Von einer Sicherheitskrise in die Nächste …

2019 – 2021 wurde durch die Corona-Pandemie das Thema Cybersecurity für viele Unternehmen zur wichtigsten Aufgabe, um in der HomeOffice-Pflicht überhaupt noch handlungsfähig bleiben zu können.

Doch die Pandemie als Auslöser für mehr Cybersecurity war noch gar nichts im Vergleich zur nächsten Cybersecurity Bedrohung, die mit dem 24. Februar 2022 kam: Mit dem Überfall Russlands auf die Ukraine hat sich die Welt in sicherheitspolitischer Hinsicht komplett verändert. Dem Russischen Angriff folgten täglich mehr und mehr Cyberattacken auf die westliche Infrastruktur und der NATO-Partner und ALLE haben die Anforderungen nach sicherer IT zum Top-Thema für jedes westliche Unternehmen und allen zivilen und militärischen Anwendern gemacht!

Der sich zusätzlich abzeichnende Wirtschaftskrieg zwischen USA und China bringt GENEREX und alle anderen westlichen IT-Firmen in eine historisch besondere Lage: Netzwerkprodukte die NICHT aus China stammen sind die erste Wahl aller Betreiber von westlicher kritischer Infrastruktur!

Die Vermeidung chinesischer Komponenten ist eine Philosophie die GENEREX schon seit Jahren verfolgt. Natürlich macht diese Entscheidung zugunsten westlicher Fertigung unsere Produkte teurer als die oft mit politischen Preisen im Wettbewerb zu uns stehenden Hersteller. Mit der neuen Bedrohungslage hat sich der Wind gedreht - GENEREX ist einer der wenigen verbliebenen Hersteller aus der westlichen Welt, der Netzwerkprodukte für die kritische Infrastruktur in Europa und den USA herstellt und damit in den meisten Rechenzentren die Erste Wahl!

Schon während der „Chipkrise 2021-2022“ hat sich diese Strategie ausgezahlt – wir waren einer der wenigen Hersteller, die keine Lieferschwierigkeiten hatten. Unsere Fertigung war zwar auch nicht ohne Unterbrechungen, aber dies waren meistens Logistikproblemen geschuldet und dem von den Lieferanten betriebenen Preispoker – aber die Verfügbarkeit der Komponenten von unseren westlichen Distributoren war nie wirklich gefährdet - wenn man nur

genug bezahlt hat. Die Entscheidung fast alles selbst herzustellen hat uns diese Krise nicht nur überstehen lassen, sondern uns zum wichtigsten Hersteller für die Versorgung von Netzwerktechnik für Stromversorgungsgeräte der kritischen Infrastruktur in Europa gemacht!

Aber wir dürfen uns nicht auf den Lorbeeren ausruhen...

Es reicht nicht aus in Europa und den USA zu produzieren und es reicht auch nicht aus ein Zertifikat für einen Sicherheitsstandard, z.B. IEC 62443-4-2, UL 2900-2-2 oder ähnliches zu besitzen, wie es unser Wettbewerb macht. Denn das ist nur eine Momentaufnahme und kann schon am nächsten Tag das Papier nicht wert sein auf dem es gedruckt ist. Cybersicherheit kann nur gewährleistet werden, wenn täglich die neuesten Sicherheitslücken die aufgedeckt wurden geprüft werden. Wenn unser Produkt betroffen ist – dann muss die neu erkannte Sicherheitslücke geschlossen werden – ohne das die Funktion des Produktes verloren geht!

Dafür gibt es in Deutschland das BSI (Bundesministerium für Sicherheit in der Informationstechnik) oder andere europäische Institute, wie z.B. die spanische INCIBE (Instituto Nacional de Ciberseguridad). Diese Stellen verfolgen die Meldungen von Schwachstellen in Softwareprodukten (CVE - Common Vulnerabilities and Exposures) und kommunizieren das mit dem Hersteller. Aber auch jeder andere Anwender unserer Software kann eine Sicherheitslücke bei uns melden. Dafür wird zwischen den Anwendern und offiziellen Stellen kommuniziert und eine Veröffentlichung der Schwachstellen als CVE erst gemacht, wenn bereits eine Lösung für das Problem verfügbar ist. Damit haben Hacker keine Möglichkeit diese Schwachstelle auszunutzen. Die frühzeitige Kommunikation zwischen diesen Stellen und uns als Hersteller sorgt dafür, dass Angreifern höchstens bei nicht gepflegten Systemen solche Schwachstellen auftun und sie ausnutzen können – daher wollen wir jeden Anwender darauf hinweisen neue Sicherheitsupdates bald möglichst einzuspielen. Jedes Firmware-Update das einen „Sicherheitstag“ in roter Farbe anzeigt (einsehbar in der Versionshistorie unserer Produkte) liefert solche Sicherheitsupdates.

Wir stellen folgende Emailadressen für Einlieferungen von Schwachstellenberichten bereit. Unter security@generex.de für Europa und security@generex.us für Nordamerika untersuchen wir eingehende Meldungen und liefern korrigierte Versionen umgehend über unsere Downloadbereich der GENEREX Websites aus.

Darüber hinaus finden Sie in der Fußzeile unserer Website einen speziellen Link "Sicherheit" (https://www.generex.de/security), über den Sie Fragen zur Cybersicherheit oder Robustheit unserer Produkte melden oder anderweitig übermitteln können. Der Link enthält die oben genannte E-Mail-Adresse sowie einen GPG-Schlüssel für die erforderliche Verschlüsselung.

Erst kürzlich haben wir für die USV-Netzwerkgeräte „CS141“ und für „BACS“ ein Sicherheitsupdate Version 2.12 ausgeliefert. Dies ist ein sehr umfangreiches Update und erfordert einige Umstellungen. Daher wollen wir diese Neuheiten hier erläutern und Sie als GENEREX Partner darauf hinweisen, Ihren Kunden dringend zu empfehlen, ein Update auf die aktuellste Version auszuführen.

 Sicherheitsverbesserungen der Firmware 2.12

Mit der Firmware 2.12 wurden wie immer zahlreiche Updates und Neuerungen eingeführt, vor allem im Bereich der Cybersecurity sind zahlreiche Optimierungen gemacht worden. Nachfolgend eine Auflistung der wichtigsten Änderungen zum Thema Cybersecurity:

1. Nicht benötigte Systemdienste wurden deaktiviert
Ursprünglich wurde der CS141 so voreingestellt, dass er mit wenig Aufwand schnellstmöglich in Betrieb genommen werden kann. Das mussten wir nun ändern: Künftig werden nur noch die für den Basisbetrieb zwingend notwendigen Dienste aktiv sein. Weiterführende Dienste müssen bei Bedarf über die Konfigurationsoberfläche vom Anwender aktiviert werden. Das betrifft Modbus, SNMP, BACnet, Syslog und Serial Trace. Diese Änderungen der Standardeinstellung ist nur gültig für Neugeräte und Geräte, die mit einem Firmwareupdate auf Auslieferungszustand zurückgesetzt werden. Bei Bestandsgeräten die bereits diese Dienste nutzen, wird dies unverändert beim Update beibehalten.

2. Warnhinweise zur Cybersecurity
Der CS141 hat links unterhalb des Logos einen neuen Info-Bereich erhalten und warnt künftig zum Beispiel bei der Verwendung von unsicheren oder Standard-Passworten oder anderen sicherheitsbedenklichen Einstellungen.  

3. Downgrade-Sperre ab Firmware 2.12
Mit der Firmware 2.12 haben sich viele sicherheitsrelevante Änderungen ergeben. Daher haben wir uns entschieden, mit der Firmware 2.12, einen Blocker zu integrieren, der ein Downgrade auf ältere und damit „unsichere“ Firmwareversionen verbietet.

4. TLS 1.3 wird Standard
Zu einer grundlegenden Neuerung gehört, dass der CS141 künftig mit TLS1.3 die Vorgaben und Richtlinien moderner Infrastrukturen bedienen wird. Solange noch TLS 1.2 in Netzwerken verwendet wird, bleibt der CS141 zwar kompatibel, aber TLS 1.0 und 1.1 werden mit der neuen Firmware abgeschaltet und können nicht mehr aktiviert werden.

5. Hardening Guide
USV-Anlagen oder Batterieanlagen sind selten in öffentlich zugänglichen Netzwerken zu finden, meist sind diese Teil eines „Technik“-Netzwerks mit eingeschränktem Zugang von außen. Sollte es aber vorkommen die kritische Infrastruktur einer USV und Batterieanlage in einem öffentlichen oder anders angreifbaren Netzwerk zu installieren, dann kann es notwendig sein zusätzlich zu unseren Standards, weitere Sicherheitseinstellungen vorzunehmen. Dafür liefern wir eine Beschreibung im Handbuch unter „Hardening Guide“, auf welche Art man den CS141 & BACS so konfigurieren kann, dass ein Hackerangriff nahezu unmöglich wird. Kunden die Ihr Gerät möglichst gut absichern möchten empfehlen wir einen Blick in das CS141 Benutzerhandbuch, in das Kapitel „Hardening Guide“.