Ein Notfallkontakt für jeden Betrieb

Sicherheitslücken in Steuerungssystemen verbindet man nicht als Erstes mit einer Gefahr für Leib und Leben der Mitarbeitenden. Können Sie Beispiele nennen?

Jonas Stein: Ein bekanntes Beispiel ist der Angriff auf ein Stahlwerk im Ruhrgebiet im Jahr 2014. Unbekannte hatten sich durch eine präparierte E-Mail Zugang zum Büronetzwerk verschafft. Dadurch drangen sie in das Produktionsnetzwerk der Anlage ein und konnten aus der Ferne die Steuerung eines Hochofens so beschädigen, dass er außer Kontrolle geriet. Man konnte nur noch die Mitarbeiterinnen und Mitarbeiter in Sicherheit bringen und die Energiezufuhr manuell stoppen. Der Stahl musste anschließend mechanisch herausgearbeitet werden. 2017 gab es einen Angriff auf eine Sicherheitssteuerung einer petrochemischen Anlage. Am Ende hat nur ein Tippfehler der Angreifer verhindert, dass es zu einem Desaster gekommen ist.
 

Wie lassen sich solche Angriffe verhindern?

Jonas Stein: Entdecken Sicherheitsforscherinnen und Sicherheitsforscher oder Behörden ein Sicherheitsproblem in einem Produkt oder einem betrieblichen Netzwerk, ist das Wichtigste, die richtigen Personen in den Unternehmen möglichst schnell zu informieren, damit sie sich des Problems annehmen. Die Erfahrung hat aber gezeigt, dass bei großen Unternehmen mit vielen tausend Mitarbeiterinnen und Mitarbeitern nicht leicht herauszufinden ist, wer zuständig ist. Oft wird von einem zum nächsten telefoniert, und die entscheidenden Personen erhalten die Informationen viel zu spät. Kleinere Unternehmen hingegen haben häufig gar keine zuständige Person benannt. Eine sehr elegante Lösung für diese Kommunikation bietet die neue Spezifikation RFC 9116. Mithilfe dieses Notfallkontakts können Externe ganz schnell herausfinden, an wen sie sich wenden müssen.

Was ist das Bahnbrechende an diesem neu entwickelten Standard für Notfallkontakte bei Sicherheitsproblemen?

Jonas Stein: Der Notfallkontakt wird die Sicherheitskommunikation bei großen, aber auch bei kleinen Unternehmen in den nächsten Jahren revolutionieren. Denn die Spezifikation ist keine Insellösung für Deutschland, sondern ein weltweiter Standard, der die internationale Zusammenarbeit erleichtert. Hier findet man nicht nur den richtigen Kontakt für die Sicherheitsinformationen, sondern auch Regelungen darüber, welche Sprache gesprochen und wie miteinander kommuniziert wird. Viele Unternehmen haben diesen Standard bereits umgesetzt. Und die Anzahl der Unternehmen, die es umgesetzt haben, wächst jetzt schon exponentiell. Dadurch sparen sie sofort Ressourcen. Denn je effizienter die Kommunikation zu Sicherheitsproblemen läuft, desto mehr Ressourcen hat die IT-Abteilung für das Tagesgeschäft.

Kurz erklärt: Was müssen Unternehmen tun, um den neuen Kontaktstandard zu nutzen?

Jonas Stein: Sie legen eine einfache Textdatei mit Kontaktinformationen an, zum Beispiel eine E-Mail-Adresse oder ein Link auf eine Website, und ein Ablaufdatum. Das sind die Mindestinformationen – mit zwei Zeilen Text ist man also schon dabei. Diese Textdatei mit dem Namen security.txt wird auf dem Webserver des Unternehmens im Verzeichnis .well-known/ unterhalb des Wurzelverzeichnisses abgelegt. Diese Stelle ist weltweit allen Sicherheitsforscherinnen und Sicherheitsforschern bekannt. Das Ganze ist also sehr einfach und in fünf Minuten erledigt. Wir empfehlen unseren Mitgliedsunternehmen, die Spezifikation ebenfalls so schnell wie möglich umzusetzen, und haben entsprechendes Informationsmaterial auf cert.dguv.de vorbereitet.

Gibt es noch weitere Entwicklungen in diese Richtung?

Jonas Stein: Schon jetzt ist es möglich, den Notfallkontakt zu erweitern. Hersteller können dort hinterlegen, wo ihre Datenbank mit allen Handlungsempfehlungen für die Sicherheitslücken ihrer Produkte zu finden ist. So kann ein Betreiber eine Inventarliste erstellen und den Computer über Nacht abfragen lassen, für welche Geräte eine Warnmeldung existiert und was genau die Empfehlung ist, die Sicherheit dieses Geräts wieder herzustellen. Ansonsten muss der Betreiber für alle seine Geräte in den unterschiedlichsten Formaten abfragen, ob das jeweilige Produkt betroffen ist und was zu tun ist. Das wird die Sicherheitskommunikation enorm beschleunigen und das Security Management in den nächsten zehn Jahren prägen. Bisher haben wir die meisten Ressourcen mit ineffizienter Kommunikation verschwendet, die Unternehmen jetzt durch diesen einfachen Automatismus einsparen.