Die Un-Kultur der Nichteinhaltung unverständlicher bzw. umständlicher IT-Sicherheitsmaßnahmen erhöht die Anfälligkeit für Cyber-Attacken

[datensicherheit.de, 18.04.2024] Lothar Geuenich, „VicePresident Central Europe / DACH“ bei Check Point Software Technologies, erläutert in seiner aktuellen Stellungnahme zur betrieblichen IT-Sicherheit, „wie man durch internes Marketing das Bewusstsein für Sicherheitspolicies im gesamten Unternehmen stärkt“ und gibt hierzu fünf Tipps zur Verbesserung der IT-Sicherheitskultur im Unternehmen.

Foto: Check Point

Lothar Geuenich rät zu Anleihen aus der Werbung, um IT-Sicherheit besser zu vermitteln…

Überlastete Mitarbeiter empfinden IT-Sicherheitsmaßnahmen eher als lästig

„Frustration wegen Sicherheitsrichtlinien eines Unternehmens ist nichts Neues“, so Geuenich. Ursprünglich einfach gehaltene Regeln seien als Reaktion auf die zunehmenden Cyber-Bedrohungen stetig komplexer geworden und hätten sich oft zu einem großen Hindernis für Produktivität und Effizienz entwickelt.

Geuenich warnt daher: „Mitarbeiter, die mit komplizierten Verfahren überlastet sind und nicht wissen, was dahintersteckt, empfinden Sicherheitsmaßnahmen eher als lästig denn als notwendig.“

Infolgedessen habe sich eine Art „Kultur der Nichteinhaltung“ entwickelt, die natürlich die Anfälligkeit für Cyber-Attacken erhöhe. Ein Verständnis dafür zu schaffen und Aufklärung zu betreiben, sei unumgänglich geworden. „Dabei helfen Anleihen aus der Werbung“, so Geuenichs Rat.

Belegschaft zu Wachsamkeit und Zusammenarbeit ermutigen und so IT-Sicherheit stärken

Um die Kluft zwischen der IT-Sicherheit und der Benutzerfreundlichkeit zu überbrücken, sei „internes Marketing“ eine wirksame Lösung: „So wie externes Marketing einem Unternehmen dabei hilft, Zielgruppen zu überzeugen, kann internes Marketing die Mitarbeiter in die Lage versetzen, sich bewusst an Sicherheitsmaßnahmen zu beteiligen.“

Durch effektive Kommunikation könnten Unternehmen die Bildung einer sicherheitsbewussten Belegschaft fördern, „was zu Wachsamkeit und Zusammenarbeit ermutigt“.

Durch die Erläuterung der Gründe für IT-Sicherheitsrichtlinien könnten Firmen außerdem deren Einhaltung fördern und einen kulturellen Wandel herbeiführen, „bei dem Sicherheit zu einem integralen Bestandteil der Unternehmensethik wird“.

IT-Sicherheit als integraler Bestandteil der Unternehmensethik bringt viele Vorteile mit sich:

1. Eine sicherheitsbewusste Belegschaft
Regelmäßige Kommunikation über bewährte Sicherheitsverfahren schule und erinnere die Mitarbeiter an ihre wichtige Rolle beim Schutz der Unternehmenswerte und legitimiere diese. Sie fühlten sich den Regeln nicht mehr „ausgeliefert“.

2. Die Förderung der Wachsamkeit
Ein gut informierter Mitarbeiter sei eher in der Lage, potenzielle Bedrohungen zu erkennen und sofort zu handeln, wodurch das Risiko von Verstößen verringert werde.

3. Die Förderung eines kollaborativen Umfelds
Das Teilen von Wissen und Verantwortung im Bereich der Sicherheit stärke die Team-Arbeit und schaffe eine gemeinsame Front gegen Bedrohungen.

4. Die Förderung der Einhaltung
Das Verständnis des Grundes hinter den Sicherheitsrichtlinien fördere deren Einhaltung und mache sie zu einem gemeinsamen Ziel – statt zu einem von oben auferlegten Befehl. „Wer versteht, warum eine Regel existiert, und ihren Sinn erkennt, ist eher bereit, sich daran zu halten“, betont Geuenich.

5. Der Kultureller Wandel
Der Fokus auf Sicherheit könne die Unternehmenskultur dahingehend verändern, „dass diese als Aufgabe aller Mitarbeiter gesehen wird, nicht nur der IT-Abteilung“.

Mitarbeitern erklären, warum IT-Sicherheitsrichtlinien sinnvoll sind und deren Einhaltung das Unternehmen schützt!

Geuenichs Fazit: „Somit lässt sich sagen, dass die Förderung der Sicherheit innerhalb des Unternehmens nur gelingt, wenn den Mitarbeitern erklärt wird, warum Sicherheitsrichtlinien sinnvoll sind und deren Einhaltung die Firma schützt.“ Dieses Sicherheitsbewusstsein erreiche man durch den Einsatz interner Marketing-Strategien.

