datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Wed, 18 Sep 2024 22:55:16 +0000 de-DE hourly 1 Cyber-Sicherheitsbedürfnisse zusätzlich in Effizienzgewinne umwandeln https://www.datensicherheit.de/cyber-sicherheitsbeduerfnisse-zusatz-effizienzgewinne-umwandlung https://www.datensicherheit.de/cyber-sicherheitsbeduerfnisse-zusatz-effizienzgewinne-umwandlung#respond Wed, 18 Sep 2024 22:55:16 +0000 https://www.datensicherheit.de/?p=45351 graylog-andy-grolnickDas Verarbeitende Gewerbe ist eine sich über alle Branchen erstreckende allumfassende Industrie – deren Cyber-Sicherheit nicht hoch genug eingeschätzt werden kann.]]> graylog-andy-grolnick

Reaktion auf Erkenntnis, dass die Fertigung das dritte Jahr in Folge Top-Ziel für Cyber-Kriminelle ist

[datensicherheit.de, 19.09.2024] In Deutschland ist die Bedeutung des Verarbeitenden Gewerbes offensichtlich traditionell größer als in den anderen großen EU-Volkswirtschaften: Gemäß Statista-Angaben soll die Wertschöpfung im Jahr 2024 voraussichtlich 697,6 Milliarden Euro betragen. Die durchschnittliche jährliche Wachstumsrate dürfte demnach bei 0,75 Prozent (Compound Annual Growth Rate / CAGR 2024–2028) liegen. Sicherheit, insbesondere Cyber-Sicherheit, und Schutz der Betriebsabläufe in der Fertigung können daher nicht hoch genug eingeschätzt werden: „Das Verarbeitende Gewerbe ist eine allumfassende Industrie, die sich über alle Branchen erstreckt und der Gesellschaft ein effizientes Funktionieren ermöglicht. Von der Automobil- und Elektronikindustrie über den Maschinenbau, Luft- und Raumfahrt, Konsumgüterherstellung (FMCG) bis hin zu Handwerk und der chemischen und pharmazeutischen Industrie – die Fertigung ist das Rückgrat der Gesellschaft“, erläutert Andy Grolnick, „CEO“ des „SIEM“-Lösungsanbieters Graylog, in seiner aktuellen Stellungnahme.

graylog-andy-grolnick

Foto: Graylog

Andy Grolnick: Transparenz trägt zu besserer Koordinierung zwischen Herstellern, Zulieferern und Händlern bei und schafft ein intelligenteres sowie flexibleres Fertigungsumfeld

Fertigung hat am stärksten mit Cyber-Angriffen zu kämpfen

Die kritische Bedeutung der Fertigung habe diesen Sektor zu einem Top-Ziel für Cyber-Kriminelle gemacht. Grolnick führt aus: „Der ,X-Force Threat Intelligence Report’ von IBM hebt hervor, dass über 25 Prozent der Sicherheitsvorfälle in der Fertigungsindustrie stattfinden, die damit im dritten Jahr in Folge der am stärksten angegriffene Sektor ist.“

Hersteller stünden von allen Seiten unter Druck. Die steigende Nachfrage treibe Digitalisierungsinitiativen voran – gleichzeitig habe sich das Risiko von Angriffen so stark erhöht, dass Aufsichtsbehörden die Hersteller zur Einhaltung höherer Standards anhielten. „Das neue CRA-Gesetz der EU, das sich insbesondere an Hersteller richtet, die Geräte für das Internet der Dinge (IoT) produzieren, kann zu einer potenziellen Belastung von mehreren Millionen Euro für die Einhaltung der Vorschriften führen.“

Cyber-Sicherheit sollte zudem für Effizienzgewinn genutzt werden

„Um sich einen Wettbewerbsvorteil zu verschaffen, müssen die Hersteller ihre Herangehensweise an die Cyber-Sicherheit ändern und sie nutzen, um ihre Effizienz zu steigern. Es braucht ein Gleichgewicht zwischen IoT-Wachstum und Cyber-Sicherheit in der intelligenten Fertigung“, betont Grolnick.

Da die Fertigung immer „intelligenter“ werde, erzeugten Unternehmen mehr Daten als je zuvor. „Statista prognostiziert, dass das weltweite Datenvolumen bis 2027 auf 284 Zettabyte ansteigen wird.“ Das Industrielle Internet der Dinge (IIoT) spiele bei diesem Wachstum eine Schlüsselrolle.

Cyber-Angreifer zielen auf Software-, Cloud- oder andere Drittanbieter

Über eine Reihe von Sensoren, Geräten, Servern und Endpunkten für die Verfolgung, Verwaltung und Steuerung würden die Daten für die bidirektionale Kommunikation verbreitet. Mit zunehmender Konnektivität steige jedoch auch das Risiko. Die operativen das „IoT-Ökosystem“ verbindenen Technologien, um das Management der Lieferkette zu verbessern, seien auch potenzielle Schwachstellen, welche von böswilligen Akteuren ausgenutzt werden könnten, um Sicherheit, Betrieb, Ausrüstung, Produktivität und Budgets zu gefährden.

Angreifer hätten es auf Software-, „Cloud“- oder andere Drittanbieter abgesehen, um in die Lieferketten der Fertigungsindustrie einzudringen. Auf diese Weise könnten Hacker durch einen erfolgreichen Angriff auf ein einziges Drittunternehmen Zugriff auf personenbezogene Daten mehrerer Fertigungskunden erlangen. In einem Bericht von Make UK sei festgestellt worden, dass die Bereitstellung von Überwachungs- und Wartungszugängen für Dritte der dritthäufigste Grund für einen Cyber-Vorfall bei Herstellern sei.

Protokolldaten als Schlüssel zu Cyber-Resilienz und Produktivität

„Vorausschauende Hersteller können fortschrittliche Tools nutzen, um die Produktivität zu steigern und gleichzeitig die Einhaltung von Vorschriften zu gewährleisten. Durch die Nutzung von Sicherheitsdaten können Hersteller den Betrieb überwachen, Risiken mindern und Cyber-Sicherheit in einen Wettbewerbsvorteil verwandeln, unterstreicht Grolnick.

So generierten IoT-Geräte beispielsweise Protokolldaten, welche den Zugriff, die Häufigkeit des Zugriffs und die Einhaltung genehmigter Verfahren in Netzwerken nachverfolgten. Diese Daten seien für die Aufrechterhaltung der Geräte- und Netzwerksicherheit von entscheidender Bedeutung, böten aber auch Einblicke in die betriebliche Effizienz, wie z.B. die Häufigkeit von Fernzugriffen durch Techniker oder die Anzahl der wöchentlichen Geräteunterbrechungen. Darüber hinaus könnten die Protokolldaten Muster bei der Registrierung neuer Produkte und geographische Unterschiede aufzeigen. Diese Informationen seien von hohem geschäftlichem Wert und ermöglichten es den Herstellern, ihre Abläufe zu rationalisieren und ihr Wachstum zu fördern.

Wer Cyber-Sicherheit nur als Kostenfaktor betrachtet, übersieht ihren zusätzlichen Wert

„Die von Cybersecurity-Tools wie SIEM-Lösungen gesammelten Daten fließen in die Bereiche Sicherheit und Compliance ein, die für das Leistungs- und Verfügbarkeitsmanagement unerlässlich sind. Wenn man Cyber-Sicherheit nur als Kostenfaktor betrachtet, übersieht man ihren zusätzlichen Wert, der über die Cyber-Resilienz hinausgeht. Lösungen wie SIEM erfassen Daten, die einen besseren Einblick in den Betrieb und die Systemkommunikation ermöglichen“, so Grolnick. Durch die Zentralisierung der Protokollverwaltung könne die Technologie Daten aus verschiedenen Quellen zusammenführen und so eine kontinuierliche Überwachung der industriellen Prozesse und Systeme gewährleisten. Mit fortschrittlicher Analytik und Maschinellem Lernen könnten diese Systeme potenzielle Sicherheitsbedrohungen und Anomalien erkennen.

Die Hyperkonnektivität biete zahlreiche Vorteile für die Fertigung. Der Echtzeit-Datenaustausch zwischen Systemen, Maschinen und Prozessen verbessere die betriebliche Effizienz „exponentiell“. Die Transparenz trage zu einer besseren Koordinierung zwischen Herstellern, Zulieferern und Händlern bei und schaffe ein intelligenteres sowie flexibleres Fertigungsumfeld. „Der Sektor ist jedoch nur so gut wie sein Service, der schnell, präzise und risikofrei sein muss“, gibt Grolnick abschließend zu bedenken.

Weitere Informationen zum Thema:

DESTATIS Statistisches Bundesamt
Europa / Industriesektor in Deutschland weiterhin stark / Bruttowertschöpfung Verarbeitendes Gewerbe

statista
Verarbeitendes Gewerbe – Deutschland

IBM, Threat Intelligence
IBM X-Force Threat Intelligence Index 2024

Europäische Kommission
Gestaltung der digitalen Zukunft Europas / EU-Rechtsakt zur Cyberresilienz

statista
Volumen der jährlich generierten/replizierten digitalen Datenmenge weltweit von 2010 bis 2022 und Prognose bis 2027

MAKE uk The Manufacturers’ Orgnisation
CYBER SECURITY IN UK MANUFACTURING

]]>
https://www.datensicherheit.de/cyber-sicherheitsbeduerfnisse-zusatz-effizienzgewinne-umwandlung/feed 0
NIS-2: Stichtag 17. Oktober 2024 lässt keinen Zweifel am Handlungsbedarf https://www.datensicherheit.de/nis-2-stichtag-17-oktober-2024-keinen-zweifel-handlungsbedarf https://www.datensicherheit.de/nis-2-stichtag-17-oktober-2024-keinen-zweifel-handlungsbedarf#respond Wed, 18 Sep 2024 22:43:29 +0000 https://www.datensicherheit.de/?p=45348 Die NIS-2-Bedeutung geht über jene einer Übung zur Compliance hinaus – Cybersecurity bedeutet Zukunftssicherheit

[datensicherheit.de, 18.09.2024] Im Prinzip bekommt ein Appell an die unternehmerische Verantwortung in Fragen der IT-Sicherheit kurz vor dem NIS-2-Stichtag am 17. Oktober 2024 einen schalen Beigeschmack, so Adlon Intelligent Solutions in einer aktuellen Stellungnahme: Dennoch sind es in Deutschland ofensichtlich noch zu viele Unternehmen, welche ihre Geschäftsabläufe nicht ausreichend geschützt haben und ihre Kontinuität sowie Integrität nicht gewährleisten können. Ziel der NIS-2-Verordnung zur Cyber-Sicherheit von Netz- und Informationssystemen ist es gerade, möglichst viele Unternehmen in die Pflicht von IT-Sicherheitsstandards zu nehmen – betroffen sind 15 Branchen und über 160.000 Organisationen in Deutschland. Unternehmen, welche sich noch kurzfristig auf NIS-2 vorbereiten möchten, könnten sich mit dem von Adlon Intelligent Solutions angebotenen NIS-2-Check „pragmatisch und angemessen auseinandersetzen“. Man habe einen Lösungsweg erstellt, welcher die Umsetzung von NIS-2 auch in kurzer Zeit ermögliche.

Vor NIS-2: Fehlende Standards trotz Zunahme der Cyber-Sicherheitsverletzungen

Obwohl immer wieder über IT-Security-Schadensvorfälle und Cyber-Angriffe berichtet wird, zögern viele Unternehmen noch immer, ihre Cyber-Resilienz zu stärken. Befragungen zeigen demnach, dass mangelnde Ressourcen und fehlendes Knowhow häufig als Gründe genannt werden.

Die strategische Ausrichtung des Outsourcings durch „Managed Security Services“ wie „Managed XDR“ oder kontinuierliches Risikomanagement werde oft unterschätzt. Anstatt in Abhängigkeit vom Dienstleister zu geraten, sorge dieser Ansatz für maximale Transparenz sowie klare Prozesse und schaffe mehr Freiraum für eigene Wertschöpfung, während Personalmangel und Kostendruck reduziert würden.

Regulierung der IT-Sicherheit mittels NIS-2: Höchste Zeit zum Handeln!

Mit dem o.g. Stichtag habe der Bund einen Handlungszeitraum definiert, welcher bei den meisten Unternehmen vor allem eines ausgelöst habe – Empörung. „Von Aussitzen oder Verschiebung des Termins ist die Rede. Alles Humbug, denn der Termin 17. Oktober 2024 steht. Und das Gesetz ermöglicht eines: Kontrolle der Regularien bei hohen Bußgeldern. Viel Zeit bleibt also nicht mehr!“

NIS-2-Anforderungen laut Adlon Intelligent Solutions in Kürze:

  • Risikoanalyse
  • Umgang mit Sicherheitsvorfällen
  • Aufrechterhalten des Betriebes
  • Sicherheit der Lieferkette
  • Sicherheitsmaßnahmen in IT-Systemen
  • Bewertung der Wirksamkeit von Risikomanagement-Maßnahmen
  • Cyber-Hygiene und IT-Sicherheitsschulungen
  • Kryptographie und Verschlüsselung
  • Personalsicherheit und Zugriffskontrolle

Weitere Informationen zum Thema:

adlon
NIS2 Umsetzung

datensicherheit.de, 12.09.2024
NIS-2-Richtlinie: Kommunikation ist mehr als Erfüllung der Meldepflicht an Behörden / NIS-2 betrifft rund 30.000 Unternehmen in gesellschaftlich wichtigen Geschäftsfeldern wie Energieversorgung, Gesundheitswesen, Verkehr und digitale Infrastruktur

datensicherheit.de, 11.09.2024
NIS-2 wirft Schatten voraus: Stephan Heimel rät zur E-Mail-Verschlüsselung / NIS-2-Richtlinie von EU-Mitgliedsstaaten bis 17. Oktober 2024 in nationales Recht umzusetzen

datensicherheit.de, 23.08.2024
Der Countdown läuft: ESET-Whitepaper zur NIS-2-Richtlinie / Unterstützung für CISOs, um das Problembewusstsein und die NIS-2-Umsetzung bei Führungskräften zu fördern

]]>
https://www.datensicherheit.de/nis-2-stichtag-17-oktober-2024-keinen-zweifel-handlungsbedarf/feed 0
Mehr Cyber-Sicherheit für OT in Unternehmen erforderlich https://www.datensicherheit.de/staerkung-cyber-sicherheit-ot-unternehmen-erfordernis https://www.datensicherheit.de/staerkung-cyber-sicherheit-ot-unternehmen-erfordernis#respond Tue, 17 Sep 2024 13:50:05 +0000 https://www.datensicherheit.de/?p=45345 armis-peter-machatPeter Machat empfiehlt zur Steigerung der Cyber-Sicherheit KI-gestützte Plattformen zur Erkennung, zum Schutz und Management sämtlicher IT-, OT- und IoT-Assets.]]> armis-peter-machat

KRITIS und Produktionsumgebungen heute stärker denn je Cyber-Bedrohungen ausgesetzt

[datensicherheit.de, 17.09.2024] Kritische Infrastrukturen (KRITIS) und Produktionsumgebungen sind heute offensichtlich stärker denn je Cyber-Sicherheitsrisiken ausgesetzt, welche bei der ursprünglichen Entwicklung dieser Systeme noch oft unberücksichtigt blieben. Ein tiefes Verständnis der Besonderheiten von OT-Umgebungen, der damit verbundenen Herausforderungen und der bewährten Verfahren zum Schutz dieser Systeme ist daher laut Peter Machat, „Senior Director EMEA Central“ bei Armis, „unerlässlich“.

armis-peter-machat

Foto: Armis

Peter Machat empfiehlt KI-gestützte Plattformen zur Erkennung, zum Schutz und Management sämtlicher IT-, OT- und IoT-Assets

OT-Umgebungen im Visier von Hackern, Insidern, Cyber-Kriminellen, Terroristen und Nationalstaaten

In den letzten Jahren habe der OT-Markt ein beträchtliches Wachstum verzeichnet: Laut Grandview Research sei der OT-Markt im Jahr 2023 auf 190,95 Milliarden US-Dollar geschätzt worden und werde voraussichtlich von 2024 bis 2030 mit einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von zehn Prozent wachsen. „Dieses Wachstum wird durch die zunehmende Einführung von Automatisierungs- und intelligenten Technologien in verschiedenen Sektoren, einschließlich Fertigung, Energie und Transport, vorangetrieben“, erläutert Machat. Die Expansion des OT-Marktes verdeutliche die „Notwendigkeit robuster und umfassender Sicherheitsmaßnahmen zum Schutz dieser kritischen Systeme“.

OT-Umgebungen seien nun zunehmend Zielscheibe verschiedenster Bedrohungsakteure – darunter Hacker, Insider, Cyber-Kriminelle, Terroristen und Nationalstaaten – geworden. „Diese Systeme sind attraktiv, weil sie das Potenzial haben, massive Störungen zu verursachen – von der Unterbrechung von Produktionslinien über die Gefährdung von Sicherheitssystemen bis hin zu erheblichen wirtschaftlichen und betrieblichen Auswirkungen.“ Zu den besonders gefährdeten KRITIS-Sektoren gehörten die Strom- sowie Wasserversorgung, das Transport- und das Gesundheitswesen. Diese Bereiche, oft als „CISA 16″ bezeichnet, seien für das Funktionieren der Gesellschaft essenziell und daher bevorzugte Ziele für Cyber-Angriffe.

Spezielle Cyber-Sicherheitsherausforderungen in OT-Umgebungen

OT-Systeme wie Aktoren, Roboter und speicherprogrammierbare Steuerungen (SPS) unterschieden sich grundlegend von typischen IT-Assets – die Hersteller verwendeten jeweils eigene Protokolle und Standards. „Diese Systeme sind oft für eine lange Lebensdauer ausgelegt und können veraltete Software ausführen, was sie anfälliger für Cyber-Bedrohungen macht“, so Machat.

Sogenannte Air-Gap-Umgebungen seien vollständig von externen Netzwerken isoliert, um Cyber-Angriffe effektiv zu verhindern. Dieses Sicherheitskonzept erfülle die höchsten Anforderungen, indem es sowohl eine physische als auch eine logische Trennung zwischen Rechnern und Netzwerken gewährleiste. Trotzdem könnten ausgeklügelte Angriffe indirekt durch physische Medien oder elektromagnetische Emissionen in diese Systeme eindringen.

