[datensicherheit.de, 02.02.2016] Mit einer aktuellen Studie zu kritischen Informationsinfrastrukturen (CIIs) analysiert die enisa aktuelle CIIP-Praktiken und Governance-Modelle, die in den EU-Mitgliedstaaten eingesetzt werden. Diese Studie soll zur Verbreitung und künftigen Umsetzung der NIS-Richtlinie beitragen.

Einbuße der Verfügbarkeit und finanzielle Schäden

Bürger und Unternehmen sind für die Unterstützung online-kritischer Dienstleistungen, z.B. auf den Gebieten Energie, Telekommunikation und Gesundheit, von der Informations- und Kommunikationsinfrastruktur abhängig. Der Anstieg von Cyber-Bedrohungen kann nun die Bereitstellung von Dienstleistungen auf diesen Gebieten erheblich beeinträchtigen und finanzielle Verluste sowie eine Beschädigung der Reputation von Unternehmen zur Folge haben.
Die EU-Mitgliedstaaten ebenso wie der Private Sektor müssten demnach zusammenarbeiten, so die enisa, wenn sie diese Bedrohungen heute effektiv angehen möchten. Doch nur die Hälfte der untersuchten Länder habe solche Modelle der Zusammenarbeit als öffentlich-private Partnerschaften, Arbeitsgruppen und Kontaktforen eingerichtet.

Divergierende Sicherheitsanforderungen

Da einige Sektoren wie Finanzen, Telekommunikation und Energie strenger reguliert sind als andere, unterscheiden sich die Sicherheitsanforderungen zwischen den Sektoren und für verschiedene Arten von CII-Betreibern erheblich. Nur eine kleine Anzahl von Ländern habe in allen Sektoren verpflichtende Sicherheitsanforderungen eingeführt, so die enisa.
Die Studie zeige, dass wenige Länder, insbesondere solche mit einem stärker dezentralisierten CIIP-Ansatz, ihre nationalen Risikobeurteilungen an sektorspezifische Behörden oder Betreiber von CIIs delegierten. Einige Länder seien der Ansicht, dass der Marktdruck den CII-Betreibern ausreichend Anreize biete, um in zusätzliche Sicherheitsmaßnahmen zu investieren. Jedoch habe fast keiner der untersuchten Mitgliedstaaten Anreize für Betreiber von CII geschaffen, damit sie in CIIP-verbundene Sicherheitsmaßnahmen investieren.

Vorschläge der enisa

Nach der Validierung der Studienergebnisse schlägt die enisa den Mitgliedstaaten und der EU-Kommission Folgendes vor:

• Durchführung einer gründlichen nationalen Risikobeurteilung
• Einführung einer Zusammenarbeit zwischen öffentlichen und privaten Sektoren
• Definition grundlegender Sicherheitsanforderungen, um die Entwicklung von CIIP in den Mitgliedstaaten zu unterstützen
• Schaffung von Anreizen, die CII-Betreiber dazu bewegen könnten, stärker in Sicherheitsmaßnahmen zu investieren

Prof. Helmbrecht fordert koordinierte Anstrengungen

Neue Bedrohungen für kritische Informationsinfrastrukturen stellten eine eindeutige und unmittelbare Gefahr dar, betont Prof. Udo Helmbrecht, der geschäftsführende enisa-Direktor. Dies sei eine Gefahr, der nur durch koordinierte Anstrengungen begegnet werden könne.

Weitere Informationen zum Thema:

enisa, 18.12.2015
Stocktaking, Analysis and Recommendations on the protection of CIIs

[datensicherheit.de, 07.01.2014] Die Internet-Sicherheits-Agentur der Europäischen Union, ENISA, hat einen neuen Report veröffentlicht, der die Beeinträchtigung der Verfügbarkeit von Netzwerken ausgelöst durch Stromausfälle behandelt. Der Report beinhaltet Empfehlungen für die Elektro-Kommunikationsbranche um Stromausfällen standzuhalten und auf diese effizient zu reagieren. Es sei außerdem von besonderer Bedeutung, einen verbesserten Austausch von Situationsbewusstsein zu etablieren und somit die Mechanismen  im Bereich Zusammenarbeitsmit dem Energiesektor zu stärken.

