TL;DR

Betreiben Sie kritische Informationsinfrastrukturen (KII) in Singapur? Der Cybersecurity Code of Practice (CCoP) ist kein Vorschlag, sondern ein Gesetz im Rahmen des Cybersecurity Act.

Sie schreibt ein Minimum an Sicherheitskontrollen in den Bereichen Governance, Erkennung, Reaktion, OT-Sicherheit und mehr vor.

Wenn Sie eine Anforderung nicht erfüllen, müssen Sie mit Strafen rechnen. Dies ist Singapurs Regelwerk für die Sperrung wichtiger Dienste - keine Abkürzungen sind erlaubt.

Singapur Cybersecurity Code of Practice (CCoP) Scorecard Zusammenfassung:

• Entwickelnde Aufwand: Mäßig (Erfordert die Implementierung spezifischer Kontrollen in Bezug auf einen sicheren SDLC, Zugangskontrolle, Datensicherheit, Schwachstellenmanagement, Unterstützung von Audits für KII-Systeme).
• Kosten für Werkzeuge: Mäßig bis hoch (Erfordert Tools für Schwachstellenmanagement, Protokollierung/SIEM, Zugriffskontrolle (PAM), Verschlüsselung, möglicherweise OT-spezifische Sicherheitstools).
• Auswirkungen auf den Markt: Kritisch (obligatorisch für ausgewiesene KII-Eigentümer in Singapur; ein Ausfall wirkt sich auf die Fähigkeit zum Betrieb kritischer Infrastrukturen aus).
• Flexibel: Mäßig (legt Mindestanforderungen fest, basiert aber auf etablierten Standards und erlaubt eine gewisse Flexibilität bei der Umsetzung je nach Risiko).
• Intensität der Prüfung: Hoch (Erfordert regelmäßige Cybersicherheitsaudits durch zugelassene Prüfer, um die compliance der CCoP und des Cybersicherheitsgesetzes zu überprüfen).

Was ist der Singapore Cybersecurity Code of Practice (CCoP)?

Der Singapore Cybersecurity Code of Practice (CCoP) für kritische Informationsinfrastrukturen (KII) ist eine Reihe rechtlich verbindlicher Mindeststandards, die vom Beauftragten für Cybersicherheit (Commissioner of Cybersecurity) gemäß dem Singapore Cybersecurity Act 2018 herausgegeben wurden. Er wurde erstmals 2018 herausgegeben und 2022 (nach einer Karenzzeit ab Juli 2023) zum CCoP 2.0 aktualisiert. Er beschreibt die Cybersicherheitsmaßnahmen, die benannte Eigentümer von KII zum Schutz ihrer Systeme umsetzen müssen.

Kritische Informationsinfrastrukturen (KII) beziehen sich auf Computersysteme, die für die kontinuierliche Erbringung grundlegender Dienstleistungen in Singapur (z. B. Energie, Wasser, Banken, Gesundheitswesen, Verkehr, Infokommunikation, Regierung, Medien) unerlässlich sind. Die Eigentümer der ausgewiesenen KII-Systeme sind gesetzlich verpflichtet, die CCoP einzuhalten.

Der CCoP 2.0 ist in Schlüsselbereiche gegliedert, die ein umfassendes Cybersicherheitsprogramm widerspiegeln:

• Steuerung: Festlegung der Führungsrolle im Bereich der Cybersicherheit, der Rollen und Zuständigkeiten sowie des Rahmens für das Risikomanagement.
• Identifizierung: Vermögensverwaltung, Risikobewertung, Verständnis der Cybersicherheitslage.
• Schutz: Implementierung von Schutzmaßnahmen wie Zugangskontrolle, Datensicherheit (einschließlich Verschlüsselung und Schlüsselverwaltung), Netzwerksicherheit, Schwachstellenmanagement, sichere Konfigurationen, physische Sicherheit und Risikomanagement in der Lieferkette. Umfasst spezifische Anforderungen für die Verwaltung privilegierter Zugriffe (PAM).
• Erkennung: Implementierung von Überwachungsfunktionen zur Erkennung von Cybersicherheitsbedrohungen und -vorfällen (z. B. SIEM, IDS/IPS).
• Reaktion und Wiederherstellung: Entwicklung von Notfallplänen und Plänen zur Aufrechterhaltung des Geschäftsbetriebs bzw. zur Wiederherstellung nach Katastrophen.
• Cyber-Widerstandsfähigkeit: Maßnahmen, die sicherstellen, dass Systeme Angriffen standhalten und sich davon erholen können.
• Schulung und Sensibilisierung für Cybersicherheit: Schulung von Personal.
• Sicherheit in der Betriebstechnologie (OT): Spezifische Überlegungen für industrielle Kontrollsysteme und OT-Umgebungen, die in CCoP 2.0 maßgeblich eingeführt wurden.

