[datensicherheit.de, 23.05.2014] Steve Durbin, Managing Director des Information Security Forums (ISF) in einer Stellungnahme zum aktuellen Datendiebstahl bei eBay, bei dem Hacker in den Besitz von ca. 145 Millionen Kundendaten des Online-Händlers gelangt sind:

„Selbst bei einem Top-IT-Unternehmen wie eBay konnten sich Hacker Zugangsdaten von Mitarbeitern verschaffen. Das zeigt einmal mehr, dass Informationssicherheit im gesamten Unternehmen permanente Aufmerksamkeit benötigt. Damit das Thema abseits aktueller Vorfälle nicht in Vergessenheit gerät, ist kontinuierliche Überzeugungsarbeit notwendig. Die IT-Abteilung, Sicherheits- bzw. Datenschutzbeauftragte oder andere müssen deswegen sowohl die Geschäftsführung als auch vor allem aber die Mitarbeiter immer wieder von der existenziellen Bedeutung des Themas überzeugen.

Bild: ISF

Steve Durbin, Global Vice President des herstellerunabhängigen Information Security Forums (ISF) zum Datendiebstahl bei eBay

Dabei sind einerseits Hinweise auf aktuelle Zwischenfälle bei anderen Unternehmen und Szenarien, wie die Folgen im Falle eines Angriffs aussehen könnten, wichtig. Andererseits helfen konkrete Best-Practices, wie man sich vor welchen Gefahren schützen kann. Die Mitarbeiter müssen außerdem sensibilisiert werden, wie leicht beispielsweise Spionagesoftware in Netzwerke gerät. Sogar komplexe Schadprogramme wie Flame oder Stuxnet wurden über simple Übertragungswege kombiniert mit Fahrlässigkeit in Netzwerke eingeschleust.
Den Mitarbeitern ihre Verantwortung für Informationssicherheit bewusst zu machen, reicht allein aber nicht aus. Stattdessen geht es darum, dass die gesamte Belegschaft entsprechende Verhaltensmuster verinnerlicht und den Umgang mit sensiblen Daten in diesem Sinne verändert. Unternehmen sind bereits auf einem guten Weg, wenn ihre Mitarbeiter in kritischen Momenten innehalten und Sicherheitsaspekte bedenken.“

Weitere Informationen zum Thema:

Information Security Forum
the world’s leading independent authority on information security

datensicherheit.de, 03.05.2013
Kommentar des ISF zu den Sicherheitslücken in Industrieanlagen

[datensicherheit.de, 05.03.2014] Die Digitalisierung von immer mehr Lebensbereichen schreitet unaufhaltsam voran. Zunehmend werden auch Geräte und andere Gegenstände ans Netz angebunden. Das so genannte „Internet der Dinge“ bietet Unternehmen dabei auf der einen Seite eine Reihe neuer Möglichkeiten zum Beispiel zur IT-Automatisierung, Datenerfassung oder zur Erstellung von fundierten Prognosen. Auf der anderen Seite birgt es aber auch eine Vielzahl neuer Sicherheitsrisiken und Angriffsmöglichkeiten – hauptsächlich deswegen, weil die Anbindung an das Netz bei der Entwicklung vieler Geräte noch keine Rolle gespielt hatte. Entsprechende Sicherheitsvorkehrungen sind deshalb in der Regel kaum oder überhaupt nicht vorhanden.

Welche konkreten Risiken das „Internet der Dinge“ in Sachen Informationssicherheit für Unternehmen birgt und wie diese sich am Besten darauf einstellen können, präsentiert Steve Durbin, Global Vice President des Information Security Forum (ISF, www.securityforum.org), in einem kostenlosen englischsprachigen Webinar. Seine Einschätzungen und Empfehlungen basieren auf den Erfahrungen und Best Practices der weltweit mehr als 300 ISF-Mitgliedsunternehmen sowie der Forschungsarbeit des ISF.

Titel / Thema: „New technologies and the internet of things”– Wie Unternehmen sicher mit dem „Internet der Dinge“ umgehen können

Datum: Donnerstag, 13. März 2014

Uhrzeit: 15.00 – 15.45 Uhr

Sprecher: Steve Durbin, Global Vice President, ISF

Mehr zum Webinar und die Möglichkeit zur Registrierung gibt es unter www.brighttalk.com/webcast/9923/96373. Nach der Veranstaltung wird dort auch eine Aufzeichnung des Webinars zur Verfügung stehen.

