Internationaler Alarm! Wenn der Cyber-Feind den Schrank durchbricht ...

(Di Orazio Danilo Russo)
10/06/21

Seit den 70er Jahren des letzten Jahrhunderts hat die soziale und technologische Entwicklung das Paradigma der Arbeit, die früher traditionell in den vom Arbeitgeber kontrollierten physischen Räumen verrichtet wurde, schrittweise verändert. Diese Entwicklung hat aufgrund der jüngsten Gesundheitskrise eine noch nie dagewesene Beschleunigung erfahren. Die daraus resultierenden Eindämmungs- und Managementmaßnahmen erzwangen in der Tat den Rückgriff auf die agile Arbeit, außerdem auch über elektronische Geräte, die nicht von der technologischen Plattform des Arbeitgebers kontrolliert werden; Geräte unter anderem nicht immer - wie leicht verständlich - den Empfehlungen oder Normen der Zertifizierungs- oder Zulassungsstellen entsprechen.

Die Auswirkungen auf die Informationssicherheit und die Betriebskontinuität von Netzen, IT-Systemen und Informationsdiensten ließen nicht lange auf sich warten. Und die nächsten Monate werden wahrscheinlich weitere Beweise für eine systemische Verwundbarkeit in völlig neuer Dimension hervorbringen, die Tochter zweier Begleitaspekte, deren Auswirkungen mit exponentiellen Ergebnissen einhergehen: die plötzliche Fehlausrichtung zwischen dem IT-Sicherheitsperimeter und dem physischen Sicherheitsperimeter; undmassiver Einsatz von persönlichen Geräten, um - in der ersten Phase der Krise deutlich - den Mangel an Unternehmenskunde (Smartphone, Tablets und Computer, die der Arbeitgeber sozusagen den Arbeitnehmern zuweist) notwendig, um "Smartworking" zu gewährleisten.

Ja, denn die Arbeitswelt wachte eines Morgens auf und musste sich mit einer Realität auseinandersetzen – der häuslichen Beschränkung –, die den Fluss von Arbeitsinformationen und Geschäftsabläufen in die technologischen Segmente der häuslichen Intimität, der öffentlichen Verwaltung und des dritten Sektors umgelenkt hat. Eine Masse an Verkehr, nicht gerade "Freizeit", ist auf die Kleinen gefallen Router Familie (die kybernetische Haustür des Hauses), am Computer im Kinderzimmer - in der Promiskuität auch für den Fernunterricht verwendet - oder auf der neuesten Version von Smartphone der "fernöstlichen" Manufaktur, auf der Videokonferenz-Arbeitssitzungen, abwechslungsreiche aktive Spielereien und die extravagantesten Interaktionen von Social-Networking.

Alles gewürzt mit der Tatsache, dass diese neugeborenen und improvisierten Netzsegmente aus offensichtlichen praktischen und wirtschaftlichen Gründen den Schwerpunkt - auf physikalischer Ebene - überwiegend auf die Funktechnologie (Wi-Fi) verlagert haben, die weniger zuverlässig ist als Kupferkabel und der Glasfaser .

Kurz gesagt, angesichts von Gateways, Portalen, Firewalls und RAS-Servern (d. h. Cyber-Schlachtschiffe eingesetzt, um die Netzwerke von Kasernen, Ministerien, Organisationen zu schützen gemeinnützig und Kompanien) hatte der Gegner die Möglichkeit, die Verteidigungsfront zu umgehen und über das im Heimschrank der "Telearbeiter" versteckte Modem seitlich durchzubrechen.

Das Argument ist so wichtig, dass die Nationales Institut für Standards und Technologie einen „Call for comments“ gestartet, der die kollektive Intelligenz der Branche mobilisiert, um die Standardisierung von Sicherheitsprozessen und -methoden an die veränderte Realität anzupassen. Und im Heimatland steht das Thema im Fokus des CSIRT Italien (sozusagen der Cyber-Spezialeinheiten unserer Republik), das unter anderem eine gezielte Aufklärungskampagne gestartet hat.

Machen wir also eine Bestandsaufnahme – aus der Vogelperspektive – der zu überwachenden Risikoprofile.

Der zu betrachtende Analyseperimeter besteht zunächst aus drei Prozessbereichen, die sich teilweise überschneiden, aber konzeptionell unterschiedlich sind: "Telearbeit", d. h. die Ausführung von Arbeiten außerhalb des physischen Sicherheitsbereichs der Organisation; das "Fernzugriff"d. h. die Möglichkeit, von außen auf die nicht öffentlichen IT-Ressourcen einer Organisation zuzugreifen; das "BYOD", Akronym für "Bring Your Own Device" und das ist die Möglichkeit, damit zu arbeiten Smartphone, Tablets und Computer, die nicht vom Arbeitgeber kontrolliert werden, d. h. solche, die sich im persönlichen Besitz des Arbeitnehmers oder vertraglicher Dritter (Auftragnehmer) befinden.

