Roger Scheer hebt Erfolgsfaktor der Cyber-Hygiene hervor

[datensicherheit.de, 14.07.2022] Die nationale Cyber-Sicherheitsstrategie laufe ins Leere, wenn die sogenannte Cyber-Hygiene weiterhin vernachlässigt wird, warnt Tenable in einer aktuellen Stellungnahme, begrüßt aber Ideen des Bundesinnenministeriums trotz noch vorhandener „Defizite bei Grundlagen“. Deutschland solle nun besser vor Cyber-Attacken geschützt werden. Entsprechend wurde am 12. Juli 2022 in Berlin eine nationale Schutzstrategie gegen Hacker-Angriffe vorgestellt.

Foto: Tenable

Roger Scheer: Überwiegende Mehrheit der Cyber-Angriffe vermeidbar!

Cyber-Angriffe nahmen zu und -Abwehr brach regelmäßig zusammen

„Tägliche Schlagzeilen belegen, dass Organisationen mit Kritischer Infrastruktur vor beispiellosen Cyber-Herausforderungen stehen. Und das nicht erst seit der Invasion in der Ukraine, denn die letzten zwölf Monate waren besonders brutal, da Angriffe zunahmen und die Cyber-Abwehr regelmäßig zusammenbrach“, berichtet Roger Scheer, „Regional Vice President of Central Europe“ bei Tenable.

Beispielsweise habe es Anfang 2022 Angriffe auf drei Windenergieunternehmen – Deutsche Windtechnik AG, Nordex SE, Enercon GmbH – gegeben, „die deren Betrieb störten und Nordex dazu zwangen, seine IT-Systeme abzuschalten“.

Um bei der Energie zu bleiben, so Scheer: „Es gab Angriffe auf zwei deutsche Logistikunternehmen, die Tochterunternehmen der Logistikgruppe Marquard & Bahls sind – die Oiltanking GmbH, die die Shell Deutschland GmbH beliefert, und die Mabanaft GmbH.“

Politisch motivierte Cyber-Angriffe werden nicht verschwinden

Politisch motivierte Angriffe würden nicht verschwinden, sondern wahrscheinlich sogar häufiger werden. „Es ist jedoch auch wichtig sich klarzumachen, dass es im Cyberspace keine geographischen Grenzen gibt – jeder Cyber-Angriff kann Auswirkungen auf alle haben“, betont Scheer.

Eine stärkere Zentralisierung des Bundesamtes für Sicherheit in der Informationstechnik (BSI), wie von Bundesinnenministerin Nancy Faeser vorgeschlagen, sei hilfreich, „da Koordination wichtig ist, um die Cyber-Sicherheit zu verbessern“.

Die Industrie müsse jedoch auch weiterhin eine entscheidende Rolle beim Schutz spielen, da sie den meisten Cyber-Angriffen ausgesetzt sein werde, sei es bei Kritischen Infrastrukturen, in der Industrie oder bei anderen Unternehmen, die auf Technologie angewiesen sind, um zu funktionieren.

Cyber-Hilfslosigkeit kein stichhaltiges Argument

„Cyber-Hilfslosigkeit“ sei kein stichhaltiges Argument. Scheer führt aus: „Ob es sich um den öffentlichen Sektor, private Organisationen oder sogar einzelne Bürger handelt, wir alle spielen eine Rolle bei der Anwendung grundlegender Cyber-Hygiene, um sicherzustellen, dass die technischen Systeme, auf die wir uns verlassen, so widerstandsfähig wie möglich sind, um Angriffe abzuwehren.“

Die Prämisse, dass Kritische Infrastrukturen mit dem BSI zusammenarbeiten, sei eine starke Initiative, da jeder Informationsaustausch uns allen helfe, die Taktiken der Angreifer zu lernen und zu verstehen. „Wir sollten Regierungen dazu ermutigen, neue Organisationen zu gründen, um veraltete Ansätze zu überdenken, die die Zusammenarbeit nicht fördern“, rät Scheer. In diesem Sinne sollte das BSI angesichts der internationalen Natur von Cyber-Bedrohungen und -Angriffen nach Möglichkeiten suchen, Informationen mit anderen internationalen Partnern auszutauschen und zu erhalten.

Abschließend stellt Scheer klar: „Die harte Wahrheit ist, dass die überwiegende Mehrheit der Angriffe vermeidbar ist. Das Beheben bekannter, aber ungepatchter Schwachstellen schließt die meisten Angriffspfade, die in unseren Infrastrukturen vorhanden sind.“ Für Unternehmen stehe zu viel auf dem Spiel, um fahrlässig zu bleiben und nicht einmal grundlegende Schritte zu unternehmen, um ihre Position zu verbessern und Cyber-Risiken proaktiv zu managen.