So könne die Cyber- bzw. IT-Sicherheit in die Unternehmensidentität integriert werden und entwickele sich zu einer gemeinsamen Verantwortung auf allen Ebenen des Unternehmens.

Durch die Einführung bewährter interner IT-Sicherheitspraktiken schütze sich die Firma außerdem nicht nur selbst, sondern stärke auch die kollektive Widerstandsfähigkeit aller Mitarbeiter und angeschlossener Unternehmen, sowie der Lieferkette, gegen IT-Bedrohungen aller Art.

Weitere Informationen zum Thema:

datensicherheit.de, 29.04.2020
KnowBe4-Studie: Führungskräfte schätzen starke Sicherheitskultur / Definition und Umsetzung sind jedoch umkämpft

datensicherheit.de, 17.09.2019
CI4-Akteur Dirk Pinnow: Sicherheit 4.0 undenkbar ohne Lernkultur / Auf dem Weg zur Industrie 4.0 bevorzugt aus fremden Fehlern lernen, aber auch auf Zwischenfälle gut vorbereitet sein

datensicherheit.de, 15.04.2019
Kulturträger: Wege das Sicherheitsbewusstsein im Unternehmen zu stärken / Vorbilder für Security Awareness

[datensicherheit.de, 17.04.2024] Laut einer aktuellen Meldung des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) sind Sicherheitsverletzungen in OT-/IT-Netzwerken oft „das Resultat von nicht erkannten Sicherheitslücken“. Im neuen TeleTrusT-Podcast „OT-/IT-Sicherheitsvorfälle und Schutzmaßnahmen“ wird soll anhand von praktischen Beispielen dargelegt werden, „welche Sicherheitsrisiken am häufigsten übersehen werden und wie diese reduziert werden können“.

TeleTrusT-Podcast zu OT-/IT-Sicherheitsvorfällen und Schutzmaßnahmen erörtert diverse Fragen

Im derzeit neuesten TeleTrusT-Podcast „OT-/IT-Sicherheitsvorfälle und Schutzmaßnahmen“ behandeln Moderator Carsten Vossel (CCVOSSEL) und die Interviewgäste Christoph Przygoda (TG alpha GmbH) und Klaus Mochalski (Rhebo GmbH) demnach u.a. folgende Fragen:

• Wie wirken sich die verschiedenen Sicherheitsvorfälle auf die OT-/IT-Community aus bzw. wie werden diese untereinander gehandhabt?
• Wie werden Unternehmen auf Sicherheitslücken geprüft?
• Wie wird ein Pentest definiert?
• Welche Vorbehalte gibt es gegenüber Pentests und warum?
• Was sind die am häufigsten festgestellten Schwachstellen?
• Welche sind die effektivsten Sicherheitsmaßnahmen für Unternehmen, um OT-/IT-Sicherheitsrisiken zu vermeiden?

Christoph Przygoda rät im TeleTrusT-Podcast den Unternehmen zu gestaffeltem CyberSecurity-Programm

Christoph Przygoda, „Cyber Security Consultant“ bei TG alpha, führt aus: „CyberSecurity ist kein Sprint, sondern mehr als eine Staffel zu sehen. Jedes Unternehmen sollte sich ein Programm aufbauen, wie das Thema ,Security’ in Anlagen und Maschinen angegangen wird.“

Der erste Schritt sei oft der schwierigste und doch gebe es bewährte Phasenmodelle, welche hierbei unterstützen könnten: Analyse, Konzept, Umsetzung. „Wenn der Weg beschrieben ist, fällt auch der erste Schritt der Umsetzung leichter und das Unternehmen und ihre Produkte werden ,smart, safe and secure’“, so Przygoda.

Klaus Mochalski votiert im TeleTrusT-Podcast zur Zusammenarbeit

Klaus Mochalski, „Strategic Advisor & Founder“ von Rhebo, ergänzt: „,OT Security’ birgt viele neue, fachübergreifende Herausforderungen. Ohne gute Zusammenarbeit zwischen allen Beteiligten, insbesondere aus der IT-Abteilung, dem Anlagenbetrieb und dem Management, ist eine signifikante und nachhaltige Verbesserung der Cyber-Sicherheit in Industrieanlagen nicht zu erreichen.“

Mochalski unterstreicht abschließend, dass hierbei das Risiko von Cyber-Angriffen wie jedes andere unternehmerische Risiko bewertet und entsprechend gemanagt werden müsse.