Der Jahresbericht der ENISA über die größten Vorfälle in der EU, deckte auf, dass Stromausfälle eine der Hauptgründe für gravierende Netzwerk- und Serviceausfälle in der Elektro-Kommunikationsbranche sind.  Elektro-Kommunikationssysteme bilden das Rückgrat der digitalen Gesellschaft in der EU und sind daher für die Kommunikation und den Informationsaustausch für Bürger, Unternehmen, Regierungen und Organisationen unverzichtbar. Um Risiken durch  Netzwerk- und Serviceausfälle, ausgelöst aufgrund von Stromausfällen, zu reduzieren, gibt die Agentur acht Empfehlungen an Regulierungsbehörden / National Regulatory Authorities (NRA) und Anbieter innerhalb des Elektro-Kommunikationssektors.

Die Regulierungsbehörden sollten:

• die Häufigkeit und Auswirkung von Netzwerkausfällen, ausgelöst durch Stromausfälle, analysieren.
• mit Anbietern kooperieren um Good Practices für eine Erhöhung der Widerstandsfähigkeit  zu sammeln.
• eine Kosten-Nutzen-Analyse durchführen, um das Minimum an notwendiger Widerstandsfähigkeit gegen Stromausfälle zu bestimmen.
• Lehren aus Problemen, ausgelöst durch Stromausfälle, ziehen und sichergehen, dass betroffene Anbieter systematisch arbeiten um ihre Protektionsmaßnahmen zu verbessern.
• eine Strategie fördern, die Kooperation und Hilfsvereinbarungen für gemeinsame Servicewiederherstellung nach großen Stromausfällen garantiert.
• ein Prioritätschema in Betracht ziehen, welches bevorzugte Behandlung in der Elektro-Kommunikationsbranche gewährleistet und somit die Wiederherstellungsdauer der Services unter außergewöhnlichen Umständen verringert.
• Anbieter sollten regelmäßige Prüfungen der schon bestehenden Schutzmaßnahmen durchführen, um sicherzugehen, dass kurze und mittellange Stromausfälle keine negativen Auswirkungen haben.
• Regulierungsbehörden, Anbieter und Akteure im Energiesektor sollten, im Falle eines gravierenden Stromausfalls, miteinander kooperieren um Mechanismen für den Informationsaustausch zu etablieren und somit einen effizienten Austausch von Situationsbewusstsein und Prognose- und Wiederherstellungszeiten zu ermöglichen.

Der Geschäftsführer der ENISA, Professor Udo Helmbrecht, kommentierte: „Die Empfehlungen unterstreichen die notwendigen Schritte, um Risiken von Netzwerkausfällen zu reduzieren, und erhöht die Kapazität, auf Stromausfälle angemessen zu reagieren. Wir rufen die verschiedenen Akteure dazu auf, Wege zu finden, um einen besseren Informationsaustausch über Ausfälle besonders zwischen dem Energiesektor und dem Elektro- Kommunikationssektor zu ermöglichen.“