[datensicherheit.de, 03.05.2013] Experten der Fachzeitschrift c’t haben zahlreiche Sicherheitslücken in hunderten von deutschen Industrieanlagen gefunden. Details sind in der c’t 11/2013, die ab Montag, 06. Mai 2013, erhältlich ist, zu lesen. Das BSI hat das Problem ebenfalls als kritisch eingestuft.

Bild: ISF

Steve Durbin, Global Vice President des herstellerunabhängigen Information Security Forums (ISF), fordert ein Umdenken

Steve Durbin, Global Vice President des Information Security Forums, kommentiert:

„Die Sicherheitslücken in zahlreichen deutschen Industrieanlagen zeigen, dass das Thema IT-Sicherheit bei Behörden und Wirtschaft immer noch nicht den notwendigen Stellenwert hat. Dadurch wird es Angreifern sehr leicht gemacht. Bisher ist das meistens gut gegangen, aber darauf sollte man sich nicht verlassen.
Die meisten Sicherheitsmängel kommen zustande, weil sich viele Unternehmen und Behörden neue Technologien und Methoden zunutze machen, ohne deren Sicherheit ausreichend zu überprüfen. Die damit verbundenen Risiken sind nicht kontrollierbar. Deshalb müssen sich zwei Dinge ändern: Zum einen muss IT-Sicherheit endlich die angemessene Aufmerksamkeit gewidmet werden. Zum anderen brauchen wir einen Richtungswechsel bei der Entwicklung neuer technischer Produkte und Technologien. Sicherheitsaspekte müssen dabei viel stärker als bisher berücksichtigt werden. Wir sprechen zwar immer wieder darüber, dass wir ‚Security by Design’ benötigen. In der Realität ist aber – wie der aktuelle Fall zeigt – ‚Unsecurity by Design’ noch immer der dominierende Standard.“

Weitere Informationen zum Thema:

heise online, 02.04.2013
Kritische Schwachstelle in hunderten Industrieanlagen

Information Security Forum
the world’s leading independent authority on information security

[datensicherheit.de, 25.04.2013] Unternehmen sind in der Supply Chain mehr denn je durch ein Netz an ein- und ausgehenden Informationen und damit gegenseitigen Abhängigkeiten verbunden. Trotzdem berücksichtigen viele Unternehmen die damit verbundenen Gefahren für ihre geschäftskritischen Informationen nicht angemessen in ihrer Sicherheitsstrategie. Für einen Großteil der Unternehmen ist es fast unmöglich, ihre teilweise hunderte oder tausende Lieferanten, Service-Provider oder externe Partner, mit denen sie direkt oder indirekt über eine Lieferkette verbunden sind, bezüglich Informationssicherheit und Risikomanagement einzuschätzen.

Mit dem „Supply Chain Information Risk Assurance Process“ (SCIRAP) hat das Information Security Forum (ISF) deshalb einen Prozess entwickelt, mit dem Unternehmen, ihre größten Sicherheitsrisiken schnell identifizieren und bewerten und so ihre Sicherheitsstrategie optimieren können. Das Verfahren basiert auf den Erfahrungen der weltweit mehr als 300 Mitgliedsunternehmen sowie der Forschungsarbeit der Analysten des ISF.
Das ISF stellt SCIRAP und seinen aktuellen Report „Securing the Supply Chain“ in einem kostenlosen, englischsprachigen Webinar vor. Das Webinar adressiert vor allem CTOs, ISOs, CISOs, IT-Security Manager, Administratoren und IT-Verantwortliche.

Thema: Securing The Supply Chain

Datum: Dienstag, 14. Mai 2013

Uhrzeit: 14.00 – 15.00 Uhr (Central Europe Summer Time)

Sprecher: Adrian Davis, Principal Research Analyst, ISF

Weitere Informationen zur Veranstaltung finden sich unter http://bit.ly/ISF_SupplyChain-Security.

Die Registrierung zum Webinar ist hier möglich https://www2.gotomeeting.com/register/110356866.

