VÖWG - Cyber Spezial, 01/2018                                   

 

Ich freue mich, den ersten "Cyber Spezial"- Newsletter des Verbandes der öffentlichen Wirtschaft und Gemeinwirtschaft Österreichs (VÖWG) in 2018 zu präsentieren. Darin finden sich Kurznachrichten mit Relevanz für den Bereich Digitale Zukunft und Cyber Sicherheit.

2018 wird ein spannendes aber auch forderndes Jahr in den Bereichen Digitale Zukunft und Cyber Sicherheit. Das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und der NIS-Richtlinie stellen für einige unserer Mitglieder Herausforderungen dar und erfordert zusätzliche Anstrengungen.

Im zweiten Quartal übernimmt Österreich die EU-Ratspräsidentschaft und führt den Cyber Sicherheitsschwerpunkt der vorangegangenen Perioden fort.

Der Verband der öffentlichen Wirtschaft und Gemeinwirtschaft Österreichs wird daher seine Mitglieder verstärkt bei diesen Themen unterstützen und veranstaltet eine Vortragsreihe diesbezüglich. Dazu haben Sie bereits eine Einladung bekommen.

Weiteres bleibt der VÖWG in die nationale Umsetzung der NIS-Richtlinie involviert und plant eine aktive Teilnahme an den relevanten Veranstaltungen im Rahmen der EU-Ratspräsidentschaft in Wien.

Gemeinsam mit meinem Team wünsche ich eine angenehme Lektüre!

Heidrun Maier-de Kruijff

 


Meltdown & Spectre: Das Bekanntwerden von Prozessor-Sicherheitslücken stellt einen Supergau in der Informationsgesellschaft dar. Die als Meltdown und Spectre bezeichneten Probleme können nur teilweise durch Software-Updates behoben werden. Beide Sicherheitslücken sind hauptsächlich für Cloud-Dienste von Relevanz, da ein Aushebeln der Trennung einzelner Kunden bzw. Anwendungen möglich ist. Eine prägnante Beschreibung der Probleme findet sich sowohl auf Heise als auch hier.

Für Meltdown gibt es bereits Software-Patches von den einzelnen Herstellern, Spectre ist schwerer auszunutzen und bedarf der Anpassung individueller Software. Die sauberste Lösung wäre ein Tausch der Prozessoren (Hardware), nur wird sich dies in den wenigsten Fällen realisieren lassen. Cloud-Service- und Outsourcing-Provider sind bereits mit dem Patchen ihrer Informationssysteme beschäftigt und diesbezüglich in Kontakt mit ihren Kunden.

KRACK: Bereits in 2017 wurde eine Verwundbarkeit der Funknetzwerke-Verschlüsselung WPA2 bekannt. Bei dem sogenannten KRACK (Key Reinstallation Attacks) wir eine Schwachstelle im Design von WPA2 (Wi-Fi Protected Access 2) ausgenutzt. Dieses Beispiel zeigt, dass auch als sicher bewertete Verfahren eine Design-Schwachstelle haben können, die erst nach Jahren gefunden wird.

Eine Separierung mittels Netzwerk-Segmentierung stellt hierbei eine unmittelbare Mitigation dieser Verwundbarkeit bzw. vergleichbarer Probleme dar. Kritische Informationssysteme dürfen nicht für Endgeräte in einem Funknetz nutzbar sein, da die Ausdehnung des Funknetzes über das Betriebsgelände hinausreichen kann.


Europäische Union: Die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) hat im November und Dezember des Jahres 2017 mehrere Empfehlungen veröffentlicht. Von Relevanz für die Verbandsmitglieder ist ein Dokument mit "Empfehlung zu einem Grundschutz für IoT" im Zusammenhang mit kritischer Infrastruktur.


Europäische Union: Nach der Veröffentlichung des Cyber Security Acts  COM(2017) 477 final  hat der VÖWG die letzten Wochen damit verbracht, die Inhalte zu analysieren und zu bewerten. Gleichzeitig war der VÖWG auch mit anderen Organisationen (unter anderem der ECSO - European Cyber Security Organisation) und Vertretern von weiteren EU-Mitgliedstaaten in Kontakt um die Relevanz und die Inhalte des Entwurfs des Cyber Security Acts zu bewerten.

Der Cyber Security Act enthält im Wesentlichen zwei Inhalte. Er beschreibt die Organisationsstruktur und die Aufgaben der Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA), da dessen Mandat ausläuft und somit verlängert werden muss.  Weiters werden der ENISA wesentliche Aufgaben für den zweiten Inhalt des Cyber Security Acts zugewiesen.

