[datensicherheit.de, 21.07.2025] Der dpunkt-verlag hat ein neues Handbuch für Aufbau und Organisation von IT-Services auf den Markt gebracht: Der Autor, Priv.-Doz. Dr. -Ing. habil. Robert Scholderer, gilt demnach als „einer der führenden Köpfe für IT-Service-Management (ITSM) und Service Level Agreement (SLA)“. Das nun vorliegende Werk – „Design and Management of IT-Services“ – soll als Leitfaden für den Aufbau und die Pflege eines eigenen IT-Managements dienen. Scholderer möchte mit seinem neuen Band ein IT-Verständnis vermitteln, mit welchem dann auch kleine Firmen oder Einrichtungen ihr eigenes ITSM einführen können – eben ohne langjährige Experten beschäftigen oder beauftragen zu müssen. „Das Buch skizziert Arbeitsweisen, mit denen sich qualitätsorientierte Services umsetzen und auch langwierige Arbeits- und Entwicklungsprozesse ohne Service-Einschränkungen abkürzen lassen.“

Abbildung: dpunkt.verlag

Dr. Robert Scholderers neuer Leitfaden: „Design und Management von IT-Services – Praxis zur Implementierung eines umfassenden Servicebetriebs“

Scholderer ist führender Experte auf dem Gebiet „Service Level Agreement“ (SLA)

Scholderer gilt als führender Experte auf dem Gebiet „Service Level Agreement“ (SLA). Er hat Mathematik und Informatik in München studiert, in Karlsruhe promoviert und sich an der TU Ilmenau habilitiert – dort hat er eine Gastdozentur inne.

• Mit seinem eigenen Beratungsunternehmen, der Scholderer GmbH, habe er für deutsche und internationale Firmen über 350 Servicekataloge mit rund 6.000 Servicebeschreibungen verfasst und Outsourcing-Verträge mit einem Volumen von 3,5 Milliarden Euro erstellt.

Das von seinem Unternehmen entwickelte „SOUSIS-Modell“ zähle offiziell zu den internationalen IT-Standards und werde weltweit von fast 3.000 IT-Firmen angewendet. Seit 2021 ist Scholderer Vorsitzender vom „IT Service Management Forum“ in Österreich (itSMF Austria).

Scholderers Buch adressiert Projektleiter, IT-Manager und Verantwortliche im Service-Management, aber auch Einsteiger sowie Studenten

Das nun neu vorliegende 366 Seiten umfassende Handbuch soll einen praxisorientierten Leitfaden für den Aufbau und die Optimierung eines IT-Services in Unternehmen und Institutionen bieten. Das vorgestellte Konzept umfasst laut Scholderer Einführung, Steuerung, Überwachung sowie Bewertung und Weiterentwicklung von Services.

• Das Buch adressiere professionelle Projektleiter, IT-Manager und Verantwortliche im Service-Management, aber auch Einsteiger sowie Studenten der Informatik bzw. Wirtschaftsinformatik. Es stelle dar, dass ein gutes und erfolgreiches IT-Management nicht von einzelnen Köpfen abhängen dürfe, sondern „einer Sachlogik folgt, die auch ohne Expertenwissen umgesetzt und nachhaltig gesichert werden kann“, betont Scholderer.

„Der Band enthält zahlreiche Praxistipps, Checklisten, Grafiken und Templates für die sofortige Umsetzung im IT-Betrieb. Interviews mit IT-Service-Managern und CIOs ergänzen die Informationen und Anleitungen.“ Die Struktur des Buches spiegele eine systematische Herangehensweise wider, die dabei helfen solle, schnell und fundiert sowohl theoretische als auch praktische Kenntnisse zu erwerben und effektiv anzuwenden.

Weitere Informationen zum Thema:

dpunkt.verlag | O’REILLY, 02.05.2025
Robert Scholderer: Design und Management von IT-Services / Praxis zur Implementierung eines umfassenden Servicebetriebs

dpunkt.verlag | O’REILLY
Jubiläum / 30 Jahre dpunkt.verlag – ein Grund zum Feiern!

Informatik Aktuell
Priv.-Doz. Dr. -Ing. habil. Robert Scholderer

SCHOLDERER
MANAGEMENT / Führung & Leitkultur

SCHOLDERER
SOUSIS / IT-Standard für SLAs

itSMF
IT Service Management Forum Austria

datensicherheit.de, 24.03.2025
Entscheiderverantwortung: Führungsetage muss sich an neue regulatorische Rechenschaftspflicht anpassen / Die C-Levels müssen die Widerstandsfähigkeit und die Bereitschaft zur Reaktion auf Vorfälle in ihre Organisation integrieren.

datensicherheit.de, 30.05.2019
Digitale Transformation: Zunehmende Sicherheitsdefizite / Laut aktueller Erhebung von Thales signalisieren europäische Unternehmen wachsende Sicherheitsprobleme

[datensicherheit.de, 07.07.2025] Dies sei ein entscheidendes Jahr für die neuen rechtlichen Rahmenbedingungen für Cybersicherheit in Europa. Doch selbst nach der ersten Jahreshälfte 2025 hätten viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden – oder hätten Schwierigkeiten, diese in die Praxis umzusetzen. Mit dem Inkrafttreten von DORA und der offiziellen Anwendung von NIS-2 kommt das neue Whitepaper von ISACA nun zu einem entscheidenden Zeitpunkt für die digitale Sicherheit in Europa – der neue Leitfaden von ISACA soll Unternehmen bei der Navigation durch NIS-2- und DORA-Vorschriften helfen.

Abbildung: ISACA

ISACA-Whitepaper „Resilience and Security in Critical Sectors: Navigating NIS2 and DORA Requirements“ – NIS-2 und DORA im vergleichenden Überblick

Nur ein Teil der EU-Mitgliedstaaten hat Frist zur NIS-2-Umsetzung in nationales Recht eingehalten

Viele Unternehmen – vor allem kleinere und mittlere (KMU) und Informations- und Kommunikationstechnologie-Anbieter (IKT-Unternehmen) – wüssten nur bedingt, „welche Anforderungen diese Verordnungen stellen, wie sie erfolgreich umgesetzt werden können und welche Vorteile sie bieten“. Dabei seien beide von zentraler Bedeutung für die digitale Widerstandsfähigkeit der Europäischen Union (EU). Dennoch mache sich nach wie vor große Verwirrung breit.

Hinzu komme, dass nur eine Handvoll EU-Mitgliedstaaten die Frist zur Umsetzung der NIS-2 in nationales Recht bis Oktober 2024 eingehalten habe. In Irland z.B., eine der digital am weitesten entwickelten Volkswirtschaften Europas, gaben demnach 38 Prozent der Unternehmen zu, dass sie nicht vorbereitet sind. Dies verdeutliche das Ausmaß der Herausforderung selbst in reifen Märkten. Diese unzureichende Vorbereitung dürfte sich in weiten Teilen der EU widerspiegeln, insbesondere bei KMU und Nicht-Finanzunternehmen. „Sie unterliegen nun neuen, strengen Rechenschafts-, Prüfungs- und Berichtspflichten!“

DORA und NIS-2 markieren grundlegenden Wandel für Herangehensweise an Resilienz- und Cybersicherheitsmanagement

Da sich also viele Unternehmen noch in der Anfangsphase der Umsetzung befänden, hat ISACA kürzlich das Whitepaper „Resilience and Security in Critical Sectors: Navigating NIS2 and DORA Requirements” veröffentlicht. Es diene als strategischer Leitfaden für Unternehmen, Finanzinstitute, öffentliche Verwaltungen und Technologieanbieter. „Es enthält eine klare Gliederung der beiden Vorschriften und zeigt auf, wie Unternehmen deren Einhaltung umsetzen und gleichzeitig ihre Cyberresilienz stärken können.“

„Die Herausforderung besteht nicht nur darin, die Vorschriften zu verstehen, sondern auch sicherzustellen, dass die Unternehmen wissen, wie sie diese effektiv anwenden können“, betont Chris Dimitriadis, „Chief Global Strategy Officer“ bei ISACA. Er erläutert: „DORA und NIS-2 markieren einen grundlegenden Wandel in der Herangehensweise von Unternehmen an Resilienz- und Cybersicherheitsmanagement. Die Konsequenzen für die Nichteinhaltung der Vorschriften sind gravierend – und noch wichtiger sind die Risiken einer Betriebsunterbrechung.“ ISACA engagiere sich, um Einzelpersonen und Organisationen bei der Vorbereitung auf diese neue Ära zu unterstützen.

Kernpunkte, die es laut ISACA bei der Einhaltung der Vorschriften zu beachten gilt:

Das ISACA-Whitepaper soll Unternehmen, welche auf die Einhaltung von Vorschriften hinarbeiten, essenzielle Anleitungen bieten:

• Kenntnis des Geltungsbereichs
  „Bestimmen Sie, ob Ihr Unternehmen unter NIS-2, DORA oder beide Richtlinien fällt!“ Auch Nicht-EU-Unternehmen könnten indirekt betroffen sein.
• Aufbau eines belastbaren IKT-Rahmens
  „Erstellen Sie umfassende IKT-Risikomanagementstrategien und stimmen Sie diese mit den Unternehmenszielen ab; überprüfen und testen Sie regelmäßig Kontinuitäts- und Wiederherstellungspläne!“
• Das Risiko Dritter ernst nehmen
  „Stellen Sie sicher, dass die Verträge mit IKT-Anbietern spezielle Klauseln zu Kontinuität, Sicherheit und Audit-Rechten enthalten!“ Viele Technologieanbieter – darunter Softwareentwickler, „Cloud“-Anbieter und Anbieter von „Managed Services“ – seien sich nicht bewusst, dass DORA sie aufgrund ihrer Verträge mit Finanzinstituten direkt betreffe.
• Vorbereitung auf die Meldepflichten
  „DORA und NIS-2 haben strenge und unterschiedliche Fristen für die Meldung von Vorfällen. Die Reaktionsteams müssen wissen, was, wann und wie zu melden ist!“
  -> NIS-2: „Vorabmeldung innerhalb von 24 Stunden und Abschlussbericht innerhalb eines Monats erforderlich.“
  -> DORA: „Größere IKT-Vorfälle müssen innerhalb von vier Stunden nach ihrer Einstufung gemeldet werden.“
• Schulung von Führungskräften und Mitarbeitern
  Auf allen Ebenen sollten obligatorische Schulungen zum Thema Cybersicherheit durchgeführt werden. Besonders erwähnenswert sei, dass der von der Europäischen Zentralbank (EZB) entwickelte „TIBER-EU“-Rahmen vollständig an DORA angepasst worden sei. „Er verlangt erstklassige Fähigkeiten und Zertifizierungen für Red-Team-Tester und Threat-Intelligence-Anbieter, die über qualifiziertes und zertifiziertes Personal verfügen müssen, um ihre Aufgaben ordnungsgemäß zu erfüllen!“
• Proaktive Audits
  „Führen Sie regelmäßig interne und externe Audits durch. Gemäß DORA müssen die IKT-Auditfunktionen unabhängig und qualifiziert sein!“
• Testen und Verbesserungen
  „DORA verlangt von den Finanzunternehmen, bedrohungsorientierte Penetrationstests durchzuführen und ihre betriebliche Widerstandsfähigkeit zu testen!“
• Dokumentieren allumfassend konzipieren
  „Führen Sie eine aktuelle Dokumentation über Richtlinien, Risikobewertungen, Kontrollen und Reaktionen!“ Dies sei entscheidend für die Transparenz und die aufsichtsrechtliche Überprüfung.

Im Falle der Nichteinhaltung von NIS-2 drohten laut EU Geldbußen von bis zu sieben Millionen Euro und für größere Unternehmen von bis zu zehn Millionen Euro. DORA überlasse die Anwendung von Sanktionen hingegen den nationalen Behörden.

Eine vergleichende Analyse von DORA und NIS-2 in Kombination mit praktischen Empfehlungen

Das Whitepaper solle nicht nur „Compliance“-Teams helfen, die Erwartungen der Regulierungsbehörden zu verstehen, sondern auch CISOs, IT-Leiter und Risikofachleute dabei unterstützen, langfristige Widerstandsfähigkeit und digitales Vertrauen aufzubauen. Die vergleichende Analyse von DORA und NIS-2 in Kombination mit praktischen Empfehlungen mache dieses Whitepaper zu einem wichtigen Referenzpunkt für die Navigation durch die sich entwickelnde Cyberregulierungs-Landschaft in Europa. Es diene sowohl Unternehmen als auch deren Technologiepartnern und Lieferanten als Leitfaden.

Ein kostenloses Exemplar des Whitepapers „Resilience and Security in Critical Sectors: Navigating NIS2 and DORA Requirements” ist online verfügbar. Weitere für Finanzinstitute nützliche Publikationen seien das „ISACA IT Risk Framework“, der „IT Risk Professional’s Guide“ und der „IT Risk Fundamentals Study Guide“. Zusätzliche risikobezogene IT-Ressourcen sind ebenfalls online zu finden.

Weitere Informationen zum Thema:

ISACA, 22.05.2025
White Paper: Resilience and Security in Critical Sectors: Navigating NIS2 and DORA Requirements

ISACA
Risk IT Framework, 2nd Edition | Print | English

ISACA
Expert guidance and practical tools to stay ahead of the curve in your IT risk career

datensicherheit.de, 16.04.2025
DORA macht deutlich: Europas Finanzsektor benötigt neue digitale Risikokultur / Cyber-Sicherheit längst kein technisches Randthema mehr, sondern elementarer Bestandteil der Finanzstabilität

datensicherheit.de, 17.03.2025
DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen / Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

datensicherheit.de, 07.02.2025
Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken! / Laut aktueller Manager-Umfrage ist sich nur knapp die Hälfte ihrer Verantwortung für Cyber-Sicherheit bewusst

[datensicherheit.de, 13.09.2024] Im Vorfeld des diesjährigen „Bundesweiten Warntags“ am 12. September 2024 hat das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) gemeinsam mit seinen Partnern den Leitfaden „Lokale Warnkonzepte“ vorgestellt, welcher demnach „wichtige Informationen und Empfehlungen für Praktikerinnen und Praktiker der Warnung“ bieten soll. Dieser Leitfaden sei das Ergebnis einer Zusammenarbeit des BBK mit den Ländern Rheinland-Pfalz und Baden-Württemberg sowie den lokalen Feuerwehren der Städte Ludwigshafen und Mannheim.

Abbildung: BBK

Lokale Warnkonzepte: Leitfaden zum Erstellen lokaler Warnkonzepte im Bevölkerungsschutz mit Beispielen aus Mannheim und Ludwigshafen am Rhein

Leitfaden „Lokale Warnkonzepte“ am 9. September 2024 vorgestellt

Laut BBK trafen sich am 9. September 2024 Ralph Tiesler (BBK-Präsident), Jutta Steinruck (Oberbürgermeisterin Ludwigshafens), Dr. Volker Proffen (Bürgermeister und Sicherheitsdezernent Mannheims) sowie Daniel Stich (Staatssekretär des Ministeriums des Innern und für Sport in Rheinland-Pfalz) im „Führungs- und Lagezentrum“ in Ludwighafen zusammen, um den Leitfaden „Lokale Warnkonzepte“ vorzustellen.