Das diskutierte Risiko muss durch vier Grundannahmen eingerahmt werden. Die erste ergibt sich aus der Überlegung, dass du kannst nicht schützen, was du nicht physisch kontrollierst. Telearbeit funktioniert - definitionsgemäß - außerhalb des physischen Sicherheitsbereichs des Arbeitgebers, und daher können die „Kunden“ der Organisation leichter verstreut, gestohlen oder vorübergehend außerhalb der Verfügbarkeit des Arbeitnehmers bleiben. Die Folge hiervon kann der Verlust der im verlorenen Gerät gespeicherten Daten oder der Versuch eines betrügerischen Zugriffs auf die Server-Infrastrukturen unter Ausnutzung der Authentifizierungsmechanismen des gestohlenen Geräts sein.

Die zweite bezieht sich auf die Tatsache, dass mit kostspieligen Ausnahmen, die im Allgemeinen mit der Verbreitung strategischer Informationen für Verteidigungs- und nationale Sicherheitssysteme verbunden sind, der „Fernzugriff“ erfolgt über Netzwerke – funk oder drahtgebunden – die von Dritten (Anbietern) zur Verfügung gestellt werden und deren Sicherheit nicht kontrolliert wird. Daraus leitet sich die ganze Problematik der rechtswidrigen Überwachung des Datenverkehrs zum Zwecke des Diebstahls oder der Informationssabotage ab, die typisch für die Offensivtaktiken von Der Mann in der Mitte (MITM).

Die dritte, von großer konzeptioneller Affinität zur aktuellen Gesundheitskrise, besteht in Ansteckungsgefahr durch Computerviren durch infizierte Geräte, die sich mit dem internen Netzwerk der Organisation verbinden dürfen. Dies ist zum Beispiel das Terrain der Wahl für die Taktik Erster Zugriff Cyberpiraten, die darauf abzielen, die Computerumgebung des Opfers mit einer ausführbaren Datei zu infiltrieren, um Sabotage-, Schadens-, Diebstahl- oder heimliche Befehls- und Kontrollaktionen durchzuführen.

Die letzte Annahme muss in Bezug auf die internen Ressourcen getroffen werden, die für den Zugriff von außen, insbesondere durch BYOD, zur Verfügung gestellt werden, wie der Laptop des Auftragnehmers, Smartphone Mitarbeiter des Mitarbeiters, das Tablet des Beraters. Hier gilt demgegenüber der Ansatz, dem Gärtner den Hausschlüssel vorsichtig zu übergeben, damit man sich in seiner Abwesenheit nicht aus dem Haus aussperrt oder die Wohnung ausraubt.

Speziell für BYOD sind eine Reihe ergänzender Risikoannahmen zu treffen. Beschreiben wir sie kurz: Zunächst gibt es immer ein „Dicken“-Gefälle (Robustheit des Sicherheitsgrades) zwischen den IT-Umgebungen des Arbeitgebers und den persönlichen Geräten: Dieses Verschmieren stellt einen Vorteilsfaktor für den Gegner dar. Tatsächlich von Natur aus Smartphone Personal sind für Freizeitzwecke gedacht und verständlicherweise dünner (sozusagen anfälliger) als die Infrastrukturen von Arbeitgebern, wo Sicherheits- und Betriebskontinuitätsanforderungen robuster als flexibel sein müssen. Darüber hinaus kann jeglicher illegaler Verkehr, der durch BYOD mit dem Netzwerk des Arbeitgebers erzeugt wird, dem Arbeitgeber zugerechnet werden, mit offensichtlichen rechtlichen Komplikationen und Rufschädigung.

Schließlich kann ein Arbeitgebernetzwerk, das eine BYOD-Verbindung ermöglicht, ein unbewusstes Schlachtfeld zwischen Geräten von Drittanbietern sein. IST Sicherheit machen es geht nicht nur um den Schutz unserer Vermögenswerte; aber auch verhindern, dass jemand unsere ausbeutet Vermögenswert andere angreifen!

Um mehr zu erfahren:

https://csrc.nist.gov/publications/detail/sp/800-46/rev-3/draft

https://www.difesaonline.it/evidenza/cyber/2020-un-anno-di-hacking

https://www.difesaonline.it/evidenza/cyber/microsoft-sicurezza-e-privacy-ai-tempi-del-covid

https://www.difesaonline.it/evidenza/cyber/microsoft-limportanza-della-sicurezza-e-della-privacy-al-tempo-del-covid

https://csirt.gov.it/contenuti/lavoro-da-remoto-vademecum-delle-policy-di-sicurezza-per-le-organizzazioni