Kann SecuriCAD die IT Netzwerksicherheit bei der ISO 27001 erhöhen?

 

Unternehmen, die sich anhand der ISO-Norm 27001 zertifizieren lassen, sind insbesondere mit dem Thema IT Netzwerksicherheit befasst. Unter dem Controll A.13 geht es hier um zwei wesentliche Aspekte: Einerseits das sichere Management der gesamten Netzwerkstruktur eines Unternehmens und andererseits die sichere Steuerung aller Informationen innerhalb und außerhalb der eigenen Systemlandschaft.

In diesem Zusammenhang möchte vialevo einen innovativen Ansatz vorstellen, nämlich securiCAD. Diese Software ermöglicht Unternehmen die kontinuierliche Durchführung von Cyberangriffs- und Risikosimulationen auf die eigene IT-Architektur. Die Ergebnisse solch einer Simulation können das Management und die Steuerung der gesamten IT-Infrastruktur wesentlich beeinflussen.

Wie das genau geht und welchen Nutzen das für eine Organisation hat, kann Helmut Oppitz als Geschäftsführer des Unternehmen CYBEResilienz bestens erklären. Wir haben ihn daher zu diesem Interview gebeten. Das Interview führte Dr. Michael Monka.

 

Interview mit Helmut Oppitz von der Firma „Cyberesilienz“

 

vialevo: Herr Oppitz, was macht Ihr Unternehmen im Bereich der IT- und Informationssicherheit und welche Rolle spielt securiCAD dabei?

Oppitz: Wir haben über viele Jahre unsere Projekte nach den klassischen Methoden der Risikobewertung durchgeführt und immer wieder feststellen müssen, dass am Ende des Tages tatsächlich Unternehmen, die die gleichen Zertifizierungen scheinbar erfolgreich durchlaufen haben, trotzdem nicht annähernd das gleiche Sicherheitsniveau hatten. Die Qualität einzelner Maßnahmen ließ sich gut bestimmen, die „Quantität der Sicherheit“ in Segmenten, Prozessen oder sogar über die gesamte Infrastruktur, eher nicht.

Im Rahmen eines EU-Förderprojektes zum Thema Quantifizierung von Risiko haben wir dann den Ansatz von CyberWiz (heute als Produkt „securiCAD“) kennen und schätzen gelernt.

Bis zur Marktreife hat es noch gedauert, aber, seitdem securiCAD Enterprise 2018/2019 gelauncht wurde, haben wir uns voll dem Produkt, der Dienstleistung und der Zertifizierung von securiCAD-Beratern verschrieben. Wir kooperieren eng mit dem Hersteller foreseeti AB (Schweden) und bauen sukzessive Partner für den Markt in Deutschland, Österreich und der Schweiz (D-A-CH) auf.

 

Von der EU-Förderung … über eine Auszeichnung …

vialevo: Wer hat securiCAD entwickelt?

Oppitz: Das hat sich über insgesamt drei Förderprojekte der EU so herausgebildet. Zuerst wurde die Königlich Technische Universität Stockholm gefördert, um Algorithmen für eine Metrik zum Thema Quantität der Sicherheit zu entwickeln. Nachdem das Ergebnis überzeugt hat, schloss sich eine zweite Förderphase an, um die Algorithmen mit einer validen Datenbasis und Methoden zur kontinuierlichen Ergänzung dieser Daten zu versehen. Der Kern von securiCAD war geboren und wurde von der EU als „disruptive technology“ ausgezeichnet. Was fehlte, war die Schnittstelle zum Nutzer. Da universitäre Arbeit nur maximal zwei Zyklen gefördert werden kann, hat man aus der Universität heraus foreseeti AB, ebenfalls in Stockholm, gegründet und sich erfolgreich um eine Förderung zur Erstellung eines CAD-Systems, dem die Algorithmen und Daten als Basis unterlegt sind, beworben. Die Besonderheit der EU-Förderungen aus dem Programm Horizon2020 besteht darin, dass es keine Zuschüsse im üblichen Sinne gibt, sondern sich die EU mit dem Fördergeld am Unternehmen beteiligt. Das stellt zudem sicher, dass mit EU-Geld gefördertes „intellektuelles Gut“ nicht durch andere Staaten aufgekauft werden kann.

„Das ehrgeizige Ziel ist es, auch den kleinen und mittelständischen Unternehmen ein bezahlbares Werkzeug zur Risikoermittlung zu bieten, die eher nicht über viele Mitarbeiter bzw. eigenes Know-How im Cybersegment verfügen.“

 

… hin zur Marktreife

vialevo: Was sind die weiteren Entwicklungsziele von securiCAD?

Oppitz: Ein Teil der ursprünglichen Roadmap ist bereits umgesetzt. So gibt es heute securiCAD für on-prem-Modellierungen, für Cloud (AWS und AZURE sind schon da, Google kommt Ende 2022) und für erste Operational Technology (OT-) Umgebungen (z.B. in Fahrzeugen). Um der unglaublichen Flut von Wünschen Herr zu werden, geht foreseeti den Weg, dass die Entwicklungen, die einen (Industrie-/Markt-)Partner haben, bevorzugt werden. Aktuell gewinnt der OT-Sektor an Bedeutung, aber auch die Automatisierung von Modellierungen durch intelligente Schnittstellen für den Datenim- / -export hat hohe Priorität. Das ehrgeizige Ziel ist es, auch den kleinen und mittelständischen Unternehmen ein bezahlbares Werkzeug zur Risikoermittlung zu bieten, die eher nicht über viele Mitarbeiter bzw. eigenes Know-How im Cybersegment verfügen.

Nicht nur für große Unternehmen

vialevo: Ist das ein Ansatz, der sich nur an große Unternehmen richtet?

Oppitz: In D-A-CH haben wir nahezu überall die gleiche Situation mit gesetzlichen Regelungen. Wie in der DSGVO für alle schon durchlebt, gibt es auch für den KRITIS-Bereich inzwischen gesetzliche Anforderungen, die die Unternehmen zwingen, massiv in den IT-(Cyber-)Bereich zu investieren – und das auch zu dokumentieren. Gestartet sind die Initiativen natürlich bei den Unternehmen, die systemrelevant sind – mithin Großunternehmen – und damit auch die ersten Interessenten für securiCAD. Nachdem inzwischen aber die Anforderungen (z.B. EEG. ITSiG 2.0, eHealth-Gesetz etc.) auf das mittlere Unternehmenssegment ausgedehnt wurden, ist der Kreis potenzieller Kunden größer und die durchschnittliche Firmengröße kleiner geworden. Wir sprechen heute eher mit dem (kleineren) Mittelstand, da der flexibler agiert und die Entscheidungswege deutlich kürzer sind. Was nicht heißt, dass wir nicht auch im Bereich Mobility oder Energieerzeuger unterwegs sind, was aber ganz andere Zugänge erfordert. Dort geht Risikoermittlung in der Regel über die Wirtschaftsprüfer und damit reden wir mit Deloitte, EY, Capgemini & Co, die erst einmal wenig Interesse daran haben, Ihre Beratertage zugunsten eines automatisierten Tools zurückzufahren.

 

Am Anfang steht die Frage nach dem Wirkungsbereich

vialevo: Wie genau funktioniert der Einsatz von securiCAD?

Oppitz: Wir starten mit der Definition des Geltungsbereichs (Scopes). Was soll untersucht werden? Ein (wertschöpfender) Prozess? Ein Segment? Ein Netz? Eine weitere Frage lautet: Betrachten wir Bestand oder sind wir in der Architektur-Designphase? Idealerweise handelt es sich um eine Aufgabenstellung, die mit der Beschaffung und Verbesserung zu tun hat, die Geld kostet. Hier lässt sich oft der Einsatz von securiCAD umgehend mit optimierten Investitionen gegenrechnen. Danach „bauen“ wir einen digitalen Zwilling der zu betrachtenden Struktur. Das kann per Hand, automatisiert via Schnittstellen oder im Mix passieren.

„securiCAD „misst“ in der systemeigenen Metrik TTC – „Time to Compromise“ – wie lange und mit welcher Wahrscheinlichkeit der Angreifer sein Ziel erreicht.“

 

Wie schnell erreicht ein Haker sein Ziel?

Oppitz: Wir verfeinern üblicherweise in mehreren Schritten die Modellierung, bis sich der Kunde bzw. die Verantwortlichen der einzelnen Bereiche im Modell wiederfinden. Anschließend werden  die besonders schützenswerten „high value Assets“ definiert. Dann unterziehen wir das Modell allen bekannten oder aber ausgewählten Angriffsmustern und erhalten so eine „Heatmap“. Diese visualisiert uns, wo die potenziellen Schwachpunkte, also die Eintfalltore für Angreifer, sitzen. Daraus entwickeln sich Szenarien, wie die Schwachpunkte eliminiert oder wenigstens minimiert werden können. Diese alternativen Szenarien werden dann in das Modell eingebaut und die Angriffe erneut durchgeführt. securiCAD „misst“ in der systemeigenen Metrik TTC – „Time to Compromise“ – wie lange und mit welcher Wahrscheinlichkeit der Angreifer sein Ziel erreicht. Somit können verschiedene Szenarien aussagefähig miteinander verglichen werden, was den höchsten Nutzen, bezogen auf den Schutz des „High value Asset“, angeht. Ein weiterer Vorteil besteht darin, diese Modellierung zyklisch durchzuführen, den TTC somit fortzuschreiben und zu erkennen, wie sich die Gesamtrisikolage unter Einfluss von Entscheidungen und Maßnahmen verändert.

vialevo: Wie aufwendig ist das Ganze für ein mittelgroßes Unternehmen?

Oppitz: Das hängt weniger an der Größe des Unternehmens als vielmehr an der Heterogenität der Infrastruktur. Ein Unternehmen mit 5.000 Beschäftigten, die insgesamt nur drei Varianten an Arbeitsplatzrechner kennen und mit 5 Typen von Servern arbeiten, haben wir leichter modelliert, als ein Unternehmen mit 250 Mitarbeitern und dem „bring your own device“ Ansatz – was zudem mit einer historisch gewachsenen Serverfarm in unzähligen Konfigurationen arbeitet. Grundsätzlich gilt aber: Erst einmal in einer Ecke anfangen, eine zum Unternehmen passende Arbeitsweise entwickeln und dann die Modellierungen ausdehnen.

 

Der sekunkäre Nutzen hat  überrascht

vialevo: Welche Ergebnisse erhält man mit securiCAD und was kann man daraus ableiten?

Oppitz: Da mag ich bei den Ergebnissen schon einmal in zwei Bereiche teilen. Inhalt und Optik. Überraschend für uns war am Anfang, dass sich Kunden alleine schon über die Erstellung des Modells gefreut haben, da es damit seit langer Zeit mal wieder einen aktuellen Netzplan gab. Auch die Visualisierung der Heatmap und das Bild über sich verändernde Angriffspfade in den einzelnen Verbesserungsszenarien sagt mehr als tausend Worte. Hier greift der Ansatz also besonders gut bei den Menschen, die oft über die Budgets entscheiden – von der Technik im Detail aber eher keine Ahnung haben und Entscheidungen deshalb oft hinauszögern.

„Was nützt mir der maximale Ausbau der Firewall, wenn der Angreifer den Angriffsmodus wechselt und über andere Wege korrumpiert.“

Inhaltlich sehe ich klar den Weg von der Ausgangssituation hin zu den Verbesserungen bei den jeweiligen Maßnahmen. Ich baue mir als verantwortlicher Mitarbeiter eine Möglichkeit, vorausschauend Risiken zu minimieren. Und, ich kann meine Budgets so einsetzen, dass das Sicherheitsniveau gleichmäßig erhöht wird und nicht reifebasiert in einzelnen Komponenten. Was nützt mir der maximale Ausbau der Firewall, wenn der Angreifer den Angriffsmodus wechselt und über andere Wege korrumpiert.

 

Pentest oder Modellierung? Das ist hier nicht die Frage …

vialevo: Was ist der Unterschied zu einem Pentest? Und im Rahmen dieser Frage: Lassen sich die Ergebnisse miteinander verknüpfen?

Oppitz: Der Pentest ist immer eine Momentaufnahme. Finde ich in der Zeit Schwachstellen heißt das deswegen nicht, ich habe es grundsätzlich mit einem schlechten System zu tun. Im Gegenzug bedeutet das Nicht-Aufspüren von Lücken eben auch nicht, dass das System grundsätzlich gut ist.

„Großes Kino ist natürlich beides zu tun. Entweder mit dem Pentest die simulierten Ergebnisse zu überprüfen oder mit securiCAD die Ergebnisse des Pentests aufzuarbeiten und nach Lösungsszenarien zu suchen.“

Im Gegensatz zum Pentest erstellt securiCAD ein ganzheiltiches Lagebild, was bereits in der Designphase einer Infrastruktur Erkenntnisse liefert, die ich noch gar nicht „pentesten“ kann. Und, es gibt Strukturen, die darf ich gar nicht pentesten. Das Risiko, mit einem Pentest unabsehbare Schäden anzurichten, ist dort einfach zu groß. Mit dem digitalen Zwilling kann ich hier simulieren, ohne in den operativen Betrieb einzugreifen.

Großes Kino ist natürlich beides zu tun. Einerseits mit dem Pentest die simulierten Ergebnisse zu überprüfen – und andererseits mit securiCAD die Ergebnisse des Pentests aufzuarbeiten und nach Lösungsszenarien zu suchen.

 

Lohnt sich der Aufwand?

vialevo: Mit welchen Aufwänden und Kosten muss ein Unternehmen rechnen?

Oppitz: Das ist jetzt der Part des Glaskugellesens. Ich kann das nur an Beispielen verdeutlichen, da es komplett von der Intention des Unternehmens abhängt, mit welchem Scope gearbeitet werden soll. So haben wir beispielsweise die Audit-Findings eines Automobilzulieferers nach IATF 16969 modelliert und attestiert, dass die Schwachstellen behoben wurden. Dauer: 6 PT. Bei einer Krankenkasse wollte der neue Vorstand das Haftungsrisiko für „vertrauliche Kommunikation mit dem Versicherten“ abgeklärt wissen, um den Anforderungen des eHealth-Gesetzes gerecht werden zu können.

„Da haben wir zwei Pauschalangebote für 5.000 bzw. 20.000 Euro im Standardangebot.“

Da haben wir aufgrund sehr heterogener und unterschiedlich alter Dokumentationen zu Prozess und Infrastruktur lange für die Abklärung im Vorfeld, schlussendlich aber nur 3 Tage für die Modellierung und Berechnung des Risikos gebraucht. Unter dem Strich sogar festgestellt, dass es eine sehr gute Implementierung war. Für eine Bank sollte untersucht werden, wie sich Schnittstellen zu Mobiltelefonen auf das bestehende Netz und anschließend auf die Infrastruktur nach Upgrade des Betriebssystems auf Windows 10 risikotechnisch auswirken. Hervorragende Dokumentation, große Infrastruktur, viele Involvierte (Teil-)Verantwortliche und mehrere Iterationsstufen zum kompletten Modell, trotzdem insgesamt nur 18 PT.

Um Sicherheit für beide Seiten hinsichtlich der Erwartungshaltung zum Ergebnis zu erzeugen, schlagen wir immer einen PoC mit einem Scope an einer Ecke vor, die den PoC refinanzieren kann. Da haben wir zwei Pauschalangebote für 5.000 bzw. 20.000 Euro im Standardangebot.

 

Für die ISO 27001 ein zunehmend wichtiges Tool

vialevo: Gibt es unter Ihren Kunden Unternehmen, die dies bereits auch im Rahmen der ISO 27001 einsetzen?

Oppitz: Ja. So hat ein Berliner Rechenzentrum securiCAD gezielt genutzt, um sich auf eine erste Zertifizierung nach ISO 27001 vorzubereiten. Dafür wurde sogar ein eigener Mitarbeiter als zertifizierter Consultant ausgebildet, um Sicherheit in der Modellierung zu bekommen. Das ist sicherlich schon fast der Maximalfall, da fehlen dann nur noch die Schnittstellen, um eine regelmäßige automatisierte Risikobestimmung durchführen zu können.

„Dafür wurde sogar ein eigener Mitarbeiter als zertifizierter Consultant ausgebildet, um Sicherheit in der Modellierung zu bekommen.“

vialevo: An wen muss man sich wenden, wenn man weitere Informationen zu securiCAD erhalten möchte und die Software einmal ausprobieren möchte?

Oppitz: Auf unserer Webseite https://cyberesilienz.de findet sich alles an Informationen, was einen leichten Einstieg in das Thema erlaubt. Wir beschreiben in einem regelmäßig gefütterten Blog typische Herangehensweisen in unterschiedlichen Anwendungsgebieten, stellen unsere Netz-Partner und die jeweiligen Ansprechpartner vor und haben einen Downloadlink zur kostenfreien „community edition“, die alles an Möglichkeiten bietet, was die Vollversion auch hat. Mit zwei Einschränkungen: zum einen ist die Anzahl der Objekte, die ich in einem Modell haben kann, limitiert, zum anderen findet die Risikoberechnung des Modells via WebService statt.

Die Dokumentation ist so gut, dass man autodidaktisch starten kann. Wir bieten an, weil wir wissen, dass es oft hilfreicher ist, kurz über eine Modellierungsvariante zu sprechen. Dies beinhaltet natürlich auch den entsprechenden Support bei den ersten Gehversuchen, wie auch als QS-Instanz bei Modellen für den Praxiseinsatz.

Wir sind Überzeugungstäter und möchten den Mehrwert, den securiCAD bietet, transparent machen. Das ist unsere Mission.

 

 

 

 

 

Dr. Michael Monka

Dr. Michael Monka, vialevo

Haben Sie Fragen ...

8 + 1 =

Beiträge, die ebenfalls für Sie interessant sein könnten