Dieser sei das Ergebnis einer bereits lange bestehenden Zusammenarbeit zwischen dem BBK, den Ländern Rheinland-Pfalz und Baden-Württemberg und den lokalen Feuerwehren der Städte Ludwigshafen und Mannheim. Der Leitfaden zum Erstellen lokaler Warnkonzepte biete wichtige Informationen und Erkenntnisse aus vergangenen Jahren sowie viele Tipps und Empfehlungen, welche Praktiker der Warnung dabei unterstützen sollten, ein eigenes regional angepasstes Warnkonzept zu entwickeln.

Neben individuellen Konstellationen gebe es jedoch Grundlagen und Elemente, welche in jedem Warnkonzept enthalten sein sollten. Diese Grundlagen werden laut BBK im nun vorliegenden Leitfaden strukturiert erläutert.

Für eine effektive Warnung reicht es nicht, sich ausschließlich auf die technischen Aspekte zu fokussieren!

BBK-Präsident Tiesler kommentiert: „Ob eine Warnung wirksam ist, zeigt erst die Reaktion darauf. Um eine effektive Warnung zu gewährleisten, reicht es nicht, sich ausschließlich auf die technischen Aspekte zu fokussieren. Ich bin davon überzeugt, dass wir hier eine wichtige Handreichung entwickelt haben, die uns unserem Ziel näherbringt, in Krisen und Notfällen so warnen zu können, dass wir möglichst viele Menschen erreichen – sowohl technisch als auch inhaltlich.“ Er würde sich sehr freuen, wenn der Leitfaden in vielen weiteren Kommunen bekannt wird, welche dann aus den hier gemachten Erfahrungen ihre Schlüsse für sich ziehen könnten.

„Es ist eine wichtige und anspruchsvolle Aufgabe, den Schutz und die Sicherheit für Hundertausende von Menschen zu gewährleisten, die sich in den Nachbarstädten Ludwigshafen und Mannheim befinden“, betont Ludwigshafens Oberbürgermeisterin Steinruck. Im vertrauten und über mehrere Jahrzehnte gewachsenen Zusammenspiel beider Kommunen gelinge dies zum Wohl aller über Stadt- und Landesgrenzen hinweg. Dabei würden die Mittel kontinuierlich optimiert, mit denen die Bevölkerung etwa bei Großschadenslagen Informationen und wichtige Handlungsanweisungen erhalte: „Nur wer informiert ist, kann sich und andere schützen beziehungsweise sich und anderen helfen.“

„Für die Städte Mannheim und Ludwigshafen ist eine reibungslose und enge Zusammenarbeit besonders wichtig, da unter anderem durch die ansässigen Störfallbetriebe das Gefahrenpotenzial sehr hoch ist. Daher bin ich froh, dass zahlreiche Einsatzlagen in den vergangenen Jahren bestätigt haben, wie gut die Zusammenarbeit zwischen unseren beiden Städten funktioniert und man sich aufeinander verlassen kann“, betont Mannheimer Bürgermeister und Sicherheitsdezernent Dr. Proffen. Zusammen hätten sie eine gute Warnmittelzusammenstellung etabliert, „die es uns im Gefahrenfall ermöglicht, schnell und zielgerichtet zu warnen – auch über Stadtgrenzen hinaus“.

„Das Zusammenspiel von Bund, Ländern und Kommunen im Bevölkerungsschutz ist von größter Bedeutung. Dabei gilt es, auf lokale Besonderheiten einzugehen und die Warnkonzepte an die speziellen Herausforderungen vor Ort anzupassen“, so Staatssekretär Stich. Das lokale Warnkonzept in Ludwigshafen und Mannheim zeige, wie das gemeinsame Warnkonzept von Bund und Ländern nachhaltig und dauerhaft in bestehende lokale Strukturen eingebettet werden könne. Die interkommunale und länderübergreifende Zusammenarbeit in diesem Projekt sei vorbildlich.

Staatssekretär Thomas Blenke, Ministerium des Inneren, für Digitalisierung und Kommunen Baden-Württemberg unterstreicht: „Wir müssen Menschen in Gefahrenlagen bestmöglich schützen. Mit dem Projekt tun wir genau das. Und noch etwas macht das Projekt ganz besonders: Mit den Städten Mannheim und Ludwigshafen haben wir unsere gelebte, länderübergreifende Zusammenarbeit weiter gestärkt, die für beide Städte in der Metropolregion Rhein-Neckar schon lange gelebte Praxis ist und beispielhaft ist.“ Mit dem Leitfaden hätten die Kommunen nun eine gute Grundlage, auf der sie aufbauen können, um ihre eigenen, lokalen Warnkonzepte auf den Weg zu bringen.

Lokale Bevölkerung als Ankerpunkt für die Warnung

Seit 2016 arbeiteten Bund und Länder gemeinsam in dem EU-geförderten Projekt „Warnung der Bevölkerung“ zusammen – mit dem Ziel, die Warnung in Deutschland zu verbessern. Hierzu würden vor allem auch sozialwissenschaftliche Perspektiven berücksichtigt werden. Demnach stehe die Effektivität einer Warnung im direkten Zusammenhang mit den Erwartungs- und Handlungshorizonten der jeweiligen „Communities“ vor Ort, aber auch der Schnittstellenarbeit auf kommunaler, wie Länder- und Bundesebene.

Die Metropolregion Rhein-Neckar stehe dabei exemplarisch für eine Länder, Behörden und Akteure übergreifende Zusammenarbeit. Die Nähe der beiden Städte Mannheim und Ludwigshafen, zwar in unterschiedlichen Ländern gelegen, aber direkt aneinandergrenzend, fordere ein Warnkonzept, welches eben „nicht an Ländergrenzen stoppt“, sondern auf den lokalen Begebenheiten aufbaue. In den vergangenen Jahren seien so kontinuierlich Erfahrungen geteilt und „Best Practices“ ausgetauscht, fortgeführt und etabliert worden.

Weitere Informationen zum Thema:

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe & WARNUNG DER BEVÖLKERUNG Ein Bund-Länder-Projekt
Lokale Warnkonzepte: Leitfaden zum Erstellen lokaler Warnkonzepte im Bevölkerungsschutz mit Beispielen aus Mannheim und Ludwigshafen am Rhein

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe BBK, 23.05.2024
Neuer Leitfaden: „Lokale Warnkonzepte“ / Praxisnahe Unterstützung für Behörden

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe BBK
Warnung in Deutschland

WARNUNG DER BEVÖLKERUNG Ein Bund-Länder-Projekt
ISF Bund-Länder-Projekt Warnung der Bevölkerung

[datensicherheit.de, 17.01.2024] Fast die Hälfte (44%) der Kleinunternehmen habe bereits einen Cyber-Angriff erlebt, wobei 61 Prozent von ihnen mehr als 10.000 US-Dollar verloren hätten. Viele Kleinunternehmer wüssten, dass sie mit Cyber-Bedrohungen rechnen und in die Abwehr investieren müssten. „Trotz dieser Erkenntnis ist nur etwa die Hälfte (48 %) der Unternehmer bzw. IT-Verantwortlichen davon überzeugt, dass ihr Unternehmen in der Lage ist, Cyber-Angriffe zu verhindern.“ Dies sind aktuelle Erkenntnisse, basierend auf einer Studie zu Kleinunternehmen von McAfee und Dell: Die zugrundeliegende Umfrage basiert demnach auf den Antworten von 700 Unternehmern und IT-Experten. Bei den Befragten habe es sich entweder um hochrangige Führungskräfte oder IT-Verantwortliche gehandelt, „die für Unternehmen mit weniger als 250 Mitarbeitern tätig waren“. Die Umfrageteilnehmer stammten laut McAfee aus sechs Ländern: USA, Großbritannien, Deutschland, Frankreich, Japan und Australien.