[datensicherheit.de, 22.11.2012] Ein neuer Bericht der EU-Agentur enisa widmet sich „digitalen Fallen“ (engl. „honeypots“) für das Aufdecken von Cyber-Angriffen. Es handelt sich um eine detaillierte Studie über 30 unterschiedliche „Honeypots“, die von „Computer Emergency Response Teams“ (CERTs), einer Gruppe von IT-Sicherheitsfachleuten, die bei der Lösung von konkreten IT-Sicherheitsvorfällen mitwirkt, und staatlichen CERTs verwendet werden können, um proaktiv Internetangriffe ermitteln zu können. Die Studie soll Hindernisse beim Verstehen der grundlegenden „Honeypot“-Konzepte enthüllen und Empfehlungen geben, in welchen Fällen „Honeypots“ anzuwenden sind.
Eine zunehmende Anzahl von komplexen Angriffen im Internet erfordert verbesserte Frühwarn- und Erkennungsressourcen für die CERTs. „Honeypots“ sind, vereinfacht erklärt, Fallen mit der einzigen Aufgabe, Angreifer abzulenken, indem sie eine reale Computerquelle nachahmen – z.B. eine Dienstleistung, eine Anwendung, ein System oder eine Datei. Jedes Objekt, das mit einem „Honeypot“ in Verbindung steht, ist verdächtig – daher wird jede Bewegung beobachtet, um bösartige Aktivitäten zu erkennen.
Diese Studie ist eine Nachfolgerin zum kürzlich erschienenen enisa-Bericht über proaktive Erkennung von Störungen der Cyber-Sicherheit. Der vorhergehende Bericht beschloss, dass CERTs die „Honeypots“-Fähigkeiten, welche entscheidende Einblicke in Hackerverhalten geben, anerkennen würden. Dennoch sei deren Einsatz für das Aufdecken und die Ermittlung von Angriffen noch nicht so weit verbreitet wie erwartet – dies zeige, dass es Hindernisse in der Verwendung gibt.
Die neue Studie stellt nun praktische Verwendungsstrategien und wichtige Themen für CERTs vor. Insgesamt wurden 30 „Honeypots“ unterschiedlicher Kategorien getestet und bewertet. Das Ziel ist hierbei, Einblick darin zu gewähren, welche frei zugänglichen Lösungen und welche „Honeypot“-Technologie sich am besten für die Verwendung und den Gebrauch eignen. Da es keine „Wunderwaffe“ gebe, habe diese neue Studie einige Defizite und Hindernisse in der Verwendung von „Honeypots“ identifiziert – die Anwendungsschwierigkeit, die geringe Dokumentation, Mangel und Software-Stabilität sowie Entwicklerunterstützung, eine geringe Standardisierung, der Bedarf an höchst qualifizierten Leuten sowie Probleme beim Verständnis von grundlegenden „Honeypot“-Konzepten. Die Studie stellt eine Gliederung der „Honeypots“ vor und behandelt deren Zukunft.
„Honeypots“ böten für CERTs ein leistungsfähiges Werkzeug um Informationen zu Bedrohungen zu sammeln ohne die Produktionsinfrastruktur zu beeinflussen, erläutert enisa-Geschäftsführer Professor Udo Helmbrecht. Korrekt angewandt, böten „Honeypots“ wesentliche Vorzüge für CERTs – bösartige Aktivitäten in einem CERT-Bereich könnten verfolgt werden, um frühzeitig Warnungen vor bösartiger Software, neuen Angriffen, Schwachstellen und schädlichem Verhalten zu senden. Außerdem könne man mit „Honeypots“ die aktuellen Angriffstaktiken identifizieren. Wenn die CERTs in Europa „Honeypots“ zunehmend als eine geschmackvolle Möglichkeit anerkennen würden, könnten sie ihre Bereiche besser verteidigen, betont Professor Helmbrecht.

Weitere Informationen zum Thema:

enisa
Proactive detection of security incidents II – Honeypots

Legal Implications of Countering Botnets
Joint report from the NATO Cooperative Cyber Defence Centre of Excellence and the European Network and Information Security Agency (ENISA)

COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT, THE COUNCIL, THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE AND THE COMMITTEE OF THE REGIONS
on Critical Information Infrastructure Protection / „Protecting Europe from large scale cyber-attacks and disruptions: enhancing preparedness, security and resilience“