Weitere Informationen zum Thema:

Bundesministerium des Innern und für Heimat
Cybersicherheitsagenda des Bundesministeriums des Innern und für Heimat / Ziele und Maßnahmen für die 20. Legislaturperiode

datensicherheit.de, 13.07.2022
Cybersicherheitsagenda: Berücksichtigung der Bürger und technische Modernisierung gefordert / Christian Borst kommentiert nationale Cyber-Schutzstrategie gegen Hacker-Angriffe

datensicherheit.de, 13.07.2022
Cybersicherheitsagenda: eco bezieht Position zur Cyber-Sicherheit für alle / eco-Vorstandsmitglied Prof. Dr. Norbert Pohlmann kommentiert vorgestelltes Papier des Bundesinnenministeriums

[datensicherheit.de, 12.01.2020] Laut einer Meldung des foodwatch e.V. haben Verbraucher „einen Rechtsanspruch zu erfahren, was die Hygienekontrollen in Lebensmittelbetrieben ergeben haben“. Dies habe der Verwaltungsgerichtshof Baden-Württemberg als erstes Oberverwaltungsgericht entschieden. Im juristischen Streit um die Verbraucher-Plattform „Topf Secret“ liege damit die erste höchstrichterliche Entscheidung zum Informationsanspruch vor. Über dieses Portal der Verbraucherorganisation foodwatch und der Transparenzinitiative FragDenStaat können Bürger demnach die amtlichen Kontrollberichte der Lebensmittelüberwachung erfragen. Seit dem Start im Januar 2019 seien mehr als 40.000 VIG-Anfragen über „Topf Secret“ verschickt worden – der Großteil der etwa 400 in Deutschland zuständigen Behörden gewähre Bürgern die beantragten Informationen.

Signalwirkung für weiteren Verfahren um Transparenz-Plattform Topf Secret erhofft

„Der Verwaltungsgerichtshof Baden-Württemberg zerpflückt in aller Deutlichkeit die Argumente, die regelmäßig von der Gastro-Lobby gegen ,Topf Secret‘ ins Feld geführt werden. Nun ist höchstrichterlich bestätigt: Bürgerinnen und Bürger haben einen Rechtsanspruch auf die Hygiene-Kontrollergebnisse“, so Rauna Bindewald, Volljuristin und „Campaignerin“ bei foodwatch.
foodwatch sieht nach eigenen Angaben in dieser Entscheidung eine „Signalwirkung für die vielen weiteren Verfahren um die Transparenz-Plattform“. Aktuell wehrten sich Hunderte Lebensmittelbetriebe gerichtlich gegen die Herausgabe von Kontrollergebnissen – auch mit Unterstützung des Deutschen Hotel- und Gaststättenverbandes (DEHOGA), der seine Mitglieder ermutige, gegen auskunftsbereite Behörden vorzugehen.

Markt soll transparenter werden

Mehrere der zentralen Argumente des DEHOGA seien vom VGH Baden-Württemberg nun jedoch ausdrücklich abgewehrt worden. So behaupte der DEHOGA in einem „Argumentationspapier“ unter anderem, dass die über „Topf Secret“ gestellten Anträge missbräuchlich seien, weil die Kontrollergebnisse auf einer Internetplattform veröffentlicht werden sollten – dies entspreche nicht dem Zweck des Verbraucherinformationsgesetzes (VIG).
Der Verwaltungsgerichtshof habe hierzu allerdings deutlich gemacht: „Im Gegenteil, es entspricht der ausdrücklichen Zwecksetzung des § 1 VIG, den Markt transparenter zu gestalten, sodass in einer Internetpublikation eine Stärkung des Verbraucherschutzes gesehen werden kann.“

Negative Darstellung in der Öffentlichkeit durch rechtstreues Verhalten zu verhindern

Außerdem argumentiere der DEHOGA damit, dass die Informationserteilung die grundrechtlich verbürgte Berufsfreiheit der Betriebe verletze. Im Beschluss des VGH heißt es laut foodwatch dazu: „Das Grundrecht der Berufsfreiheit vermittelt kein Recht des Unternehmens, nur so von anderen dargestellt zu werden, wie es gesehen werden möchte oder wie es sich und seine Produkte selber sieht.“ Der VGH weise im konkreten Fall außerdem darauf hin, dass das Unternehmen die negative Darstellung in der Öffentlichkeit durch rechtstreues Verhalten hätte verhindern können.
Zahlreiche Verwaltungsgerichte hätten in den letzten Monaten über die Klagen und Anträge betroffener Betriebe gegen die Weitergabe von Kontrollergebnissen entschieden – mit unterschiedlichem Ausgang. In zweiter Instanz beschäftigten sich derzeit mehrere Oberverwaltungsgerichte mit „Topf Secret“. foodwatch erwartet demnach die Entscheidungen in den nächsten Wochen.