Abbildung: McAfee

Tipps, wie Kleinunternehmen ihre Daten, Mitarbeiter, Kunden und ihre Einkommensquelle schützen können

Am 17. Januar 2024 hat McAfee die Ergebnisse einer globalen Studie über Kleinunternehmen vorgestellt

McAfee hat am 17. Januar 2024 die Ergebnisse einer globalen Studie über Kleinunternehmen bekanntgegeben: „In dieser wurden Führungskräfte und IT-Verantwortliche von Kleinunternehmen in sechs Ländern zu ihren Ansichten und ihrem Verhalten zum Thema Cyber-Sicherheit befragt.“

Diese Studie, entstanden in Zusammenarbeit mit Dell Technologies, zeige, dass die Cyber-Sicherheit bei Kleinunternehmen weltweit eine der größten Sorgen darstellt, denn 73 Prozent von ihnen gäben an, dass sie eine ihrer größten Risiken oder Schwachstellen sei – und das völlig zu Recht.

Die Daten legten dar, dass Cyber-Angriffe immer mehr zunehmen: 44 Prozent der kleinen Unternehmen seien bereits Opfer einer Cyber-Attacke geworden, wobei 17 Prozent mehr als einmal betroffen gewesen seien. Bei 67 Prozent der von einem Cyber-Angriff betroffenen Unternehmen, habe sich der Zwischenfall in den letzten zwei Jahren ereignet. Dies deute darauf hin, dass die Bedrohung durch Cyber-Kriminalität größer geworden sei.

McAfee-Warnung: Fatale Folgen für Kleinunternehmen bereits durch einen einzigen Cyber-Angriff

Für ein Kleinunternehmen könne selbst ein einziger Cyber-Zwischenfall verheerende Auswirkungen auf den Gewinn haben. 61 Prozent der von einem Cyber-Angriff betroffenen Kleinunternehmer, hätten durch den Angriff mehr als 10.000 US-Dollar verloren.

Darüber hinaus habe mehr als die Hälfte (60%) der Unternehmer und IT-Verantwortlichen angegeben, dass der Cyber-Angriff auf ihr Unternehmen sie bzw. ihre Mitarbeiter oder Kollegen physisch oder psychisch belastet habe. In 58 Prozent der Fälle habe das Unternehmen durch den Angriff und die dadurch entstandenen IT-Probleme mehr als eine Woche wertvoller Arbeitszeit verloren.

Cyber-Angriffe hätten erheblich Folgen für die Finanzen, das Kundenvertrauen und die betriebliche Effizienz kleiner Unternehmen, da Kundendaten (38%), Kennwörter (34%) oder andere Dateien (34%) verloren gingen. „Viele Angriffe (43%) entstanden, weil jemand auf einen Phishing-Link geklickt bzw. einen schädlichen Anhang geöffnet und dadurch versehentlich Malware heruntergeladen hat.“

McAfee-Rat: Kleinunternehmer sollten mit KI gegen KI vorgehen

Leider seien Kleinunternehmer in Bezug auf böswillige Nachrichten, die dank Künstlicher Intelligenz (KI) immer realistischer und zahlreicher würden, deutlich im Nachteil – KI sei nunmehr das bevorzugte Werkzeug von Betrügern. Sie helfe Cyber-Kriminellen, den Umfang, die Schnelligkeit und die Raffinesse von Phishing- und SMS-Betrügereien zu erhöhen.

„Um Sorgen und Ängste in Bezug auf KI und Datensicherheit abzubauen, müssen Kleinunternehmer mit KI gegen KI vorgehen.“ Diese hochmoderne Technologie könne sie proaktiv und in Echtzeit schützen, bevor sie überhaupt merkten, dass sie angegriffen wurden.

Die KI-gesteuerte Technologie, welche z.B. hinter „McAfee Scam Protection“ stehe, blockiere proaktiv gefährliche Links, „die in Textnachrichten, Sozialen Medien oder Webbrowsern erscheinen und ermöglicht den Anwendern, SMS und E-Mails zu lesen sowie unbesorgt und sicher im Internet zu surfen“.

Zentrale Erkenntnisse der weltweiten Studie von McAfee und Dell über Kleinunternehmen:

Viele Kleinunternehmer wüssten, dass sie mit Cyber-Bedrohungen rechnen und in die Abwehr investieren müssten. Trotz dieser Erkenntnis sei nur etwa die Hälfte (48%) der Unternehmer bzw. IT-Verantwortlichen davon überzeugt, dass ihr Unternehmen in der Lage sei, Cyber-Angriffe zu verhindern. Die meisten Kleinunternehmen (76%) verwalteten die Cyber-Sicherheit ohne externe Unterstützung und fast die Hälfte (45%) habe angegeben, mehr als sieben Stunden pro Woche für allgemeine IT-Probleme aufzuwenden.

Die weltweite Studie habe außerdem Folgendes ergeben:

• Fast ein Viertel (24%) der Unternehmer sorge sich täglich über Cyber-Angriffe.
• Weniger als die Hälfte (46%) der Unternehmer oder IT-Verantwortlichen sei davon überzeugt, dass die Mitarbeiter notwendige Maßnahmen zum Schutz der Firmengeräte und des Geistigen Eigentums umsetzen könnten.
• Eine Mehrheit (68%) der Kleinunternehmer gehe davon aus, dass ihre Cyber-Sicherheitsrisiken weiter stiegen.
• Ein knappes Drittel (30%) der von Cyber-Angriffen betroffen Kleinunternehmen habe angegeben, dass die Angriffe auf eine ausgenutzte Schwachstelle in veralteter Software zurückzuführen gewesen seien.

McAfee und Dell bieten Ressourcen für den digitalen Schutz von Kleinunternehmen

Angesichts der immer komplexer werdenden Online-Welt bestehe ein größerer Bedarf an Ressourcen und Produkten, die Kleinunternehmern und ihren Mitarbeitern dabei helfen könnten, online gut informiert und geschützt zu sein.

„Wir kennen die Schwachstellen und Risiken, mit denen Kleinunternehmer konfrontiert sind. Wir sind entschlossen, ihnen branchenführende Online-Schutzlösungen zu bieten, mit denen sie das tun können, was sie am besten können, und uns das tun lassen, was wir am besten können – sie, ihre Daten sowie ihre Kunden schützen“, betonte Pedro Gutierrez, „Senior Vice President of Sales“ bei McAfee bei der Vorstellung der Ergebnisse.

Darüber hinaus hätten McAfee und Dell einen kostenlosen Leitfaden für Kleinunternehmen erstellt, welcher sie über die wachsende Bedrohungslandschaft aufklären soll. Zudem gebe er ihnen Tipps, „wie sie ihre Daten, Mitarbeiter, Kunden und ihre Einkommensquelle schützen können“.