Weitere Informationen zum Thema (Lonk zum TeleTrusT-Podcast):

TeleTrusT auf SOUNDCLOUD
OT-/IT-Sicherheitsvorfälle und Schutzmaßnahmen

Was Unternehmen im Ernstfall tun müssen, wenn Datenleaks auftreten – Web-Seminar am 20. Februar 2024

[datensicherheit.de, 13.02.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch it’s.BB e.V., lädt zum nächsten „Awareness“-Seminar ein – diesmal zum Thema „Datenleaks – Was sollten Unternehmen im Ernstfall tun?“ Datenleaks stellen für Unternehmen und Institutionen ein zunehmendes Problem dar – Geschäftsgeheimnisse geraten in Gefahr und die IT-Sicherheit der ganzen Einheit wird gefährdet.

Abbildung: it’s.BB e.V.

Datenleaks: Hintergründe, Handlungsmöglichkeiten und rechtlichen Rahmenvorgaben für Unternehmen in der Diskussion

Hintergründe zu Datenleaks, Technisch-Organisatorische Maßnahmen (TOM) sowie juristische Best Practices und Einschaltung von Ermittlungsbehörden

In der in Zusammenarbeit mit der IHK Berlin organisierten Veranstaltung werden demnach die „Zentrale Ansprechstelle Cybercrime“ (ZAC) für die Wirtschaft im Landeskriminalamt (LKA) Berlin und die Kanzlei Piltz Legal die Hintergründe, Handlungsmöglichkeiten und rechtlichen Rahmenvorgaben für Unternehmen beleuchten.

„Datenleaks – Was sollten Unternehmen im Ernstfall tun?“
Web-Seminar am Dienstag, dem 20. Februar 2024 von 16.00 bis 17.00 Uhr
Online via „MS Teams“-Plattform. Teilnahme kostenlos – Anmeldung erforderlich.

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung
Johannes Zwerschke, Piltz Legal
Anna Borodenko, IHK Berlin

16.10-16.45 Uhr
• Einführung
• „Was sind die Hintergründe von Datenleaks?“
• „Best Practices aus Unternehmenssicht“
• „Datenweitergabe an Ermittlungsbehörden“
• „Best Practices aus rechtlicher Sicht“
Johannes Zwerschke, Piltz Legal
Olaf Borries, ZAC LKA
Lars Huwald, ZAC LKA

16.45-17.00 Uhr Fragen / Diskussion / Abschluss

Weitere Informationen und Anmeldung:

eventbrite
Dienstag, 20. Februar / Datenleaks – Was sollten Unternehmen im Ernstfall tun?

Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zur nächsten „Awareness“-Online-Veranstaltung am 13. Dezember 2023 ein

[datensicherheit.de, 05.12.2023] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zur nächsten „Awareness“-Veranstaltung ein: „IT-Sicherheit + Gesetze = Was Unternehmen jetzt tun müssen“ in Zusammenarbeit mit der IHK Berlin am 13. Dezember 2023 ein:

Abbildung: it’s.BB e.V.

it’s.BB und IHK Berlin laden zum Web-Seminar am 13.12.2023 ein

IT-Sicherheit + Gesetze = Was Unternehmen jetzt tun müssen

Das Web-Seminar findet statt

am Mittwoch, dem 13. Dezember 2023 von 16.00 bis 17.00 Uhr

via „MS-Teams“-Plattform. Teilnahme kostenlos – Anmeldung erforderlich.

Die zunehmende Bedeutung der Cyber-Sicherheit ist unbestreitbar, denn Unternehmen sind mit einer komplexen IT-Bedrohungslandschaft durch schwer einzuschätzende Gegner konfrontiert. Dem stetig wachsenden Schaden durch Cyber-Kriminalität sollen europäische und nationale Gesetze entgegenwirken, die konkrete Maßnahmen zur Stärkung der Cyber-Sicherheit für ein breites Spektrum von Unternehmen vorschreiben. „Diese führen jedoch zunächst zu einer allgemeinen Verunsicherung im Markt, nicht zuletzt durch komplexe Anforderungen und umfangreiche Sanktionsmöglichkeiten.“

Cyber-Sicherheitsgesetze lassen sich auf überschaubare IT-Maßnahmenpakete zurückführen

Der Fokus des Vortrags liege nicht auf den Hürden, sondern auf Lösungen, um sich strategisch und effektiv gegen Bedrohungen zu positionieren. Anhand der Cyber-Sicherheitsgesetze DSGVO, NIS2 und EU-CRA soll aufgezeigt werden, „dass sich diese auf eine Reihe von überschaubaren Maßnahmenpaketen zurückführen lassen, die für jedes Unternehmen sinnvoll sind“.

Agenda (ohne Gewähr)

16.00-16.45 Uhr

• Begrüßung
• Allgemeine Übersicht der IT-Sicherheitslage
• Überblick EU- und nationale Cyber-Sicherheitsgesetze
• Anforderung an Unternehmen

Harald Fladischer, neXenio GmbH
Daniel Augustin, Secure Systems Engineering GmbH

16.45-17.00 Uhr
Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema und Anmeldung:

eventbrite
Mittwoch, 13. Dezember / IT-Sicherheit + Gesetze = Was Unternehmen jetzt tun müssen?