[datensicherheit.de, 31.05.2012] Die neueste Karte zu Europas „digitaler Feuerwehr”, den „Computer Emergency Response Teams“ (CERTs in Europe map, v.2.7) ist nun online:
Die „CERTs in Europe map” verzeichnet 173-CERT-Teams. CERTs werden von EU-Mitgliedsstaaten und anderen öffentlichen und privaten Einrichtungen gebildet, um eine schnelle Reaktion auf Notfälle zu ermöglichen, die vitale Computernetzwerke oder Informationssysteme bedrohen. Mit der Veröffentlichung der Karte ist gleichzeitig auch eine aktualisierte Version des Verzeichnisses von CERT-Aktivitäten in Europa verfügbar. Sie bietet eine Übersicht von „Response Teams“ nach Land und enthält eine Auflistung von Kooperations-, Support- und Standardisierungsangeboten. Die aktualisierte Karte und das Verzeichnis können online eingesehen werden.
Die Veröffentlichung der neuesten CERT-Dokumente erfolgt zwölf Monate nachdem EU-Kommissarin Neelie Kroes bei der Konferenz der ungarischen EU-Präsidentschaft in Balatonfüred die Bedeutung von CERTs unterstrichen hat. Kommissarin Kroes hat auch den Begriff der „fliegenden Ärzte” der enisa eingeführt, die für die Mitgliedsstaaten bereitstehen, mit der Idee ein „mobiles Einsatzteam“ der enisa aufzubauen. Dieses Ziel wurde in der Folge durch einen Brief von Kommissarin Kroes an den ungarischen Minister Zsolt Nyitrai bestätigt, und später von ihr in einer Rede erneut aufgegriffen. Als Konsequenz hat die enisa nach eigenen Angaben ihr mobiles Einsatzteam aufgebaut, das vom Athener Büro aus operiert, von wo aus die Agentur die Unterstützungsanfragen aus den Mitgliedsstaaten beantwortet.
Die enisa setzt auch ihre Unterstützung der Mitgliedsstaaten beim Aufbau von CERTs fort, durch Trainingsmaßnahmen, Workshops und Informationspakete. Die nächste Aktualisierung von CERT-Karte und Verzeichnis (Q4) wird ein Upgrade des Online-Inhalts mit einer benutzerfreundlicheren, interaktiven Karte für noch leichteren Zugang zu Information enthalten. Die Agentur wird auch einen Bericht über den Ausbreitungsstand der aktuellen Basiskapazitäten durch Europäische nationale/regierungs-CERTs veröffentlichen.
Diese jüngsten enisa-Veröffentlichungen untermauerten, dass seit Kommissarin Kroes die Wichtigkeit von CERTs betont und das „Mobile-Assistance-Team“-Konzept eingeführt habe, CERTs sich weiterhin positiv entwickelt hätten, so der Geschäftsführende Direktor der enisa, Professor Udo Helmbrecht. In Ergänzung dazu spiele das mobile Einsatzteam der enisa nun eine wachsende Rolle für die Mitgliedsstaaten, in dem es in verschiedenen Bereichen der Netzwerk- und Informationssicherheit Anfragen beantworte.
Die CERT-Karte und das Verzeichnis werden alle sechs Monate veröffentlicht. Das nächste Update ist für Ende November 2012 vorgesehen.

Weitere Informationen zum Thema:

enisa
CERT Inventory / CERTs in Europe

enisa
Inventory of CERT activities in Europe / Publicly listed teams, co-operation, support and standardisation activities

[datensicherheit.de, 11.11.2011] Die europäische Cyber-Sicherheitsagentru enisa wirft einen Blick in die Zukunft, auf das Jahr 2014, und sagt positive und negative Auswirkungen von „Life-Logging“ im Internet für Bürger und die Gesellschaft voraus:
In dem neuen Bericht zum Thema „Loggen oder nicht loggen? Risiken und Vorteile der aufkommenden Life-Logging-Technologien“ beschäftigt sich die Agentur mit dem Alltagsleben einer imaginären Familie und untersucht die Auswirkungen auf deren Privatleben, die Familienkasse, ihre Psychologie usw., während die Familienmitglieder immer mehr persönliche Informationen ins Internet stellen. Der Bericht beinhaltet Empfehlungen zur Umgehung von Sicherheits- und Datenschutzrisiken.
Für die Bürger in ganz Europa habe es enorme Vorteile, Informationen über Soziale Medien austauschen und über neue Anwendungen auf Gütern und Dienstleistungen zugreifen zu können. Familien und Freunde könnten in Verbindung bleiben und man könne über die neuen Anwendungen sogar auf Behördendienste zugreifen. Der Bericht betrachtet sowohl die Vorteile als auch die Risiken der zunehmenden Nutzung von Internet-Anwendungen innerhalb der Bevölkerung. Um die Vorteile nutzen zu können, müssten die Menschen jedoch persönliche Informationen wie etwa persönliche Meinungen, Videos oder finanzielle Daten an Internet-Orten hochladen, über die sie kaum Kontrolle haben. Für Privatpersonen könne dies eine Bedrohung ihrer Privatsphäre darstellen; die Folgen könnten Verlust von persönlichen Daten, Rufschädigung und auch die Möglichkeit einer psychologischen Schädigung durch Ausschluss oder ein Gefühl des ständigen Beobachtetwerdens sein. Wirtschaftsunternehmen gingen das Risiko ein, dass sie Datenschutzbestimmungen zuwiderhandeln könnten, was zu rechtlichen Sanktionen und nicht rückgängig zu machender Rufschädigung führen könne. Regierungen könnten das Vertrauen der Bevölkerung verlieren, wenn der Eindruck entsteht, dass sie die persönlichen Informationen ihrer Bürger nicht ordnungsgemäß schützen.
Das Originalthema ihres Berichts sei es, einen Beweis dafür zu erbringen, dass Sicherheitsrisiken in Bezug auf Informationen verschiedene Aspekte der Bürger und der Gesellschaft beeinflussten, so Professor Udo Helmbrecht, Geschäftsführender enisa-Direktor. Er zeige die Vorteile des „Life-Logging“ auf, doch berücksichtige er auch Aspekte der Privatsphäre und des Datenschutzes.