Der CCoP stützt sich in hohem Maße auf internationale Standards und bewährte Verfahren (wie NIST CSF, ISO 27001), die jedoch in spezifische, obligatorische Anforderungen für den KII-Kontext in Singapur umgewandelt wurden.

Warum ist sie wichtig?

Die CCoP ist in Singapur aus mehreren Gründen von entscheidender Bedeutung:

• Gesetzliche Anforderung: Sie wird im Rahmen des Cybersicherheitsgesetzes 2018 herausgegeben und macht compliance für alle designierten KII-Inhaber verpflichtend.
• Schützt wesentliche Dienste: Ziel ist es, die kritischen Dienste (Energie, Wasser, Bankwesen usw.), von denen Singapur abhängig ist, vor potenziell schädlichen Cyberangriffen zu schützen.
• Nationale Sicherheit: Die Verbesserung der Sicherheit der KII ist eine Frage der nationalen Sicherheit.
• Erhöht die Grundlagen der Cybersicherheit: Schaffung eines einheitlichen und hohen Mindeststandards für Cybersicherheit in allen kritischen Sektoren.
• Berücksichtigt sich entwickelnde Bedrohungen: Der CCoP 2.0 berücksichtigt die gewonnenen Erkenntnisse und geht auf neuere Bedrohungen ein, darunter ausgefeilte Taktiken, Techniken und Verfahren (TTPs), Risiken in der Lieferkette und OT-Sicherheitsfragen.
• Durchsetzung der Rechenschaftspflicht: Erlegt den Eigentümern der KII klare Verantwortlichkeiten für die Umsetzung und Aufrechterhaltung von Cybersicherheitsmaßnahmen auf, die der behördlichen Aufsicht und Audits unterliegen.

Für Organisationen, die KII in Singapur betreiben, ist die compliance CCoP von grundlegender Bedeutung für ihre Betriebsgenehmigung und ihren Beitrag zur nationalen Widerstandsfähigkeit.

Was und wie umsetzen (technisch und politisch)

Die Umsetzung der CCoP beinhaltet die Einführung einer soliden Cybersicherheits-Governance und die Umsetzung spezifischer technischer und verfahrenstechnischer Kontrollen in den definierten Bereichen:

1. Governance und Risikomanagement:
   
   • Festlegung klarer Rollen, Zuständigkeiten und des Engagements des Managements im Bereich der Cybersicherheit.
   • Umsetzung eines Rahmens für das Risikomanagement zur Ermittlung, Bewertung und Behandlung von spezifischen Cybersicherheitsrisiken für die KII.
2. Schutzmaßnahmen:
   
   • Zugangskontrolle: Implementieren Sie eine starke Authentifizierung (MFA), die Prinzipien der geringsten Privilegien, Sitzungsmanagement und robuste Privileged Access Management (PAM)-Lösungen, um den Zugriff auf CII-Systeme und Daten zu kontrollieren.
   • Datensicherheit: Schutz sensibler Daten durch Verschlüsselung (im Ruhezustand und bei der Übertragung) und sichere kryptografische Schlüsselverwaltung. Implementieren Sie Maßnahmen zur Vermeidung von Datenverlusten.
   • Netzwerksicherheit: Segmentierung von Netzwerken, Implementierung von Firewalls, IDS/IPS und sichere Netzwerkkonfigurationen.
   • Schwachstellen-Management: Implementierung von Verfahren und Werkzeugen (Scannern) zur Ermittlung und Behebung von Schwachstellen in Systemen und Anwendungen innerhalb festgelegter Fristen. Sichere Softwareentwicklungsverfahren sind unerlässlich.
   • Sichere Konfiguration: Systeme absichern, unnötige Dienste/Ports deaktivieren, Konfigurationen sicher verwalten.
   • Risiken in der Lieferkette: Bewertung und Management von Cybersicherheitsrisiken im Zusammenhang mit Drittanbietern und Dienstleistern.
3. Erkennung:
   