Weitere Informationen zum Thema:

McAfee
Cybersicherheit für kleine Unternehmen / McAfee-Ressourcenleitfaden

[datensicherheit.de, 01.06.2023] Sogennannte Supply-Chain-Attacken haben in letzter Zeit deutlich zugenommen und betreffen auch bekannte Unternehmen, meldet der Bundesverband IT-Sicherheit e.V. (TeleTrusT). Solche Attacken erfolgten über vertrauenswürdig eingestufte Komponenten und IT-Services Dritter und seien daher von Anwendern schwer zu verhindern. Ein jetzt veröffentlichter TeleTrusT-Leitfaden beschreibt demnach neben der „Software Bill of Materials“ (SBOM) weitere Schutzmaßnahmen, welche von Anwenderunternehmen zur Verbesserung der „Cloud Supply Chain Security“ getroffen werden könnten.

Abbildung: TeleTrusT

Neuer TeleTrusT-Leitfaden beschreibt Software Bill of Materials (SBOM) sowie weitere Schutzmaßnahmen

Schwache Anwender-Postion laut TeleTrusT inakzeptabler Zustand

„In der IT ist die ,Supply Chain’ die Lieferkette aller Teilprodukte und Lieferungen, aus denen sich ein IT-Service oder eine Anwendung zusammensetzt.“

Für jede Art von Software, aber insbesondere für „Cloud“-Dienste, bestehe eine solche Lieferkette aus unzähligen Lieferanten und solchen Produkten, welche entweder direkt oder indirekt genutzt werden oder zur Erstellung oder Ausführung der Teile beitragen.

Im besten Fall werde der Produzent oder Anbieter der Teile die direkt genutzten Komponenten selbst auf Sicherheitseigenschaften überprüfen. Der Anwender habe aber normalerweise weder die Möglichkeit, die Nutzung einer betroffenen Komponente festzustellen, noch auf eine Behebung von Schwachstellen hinzuwirken – „ein inakzeptabler Zustand“.

TeleTrusT empfiehlt Software Bill of Materials – eine Aufstellung aller Komponenten einer Software-Anwendung

Um das Problem der mangelnden Transparenz zu lösen, führt laut TeleTrusT der Weg über die „Software Bill of Materials“ (SBOM): „Eine SBOM ist eine Aufstellung aller Komponenten, die in einer Software-Anwendung enthalten sind.“

Wenn neue Erkenntnisse zu Fehlern und Schwachstellen in diesen Komponenten auftauchen, könnten Anwender schnell ermitteln, ob sie möglicherweise betroffen sind und die von ihnen genutzten Anwendungen gefährdet sind.

Es werde erwartet, „dass sich die Bereitstellung von SBOMs durch Lieferanten und Betreiber von Software und Services zum Marktstandard entwickelt“.

Oliver Dehning, Leiter der TeleTrusT-AG Cloud Security kommentiert

„Aktuelle ,Software Bill of Materials’ (Software-Stücklisten, SBOM) sind die Basis für mehr Transparenz in der ,Cloud Supply Chain’ und damit für mehr Sicherheit bei der Nutzung von ,Cloud’-Services“, erläutert Oliver Dehning, Leiter der TeleTrusT-AG „Cloud Security“.

Anwender könnten einen erheblichen Beitrag zur Verbesserung der Sicherheit in ihrer „Cloud Supply Chain“ leisten, wenn sie die Bereitstellung von SBOMs durch Provider in ihren Anforderungskatalog aufnehmen.

Dehning rät abschließend: „Provider sollten ihrerseits ihren Anwendern diese Informationen zur Verfügung stellen und damit aktives Management von Cyber-Sicherheit auch in der ,Cloud’ ermöglichen.“

Weitere Informationen zum Thema:

Bundesverband IT-Sicherheit e.V. TeleTrusT
Cloud Supply Chain Security / Leitfaden für Schutzmaßnahmen 2023

[datensicherheit.de, 16.08.2022] „Wenn es um Sicherheit geht – sowohl bei der IT (Informationstechnologie) als auch der OT (Prozesstechnologie), weiß man nie, was alles passieren könnte“, betont Michael Benis, „Security Architect“ und „Chief Information Security Officer“ bei OTORIO, in seiner aktuellen Stellungnahme. Deshalb sei es wichtig, regelmäßig eine Risiko-Bewertung hinsichtlich der Cyber-Sicherheit durchzuführen – „bevor etwas passiert“. Eine Risiko-Bewertung sei jedoch eine Sache, die tatsächliche Risiko-Minderung eine ganz andere. Oftmals machten sich Unternehmen nicht einmal die Mühe, es zu versuchen. „Sie ergreifen einfach Vorsichtsmaßnahmen und hoffen auf das Beste. Wenn Unternehmen keine regelmäßigen Bewertungen der Cyber-Sicherheitsrisiken durchführen, setzen sie sich einem Risiko aus.“ Benis erläutert zentrale Aspekte einer Cyber-Sicherheitsrisiko-Bewertung und wie daraus Schlüsse gezogen werden können:

Foto: OTORIO

Michael Benis: Eine Risiko-Bewertung besteht aus drei Hauptkomponenten: Bedrohung, Anfälligkeit und Auswirkungen

4 Risiko-Haupttypen: Umwelt-, Personal-, physische und finanzielle Sicherheitsrisiken

Eine Risiko-Bewertung besteht demnach aus drei Hauptkomponenten: Bedrohung, Anfälligkeit und Auswirkungen. „Hierbei geht es darum, die Bedrohungen für das Unternehmen zu ermitteln und dann zu bewerten, wie diese Bedrohungen ausgenutzt werden könnten.“ Darüber hinaus gelte es, alle potenziellen Schwachstellen bei Mitarbeitern (Personal), Prozessen und Technologien, wie z.B. IT-Systeme, Betriebstechnologie (OT)-Systeme und Einrichtungen, zu ermitteln. Schließlich müssten Unternehmen die Auswirkungen möglicher Sicherheitsverletzungen berücksichtigen.

Es gebe vier Haupttypen von Sicherheitsrisiken: Umweltrisiken, Personalrisiken, physische Sicherheitsrisiken und finanzielle Risiken. Umweltbezogene Risiko-Bewertungen befassten sich mit den Risiken, „die durch Umweltfaktoren wie Wetterbedingungen entstehen“. Bei der Bewertung von Sicherheitsrisiken im Bereich der Personalressourcen werde untersucht, wie anfällig die Mitarbeiter für Ausnutzung oder Diebstahl sind. Bei den physischen Sicherheitsrisiken werde die physische Sicherheit des Betriebsgeländes bewertet, einschließlich der Zugangskontrollmaßnahmen und der Verfahren zum Verschließen des Gebäudes. Bei den finanziellen Risiken werde geprüft, „wie das Unternehmen in der Lage ist, seinen finanziellen Verpflichtungen nachzukommen und sein Vermögen vor Gläubigern zu schützen“.

Ordnungsgemäße Risiko-Bewertung erfordert Sammlung verschiedener Daten

„Sobald alle oben genannten Komponenten einer Cyber-Sicherheitsrisiko-Bewertung ermittelt sind, ist es an der Zeit, eine tatsächliche Analyse durchzuführen“,so Benis. Für eine ordnungsgemäße Risiko-Bewertung sei es erforderlich, verschiedene Daten zu sammeln: über die Zielgruppe (Kunden), die Zielumgebung (die Orte, an denen sich die Kunden wahrscheinlich aufhalten), die Vermögenswerte (Eigentum oder Geld, das gefährdet sein könnte), die Verbindlichkeiten (wer für Schäden aufkommt, wenn etwas schiefgeht) und die Betriebsabläufe (wie man vorgeht, wenn etwas schiefgeht).
Benis führt weiter aus: „Wenn diese Informationen zur Verfügung stehen, ist es Zeit für die Planung.“ Verantwortliche müssten einen Aktionsplan erstellen, welcher die einzelnen Schritte aufzeigt, „damit sie diese auch tatsächlich erfolgreich durchführen können“.