Der it’s.BB e.V. lädt zur bevorstehenden Online-Veranstaltung ein

[datensicherheit.de, 13.11.2023] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zum bevorstehenden Web-Seminar „Anforderungen an Daten- und IT-Sicherheit aus Sicht der Datenschutzbehörden“ ein:

Abbildung: it’s.BB e.V.

it’s.BB warnt: Vielen Unternehmen fällt es schwer, auf Angriffe oder Kontrollen kurzfristig und angemessen zu reagieren…

Fachkompetenz zu daten- und IT-sicherheitsrechtlichen Anforderungen derzeit Mangelware

Fachkompetenz zu daten- und IT-sicherheitsrechtlichen Anforderungen und wie diese Anforderungen im Unternehmensalltag umgesetzt werden können, sei aktuell „Mangelware“. Im Fall eines Cyber-Angriffs oder einer unangemeldeten Kontrolle der Datenschutzbehörde falle es vielen Unternehmen schwer, kurzfristig und angemessen zu reagieren.

Aktuelle Informationen zu daten- und IT-sicherheitsrechtlichen Anforderungen

„Damit Sie im Ernstfall vorbereitet sind oder dieser im besten Fall gar nicht eintritt, möchten wir Sie in unserem Awareness-Webinar über die aktuellen daten- und IT-sicherheitsrechtlichen Anforderungen informieren und deren praktische Relevanz zusammen mit einem Experten der Brandenburgischen Datenschutzbehörde erörtern.“ Dieses Seminar wird demnach in Zusammenarbeit mit der IHK Berlin organisiert.

„Anforderungen an Daten- und IT-Sicherheit aus Sicht der Datenschutzbehörden“

Online-Seminar am Dienstag, dem 14. November 2023
16.00 bis 17.00 Uhr
Kostenlose Teilnahme, Anmeldung erforderlich.

Agenda (ohne Gewähr):

16.00-16.10 Uhr Begrüßung
– Johannes Zwerschke, Piltz Rechtsanwälte PartGmbB
– Anna Borodenko, IHK Berlin

16.10-16.50 Anforderungen aus dem Daten- und IT-Sicherheitsrecht (Theorie)
– Johannes Zwerschke, Piltz Rechtsanwälte PartGmbB
Vorstellung der relevanten Rechtsgrundlagen:

• Art. 32 DSGVO
• § 19 Abs. 4 TTDSG
• NIS-2-Richtlinie
• Cyber Resilience Act
• Sonstige daten- und IT-sicherheitsrechtlichen Regelungen

Prüfung durch die Datenschutzbehörde (Praxis)
– Stefan Scheuerpflug, Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg

• „Insights aus dem Prüfverfahren der Datenschutzaufsichtsbehörde“ (was, warum, wen und wie)
• „Do’s und Don‘ts der Dokumentation an technisch-organisatorischen Maßnahmen“

16.50-17.00 Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema und Anmeldung:

eventbrite
Dienstag, 14. November / Anforderungen an Daten- und IT-Sicherheit aus Sicht der Datenschutzbehörden

BSI-Zertifizierung soll Weg zur IT-Sicherheit erleichtern

[datensicherheit.de, 22.10.2023] Im Rahmen der IT-Sicherheits-Fachmesse „it-sa Expo&Congress 2023“ in Nürnberg hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach eigenen Angaben zwölf IT-Sicherheits-Zertifikate vergeben. Das BSI habe die Aufgabe, Zertifizierungen von IT-Produkten, -Komponenten und -Systemen durchzuführen. Die unabhängige Prüfung durch das BSI soll Vertraulichkeit, Authentizität und Verfügbarkeit transparent nachweisen.

Foto: BSI

v.l.n.r.: BSI-Präsidentin Claudia Plattner bei der Übergabe des Zertifikats an Dr. Stefan Hofschen (Vorsitzender der Geschäftsführung der Bundesdruckerei GmbH)

Zehn BSI-Zertifizierungen nach IT-Grundschutz

Mit dem IT-Grundschutz-Zertifikat des BSI könnten Unternehmen und Institutionen unter anderem belegen, „dass bei ihnen ein funktionierendes IT-Sicherheitsmanagement vorhanden ist und kontinuierlich weiterentwickelt wird“. Auf der „it-sa 2023“ habe das BSI mehrere IT-Grundschutz-Zertifikate vergeben:

So habe das Land Nordrhein-Westfalen für die zentrale Produktions- und Service-Stelle (ZPS) im Rechenzentrum der Finanzverwaltung ein IT-Grundschutz-Zertifikat des BSI erhalten. Diese Zertifizierung umfasse die IT-Infrastruktur mit den zentralen fachlichen Basisdiensten und -anwendungen der ZPS am Standort Düsseldorf.

