O.K. – eigentlich handelt das Lied von „Video killed the Radio Star“ aber ich habe den Titel ein wenig geändert.
https://www.youtube.com/watch?v=qGBohd0V2Mo)
Heute hat mich ein Beitrag in meiner ECSO Community dazu bewegt. Das ist eine Vereinigung europäischer CISO’s die mich freundlicherweise aufgenommen haben.
Die Schlagzeile dazu lautet: „Cyber hackers target Polish rail network, cause operational disruptions“.
(https://industrialcyber.co/transport/cyber-hackers-target-polish-rail-network-cause-operational-disruptions/)
Commenting on the incident, Andrzej Bartosiewicz, CEO of CISO #Poland, an association of over 200 CISOs in Poland, said “We do not treat this incident as a ‘cyberattack.’ It is incorrect to refer to the disruption of the ‘radiostop’ system as a malicious action in the cyber sphere.
(Andrzej Bartosiewicz, CEO von CISO #Poland, einer Vereinigung von über 200 CISOs in Polen, kommentierte den Vorfall wie folgt: „Wir betrachten diesen Vorfall nicht als ‚Cyberangriff‘. Es ist nicht korrekt, die Störung des „Funkstopp“-Systems als böswillige Aktion im Cyberbereich zu bezeichnen.)
So weit so gut – also kein „Cyberangriff“ obwohl hier wohl zumindest ein gezieltes Verhalten einer Organisation anzunehmen ist.
Also auch kein Grund darüber einen Blog Beitrag zu schreiben?
Ich sehe es ein wenig anders, weil mir der Beitrag ein Risiko aufzeigt, dass nicht direkt in der IT verankert ist.
Vor einem solchen „Angriff“ schützt kein mir bekanntet „Pentest“ und auch eine Firewall nützt nichts.
Dennoch ist ein kritisches System davon betroffen und es ist gelungen, dieses lahmzulegen.
Das System Eisenbahn ist seit jeher eine kritische Infrastruktur.
Mit Gesetzen versucht man diese (kritischen Infrastrukturen)zu schützen.
Steht ein Zug auf der Schiene, dann sollte es im Ergebnis wohl unerheblich sein, ob die Angreifer ein Glasfaserkabel durchtrennt haben oder ein Radiosignal dafür verwenden.
Bartosiewicz added that it is also worth mentioning, that ‘radiostop’ events simply can not be detected by Cyber Security Operations Center(s) due to the fact that they are neither involving signaling systems nor any computer network. “The radio signal reaches over the air the locomotive, where the breaking system is activated.”
(Bartosiewicz fügte hinzu, dass es auch erwähnenswert ist, dass „Funkstopp“-Ereignisse von Cyber Security Operations Center(s) einfach nicht erkannt werden können, da sie weder Signalsysteme noch ein Computernetzwerk betreffen. „Das Funksignal erreicht über die Luft die Lokomotive, wo das Bremssystem aktiviert wird.“)
Ein einfaches Radiosignal reicht aus, um einen Zug zum Stehen zu bringen.
Hier sehe ich eine Verbindung zur Informationssicherheit. Die „Bing KI“ ist wohl der gleichen Ansicht:
Der Ausfall eines Zuges durch ein absichtliches Störsignal fällt in den Bereich der Informationssicherheit. Die Informationssicherheit bezieht sich auf den Schutz von Informationen und Systemen vor unbefugtem Zugriff, Veränderung oder Zerstörung. Ein absichtliches Störsignal kann dazu führen, dass ein Zug ausfällt oder seine Route ändert, was zu einer Beeinträchtigung des Betriebs und der Sicherheit führen kann.
Wahrscheinlich kann man sich drüber wissenschaftlich sehr lange streiten doch – wer ist am Ende dafür zuständig, dass Angriffe gegen diese kritische Infrastruktur verhindert werden?
Da fällt mir noch der CSO ein, dem durch das fehlende „I“ in der Abkürzung dann wohl ein breiterer Aufgabenbereich zuzuordnen ist.
Unabhängig von der Zuständigkeit oder der Person müssen wir alle daran denken, dass unsere wichtigen Systeme durch weit mehr Risiken gefährdet sein können als denen, die wir in der klassischen IT-Sicherheit betrachten.
Aktuell erlebe ich – das ist rein subjektiv zu sehen – eine Tendenz zur Fokussierung auf die IT-Sicherheit.
Viele Unternehmen sind gerade erst aufgewacht – manche schlafen noch.
Der erste und einfachste Schritt ist, sich an dem großen Buffet der Anbieter von IT-Sicherheitslösungen zu bedienen.
Ein paar Pentests durchführen, eine Firewall kaufen, etwas SIEM und XDR und fertig ist der Schutz.
Nicht falsch verstehen – das sind durchaus gute Lösungen um einen schlechten Zustand zu verbessern.
Meiner Ansicht nach sollten wir uns aber nicht darauf verlassen, dass die „altbekannten“ Wege unsere Angreifer zum Ziel führen.
Ein guter Jäger passt sich der Beute an und ist ihr immer einen Schritt voraus.
Deshalb muss eine „gute“ Informationssicherheit immer auch die bekannten Denkprozesse verlassen und kreativ sein.
Bei der Suche nach Risiken, betrachte ich natürlich die bekannten Quellen.
Aber manchmal kann ein Gespräch mit einem Entwickler, Nutzer oder Techniker die Augen öffnen.
Stelle denen doch einfach die Frage: „Wie würdest du Vorgehen um deinen Zug zum Stehen zu bringen?“. Sinngemäß natürlich.
Ich bin überzeugt, du bekommst einige überraschende Antworten.
Als CISO darf man nicht in einer Blase abtauchen und so tun, als würde man schon alles wissen und kennen.
„Kommunikation“ ist eine der wichtigsten Eigenschaften, die ein guter CISO mitbringen sollte.
Am Ende ist eine Sache sicher – steht der Zug erst einmal auf der Schiene, dann ist es zu spät um kreativ zu werden.