Bundesamt für (Un)Sicherheit in der Informationstechnik? Und was taugt der Grundschutz?

Worum geht es?

Seit März 2021 beschäftige ich mich intensiv mit dem BSI Grundschutz oder Kompendium. Der ist nach meinem Verständnis mehr eine Arbeitsbeschaffungsmaßnahme denn eine Hilfe, denn es gibt ganz viele Bausteine ohne dass – abgesehen von den Gefahren – ein roter Faden erkennbar ist, und viele Bausteine bleiben ganz klar hinter meinen Erwartungen zurück, weil sie Fallstricke gar nicht adressieren. Mit anderen Worten: man kann alle Bausteine umsetzen und vom BSI zertifiziert werden und trotzdem unsicher sein. Das gibt das BSI in der Stellungnahme vom 20.01.2022 im Rahmen der Vermittlung durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) von sogar zu. Was soll das? Unsicherheit wird akzeptiert? Das verstößt in meinem Augen nicht nur ganz klar gegen Artikel 32 DSGVO sondern auch gegen das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG):

§3 BSIG
(1)
Das Bundesamt fördert die Sicherheit in der Informationstechnik mit dem Ziel, die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und deren Verarbeitung zu gewährleisten. ...
...
 

Beim besten Willen – von Gewährleistung der Vertraulichkeit kann ich da nichts erkennen.

Und außerdem verbrennen Sie viel Zeit und damit Geld, denn der rote Faden fehlt. Was den roten Faden angeht, kann ich sogar helfen und habe das auch bei BSI-Kunden schon gemacht oder versucht. Meine Sicherheitsanforderungen bestehen nicht aus geschätzt 60 System-Bausteinen mit ungezählten Detailanforderungen und in der Edition 2022 900 Seiten, sondern aus 15 + 1 Anforderungen. Einige davon – der Block Eingabevalidierung und Ausgabeaufbereitung – ergeben nur Sinn, wenn man Software entwickelt oder testet, aber alle anderen kann ich auch auf vorhandene Produkte und Infrastruktur anwenden und als Abnahmekriterium verwenden. Anforderungen für Gebäude und Prozessanforderungen habe ich da bisher nicht drin – nicht meine Kernkompetenz und die müssen ja auch zur jeweiligen Organisation passen. Dafür ist die + 1 – die Anforderung "alle Sicherheitsanforderungen können und sollen automatisch getestet werden" ganz wichtig, dazu unten mehr.

Ich habe das für meine eigene Infrastruktur gemacht, das Ergebnis finden Sie unter IT-Sicherheit@Lindenberg – gerade mal sechs Seiten Papier statt vielen hunderten. Und im Unterschied zum BSI und seinen Kunden, traue ich mich das öffentlich zu machen, denn Angreifer sind sowieso besser informiert als wir, und nur Kritik und offene Diskussion bringt einen weiter – siehe Security by Obscurity. Hunderte Seiten? Leider kein Witz. Habe ich bei Kunden gesehen, einschließlich der Defizite. In meinen Augen noch fataler, vor allem bei Software: die Autoren des Konzepts, die Entwickler oder Betreiber sind dann oft verschieden und reden zu wenig miteinander, damit sind selbst bei brauchbarem Konzept Umsetzungsfehler wahrscheinlich bis garantiert.

Wegen der vielen Mängel im Kompendium und auch aus anderen Gründen habe ich Fragen ans BSI gerichtet, aber keine einzige hat das BSI bisher ernsthaft beantwortet. Ist das BSI so ignorant und versteht nicht was es tut oder was es tun müsste, oder ist es so arrogant, dass es sich mit Fragen oder Vorschlägen gar nicht auseinandersetzen will? Immerhin hat es in der schon genannten Stellungname vom 20.01.2022 zugegeben, dass Einrichtungen nach Grundschutz unsicher sind. Mir sind noch einige weitere Mängel in Bausteinen bekannt, aber wenn ich die auch noch in Fragen gieße, unterstütze ich ja nur Angreifer (und zwar die schlechteren, die guten brauchen das nicht). Ich kenne auch nicht alle Bausteine im Detail – wer kann das schon bei 900 Seiten?

Beispiele

Drei Beispiele: Eduroam, VMware Esxi, Reverse Proxies oder Web-Application-Firewalls. Interessanterweise alle ein Problem, weil Authentifizierung und Verschlüsselung im Grundschutz vernachlässigt werden können. Über Verschlüsselung habe ich mich in Ist Verschlüsselung Pflicht? schon ausgelassen. Also betrachten wir an dieser Stelle mal Authentifizierung im Detail:

BausteinTitel/Anforderung
ORP.4 Identitäts- und Berechtigungsmanagement
Einleitung
Benutzer und IT-Komponenten müssen zweifelsfrei identifiziert und authentisiert werden.
Leider ist der Begriff IT-Komponente im Grundschutz nicht definiert und damit unklar für was die Erfüllung dieser "versteckten" Anforderung erwartet wird. Auch sind alle konkreten Anforderungen zusammen schwächer als dieser eine (richtige) Satz.
A9 Identifikation und Authentisierung [IT-Betrieb] (B)
Der Zugriff auf alle IT-Systeme und Dienste MUSS durch eine angemessene Identifikation undAuthentisierung der zugreifenden Benutzer, Dienste oder IT-Systeme abgesichert sein. VorkonfigurierteAuthentisierungsmittel MÜSSEN vor dem produktiven Einsatz geändert werden.
Anmerkung: warum nur der zugreifenden Benutzer, Dienste oder IT-Systeme und nicht auch des Dienstes oder IT-Systems, auf das zugegriffen wird?
A12 Entwicklung eines Authentisierungskonzeptes für IT-Systeme und Anwendungen [IT-Betrieb] (S)
Es SOLLTE ein Authentisierungskonzept erstellt werden. Darin SOLLTE für jedes IT-System und jede Anwendung definiert werden, welche Funktions- und Sicherheitsanforderungen an die Authentisierung gestellt werden. Authentisierungsinformationen MÜSSEN kryptografisch sicher gespeichert werden. Authentisierungsinformationen DÜRFEN NICHT unverschlüsselt über unsichere Netze übertragen werden.
Anmerkung: auf sichere Netze zu vertrauen ist in meinen Augen grob fahrlässig. Mehr zur Netzwerksicherheit in Ist Verschlüsselung Pflicht – Defense-in-Depth?
A13 Geeignete Auswahl von Authentisierungsmechanismen [IT-Betrieb] (S)
Es SOLLTEN dem Schutzbedarf angemessene Identifikations- und Authentisierungsmechanismenverwendet werden. Authentisierungsdaten SOLLTEN durch das IT-System bzw. die IT-Anwendungenbei der Verarbeitung jederzeit gegen Ausspähung, Veränderung und Zerstörung geschützt werden. DasIT-System bzw. die IT-Anwendung SOLLTE nach jedem erfolglosen Authentisierungsversuch weitereAnmeldeversuche zunehmend verzögern (Time Delay). Die Gesamtdauer eines AnmeldeversuchsSOLLTE begrenzt werden können. Nach Überschreitung der vorgegebenen Anzahl erfolgloserAuthentisierungsversuche SOLLTE das IT-System bzw. die IT-Anwendung die Benutzerkennungsperren.
Anmerkung: ich halte nichts davon, Benutzerkennungen zu sperren, denn das ermöglicht Denial-Of-Service-Angriffe auf Benutzerkennungen. Sinnvoller ist es, die IP-Adresse oder das Netzwerk von dem die gescheiterte Anmeldung kam vorübergehend zu blockieren. Eine schöne Darstellung zu Für und Wider in Bruteforce-Protection und warum das gar nicht so leicht ist.

Eduroam

Das BSI schreibt ja, Eduroam sei bekannt, und Eduroam ging schon vor einigen Jahren durch die Presse. Insider und Hacker kennen die Technik und das Problem natürlich auch, schon deutlich länger – ich seit gut zehn Jahren. Das Problem ist leider nicht auf Hochschulen beschränkt, viele Unternehmen verwenden genau die gleiche Technik, nur dass sie keine Benutzer anderer Organisationen unterstützen. Das folgende Bild zeigt die typischen Komponenten für WPA-Enterprise (und ist nahezu identisch mit einem Bild aus einer Aufgabensammlung des Sicherheitskurses den ich mit IT-Nachwuchs eines DAX-Konzerns im September 2021 hatte):

WPA-Enterprise Scenario

Im Grundschutz findet sich dazu leider nur die Gefahr – keine Anforderung wie man die Gefahr beseitigt:

BausteinTitel/Anforderung
NET.2.1 WLAN-Betrieb
Gefährdungslage
2.8 Vortäuschung eines gültigen Access Points (Rogue Access Point)
Ein Angreifer kann sich als Teil der WLAN-Infrastruktur ausgeben, indem er einen eigenen Access Point mit einemgeeignet gewählten Namen (SSID) in der Nähe eines WLAN-Clients installiert. Dieser vorgetäuschte Access Pointwird als Rogue Access Point bezeichnet. Bietet dieser dem WLAN-Client eine stärkere Sendeleistung als der echteAccess Point, wird der Client diesen als Basisstation nutzen, falls diese sich nicht gegenseitig authentisieren. Zusätzlich könnte auch der echte Access Point durch einen Denial-of-Service-Angriff ausgeschaltet werden. Die Benutzermelden sich an einem Netz an, das nur vorgibt, das Zielnetz zu sein. Dadurch ist es einem Angreifer möglich, die Kommunikation abzuhören. Auch durch Poisoning- oder Spoofing-Methoden kann ein Angreifer eine falsche Identität vortäuschen bzw. den Netzverkehr zu seinen IT-Systemen umlenken. So kann er die Kommunikation belauschen und kontrollieren. Besonders in öffentlichen Funknetzen (sogenannten Hotspots) ist ein Rogue Access Pointein beliebtes Angriffsmittel.
Anmerkungen: sich nicht gegenseitig authentisieren- warum steht das nicht in einer Anforderung? Oder das klare Verbot, die gleichen Passwörter wie für andere Systeme zu verwenden? Der Rogue Access Point muss keineswegs im oder in der Nähe des Gebäudes sein, an der nächstgelegenen Haltestelle der S-Bahn oder im Parkhaus ist auch eine geeignete Stelle für den Angreifer, weil es dort wahrscheinlich keinen echten Access Point gibt und er damit voraussichtlich der stärkste ist. Das reduziert die Clients möglicherweise auf Mobiltelefone, die sich automatisch mit dem Netz verbinden, aber auch das liefert Zugangsdaten. Will man privilegiertere Zugangsdaten, dann evtl. bei der Villa des CEOs?
NET.2.2 WLAN-Nutzung
Gefährdungslage
2.5 Vortäuschung eines gültigen Access Points (Rogue Access Point)
hier steht genau das gleiche wie in NET.2.1
A3 Absicherung der WLAN-Nutzung an Hotspots [IT-Betrieb] (B)
Dürfen Hotspots genutzt werden, MUSS Folgendes umgesetzt werden:
  • Jeder Benutzer eines Hotspots MUSS seine Sicherheitsanforderungen kennen und danach entscheiden, ob undunter welchen Bedingungen ihm die Nutzung des Hotspots erlaubt ist.
  • Werden Hotspots genutzt, dann SOLLTE sichergestellt werden, dass die Verbindung zwischen Hotspot-AccessPoint und IT-System des Benutzers nach dem Stand der Technik kryptografisch abgesichert wird.
  • WLANs, die nur sporadisch genutzt werden, SOLLTEN von den Benutzern aus der Historie gelöscht werden.
  • Die automatische Anmeldung an WLANs SOLLTE deaktiviert werden.
  • Wenn möglich, SOLLTEN separate Benutzerkonten mit einer sicheren Grundkonfiguration und restriktiven Berechtigungen verwendet werden.
  • Es SOLLTE sichergestellt sein, dass ich kein Benutzer mit administrativen Berechtigungen von seinem Client aus an externen WLANs anmelden kann.
Anmerkung: die Verantwortung auf den Benutzer abzuschieben ist eine Einladung zum Scheitern. separate Benutzerkonten würde helfen, aber das darf nicht der Anwender sondern muss der Betreiber entscheiden.