Die „it-sa“-Gastgeberstadt Nürnberg habe das Zertifikat für die IT-Komponente „Netzübergang zum Verbindungsnetz des Bundes“ erhalten. Zu den Unternehmen, deren Produkte oder Dienstleistungen ebenfalls nach dem IT-Grundschutz des BSI zertifiziert wurden, zählten die sector27 GmbH, die noris network AG, die DATANET GmbH, die PwC Cyber Security Services GmbH, die Thüringer Netkom GmbH, die centron GmbH, die GEMINI DIRECT marketing solutions GmbH und die DB Schenker Deutschland AG.

Zwei BSI-Zertifizierungen nach Technischen Richtlinien

Neben der Zertifizierung im Hinblick auf IT-Sicherheitseigenschaften biete das BSI auch eine Zertifizierung nach Technischen Richtlinien (TR) an. Diese werde notwendig, „wenn über die Realisierung bestimmter Sicherheitseigenschaften hinaus die Erfüllung funktionaler Anforderungen für den Betrieb eines IT-Produktes oder -Systems gefordert ist“. In besonderem Maße gelte dies für IT-Produkte und -Systeme, „die für den Einsatz in sicherheitskritischen Bereichen der Bundesrepublik Deutschland vorgesehen sind“. Anforderungen an die elektronische Fälschungssicherheit, Betriebszuverlässigkeit oder Interoperabilität stehen dabei laut BSI „im Vordergrund“.

In diesem Zusammenhang habe die Bundesdruckerei GmbH eine Zertifizierung nach der Technischen Richtlinie BSI-TR 03105 für die im Auftrag des BMI entwickelte Komponente „Smart-eID Applet“ erhalten. Diese TR formuliere die Anforderungen an die Interoperabilität des elektronischen Personalausweises. Mit der BSI-Zertifizierung werde die Speicherung von Identitätsdaten auf dem Smartphone möglich. Nach der einmaligen Ableitung der Identitätsdaten von einem Personalausweis, elektronischen Aufenthaltstitel oder der eID-Karte für Unionsbürger könnten digitale Bürgerdienste, wie etwa KFZ-Zulassungen oder BAFöG-Anträge, über den Online-Identitätsnachweis mit der Ausweis.App bald genutzt werden, „ohne dass – wie bisher – zunächst das physische Dokument ausgelesen werden muss“.

Neben der Bundesdruckerei GmbH habe auch die Rhenus Docs to Data GmbH ein BSI-Zertifikat nach einer Technischen Richtlinie erhalten: „Die BSI-TR 03138 definiert die technischen Voraussetzungen für das sogenannte ersetzende Scannen.“ Bei der digitalen Erfassung von Papierbelegen sei die Aufbewahrung der Originale mit großem Aufwand verbunden. Beim ersetzenden Scannen werde das elektronische Abbild des Belegs aufbewahrt, so dass die papiernen Originale vernichtet werden könnten. Die Produktentwicklung nach der Technischen Richtlinie des BSI ermögliche eine zuverlässige, rechts- und IT-sichere technische Realisierung des ersetzenden Scannens.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
BSI TR-03105 Conformity Tests for Official Electronic ID Documents

Bundesamt für Sicherheit in der Informationstechnik
BSI TR-03138 Ersetzendes Scannen (RESISCAN)

datensicherheit.de, 10.10.2023
BSI-Präsidentin: Deutschland sollte Cyber-Nation werden / Claudia Plattner fordert intensiven Austausch angesichts der hohen und immer komplexer werdenden Cyber-Bedrohungslage

BSI bietet ersten wesentlichen Schritt in Richtung systematischer Informationssicherheit

[datensicherheit.de, 20.10.2023] Cyber-Angriffe auf Kommunen haben laut einer aktuellen Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) jüngst wiederholt zu weitreichenden Folgen für die Betroffenen geführt: „Auch Bürgerinnen und Bürger sind mittelbar von den Folgen erfolgreicher Cyber-Angriffe auf Kommune betroffen, etwa durch fehlende staatliche Dienstleistungen.“ Das BSI bietet demnach Kommunen nun einen unkomplizierten und ressourcenschonenden Einstieg in den etablierten IT-Grundschutz des BSI.

Abbildung: BSI

WiBA: Weg in die Basis-Absicherung

Kommunen können mit BSI-Checklisten mittels Prüffragen und zugehörigen Hilfsmittel dringlichste Maßnahmen selbst identifizieren und umsetzen

Mit dem „Weg in die Basis-Absicherung“ (WiBA) könnten Kommunen anhand von Checklisten mit einfachen Prüffragen und zugehörigen Hilfsmittel die dringlichsten Maßnahmen selbst identifizieren und umsetzen. So könne ein erster, aber wesentlicher Schritt in Richtung systematischer Informationssicherheit erfolgen.