Neue Cyber-Sicherheitsrisiken entstehen, wenn die Grenze zwischen IT und OT verwischt

„Konvergierte Umgebungen verbinden IT- und OT-Systeme, was den Datenfluss optimiert und die Effizienz steigert.“ Dies schaffe jedoch neue Cyber-Sicherheitsrisiken, da die Grenze zwischen IT und OT verwische, wodurch bisher isolierte OT-Systeme anfälliger für Cyber-Angriffe würden. „Best Practices“ für mehr IT- und OT-Sicherheit laut Machat:

Umfassende Bestandsaufnahme aller Assets
Ein detailliertes Inventar aller IT-, OT-, IoT- und IoMT-Geräte („Internet of Medical Things“) sei entscheidend, um die Angriffsfläche zu verstehen und gezielte Cyber-Sicherheitsmaßnahmen zu ergreifen.

Implementierung von Resilienz und dynamischen Kontrollen
Ein mehrschichtiger Cyber-Sicherheitsansatz, der dynamisch an die sich verändernde Bedrohungslandschaft angepasst werden kann, sei notwendig.

Einhaltung von Vorschriften und Sicherheitsrahmen
Organisationen sollten sich an umfassenden Sicherheitsrahmen wie „MITRE ATT&CK“ und den Richtlinien der Cybersecurity and Infrastructure Security Agency (CISA) orientieren.

Ganzheitlicher Sicherheitsansatz
OT-Sicherheitspraktiken sollten auch auf IT-Sicherheitsprobleme angewendet werden. Eine Integration von IT- und OT-Sicherheitsteams sowie der Austausch von Bedrohungsinformationen seien notwendig.

Zusammenarbeit in der Industrie und Berichterstattung über Vorfälle
Durch die Teilnahme an Branchenforen und Informationsaustauschgruppen könne eine Organisation besser auf neue Cyber-Bedrohungen reagieren.

Detaillierte Planung der Reaktion auf Vorfälle
Ein umfassender Reaktionsplan für Vorfälle – regelmäßig zu testen und zu aktualisieren – sei unerlässlich.

Kontinuierliche und proaktive Überwachung und Bedrohungserkennung
Die Implementierung fortschrittlicher Technologien zur Echtzeitüberwachung und Erkennung verdächtiger Aktivitäten sei entscheidend.

Effektive Cyber-Sicherheitsstrategien für OT-Umgebungen

Angesichts der stetig wachsenden Zahl und Raffinesse von Cyber-Bedrohungen müssten Organisationen – unabhängig davon, ob sie isolierte Systeme oder integrierte IT- und OT-Infrastrukturen betreiben – flexible und anpassungsfähige Sicherheitsstrategien implementieren. OT-Umgebungen seien besonders gefährdet, da sie häufig veraltete Technologien beinhalteten, welche nicht für moderne Angriffe ausgelegt seien.

KI-gestützte Plattformen (wie z.B. „Armis Centrix™“) böten hier entscheidende Vorteile, indem sie eine umfassende Erkennung, den Schutz und das Management sämtlicher IT-, OT- und IoT-Assets ermöglichten. Besonders in OT-Umgebungen, in denen eine nahtlose Integration von Sicherheit und Betriebskontinuität essenziell sei, gewährleisteten solche Lösungen vollständige Transparenz über die gesamte Angriffsfläche und eine automatische Bedrohungserkennung. Dadurch könnten Unternehmen ihre betriebliche Resilienz steigern, Risiken frühzeitig abwehren und ihre Effizienz nachhaltig verbessern.

Weitere Informationen zum Thema:

datensicherheit.de, 29.08.2024
IoT: Wenn das Internet der Dinge zum Internet of Threats zu werden droht / Vorteile der IoT-Technologie dürfen nicht durch Gefahr von Cyber-Angriffen überschattet werden

datensicherheit.de, 28.08.2024
OT-Sicherheit in der Lebensmittelindustrie / Rolle der NIS-2-Richtlinie in der Europäischen Union

datensicherheit.de, 17.04.2024
Neuer TeleTrusT-Podcast zu OT-/IT-Sicherheitsvorfällen und Schutzmaßnahmen / TeleTrusT-Gesprächsrunde veranschaulicht Sicherheitsrisiken anhand von Praxisbeispielen

]]>
https://www.datensicherheit.de/staerkung-cyber-sicherheit-ot-unternehmen-erfordernis/feed 0
GI-Arbeitskreis fordert stärkere Kontrollen nach Softwarefehler bei Landtagswahlen 2024 in Sachsen https://www.datensicherheit.de/gi-arbeitskreis-forderung-verstaerkung-kontrollen-softwarefehler-landtagswahlen-2024-sachsen https://www.datensicherheit.de/gi-arbeitskreis-forderung-verstaerkung-kontrollen-softwarefehler-landtagswahlen-2024-sachsen#respond Tue, 17 Sep 2024 13:39:43 +0000 https://www.datensicherheit.de/?p=45342 GI sieht stärkere Kontrollen auch gestützt durch ein Urteil des Bundesverfassungsgerichts

[datensicherheit.de, 17.09.2024] Der Arbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik e.V. (GI) fordert in seiner aktuellen Stellungnahme mit Blick auf die Auswertung der Stimmergebnisse bei der Landtagswahl 2024 in Sachsen die „Offenlegung des Quellcodes, unabhängige Prüfungen und Sanktionen bei Verstößen“ – nach den Vorfällen bei den Wahlen in Sachsen seien mehr Transparenz und Kontrolle beim Einsatz von Wahlsoftware gefragt. Zudem seien stärkere Kontrollen auch gestützt durch ein Urteil des Bundesverfassungsgerichts.

GI-Arbeitskreis unterstützt damit die jüngsten Forderungen des Chaos Computer Clubs (CCC)

Dieser GI-Arbeitskreis unterstützt damit die jüngsten Forderungen des Chaos Computer Clubs (CCC) nach mehr Transparenz bei der Verwendung von Wahlsoftware, insbesondere angesichts der Vorkommnisse bei der Landtagswahl 2024 in Sachsen. „Nach den jüngsten Meldungen haben Softwarefehler zu Verzögerungen und Unsicherheiten bei der korrekten Sitzverteilung geführt, was nicht nur das Vertrauen in das Wahlsystem, sondern auch in die Demokratie selbst erschüttern kann.“

Mangel an Transparenz bedrohe das Vertrauen in den demokratischen Prozess: Der CCC kritisiert demnach in seiner Stellungnahme, dass schwerwiegende Fehler in der Wahlsoftware nicht rechtzeitig und transparent kommuniziert worden seien. Insbesondere bei der Sitzverteilung nach der sächsischen Landtagswahl sei zunächst eine falsche Berechnung durch die Software festgestellt worden, welche erst im Nachhinein korrigiert worden sei. „Dieser Vorfall zeigt erneut, wie anfällig Wahlsoftware ohne ausreichende Transparenzmechanismen sein kann.“

Sprecher des GI-Arbeitskreises warnt vor Verlust des Vertrauens der Öffentlichkeit in den Wahlvorgang

Bereits in seinem Urteil vom 3. März 2009 (2 BvC 3/07) habe das Bundesverfassungsgericht entschieden, dass Wahlen so gestaltet sein müssten, „dass die wesentlichen Schritte des Wahlverfahrens für alle Wahlberechtigten ohne spezielle technische Kenntnisse nachvollziehbar sind“. Dies gelte insbesondere auch für den Einsatz elektronischer Systeme.

„Das Urteil des Bundesverfassungsgerichts unterstreicht die Notwendigkeit, dass Wahlsoftware und die damit verbundenen Prozesse für alle Beteiligten transparent und auch ohne Fachkenntnisse überprüfbar sein müssen“, kommentiert Martin Weigele, Sprecher des GI-Arbeitskreises „Datenschutz und IT-Sicherheit“. Denn es stehe viel auf dem Spiel: „Wir können auf keinen Fall riskieren, das Vertrauen der Öffentlichkeit in den Wahlvorgang zu verlieren!“

GI-Forderungen zur Wahldurchführung und Nutzung von -software:

Verpflichtende Offenlegung des Quellcodes von Wahlsoftware
Der Quellcode von Wahlsoftware müsse öffentlich zugänglich gemacht werden, um eine unabhängige Überprüfung durch Fachleute zu ermöglichen. Dies sei eine Grundvoraussetzung, um die Anforderungen des Bundesverfassungsgerichts an die öffentliche Nachvollziehbarkeit von Wahlen zu erfüllen.

Umfassende und regelmäßige unabhängige Prüfungen
Jegliche Wahlsoftware müsse regelmäßig durch unabhängige Stellen auf ihre Sicherheit und Funktionsfähigkeit überprüft werden. Diese Prüfberichte müssten der Öffentlichkeit zugänglich gemacht werden, um mögliche Fehlerquellen frühzeitig zu erkennen und das Vertrauen in den Wahlprozess zu stärken.

Sofortige Einführung von Transparenzstandards bei der Wahldurchführung
Wie die aktuellen Ereignisse bei der Landtagswahl 2024 in Sachsen zeigten, seien verbindliche Transparenzstandards dringend erforderlich. Diese müssten sicherstellen, „dass jegliche Fehler oder Unregelmäßigkeiten in Echtzeit offengelegt und zügig behoben werden, um Verzögerungen und Missverständnisse zu vermeiden“.

Erweiterte Aufklärung und Sensibilisierung der Wähler
Neben technischen Maßnahmen sei es essenziell, dass die Bevölkerung über die Funktionsweise von Wahlsoftware und deren mögliche Schwachstellen aufgeklärt werde – dies fördere das Verständnis und Vertrauen der Wähler in den demokratischen Prozess.