Das Problem ist die immer fehlende Authentifizierung des Access Points und die oft fehlende Authentifizierung des Authentication Servers durch den Client. Weder OPR.4 noch NET.2 verlangen diese Authentifizierung ausdrücklich. Meine Sicherheitsanforderungen besagen "Verwende X.509 Zertifikate oder Kerberos zur Authentifizierung von Systemen oder Services (Server und Client)". Hier prüft der Client typischerweise nur den Namen des Netzes und den kennt ja jeder. Wenn Sie jetzt in der Tabelle auf Bedrohungsmodellierung nachsehen, dann stehen da schon die Gefahren Spoofing – in diesem Kontext auch Fake- oder Rogue-Access-Point – und Denial-Of-Service – über den Fake kommen Sie meist nicht in Ihr Netzwerk. Wenn Sie sich noch klar machen, dass Berechtigungen Authentifizierung erfordert, haben Sie das volle Desaster, einschließlich der Datenpanne. Machen Sie sich klar, dass der Client die Credentials – Ihre Kronjuwelen – einem System anvertraut, das er nicht authentifiziert hat – danach ist alles möglich.

Natürlich kann man je nach verwendetem (P)EAP-Verfahren den Client richtig konfigurieren und eine Prüfung des Zertifikats des Authentication Servers konfigurieren, aber Eduroam zeigt, dass die Anwender damit überfordert sind, und es auch gerne in den sowieso nicht gelesenen Anleitungen fehlt. Wenn Sie nicht wissen wofür (P)EAP steht oder wie Zertifikate genau funktionieren, dann sind Sie in guter Gesellschaft. Also erreichen Sie Sicherheit nur dann, wenn Sie verhindern, dass Ihre Domänen-Passwörter dafür verwendet werden.

Alternativen

Welche Alternativen – ohne Anspruch auf Vollständigkeit – gibt es?

  • EAP-TLS und Zertifikate für Client und Server – so steht es in meinen Anforderungen, weil mit zertifikatsbasierter Authentifizierung geben Sie Schlüssel nie aus der Hand sondern beweisen nur dass Sie ihn haben. Das Problem ist, dass Sie einen Prozess für die Verteilung des Client-Zertifikats brauchen – es gibt kommerzielle, leider nicht ganz billige Lösungen dafür.
  • offenes WLAN – wenn Sie Sicherheit sonst ernst nehmen, dann verschlüsseln Sie jede Kommunikation, auch jede interne Kommunikation, mit TLS, https, oder anderen hinreichend guten Protokollen. Dann kommt es auf die WLAN-Verschlüsselung nicht wirklich an, oder nur um DNS privat und zuverlässig zu bekommen, aber dafür gibt es auch andere Möglichkeiten. Fragt sich aber, ob Sie dann zum öffentlichen Telekommunikationsnetzanbieter werden.
  • Preshared Key – immer anrüchig, weil die Sicherheit nur so gut wie die schwächste Stelle ist. Sie müssten formal auch jedesmal wenn ein Mitarbeiter die Firma verlässt den Key ändern, und das machen zu wenige Organisationen.
  • separates Directory (Benutzerverzeichnis) – das vermeidet die Probleme der obigen Alternativen. Habe ich bisher bei nur einer Firma und bei mir selbst gesehen.

Und warum habe ich dieses Beispiel vertieft? Weil selbstverständlich nicht überall Sicherheitsanforderungen ideal umgesetzt werden können, aber wenn eben nicht, dann müssen Sie nach Alternativen suchen, die das Risiko auf ein vertretbares Maß reduzieren. Als ich bei der Dualen Hochschule angefangen habe zu unterrichten und man mir schrieb, die Zugangsdaten gelten auch für Eduroam, hab ich gleich zurückgefragt, ob die Risiken bekannt sind. Antwort ja. Andere kennen nicht einmal das Risiko. Im Kompendium steht das Risiko, aber weder klare Anforderungen noch eine Musterlösung. Warum nicht?

VMware ESXi

VMware ESXi unterstützt leider keine Verschlüsselung der beteiligten Server. Die Sicherheit einer VMware Installation hängt damit ausschließlich an der Netzwerksicherheit (ESXi Networking Security Recommendations: Isolation of network traffic is essential to a secure ESXi environment.) und damit an der Qualität der Netzwerkkomponenten und der Gebäudesicherheit – und wie ich in Ist Verschlüsselung Pflicht – Defense-in-Depth geschrieben habe, ins Gebäude kommt man immer, und damit auch an das Netzwerk, und manche Hersteller von Netzwerkinfrastruktur nehmen Qualität auch nicht sehr ernst.

