TL;DR

Betreiben Sie Kritische Informationsinfrastruktur (CII) in Singapur? Der Cybersecurity Code of Practice (CCoP) ist keine Empfehlung – er ist Gesetz gemäß dem Cybersecurity Act.

Es schreibt minimale Sicherheitskontrollen für Governance, Erkennung, Reaktion, OT-Sicherheit und mehr vor.

Verpassen Sie eine Anforderung, und Sie sind für Strafen verantwortlich. Dies ist Singapurs Strategie zur Sicherung wesentlicher Dienste – keine Abkürzungen erlaubt.

Zusammenfassung der Scorecard des Singapore Cybersecurity Code of Practice (CCoP):

• Aufwand für Entwickelnde: Mittel (Erfordert die Implementierung spezifischer Kontrollen in Bezug auf sicheren SDLC, Zugriffskontrolle, Datensicherheit, Schwachstellenmanagement und die Unterstützung von Audits für KRITIS-Systeme).
• Kosten für Tools: Mittel bis Hoch (Erfordert Tools für Schwachstellenmanagement, Logging/SIEM, Zugriffskontrolle (PAM), Verschlüsselung, potenziell OT-sicherheitsspezifische Tools).
• Marktauswirkungen: Kritisch (Obligatorisch für benannte CII-Eigentümer in Singapur; Versäumnis beeinträchtigt die Fähigkeit, kritische Infrastruktur zu betreiben).
• Flexibilität: Moderat (Legt Mindestanforderungen fest, basiert aber auf etablierten Standards, was eine gewisse Flexibilität bei der Implementierung basierend auf dem Risiko ermöglicht).
• Prüfungsintensität: Hoch (Erfordert regelmäßige Cybersicherheitsaudits durch zugelassene Auditoren, um die Compliance mit dem CCoP und dem Cybersecurity Act zu überprüfen).

Was ist der Singapore Cybersecurity Code of Practice (CCoP)?

Der Singapore Cybersecurity Code of Practice (CCoP) für Critical Information Infrastructure (CII) ist eine Reihe von rechtsverbindlichen Mindeststandards, die vom Commissioner of Cybersecurity gemäß Singapurs Cybersecurity Act 2018 erlassen wurden. Erstmals 2018 herausgegeben und 2022 auf CCoP 2.0 aktualisiert (gültig ab Juli 2023 nach einer Übergangsfrist), legt er die Cybersicherheitsmaßnahmen fest, die von den benannten Eigentümern von CII zum Schutz ihrer Systeme umgesetzt werden müssen.

Kritische Informationsinfrastruktur (CII) bezieht sich auf Computersysteme, die für die kontinuierliche Bereitstellung wesentlicher Dienste in Singapur unerlässlich sind (z. B. Energie, Wasser, Bankwesen, Gesundheitswesen, Transport, Infokommunikation, Regierung, Medien). Betreiber von ausgewiesenen CII-Systemen sind gesetzlich verpflichtet, die CCoP einzuhalten.

CCoP 2.0 ist um Schlüsseldomänen herum strukturiert, die ein umfassendes Cybersicherheitsprogramm widerspiegeln:

• Governance: Etablierung von Cybersicherheits-Führung, Rollen, Verantwortlichkeiten und einem Risikomanagement-Framework.
• Identifikation: Asset-Management, Risikobewertung, Verständnis der Cybersicherheitslage.
• Schutz: Implementierung von Schutzmaßnahmen wie Zugriffskontrolle, Datensicherheit (einschließlich Verschlüsselung und Schlüsselmanagement), Netzwerksicherheit, Schwachstellenmanagement, sichere Konfigurationen, physische Sicherheit und Lieferketten-Risikomanagement. Umfasst spezifische Anforderungen für Privileged Access Management (PAM).
• Erkennung: Implementierung von Überwachungsfunktionen zur Erkennung von Cyber-Bedrohungen und -Vorfällen (z. B. SIEM, IDS/IPS).
• Reaktion und Wiederherstellung: Entwicklung von Incident-Response-Plänen sowie Business Continuity- und Disaster Recovery-Plänen.
• Cyber-Resilienz: Maßnahmen, um sicherzustellen, dass Systeme Angriffen standhalten und sich davon erholen können.
• Cybersicherheits-Schulung und -Sensibilisierung: Schulung des Personals.
• Operational Technology (OT) Security: Spezifische Überlegungen für industrielle Steuerungssysteme und OT-Umgebungen, die in CCoP 2.0 erheblich erweitert wurden.