BSI-Checklisten für fundamental Sicherheitsanforderungen relevanter Bereiche der Informationssicherheit

Die Checklisten deckten fundamentale Sicherheitsanforderungen für relevante Bereiche der Informationssicherheit ab, welche bei der Absicherung vorrangig betrachtet und tatsächlich umgesetzt werden müssten. Dazu gehörten technisch orientierte Checklisten wie beispielsweise Serversysteme oder Backups, aber auch organisatorisch orientierte wie Vorbereitung für IT-Sicherheitsvorfälle.

BSI möchte Hürde zur Umsetzung anerkannter Standards der Informationssicherheit senken

Ziel des WiBA sei es, die Hürde zur Umsetzung von anerkannten Standards der Informationssicherheit, insbesondere des IT-Grundschutzes, zu verringern. Mit dem neuen Einstiegslevel könnten Kommunen ein Schutzniveau aufbauen, welches sie im Anschluss nahtlos zum IT Grundschutz-Profil „Basis-Absicherung Kommunalverwaltung“ weiterentwickeln könnten.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Weg in die Basis-Absicherung (WiBA)

[datensicherheit.de, 13.04.2023] Laut einer aktuellen Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vergrößern Qualitätsmängel in Soft- und Hardware-Produkten die Angriffsfläche für Cyber-Kriminelle und gefährden damit ganze IT-Infrastrukturen. Das BSI appelliert daher an die Hersteller von IT-Produkten, Sicherheitsaspekte bereits bei der Entwicklung stärker zu berücksichtigen und die Geräte in einer sicheren Konfiguration auszuliefern. Gemeinsam mit seinen Partnerbehörden in den USA (CISA), Kanada (CCCS), Großbritannien (NCSC UK), den Niederlanden (NCSC NL), Australien (ACSC) und Neuseeland (CERT-NZ) hat das BSI daher am 13. April 2023 Empfehlungen an IT-Hersteller veröffentlicht, die Grundsätze „security-by-design“ und „security-by-default“ stärker in ihre Produktentwicklung zu implementieren, und gibt Hinweise zur Umsetzung.

BSI fordert Hersteller auf, IT-Sicherheit von Anfang mitzudenken

„Sichere Soft- und Hardware bilden die Grundlage für den sicheren Einsatz von IT-Produkten in Staat, Wirtschaft und Gesellschaft“, betont Dr. Gerhard Schabhüser, Vizepräsident des BSI. Das BSI fordert daher die Hersteller auf, „IT-Sicherheit von Anfang mitzudenken und es den Anwenderinnen und Anwendern durch eine sichere Vorkonfiguration es so einfach wie möglich zu machen, ihre Produkte sicher zu nutzen“.

Die neue Handreichung richtet sich laut BSI an Hersteller von IT-Produkten und zeigt anhand konkreter Beispiele auf, „wie wichtig ein hoher Stellenwert der IT-Sicherheit bei der Entwicklung und Auslieferung der Produkte ist“. So seien wiederholt Krankenhäuser, Kommunen und zahlreiche Unternehmen Opfer von erfolgreichen Cyber-Angriffen auf IT-Produkte mit Schwachstellen geworden. Die Folgen bekämen Bürger oft unmittelbar zu spüren – „wenn Operationen verschoben werden müssen oder kommunale Dienstleistungen nicht mehr angeboten werden können“.

IT-Sicherheitskennzeichen des BSI soll Orientierung bieten

Daneben fordern die o.g. Cyber-Sicherheitsbehörden auch, dass die sicherheitsrelevanten Produkteigenschaften für Verbraucher erkennbar und verständlich sein sollen. In Deutschland stehe dazu das IT-Sicherheitskennzeichen des BSI zur Verfügung, welches entsprechende Orientierung biete. Mit dem „Cyber-Resilience-Act“ stelle zudem auch die Europäische Union (EU) die Cyber-Sicherheit von IT-Produkten über ihren gesamten Lebenszyklus in den Mittelpunkt der aktuellen Gesetzgebung.

Die gemeinsame internationale Veröffentlichung verdeutlicht aus Sicht des BSI, „dass Fragen der IT- Sicherheit nur im Verbund mit gleichgesinnten internationalen Partnern gelöst werden können“. Sie unterstreiche zudem die Bedeutung des Themas und den „dringenden Handlungsbedarf“.