Bürger haben über das VIG Rechtsanspruch, amtliche Informationen zur Lebensmittelüberwachung zu erhalten

Auch das OVG Hamburg habe kürzlich einen Beschluss veröffentlicht, jedoch keine Entscheidung über die eigentliche Rechtsfrage getroffen, ob Bürger die Lebensmittelkontrollberichte erhalten dürfen. Es habe lediglich in einem sogenannten Eilverfahren entschieden, dass die Informationen bis zu einer Entscheidung im Hauptsacheverfahren vorerst zurückgehalten werden müssten.
Nun habe mit dem VGH Baden-Württemberg erstmalig ein Oberverwaltungsgericht zu der eigentlichen Rechtsfrage Stellung genommen. Der VGH sei dabei der Linie des Bundesverwaltungsgerichts gefolgt. Das höchste Verwaltungsgericht habe kürzlich in einem Grundsatzurteil die Informationsrechte ebenfalls eindeutig gestärkt: Bürger hätten über das VIG einen Rechtsanspruch, amtliche Informationen zur Lebensmittelüberwachung zu erhalten – auch eine mögliche Veröffentlichung stehe dem nicht entgegen.

Weitere Informationen zum Thema:

foodwatch die essensretter
TOPF SECRET

foodwatch die essensretter
VERWALTUNGSGERICHTSHOF BADEN-WÜRTTEMBERG Beschluss

Christoph M. Kumpa stellt Checkliste für Unternehmen vor

[datensicherheit.de, 27.05.2019] Angesichts der zunehmenden Bedrohungen durch fortschrittliche Malware und Datendiebstahl in großem Stil ist eine solide Cyber-Hygiene für die gesamte Hard- und Software eines Unternehmens essenziell. Denn nicht nur für die menschliche Gesundheit, sondern auch in der IT-Sicherheit gilt: „Vorbeugen ist besser als Heilen.“ Regelmäßig durchgeführte Hygienepraktiken sorgen dafür, Systeme effektiv zu halten und vor Angriffen zu schützen. Christoph M. Kumpa, „Director DACH & EE“ bei Digital Guardian, stellt im nachfolgenden Beitrag eine Checkliste für Cyber-Hygiene vor.

Schwachstellen frühzeitig erkennen und schwerwiegende Probleme vermeiden!

„In Unternehmen gibt es viele Elemente, die ohne adäquaten Cyber-Hygiene-Plan zu Schwachstellen führen und damit die Geschäftskontinuität gefährden können. Deshalb sollten alle Geräte, Softwareprogramme und Web-Anwendungen in einen kontinuierlichen Wartungsplan aufgenommen werden“, rät Kumpa. Hierdurch erfolge eine grundlegende Prävention gegen Cyber-Attacken.
Zudem ermögliche die regelmäßige Wartung bestmögliche Effizienz der eingesetzten Soft- und Hardware. „Schwachstellen werden frühzeitig erkannt und schwerwiegende Probleme vermieden.“ Obwohl mit jedem „digitalen Puzzleteil“ zahlreiche Bedrohungen einhergingen, sei die Einführung einer effektiven Cyber-Hygiene-Routine nicht so schwierig, wie es auf den ersten Blick scheinen mag. Einige wenige „Best Practices“, die regelmäßig umgesetzt werden, könnten die Sicherheit eines jeden Systems enorm verbessern.

Checkliste: „Best Practices“ für Cyber-Hygiene

1. Schritt: Dokumentation aller Geräte und Programme
Alle Hardware-, Software- und Online-Anwendungen müssen dokumentiert werden – die Liste sollte folgende drei Kategorien umfassen:

• Hardware: Computer, angeschlossene Geräte (z.B. Drucker, Faxgeräte) und mobile Geräte wie Smartphones oder Tablets
• Software: Alle Programme, die in einem bestimmten Netzwerk verwendet und direkt auf Computern installiert werden
• Anwendungen: Web-Anwendungen (z.B. „Dropbox“, „Google Drive“), Apps auf Telefonen und Tablets sowie alle Programme, die nicht direkt auf Geräten installiert sind

2. Schritt: Schwachstellen-Bereinigung der gelisteten Hard- und Software
Nachdem eine Liste aller Komponenten erstellt wurde, können IT-Teams mit der Suche nach Schwachstellen beginnen:

• Nicht genutzte Geräte werden bereinigt und ordnungsgemäß entsorgt.
• Veraltete Software und Anwendungen sollten aktualisiert und alle Benutzerpasswörter geändert werden.
• Werden die Programme nicht regelmäßig verwendet, sollten sie ordnungsgemäß deinstalliert werden.
• Auch eine Standardisierung der genutzten Software ist ein wichtiger Faktor: Wird zum Beispiel sowohl „Google Drive“ als auch „Dropbox“ für die Dateispeicherung genutzt, sollte eine der Anwendungen als die primäre und die andere entweder nur als Backup verwendet oder ganz gelöscht werden.