Der CCoP stützt sich stark auf internationale Standards und Best Practices (wie NIST CSF, ISO 27001), passt diese jedoch an spezifische, verbindliche Anforderungen für den CII-Kontext Singapurs an.

Warum ist es wichtig?

Der CCoP ist aus mehreren Gründen in Singapur von entscheidender Bedeutung:

• Gesetzliche Anforderung: Es wird gemäß dem Cybersecurity Act 2018 erlassen, wodurch die Compliance für alle benannten CII-Eigentümer obligatorisch wird.
• Schützt wesentliche Dienste: Zielt darauf ab, die kritischen Dienste (Energie, Wasser, Bankwesen usw.), von denen Singapur abhängt, vor potenziell lähmenden Cyberangriffen zu schützen.
• Nationale Sicherheit: Die Verbesserung der Sicherheit von CII ist eine Frage der nationalen Sicherheit.
• Erhöht die Cybersicherheits-Baseline: Etabliert einen konsistenten und hohen Mindeststandard für Cybersicherheit in allen kritischen Sektoren.
• Berücksichtigt sich entwickelnde Bedrohungen: CCoP 2.0 berücksichtigt speziell gewonnene Erkenntnisse und adressiert neuere Bedrohungen, einschließlich ausgeklügelter Taktiken, Techniken, Verfahren (TTPs), Lieferkettenrisiken und OT-Sicherheitsbedenken.
• Setzt Rechenschaftspflicht durch: Weist CII-Eigentümern klare Verantwortlichkeiten für die Implementierung und Aufrechterhaltung von Cybersicherheitsmaßnahmen zu, die der behördlichen Aufsicht und Audits unterliegen.

Für Organisationen, die CII in Singapur betreiben, ist die CCoP Compliance grundlegend für ihre Betriebserlaubnis und ihren Beitrag zur nationalen Resilienz.

Was und wie implementieren (Technisch & Policy)

Die Implementierung des CCoP beinhaltet die Etablierung einer robusten Cybersicherheits-Governance und den Einsatz spezifischer technischer und prozeduraler Kontrollen in den definierten Bereichen:

1. Governance & Risikomanagement:
   
   • Klare Rollen und Verantwortlichkeiten im Bereich Cybersicherheit sowie das Engagement des Managements festlegen.
   • Ein Risikomanagement-Framework implementieren, um Cybersecurity-Risiken, die spezifisch für die KRITIS sind, zu identifizieren, zu bewerten und zu behandeln.
2. Schutzmaßnahmen:
   
   • Zugriffskontrolle: Implementieren Sie starke Authentifizierung (MFA), Prinzipien der geringsten Rechte, Sitzungsverwaltung und robuste Privileged Access Management (PAM)-Lösungen, um den Zugriff auf CII-Systeme und -Daten zu kontrollieren.
   • Datensicherheit: Schutz sensibler Daten durch Verschlüsselung (ruhend und in Übertragung) und sicheres kryptografisches Schlüsselmanagement. Implementierung von Maßnahmen zur Verhinderung von Datenverlust.
   • Netzwerksicherheit: Netzwerke segmentieren, Firewalls, IDS/IPS implementieren und Netzwerkkonfigurationen sichern.
   • Schwachstellenmanagement: Implementieren Sie Prozesse und Tools (Scanner), um Schwachstellen in Systemen und Anwendungen innerhalb definierter Zeitrahmen zu identifizieren und zu beheben. Sichere Softwareentwicklungspraktiken sind unerlässlich.
   • Sichere Konfiguration: Systeme härten, unnötige Dienste/Ports deaktivieren, Konfigurationen sicher verwalten.
   • Lieferkettenrisiko: Bewertung und Management von Cybersicherheitsrisiken im Zusammenhang mit Drittanbietern und Dienstleistern.
3. Erkennung:
   