   • Implementierung von SIEM-Systemen (Security Information and Event Management) und anderen Überwachungsinstrumenten, um Anomalien und potenzielle Sicherheitsvorfälle in Echtzeit zu erkennen. Sorgen Sie für eine angemessene Protokollierung.
4. Reaktion und Wiederherstellung:
   
   • Entwicklung, Pflege und regelmäßiges Testen von Plänen zur Reaktion auf Zwischenfälle (IRP) und zur Geschäftskontinuität/Disaster Recovery (BC/DR). Sicherstellen, dass sichere Backups durchgeführt und getestet werden.
5. OT Sicherheit (falls zutreffend):
   
   • Implementierung spezifischer Sicherheitsmaßnahmen, die auf betriebstechnische Umgebungen zugeschnitten sind und die besonderen Risiken industrieller Kontrollsysteme berücksichtigen.
6. Schulung und Sensibilisierung:
   
   • Durchführung regelmäßiger Cybersicherheitsschulungen für alle zuständigen Mitarbeiter.
7. Audits:
   
   • Beauftragung von CSA-zugelassenen Prüfern mit der Durchführung regelmäßiger Cybersicherheitsaudits (mindestens alle zwei Jahre), um die compliance der CCoP und des Gesetzes zu überprüfen.

Die Umsetzung erfordert einen ganzheitlichen Ansatz, der Technologie (PAM, SIEM, Verschlüsselung, Schwachstellen-Scanner), klar definierte Prozesse, eindeutige Richtlinien, laufende Schulungen und regelmäßige Audits kombiniert. Lösungen wie Thales CipherTrust (für Datensicherheit/Schlüsselverwaltung) und BeyondTrust (für PAM) werden häufig eingesetzt, um spezifische CCoP-Anforderungen zu erfüllen.

Häufig zu vermeidende Fehler

Bei der Umsetzung der CCoP können Organisationen auf diese Probleme stoßen:

1. Unzureichende Governance/Risikofokus: Behandlung der CCoP als rein technisch, ohne Einführung einer starken Governance, von Risikomanagementprozessen und Managementaufsicht.
2. Unzureichende Identifizierung von Vermögenswerten: Unzureichende Identifizierung aller Komponenten und Datenströme im Zusammenhang mit den ausgewiesenen KII, was zu unvollständigem Schutz führt.
3. Schwache Zugangskontrollen: Insbesondere im Bereich des privilegierten Zugriffs werden keine robusten PAM-Lösungen implementiert oder die geringsten Rechte nicht strikt durchgesetzt.
4. Ignorieren der OT-Sicherheit: Unternehmen mit OT-Umgebungen versäumen es, die spezifischen Anforderungen und Risiken zu berücksichtigen, die in der CCoP 2.0 für diese Systeme beschrieben sind.
5. Schlechtes Schwachstellenmanagement: Keine effektiven Prozesse oder Werkzeuge zur Identifizierung und Behebung von Schwachstellen innerhalb des erforderlichen Zeitrahmens.
6. Mangel an integrierter Überwachung/Erkennung: Implementierung von Sicherheitskontrollen, aber keine zentralisierte Protokollierung und Überwachung (SIEM), die für eine wirksame Erkennung von Vorfällen erforderlich ist.
7. Nicht getestete Reaktions-/Wiederherstellungspläne: IRPs und BC/DR-Pläne sind zwar auf dem Papier vorhanden, werden aber nicht regelmäßig getestet, so dass sie in einer echten Krise unwirksam sind.
8. Unzureichende Dokumentation: Unzureichende Dokumentation von Strategien, Verfahren, Risikobewertungen, Kontrollumsetzungen und Prüfungsnachweisen, wie sie für die Überprüfung der compliance erforderlich sind.

Was Prüfer fragen könntenEntwickelnde Focus)

Prüfer, die die compliance CCoP für KII-Systeme bewerten, werden die für die Softwareentwicklung und Anwendungssicherheit relevanten Kontrollen untersuchen:

• (Schutz - Schwachstellenmanagement) "Welche Verfahren gibt es zur Ermittlung und Behebung von Schwachstellen in maßgeschneiderten Anwendungen und Softwarekomponenten von Drittanbietern, die innerhalb der KII verwendet werden?" (SAST/SCA/DAST-Ergebnisse, Patching-Aufzeichnungen)
• (Schutz - Zugangskontrolle) "Wie wird der Zugang für Entwickler kontrolliert, die an KII-Systemen oder -Anwendungen arbeiten? Wie werden privilegierte Entwicklungsaktivitäten protokolliert und überwacht?"
• (Schutz - Datensicherheit) "Wie werden sensible Daten in Anwendungen, die die KII unterstützen, behandelt und geschützt (z. B. verschlüsselt)?"
• (Schutz - Sichere Konfiguration) "Wie stellen Sie sicher, dass sichere Konfigurationen auf Anwendungen und die unterstützende Infrastruktur angewendet werden?"
• (Erkennung) "Wie trägt die Anwendungsprotokollierung zu den allgemeinen Überwachungs- und Erkennungsmöglichkeiten für die KII bei?"
• (Reaktion/Wiederherstellung) "Wie werden Anwendungsabhängigkeiten in den Geschäftskontinuitäts- und Notfallwiederherstellungsplänen für die KII berücksichtigt?"

Die Prüfer erwarten den Nachweis sicherer Entwicklungspraktiken, eines soliden Schwachstellenmanagements, einer sicheren Konfiguration, angemessener Zugangskontrollen und einer wirksamen, in die KII-Umgebung integrierten Protokollierung.

Quick Wins für Entwicklungsteams

Entwicklungsteams, die die KII unterstützen, können zur compliance CCoP beitragen:

1. Integration von SAST/SCA: Einbettung von automatisiertem Code- und Dependency-Scanning in CI/CD-Pipelines für KII-bezogene Anwendungen.
2. Prioritäten für die Behebung von Schwachstellen setzen: Konzentrieren Sie sich auf die Behebung identifizierter kritischer/hochgradiger Schwachstellen innerhalb eines Zeitrahmens, der den Erwartungen des CCoP entspricht.
3. Verbessern Sie die Anwendungsprotokollierung: Stellen Sie sicher, dass Anwendungen aussagekräftige Protokolle für Sicherheitsereignisse erstellen und integrieren Sie diese in zentrale SIEM-Systeme.
4. Sichere API-Entwicklung: Implementierung einer starken Authentifizierung, Autorisierung und Eingabevalidierung für APIs, die mit KII-Systemen interagieren.
5. Befolgen Sie die Standards für sichere Kodierung: Halten Sie sich an anerkannte Richtlinien für sichere Kodierung (z. B. OWASP), um häufige Schwachstellen zu minimieren.
6. Datenverarbeitung minimieren: Entwerfen Sie Anwendungen so, dass sie so wenig sensible Daten wie möglich verarbeiten, die für ihre Funktion erforderlich sind.

Ignorieren Sie dies und... (Folgen der Compliance)

Die Nichteinhaltung der CCoP oder anderer Anforderungen gemäß dem Singapore Cybersecurity Act 2018 durch einen KII-Eigentümer kann zu erheblichen Konsequenzen führen, die von der CSA durchgesetzt werden:

• Finanzielle Sanktionen: Das Gesetz sieht Geldstrafen für diecompliance vor, wobei die konkreten Beträge, die direkt an die CCoP gebunden sind, von der Art des Verstoßes und den erlassenen Richtlinien abhängen können. Die Änderungen im Jahr 2024 könnten den Strafrahmen erhöhen.
• Anweisungen des Beauftragten: Der Beauftragte für Cybersicherheit kann Anweisungen erteilen, die den Eigentümer der KII auffordern, bestimmte Schritte zur Sicherung der KII zu unternehmen oder diecompliance zu beheben. Die Nichteinhaltung der Anweisungen ist eine Straftat.
• Direktes Eingreifen der CSA: In schwerwiegenden Fällen, in denen ein Vorfall eine erhebliche Bedrohung darstellt, ist die CSA befugt, direkte Maßnahmen zu ergreifen, um die Bedrohung der Cybersicherheit für die KII zu bewältigen.
• Betriebliche Auswirkungen: Erforderliche Abhilfemaßnahmen oder CSA-Eingriffe können zu Betriebsunterbrechungen führen.
• Schädigung des Ansehens: Die compliance von Vorschriften oder daraus resultierende Vorfälle, die wesentliche Dienste beeinträchtigen, können das öffentliche Vertrauen und den Ruf der Organisation schwer schädigen.
• Rechtliche Haftung: Je nach Auswirkung eines Vorfalls, der auf diecompliance zurückzuführen ist, kann eine zivilrechtliche Haftung entstehen.

Compliance ist eine wesentliche Voraussetzung für die Aufrechterhaltung der Lizenz zum Betrieb kritischer Dienste in Singapur.

FAQ

Wer muss die CCoP einhalten?

Eigentümer von Computersystemen, die vom Beauftragten für Cybersicherheit im Rahmen von Singapurs Cybersicherheitsgesetz 2018 als kritische Informationsinfrastrukturen (CII) eingestuft wurden. Dabei handelt es sich um Systeme, die für die kontinuierliche Erbringung grundlegender Dienstleistungen in Bereichen wie Energie, Wasser, Banken, Gesundheit, Verkehr usw. erforderlich sind.

Was ist die aktuelle Version des CCoP?

CCoP 2.0, herausgegeben im Juli 2022, ist die aktuelle Version, die frühere Versionen ablöst. Sie enthält aktualisierte Anforderungen, insbesondere in Bezug auf OT-Sicherheit und Lieferkettenrisiken.

Ist die compliance CCoP verpflichtend?

Ja, für ausgewiesene KII-Inhaber in Singapur ist die compliance der CCoP gemäß dem Cybersicherheitsgesetz 2018 eine gesetzliche Verpflichtung.

Wie oft sind CCoP-Audits erforderlich?

KII-Eigentümer müssen mindestens alle zwei Jahre von einem CSA-zugelassenen Prüfer die compliance des Gesetzes und der CCoP im Bereich der Cybersicherheit überprüfen lassen, sofern der Kommissar nichts anderes anordnet.

Wie verhält sich die CCoP zu internationalen Standards wie ISO 27001 oder NIST CSF?

Der CCoP stützt sich in erheblichem Maße auf etablierte internationale Standards und bewährte Verfahren, darunter Konzepte aus ISO 27001, NIST CSF und anderen. Diese Grundsätze werden in spezifische, verbindliche Anforderungen umgewandelt, die auf den KII-Kontext Singapurs zugeschnitten sind. Das Erreichen von ISO 27001 kann dazu beitragen, viele CCoP-Anforderungen zu erfüllen, aber die compliance CCoP muss speziell bewertet werden.

Was ist der Unterschied zwischen der CCoP und dem PDPA von Singapur?

Die CCoP konzentriert sich auf die Cybersicherheit von ausgewiesenen kritischen Informationsinfrastruktursystemen. Das Gesetz zum Schutz personenbezogener Daten (Personal Data Protection Act, PDPA ) regelt die Erhebung, Nutzung und Offenlegung personenbezogener Daten durch Organisationen in Singapur. Während die vom CCoP geforderten Cybersicherheitsmaßnahmen dazu beitragen, personenbezogene Daten zu schützen, die sich möglicherweise auf KII befinden, hat das PDPA seine eigenen spezifischen Datenschutzverpflichtungen.

Wo kann ich das offizielle CCoP-Dokument finden?

Der offizielle Cybersecurity Code of Practice for Critical Information Infrastructure (CCoP 2.0) kann auf der Website der Cyber Security Agency of Singapore (CSA) eingesehen werden.