung bahnbrechender Technologien zu unterstützen, die insbesondere in den kreativen Köpfen kleiner und mittlerer Unternehmen entstehen. CyberWiz kombiniert das Know-how der Softwareentwickler und Risikoexperten des schwedischen Unternehmens foreseeti AB [4], einem Spin-off der Königlich Technischen Hochschule Stockholm und des deutschen Spezialisten für Informationssicherheit, der Applied Security GmbH (apsec) [5], welcher auch die Projektleitung übernommen hat. Wissenschaftlich unterstützt werden die beiden Unternehmen von den Forschern der KTH Stockholm und vom paluno Institut für Softwaretechnologie der Universität Duisburg-Essen [6].
In CyberWiz entwickeln die beiden spezialisierten Unternehmen und das renommierte deutsche Forschungsinstitut die Software securiCAD, sowie ein zugehöriges Implementierungs- und Beratungskonzept, welches KRITIS-Betreibern die Möglichkeit gibt, ihr Netzwerk zu modellieren und mittels ausgefeilter Simulationstechniken auf Schwachstellen zu testen. Ein Ergebnis der Simulation liefert unter anderem eine Abschätzung, wie lange ein Angreifer benötigt, ein Netzwerk entscheidend zu kompromittieren.
Die Entwicklung der Software wird von konkreten Pilotprojekten bei KRITIS-Betreibern durch apsec begleitet. Das erste Pilotprojekt, eine Analyse des Netzwerks der Stadtwerke Aschaffenburg, steht kurz vor einem erfolgreichen Abschluss. Ein zweites Pilotprojekt ist für den Herbst geplant.
Der Weg in die Abstraktion: Bedrohungsmodelle
securiCAD greift die zentrale Idee des abstrakten Bedrohungsmodells auf, die Adam Shostack in seinem 2015 veröffentlichten Buch "Threat Modeling: Designing for Security" [7] beschreibt. Shostack definiert die Modellierung von Bedrohungen als die Abstraktion konkreter Schwachstellen, wie sie zum Beispiel ein Penetrationstest zu Tage fördern würde, als Hilfsmittel für die Risikoanalyse. Auch die amerikanische Normierungsbehörde NIST beschreibt im Entwurf NIST Special Publication 800-154 [8] einen abstrakten Prozess zur Bedrohungsmodellierung. Andere Tools, die auf dem Ansatz des Bedrohungsmodells aufsetzen, sind beispielsweise das Microsoft Threat Modeling Tool, ThreatModeler, CyGraph, IriusRisk, Skybox oder RedSeal. Alle diese Tools haben ihre Stärken und Schwächen. Allen gemeinsam ist, dass sie den Vorteil haben, eine unabhängige "zweite Sicht" auf ein Bedrohungsszenario zu liefern und dass es mit ihnen möglich ist, anhand ein und desselben Netzwerkmodells verschiedene Angriffsszenarien durchzuspielen und so dem Management effektive Entscheidungshilfen zu liefern.
Der Übergang von der konkreten Schwachstelle zum abstrakten Modell fällt nicht ganz leicht, wenn man es als IT-Spezialist gewohnt ist, in Bits, Bytes und Patchleveln zu denken. Es gibt aber klare Vorteile dieses Ansatzes.
Ein Beispiel soll dieses verdeutlichen: Immer wieder kommt es vor, dass in einer Variante eines Betriebssystems Schwachstellen entdeckt und nach einer gewissen Zeit durch Patches des Herstellers behoben werden. In einem heterogenen, großen und komplexen Netzwerk ist es mitunter schwierig zu beantworten, ob alle Systeme zu einem konkreten Zeitpunkt auf aktuellem Patchlevel sind oder nicht. Noch schwieriger ist die Antwort auf die Frage, wie das gesamte Netzwerk beeinträchtigt wird, wenn auch nur ein Rechner nicht auf dem höchsten Patchlevel ist. Hier setzt securiCAD mit einem abstrakteren Ansatz an und fragt gar nicht nach dem konkreten Patchlevel, sondern nur danach, mit welcher Wahrscheinlichkeit ein System zu einem beliebigen Zeitpunkt auf aktuellem Patchlevel ist. Wenn wir also – um das Beispiel möglichst einfach zu halten – annehmen, dass ein Unternehmen alle fünf Tage seine Systeme patcht, so liegt im Modell immer eine Wahrscheinlichkeit von 20 Prozent vor, dass ein System gepatcht ist und eine Wahrscheinlichkeit von 80 Prozent, dass dem nicht so ist. Simuliert man mit securiCAD einen Angriff, so sind also Angriffe, die auf Betriebssystemschwächen abzielen, mit einer Wahrscheinlichkeit 80 Prozent nach einer gewissen Zeit, die es benötigt, einen Exploit für die Schwachstelle zu finden oder zu programmieren, erfolgreich.