Sicherheitsrisiko-Bewertung setzt Plan-Erstellung voraus

Um eine Sicherheitsrisiko-Bewertung durchzuführen, müssten die Beteiligten zunächst einen Plan erstellen. Dieser Plan sollte Folgendes enthalten:

• Welche Informationen werden in die Risiko-Bewertung einbezogen?
• Welche Risiken werden bewertet und wie wahrscheinlich ist es, dass sie eintreten?
• Wie können diese Risiken minimiert oder beseitigt werden?
• Wer ist für die Durchführung der Bewertung verantwortlich und über welche Qualifikationen verfügt er?
• Welche Maßnahmen werden ergriffen, um Vorfälle in Zukunft zu verhindern?

Das Risiko muss gemildert, übertragen, vermieden oder akzeptiert werden können

„Sobald ein Unternehmen seinen Bewertungsplan erstellt hat, ist es an der Zeit, die richtigen Lösungen für die Cyber-Sicherheit zu finden. Dazu muss es herausfinden, welche Arten von Sicherheitsservices es benötigt und ob diese im finanziellen Rahmen liegen oder nicht“, erläutert Benis.

Außerdem gelte es, die mit den einzelnen Diensten verbundenen Risiken zu bewerten und sicherzustellen, „dass sie gemildert, übertragen, vermieden oder akzeptiert werden können“. Sobald all diese Informationen vorliegen, sei es an der Zeit, die ausgewählten Sicherheitslösungen zu implementieren.

Bewertung der Sicherheitslösungen wesentlicher Bestandteil der Risikomanagement-Strategie

Sobald der Bewertungsplan steht, sei es an der Zeit, zu ermitteln, wie gut jede Lösung funktioniert. „Sicherheitsverantwortliche möchten dafür sorgen, dass während der Bewertung kein Zwischenfall eintritt, aber auch, dass es keine Auswirkungen auf das Unternehmen oder die Kunden gibt, die nicht vorhergesehen wurden.“

Die Bewertung der Sicherheitslösungen sei ein wesentlicher Bestandteil der Erstellung einer Risikomanagement-Strategie. Benis unterstreicht: „Eine Sicherheitsrisiko-Bewertung ist wichtig für Unternehmen jeder Größe. Wenn Unternehmen die Risiken verstehen und potenzielle Bedrohungen erkennen, können sie fundierte Entscheidungen für Schutzmaßnahmen treffen.“

Mittels Sicherheitsrisiko-Bewertung allgemeine Sicherheitslage verbessern und potenzielle Schwachstellen verringern

Mithilfe einer Sicherheitsrisiko-Bewertung könnten Unternehmen die allgemeine Sicherheitslage verbessern und potenzielle Schwachstellen verringern. „Indem sie die Risiken des Unternehmens verstehen und angehen, können sie außerdem eine sichere Geschäftsumgebung, ihre Mitarbeiter und die Kunden schaffen.“

Benis Fazit: „Eine Cyber-Sicherheitsrisiko-Bewertung ist ein wertvolles Instrument für Unternehmen unabhängig von deren Größe. Durch die Erstellung eines Bewertungsplans und die Bewertung der Sicherheit können Unternehmen fundierte Entscheidungen darüber treffen, wie sie sich vor potenziellen Bedrohungen schützen können.“ Darüber hinaus könne eine Risiko-Bewertung der Cyber-Sicherheit dazu beitragen, das Unternehmen insgesamt zu verbessern, „indem optimierungsbedürftige Bereiche identifiziert werden“.

Weitere Informationen zum Thema:

datensicherheit.de, 28.06.2021
Netzwerkverkehr: Transparenz zur Risikominderung / Heim-Arbeitsplätze schaffen zusätzliche Angriffsvektoren für betrieblichen Netzwerkverkehr

datensicherheit.de, 18.05.2021
Cybersecurity-Risikoprozess: Leitfaden für IT-Entscheider / Kudelski Security gibt IT-Experten Tipps für systematische Absicherung kritischer Daten-Assets in Unternehmen

[datensicherheit.de, 18.08.2021] „Cloud Computing“ ist nach Ansicht des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) inzwischen ein breit akzeptiertes IT-Betriebsmodell und wird von den meisten Unternehmen genutzt: Auch viele IT-Anbieter hätten in ihrer Strategie auf „Cloud First“ gewechselt, zum Teil sogar auf „Cloud Only“. Die Bedrohungslage hat sich ebenfalls verändert: „Cloud“-Plattformen sind zunehmend im Blickfeld von Cybercrime. Die sichere Nutzung von „Cloud Services“ sei deshalb ein zentraler Baustein der IT-Sicherheit von Unternehmen insgesamt. Der TeleTrusT-Leitfaden „Cloud Security“ richte sich vorwiegend an kleine und mittlere Unternehmen.

Sichere Nutzung von Cloud Services zentraler Baustein der IT-Sicherheit

Der Leitfaden umfasse eine systematische Betrachtung der Risiken bei der Nutzung von „Cloud“-Diensten, gegliedert nach allgemeinen IT-Risiken, „Cloud“-spezifischen Risiken und rechtlichen Anforderungen. Hervorgehoben würden auch die Sicherheitsvorteile von „Cloud Services“.
Er zeige technische, organisatorische und rechtliche Maßnahmen zur Reduktion und Beherrschung ermittelter Risiken auf. Neben Mechanismen und Konfigurationsmöglichkeiten, die integraler Bestandteil der Cloud-Dienste seien, werde fokussiert auf externe Sicherungsmechanismen eingegangen: „Identity Provider“, „Cloud Access Security Broker“ (CASB), „Cloud Encryption Gateways“, „E-Mail Security Gateways“, „Cloud VPNs“, „Cloud Firewalls“, „Confidential Computing“, Backup und Notfallplanung.
Im Bereich organisatorischer Maßnahmen werde auf die Aufgabenverteilung zwischen Anbieter und Nutzer sowie auf die Vertragsgestaltung eingegangen. Der Leitfaden schließe mit einer Betrachtung von Testaten und Zertifikaten im „Cloud“-Umfeld.

Corona-Pandemie beschleunigt Zunahme von Cloud Computing

„,Cloud Computing‘ ist inzwischen ein breit akzeptiertes IT-Betriebsmodell. Die allermeisten Unternehmen nutzen heute ,Cloud Services‘ in irgendeiner Form. Viele IT-Anbieter haben in ihrer Strategie auf ,Cloud First‘ gewechselt, zum Teil sogar auf ,Cloud Only‘“, berichtet Oliver Dehning, Leiter der TeleTrusT-AG „Cloud Security“.
Die weltweiten Ausgaben für „Public Cloud Services“ würden laut Gartner im Jahr 2021 304,9 Milliarden US-Dollar betragen – ein Wachstum von 18,4 Prozent gegenüber 2020. Dehning: „Das Tempo des Wachstums wird dabei durch die ,Corona-Pandemie‘ noch beschleunigt. Bis zum Jahr 2024 soll der Anteil der Ausgaben für ,Cloud Computing‘ auf 14,2 Prozent der Unternehmensausgaben für IT wachsen, gegenüber 9,1 Prozent im Jahr 2000.“
Für Unternehmen stelle sich daher kaum noch die Frage, ob „Cloud Computing“ genutzt werden kann, sondern wie – insbesondere mit Blick auf die IT-Sicherheit. „Auch die Bedrohungslage hat sich verändert: ,Cloud‘-Plattformen sind zunehmend im Blickfeld von Cybercrime.“ Die sichere Nutzung von „Cloud Services“ sei deshalb ein zentraler Baustein der IT-Sicherheit von Unternehmen insgesamt. Insbesondere kleine und mittlere Unternehmen müssten dabei unterstützt werden. Sie hätten oft nicht die nötigen Kapazitäten zum Aufbau eigener Expertise. Der TeleTrusT-Leitfaden „Cloud Security“ richte sich daher vorwiegend an kleine und mittlere Unternehmen. „Er soll einen Überblick und Hilfestellung zum sicheren Betrieb von ,Cloud Services‘ geben“, so Dehning.