Ohne Verschlüsselung als Basisschutz der Server ist das Betriebssystem unzureichend vor Manipulationen geschützt, die Verwendung von Secure-Boot bei VMware also weitgehend sinnlos, denn Secure-Boot prüft zwar die Signaturen der Boot- und einiger Betriebssystemkomponenten, verhindert aber nicht andere Manipulationen des gestarteten Betriebssystems – das übernimmt bei Windows Servern die Bitlocker-Verschlüsselung. Und damit ist auch völlig unklar, wo man bei VMware ESXi irgendwelche Passwörter, Zertifikate oder andere Credentials sicher gespeichert werden sollen, mit denen sich ein Server bei anderen IT-Komponenten anmelden könnte. Auch nützt es wenig, entsprechend SYS.1.5 die virtuellen Maschinen zu verschlüsseln, denn eine virtuelle Maschine kann sich nicht sinnvoll vor Angriffen auf dem Host schützen.

Ohne Verschlüsselung erfüllt VMware auch ORP.4.A12 nicht. Oder vielleicht doch? Denn VMware selbst speichert ja gar keine Authentifizierungsinformationen, das findet dann erst in virtuellen Maschinen statt, und die soll man nach SYS.1.5 bei hohem Schutzbedarf verschlüsseln. Nur dass das auch bedeutet, dass jegliche Kommunikation in VMware ESXi nicht authentifiziert ist, und damit selbst wenn verschlüsselt wird unklar ist, ob man mit dem richtigen Partner kommuniziert – erkennen Sie jetzt warum die Einleitung in ORP.4 eine Basisanforderung sein müsste? Unabhängig davon, dass man Verschlüsselung wegen ORP.4.A12 schon bei normalem Schutzbedarf bräuchte, ergibt das wenig Sinn, sondern es erweckt bei mir den Eindruck, dass man im Grundschutz konsequente Authentifizierung und Verschlüsselung im Rechenzentrum nicht einfordert, weil man sonst den Einsatz von VMware ESXi verbieten müsste.

Natürlich ist mir bekannt, dass viele öffentliche Einrichtungen VMware einsetzen, und ich nehme die Projektangebote auf Plattformen wie freelance.de Suche für einen Kunden im öffentlichen Bereich einen VMware-Spezialisten mit Schrecken wahr. VMware scheint es billig – ich schreibe bewusst nicht preiswert – im Kaufhaus des Bundes zu geben, aber dann hat das Kaufhaus auch eine Nachfragemacht gegenüber VMware und könnte Verbesserungen einfordern.

Alternativen

So ziemlich alle modernen Betriebssysteme bieten Verschlüsselung an, und bei Windows-Clients ist auch im öffentlichen Bereich Bitlocker mit Pre-Boot-Authentication weit verbreitet. Problematisch ist Verschlüsselung allenfalls bei selbststartenden Systemen, denn niemand will im Rechenzentrum nach einem Ausfall oder sonstigem Neustart manuell einen Schlüssel oder Passwort eingeben. Zumal den ja dann mehrere Mitarbeiter kennen müssten und er damit als kompromittiert anzusehen wäre.

Windows Server bzw. Hyper-V unterstützt Bitlocker und zusammen mit Bitlocker Network Unlock kann man Verschlüsselung auch für selbststartende Systeme realisieren. Da ich das selbst einsetze findet sich mehr Dokumentation dazu in meinem Sicherheitskonzept.

Bei Linux kann man Clevis und Tang einsetzen – damit habe ich bisher keine eigene Erfahrung.

Reverse-Proxies und Web-Application-Firewalls

Zunächst muss ich klarstellen, dass ich hier Reverse-Proxies auf http-Ebene meine, denn der Begriff Proxy ist überladen. Reverse-Proxies auf http-Ebene terminieren genau wie Web-Application-Firewalls den http-Verkehr und leiten ihn dann an die eigentliche Web-Anwendung oder http-basierte Dienste weiter. Und dann werden meist alle möglichen Sicherheitsfunktionen beworben, die in der Praxis nur selten realisiert werden können. Tatsächlich haben viele Firmen eine Web-Application-Firewall im Einsatz, um bei entsprechenden Checklisten gut auszusehen, die Filter-Regeln der Web-Application-Firewall sind aber fast immer leer. Und selbst wenn da etwas drin steht, dann selten etwas was einen Angreifer ernsthaft abhält.

Etwas besser ist es, wenn die Regeln nicht eine Blacklist sondern eine Whitelist realisieren, nur muss die oft bei Änderungen der Web-Anwendung nachgepflegt werden – fast immer ein Aufwand der unterschätzt wird und im Einsatz zu Fehlfunktionen führt. Das hat Eingang ins Kompendium gefunden:

BausteinTitel/Anforderung
APP.3.1 Web-Anwendungen und Webservices
A20 Einsatz von Web Application Firewalls (H)
Institutionen SOLLTEN Web Application Firewalls (WAF)einsetzen. Die Konfiguration der eingesetzten WAF SOLLTEauf die zu schützende Webanwendung oder den Webservice angepasst werden. Nach jedem Update der Webanwendung oder des Webservices SOLLTE die Konfiguration der WAF geprüft werden.

In der Praxis führt das meist dazu, dass nach kurzer Zeit alle Filterfunktionen deaktiviert werden, als ob die WAF gar nicht da wäre.

Ist sie aber doch, nur dass sie sich jetzt wie ein Reverse-Proxy verhält. Das große Sicherheitsproblem ist, dass Reverse-Proxies und also auch Web-Application-Firewalls die verschlüsselte Verbindung terminieren – als Man-In-The-Middle. Für die Nicht-Fachleute: das ist ein Ende der verschlüsselten Verbindung, d.h. auf dem Proxy oder der WAF sind die Daten nicht verschlüsselt, und ob danach, zur eigentlichen Anwendung verschlüsselt wird bleibt offen – der Grundschutz verlangt es nicht, und dementsprechend selten wird es gemacht. Ein Proxy ist also auch eine Stelle an der die echten Daten – oft einschließlich Anmeldeinformationen – abgegriffen, protokolliert, aber auch manipuliert werden können – oft unbemerkt vom Verantwortlichen der eigentlichen Webanwendung. Damit ist ein zentraler Reverse-Proxy oder eine zentrale WAF in meinen Augen sogar ein prädestinierter Angriffspunkt, und verstößt damit meiner Meinung nach gegen den 1. und 2. Satz von ORP.4.A13 (s.o.). Und auch wenn der Grundschutz in NET.3.2.A21 Temporäre Entschlüsselung des Datenverkehrs (S) fordert – ich halte nichts davon, denn es erhöht das Risiko eher als es zu senken.

Ein Kollege bei SAP hat sehr treffend gesagt, alles was man auf einer WAF kann, kann man auch und meist besser in der Anwendung selbst realisieren. Oder mit den Worten von Gary McGraw in Software Security: Building Security In (2005): Basically, the dollars spent on network security and other perimeter solutions are not solving the security problem. We must build better software. Das muss man dann aber auch umsetzen. Bei SAP findet das statt, bei Dataport nicht – Dataport – kann man nur verpfeifen!. Die Netzwerkinfrastruktur alleine kann das jedenfalls nicht lösen, denn sie kann zwar einen SYN-Flood erkennen, nicht aber einen Angreifer der Passwörter durchprobiert.

Alternativen

Statt die Verbindung zu terminieren, kann man sie auch mit einem TCP-Proxy (z.B. nginx) weiterreichen und dabei z.B. mit Hilfe des Proxy-Protocols auch die IP-Adresse des Clients weiterreichen – sofern erforderlich. Viele Webserver und Anwendungen verstehen das Proxy-Protokoll oder können entsprechend geändert werden. Die einzige Ausnahme bei mir ist der Windows Internet Information Service. Notfalls installiert man einen dezentralen Reverse-Proxy direkt vor der Anwendung möglichst auf dem gleichen System oder in einem Container im gleichen Docker-Compose oder im gleichen Kubernetes-Pod, dann ist sichergestellt, dass die Administratoren und die Uhrzeit der Logs zusammenpassen.

Und dann sollten Anwendungen oder Dienste sicherheitsrelevante Ereignisse protokollieren und an eine zentrale Infrastruktur melden um beim Verdacht auf einen Angriff die Firewall zu instrumentieren. Auch das ist im Grundschutz eigentlich nicht vorgesehen, denn NET.3.2.A2 erlaubt nur eine Whitelist und keine Blacklist, aber mir ist völlig unklar, wie man eine (D)DOS-Attacke eines Botnets aus Zugangsnetzen normaler Provider anders verhindern soll als durch eine sukzessive aufgebaute Blacklist. Und nur damit keine Missverständnisse auftreten: auch ich bin Anhänger von White-List-Ansätzen, aber hier ist mir keine sinnvolle Alternative bekannt.

Was wünsche ich mir?

Wenn ich drei Wünsche frei hätte:

  • Reduziert die Anforderungen auf so wenige wie irgend möglich, damit man den roten Faden erkennen kann. Diese allgemeinen Anforderungen sind gleichzeitig die, die in kundenspezifischer Software verwendet werden sollen. Als Vorschlag der erweitert werden kann, können meine Sicherheitsanforderungen herangezogen werden.
  • Wenn die Anforderungen gleich sind, kann man in den einzelnen Bausteinen aufzeigen, wie die generischen Anforderungen bei konkreten Systemen, Technologien oder Anwendungen umgesetzt werden sollen, und welche Ausnahmen oder Alternativen vielleicht erlaubt sind und welche Risiken damit einhergehen.
  • Und wenn die Anforderungen, Alternativen, und die Musterlösungen bekannt sind, dann ist auch standardisierbar wie man es testet. Testen, am besten automatisch. Dazu unten weiter.

Kommt Ihnen bekannt vor? Dann haben Sie vermutlich meinen Artikel Bedrohungsmodellierung und dieses Bild in Erinnerung:

Qualitätsmanagement

Testen oder Pentesten?

Nochmal zu + 1 Testen. Wenn man nur Anforderungen definiert, sie aber nicht überprüft, dann können sich ganz leicht Fehler einschleichen. Eigentlich logisch, oder nicht? Diese Fehler sind dann im Idealfall Beute für den Pentester, im schlechtesten Fall nutzt ein Angreifer sie aus. Anforderungen manuell zu testen ist bei der Komplexität heutiger Software und Systeme nicht effektiv, das muss auf Ausnahmen beschränkt sein – ganz unabhängig davon ob es sich um eine funktionale oder nicht-funktionale Anforderung wie Sicherheit handelt. Je weniger Anforderungen sie haben, desto leichter finden Sie nicht nur Musterlösungen, sondern auch standardisierte Testansätze. Das ist z.B. bei der TR-03108 und den Verwaltungsportalen ganz offensichtlich schief gegangen, nur ist völlig unklar an welcher Stelle. War unklar, dass RFC 7672 oder TR-03108 relevant ist? Oder einen Schritt zurück: wenn man – siehe Anforderungen – Verschlüsselung und Authentifizierung bei Email erreichen will, dass man dann RFC 7672 oder TR-03108 braucht? Wie man das mit Standardprodukten umzusetzen kann (s.a. RFC 7672 mit Mailcow/Postfix)? Was die relevanten Anforderungen" im Sinne von OPS.1.1.6 sind, die getestet werden sollen? Oder wie man sie automatisch überprüft? Details auf Emailsicherheit – der Test und vielleicht irgendwann in Anfrage Sichere Email nach BSI TR-03108 – wenn das BSI auf die Frage antwortet, und ich dann vielleicht verstehe, ob es Unterschiede zwischen RFC 7672 und TR-03108 gibt.

Dass auf Test zu wenig Wert gelegt wird ist leider ein Muster im Grundschutz. In der oben schon verlinkten Edition 2022 taucht "test" an 391 Stellen auf, einschließlich Treffern von "spätestens", "älteste", "weitestgehend". Echte Treffer des Wortstamms test in Kombination mit MUSS gibt es in nur 12 Anforderungen. SOLL ist auch MUSS? Habe ich bei keinem Kunden erlebt. Die meisten Treffer – nein, nicht in OPS sondern in INF, 3 in INF.2, 1 in INF.14. OPS folgt tatsächlich mit 3 Treffern in OPS 1.1.6, aber die sind wieder so abstrakt, dass man gleich interpretieren kann, man darf´s auch lassen. Weiter je 1 Treffer in CON.3, CON.8, APP.3.4, SYS.3.1, und NET.3.2. Wenn ich einen übersehen haben sollte schicken Sie mir bitte eine Email. Den Rest müssen Sie also nicht testen. Mit anderen Worten, ohne die Pentester finden Sie nichts, aber die sind ja auch nur ein SOLL in OPS.1.1.6. Also selbst wenn Ihr Sicherheitskonzept gut ist, über die Umsetzung wissen Sie effektiv nichts, wenn Sie nicht testen. Machen Sie die Pentester arbeitslos indem Sie selber testen und die Tests möglichst automatisieren. Viel mehr verkauft Ihnen der Pentester heute auch nicht, der lässt meist viele Tests automatisch laufen, erst wenn er da etwas beobachtet geht er in die Tiefe.

Auskunft, Akteneinsicht, Beschwerde

Um Licht in die Frage Arroganz vs. Ignoranz zu bringen habe ich Auskunft und Akteneinsicht beantragt. Auch hier will man erstmal mauern – aber die Beschwerde läuft. Am 29.08.2022 will man mir Akteneinsicht gewähren und um mir die Zuzusenden will man ein Zertifikat. Da ich nichts von PGP und S/MIME halte, muss ein anderer Weg her. Und die Beschwerde habe ich erweitert, weil man das Zertifikat anscheinend auch per Email akzeptieren würde. Dass Schlüssel und Inhalte getrennt kommuniziert werden müssen – das BSI scheint so etwas nicht zu wissen. Stand 01.10.2022: Dann erhalte ich die elektronische Auskunft, kann die darin enthaltenen Dokumente aber nicht den Vorgängen zuordnen – auch das sehe ich als Verstoß gegen Artikel 5 – und für einige Dokumente braucht man den umstrittenen Acrobat Reader. Aufgrund meiner Auskunft beim BfDI habe ich inzwischen auch Teile der Kommunikation zwischen BfDI und BSI ergänzen können – so richtig verstanden und umgesetzt hat das BSI die DSGVO noch nicht.