   • Security Information and Event Management (SIEM)-Systeme und andere Überwachungstools implementieren, um Anomalien und potenzielle Sicherheitsvorfälle in Echtzeit zu erkennen. Ausreichendes Logging sicherstellen.
4. Reaktion & Wiederherstellung:
   
   • Incident Response Pläne (IRPs) und Business Continuity/Disaster Recovery (BC/DR) Pläne entwickeln, pflegen und regelmäßig testen. Sicherstellen, dass sichere Backups durchgeführt und getestet werden.
5. OT Security (falls zutreffend):
   
   • Spezifische Sicherheitsmaßnahmen implementieren, zugeschnitten auf Operational Technology-Umgebungen, die Risiken adressieren, die für industrielle Steuerungssysteme einzigartig sind.
6. Training & Sensibilisierung:
   
   • Führen Sie regelmäßige Cybersicherheitsschulungen für alle relevanten Mitarbeiter durch.
7. Audits:
   
   • CSA-zugelassene Auditoren beauftragen, regelmäßige Cybersicherheitsaudits (mindestens alle zwei Jahre) durchzuführen, um die Compliance mit dem CCoP und dem Gesetz zu überprüfen.

Die Implementierung erfordert einen ganzheitlichen Ansatz, der Technologie (PAM, SIEM, Verschlüsselung, Schwachstellenscanner), klar definierte Prozesse, eindeutige Richtlinien, kontinuierliche Schulungen und regelmäßige Audits kombiniert. Lösungen wie Thales CipherTrust (für Datensicherheit/Schlüsselmanagement) und BeyondTrust (für PAM) werden oft eingesetzt, um spezifische CCoP-Anforderungen zu erfüllen.

Häufige Fehler, die es zu vermeiden gilt

Bei der Implementierung des CCoP können Organisationen auf folgende Probleme stoßen:

1. Unzureichender Governance-/Risikofokus: CCoP als rein technisch behandeln, ohne eine starke Governance, Risikomanagementprozesse und Managementaufsicht zu etablieren.
2. Unzureichende Asset-Identifikation: Das Versäumnis, alle Komponenten und Datenflüsse, die mit der designierten CII zusammenhängen, genau zu identifizieren, führt zu unvollständigem Schutz.
3. Schwache Zugriffskontrollen: Insbesondere bei privilegierten Zugriffen, Versäumnis, robuste PAM-Lösungen zu implementieren oder das Prinzip der geringsten Rechte strikt durchzusetzen.
4. OT-Sicherheit ignorieren: Für Organisationen mit OT-Umgebungen, die spezifischen Anforderungen und Risiken, die in CCoP 2.0 für diese Systeme dargelegt sind, nicht zu berücksichtigen.
5. Mangelhaftes Schwachstellenmanagement: Keine effektiven Prozesse oder Tools zur Identifizierung und Behebung von Schwachstellen innerhalb der erforderlichen Zeitrahmen.
6. Mangel an integrierter Überwachung/Erkennung: Implementierung von Sicherheitskontrollen, aber Fehlen der zentralisierten Protokollierung und Überwachung (SIEM), die zur effektiven Erkennung von Vorfällen erforderlich ist.
7. Ungestestete Reaktions-/Wiederherstellungspläne: IRPs und BC/DR-Pläne existieren nur auf dem Papier und werden nicht regelmäßig getestet, wodurch sie in einer echten Krise unwirksam sind.
8. Unzureichende Dokumentation: Unzureichende Dokumentation von Richtlinien, Verfahren, Risikobewertungen, Kontrollimplementierungen und Audit-Nachweisen, wie für die Compliance-Verifizierung erforderlich.