Sanktionen bei Verletzung der Transparenzpflicht
Die Intransparenz und mangelhafte Kommunikation von Softwarefehlern müssten klare rechtliche Konsequenzen haben. „Um sicherzustellen, dass die Standards eingehalten werden, müssen Sanktionen verhängt werden, wenn Unternehmen oder Behörden den Anforderungen an die Transparenz nicht nachkommen.“

Laut GI muss Wahlsoftware höchsten Standards an Transparenz, Sicherheit und Nachvollziehbarkeit entsprechen

Die jüngsten Probleme bei der Landtagswahl in Sachsen zeigten, dass die digitalen Systeme in der Wahldurchführung noch immer Schwachstellen aufwiesen, „die durch fehlende Transparenz und mangelhafte Kontrolle verstärkt werden“. Die GI fordert daher nach eigenen Angaben dringend die Umsetzung der oben genannten Maßnahmen, um die Integrität und Sicherheit zukünftiger Wahlen zu gewährleisten.

In einer Demokratie sei das Vertrauen in die Unversehrtheit und Richtigkeit der Wahlergebnisse von zentraler Bedeutung. In Anbetracht der technischen Entwicklungen und der zunehmenden Digitalisierung des Wahlprozesses sei es unabdingbar, „dass Wahlsoftware den höchsten Standards an Transparenz, Sicherheit und Nachvollziehbarkeit entspricht“. Die GI setze sich entschlossen dafür ein, dass diese Anforderungen erfüllt werden.

Weitere Informationen zum Thema:

golem.de, Friedhelm Greis, 08.09.2024
Softwarefehler bei Landtagswahl: CCC kritisiert Intransparenz bei Wahlsoftware

wahlrecht.de, Nachrichten
Landtagswahl am 1. September 2024 in Sachsen

Bundesverfassungsgericht, 03.03.2009
Urteil vom 03. März 2009 / 2 BvC 3/07 / Verwendung von Wahlcomputern bei der Bundestagswahl 2005 verfassungswidrig

ARBEITSKREIS DATENSCHUTZ und IT-SICHERHEIT
Willkommen beim Arbeitskreis Datenschutz und IT-Sicherheit (im Fachbereich Sicherheit)

]]>
https://www.datensicherheit.de/gi-arbeitskreis-forderung-verstaerkung-kontrollen-softwarefehler-landtagswahlen-2024-sachsen/feed 0
SANS Institute gibt eBook zur Cloud-Sicherheit heraus https://www.datensicherheit.de/sans-institute-herausgabe-ebook-cloud-sicherheit https://www.datensicherheit.de/sans-institute-herausgabe-ebook-cloud-sicherheit#respond Fri, 13 Sep 2024 22:17:27 +0000 https://www.datensicherheit.de/?p=45333 sans-institute-frank-kimDas eBook behandelt die wichtigsten Cloud-Sicherheitsprinzipien, einschließlich Identitätsmodernisierung, KI-Herausforderungen und Secure-by-Design-Strategien.]]> sans-institute-frank-kim

Im Fokus: „Cloud“-Sicherheit mit „AWS“, „Google Cloud“ und „Microsoft Azure“

[datensicherheit.de, 14.09.2024] „Das eBook behandelt die wichtigsten ,Cloud’-Sicherheitsprinzipien, einschließlich Identitätsmodernisierung, KI-Herausforderungen und Secure-by-Design-Strategien, und bietet Unternehmen umsetzbare Erkenntnisse zur Verbesserung ihrer Sicherheit“, erläutert Frank Kim, „SANS Fellow“ und „Cloud Curriculum Lead“, in seiner aktuellen Stellungnahme.

sans-institute-frank-kim

Foto: SANS Institute

Frank Kim: Sicherheitsteams müssen sich auf die Feinheiten konzentrieren, wie diese Konzepte auf ihre spezifischen ,Cloud’-Anbieter anzuwenden sind!

„Cloud“-Sicherheit gewinnt weiter an Bedeutung

„Cloud“-Sicherheit gewinne weiter an Bedeutung – und die Nachfrage nach fachkundiger Beratung sowie umsetzbaren Erkenntnissen sei noch nie so groß gewesen. Um dieser Nachfrage gerecht zu werden, freut sich das SANS Institute nach eigenen Angaben, sein neuestes eBook „Cloud Security: First Principles and Future Opportunities“ zu veröffentlichen. Dieses wurde demnach zusammen mit Experten von „Amazon Web Services“ (AWS), „Google Cloud“ sowie „Microsoft Azure“ verfasst und steht ab sofort zum Download zur Verfügung.

Das eBook soll laut Kim Sicherheitsexperten, „Cloud“-Architekten und Führungskräften wichtige Einblicke in Schlüsselthemen wie Identitätsmodernisierung, Secure-by-Design-Prinzipien und die Auswirkungen von generativer KI auf die „Cloud“-Sicherheit bieten.

Fachwissen führender „Cloud“-Anbieter mit jenem unabhängiger SANS-Experten kombiniert

Das Besondere an dieser Ressource sei das „einzigartige Autorenteam“, welches das Fachwissen führender „Cloud“-Anbieter mit dem unabhängiger Experten von SANS kombiniere, um einen ausgewogenen, praktischen Ansatz zu bieten – „der den Lesern hilft, ihre ,Cloud’-Sicherheitsstrategien zu stärken und den sich entwickelnden Bedrohungen über verschiedene Plattformen hinweg einen Schritt voraus zu sein“.

Kim kommentiert: „Wir befinden uns noch in der Anfangsphase der Einführung von ,Cloud Computing’ in Unternehmen. Während sich die Technologie weiterentwickelt und neue Dienste eingeführt werden, müssen die Sicherheitsteams wachsam bleiben!“ Er betont: „Dies ist der Tag 1 der ,Cloud’-Sicherheit, und dieses eBook wird Unternehmen dabei helfen, die vor ihnen liegende Komplexität zu bewältigen, indem es praktische Anleitungen für die Navigation durch die neuen Technologien bietet.“

Die wichtigsten Erkennnisse des eBooks laut KIM:

Trends in der „Cloud“-Nutzung:
Das eBook stelle fest, dass mehr als die Hälfte der Workloads in Unternehmen derzeit in öffentlichen „Clouds“ gehostet würden und dass diese Zahl in den nächsten drei Jahren voraussichtlich um 45 Prozent steigen werde. Mit der zunehmenden Verbreitung der „Cloud“ werde die Bedeutung der „Cloud“-Sicherheit immer wichtiger, insbesondere in Bereichen wie Identitätsmanagement und Datensicherheit.

Identitätsmodernisierung:
Ein wichtiges Thema dieses eBooks sei die Bedeutung von „Zero Trust“ und „Conditional Access Controls“ für den Schutz von „Cloud“-Umgebungen. Die Autoren betonen, „dass Identitätsmissbrauch nach wie vor eine der größten Schwachstellen darstellt und Unternehmen moderne Identitätslösungen einsetzen müssen, um den unbefugten Zugriff auf sensible Daten zu verhindern“.

„Generative AI Security“:
Das eBook befasse sich auch mit der zunehmenden Integration von sogenannter Generativer AI (GenAI) in „Cloud“-Plattformen und den damit verbundenen Sicherheitsrisiken. Es biete Strategien zur Entschärfung von Bedrohungen wie Datenvergiftung und unbefugtem Zugriff auf KI-Systeme. Diese Inhalte seien unverzichtbar für Unternehmen, welche „eine sichere Integration von KI in ihren Betrieb planen“.

Prinzipien der „Cloud“-Sicherheit universell wichtig – Details der Umsetzung variieren indes

Mit Blick auf die rasanten Veränderungen im Bereich der „Cloud“-Sicherheit ergänzt Kim: „Die Erkenntnisse führender ,Cloud’-Sicherheitsexperten zeigen, dass die Prinzipien der ,Cloud’-Sicherheit – wie ,Secure by Design’ und Identitätsmodernisierung – zwar universell wichtig sind, die Details der Umsetzung jedoch variieren. Sicherheitsteams müssen sich auf die Feinheiten konzentrieren, wie diese Konzepte auf ihre spezifischen ,Cloud’-Anbieter anzuwenden sind.“

Diejenigen, die ihre „Cloud“-Sicherheitsstrategien stärken und einen Schritt voraus sein wollen, könnten das eBook herunterladen (s.u.). Wer tiefer in das Thema „Cloud“-Sicherheit eintauchen und zusätzliche Einblicke gewinnen möchte, könne sich auch die Aufzeichnung der Veranstaltung „Cloud Security Exchange 2024“ ansehen (s.u.), „auf der führende Experten von ,AWS’, ,Microsoft Azure’, ,Google Cloud’ und ,SANS’ wichtige Trends und Strategien diskutierten“.

Weitere Informationen zum Thema:

SANS, SANS Whitepaper
SANS Cloud Security Exchange 2024 eBook – Cloud Security: First Principles and Future Opportunities

SANS, Webcasts
SANS Cloud Security Exchange 2024 / Tuesday, 27 Aug 2024 15:00 UTC) / Speaker: Frank Kim

]]>
https://www.datensicherheit.de/sans-institute-herausgabe-ebook-cloud-sicherheit/feed 0
Hacker-Gruppe Earth Preta nutzt neue Cyber-Angriffsmethoden https://www.datensicherheit.de/hacker-gruppe-earth-preta-nutzung-neuheit-cyber-angriffsmethoden https://www.datensicherheit.de/hacker-gruppe-earth-preta-nutzung-neuheit-cyber-angriffsmethoden#respond Fri, 13 Sep 2024 22:08:04 +0000 https://www.datensicherheit.de/?p=45329 trend-micro-richard-wernerDie Hacker-Gruppe nutzt Wechseldatenträger als Infektionsvektor und geht Cyber-Spionage nach, um Systeme zu kontrollieren und Daten zu stehlen.]]> trend-micro-richard-werner

Cyber-Angriffswellen mittels Wechseldatenträgern sowie Spear-Phishing-Kampagnen

[datensicherheit.de, 14.09.2024] Trend Micro nimmt in einem aktuellen Blog-Beitrag Stellung zur Hacker-Gruppe „Earth Preta“ (auch „Mustang Panda“): Diese setzt demnach in einer neuen Angriffswelle auf „selbstverbreitende Malware, die sich über Wechseldatenträger ausbreitet, sowie auf Spear-Phishing-Kampagnen“. Ziel dieser Angriffe seien derzeit hauptsächlich Regierungsbehörden in der Asien-Pazifik-Region (APAC). Die Gruppe nutze Wechseldatenträger als Infektionsvektor und gehe Cyber-Spionage nach, um Systeme zu kontrollieren und Daten zu stehlen. Trend Micro hat nach eigenen Angaben kürzlich über eine Zunahme der Aktivitäten chinesischer Bedrohungsakteure berichtet, zu denen auch „Earth Preta“ gehöre.

trend-micro-richard-werner

Foto: Trend Micro

Richard Werner erinnert an „Stuxxnet“ – diese Malware sollte beispielsweise über USB-Sticks von Servicetechnikern das iranische Atomprogramm sabotieren, wurde allerdings auch außerhalb Irans nachgewiesen…

Cyber-Würmer greifen im Prinzip alles Verwundbare an

Richard Werner, „Security Advisor“ bei bei Trend Micro, kommentiert die Aktivitäten der Hacker-Gruppe „Earth Preta“: „Würmer – in diesem Fall die eingesetzte selbstverbreitende Software – sind ein wenig aus der Mode gekommen. Eine Infektion über sie ist typischerweise sehr schnell und damit im Verhältnis zu anderen Angriffsmethoden deutlich wahrnehmbarer.“

Sogenannte Würmer seien auch nicht selektiv, sondern griffen im Prinzip alles Verwundbare an. „Das heißt, dass beispielsweise ein staatlicher Angreifer das Risiko hat, ebenfalls Schaden an der eigenen Infrastruktur anzurichten“, erläutert Werner.

Um dieses Risiko zu mindern, verwendeten die Täter hierzu die Propagierungsmethode „Wechseldatenträger“ (z.B. USB-Sticks) – dies verkompliziere die Sache und berge andere Risiken.

Cyber-Infektion per Wechseldatenträger birgt Risiko der Verwendung auch außerhalb des gewünschten Einsatzbereiches

Zum Einen müsse der Angreifer es schaffen, „dass die Schadroutine auch im gewünschten Ziel ankommt – was nur funktioniert, wenn das Opfer auch diese Art Datenträger verwendet“. Zum Anderen steige die Wahrscheinlichkeit mit jeder weiteren – durch den Angreifer nicht mehr kontrollierbaren – Kompromittierung, „dass er entdeckt wird und seine komplette Operation auffliegt“. Auch bei Wechseldatenträgerinfektionen bestehe die Möglichkeit, dass sie außerhalb des gewünschten Einsatzbereiches verwendet würden.

Die Schadvariante „Stuxxnet“ sollte beispielsweise über die USB-Sticks von Servicetechnikern das iranische Atomprogramm sabotieren. Werner ruft in Erinnerung: „Sie wurde allerdings auch außerhalb des Irans nachgewiesen, da dieselben USB-Sticks von den nicht eingeweihten Servicetechnikern international eingesetzt wurden.“

Eine unmittelbare Bedrohung für Deutschland sieht Werner nur insofern, als dass es ein großes Interesse an sensiblen Daten gebe und der „Datenhunger der chinesischen Regierung“ bemerkenswert sei. Werners Fazit: „Dass wir auch in Deutschland offen über beispielsweise Vorratsdatenspeicherung diskutieren, zeigt mir, dass in demokratischen Rechtsstaaten Verwendungszwecke relevant wären.“

Weitere Informationen zum Thema:

TREND MICRO, Lenart Bermejo & Sunny Lu & Ted Lee, 09.09.2024
Malware / Earth Preta Evolves its Attacks with New Malware and Strategies

]]>
https://www.datensicherheit.de/hacker-gruppe-earth-preta-nutzung-neuheit-cyber-angriffsmethoden/feed 0
eco kommentiert geplante Ausweitung der Kompetenzen für Sicherheitsbehörden https://www.datensicherheit.de/eco-kommentar-planung-ausweitung-kompetenzen-sicherheitsbehoerden https://www.datensicherheit.de/eco-kommentar-planung-ausweitung-kompetenzen-sicherheitsbehoerden#respond Thu, 12 Sep 2024 22:52:07 +0000 https://www.datensicherheit.de/?p=45318 eco-klaus-landefeldDer eco meldet, dass der Bundestag momentan über zwei Gesetzesentwürfe zu den Befugnissen des BKA, der Bundespolizei und des BAMF debattiert.]]> eco-klaus-landefeld

Präzise Schutzmaßnahmen und gesellschaftliche Debatte laut eco – Verband der Internetwirtschaft erforderlich

[datensicherheit.de, 13.09.2024] Der eco – Verband der Internetwirtschaft e.V. meldet, dass der Bundestag demnach momentan über zwei Gesetzesentwürfe zu den Befugnissen des Bundeskriminalamts (BKA), der Bundespolizei und des Bundesamts für Migration und Flüchtlinge (BAMF) debattiert. In diesem Zusammenhang mahnt der eco nach eigenen Angaben zur Vorsicht bei der Umsetzung der geplanten Maßnahmen und Klaus Landefeld, eco-Vorstand, betont die Notwendigkeit eines ausgewogenen Ansatzes.

eco-klaus-landefeld

Foto: eco e.V.

Klaus Landefeld: Das Vorhaben betrifft den grundrechtsrelevanten Bereich der gesamten Bevölkerung und stärkt nicht gerade das Vertrauen in die Nutzung von Technologie und dem Internet!

eco mahnt zur Vorsicht bei der Umsetzung der geplanten Maßnahmen

Aktuell debattiere der Bundestag über zwei Gesetzesentwürfe, welche weitreichende Befugnisse für das Bundeskriminalamt (BKA), die Bundespolizei und das Bundesamt für Migration und Flüchtlinge (BAMF) vorsähen. Diese Entwürfe seien bereits in den Innenausschuss überwiesen worden und sollten dort umgehend beraten werden.

Der eco mahnt in diesem Zusammenhang zur Vorsicht bei der Umsetzung der geplanten Maßnahmen: „Sicherheitsinteressen sind insbesondere nach den jüngsten Anschlägen nachvollziehbar. Neue Kompetenzen für Sicherheitsbehörden müssen aber immer auch mit effektiven Schutzmaßnahmen einhergehen“, kommentiert Klaus Landefeld, eco-Vorstand, die Notwendigkeit eines ausgewogenen Ansatzes betonend – nur so könne das Vertrauen der Gesellschaft in moderne Technologien, insbesondere KI, aufrechterhalten werden.

eco fordert breite gesellschaftspolitische Debatte

Die Entwürfe sähen vor, dass das BKA und die Bundespolizei künftig biometrische Daten wie Gesichts- und Stimmprofile mit öffentlich zugänglichen personenbezogenen Daten aus dem Internet abgleichen könnten. Auch die Analyse dieser Daten durch KI-Technologien werde erlaubt. Landefeld warnt: „Diese weitreichenden Befugnisse bergen Risiken, da sie über die Ermittlung von Tatverdächtigen hinausgehen und zu einer umfassenderen Überwachung führen könnten.“

Besondere Sorge bereite die unklare Definition der „öffentlich zugänglichen Daten aus dem Internet“. Landefeld führt hierzu aus: „Insbesondere Bedenken hinsichtlich des Profilings beim Abgleich von Datenbanken und der Analyse durch KI müssen ernst genommen werden. Hier muss sichergestellt werden, dass keine Daten aus geschützten oder privaten Bereichen erfasst werden.“

eco moniert zu kleinen Zeitrahmen, um diese komplexen Fragen angemessen zu erörtern

Der eco fordert eine „präzise Regelung“, um Diskriminierung zu vermeiden und Missbrauch zu verhindern. Zudem müsse die gesellschaftliche Debatte über diese Maßnahmen umfassender geführt werden: „Das Vorhaben betrifft den grundrechtsrelevanten Bereich der gesamten Bevölkerung und stärkt nicht gerade das Vertrauen in die Nutzung von Technologie und dem Internet“, betont Landefeld abschließend.

Der Zeitrahmen für die aktuelle Debatte reiche nicht aus, um diese komplexen Fragen angemessen zu erörtern. Auch der weitere Schutz der Bürgerrechte im digitalen Bereich dürfe hierzu nicht im Schnellverfahren aufgeweicht werden.

]]>
https://www.datensicherheit.de/eco-kommentar-planung-ausweitung-kompetenzen-sicherheitsbehoerden/feed 0
Lokal angepasste Warnkonzepte: Leitfaden für Praktiker der Warnung vorgestellt https://www.datensicherheit.de/lokal-anpassung-warnkonzepte-leitfaden-praktiker-warnung-vorstellung https://www.datensicherheit.de/lokal-anpassung-warnkonzepte-leitfaden-praktiker-warnung-vorstellung#respond Thu, 12 Sep 2024 22:02:03 +0000 https://www.datensicherheit.de/?p=45323 bbk-leitfaden-erstellung-lokale-warnkonzepte-2024Im Vorfeld des Bundesweiten Warntags 2024 hat das BBK gemeinsam mit seinen Partnern den Leitfaden „Lokale Warnkonzepte“ vorgestellt.]]> bbk-leitfaden-erstellung-lokale-warnkonzepte-2024

Warn-Leitfaden als Ergebnis der Zusammenarbeit des BBK mit Rheinland-Pfalz und Baden-Württemberg sowie den lokalen Feuerwehren der Städte Ludwigshafen und Mannheim

[datensicherheit.de, 13.09.2024] Im Vorfeld des diesjährigen „Bundesweiten Warntags“ am 12. September 2024 hat das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) gemeinsam mit seinen Partnern den Leitfaden „Lokale Warnkonzepte“ vorgestellt, welcher demnach „wichtige Informationen und Empfehlungen für Praktikerinnen und Praktiker der Warnung“ bieten soll. Dieser Leitfaden sei das Ergebnis einer Zusammenarbeit des BBK mit den Ländern Rheinland-Pfalz und Baden-Württemberg sowie den lokalen Feuerwehren der Städte Ludwigshafen und Mannheim.

bbk-leitfaden-erstellung-lokale-warnkonzepte-2024

Abbildung: BBK

Lokale Warnkonzepte: Leitfaden zum Erstellen lokaler Warnkonzepte im Bevölkerungsschutz mit Beispielen aus Mannheim und Ludwigshafen am Rhein

Leitfaden „Lokale Warnkonzepte“ am 9. September 2024 vorgestellt

Laut BBK trafen sich am 9. September 2024 Ralph Tiesler (BBK-Präsident), Jutta Steinruck (Oberbürgermeisterin Ludwigshafens), Dr. Volker Proffen (Bürgermeister und Sicherheitsdezernent Mannheims) sowie Daniel Stich (Staatssekretär des Ministeriums des Innern und für Sport in Rheinland-Pfalz) im „Führungs- und Lagezentrum“ in Ludwighafen zusammen, um den Leitfaden „Lokale Warnkonzepte“ vorzustellen.

Dieser sei das Ergebnis einer bereits lange bestehenden Zusammenarbeit zwischen dem BBK, den Ländern Rheinland-Pfalz und Baden-Württemberg und den lokalen Feuerwehren der Städte Ludwigshafen und Mannheim. Der Leitfaden zum Erstellen lokaler Warnkonzepte biete wichtige Informationen und Erkenntnisse aus vergangenen Jahren sowie viele Tipps und Empfehlungen, welche Praktiker der Warnung dabei unterstützen sollten, ein eigenes regional angepasstes Warnkonzept zu entwickeln.

Neben individuellen Konstellationen gebe es jedoch Grundlagen und Elemente, welche in jedem Warnkonzept enthalten sein sollten. Diese Grundlagen werden laut BBK im nun vorliegenden Leitfaden strukturiert erläutert.

Für eine effektive Warnung reicht es nicht, sich ausschließlich auf die technischen Aspekte zu fokussieren!

BBK-Präsident Tiesler kommentiert: „Ob eine Warnung wirksam ist, zeigt erst die Reaktion darauf. Um eine effektive Warnung zu gewährleisten, reicht es nicht, sich ausschließlich auf die technischen Aspekte zu fokussieren. Ich bin davon überzeugt, dass wir hier eine wichtige Handreichung entwickelt haben, die uns unserem Ziel näherbringt, in Krisen und Notfällen so warnen zu können, dass wir möglichst viele Menschen erreichen – sowohl technisch als auch inhaltlich.“ Er würde sich sehr freuen, wenn der Leitfaden in vielen weiteren Kommunen bekannt wird, welche dann aus den hier gemachten Erfahrungen ihre Schlüsse für sich ziehen könnten.

„Es ist eine wichtige und anspruchsvolle Aufgabe, den Schutz und die Sicherheit für Hundertausende von Menschen zu gewährleisten, die sich in den Nachbarstädten Ludwigshafen und Mannheim befinden“, betont Ludwigshafens Oberbürgermeisterin Steinruck. Im vertrauten und über mehrere Jahrzehnte gewachsenen Zusammenspiel beider Kommunen gelinge dies zum Wohl aller über Stadt- und Landesgrenzen hinweg. Dabei würden die Mittel kontinuierlich optimiert, mit denen die Bevölkerung etwa bei Großschadenslagen Informationen und wichtige Handlungsanweisungen erhalte: „Nur wer informiert ist, kann sich und andere schützen beziehungsweise sich und anderen helfen.“

„Für die Städte Mannheim und Ludwigshafen ist eine reibungslose und enge Zusammenarbeit besonders wichtig, da unter anderem durch die ansässigen Störfallbetriebe das Gefahrenpotenzial sehr hoch ist. Daher bin ich froh, dass zahlreiche Einsatzlagen in den vergangenen Jahren bestätigt haben, wie gut die Zusammenarbeit zwischen unseren beiden Städten funktioniert und man sich aufeinander verlassen kann“, betont Mannheimer Bürgermeister und Sicherheitsdezernent Dr. Proffen. Zusammen hätten sie eine gute Warnmittelzusammenstellung etabliert, „die es uns im Gefahrenfall ermöglicht, schnell und zielgerichtet zu warnen – auch über Stadtgrenzen hinaus“.

„Das Zusammenspiel von Bund, Ländern und Kommunen im Bevölkerungsschutz ist von größter Bedeutung. Dabei gilt es, auf lokale Besonderheiten einzugehen und die Warnkonzepte an die speziellen Herausforderungen vor Ort anzupassen“, so Staatssekretär Stich. Das lokale Warnkonzept in Ludwigshafen und Mannheim zeige, wie das gemeinsame Warnkonzept von Bund und Ländern nachhaltig und dauerhaft in bestehende lokale Strukturen eingebettet werden könne. Die interkommunale und länderübergreifende Zusammenarbeit in diesem Projekt sei vorbildlich.

Staatssekretär Thomas Blenke, Ministerium des Inneren, für Digitalisierung und Kommunen Baden-Württemberg unterstreicht: „Wir müssen Menschen in Gefahrenlagen bestmöglich schützen. Mit dem Projekt tun wir genau das. Und noch etwas macht das Projekt ganz besonders: Mit den Städten Mannheim und Ludwigshafen haben wir unsere gelebte, länderübergreifende Zusammenarbeit weiter gestärkt, die für beide Städte in der Metropolregion Rhein-Neckar schon lange gelebte Praxis ist und beispielhaft ist.“ Mit dem Leitfaden hätten die Kommunen nun eine gute Grundlage, auf der sie aufbauen können, um ihre eigenen, lokalen Warnkonzepte auf den Weg zu bringen.

Lokale Bevölkerung als Ankerpunkt für die Warnung

Seit 2016 arbeiteten Bund und Länder gemeinsam in dem EU-geförderten Projekt „Warnung der Bevölkerung“ zusammen – mit dem Ziel, die Warnung in Deutschland zu verbessern. Hierzu würden vor allem auch sozialwissenschaftliche Perspektiven berücksichtigt werden. Demnach stehe die Effektivität einer Warnung im direkten Zusammenhang mit den Erwartungs- und Handlungshorizonten der jeweiligen „Communities“ vor Ort, aber auch der Schnittstellenarbeit auf kommunaler, wie Länder- und Bundesebene.

Die Metropolregion Rhein-Neckar stehe dabei exemplarisch für eine Länder, Behörden und Akteure übergreifende Zusammenarbeit. Die Nähe der beiden Städte Mannheim und Ludwigshafen, zwar in unterschiedlichen Ländern gelegen, aber direkt aneinandergrenzend, fordere ein Warnkonzept, welches eben „nicht an Ländergrenzen stoppt“, sondern auf den lokalen Begebenheiten aufbaue. In den vergangenen Jahren seien so kontinuierlich Erfahrungen geteilt und „Best Practices“ ausgetauscht, fortgeführt und etabliert worden.

