Gefahr für Prüfeinrichtungen, wissenschaftlich arbeitende Einrichtungen und Science-Spaces
In den letzten Wochen erhielten die Medizinische Hochschule Hannover und die Verwaltung in Neustadt unerwünschten Besuch. Wenige Wochen zuvor hatte sich dieser „Besucher“ beim Heise-Verlag eingenistet.
Prolog
- Prüfeinrichtungen, Labors und Science-Spaces sehen sich derzeit mit einer zunehmenden Bedrohungslage konfrontiert. Kommunikation mit neuen, potenziellen Partner und Mitstreitern. mit Verlagen im Rahmen geplanter Veröffentlichungen, Lektoren und kooperierenden Partnereinrichtungen sind essentieller Bestandteil der täglichen Arbeit. Der Austausch elektronischer Daten nicht nur in Form üblicher Standardformate von Textverarbeitungen und Tabellenkalkulationen sondern auch von Bildern, Gensequenzen, mehrdimensionalen Strukturdarstellungen und mit statistisch erfasster Rohdaten erschweren die Bildung fester Regeln im Umgang mit digitalen Informationen.
- Einrichtungen erreichen eher selten eine Größe, die eine eigene EDV-Abteilung mit gestaffelten Sicherheitslinien, Sandboxes etc. wirtschaftlich oder möglich erscheinen lassen.
- Eine Auslagerung von Kompetenz und Daten an Drittanbieter steigert den Bedarf an elektronischer Kommunikation, denn diese Daten müssen nicht nur abgelegt, sondern auch bearbeitet werden. Gibt es einen individuellen goldenen Mittelweg?
1. Identifikation neuralgischer Punkte
1.1 Besondere Schutzbedarfe erkennen
Grundsätzlich liegen Wertungen im Ermessen des bewertenden Personenkreises. Ein gehacktes privates Smartphone ist ein bei richtiger Organisation nur für die betreffende Einzelperson bedeutsames Problem. Der Gesetzgeber sieht rechtliche Regelungen und damit besondere Schutzbedarfe in definierten Bereichen vor. Dies ist von jedem EDV-Sicherheitskonzept grundsätzlich zu würdigen. Dazu gesellen sich Schutzbedarfe, die für die Prüfeinrichtung spezifisch sind. Jede Prüfeinrichtung besitzt einen eigenen Fingerabdruck an besonders schutzbedürftigen Daten, Geräten und Unterlagen.
Besonders schützenswert sind prinzipiell:
- persönliche Daten
- Geschäftsdaten
- Singuläre Einrichtungen von strategischer Bedeutung
- Sicherungsdaten und Archive
Prüfeinrichtungen im Sinne der GLP oder DIN 17025 sollten über eine gewisse Redundanz ihrer Messeinrichtungen verfügen. Schon bei der Frage nach der Redundanz von Archiven schweigen sich die Normen (und Prüfeinrichtungen) aus. Großgeräte in Forschungs- und Prüfeinrichtungen sind oft singulär, werden jedoch oft mit Standard-EDV gekoppelt betrieben. Bedroht der mögliche Ausfall einzelner Geräte oder Software oder einer anderen technischen Einrichtung den Fortbestand der Prüfeinrichtung, so gilt diese technische Einrichtung als besonders schützenswert und sollte damit in der entsprechenden Liste „MF711-4 Liste besonders schützenswerter Einrichtungen“ geführt werden. Spielen Sie das „Was wäre wenn-Spiel“ = zu Neudeutsch: Eine Simulation der Gefährdungen einzelner Aspekte.
1.2 Risikoträger identifizieren
Gefahr für die Integrität von Daten, deren Rückverfolgbarkeit, Nachvollziehbarkeit und die Vertraulichkeit geht in der Regel nicht von den als besonders schützenswert erkannten Einrichtungen aus. Gefahren liegen meist im Umfeld und in der Kommunikation. Eher könnten sie ein Ziel von Attacken oder kollaterale Ziele sein (Siehe: „Angriffe auf Automatisierungssysteme nehmen zu“ oder „Erfolgreicher Hackerangriff auf Sicherheitssteuerung„)
Als Risikoträger müssen gelten:
- private, in das lokale Netzwerk eingebrachte Einrichtungen (Smartphone, PC, Software, Daten u.s.w.)
- nicht verifizierte Datenträger oder Geräte (auch „Standard-„Neugeräte entpuppen sich oft als Träger von Risikoelementen)
- nicht verifizierte, ins Netz eingebrachte Dateien (Auf einem heimischen PC bearbeiteter Entwurf einer Veröffentlichung, Auswertungstools aus dem Internet ….)
- Telefonanlage
- Router
- Netzwerkspeicher
- Nach extern geführte, digitale Kommunikation
- WLAN
- ….
In vielen Prüf- und Forschungseinrichtungen ist das Einbringen nicht verifizierter Hard- und Software ein Grund zur Abmahnung. Über die einmalige Würdigung der Risikoträger hinaus lauert in fast jeder Firmware ein Risiko in Form einer Zeitbombe.