[datensicherheit.de, 17.04.2013] Das Information Security Forum (ISF), eine unabhängige Organisationen für Informations- und Cybersicherheit sowie Risikomanagement, veröffentlicht einen neuen Report für den Umgang mit Informationssicherheitsrisiken in der Supply Chain. „Securing the Supply Chain“ thematisiert die Sicherheitsrisiken für geschäftskritische Daten entlang der Lieferkette. Dabei gibt der Bericht Unternehmen Handlungsempfehlungen für die Identifikation und den Umgang mit Gefahren für ihre geschäftskritischen Informationen in ihrer Supply Chain an die Hand und beschreibt, wie sie das Informationsrisikomanagement in ihre Beschaffungs- und Lieferantenmanagementprozesse integrieren können. Der Bericht basiert auf der Forschungsarbeit der Analysten des ISF sowie den Erfahrungen und Best Practices der ISF-Mitgliedsunternehmen weltweit. Eine Kurzzusammenfassung steht unter  zum kostenlosen Download bereit. Im Online-Shop des ISF können Nichtmitglieder den ausführlichen Bericht ab sofort erwerben.

Unternehmen vernachlässigen Informationssicherheit

Unternehmen sind mehr denn je durch ein Netz an ein- und ausgehenden Informationen und damit gegenseitigen Abhängigkeiten miteinander verbunden. Von allen mit der Supply Chain verbundenen Gefahren, vernachlässigen sie trotzdem nach Auffassung des ISF das Risiko für ihre geschäftskritischen Informationen am meisten. Und das obwohl der reibungslose Austausch von Informationen Vorraussetzung für das Funktionieren von Versorgungs- und Lieferketten und so für den Unternehmenserfolg ist. Das liegt auch daran, dass es für Unternehmen beinahe unmöglich ist, für zum Teil hunderte oder sogar tausende externe Partner, Lieferanten oder Service-Provider, mit denen sie direkt oder indirekt über eine Lieferkette verbunden sind, eine Bewertung bezüglich ihrer Informationssicherheit und ihres Risikomanagements durchzuführen.

Der ISF Supply Chain Information Risk and Assurance Process (SCIRAP)

Das ISF hat deshalb den Supply Chain Risk Assurance Process (SCIRAP) entwickelt, um Unternehmen beim Management ihres Supply Chain Informationsrisikos zu unterstützen. Mithilfe dieser Vorgehensweise können Unternehmen ihre Top-Risiken schnell erfassen und bewerten, externe Partner evaluieren und miteinander vergleichen sowie Kernhandlungsfelder definieren. SCIRAP greift auf bestehende Standards und Richtlinien wie ISO/IEC 27002, ISO/IEC 27036 oder den Standard of Good Practice (SOGP) des ISF zurück und übertragt diese auf die Anforderungen der Supply Chain. Der neue Report „Securing the Supply Chain“ beschreibt die SCIRAP detailliert mithilfe von vier übergeordneten Handlungsfeldern. Dabei werden auch die für eine effiziente Umsetzung notwendigen Tools sowie Handlungsanweisungen vorgestellt, beispielsweise für die Integration in einen typischen Beschaffungsprozess. Auf diese Art und Weise können Unternehmen die Risiken für ihre Informationen entlang der Supply Chain minimieren und flexibel auf Veränderungen reagieren.

„Supply Chains sind aufgrund ihrer Struktur für Unternehmen generell mit Risiken verbunden. Insbesondere der Austausch von Informationen mit Lieferanten oder Partnern birgt schwer kalkulierbare Gefahren, die viele Unternehmen überfordern. In der Folge gibt es in vielen Organisationen ein ‚schwarzes Loch’ undefinierter oder unbekannter Informationsrisiken entlang ihrer Lieferkette. Unser neuer Report ‚Securing the Supply Chain’ und die darin vorgestellte Methode SCIRAP zeigen Unternehmen einen Weg auf, wie sie die Risiken für ihre geschäftskritischen Daten und Informationen innerhalb ihrer Supply Chain identifizieren und managen können“, sagt Steve Durbin, Global Vice President des Information Security Forums.

Weitere Informationen zum Thema:

Information Security Forum
the world’s leading independent authority on information security