Weitere Informationen zum Thema:

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe & WARNUNG DER BEVÖLKERUNG Ein Bund-Länder-Projekt
Lokale Warnkonzepte: Leitfaden zum Erstellen lokaler Warnkonzepte im Bevölkerungsschutz mit Beispielen aus Mannheim und Ludwigshafen am Rhein

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe BBK, 23.05.2024
Neuer Leitfaden: „Lokale Warnkonzepte“ / Praxisnahe Unterstützung für Behörden

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe BBK
Warnung in Deutschland

WARNUNG DER BEVÖLKERUNG Ein Bund-Länder-Projekt
ISF Bund-Länder-Projekt Warnung der Bevölkerung

]]>
https://www.datensicherheit.de/lokal-anpassung-warnkonzepte-leitfaden-praktiker-warnung-vorstellung/feed 0
Smarte Kleidung als IT-Sicherheitsrisiko: Wenn Techwear zur Hackwear wird https://www.datensicherheit.de/smarte-kleidung-it-sicherheitsrisiko-techwear-hackwear https://www.datensicherheit.de/smarte-kleidung-it-sicherheitsrisiko-techwear-hackwear#respond Thu, 12 Sep 2024 12:39:09 +0000 https://www.datensicherheit.de/?p=45314 check-point-software-marco-eggerlingIn der IoT-Produktsparte sind Smarte Kühlschränke, Toaster und Staubsauger fast schon zu Klischees geworden – und waren doch nur der Anfang eines Trends.]]> check-point-software-marco-eggerling

Mit ,Techwear‘ und ,Smart Fashion’ wird nun Mode mit fortschrittlicher Technologie kombiniert und vernetzt – inklusive KI

[datensicherheit.de, 12.09.2024] Das sogenannte Internet der Dinge (Internet of Things / IoT) dehnt sich rasant aus und umfasst mittlerweile sogar Gegenstände, die eigentlich nie elektronisch betrieben wurden: „In der IoT-Produktsparte sind Smarte Kühlschränke, Toaster und Staubsauger fast schon zu Klischees geworden und waren doch nur der Anfang eines Trends, der mittlerweile bereits auf die Textil-Industrie übergeschwappt ist: Mit ,Techwear’ und ,Smart Fashion’ wird nun Mode mit fortschrittlicher Technologie kombiniert und vernetzt – Künstliche Intelligenz (KI) inklusive“, berichtet Marco Eggerling, „Global CISO“ bei Check Point Software Technologies GmbH, in seiner aktuellen Stellungnahme.

check-point-software-marco-eggerling

Foto: Check Point Software

Marco Eggerling: Hersteller Smarter Kleidung müssen Patches und Sicherheits-Updates vorsehen!

Smarte Kleidung verbindet hohe Funktionalität, Strapazierfähigkeit und modernes Design mit technischen Innovationen

Eggerling führt aus: „Modefirmen konkurrieren darum, wer es am besten schafft, Technologie, Funktionalität und Komfort zu vereinbaren. Das stellt sie vor praktische Probleme: Wie lädt man den Akku auf und wie pflegt und wäscht man solch elektrifizierte Kleidung?“

Aber die größten Schwierigkeiten lägen nicht bei der Praktikabilität, denn Smarte Kleidung plagten dieselben Gefahren wie alle mit dem Internet verbundenen Gegenstände und Geräte: „Sie können von Hacker angegriffen werden!“ Auf der Suche nach Kosteneinsparungen übersähen oder vernachlässigten einige Unternehmen nämlich oft das Wichtigste – die IT-Sicherheit.

Smarte Kleidung verbinde hohe Funktionalität, Strapazierfähigkeit und modernes Design mit technischen Innovationen: Wasserdichte und atmungsaktive Materialien, eingebaute LED-Beleuchtung für Sicherheit bei Nacht, per Smartphone gesteuerte Heizelemente und adaptive, auf Umweltbedingungen reagierende Materialien. Diese „intelligenten“ Funktionen bergen laut Eggerling jedoch erhebliche Cyber-Sicherheitsrisiken, da jedes mit dem Internet vernetzte Gerät, auch Intelligente Kleidung, geknackt werden könne.

Hacker könnten Features Smarter Kleidung zu Waffen machen

Nutzen und Risiko lägen offensichtlich nahe beieinander: „In den Bergen kann eine Smarte Jacke nicht nur warmhalten, sondern in Notfällen das eigene Leben retten, wenn sie automatisch einen Sturz erkennt und Hilfe ruft. Integrierte LEDs wiederum machen Träger Smarter Jacken nachts besser sichtbar für Autofahrer.“ Werden diese Funktionen aber missbraucht und ferngesteuert, seien die Konsequenzen unabsehbar.

Was nach Science-Fiction klinge, sei ein reales Risiko, und Beispiele zeigten, dass selbst scheinbar harmlose Geräte wie Intelligente Glühbirnen und Staubsauger dafür missbraucht werden könnten, um ganze Netzwerke zu infiltrieren.

Die Konsequenzen seien gravierend: „Gestohlene Daten können für personalisierte Angriffe ausgenutzt und Zahlungsdaten, wie Kreditkartennummern, im ,Darknet’ für hohe Summen verkauft oder direkt von Cyber-Kriminellen zur Bereicherung missbraucht werden.“

,Techwear‘ droht zur Spyware zu werden – z.B. mit dem Smartphone verbundene Jacken zum telefonieren und Musikhören

Selbst Schuhe oder Socken könnten Intelligente Kleidung sein – mit biometrischen Sensoren, um Gesundheitsdaten zu überwachen, wie Herzfrequenz, Atmung und Muskelaktivität. „Doch was tun, wenn ein gehacktes Gerät einem mitteilt, dass die Herzfrequenz gefährlich hoch ist und man auf einen Link klicken soll, um weitere Informationen zu erhalten? Im Notfall hat man nicht unbedingt die Geistesgegenwart, eine so perfide Betrugsmasche zu durchschauen – und gerät außerdem in unnötige Panik ob der eigenen Gesundheit.“

Auch mit virtuellen Assistenten verbundene Mikrofone und Lautsprecher in Kleidungsstücken könnten attackiert werden, um Nutzer abzuhören. Eggerling berichtet: „Ein bekannter Modehersteller verkauft bereits seit geraumer Zeit eine Jacke, die mit dem Smartphone verbunden werden kann, um zu telefonieren und Musik zu hören. Doch gerade in heiklen Situationen, wie Geschäftstreffen, bei denen es um Millionenbeträge geht, oder in privaten Unterhaltungen, besteht die Gefahr, dass diese Technologie missbraucht wird, um vertrauliche Informationen unbemerkt mitzuhören und Nutzer auszuspionieren.“

Auch bei anderen Smarten Accessoires falle das Fazit gemischt aus. „Smartwatches können bei älteren Menschen gesundheitliche Schwankungen beobachten, Stürze erkennen und automatisch Hilfe rufen; intelligente Prothesen oder Exoskelette können Menschen mit Behinderung bei der Fortbewegung helfen…“ Doch welche Gefahr auch in diesen Technologien stecke, zeige sich besonders am Beispiel Intelligenter Brillen oder Kontaktlinsen: „Zwar liefern sie nützliche Echtzeitdaten und Umgebungsanalysen, doch sie können von Hackern beeinflusst werden, um die Sicht zu verzerren und dadurch lebensgefährliche Szenarien zu schaffen.“

IT-Sicherheit Smarter Kleidung muss ab Werk bestehen!

Einige Intelligente Kleidungsstücke könnten zudem auch als Zahlungsmittel verwendet werden und sammelten neben sensiblen Gesundheitsdaten auch Finanzinformationen. Solche sogenannte Techwear mache die Besitzer daher erpressbar und Hacker könnten schlimmstenfalls Lösegeld für die Wiederherstellung der Funktionalität verlangen. Smarte Mode enthalte obendrein GPS-Module, welche für Stalking missbraucht werden könnten – „von der Ausnutzung der eingebauten Mikrofone und Kameras ganz zu schweigen“.

Darüber hinaus seien tragbare Technologien in der Regel mit einem Mobiltelefon oder mit Heim- und Unternehmensnetzwerken verbunden und mit verschiedenen „Cloud“-Diensten verknüpft. Ohne grundlegende Sicherheitsvorkehrungen könnten diese verbundenen Geräte zum Angriffsziel oder zum Sprungbrett für einen großflächigen Angriff auf andere Geräte oder das gesamte Netzwerk sein.

Aber es seien nicht nur die Geräte und ihre Nutzer gefährdet: „Ein erfolgreicher Cyber-Angriff kann auf ganze Lieferketten überspringen und weitreichende Schäden nach sich ziehen, beispielsweise durch das Einschleusen von Malware in Intelligente Kleidung.“ Diese könne dann Plattformen, Systeme und Apps infizieren und zu erheblichen finanziellen Verlusten, hohen Geldbußen wegen Datenschutzverletzungen und irreparablen Schäden am Ruf der Marke führen.

Eggerlings Fazit zum IT-Sicherheitsrisiko Smarter Kleidung

Mit Smarter Mode habe das Wort „Funktionskleidung“ eine neue Bedeutung erhalten. Die Fallbeispiele für den hohen Nutzen und die Sicherheitsrisiken Smarter Kleidung seien gleichermaßen zahlreich. Eggerling kommentiert: „Im Bereich des Gesundheitswesens, des Militärs oder der Raumfahrt könnten diese Klamotten künftig sogar eine tragende Rolle spielen. Die Schwierigkeit, die Schwachstellen in diesen Geräten zu flicken, macht sie aber zu einem leichten Ziel für Cyber-Kriminelle, die bekannte Schwachstellen ausnutzen können, lange nachdem sie entdeckt wurden.“

Jede nützliche Funktion Intelligenter Accessoires könne daher gleichermaßen ein Fallstrick für den Nutzer werden. Verbraucher sollten deshalb unbedingt darauf achten, Intelligente Produkte nur von vertrauenswürdigen Herstellern zu kaufen, „die sich an geltende Datenschutzrichtlinien halten“.

Die Hersteller wiederum müssten dringend für eine hohe IT-Sicherheit ab Werk sorgen und sich Gedanken darüber machen, „wie man solche Kleidung mit Patches und Sicherheits-Updates versehen kann“.

Weitere Informationen zum Thema:

cp<r> CHECK POINT RESEARCH, Eyal Itkin, 07.08.2020
Don’t be silly – it’s only a lightbulb

CHECK POINT, 26.10.2017
Check Point Joins Forces With LG To Secure Their Smart Home Devices / Check Point helps block a major security vulnerability in LG SmartThinQ® home IoT appliances

datensicherheit.de, 10.09.2024
Smarte Geräte: IT-Sicherheit in Deutschland neben Benutzerfreundlichkeit entscheidendes Kaufkriterien / BSI hat Wahrnehmung, Relevanz und Akzeptanz des IT-Sicherheitskennzeichens durch Konsumenten untersuchen lassen

datensicherheit.de, 08.06.2024
Smart-Home-Geräte: Apps mit unstillbarem Datenhunger / Amazons „Alexa“ sammelt laut Surfshark-Studie mehr als das Dreifache des Durchschnitts typischer Smart-Home-Geräte

datensicherheit.de, 06.06.2024
Smarte Produkte mit bekannten Sicherheitslücken: Cyber Resilience Act gebietet Lieferstopp / Laut Cyber Resilience Act dürfen Geräte mit bekannten ausnutzbaren Schwachstellen demnächst nicht mehr ausgeliefert werden

]]>
https://www.datensicherheit.de/smarte-kleidung-it-sicherheitsrisiko-techwear-hackwear/feed 0
NIS-2-Richtlinie: Kommunikation ist mehr als Erfüllung der Meldepflicht an Behörden https://www.datensicherheit.de/nis-2-richtlinie-kommunikation-mehr-als-erfuellung-meldepflicht-an-behoerden https://www.datensicherheit.de/nis-2-richtlinie-kommunikation-mehr-als-erfuellung-meldepflicht-an-behoerden#respond Thu, 12 Sep 2024 12:27:58 +0000 https://www.datensicherheit.de/?p=45308 scrivo-communications-kai-oppelDie neue NIS-2-Richtlinie verschärft die Mindestanforderungen an die IT-Sicherheit vieler Unternehmen.]]> scrivo-communications-kai-oppel

NIS-2 betrifft rund 30.000 Unternehmen in gesellschaftlich wichtigen Geschäftsfeldern wie Energieversorgung, Gesundheitswesen, Verkehr und digitale Infrastruktur

[datensicherheit.de, 12.09.2024] SCRIVO Communications warnt in einer aktuellen Stellungnahme zum Thema NIS-2-Richtlinie, das zugrundeliegende Gesetz nur als reines IT-Thema zu betrachten – dies wäre ein „folgenschwerer Fehler“. Cyber-Angriffe und IT-Ausfälle erforderten eine umfangreiche Kommunikation – und diese müsse vorab gut vorbereitet sein. „Die neue NIS-2-Richtlinie soll ab 17. Oktober in Deutschland als Gesetz in Kraft treten. Sie verschärft die Mindestanforderungen an die IT-Sicherheit vieler Unternehmen. Damit sollen die Unternehmen resilienter gegen Hackerangriffe werden – und damit auch Deutschland.“ NIS-2 betreffe rund 30.000 Unternehmen in gesellschaftlich wichtigen Geschäftsfeldern wie Energieversorgung, Gesundheitswesen, Verkehr und digitale Infrastruktur.

 

scrivo-communications-kai-oppel

Foto: SCRIVO Communications

Kai Oppel: Es gilt, das ganze Unternehmen zu sensibilisieren und weitreichende Auswirkungen von Cyber-Risiken auf alle Geschäftsbereiche frühzeitig zu erkennen!

Unternehmen fokussieren angesichts von NIS-2 zu stark allein auf Firewalls und IT-Pflichtenhefte

Dass Unternehmen bei NIS-2 derzeit insbesondere an Firewalls und IT-Pflichtenhefte dächten, liegt nach Erkenntnissen von SCRIVO Communications an den Begrifflichkeiten und der Verortung: „Das aktuelle BSI-Gesetz ist gut 50 Seiten lang. Das Wort ,Kommunikation’ kommt 62-mal vor. Aber: Wenn es darin um Kommunikation geht, dann fast ausschließlich um technische und strukturelle Kommunikation im Sinne von Daten- oder Informationsübermittlung im IT-Sinne.“

Kai Oppel, Gründer und Inhaber der Agentur SCRIVO Communications, moniert, dass Kommunikation im Verständnis von Krisenkommunikation mit Mitarbeitern, Kunden sowie anderen Stakeholdern und auch das Reputationsmanagement nahezu „keine Rolle“ spiele – und warnt Unternehmen davor, das vorliegende Gesetz „zu einseitig“ zu interpretieren.

NIS-2 betrifft die IT – und die Unternehmenskommunikation!

Gut einen Monat vor Inkrafttreten des Gesetzes herrsche insbesondere bei kleineren Unternehmen Verunsicherung und Unwissenheit. „Viele wissen nicht, ob sie unter die Richtlinie fallen. Zudem ist aktuell ungewiss, wie das Gesetz konkret ausgestaltet sein wird“, berichtet Oppel.

Ein zweiter Fehler sei, dass Unternehmen das Thema Cyber-Risiko als reines IT-Thema betrachteten. „Dabei ist es ebenso ein Kommunikationsthema!“ Der dritte Denkfehler sei, die Gesetzespflicht über die unternehmerische Vernunft zu stellen.Nicht vom Gesetz betroffen zu sein bedeutet nicht, sicher vor IT-Angriffen und Auswirkungen zu sein“, so Oppel.

NIS-2-Gesetz als Weckruf verstehen – Kommunikation in Krisenphasen erfordert Vorbereitung und Übung

Das neue NIS-2-Gesetz sei ein „Weckruf für alle Unternehmen“, weil Cyber-Gefahren branchenübergreifend zugenommen hätten. Er unterstreicht: „Wer sein Geschäft bei einem IT-Angriff schützen will, muss schnell und richtig kommunizieren. Kommunikationskontrolle und Sicherheit sind machbar.“

Vorbereitung und Zeitgewinn seien dabei entscheidend, wenn es trotz IT-Vorkehrungen zu einer Cyber-Attacke oder IT-Störungen kommt. Effektive Kommunikation könne als Schutzschild fungieren – „wenn Unternehmen aus NIS-2 die richtigen Konsequenzen ziehen“. Diese ermögliche es, die Kontrolle über die Narrative zu behalten, Vertrauen zu wahren und potenzielle Reputationsschäden zu minimieren.

NIS-2-Meldepflicht beachten – und mittels vorbereiteter Sprachregelungen sowie Medienbeobachtung Schaden abwenden

Neben technischen Bestimmungen wie einer Multi-Faktor-Authentifizierung (MFA), Sicherheitsüberprüfungen und Datensicherungen sollten Unternehmen ihre kommunikative Resilienz stärken. Szenario-Analysen könnten helfen, mögliche Krisensituationen vorauszusehen. Kommunikationspläne definierten klare Abläufe und Verantwortlichkeiten. Medienbeobachtung ermögliche schnelle Reaktionen – und vorbereitete Sprachregelungen gewährleisteten eine konsistente Außenkommunikation.

Ein Beispiel sei die strenge Meldepflicht, welche ein zentrales Element der Richtlinie und des Gesetzes sei. „Das neue dreistufige Meldesystem für Cyber-Sicherheitsvorfälle bezieht sich auf die gesetzlichen Vorgaben, einen Vorfall binnen 24 Stunden an das BSI zu melden und Updates zu geben. Dass sich daraus aber Kommunikationspflichten gegenüber Kunden, Lieferanten oder anderen Stakeholdern ergeben, wird gern übersehen.“ Dabei sei die Strafe des Marktes möglicherweise viel härter als die gesetzlichen Sanktionen und Strafen von bis zu zehn Millionen Euro. Oppel erläutert: „Vertrauensverlust bei Kunden, Einbruch des Aktienkurses oder langfristige Imageschäden verstärken die finanziellen Auswirkungen eines Cyber-Vorfalls erheblich.“

NIS-2 erfordert ganzheitlichen Unternehmensansatz für eine umfassende Cyber-Resilienz-Kultur!

SCRIVO Communications fordert, das Thema NIS-2 müsse raus „aus dem IT-Silo“. Oppel betont: „NIS-2 erfordert einen ganzheitlichen Unternehmensansatz!“ Es gehe nämlich nicht nur um IT-Sicherheit, sondern um die Schaffung einer umfassenden Cyber-Resilienz-Kultur, welche technische, kommunikative und organisatorische Aspekte gleichermaßen berücksichtige.

Oppels Fazit: „Unternehmen, die Cyber- und IT-Themen ausschließlich an die IT-Abteilung delegieren, vergeben die Chance, das ganze Unternehmen zu sensibilisieren und weitreichende Auswirkungen von Cyber-Risiken auf alle Geschäftsbereiche zu erkennen.“

Weitere Informationen zum Thema:

SCRIVO Communications
Schutz durch Kommunikation

datensicherheit.de, 11.09.2024
NIS-2 wirft Schatten voraus: Stephan Heimel rät zur E-Mail-Verschlüsselung / NIS-2-Richtlinie von EU-Mitgliedsstaaten bis 17. Oktober 2024 in nationales Recht umzusetzen

]]>
https://www.datensicherheit.de/nis-2-richtlinie-kommunikation-mehr-als-erfuellung-meldepflicht-an-behoerden/feed 0