Die Empfehlungen der enisa:

• Die Europäische Kommission sollte den Bericht bei der aktuellen Überprüfung der Richtlinie zum Datenschutz nutzen und einen Rahmen für die Förderung der Sicherheit und das Management von Risiken für den Datenschutz schaffen.
• Regierungen sollten ein Regelwerk erstellen, um „Incentives“ für Geräte und Dienstleistungen zu bieten, welche die Privatsphäre achten, um deren Wettbewerbsfähigkeit und Interoperabilität zu unterstützen, und sie sollten Sanktionen für Zuwiderhandlungen gegen den Datenschutz einführen.
• Service-Provider sollten die Auswirkungen neuer Dienstleistungen auf die Sicherheit / den Datenschutz berücksichtigen und leistungsstarke Kontrollmechanismen nutzen, um die persönlichen Daten von Personen zu schützen.

Weitere Informationen zum Thema:

enisa
Life-logging risk assessment / „To log or not to log?“ Risks and benefits of emerging life-logging applications

[datensicherheit.de, 03.12.2010] Seit 2009 ist Dr. Udo Helmbrecht „Executive Director“ der Europäischen Agentur für Netz- und Informationssicherheit (enisa) mit Sitz auf Kreta, Griechenland. Nun wird der enisa-Chef auch Honorarprofessor der Universität der Bundeswehr München:
Dr. Helmbrecht erhielt am 12. November 2010 die Bestellungsurkunde als Honorarprofessor der Fakultät für Informatik aus den Händen des Dekans, Prof. Mark Minas. Neben der Antrittsvorlesung für das Wintertrimester 2011 ist ein erstes Seminar für Studierende geplant.
Das Festkolloquium zu seiner Ernennung findet am 24. Januar 2011 statt.

Weitere Informationen zum Thema:

Universität der Bundeswehr München, 30.11.2010
ENISA-Chef wird Honorarprofessor

Dr. Udo Helmbrecht, © ENISA

[datensicherheit.de, 03.10.2010] Stuxnet stelle tatsächlich einen Paradigmenwechsel dar, so ENISA-Chef Dr. Udo Helmbrecht  – eine neue Klasse und Dimension von Schadsoftware. Nicht allein durch deren ausgeklügelte komplexe Gestaltung – etwa die Kombination vier verschiedener Schwachpunkte von Windows und die Verwendung zweier gestohlener Zertifikate zum Angriff auf komplexe Siemens-SCADA-Systeme. Die Angreifer hätten zudem eine beträchtliche Investition an Zeit und Geld getätigt, um solch ein komplexes Angriffswerkzeug zu erstellen. Der Umstand der jüngsten Aktivierung dieses Werkzeugs könne als „first strike“ angesehen werden, denn es handele sich um den ersten organisierten, gut vorbereiteten Angriff gegen bedeutende industrieelle Einrichtungen. Dies habe nun eine erhebliche Auswirkung auf die Frage des Schutzes kritischer Informationsinfrastruktur eines Staates. Nach dem jüngsten „Stuxnet-Vorfall“ müssten die bisherigen Sicherheitsansätze überdacht und so fortentwickelt werden, dass sie solchen neuen raffinierten Angriffsmethoden widerstehen könnten.
Nachdem nun „Stuxnet“ und dessen implementierten Angriffsprinzipien öffentlich gemacht wurden, müsse mit weiteren Angriffen gerechnet werden. Alle Sicherheitsverantwortlichen seien jetzt gefragt, enger zusammenzuarbeiten und bessere, mehr koordinierte Strategien zu entwickeln, so Dr. Hemlbrecht.

Weitere Informationen zum Thema:

enisa, 07.10.2010
How ENISA supports the Member States to prepare for attacks on critical information infrastructure

datensicherheit.de, 03.10.2010
Kybernetischer Krieg im Cyberspace: Schäden in der realen Welt und Aushöhlung des Völkerrechts / Heimtückische „Stuxnet“-Attacke im Prinzip ein Terrorakt mit unkalkulierbaren Folgen