Aktuelles, Experten, Studien - geschrieben von cp am Donnerstag, Dezember 11, 2014 22:42 - noch keine Kommentare
Sichere IKT-Beschaffung als Basis für sichere elektronische Kommunikationen
enisa veröffentlichte am 11. Dezember 2014 neue Studie und einen Leitfaden
[datensicherheit.de, 11.12.2014] Die enisa veröffentlichte am 11. Dezember 2014 zwei Berichte:
– „Secure Procurement for Secure Electronic Communications“ (Sichere Beschaffung für sichere elektronische Kommunikation) behandelt die wachsende Abhängigkeit der Anbieter von IKT-Produkten sowie outgesourcten Diensten und analysiert die damit verbundenen Sicherheitsrisiken,
– „Secure ICT Procurement Guide for Electronic Communications Service Providers“ (Leitfaden zur sicheren IKT-Beschaffung für Anbieter elektronischer Kommunikationsdienste) soll als ein praktisches Instrument dienen, mit dem Anbieter die Sicherheitsrisiken im Umgang mit Dienstleistern und Lieferanten von IKT-Produkten und outgesourcten Diensten besser kontrollieren können.
Externe IKT-Produkte und outgesourcte Dienste als Hauptursache
Die Studie „Secure Procurement for Secure Electronic Communications“ folgt der letzten Ausgabe des Jahresvorfallberichts (Annual Incidents Report), der eine ausführliche Analyse der Vorfälle, die für schwere Ausfälle gesorgt haben, bietet.
Eine Hauptursache hierfür waren laut enisa externe IKT-Produkte und outgesourcte Dienste, insbesondere im Bereich Hardware- und Softwarefehler. Der Bericht 2014 ist das Ergebnis der Zusammenarbeit der enisa mit Anbietern und Dienstleistern mit dem Ziel, diese Probleme zu bekämpfen.
***Erkannte Schachstellen und Gefahrenquellen***
Zu den wichtigsten Themen, die von den Anbietern der elektronischen Kommunikationsdienste angesprochen wurden, gehören demnach:
- mangelnde Sicherheitskontrollen auf der Dienstleisterseite,
- Softwareschwachstellen bei IKT-Produkten oder -Diensten,
- Nichteinhaltung der vertraglich festgelegten Sicherheitsanforderungen,
- mangelnde Unterstützung von Dienstleistern bei Vorfällen,
- schwache Verhandlungsposition der Anbieter und
- Fehlen eines Rahmens oder von Leitlinien für Anbieter bei Beschaffung und Outsourcing.
Erhöhte Sensibilisierung für Sicherheitsrisiken bei der Beschaffung
In diesem Zusammenhang gibt die enisa allgemeine Empfehlungen ab und berücksichtigt die Ergebnisse einer von ihr unter Anbietern elektronischer Kommunikationsdienste und IKT-Dienstleistern durchgeführten Umfrage.
Die Empfehlungen an die Mitgliedstaaten beinhalten eine erhöhte Sensibilisierung im Hinblick auf die Sicherheitsrisiken im Zusammenhang mit der Beschaffung von IKT-Produkten und Outsourcing-Diensten.
Darüber hinaus wird Dienstleistern und Anbietern empfohlen, ein gemeinsames Konzept für die Festlegung von Sicherheitsanforderungen, den Austausch von Informationen zu Schwachstellen und Bedrohungen der Sicherheit und zur Begrenzung von Vorfällen zu entwickeln.
Sicherheitsrisiken im Gesamtrahmen der Sicherheitsanforderungen
Der enisa-Leitfaden „Secure ICT Procurement Guide for Electronic Communications Service Providers“ soll die Sicherheitsrisiken im Gesamtrahmen der Sicherheitsanforderungen abbilden, der von Dienstleistern bei der Beschaffung als Instrument verwendet werden kann, und beschäftigt sich mit Sicherheitsrisiken für Kerndienstleistungen in Kommunikationsnetzen und -diensten.
Praktisches Instrument für die Beschaffung
Der Jahresvorfallbericht zeige jedes Jahr, dass externe IKT-Produkte und „Managed Services“ die Hauptursache für die Ausfälle sind, erläutert Professor Udo Helmbrecht, Geschäftsführender Direktor der enisa. So könne ein einfacher Softwarefehler erhebliche Auswirkungen auf die Verfügbarkeit des Internets und von Telefonie-Diensten haben, und die Anbieter seien nicht immer in der Lage, diese Probleme rasch selbstständig zu lösen.
Der am 11. Dezember 2014 veröffentlichte enisa-Sicherheitsleitfaden für IKT-Beschaffung sei ein praktisches Instrument, mit dem Anbieter IKT-Produkte und -Dienste von Dienstleistern und Lieferanten mit den erforderlichen Sicherheitsanforderungen kaufen könnten, so Professor Helmbrecht.
Weitere Informationen zum Thema:
Aktuelles, Experten, Studien - Sep 22, 2023 10:40 - noch keine Kommentare
Internet-Verfügbarkeit: Noch 3 Milliarden Menschen weltweit ohne Zugang
weitere Beiträge in Experten
- Registermodernisierung: Von der Steuer-Identifikationsnummer zur Bund ID
- collect and connect: Veranstaltungsreihe zu Berlins kulturellem Digital-Erbe
- BVSW Cyberherbst 2023 soll Unternehmen helfen, Risiken zu erkennen und sich zu schützen
- KRITIS und Risikomanagement: Hybrid-Veranstaltung am 20. September 2023
- Bundesdatenschutzgesetz: Novelle sieht Datenschutzkonferenz als etabliertes Format an
Branche, Aktuelles, Studien - Sep 21, 2023 12:32 - noch keine Kommentare
Web-Anwendungen laut CyCognito-Studie großes Risiko für Unternehmen
weitere Beiträge in Branche
- Digitalisierung und Vernetzung: IT-Security als Wegbereiter
- Gefahren für Politik und Demokratie: Optimierung von Deepfakes mittels KI
- Muddled Libra wird spektakulärer Cyber-Angriff auf MGM Resorts in Las Vegas zugeschrieben
- Cloud: Rückverlagerung von Daten nimmt an Bedeutung zu
- Cyber-Kriminalität in Deutschland: Für 2023 wieder Schäden im Wert von über 200 Milliarden Euro erwartet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren