32: KRITIS 2: Ursachen für Schwachstellen im Finanzsektor
Geschrieben von Frank Stiegler am .
LB32: KRITIS 2: Ursachen für Schwachstellen im Finanzsektor (mit Manuel “HonkHase” Atug)
Diese Folge ist die zweite Folge in der Serie über KRITIS, die Frank mit Manuel "HonkHase" Atug macht.
HonkHase ist Senior Manager der HiSolutions AG (spricht hier aber privat) und langjähriges aktives Mitglied im CCC, Gründer und Sprecher der AG KRITIS und arbeitet seit knapp zwanzig Jahren im Bereich KRITIS.
In dieser Folge sprechen HonkHase und Frank über Ursachen für Schwachstellen in KRITIS im Finanzsektor.
01:37 Vorstellung HonkHase
05:30 Einführung ins Thema
Thema dieser Folge: Ursachen für Schwachstellen von KRITIS im Finanzsektor
07:00 HonkHase spricht über seine einschlägigen Erfahrungen im Finanzsektor
11:55 Beispiele für KRITIS im Finanzsektor
16:20 Ursachen-Cluster für Schwachstellen bei KRITIS im Finanzsektor
HonkHase kategorisiert die Schwachstellen wie folgt:
- Alter des Sektors (und damit der Komponenten)
- Macht des Sektors: Man ist "direkt am Geld", hat damit einige Stakeholder und interessierte Beteiligte.
- Globalität des Sektors sorgt für viele Variablen, Gesetzgebungen
- Das ganze führt zu einer immensen Komplexität.
Dazu kommt, dass Prävention allgemein "unsexy" ist, weil sie ohne ein umfassendes und funktionierendes ISMS (Informationssicherheitsmanagementsystem) nur eine Position in einem Cost Center ist.
23:25 Die Schwachstellen im Einzelnen
23:35 Alte Komponenten
- Komponenten sind schwer zu aktualisieren bzw. aktuellen Anforderungen anpassbar, wenn deren Anbieter nicht mehr existieren oder die Komponenten schlicht nicht mehr gewartet bzw. Updates dafür angeboten werden.
- Updates sind bei alten Komponenten zudem relativ teuer, erstens wegen der dafür oft nötigen Infrastruktur, zweitens wegen der Vielzahl von erforderlichen Personen.
Manche Betreiber hinterlegen zur Vermeidung des Problems, dass Updates nicht gemacht wurden, Geld in einem Fraud Management-Topf, aus dem eventuell entstehende Schäden beglichen werden ("Workaround-Arie"). HonkHase führt dann aus, welche Aspekte bei der Bemessung von Update-Zyklen eine Rolle spielen, wann also Haftungssummen und -risiken die Risikopools übersteigen.
29:05 Vernetzung von Komponenten
Komplexität ist für Sicherheit grundsätzlich problematisch, birgt aber gerade bei alten Komponenten erhebliche Risiken, weil schon ein Überblick über Infrastrukturen schwierig ist.
HonkHase erzählt von einem RedTeam-Pentest, den er mal auftragsgemäß auf einem Mainframe gemacht hat. Danach sprechen wir über die Motivationen, entsprechende Penetrationstest zu machen oder zu vermeiden.
38:50 Globalisierung
Hier spielen vor allem unterschiedliche Standards und Anforderungen hinein wie z. B.:
- landes-/staatenspezifische Vorschriften (insbesonder Gesetze)
- Lobbyismus
- Vielzahl von Aufsichtsbehörden mit unterschiedlichen Anforderungen
HonkHase bringt verschiedene Beispiele für nationale/internationale Standards und betont, dass Internationalität damit tendenziell für mehr Standards, Rechtsordnungen, Dienstleister usw. sorgt.
In diesem Abschnitt sprechen wir auch darüber, wie schnell bei einem Audit von Informationssicherheit bzw. Datenschutz erkennbar ist, ob der Prüfgegenstand gut aufgestellt ist.
44:35 Haftungsrisiken und Sanktionen
Wer KRITIS-Komponenten verändert, zieht tendenziell Haftungsrisiken an sich. Wir sprechen darüber, dass deshalb im Finanzsektor zur Vermeidung von Inaktivität diverse Vorschriften existieren, die Inaktivität zu einem erheblichen Haftungs-/Sanktionsrisiko machen.
48:25 Zertifizierung
Zertifizierungen bilden immer eine bestimmte Situation ab, und da Banken/Versicherungen bestimmte Zertifizierungen brauchen, gibt es im zeitlichen Verlauf das Problem der Pflichtenkollision: Einerseits sollte man Komponenten auf dem aktuellen Stand halten (z. B. updaten, wenn eine Sicherheitslücke bekannt geworden ist), andererseits können Veränderungen dazu führen, dass der Zertifizierungsgegenstand nicht mehr dem Zertifizierungsstand entpricht und damit die Zertifizierung nicht mehr gültig ist.
50:30 Fazit
- Schwarz-/Weißlösungen sind oft unsachgemäß. Kompromisse sind nicht nur nötig, sondern oft sinnvoll.
- Entscheidungen sind oft schwierig zu treffen, da hierfür fast immer mehrere Abteilungen beteiligt sein und deren Expertisen bei der entscheidenden Person zusammenlaufen müssen.
- Es gibt auch bei diesen Fragen immer gute Lösungen, wenn man mit Ahnung und Interesse drangeht.
Feedback und Wünsche gern per E-Mail an podcast@stiegler-legal.com oder twittern an @legal_bits, @HonkHase oder @ra_stiegler!
Die Einsprecher kommen wie immer von Sarah Nakic aus Brühl bei Köln.