Weitere Informationen zum Thema:

TeleTrusT
Cloud Security

datensicherheit.de, 05.08.2021
Cloud: Zunehmende Sicherheitsrisiken durch Malware-Bereitstellung, Plugins von Drittanbietern und exponierte Workloads / Netskope Threat Labs zeigen kritische Trends bei der Nutzung von Cloud-Diensten und -Apps in Unternehmen auf

datensicherheit.de, 25.05.2021
Kleines DSGVO-Jubiläum: Cloud-Nutzung als Herausforderung für Unternehmen / Datenspeicherung au0erhalb der EU bereitet DSGVO-Probleme

[datensicherheit.de, 18.05.2021] Cyber-Sicherheit sei mit der fortschreitenden Digitalisierung zum elementaren Faktor innerhalb des Risikomanagements moderner Unternehmen und Organisationen avanciert: „Angesichts einer Vielzahl potenzieller Gefahrenquellen für Daten und die digitale Infrastruktur muss der ,CISO‘ in der Lage sein, Risiken auf jeder Systemebene vom Server über die Systemsoftware bis hin zur einzelnen Anwendung zu identifizieren und zu managen.“ Die Herausforderung bestehe darin, Informationen über die Risikobewältigung auf Unternehmensebene zu kommunizieren, während gleichzeitig Risiken operativ ausgeschaltet und detaillierte Reaktionspläne auf Systemebene ausgeführt werden müssten. Um IT-Entscheider dabei zu unterstützen, hat Kudelski Security nach eigenen Angaben die entscheidenden Schritte in einem Leitfaden zusammengefasst:

1. 360-Grad-Sicht auf betriebliche IT: Kontext und Risiken identifizieren

Um eine wirksame Strategie für das Management von Cyber-Risiken zu erarbeiten, sei es unerlässlich, die Erwartungen der Stakeholder und der Geschäftsführung zu verstehen: „Erst im Lichte dessen, was Kunden, Lieferanten, Aufsichtsbehörden und Wettbewerber für eine Motivation und Herangehensweise an das Thema haben, wird eine 360-Grad-Sicht möglich.“ Dies schließe auch die grundsätzliche Haltung des Managements hinsichtlich Risikobereitschaft, Unternehmens- und Führungskultur sowie Marktstrategie mit ein.
„Nur wer seine Vermögenswerte lückenlos kennt – also auch die digitalen – kann gezielt und verlässlich Bedrohungen, Schwachstellen und Konsequenzen von Risikoszenarien bewerten.“ Beispielsweise biete die Richtlinie „NIST 800-30 Guide for Conducting Risk Assessments“ eine detaillierte Methodik zur Identifizierung und Bewertung von Cyber-Sicherheitsrisiken für Informationssysteme in den USA und diene zugleich als nützlicher Leitfaden für nicht-staatliche Einrichtungen. Ebenso leiste die Norm „ISO/IEC 27005 Information Security Risk Management“ wertvolle Unterstützung bei der Risikoidentifikation.

2. IT-Risikoanalyse: Risiken analysieren und bewerten

Überaus hilfreich sei es, die Wahrscheinlichkeit zu kennen, „mit der ein Risikoereignis eintritt, und die möglichen Konsequenzen“. Wenngleich dies primär eine Ermessensentscheidung sei, gebe es dennoch Techniken, welche bei der Risikoanalyse helfen könnten. Die gängigsten Ansätze seien der qualitative, „der auf der Zuweisung eines Wertes wie hoch, mittel oder gering basiert“ und der quantitative, „der einen numerischen Wert für die Auswirkungen, basierend auf statistischen Wahrscheinlichkeiten und monetären Werten von Verlusten oder Gewinnen zugrundelegt“.
Ein dritter Ansatz werde als semi-qualitativ bezeichnet und basiere auf der Zuweisung von numerischen Werten zu qualitativen Kategorien. Alle drei lieferten eine Grundlage dafür, ein Risikoprofil zu erstellen. Typischerweise würden die Risiken in einer Matrix dargestellt, um die Wahrscheinlichkeit und die Auswirkungen des Risikos abzubilden. Die Visualisierung von Risiken helfe Führungskräften und Geschäftsführern bei der Priorisierung entsprechender Gegenmaßnahmen.

3. IT-Sicherheitsinitiative: Reaktionsstrategien und geeignete Maßnahmen implementieren

Risikostrategien im IT-Sektor sollten so gestaltet sein, „dass die identifizierten Risiken den Rahmen nicht überschreiten, den die Risikobereitschaft und Risikotoleranz des Unternehmens setzen“. Ein wichtiger Teil dieser Bewertung sei es, die Kosten für die Gegenmaßnahmen zu bestimmen und diese mit dem potenziellen Verlust oder den Auswirkungen des eingetretenen Risikofalls zu vergleichen.
Üblicherweise werde eine der folgenden vier Reaktionsarten ausgewählt: akzeptieren, übertragen, abmildern oder vermeiden. Als Reaktion empfehle sich vielfach eine spezifische Sicherheitsinitiative oder ein Projekt, welches lösungsorientiert geplant und ausgeführt werden sollte. „Abgerundet werden sollte jeder Cybersecurity-Risikoprozess, egal wie er konkret beschaffen ist, durch regelmäßiges Monitoring und eine systematische Statusaktualisierung der Gegenmaßnahmen oder der Risikomerkmale.“

Weitere Informationen zum Thema:

datensicherheit.de, 22.08.2020
Microsoft 365: Auf diese Angriffsarten sollten Firmen verstärkt achten

NIST
Privacy Framework / NIST SP 800-30

KOMPASS Informationssicherheit und Datenschutz
ISO/IEC 27005 / Information Security Risk Management / Management von Informationssicherheitsrisiken

[datensicherheit.de, 29.04.2020] Die Kontakteinschränkungen aufgrund der Corona-Pandemie halten an. Das bedeutet für viele Unternehmen und Behörden, dass berufliche Besprechungen in Form von Video- oder Telefonkonferenzen abgehalten werden. Auch in Bildungseinrichtungen, in persönlichen Beratungen oder Betreuungen und in Ehrenämtern werden Videokonferenzen eingesetzt. Worauf beim Einsatz von Videokonferenzsystem geachten werden muss, um Datenschutzanforderungen zu erfüllen erklärt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD):

Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, berichtet von zahlreichen Anfragen zum Thema Videokonferenzen: „In vielen Unternehmen und Behörden waren Videokonferenzen bisher die seltene Ausnahme, es gab noch wenig Erfahrung. Im Vordergrund stand zunächst, schnell Lösungen für wichtige Absprachen und Abstimmungen zu finden. Die gesammelten Erfahrungen können nun für eine nachhaltige und vor allem datenschutzkonforme Ausgestaltung genutzt werden.“

Einsatz-Szenarien für Videokonferenzen

In Unternehmen und Behörden gibt es verschiedene Einsatz-Szenarien für Videokonferenzen. Neben allgemeinen Anforderungen des Datenschutzes bestehen spezielle Anforderungen, die sich einerseits an diejenigen, die eine Videokonferenz organisieren, und andererseits an die Teilnehmer richten. Zu beachten ist auch, dass Videokonferenzen über den beruflichen Alltag hinaus zum Einsatz kommen – beispielsweise in Bildungseinrichtungen, aber auch in Online-Beratungen bis hin zu ehrenamtlichen Vereinen.