Weitere Informationen zum Thema:

Cybersecurity and Infrastructure Security Agency NSA | FBI | ACSC | NCSC-UK | CCCS | BSI | NCSC-NL | CERT NZ | NCSC-NZ, 13.04.2023
Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default

Bundesamt für Sicherheit in der Informationstechnik
Transparente Sicherheit durch das IT-Sicherheitskennzeichen

Nach wie vor ist Bedrohungslage durch Ransomware und E-Mail eine der größten Gefahren für Unternehmen und Behörden – nicht allein für KRITIS

[datensicherheit.de, 16.02.2023] Betreiber Kritischer Infrastrukturen (KRITIS) sind offensichtlich immer stärker im Visier Cyber-Krimineller. „Mittlerweile geht es den Angreifern nicht allein darum, Geld zu machen. Immer häufiger üben sie Druck auf ihre Opfer aus und drohen, gestohlene Daten zu veröffentlichen oder ohne Wissen der Betroffenen im Darknet anzubieten“, erläutert Lothar Hänsler, „Operating Officer“ bei RADAR Cyber Security, in seiner aktuellen Stellungnahme. In immer mehr Fällen beabsichtigten sie auch, Netzwerksysteme – auch die nationalstaatlichen – empfindlich zu stören. Hänsler sieht einen bedrohlichen Trend, welcher 2023 weiter Fahrt aufnehmen werde.

Foto: RADAR Cyber Security

Lothar Hänsler warnt: Lediglich ein Viertel der öffentlichen Arbeitsverwaltungen im Gesundheitssektor verfügt über ein spezielles Programm zur Abwehr von Ransomware!

Europäischer Betreiber kritischer und digitaler Dienste reduzieren allen Cyber-Gefahren zum trotz Budgets für Cyber-Sicherheit

Hänsler führt aus: „Wer sich einmal die Mühe macht und genauer in den aktuellen Investment-Report der Agentur der Europäischen Union für Cyber-Sicherheit – ENISA – schaut, erfährt Erschreckendes über die Nachlässigkeiten europäischer Betreiber kritischer und digitaler Dienste – allen Cyber-Gefahren zum Trotz: Die durchschnittlichen Budgets für IT-Sicherheit haben sich 2022 im Vergleich zum Jahr davor mit 6,7 Prozent noch einmal um ein Prozent verringert.“ Der auf „Cybercrime“ zurückzuführende Gesamtschaden für Unternehmen und Organisationen werde für das Jahr 2022 laut Statista auf eine verheerende Summe von 203 Milliarden Euro allein in Deutschland geschätzt. Finanzsektor und Gesundheitswesen seien nach wie vor die Bereiche mit den höchsten Kosten für Zwischenfälle.

„Und es geht noch schlimmer: Lediglich ein Viertel (27%) der befragten öffentlichen Arbeitsverwaltungen im Gesundheitssektor verfügt über ein spezielles Programm zur Abwehr von Ransomware“, berichtet Hänsler. Zudem hätten vier von zehn (40%) der befragten Behörden kein sogenanntes Awareness-Programm zur Sensibilisierung ihrer Mitarbeitenr parat. Hänsler betont: „Und nach wie vor ist die sich ständig verändernde Bedrohungslage um Ransomware und E-Mail eine der größten Gefahren für Unternehmen und Behörden.“

KRITIS-Betreiber sollten insbesondere 2023 gegenwärtige Bedrohungslage ernst nehmen

„Nicht nur als Folge des russischen Angriffskriegs auf die Ukraine sollten viele KRITIS-Betreiber 2023 die gegenwärtige Bedrohungslage ernst nehmen“, so Hänsler. Cyber-Angriffe seien mittlerweile ein Mittel der politischen Auseinandersetzung. Die behördlichen IT-Systeme würden aller Voraussicht nach künftig vermehrt DDoS-Attacken verzeichnen. Organisationen, Unternehmen und Behörden sollten daher ihr Hauptaugenmerk auf die E-Mail-Security lenken und auf ein dreiteiliges Maßnahmenpaket setzen – bestehend aus Technologie, Personal und Prozessen.

IT-Infrastrukturen müssten konsequent resistenter werden.„Zero-Trust-Netzwerke, die Absicherung von Remote-Zugängen sowie der Einsatz von ,Endpoint Detection and Response’ (EDR) werden künftig unverzichtbar sein“. Da das Industrielle Internet der Dinge (kurz: IIoT) immer mehr im Fokus von Hackern liege, sei es außerdem ratsam, IT- und OT-Security sicher zu verbinden. Äußerst wichtig sei es auch, sich auf die Aufklärung und Sensibilisierung der Mitarbeiter zu konzentrieren. „Das hilft aber effektiv nur weiter, wenn es sich um eine kontinuierliche Bewusstseinskampagne handelt“, unterstreicht Hänsler.

Die ganzheitliche und konsolidierte Betrachtung des Sicherheitsaspekts werde – zusammen mit Risikomanagement – immer notwendiger. Noch betreibe knapp über ein Drittel der europäischen KRITIS-Unternehmen und Anbieter digitaler Services kein „Security Operation Center“ (SOC). „Im Energiesektor es weniger als jeder Dritte der europäischen KRITIS-Betreiber, der seine OT-Prozesse von einem SOC überwachen lässt.“

Nicht nur bei KRITIS-Betreibern: Cyber-Sicherheit muss strategisches Thema werden!

Zwar könne ein „Chief Information Security Officer“ (CISO) mit dem richtigen Einsatz der Produkte, Prozesse und Mitarbeiter viel Schaden abwenden. Ein gelungener Ransomware-Angriff, verbunden mit der Verschlüsselung kritischer Informationen, habe jedoch eine gesamtgeschäftliche Auswirkung. „Die Entscheidung, ob im Ernstfall Lösegeld gezahlt werden soll, ist eine wirtschaftliche Entscheidung. Sie obliegt nicht allein dem CISO.“

Die Vorbereitung auf etwaige Cyber-Angriffe, unterstützt durch Trainings wie zum Beispiel „Table-Top-Übungen“, sei ein Schlüsselelement der Geschäftskontinuität. Zudem würden Geschäftsführungen durch den Zeit- und Entscheidungsdruck anfälliger für die Erpressung. Auch hierbei gelte es gegenzusteuern. „Eine starke Cyber-Resilienz ist daher längst nicht mehr alleinige Aufgabe der IT-Abteilung – sondern muss ein strategisches Thema sein, mit dem sich das Management seine Handlungsfähigkeit sichert.“

Um sich zu schützen, reiche eine Maßnahme allein nicht aus. Doch mit einem mehrschichtigen Sicherheitsansatz aus kontinuierlichen Mitarbeitertrainings, robusten Prozessen zur Sicherung der Geschäftskontinuität, europäischer Erkennungstechnologie und professioneller Unterstützung durch Security-Personal ließen sich die Risiken minimieren. Hänsler rät abschließend: „Vorbereitete, resiliente Organisationen können verdächtige Vorgänge richtig einordnen und entsprechend darauf reagieren, bevor der große Schaden eintritt – auch im neuen Jahr 2023.“

Weitere Informationen zum Thema:

datensicherheit.de, 17.08.2022
IoT im Ransomware-Visier: IoT-Geräte benötigen speziellen Cyber-Sicherheitsansatz / Hunderttausende angeschlossener IoT-Geräte mit Ransomware, Krypto-Minern, Trojanern und Botnets könnten kompromittiert werden

datensicherheit.de, 07.07.2022
IoT: Cyber-Sicherheit muss über klassische Endpunkte hinausgehen / Bitdefender liefert Argumente für einen Sicherheitsweitblick auf das Internet der Dinge (IoT)

datensicherheit.de, 02.06.2022
ONEKEY-Studie zu eklatanten Schwachstellen: Industrie muss IoT-Steuerungen besser schützen / IoT-Industrieanlagen weltweit im Fokus der Hacker

it’s.BB stellt Vorgehen, Praxisbeispiele und Mehrwert am 15. Februar 2023 online vor

[datensicherheit.de, 02.02.2023] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zu einem Web-Seminar zum Thema „Was ist ein Penetrationstest? Vorgehen, Praxisbeispiele und Mehrwert“ am 15. Februar 2023 ein:

Abbildung: it’s.BB e.V.

it’s.BB: Ein Weg, um die Schwachstellen im Unternehmen aufzudecken sind Penetrationstests

Im Rahmen der it’s.BB-Veranstaltung wird das Vorgehen bei einem Penetrationstest aufgezeigt

Auch im letzten Jahr, 2022, ist die Bedrohungslage durch Cyber-Angriffe ganz offensichtlich gewachsen – dies sei auch dem betreffenden BSI-Bericht zu entnehmen.

Ein Weg, um die Schwachstellen im Unternehmen aufzudecken seien Penetrationstests: „Im Rahmen des Webinars zeigen wir Ihnen das Vorgehen bei einem Penetrationstest auf und welche unterschiedlichen Tests es gibt.“

Was ist ein Penetrationstest? Vorgehen, Praxisbeispiele und Mehrwert – eine it’s.BB-Online-Veranstaltung

Web-Seminar am Mittwoch, dem 15. Februar 2023 von 16.00 bis 17.00 Uhr
Die Teilnahme ist nach Angaben des Veranstalters kostenlos – eine Anmeldung ist erforderlich.

Agenda (ohne Gewähr)

16.00-16.10 Uhr: Begrüßung

• Carsten Vossel, CCVOSSEL GmbH
• Henrik Holst, IHK Berlin

16.10-16.45 Uhr:

• „Was ist ein Penetrationstest und welche Unterschiede gibt es?“
• „Warum Angst kein guter Berater ist“
• „Wie ist das Vorgehen beim Test (von der Vorbereitung bis zur Abschlussberatung)?“
• Praxisbeispiele

Referent: Carsten Vossel – CCVOSSEL GmbH

16.45-17.00 Uhr: Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema und Anmeldung:

eventbrite, it’s.BB e.V. (IT-Sicherheitsnetzwerk Berlin-Brandenburg)
Was ist ein Penetrationstest? Vorgehen, Praxisbeispiele und Mehrwert