Stärkung der Cybersicherheitsprüfungen im öffentlichen Sektor: Nutzbarmachung der NIST-Normen für Oberste Rechnungskontrollbehörden

Autor: Thiago de Oliveira Teodoro, Tribunal de Contas da União (Brasilianischer Bundesrechnungshof)
Einleitung
Oberste Rechnungskontrollbehörden (ORKB) spielen eine wesentliche Rolle für die Bewertung der Wirksamkeit staatlicher Maßnahmen. In einem Zeitalter, das von einem rasanten technologischen Wandel geprägt ist, stehen die Maßnahmen zur Regelung der Cybersicherheit und des Datenschutzes unter dem enormen Druck, hohe Anforderungen an Resilienz und Compliance zu erfüllen. Der vorliegende Beitrag zielt darauf ab, unser diesbezügliches Verständnis zu erweitern. Er behandelt neue Erkenntnisse, welche die bestehenden Orientierungshilfen der Internationalen Organisation der Obersten Rechnungskontrollbehörden (INTOSAI) – die hauptsächlich in den unten genannten Publikationen enthalten sind – ergänzen können.
- Handbuch zu IT-Prüfungen für Oberste Rechnungskontrollbehörden der Arbeitsgruppe IT-Prüfung (WGITA) und der INTOSAI Entwicklungsinitiative (IDI) (nur auf Englisch verfügbar)
- GUID 5100: Leitfaden für die Prüfung von Informationssystemen und der dazugehörige erste Entwurf
- Leitfaden für Prüfungen der Cybersicherheit und des Datenschutzes der WGITA (nur auf Englisch verfügbar)
Insbesondere der Leitfaden für die Prüfung der Cybersicherheit und des Datenschutzes führt mehrere bewährte Verfahren der US-amerikanischen Behörde National Institute of Standards and Technology (NIST) auf. Diese dienten als Ausgangspunkt, um zu zeigen, wie diese Verfahren die bestehenden INTOSAI-Leitfäden um weitere Sicherheitselemente ergänzen können. Das NIST-Modell bietet ein umfassendes Rahmenwerk und einen flexiblen, anpassbaren Katalog an Sicherheits- und Datenschutzkontrollen, um Organisationen bei der Bewältigung von Systemrisiken, der Abwehr von Cyberbedrohungen sowie der Förderung eines umfassenden, organisationsweiten Risikomanagements zu unterstützen.
In dieser Übersicht werden die fünf wichtigsten NIST-Kontrollfamilien in den Bereichen Sicherheit und Datenschutz hervorgehoben, auf die in den INTOSAI-Leitfäden Bezug genommen wird und die in den Kontext folgenschwerer Cyberangriffe gesetzt werden können.
Die fünf zentralen NIST-Kontrollfamilien: Lektionen aus folgenschweren Cyberangriffen
1. Risikomanagement in der Lieferkette
Risikomanagement in der Lieferkette wurde aufgrund der steigenden Anzahl an Angriffen auf Lieferketten, die sowohl öffentliche als auch private Einrichtungen bedrohen, zu einem wichtigen Anliegen. Ein nennenswertes Beispiel ist der SolarWinds-Angriff aus dem Jahr 2020, bei dem Angreifer sich im Rahmen von Softwareupdates einschleusten, was zu weitreichender Gefährdung führte, auch in staatlichen Stellen. Solche Vorfälle zeigen, wie wichtig eine solide Aufsicht und Risikobeurteilung bei der Zusammenarbeit mit Drittanbietern ist. Um diese Risiken zu mindern, sollten ORKB klare Richtlinien für die Beurteilung der Schwachstellen von Lieferanten sowie die Überprüfung der Authentizität von Komponenten und Leistungen festlegen. Die Umsetzung von Normen wie der NIST 800-161, die einen strukturierten Rahmen für die Ermittlung und die Steuerung der Risiken in der Lieferkette bieten, können das Sicherheitsniveau erhöhen.
2. Reaktion auf Vorfälle
Die Reaktion auf Vorfälle ist von entscheidender Bedeutung, um die Auswirkungen von Sicherheitslücken zu minimieren, insbesondere im Hinblick auf Ransomware und Advanced Persistent Threats (dt. etwa „fortgeschrittene, andauernde Bedrohungen“), kurz APTs. Ein einfaches Beispiel ist der Conti-Ransomware-Angriff auf Costa Rica im April 2022, der mehrere staatliche Stellen, darunter das Finanzministerium, schwer beeinträchtigte und die Steuererhebung sowie andere wichtige Dienstleistungen unterbrach. Solche Vorfälle verdeutlichen, wie wichtig es ist, die Reaktion auf Vorfälle proaktiv zu planen, um sicherzustellen, dass Organisationen Cyberangriffe erkennen, eindämmen und sich von ihnen erholen können. ORKB sollten umfassende Strategien für die Reaktion auf Vorfälle fördern: Dazu zählen unter anderem Unterstützungsrahmen, strukturierte Reaktionspläne und regelmäßige Überprüfungen der Vorfallprotokollierung. Die Übernahme von Branchennormen wie NIST SP 800-61 kann die Reaktionsfähigkeit weiter stärken und die allgemeine Widerstandsfähigkeit im Bereich Cybersicherheit erhöhen.