Datum/ZeitSenderEmpfängerThema
22.03.2022 08:58Joachim LindenbergBundesamt für Sicherheit in der InformationstechnikAuskunft nach Artikel 15 DSGVO
23.03.2022 12:28Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergIhre Anfrage vom 22.03.2022
23.03.2022 13:53Joachim LindenbergBundesamt für Sicherheit in der InformationstechnikIhre Anfrage vom 22.03.2022
23.03.2022 15:55Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergIhre Anfrage vom 22.03.2022
04.04.2022 12:20Joachim LindenbergBundesministerium für Inneres und HeimatBeschwerde über das Bundesamt für Sicherheit in der Informationstechnik
12.04.2022Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergAuskunftsschreiben
14.04.2022 15:45Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergIhre Anfrage vom 22.03.2022 -- § 29 VwVfG
14.04.2022 20:41Joachim LindenbergBundesamt für Sicherheit in der InformationstechnikIhre Anfrage vom 22.03.2022 -- § 29 VwVfG
21.04.2022 08:20Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergIhre Anfrage vom 22.03.2022 -- § 29 VwVfG
26.04.2022 08:30Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitWG Auskunft nach Artikel 15 DSGVO
27.04.2022 08:51Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergIhr Schreiben an den BfDI 'Auskunft nach Artikel 15 DSGVO'
27.04.2022 09:49Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Ihr Schreiben an den BfDI 'Auskunft nach Artikel 15 DSGVO' – 25-170 II#1143
28.04.2022 08:21Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergRe Ihr Schreiben an den BfDI 'Auskunft nach Artikel 15 DSGVO' – 25-170 II#1143
29.04.2022 07:36Bundesbeauftragter für den Datenschutz und die InformationsfreiheitBundesamt für Sicherheit in der InformationstechnikBeschwerde nach Art. 77 DSGVO – Bitte um Stellungnahme
04.05.2022 16:13Bundesamt für Sicherheit in der InformationstechnikBundesbeauftragter für den Datenschutz und die Informationsfreiheit0633_22 sonstiges Schreiben – Beschwerde nach Art. 77 DSGVO – Bitte um Stellungnahme
13.05.2022 11:23Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergRe Ihre Anfrage vom 22.03.2022 -- § 29 VwVfG
13.05.2022 11:51Joachim LindenbergBundesamt für Sicherheit in der InformationstechnikRe Betreff Ihre Anfrage vom 22.03.2022 _ § 29 VwVfG
13.05.2022 14:26Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergRe Ihre Anfrage vom 22.03.2022 -- § 29 VwVfG
27.05.2022 18:24Joachim LindenbergBundesamt für Sicherheit in der InformationstechnikWiderspruch Fax
28.06.2022 12:11Bundesbeauftragter für den Datenschutz und die InformationsfreiheitBundesamt für Sicherheit in der InformationstechnikBitte um Stellungnahme zu festgestellten Datenschutzverstößen
25.07.2022 07:08Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergIhr Schreiben an den BfDI 'Auskunft nach Artikel 15 DSGVO'
29.08.2022 13:00Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergIhr Auskunftsbegehrens nach Art. 15 DSGVO vom 22. März 2022
29.08.2022 13:23Joachim LindenbergBundesamt für Sicherheit in der InformationstechnikRe Ihr Auskunftsbegehrens nach Art. 15 DSGVO vom 22. März 2022
29.08.2022 14:59Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergRe Ihr Auskunftsbegehrens nach Art. 15 DSGVO vom 22. März 2022
29.08.2022 16:34Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitWG Ihr Auskunftsbegehrens nach Art. 15 DSGVO vom 22. März 2022 – 25-170 II#1143
30.08.2022Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergBetreff Ihr Auskunftsersuchen gem. Art. 15 DSGVO
30.08.2022 16:01Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergBetreff Datenkopie Ihrer personenbezogenen Daten im BSI, Art. 15 Abs. 3 DSGVO – Teil 1
31.08.2022 08:03Bundesamt für Sicherheit in der InformationstechnikBundesbeauftragter für den Datenschutz und die InformationsfreiheitAW Bitte um Stellungnahme zu festgestellten Datenschutzverstößen
06.09.2022 11:35Joachim LindenbergBundesamt für Sicherheit in der Informationstechnik,
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Re Betreff Datenkopie Ihrer personenbezogenen Daten im BSI, Art. 15 Abs. 3 DSGVO – 25-170 II#1143
06.09.2022 17:36Joachim LindenbergBundesamt für Sicherheit in der Informationstechnik,
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Re Betreff Datenkopie Ihrer personenbezogenen Daten im BSI, Art. 15 Abs. 3 DSGVO – 25-170 II#1143
08.09.2022 17:29Bundesamt für Sicherheit in der InformationstechnikJoachim Lindenberg,
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Re Betreff Datenkopie Ihrer personenbezogenen Daten im BSI, Art. 15 Abs. 3 DSGVO – 25-170 II#1143
08.09.2022 18:23Joachim LindenbergBundesbeauftragter für den Datenschutz und die Informationsfreiheit,
Bundesamt für Sicherheit in der Informationstechnik
Re Betreff Datenkopie Ihrer personenbezogenen Daten im BSI, Art. 15 Abs. 3 DSGVO – 25-170 II#1143
12.09.2022 13:30Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergWiderspruchsbescheide auf Widersprüche vom 27.05.2022
19.09.2022 09:29Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergIhr Schreiben an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)
19.09.2022 12:59Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Ihr Schreiben an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)
19.09.2022 15:20Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergRe Ihr Schreiben an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)
11.11.2022 12:33Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergIhr Schreiben vom 29.08.2022 an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)
11.11.2022 16:07Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Ihr Schreiben vom 29.08.2022 an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)
18.11.2022 17:00Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergIhr Schreiben vom 26.04.2022 an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)
20.11.2022 14:20Joachim LindenbergBundesamt für Sicherheit in der InformationstechnikWG Ihr Schreiben vom 26.04.2022 an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)
22.11.2022 13:40Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergBestätigung des Eingangs Ihrer Nachricht vom 20.11.2022 an das BSI zum Vorgang BL24-010 03 02_2022-006
28.11.2022 11:36Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergIhr Schreiben vom 29.08.2022 an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)
28.11.2022 12:49Joachim LindenbergBundesbeauftragter für den Datenschutz und die Informationsfreiheit,
Bundesamt für Sicherheit in der Informationstechnik
Re Ihr Schreiben vom 29.08.2022 an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)
05.12.2022 14:36Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergRe Ihr Schreiben vom 29.08.2022 an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)
20.12.2022 10:25Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergIhre Nachricht vom 20.11.2022; BL24-010 03 02_2022-006
20.12.2022 11:49Joachim LindenbergBundesamt für Sicherheit in der InformationstechnikRe Ihre Nachricht vom 20.11.2022; BL24-010 03 02_2022-006
20.12.2022 11:53Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergAutomatische Antwort Ihre Nachricht vom 20.11.2022; BL24-010 03 02_2022-006
09.01.2023 08:35Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergIhr Schreiben vom 29.08.2022 an den Bundesbeauftragten für den Datenschutz...(BfDI)
19.01.2023 10:57Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergDatenkopie Ihrer personenbezogenen Daten im BSI, Art. 15 Abs. 3 DSGVO – Te...il 1 a
19.01.2023 13:28Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergIhr Auskunftsersuchen nach Art. 15 DSGVO vom 20.12.2022 – Unterrichtung üb...gerung
19.01.2023 17:45Joachim LindenbergBundesamt für Sicherheit in der InformationstechnikRe Ihr Auskunftsersuchen nach Art. 15 DSGVO vom 20.12.2022 – Unterrichtun...gerung

Anfragen

Die Liste meiner Anfragen ans Bundesamt für (Un)Sicherheit in der Informationstechnik:

ErstelltGeändertStatusBehördeThema
03.06.202107.07.2021Information nicht vorhandenBundesamt für Sicherheit in der InformationstechnikIT-Komponente
Der Grundschutz lässt halt viele Möglichkeiten offen. Man kann beliebig modellieren, man kann SOLLs wie Verschlüsselung abwählen. Eine Begründung wird zwar erwartet, aber im Zertifikat steht nichts davon. Letztendlich garantiert ein Grundschutzzertifikat keine Umsetzung auf dem Stand der Technik. Wie bei jedem Audit muss man den Bericht bekommen, oder in einem Vertrag konkrete Vereinbarungen treffen.Mehr auf https://blog.lindenberg.one/BundesamtUnsicherheit
07.07.202125.05.2022EingeschlafenBundesamt für Sicherheit in der InformationstechnikSicherheitsaudits des Projekts "Sichere Implementierung einer allgemeinen Kryptobibliothek"
07.07.202113.09.2022VermittlungBundesamt für Sicherheit in der InformationstechnikVerschlüsselung im BSI Grundschutz?
Das BSI erwartet zu wenig Sicherheit. Mehr dazu auf https://blog.lindenberg.one/BundesamtUnsicherheit und speziell zu Verschlüsselung auf https://blog.lindenberg.one/VerschlusselungPflicht.Öffentliche Sicherheit ist dabei eine Phrase die alles mögliche enthält – s.a. https://de.wikipedia.org/wiki/%C3%96ffentliche_Sicherheit. Konkret gefährdet ist der Anspruch der Bürger auf Datenschutz (EU Grundrechte-Charta Artikel 8). Einen Angreifer wird Geheimhaltung der Sicherheitskonzepte nicht wirklich abhalten – s.a. https://blog.lindenberg.one/SecurityByObscurity.
01.08.202104.02.2022EingeschlafenBundesamt für Sicherheit in der InformationstechnikSicherheit von Software und Systemen?
Mal sehen ob das BMI noch etwas antwortet. Feststellen kann ich immerhin, dass zumindest kleine Unternehmen den Anbietern ausgeliefert sind. Woher soll ein kleines Unternehmen die Expertise haben, zu beurteilen ob die eingesetzten Systeme oder die eingesetzte Software sicher ist. Die Auswahl findet meist über Funktionen statt, die für den Anwender wichtiger sind – und oft auch über den Preis.Dabei stelle ich immer wieder fest, dass der Stand der Technik ignoriert wird. Aber dazu muss man das Kleingedruckte von Verträgen lesen und Software selbst unter die Lupe nehmen. Wer kann das schon? Und welche Alternativen hat man, wenn man feststellt dass die meisten Auftragsverarbeitungsverträge oder Produktbeschreibungen sehr lückenhaft sind?
04.09.202104.03.2022Information nicht vorhandenBundesamt für Sicherheit in der InformationstechnikLeitlinie Informationssicherheit des IT -Planungsrats
formal hat das BSI den Antrag abgelehnt, aber das ist sehe ich als Nebelkerze. Das BSI hat keine Informationen oder – meine Vermutung – will sie nicht herausgeben. Das ist leider ein Muster das ich in fast allen Anfragen an das BSI beobachte.Mehr dazu auf https://blog.lindenberg.one/BundesamtUnsicherheit.
18.09.202119.04.2022EingeschlafenBundesamt für Sicherheit in der InformationstechnikSichere Email nach BSI TR-03108
Das BSI kann ganz offensichtlich keine klaren Empfehlungen geben und verbrennt damit Zeit und Geld aller die sich mit Sicherheit intensiv befassen wollen oder müssen. Mehr dazu auf https://blog.lindenberg.one/BundesamtUnsicherheit.Speziell hier: widersprüchliche Empfehlungen in Grundschutz und BSI TR 03108, keine Übernahme von Internet-Standards, so daß unklar bleibt welche Produkte geeignet sind, und Testanleitungen die unklar bleiben und offensichtlich nur selten praktiziert werden. So skaliert Sicherheit nicht. Das gefährdet unsere Grundrechte auf Privatheit (Artikel 7 EU-Grundrechtecharta) und Datenschutz (Artikel 8) – mehr dazu auf https://blog.lindenberg.one/AufsichtOhneOrientierung.
23.09.202108.10.2021Information nicht vorhandenBundesamt für Sicherheit in der InformationstechnikBausteine NET.2.1 und NET.2.2 – 802.1X Sicherheit
Grundschutz – leider kann man den erfüllen und doch unsicher sein. Das BSI tut nicht genug, Sicherheit zu unterstützen. Mehr zu 802.1X und Eduroam auf https://blog.lindenberg.one/BundesamtUnsicherheit.
07.02.202224.05.2022EingeschlafenBundesamt für Sicherheit in der InformationstechnikPGP/S/MIME vs RFC 7672 und DKIM?
Das BSI hat anscheinend keine (Er-)Kenntnisse, wie leider an so vielen anderen Stellen auch. Allen die hier vorbeilesen oder folgen daher zum Lesen empfohlen, vom speziellen (PGP) zum allgemeineren:https://blog.lindenberg.one/VergleichRfc7672PgpSmimehttps://blog.lindenberg.one/AufsichtOhneOrientierunghttps://blog.lindenberg.one/BundesamtUnsicherheitund natürlich freue ich mich auch über Feedback und Diskussionen.
15.02.202211.05.2022EingeschlafenBundesamt für Sicherheit in der InformationstechnikSchwachstelle vs. fehlende Unterstützung von Best Practices
Das BSI hat anscheinend keine (Er-)Kenntnisse, wie leider an so vielen anderen Stellen auch. Allen die hier vorbeilesen oder folgen daher zum Lesen empfohlen, vom speziellen (PGP) zum allgemeineren:https://blog.lindenberg.one/VergleichRfc7672PgpSmimehttps://blog.lindenberg.one/BundesamtUnsicherheitund natürlich freue ich mich auch über Feedback und Diskussionen.
07.03.202224.11.2022VermittlungBundesamt für Sicherheit in der InformationstechnikIT-Sicherheitskongress – Programmkommittee, Auswahl von Beiträgen, etc.?

Veröffentlicht am 25.03.2022, zuletzt geändert am 03.11.2022.

© 2022 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.