Der zweite Teil enthält Anforderungen an ein sogenanntes "Cybersecurity Certification Framework", also ein Rahmenwerk für die Zertifizierung von Informationssystemen, Einzelkomponenten und Services, das Dokument spricht dabei von "ICT products and services". Dabei ist der ENISA die Aufgabe der Koordinierung und Sammlung möglicher Zerfitizierungsschemata zugedacht, inklusive der Berichterstattung an die Europäische Kommission. Das Zertifizierungsschema soll dabei drei Sicherstellungsebenen (assurance levels) umsetzen: basic, substanital and/or high. Wobei angedacht ist, dass für die Stufe "basic" eine Eigenbewertung (self-assessment) ausreicht, für "substantial" ein Bewertung durch einen Dritten und die Bewertung für die Stufe "high" durch speziell dafür akkredierte Zertifizierungsgesellschaften erfolgen muss. Die dabei ausgestellten Zertifikate sollen laut Entwurf lediglich für drei Jahre gültig sein. Der Inhalt einer solchen soll dabei den Anwendungsbereich der Zertifizierung, eine detaillierte Beschreibung der Cyber Sicherheits-Anforderung, der Evaluierungskriterien und der Sicherstellungsebenen enthalten. Die vorgeschlagene Zertifizierung ist laut Entwurf freiwillig, solange ein Mitgliedstaat diese nicht gesetzlich verpflichtend macht. Bestehende nationale Zertifizierungsschemata bleiben weiterhin gültig, sofern diese inhaltlich nicht durch ein Zertifizierungschema aufgrund des Cyber Security Acts abgedeckt sind. Der Entwurf schlägt auch die Etablierung sogenannter nationaler Überwachungsbehörden (National certification supervisory authorties) vor, die zu einer Europäischen Cyber Sicherheits Zertifizierungsgruppe (European Cybersecurity Certification Group (the 'Group')) zusammengefasst werden.

Die Inhalte des Entwurfs werden auf europäischer Ebene durch die Mitgliedsstaaten teilweise sehr kontroversiell betrachtet. Es wird dabei kritisiert, dass die ENISA zum jetzigen Zeitpunkt weder die Erfahrung und Kompetenz noch die personellen Ressourcen besitzt, um der ihr angedachten Rolle gerecht zu werden. Zudem ist eine Rezertifizierung nach drei Jahren notwendig, was einerseits einen Mehraufwand bedeutet, gleichzeitig gerade in der Informationstechnologie ein langer Zeitraum ist.  Ein weiterer Kritikpunkt ist, dass kein "Governance" für die Aufrechterhaltung der Zertifizierungsschemata vorgesehen ist und somit keine Steuerung relevanter Entwicklungen in der Zukunft erfolgt. Die Vergleichbarkeit der Anforderung und Inhalte von lediglich drei Sicherstellungsebenen für unterschiedliche Themenbereich (kritische Infrastrukur, IoT, Cloud Service, eMobility, Autonomous Systems, usw.) erscheint außerdem problematisch.

Zusammengefasst kann festgestellt werden, dass es sich beim aktuellen Dokument lediglich um einen Entwurf handelt, der entsprechende Diskussionen und Verhandlungen der Mitgliedsstaaten im ersten Halbjahr 2018 zur Folge haben wird.


Österreich: Aufgrund den Regierungsverhandlungen und der Angelobung der neuen Regierung im Dezember gibt es keine Neuigkeiten bezüglich der Umsetzung der NIS-RL im österreichischen Cyber Sicherheits-Gesetz zu berichten. Die Aufgabenverteilung hinsichtlich der Zuständigkeiten in den Ressorts sind zurzeit noch nicht klar geregelt bzw. dem Verband noch nicht ausreichend bekannt. Der VÖWG hofft, in der nächsten Aussendung im Februar mehr Informationen bieten zu können.

IMPRESSUM:

Verband der öffentlichen Wirtschaft und Gemeinwirtschaft Österreichs (VÖWG)
Geschäftsführung: MMag. Heidrun Maier-de Kruijff

Stadiongasse 6-8, A-1010 Wien
Telefon: 0043-1-4082601
E-Mail: sekretariat@voewg.at
Web: www.voewg.at
Rückfragehinweis: juergen.grill@voewg.at