Was Auditoren fragen könnten (Fokus Entwickelnde)

Auditoren, die die CCoP Compliance für CII-Systeme bewerten, werden Kontrollen untersuchen, die für die Softwareentwicklung und Anwendungssicherheit relevant sind:

• (Schutz – Schwachstellenmanagement) „Welche Prozesse sind vorhanden, um Schwachstellen in maßgeschneiderten Anwendungen und Softwarekomponenten Dritter, die innerhalb der KRITIS verwendet werden, zu identifizieren und zu beheben?“ (SAST/SCA/DAST-Ergebnisse, Patching-Aufzeichnungen vorlegen)
• (Schutz – Zugriffskontrolle) „Wie wird der Zugriff für Entwickelnde kontrolliert, die an CII-Systemen oder -Anwendungen arbeiten? Wie werden privilegierte Entwicklungsaktivitäten protokolliert und überwacht?“
• (Schutz – Datensicherheit) „Wie werden sensible Daten (z. B. verschlüsselt) innerhalb von Anwendungen, die die CII unterstützen, gehandhabt und geschützt?“
• (Schutz – Sichere Konfiguration) „Wie stellen Sie sicher, dass sichere Konfigurationen auf Anwendungen und unterstützende Infrastruktur angewendet werden?“
• (Erkennung) „Wie trägt das Anwendungs-Logging zu den gesamten Überwachungs- und Erkennungsfähigkeiten für die CII bei?“
• (Response/Recovery) „Wie werden Anwendungsabhängigkeiten in den Business Continuity- und Disaster Recovery-Plänen für die CII berücksichtigt?“

Auditoren erwarten Nachweise für sichere Entwicklungspraktiken, robustes Schwachstellenmanagement, sichere Konfiguration, angemessene Zugriffskontrollen und effektives Logging, integriert in die KRITIS-Umgebung.

Quick Wins für Entwicklungsteams

Entwicklungsteams, die CII unterstützen, können zur CCoP Compliance beitragen:

1. SAST/SCA integrieren: Betten Sie automatisierte Code- und Scan von Softwareabhängigkeiten in CI/CD-Pipelines für KRITIS-bezogene Anwendungen ein.
2. Priorisierung der Schwachstellenbehebung: Konzentrieren Sie sich auf die Behebung identifizierter kritischer/hoher Schwachstellen innerhalb von Fristen, die den CCoP-Erwartungen entsprechen.
3. Anwendungsprotokollierung verbessern: Sicherstellen, dass Anwendungen aussagekräftige Logs für Sicherheitsereignisse erzeugen und diese in zentrale SIEM-Systeme integrieren.
4. Sichere API-Entwicklung: Starke Authentifizierung, Autorisierung und Eingabevalidierung für APIs implementieren, die mit CII-Systemen interagieren.
5. Sichere Kodierungsstandards befolgen: Halten Sie sich an anerkannte Richtlinien für sicheres Kodieren (z. B. OWASP), um gängige Schwachstellen zu minimieren.
6. Datenverarbeitung minimieren: Entwerfen Sie Anwendungen so, dass sie nur die minimal notwendigen sensiblen Daten verarbeiten, die für ihre Funktion erforderlich sind.

Ignorieren Sie dies und... (Konsequenzen der Nichteinhaltung)

Die Nichteinhaltung des CCoP oder anderer Anforderungen durch einen CII-Eigentümer gemäß dem Singapore Cybersecurity Act 2018 kann zu erheblichen Konsequenzen führen, die von der CSA durchgesetzt werden:

• Finanzielle Strafen: Das Gesetz sieht Bußgelder bei Nichteinhaltung vor, obwohl spezifische Beträge, die direkt an CCoP gebunden sind, von der Art der Verletzung und den erlassenen Richtlinien abhängen können. Änderungen im Jahr 2024 erhöhen potenziell die Strafrahmen.
• Anweisungen des Beauftragten: Der Beauftragte für Cybersicherheit kann Anweisungen erteilen, die den CII-Eigentümer verpflichten, spezifische Schritte zur Sicherung der CII oder zur Behebung von Non-Compliance zu unternehmen. Die Nichteinhaltung von Anweisungen ist eine Straftat.
• Direkte CSA-Intervention: In schwerwiegenden Fällen, in denen ein Incident eine erhebliche Bedrohung darstellt, hat die CSA die Befugnis, direkte Maßnahmen zur Bewältigung der Cybersicherheitsbedrohung bezüglich der CII zu ergreifen.
• Operative Auswirkungen: Erforderliche Korrekturmaßnahmen oder CSA-Interventionen können zu Betriebsunterbrechungen führen.
• Reputationsschaden: Non-Compliance oder daraus resultierende Vorfälle, die wesentliche Dienste beeinträchtigen, können das öffentliche Vertrauen und den Ruf der Organisation erheblich schädigen.
• Rechtliche Haftung: Je nach den Auswirkungen eines Vorfalls, der aus einer Nichteinhaltung resultiert, können potenzielle zivilrechtliche Haftungen entstehen.

Compliance ist unerlässlich, um die Lizenz zum Betrieb kritischer Dienste in Singapur aufrechtzuerhalten.

FAQ

Wer muss sich an den CCoP halten?

Betreiber von Computersystemen, die vom Beauftragten für Cybersicherheit gemäß Singapurs Cybersecurity Act 2018 als Kritische Informationsinfrastruktur (CII) eingestuft sind. Dies sind Systeme, die für die kontinuierliche Bereitstellung wesentlicher Dienste in Sektoren wie Energie, Wasser, Bankwesen, Gesundheit, Transport usw. erforderlich sind.

Was ist die aktuelle Version des CCoP?

CCoP 2.0, im Juli 2022 veröffentlicht, ist die aktuelle Version und ersetzt frühere Versionen. Sie enthält aktualisierte Anforderungen, insbesondere in Bezug auf OT-Sicherheit und Lieferkettenrisiken.

Ist die CCoP-Compliance obligatorisch?

Ja, für bestimmte CII-Eigentümer in Singapur ist die Compliance mit dem CCoP eine gesetzliche Anforderung gemäß dem Cybersecurity Act 2018.

Wie oft sind CCoP-Audits erforderlich?

CII-Eigentümer müssen Cybersicherheitsaudits ihrer Compliance mit dem Gesetz und dem CCoP mindestens alle zwei Jahre durchführen, die von einem CSA-zugelassenen Auditor vorgenommen werden, es sei denn, der Commissioner weist etwas anderes an.

Wie verhält sich CCoP zu internationalen Standards wie ISO 27001 oder NIST CSF?

Der CCoP stützt sich maßgeblich auf etablierte internationale Standards und Best Practices, einschließlich Konzepten aus ISO 27001, NIST CSF und anderen. Er passt diese Prinzipien an spezifische, verbindliche Anforderungen an, die auf den CII-Kontext Singapurs zugeschnitten sind. Das Erreichen der ISO 27001 kann dazu beitragen, viele CCoP-Anforderungen zu erfüllen, aber die CCoP-Compliance muss spezifisch bewertet werden.

Was ist der Unterschied zwischen CCoP und Singapurs PDPA?

Der CCoP konzentriert sich auf die Cybersicherheit ausgewiesener Systeme der kritischen Informationsinfrastruktur. Das Personal Data Protection Act (PDPA) regelt die Erfassung, Nutzung und Offenlegung personenbezogener Daten durch Organisationen in Singapur umfassender. Während die vom CCoP geforderten Cybersicherheitsmaßnahmen zum Schutz personenbezogener Daten beitragen, die sich möglicherweise auf CII befinden, hat der PDPA eigene spezifische Datenschutzverpflichtungen.

Wo finde ich das offizielle CCoP-Dokument?

Der offizielle Cybersecurity Code of Practice for Critical Information Infrastructure (CCoP 2.0) ist auf der Website der Cyber Security Agency of Singapore (CSA) zu finden.