So wie in diesem Beispiel modelliert securiCAD eine große Zahl von Angriffsvektoren anhand von Erfolgswahrscheinlichkeiten für das Ausnutzen einer Schwäche. Und das ist nicht nur auf technische Aspekte beschränkt. Auch beispielsweise das große Thema Sensibilisierung der Mitarbeiter (Security Awareness) kann in das Bedrohungsmodell mit einbezogen werden. So kann securiCAD unmittelbar feststellen, wie sich die Verwundbarkeit eines Systems bessert, je mehr Mitarbeiter an einer Schulung zur Security Awareness teilgenommen haben, da die Wahrscheinlichkeit für Nutzerfehler oder Social Engineering mit jedem geschulten Mitarbeiter sinkt.
Ein Informatiker-Blick unter die Motorhaube von securiCAD
Begeben wir uns auf die Ebene der Informatik, so modelliert securiCAD ein Netzwerk und dessen Bedrohungslandkarte als gewichteten Graphen. Erfolgreichen Attacken sind Zeitwerte zugeordnet – die sogenannte Time to Compromise (TTC) – und den Angriffsvektoren, sowie den vorhandenen Abwehrmechanismen sind, wie im Beispiel oben beschrieben, Wahrscheinlichkeiten für ihr Vorhandensein zugeordnet. Mathematiker sprechen hier von einem Bayesschen Netz [9], einer weit verbreiteten Technik in der Risikoanalyse, bei Expertensystemen und beim maschinellen Lernen. Mittels einer Reihe sogenannter Monte Carlo-Simulationen [10] werden von securiCAD Angriffsszenarien durchgespielt. Dabei wird das ganze Netz betrachtet. Insbesondere werden die Auswirkungen von Schwachstellen einzelner Systeme auf den Rest des Netzwerkes analysiert und es wird mittels Pfadsuchalgorithmen, unter anderem einer Variante des bekannten Dijkstra‘s Shortest Path Algorithm [11], ausgerechnet, in welcher Zeit und mit welcher Wahrscheinlichkeit ein System innerhalb des Netzwerkes kompromittiert wird. Der Hersteller foreseeti hat angekündigt, im nächsten Release der Software, das im Spätsommer 2016 ansteht, als neue Funktion der Software eine Analyse der schnellsten bzw. wahrscheinlichsten Angriffspfade zu einem speziellen Angriffsziel zu liefern.
Managers Albtraum: Fehlinvestitionen und persönliche Haftung
Der Einsatz von securiCAD liefert eine Reihe von Vorteilen:
- Die Ergebnisse sind objektiv und basieren auf mathematisch strenger Analyse. Sie sind nicht gefärbt durch Vorlieben oder subjektive Kenntnisse eines Sicherheitsberaters.
- Die Ergebnisse sind keine punktuellen Momentaufnahmen, wie beispielsweise die Ergebnisse eines Penetrationstests.
- Ein Nutzer von securiCAD kann durch Vorher-Nachher-Analysen feststellen, ob eine Änderung am Netzwerk einen beabsichtigten Effekt erzielt (s. Abb.2).
So kann erkannt werden, ob die Investition in eine neue Firewall tatsächlich gerechtfertigt ist oder ob nicht die Schulung der Mitarbeiter die sinnvollere Maßnahme ist. Fehlinvestitionen können so effektiv vermieden werden. Letztlich sind die gesamtheitliche Betrachtung eines Netzwerkes und die kontinuierliche Analyse der Schwachstellen ein wichtiger Baustein des Risikomanagements. Ein solches dauer- und gewissenhaft zu betreiben, ist für viele Manager eine Frage der persönlichen Haftung.
Die Agenda 2018 für KRITIS-Betreiber
Für KRITIS-Betreiber in Deutschland hat das Projekt CyberWiz noch einen besonderen Mehrwert, sind sie doch durch das IT-Sicherheitsgesetz verpflichtet, bis spätestens 2018 ein Informationssicherheitsmanagementsystem (ISMS) einzuführen. Speziell die Betreiber von Energieversorgungsnetzen haben noch höhere Auflagen. Diese sind zusätzlich zu den Vorgaben des IT-Sicherheitsgesetzes durch § 11 des Energiewirtschaftsgesetzes dazu verpflichtet, die Vorgaben des sogenannten IT-Sicherheitskataloges der Bundesnetzagentur umzusetzen und bis Ende Januar 2018 zertifizieren zu lassen. Eine Bestandsaufnahme und Analyse des eigenen Netzwerkes ist ein unvermeidlicher und entscheidender erster Schritt, KRITIS-Unternehmen gegen die Gefahren des Cyberspace abzusichern, den Gesetzesauflagen nachzukommen und die Manager ruhig schlafen zu lassen – Das Projekt CyberWiz soll dazu eine Hilfestellung sein.
- World Economic Forum: The Global Risks Report 2016
- CyberWiz
- Horizon 2020
- foreseeti AB
- Applied Security GmbH (apsec)
- paluno Institut für Softwaretechnologie der Universität Duisburg-Essen
- A. Shostack, 2015: Threat Modeling: Designing for Security
- NIST Special Publication 800-154: Guide to Data-Centric System Threat Modeling
- Wikipedia: Bayessches Netz
- Wikipedia: Monte-Carlo-Simulation
- Wikipedia: Dijkstra-Algorithmus