Der beste Server, Netzwerkspeicher, Switch kann nach Ablauf seines Supports oder durch mangelnde Pflege zum trojanischen Pferd werden. Odysseus wartet in den meisten wissenschaftlichen Einrichtungen.
Die Aktualisierung der Firmware (z. B. BIOS) von Hardware ist nicht nur eine Preisfrage. In vielen Prüfeinrichtungen leisten Computer Dienst, für die es längst keine Firmware-Updates gibt, die aber nicht zu ersetzen sind, weil die damit betriebene Hardware an diesen Computer gebunden ist. Hier hilft oft nur eine Trennung des Systems vom lokalen Netzwerk. Wenigstens eine Aufteilung in Form einer lokalen Zonierung des Netzes ist zu erwägen, wenn die Kommunikation der betreffenden technischen Einrichtung (z. B. Teilchenbeschleuniger, Massenspektrometer, Spiegelteleskop …) mit anderen wissenmschaftlichen Einrichtungen aufrecht erhalten werden muss.
2. Planen und Umsetzen von Maßnahmen
Die in Bezug auf Hardware zu ergreifenden Maßnahmen ergeben sich aus „1.2 Risikoträger identifizieren“. Neukauf löst Probleme mit dem Risiko selten dauerhaft. Organisatorische Maßnahmen sollten den aus Sicherheitsgründen erforderlichen Erwerb einer neuen Hardware ergänzen. Fragen nach wie: Wer muss aus was zugreifen? Gibt es eine organisatorisch Zonierung? Was spricht dagegen, diese auch in der Netzwerkstruktur abzubilden?
Oft steckt ein Sicherheitsproblem nicht in der Hardware sondern es sitzt davor. Welche Maßnahmen / Verhaltensweisen sind im Sinne einer effizienten Minimierung des Risikos bei vollem Erhalt der Arbeitsfähigkeit umsetzbar?
- Eine Rückfrage beim mutmaßlichen Absender einer E-Mail vor dem Öffnen von Anhängen,
- ein Verzicht auf Makros,
- eine Umstellung des Formats,
- Vereinbarung von Verschlüsselung
- …. zusätzliche Archivierung in Papierform,
- redundante Sicherungen und zusätzliche längere Sicherungsintervalle,
- externe Aufbewahrung von Sicherungsdaten.
Die richtige Wahl und Kombination von Optionen zur Erhöhung der Sicherheit reduzieren das Risiko. Als Maßnahmen fehlen sollten NIE!:
- Alarmpläne für unterschiedliche Vorfallsarten!
3. Verifikation von Maßnahmen
Es muss ja nicht gleich die Akkreditierung sein. Im wissenschaftlichen Bereich ist eine Akkreditierung noch nicht üblich, weil es an noch geeigneten Vorgaben fehlt. Diese Webseite bemüht sich als Mindestziel um die Schaffung von Handhabungshilfen.
Merke: Alle Handlungsanweisungen und alle Maßnahmen sind nicht valide, wenn ihr Funktionieren nicht nachgewiesen ist.
Eine der wesentlichen Neuerunges der DIN 17025:2018-3 und in der GLP mit ihren Annexen noch nicht in dieser Form erwähnt ist die Forderung an die Kompetenz einer Einrichtung in Sachen „Daten und Informationsmanagement“. Kompetenz geht bekanntlich über das blinde Nachvollziehen bekannter Vorgabeverfahren hinaus. Die Verpflichtung zur Verifizierung trat nicht nur bei den Prüfverfahren hinzu sondern auch bei der Handhabung von Informationen. Der objektive Nachweis der geplanten Funktion eines Verfahrens – hier der elektronischen Sicherheit – ist zu erbringen. Ob eine Router-Kaskade eingerichtet wird, der Virenschutz durch ein Sandboxverfahren implementiert wird oder die Daten komplett auf Band gesichert oder auf einem zweiten System gespiegelt werden, Alarmpläne installiert, jedes eingeführte Element ist in einem Stresstest zu prüfen und diese Prüfung zu dokumentieren.
4. Umgang mit dem Risiko
Risiken werden oft erst erkannt, weil sie sich irgendwo realisiert haben. Angreifende wählen immer neue Wege. Somit gibt es keine nachhaltige Sicherheit. Es bleiben stets Risiken, die es zu tragen gilt. Bei staatlichen Einrichtungen stehen staatliche Organe in der Haftung. Kommerzielle Einrichtungen handeln mit Versicherungen Verträge entsprechend der Wahrscheinlichkeit der Realisation eines Risikos und seine vermuteten Ausmaßes aus. Die Frage der Wirtschaftlichkeit gebietet einen vernünftigen analytischen und administrativen Umgang mit den Risiken der digitalen Welt. Entscheidend gegen das Aufwachsen von digitalen Risiken hilft die kontinuierliche Überwachung der Lage und Reaktion auf an Änderungen. Gänzlich vermeidbar ist das Risiko nicht.
Ein Verfahrensvorschlag im Sinne des Qualitätsmanagements findet sich hier auf dieser Webseite.
1 Gedanke zu „Informationssysteme in Prüfeinrichtungen absichern“