3. Verarbeitung personenbezogener Daten und Transparenz
Der Schutz der Privatsphäre sowie der Datenschutz sind ins Zentrum gerückt, da Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) strenge Anforderungen an die Verwaltung und den Schutz personenbezogener Daten stellen. Ein mangelnder Schutz sensibler Daten kann zu schwerwiegenden Verstößen führen, wie im Jahr 2020 zu sehen war, als Angreifer die Regierungskommunikation und wichtige politische Informationen im norwegischen Parlament kompromittierten. Solche Vorfälle verdeutlichen, wie wichtig eine strenge Regelung des Datenschutzes und Maßnahmen zur Einhaltung dieser Regelungen sind. ORKB sollten Datenschutz-Folgenabschätzungen durchführen und umfassende Datenschutz-Rahmenwerke einführen, um Risiken zu mindern. Die Berücksichtigung des Datenschutzrahmenwerks des NIST ermöglicht es ORKB, einen strukturierten Ansatz für die Regelung des Datenschutzes auszuarbeiten, der Compliance, Rechenschaftspflicht und das nachhaltige Vertrauen der Öffentlichkeit in den Umgang mit Daten gewährleistet.
4. Kontinuierliche Überwachung und automatisierte Sicherheitsmaßnahmen
Kontinuierliche Überwachung und automatisierte Sicherheitsmaßnahmen sind unerlässlich, um Schwachstellen in Echtzeit zu ermitteln und zu minimieren, insbesondere in kritischen Systemen. Ein bezeichnendes Beispiel ist die Ausnutzung der MOVEit-Übertragungsschwachstelle im Jahr 2023, bei der Angreifer erfolgreich Malware in legitime Datenübertragungen eingebettet haben. Dies hatte negative Konsequenzen für mehrere Organisationen, darunter das US-amerikanische Energieministerium. Dieser Vorfall zeigt, wie wichtig eine proaktive und automatisierte Sicherheitsüberwachung ist, um Bedrohungen zu erkennen und darauf zu reagieren, bevor sie sich zuspitzen. ORKB sollten automatisierte Tools, adaptive Sicherheitsmethoden und kontinuierliche Überwachungssysteme einsetzen, um ihre Cyberresilienz zu steigern. Die Verwendung der Richtlinien der NIST 800-137A kann dabei helfen, robuste Sicherheitsmaßnahmen, die dynamisch auf neue Bedrohungen und Schwachstellen reagieren können, einzuführen.
5. Sicherheit des Internets der Dinge und der Betriebstechnologie
Das Internet der Dinge (Internet of Things; IoT) und Betriebstechnologie (Operational Technology; OT) spielen zentrale Rollen für kritische Infrastruktur, aber ihre schwachen Ausgestaltungen machen sie zu erstklassigen Zielen für Cyberbedrohungen. Ein einzigartiges Beispiel ist der Colonial-Pipeline-Ransomware-Angriff aus dem Jahr 2021, bei dem Angreifer den Treibstoffvertrieb in den USA durcheinanderbrachten, was zu weitreichenden Engpässen führte und bundesweit die Steigerung der Sicherheit kritischer Infrastruktur auslöste. Dieser Vorfall verdeutlicht die Notwendigkeit, IoT- und OT-Umgebungen zu sichern, um ähnlichen Störungen vorzubeugen. Oberste Rechnungskontrollbehörden (ORKB) sollten risikobasierte Prüfungsstrategien einführen, die sich mit IoT- und OT-Schwachstellen befassen, unter anderem mit Geräteauthentifizierung, Verschlüsselung und sicherer Kommunikation. Die Verwendung der Richtlinien der NIST SP 1800-25, 1800-26, 800-82 kann die Widerstandsfähigkeit und Sicherheit dieser Systeme stärken.
Fazit
Diese fünf Sicherheitsbereiche befassen sich mit den größten Bedrohungen, jedoch könnten auch zahlreiche andere NIST-Kontrollfamilien für die Bereiche Sicherheit und Datenschutz in Betracht gezogen werden. Eine ähnliche Methode kann angewendet werden, um die Analyse zu erweitern, sich auf spezifische Sicherheitskontrollen zu konzentrieren und gezieltere Empfehlungen abzugeben. Dieser Ansatz kann die bestehenden INTOSAI-Leitfäden nutzen und gleichzeitig detaillierte Erkenntnisse aus anderen Normen, zum Beispiel NIST, einbeziehen.
Schließlich können ORKB durch die Verbesserung der Cybersicherheitsmaßnahmen Sicherheitskontrollen besser prüfen und verstärken, was letztendlich zu einer gesteigerten Widerstandsfähigkeit der Informationssysteme des öffentlichen Sektors führt.