Um eine Hilfestellung für den Einsatz von Videokonferenzen zu geben, veröffentlicht Hansens Dienststelle, das ULD, die wichtigsten Regeln und Maßnahmen auf der Webseite:

„Datenschutz: Plötzlich Videokonferenz – und nun?“ (PDF-Datei)

Hansen betont: „Da Videokonferenzen für viele neu sind, haben nicht alle im Blick, welche Risiken damit verbunden sind. Gerade in der Kombination mit Homeoffice ist einiges zu beachten. Um die Teilnehmenden von Videokonferenzen und die besprochenen Inhalte zu schützen, sind technische und organisatorische Sicherheitsmaßnahmen wichtig. Hilfreich sind außerdem transparente Moderationsfunktionen und vorab festgelegte Verhaltensregeln.“

Hilfestellungen des ULD zur Orientierung

Die Hilfestellungen des ULD sollen für die nächste Zeit Orientierung geben und als Grundlage dafür dienen, langfristige Lösungen zu finden. Der erstbeste Online-Dienst muss nicht das Optimum sein – zum Beispiel hat man mit einer Videokonferenz-Software, die auf dem Server innerhalb der eigenen Organisation installiert ist, mehr Kontrolle. Hansen rät allen Unternehmen und Behörden, die noch keine schriftlichen Regeln oder Betriebsvereinbarungen für den Einsatz von Videokonferenzen erstellt haben, dies nun nachzuholen.

Weitere Informationen zum Thema:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Sonderinformationen zu Datenschutz in der Corona-Krise

datensicherheit.de, 21.04.2020
Zoom-Konferenzen: Sechs Tipps für den sicheren Umgang

datensicherheit.de, 27.03.2020
Zoom, Skype, Teams und Co. – Sicherer Gebrauch von Web-Konferenzensystemen

datensicherheit.de, 24.03.2020
Webinare: Innovatives Lernen in Corona-Zeiten

[datensicherheit.de, 16.04.2020] Im vergangenen Jahr 2019 waren zwei Drittel der Organisationen im Gesundheitssektor von Cybersicherheitsvorfällen betroffen. Darunter sowohl Hackerangriffe mit Ransomware wie Emotet als auch Datenpannen. Darauf machen die IT-Sicherheitsexperten der PSW GROUP aufmerksam und verweisen auf eine kürzlich erschienene Enisa-Leitlinie für Krankenhäuser der EU-Agentur für Cybersicherheit (Enisa): „Die EU-Behörde ist überzeugt, dass Cybersicherheit in Krankenhäusern ein immer wichtigeres Thema wird. IT-Sicherheit müsse ganzheitlich in die unterschiedlichen Prozesse, Komponenten und Stufen integriert werden“, fasst Patrycja Tulinska, Geschäftsführerin der PSW GROUP, zusammen.

Der neue Enisa-Leitfaden ergänzt die bisherigen KRITIS-Leitfäden. Beschaffungsbeamten in Krankenhäusern, aber auch CISOs/ CIOs, soll so ein umfassendes Instrumentarium zur Verfügung stehen, um Sicherheit von Gesundheitsdaten über den kompletten Lebenszyklus der eingesetzten IT-Systeme hinweg zu optimieren. Außerdem werden Best Practices aufgezeigt.

Patrycja Tulinska, Geschäftsführerin der PSW GROUP

„Der Leitfaden ist so konstruiert, dass Krankenhäuser ihn an den individuellen Beschaffungsprozess anpassen können. Ziel ist es, ihnen alle Tools an die Hand zu geben, um sicherzustellen, dass gesetzte Ziele in der Cybersicherheit auch erreicht werden können“, erläutert Tulinska.

Neben gängigen Industriestandards zeigt der Leitfaden Verfahren und Empfehlungen, die der Cybersicherheit im Krankenhaus dienen. „Insgesamt bildet der Leitfaden eine gute Basis für Cybersicherheit in Krankenhäusern und zeigt, wie wichtig der IT-Schutz in diesem äußerst sensiblen Bereich ist“, lobt Patrycja Tulinska. Der Enisa-Leitfaden teilt drei Phasen ein, die für die Cybersicherheit im Krankenhaus relevant sind. Nachdem die Beschaffungsprozesse kategorisiert werden, werden die mit jedem Schritt verbundenen Cybersicherheitsanforderungen identifiziert. Dank Vorschlägen zum Nachweis dazu, wie Anforderungen von Anbietern erfüllt werden können, wird das ganze Vorgehen deutlich vereinfacht. In der ersten Phase, der Planphase, geht es um die Analyse der Bedürfnisse eines Krankenhauses. Außerdem werden aus den internen Abteilungen Anforderungen gesammelt.

Umfangreiche Aufgaben für den CTO

Bei der Beschaffung eines neuen Cloud-Services beispielsweise sollte der CTO nicht nur die Bedürfnisse ermitteln, sondern auch verstehen und vermitteln können, welchen Nutzen dieser Service nach sich zieht. „In dieser Phase werden beispielsweise Risikobewertungen durchgeführt, Bedrohungen identifiziert, Netzwerke getrennt und Eignungskriterien für Lieferanten entworfen“, informiert Tulinska. In der anschließenden Beschaffungsphase werden die bestehenden Anforderungen übersetzt in technische Spezifikationen. Im Rahmen eines Sourcing-Prozesses können beispielsweise entsprechende Ausschreibungen veröffentlicht werden, die eingehenden Angebote durch einen Ausschuss bewertet und die geeignetsten Produkte in die engere Wahl genommen, bis der Auftrag schließlich an ein Unternehmen vergeben wird. „Hier geht es darum, Zertifizierungen zu empfehlen oder vorzuschreiben, Datenschutz-Folgeabschätzungen durchzuführen und Legacy-Systeme anzusprechen, Schulungen in Cybersicherheit im Krankenhaus anzubieten, aber auch Reaktionspläne für Vorfälle zu entwickeln. Zudem müssen Lieferanten in das gesamte Vorfallmanagement einbezogen werden, Wartungsarbeiten organisiert und Fernzugriffe sicher hergestellt werden“, informiert die IT-Sicherheitsexpertin. In der dritten Phase, der Verwaltungsphase, werden die Verträge dem Geschäftsinhaber des Krankenhauses zugewiesen, einschließlich der Verwaltung und Überwachung des Vertrags. Nebst dem Abschluss der Ausschreibung verantwortet der beauftragte Beamte auch das Feedback der Benutzer über die tatsächliche Leistung, die der Ausrüstung, dem System oder der Dienstleistung entspringt. „Die dabei zu erledigenden Schritte sind unter anderem das Bewusstsein über Cybersicherheit zu erhöhen, ein Bestands- sowie Konfigurationsmanagement durchzuführen, Zugangskontrollmechanismen für die medizinische Geräteeinrichtung einzurichten und zu verwalten sowie regelmäßige Penetrationstests durchzuführen“, so Patrycja Tulinska weiter.

Weitere Informationen zum Thema:

PSW Group
Enisa: Notfallplan für mehr Cybersicherheit im Krankenhaus

datensicherheit.de, 15.04.2020
BSI: Sicherheitsanforderungen für Gesundheits-Apps veröffentlicht

datensicherheit.de, 18.11.2017
Gesundheits-Apps: Mehr Transparenz und Sicherheit erforderlich