3. Schritt: Erstellung der Cyber-Hygiene-Richtlinien
Nach der Bereinigung von Geräten und Programmen erfolgt die Erstellung der Richtlinien. Diese sollten dokumentiert und von allen, die Zugriff auf das Netzwerk haben, befolgt werden. Zu den klassischen Punkten gehören:

• Software-Aktualisierungen: Veraltete Software birgt ein enormes Sicherheitsrisiko für Cyber-Angriffe. Um Sicherheitsverstößen vorzubeugen, sollten deshalb alle Anwendungen regelmäßig aktualisiert und die neuesten Sicherheitspatches und aktuellsten Versionen im gesamten Unternehmen genutzt werden. Insbesondere Antiviren- und weitere Sicherheitssoftware muss stets auf dem neuesten Stand sein, um mit der sich ständig verändernden Bedrohungslandschaft Schritt zu halten.
• Hardware-Updates: Ältere Computer und Smartphones müssen möglicherweise ausgetauscht werden, um deren Leistung zu gewährleisten.
• Verwaltung von Neuinstallationen: Jede neue Installation von Hard- und Software sollte ordnungsgemäß durchgeführt und dokumentiert werden.
• Datensicherheit: Um Datenverlust durch Cyber-Angriffe wie beispielsweise Ransomware oder Datendiebstahl zu vermeiden, sollten Festplatten und Online-Cloud-Speicher entsprechend gesichert sowie regelmäßig gepflegt und getestet werden. Mangelnde Cyber-Hygiene kann auch dazu führen, dass Daten auf andere Weise verloren gehen: Das Verlegen von Dateien wird bei der schieren Datenflut in heutigen Unternehmen immer häufiger zum Problem.
• Benutzer einschränken: Nur diejenigen, die wirklich System-Zugriff auf Administratorebene benötigen, sollten diesen auch bekommen. Alle anderen Benutzer sollten eingeschränkt werden.
• Passwortänderungen: Passwörter sollten regelmäßig in bestimmten Abständen geändert werden. Wichtiger als die Häufigkeit der Änderungen ist hierbei jedoch, dass Mitarbeiter über die „Best Practices“ aufgeklärt werden, was ein wirklich sicheres Passwort ausmacht.
• „Cyber Security Framework“: Unternehmen können zudem zusätzlich ein fortschrittliches „Security Framework“ (z.B. das NIST-Framework) implementieren.

Sobald die Richtlinien erstellt sind, werden geeignete Zeitrahmen für die Wartungsroutine eines jeden Elements festgelegt. Die Überprüfung auf Updates kann beispielsweise auf mindestens einmal pro Woche eingerichtet werden. Auf diese Weise wird die kontinuierliche Cyber-Hygiene der gesamten Hard- und Software-Netzwerks gesichert.

Bild: Digital Guardian

Christoph M. Kumpa: Die Entwicklung umfassender Cyber-Hygieneverfahren trägt dazu bei, einen soliden Sicherheitsstatus zu gewährleisten. Denn nur wer seine IT-Umgebung kennt, kann sie wirksam absichern!

Weitere Informationen zum Thema:

datensicherheit.de, 30.04.2019
Sensible Daten aufspüren und schützen

datensicherheit.de, 06.04.2019
Social Engineering: Cyber-Kriminelle und ihre psychologischen Tricks

datensicherheit.de, 05.11.2018
Willkommen im Botnet: Über die Unsicherheit der Dinge

datensicherheit.de, 02.10.2018
Schatten-IT: Einfallstor für Datendiebe, Cryptojacking und Malware-Angriffe

datensicherheit.de, 09.09.2018
Cyber-Erpressung auf Bestellung

datensicherheit.de, 14.08.2018
Echtzeit-Identifizierung von Daten-Sicherheitsrisiken

datensicherheit.de, 30.07.2018
Polymorphe Malware: Wandlungsfähigkeit kombiniert mit hohem Schadenspotential

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit,de, 28.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel