[datensicherheit.de, 27.03.2023] Der eco – Verband der Internetwirtschaft e.V. hat nach eigenen Angaben eine repräsentative Umfrage anlässlich des bevorstehenden „World Backup Day“ am 31. März 2023 in Auftrag gegeben – demnach macht nur jeder Fünfte (20%) wöchentlich oder öfter Updates der wichtigsten Daten. Nur jeder Dritte in Deutschland (33,8%) mache mindestens monatlich Updates. Dabei gebe es viele einfache Wege, wichtige Daten regelmäßig mittels Backups zuverlässig vor Verlust zu schützen, betont der eco.

Abbildung: eco

Ergebnisse der aktuellen Civey-Umfrage im eco-Auftrag – repräsentativ befragt wurden 2.500 Personen im Zeitraum 15. bis 16.02.2023

Regelmäßige Backups die einzige Möglichkeit, Daten vor Verlust zu schützen

Wie wichtig Backups sind, merken viele leider erst im Schadensfall: Ob Hardware-Fehler, Geräteverlust oder Hacker-Angriff – Urlaubs- und Familienbilder auf dem Mobiltelefon oder E-Mails und Dokumente auf dem PC können unwiederbringlich verloren gehen. „Regelmäßige Backups sind die einzige Möglichkeit, die eigenen Daten vor unterschiedlichen Verlustszenarien zuverlässig zu schützen“, betont daher Markus Schaffrin, Sicherheitsexperte und Geschäftsbereichsleiter „Mitgliederservices“ im eco-Verband.

Abbildung: eco

Markus Schaffrin rät, wichtige Daten mindestens wöchentlich zu sichern!

Je kürzer die Abstände zwischen den Backups, desto weniger Daten gingen im Fall der Fälle verloren. Er rät, wichtige Daten mindestens wöchentlich zu sichern und das möglichst über zwei Wege, beispielsweise in der „Cloud“ und eine externe Festplatte.

Mehr noch als vor vier Jahren: 15,7% machen nie Backups…

Doch daran halte sich in Deutschland nur eine Minderheit: Nur jeder Fünfte (20%) mache wöchentlich oder öfter Updates der wichtigsten Daten. Nur jeder Dritte in Deutschland (33,8%) mache mindestens monatlich Updates. Dies sind laut eco Ergebnisse einer repräsentativen Umfrage des Meinungsforschungsunternehmens Civey im eco-Auftrag.

17,5 Prozent sicherten ihre Daten zumindest ein- bis zweimal im Jahr. Seltener als einmal im Jahr machten 20,9 Prozent eine Datensicherung – „15,7 Prozent sagen sogar, sie machen nie Backups“. Dies seien sogar mehr als vor vier Jahren („2019 gaben bei einer vergleichbaren Befragung 10,6 Prozent an, niemals Backups machen“).

eco empfiehlt, automatisierte Backups einzurichten!

Dabei gebe es viele einfache Wege, wichtige Daten regelmäßig mittels Backups zuverlässig vor Verlust zu schützen. eco-Experte Schaffrin gibt hierzu folgende Tipps:

1. Backup per Cloud
„Cloud“-Backup-Lösung ermöglichten es, Daten automatisch zu sichern. Einige beliebte Optionen seien „Google Drive“, „iCloud“, „Dropbox“ und „OneDrive“. Viele Hersteller von Mobiltelefonen böten auch eigene Apps, um die Daten des eigenen Smartphones oder die Bilder online verschlüsselt in der „Cloud“ zu speichern.

2. Backup per externer Festplatte
„Wer Daten lieber vor Ort sichern möchte, der kann eine externe Festplatte nutzen.“ Mindestens einmal in der Woche ließen sich Daten darauf manuell oder automatisiert mithilfe von „Windows Backup“ (PC) oder „Time Machine“ (Mac) sichern. Es gebe zudem ein großes Angebot an Backup-Software, welche automatisiert Backups anlegen und verwalten könne.

3. Backup per NAS
„Befindet sich im Haushalt ein NAS (Network Attached Storage)-System, dann lassen sich Daten auch dort automatisch sichern.“ Das NAS-Gerät werde ans Netzwerk angeschlossen und diene als zentraler Speicherort für Daten.

4. Kombination Cloud-Backup und Festplatte
Der eco-Verband empfiehlt die sicherste Option – eine Kombination aus „Cloud“-Backup und externer Festplatte oder NAS, um Daten an mehreren Orten zu sichern. „Setzen Sie für wichtige Daten auf diese doppelte Backup-Option und sorgen Sie über beide Wege für Updates mindestens einmal in der Woche!“

Weitere Informationen zum Thema.

datensicherheit.de, 30.03.2022
World Backup Day 2022: Schutz der Unternehmensdaten wichtiger denn je / Bedeutung der Datensicherung im Unternehmensumfeld soll betont werden

datensicherheit.de, 22.03.2022
Ransomware-Attacken: Wirkung von Backups oft überschätzt / Wiederherstellung nach Ransomware-Vorfall kann sehr lange dauern

datensicherheit.de, 17.02.2022
NAS-Backups geraten ins Fadenkreuz Cyber-Krimineller / Studie von Trend Micro zeigt vermehrte Cyber-Angriffe auf NAS-Geräte und gibt Empfehlungen zur Abwehr

datensicherheit.de, 31.03.2021
World Backup Day 2021: Datensicherung als Lebensversicherung gegen Ransomware-Angriffe / Christoph Volkmer moniert, dass Unternehmen ihre Datensicherung viel zu häufig stiefmütterlich behandeln

[datensicherheit.de, 21.07.2022] Nach aktuellen Erkenntnissen des eco – Verband der Internetwirtschaft e.V. sichern nur 25,2 Prozent der Deutschen ihre Urlaubsfotos auf Mobiltelefonen in der „Cloud“. Die meisten Nutzer hätten zudem keine Display-Sperre eingerichtet und lediglich ein knappes Drittel (33,2%) sichere Smartphone-Daten per Backup. Zur Sommerzeit gibt der eco acht Tipps für mehr „Handy-Sicherheit im Urlaub“.

Foto: eco e.V.

Markus Schaffrin: Verzichten Sie in offenen WLANs auf Home-Banking und auf alle Dienste, bei denen Sie sich einloggen müssen!

Smartphone für für die meisten Reisenden Teil des Handgepäcks

Das Smartphone gehöre für die meisten Reisenden fest ins Handgepäck: Fotos und Videos vom Strand oder von Ausflügen teilten viele noch von unterwegs per Social-Media. Persönliche Daten und Fotos seien dabei einem hohen Risiko ausgesetzt, denn nur eine Minderheit der Nutzer beuge diesem durch entsprechende Vorsichtsmaßnahmen vor.

Dies zeigt nach eco-Angaben eine aktuelle repräsentative Umfrage von eco und dem Markt- und Meinungsunternehmen Civey: Eine Displaysperre auf dem Smartphone hätten nur 45,9 Prozent eingerichtet. Nur ein Drittel der Deutschen (33,2%) sichere Daten in Backups. Immerhin 62 Prozent spielten regelmäßig Software-Updates ein. Ein gutes Viertel (25,2% Prozent) sichere Urlaubsbilder in der „Cloud“.

Civey habe im Auftrag von eco 2.500 Personen zwischen dem 19. und dem 20.07.2022 befragt. Die Ergebnisse seien repräsentativ für die deutsche Bevölkerung ab 18 Jahren – der statistische Fehler der Gesamtergebnisse liege bei 3,5 Prozent.

Abbildung: eco e.V.

Ergebnisse der eco-Umfrage „Welche Vorkehrungen treffen Sie, um persönliche Daten auf Ihrem Smartphone zu schützen?“

Im Urlaub erhöhtes Risiko, das Smartphone zu verlieren

„Im Urlaub ist das Risiko erhöht, das Smartphone zu verlieren. Wer Daten und Bilder nicht in der ,Cloud‘ oder auf einem anderen Gerät gesichert hat, verliert bei Handy-Verlust alles unwiederbringlich“, warnt Markus Schaffrin, Security-Experte und eco-Geschäftsbereichsleiter „Mitgliederservices“. Alle Nutzer mobiler Endgeräte sollten zudem eine Displaysperre einrichten oder das Smartphone verschlüsseln, „was neuere Betriebssysteme anbieten“.

Sonst könnten Kriminelle auf sensible Daten und Anwendungen zugreifen, beispielsweise Online-Banking, E-Mail oder „Social Media“-Accounts. „,Cloud‘-Services sind die beste Option, die eigenen Fotos und Videos zu sichern, es gibt eine große Auswahl an kostenfreien Angeboten“, erläutert Schaffrin und gibt acht konkrete Tipps für den Smartphone-Schutz im Urlaub:

1. Displaysperre verhindert unberechtigte Zugriffe
Der Zugriff auf das Mobiltelefon ist damit nur mit einem Code oder biometrisch per Fingerabdruck bzw. Gesichtserkennung möglich. Außerdem sollte die PIN für die SIM-Karte beibehalten werden – diese schütze jedoch nur ein ausgeschaltetes Mobiltelefon.

2. Automatisch Updates installieren
„Stellen Sie Ihr Smartphone so ein, dass es Sie auf Updates hinweist oder diese direkt selbstständig installiert!“ Mit den Aktualisierungen würden nicht nur neue Funktionen, sondern auch wichtige Sicherheitsupdates mitgeliefert. „Aktivieren Sie automatische Updates nur über WLAN, wenn Sie mobile Daten sparen möchten.“

3. Backups in der „Cloud“
„Schützen Sie sich vor Datenverlust, indem Sie alle Fotos, Videos, Kalenderdaten und Kontakte online in der ,Cloud‘ speichern.“ Es gebe dafür viele Anbieter, beispielsweise „iCloud“, „Google Drive“, „Amazon Photos“ oder „OneDrive“. Dies könne je nach Anbieter unter „Einstellungen / Sichern und Wiederherstellen“ konfiguriert werden.

4. Nur Apps aus offiziellen Stores vertrauen
Schaffrin verweist beispielhaft auf „Google Play“ und den „Apple App Store“ und warnt: „Folgen Sie keinen Links, die Sie zu anderen App-Download-Portalen führen. Suchen Sie Apps direkt in den offiziellen App-Stores!“ Die Installation von Apps unbekannter Herkunft solle in den „Einstellungen“ verboten werden.

5. App-Berechtigungen im Blick behalten
„Behalten Sie im Blick, welche Berechtigungen welche App braucht – beispielsweise Zugriff auf Kontakte, Kamera oder Standort!“ Viele Apps sammelten mehr Daten, als auf den ersten Blick nötig erscheint. In den „Einstellungen“ des Smartphones ließen sich die Berechtigungen auch nach der Installation einschränken.

6. Verschlüsselung des Smartphones-Speichers
Dann könne beim Geräteverlust niemand persönliche Daten auslesen. Neuere Betriebssysteme verschlüsselten die Nutzerdaten auf Wunsch automatisch um E-Mails, Kontakte, Fotos, Downloads oder Zugangsdaten zu schützen. Ältere Smartphones ließen sich in den „Einstellungen“ manuell verschlüsseln. „Die SD-Karte im Gerät nicht vergessen, auch hier liegen persönliche Daten und Fotos.“

7. Kein Online-Banking in offenen WLANs
„In einem offenen WLAN surfen Sie zwar kostenlos, es ist aber auch relativ einfach, Ihren Datenverkehr mitzulesen. Verzichten Sie in offenen WLANs auf Home-Banking und auf alle Dienste, bei denen Sie sich einloggen müssen wie Online-Shopping oder E-Mails.“ Schaffrin rät dringend, „solche Dinge“ lieber zu verschieben, „bis Sie wieder zu Hause sind oder nutzen Sie die Datenverbindung Ihres Mobilfunkvertrages“.

8. Sperrung verlorener bzw. gestohlener Mobilfunkgeräte
„Haben Sie Ihr Handy verloren oder wurde es Ihnen gestohlen, können Sie es aus der Ferne orten und auch sperren, um den Zugriff auf Ihre Nutzerdaten zu verhindern.“ Für „Android“ könne hierzu „android.com/find“ aufgerufen werden, für „IOS“ entsprechend „iCould.com/find“. „Hier haben Sie die Möglichkeit, Ihr Gerät aus der Ferne zu orten und als verloren zu markieren.“

Weitere Informationen zum Thema:

datensicherheit.de, 31.08.2021
4 McAfee-Tipps zum Schutz der Tablets und Smartphones im Familienurlaub / McAfee gibt Sicherheist-Tipps, da die Anzahl gezielter Angriffe auf Mobile Devices um mehr als hundert Prozent gestiegen ist

datensicherheit.de, 17.08.2021
Home-Office im Sommer-Modus: Datenschutz macht keinen Urlaub / Sasa Petrovic benennt drei Datenschutz-Aspekte für Unternehmen, welche der Belegschaft Outdoor-Arbeit einräumen

datensicherheit.de, 12.08.2021
eco gibt 6 Tipps: Mit Sicherheit durch den Sommer / KMU sollten auch in der Urlaubszeit Cyber-Sicherheit nicht vernachlässigen

[datensicherheit.de, 12.08.2021] Der eco – Verband der Internetwirtschaft e.V. rät, auch in der Sommerpause Sicherheitslücken zügig zu schließen – die KMU sollten in der Urlaubszeit Cyber-Security nicht vernachlässigen, um jetzt Reputationsverlust und wirtschaftlichen Schäden durch Erpressungstrojaner vorbeugen. Für die „eco IT-Sicherheitsstudie 2021“ hat der eco nach eigenen Angaben Ende 2020 rund 175 Sicherheitsexperten befragt.

Foto: eco e.V.

Markus Schaffrin: Werden Kundendaten gestohlen, dann erleiden Unternehmen einen herben Reputationsverlust…

Bedrohungslage für Mittelstand laut Sicherheitsexperten verschärft

Wenn die Personaldecke im Unternehmen dünn wird, weil viele Mitarbeiter gleichzeitig im Urlaub sind oder im Home-Office arbeiten, dann gerade könnten Cyber-Kriminelle ihre Chance wittern. Laut eco verschärft sich die Bedrohungslage für mittelständische Unternehmen in Deutschland, so 74 Prozent der vom eco befragten Sicherheitsexperten für dessen „eco Sicherheitsstudie 2021“.
Der Verband warnt eindringlich: „Cyber-Kriminelle kennen die gängigen und aktuellen Sicherheitslücken, beispielsweise auf E-Mail Servern, und suchen gezielt nach Systemen, die diese noch nicht geschlossen haben. Rund jedes fünfte Unternehmen hatte im vergangenen Jahr einen oder mehrere gravierende Sicherheitsvorfälle.“ Bei rund 20 Prozent dieser Vorfälle hätten die Cyber-Kriminellen Trojaner-Software eingesetzt, um Lösegeld zu erpressen, welches die Firmen zahlen sollten, um verschlüsselte Dateien wieder freizugeben.

Besonders in der Urlaubszeit Sicherheit aller IT-Systeme checken

„Werden Anwendungen und Daten von Erpressungstrojanern, sogenannter Ransomware, verschlüsselt und sogar Kundendaten gestohlen, dann erleiden Unternehmen einen herben Reputationsverlust. Im schlimmsten Fall kann die Situation existenzbedrohend sein“, betont Markus Schaffrin, IT-Sicherheitsexperte und Geschäftsbereichsleiter „Mitgliederservices“ im eco – Verband der Internetwirtschaft e.V.
Unternehmen müssten sich jederzeit maximal absichern und im Fall der Fälle schnell reagieren können. IT-Verantwortliche sollten daher regelmäßig, besonders in der Urlaubszeit, die Sicherheit aller IT-Systeme checken und die Kollegen schulen sowie sensibilisieren.

eco-Tipps für mehr IT-Sicherheit (nicht nur in der Sommerzeit):

1. Alle Systeme jederzeit auf dem neuesten Stand halten!
Der eco empfiehlt dazu eine Bestandsaufnahme der eingesetzten Software und Systeme: „Was wird wo genutzt? Welche Systeme laufen aktuell und welche wurden außer Betrieb genommen?“ Es sollten Prozesse für regelmäßige Updates und für Notfallpatches festgelegt und diese mit den Mitarbeitern eingeübt werden.

2. Proaktiv Informationen zu möglichen Schwachstellen sammeln!
Der eco benennt als Quellen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das CERT-Bund. Diese Risiken sollten bewertet und entsprechend klassifiziert werden: „Welche Services sind für mein Unternehmen am wichtigsten, welche Auswirkungen haben Schwachstellen für mein Geschäft?“

3. Reaktion auf eventuelle Krise oder einen Notfall im Vorfeld planen!
Fast jedes dritte Unternehmen (31 Prozent) habe noch keinen Notfallplan festgelegt, um entsprechend reagieren zu können. Das sollte ggf. so schnell wie möglich nachgeholt werden – und die Mitarbeiter seien entsprechend zu briefen, „um Schäden für Organisationen, Unternehmen oder Einzelpersonen zu begrenzen oder abzuwenden“.

4. Regelmäßige Sensibilisierung der Belegschaft hinsichtlich der Cyber-Gefahren!
Der eco benennt als prominentes Beispiel Phishing-Attacken und rät, die Mitarbeiter regelmäßig aufzuklären sowie entsprechende Kompetenzen aufzubauen, damit die Kollegen im Zweifelsfall richtig reagieren: „Mit regelmäßigen Schulungen halten Sie diese Security-Awareness und das Bewusstsein für die Cyber-Gefahren in der Unternehmenskultur hoch.“

5. Nutzung starker Passwörter entsprechend der Empfehlung des BSI!
„Wählen Sie Passwortlängen von mindestens acht Zeichen, verwenden Sie Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern. Passwörter sollten nicht notiert, sondern nur verschlüsselt auf dem Rechner gespeichert werden.“ eco-Tipp: Sogenannte Eselsbrücken könnten helfen, sich kryptische Passwörter zu merken.

6. Regelmäßige Erstellung von Backups!
Backups können die Entscheider und ihre Unternehmen vor Datenverlust, beispielsweise bei Ransomware-Vorfällen und Hardware-Schäden, schützen. Anwendungen für Computer, Tablets und Smartphones machten die Sicherung für jeden in kurzer Zeit möglich – beispielsweise über „Cloud“-Lösungen oder externe Gerätespeicher. „Die Datensicherung des Computers und der mobilen Geräte sollte wie das tägliche Zähneputzen zu einem unverzichtbaren Ritual werden.“

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Ransomware – Vorsicht vor Erpressersoftware

Bundesamt für Sicherheit in der Informationstechnik
Sicherer Umgang mit Passwörtern Schritt-für-Schritt erklärt

datensicherheit.de, 24.06.2021
Urlaubszeit ist auch Phishing-Hochsaison / Neue Webroot-Analyse zeigt Raffinesse Cyber-Krimineller auf, sich saisonale Aufmerksamkeit für Phishing-Attacken nutzbar zu machen

datensicherheit.de, 30.07.2018
Datensicherheit im Urlaub und auf Reisen / Checkliste mit Empfehlungen für sicheres Arbeiten unterwegs

[datensicherheit.de, 30.03.2021] Der eco – Verband der Internetwirtschaft e.V. geht nach eigenen Angaben davon aus, dass ein deutsches Sicherheitssiegel für IoT-Geräte auf der Basis der Norm ETSI EN 303 645 die Sicherheit im Internet der Dinge (IoT) und die Transparenz für die Verbraucher verbessern könnte. eco-Experten haben in diesem Zusammenhang fünf Forderungen formuliert.

Foto: eco e.V.

Markus Schaffrin: eco begrüßt den IoT-Sicherheitsstandard ETSI EN 303 645

eco warnt vor Missbrauch: Bot-Netze könnten DDoS-Angriffe oder Zugriff auf private Daten ermöglichen

Ob smarte Türschlösser, Steckdosen, Kühlschränke oder Heizungen – Milliarden Geräte sind bereits im Internet of Things (IoT) vernetzt. Doch während Sensoren und Funkschnittstellen praktische Funktionen ermöglichten, „bleibt die Sicherheit häufig auf der Strecke“, warnt der eco.
Auch viele sicherheitskritische Geräte wie Überwachungskameras oder Router seien zu schlecht geschützt und böten keine Möglichkeit, die Sicherheit mittels Firmware-Update zu verbessern. „Gelingt es Hackern, auf solche Geräte zuzugreifen, dann können sie diese in Bot-Netzen für DDoS-Angriffe missbrauchen oder auf private Daten zugreifen.“ Daher begrüßt der eco „den IoT-Sicherheitsstandard ETSI EN 303 645, den das ETSI Technical Committee on Cybersecurity (TC CYBER) im Juni 2020 veröffentlicht hat“. Diese Norm definiere weltweit verpflichtende Sicherheitsanforderungen und Empfehlungen, Teststandards und Zertifizierungsschemata.

Security-by-Design im IoT laut eco noch nicht selbstverständlich

„Hersteller müssen Sicherheitsaspekte schon bei der Entwicklung und beim Design neuer IoT-Geräte mitdenken“, fordert Markus Schaffrin, IT-Sicherheitsexperte und Geschäftsbereichsleiter „Mitglieder Services“ im eco-Verband. Er führt aus: „,Security by Design‘ und ,Security by Default‘ gibt es noch in zu wenigen Consumer-IoT-Geräten, vom Smart-TV bis zur Heizungsanlage.“ Zudem sei es für Verbraucher kaum nachvollziehbar, wie sicher oder unsicher ihre IoT-Geräte sind.
Nutzer-Authentisierung, Software-Update-Mechanismen, Absicherungen der Kommunikation und Datenschutz müssten selbstverständlich werden. Dies sei auch das Ziel der auf der EN 303 645 aufbauenden Testspezifikation 103 701, welche die Norm um Testfälle erweitere für ein harmonisiertes Prüfverfahren und ein einheitliches Kennzeichen. Die Testspezifikation diene als Framework zur Konformitätsbewertung der neuen Norm. Aktuell befinde sich das Dokument zur TS 103 701 bis Ende April 2021 noch in der Kommentierungsphase und könne um Verschläge erweitert werden.

eco: IT-Sicherheitsgesetz 2.0 soll auch IoT-Sicherheit erhöhen

Auf diese Normen aufbauend solle zukünftig auch ein deutsches Sicherheitssiegel für IoT-Geräte die Transparenz für die Verbraucher verbessern. Die gesetzliche Grundlage und den rechtlichen Rahmen dafür werde das kommende IT-Sicherheitsgesetz 2.0 bilden. Seitens des BSI (Bundesamts für Sicherheit in der Informationstechnik) sollten die Produkte und Services mit IT-Sicherheitskennzeichen regelmäßig geprüft werden, um zu verifizieren, dass die Anforderungen auch tatsächlich erfüllt sind.
Um diesen Prozess fair und transparent zu gestalten, hätten die IoT-Sicherheits-Experten des eco im März 2021 im Rahmen eines Roundtables der Kompetenzgruppen „IoT“ und „Sicherheit“ fünf Forderungen formuliert:

1. Bestehende Siegel und Zertifizierungen einbeziehen
   Es müsse sichergestellt werden, „dass die Zertifizierungsmaßnahmen, welche sich bereits etabliert haben, durch die neue Norm und das geplante IT-Sicherheitskennzeichen nicht auf der Strecke bleiben“. Die Anbieter müssten in den Prozess stärker eingebunden werden, um das Ziel eines klaren und einheitlichen Prüfstandards zu erreichen.
2. Nachvollziehbarkeit des Siegels
   Das IT-Sicherheitskennzeichen für Deutschland brauche einen hohen Praxisbezug und müsse für Hersteller und Verbraucher nachvollziehbar sein. So könne sich dieses Siegel zu einem Wettbewerbsvorteil entwickeln und am Markt etablieren – und Anwendern ein sicheres Gefühl beim Kauf von IoT-Geräten vermitteln.
3. Unabhängige Prüfungen
   Gerade mit Blick auf das nationale IT-Sicherheitskennzeichen müssten unabhängige Prüfstellen IoT-Geräte entsprechend der festgelegten Sicherheitsanforderungen testen. Dies gewährleiste Transparenz für die Verbraucher und stelle die Wertigkeit des Kennzeichens und die tatsächliche Erfüllung der Sicherheitsstandards sicher: „Das stärkt das Vertrauen auf Hersteller- und Anwenderseite.“
4. Betrachtung des gesamten Lebenszyklus von IoT-Geräten
   Sicherheit müsse von Anfang an mitgedacht und bereits in die Entwicklung von IoT-Geräten einfließen. „Mittels Updates muss Sicherheit über den gesamten Produktlebenszyklus hinweg gewährleistet werden.“ Der Security-by-Design-Gedanke müsse prozessual stärker nach vorne gebracht werden. Um ein Grundverständnis für die Security-by-Design-Gestaltungsprinzipien zu erlangen, empfehle sich die Handreichung „Security by Design – Ein Leitfaden für Entscheider“ von TeleTrust.
5. Erhöhung der Nachhaltig
   Security-by-Design zahle auf die Nachhaltigkeit von IoT-Geräten enorm ein. Mit der Verfügbarkeit von Sicherheits-Updates und der Möglichkeit von „Bug Fixes“ für einen deutlich längeren Zeitraum, als dies aktuell bei vielen Geräten der Fall sei, müssten die Geräte nicht frühzeitig abgewrackt werden. Altgeräte würden so kein Sicherheitsrisiko mehr darstellen und Verbraucher könnten ihre Geräte viel länger und vor allem sicher nutzen.

eco möchte Umsetzung und praktische Anwendung am Markt beobachten

„Auch wenn mit der Norm EN 303 645, der TS 109 701 und einem darauf aufbauenden deutschen IT-Sicherheitskennzeichen der richtige Weg eingeschlagen wird, bleibt es abzuwarten, wie sich die Umsetzung und praktische Anwendung am Markt gestalten wird“, betont Schaffrin.
Noch befänden sich die entsprechenden Dokumente in der Abstimmung und könnten eingesehen und um Kommentare erweitert werden, bevor es voraussichtlich Mitte 2021 zur Ratifizierung komme.

Weitere Informationen zum Thema:

datensicherheit.de, 20.05.2019
Sicherheit im Industrial Internet of Things

ETSI
Final draft ETSI EN 303 645 V2.1.0 (2020-04) / Cyber Security for Consumer Internet of Things: Baseline Requirements

ETSI
docbox.etsi.org / CYBER / CYBER / Open / Latest_Drafts

TeleTrusT
Security by Design / Zukunftsfähiges Konzept für Informationssicherheit und Datenschutz im Produktlebenszyklus

[datensicherheit.de, 08.03.2021] Vor dem Hintergrund der aktuelle bekanntgewordenen Angriffe gegen E-Mail-Server empfiehlt der eco – Verband der Internetwirtschaft e.V. nach eigenen Angaben den Unternehmen, „die eigene Notfallvorsorge und das Patch-Management auf den Prüfstand zu stellen“. So helfe professionelles Patch-Management, Angriffen auf E-Mail-Server vorzubeugen – für neun von zehn Unternehmen sei es ein zentraler Baustein der IT-Sicherheitsstrategie.

Foto: eco e.V.

Markus Schaffrin: Professionelles Patch-Management hilf, Angriffen auf E-Mail-Server vorzubeugen!

Patch-Management z.B. für E-Mail-Server „sehr wichtiges Thema“…

Markus Schaffrin, eco-Sicherheitsexperte und -Geschäftsbereichsleiter „Mitgliederservices“ betont: „Kurzfristig ausnutzbare Sicherheitslücken in Software zeigen immer wieder, wie wichtig ein aktuelles Patch-Management und eine Notfallvorsorge fürs Unternehmen ist.“
IT-Sicherheitsexperten bestätigten die hohe Bedeutung beider Themen, „wenn es darum geht, IT-Sicherheit zu stärken“. Laut der „eco IT-Sicherheitsstudie 2021“ bezeichneten 88 Prozent der von eco befragten Unternehmen Patch-Management als „sehr wichtiges Thema“ in ihrer Sicherheitsstrategie.

… aber nur 69% der Unternehmen haben interne Notfall-Prozesse festgelegt

In der Umsetzung hapere es jedoch vielerorts. Laut der eco-IT-Sicherheitsstudie hätten nur rund 69 Prozent der Unternehmen interne Prozesse festgelegt, um auf Notfälle reagieren zu können. Weitere 19 Prozent immerhin wollten einen solchen Notfallplan kurzfristig etablieren.
Zusätzlich nötig sei es, ständig bezüglich neuer Bedrohungen auf dem Laufenden zu bleiben. Schaffrin: „Aktuelle Informationen zum Stand der eingesetzten Systeme und Software bilden die Basis für fundierte Entscheidungen und ein wirksames Patch und Notfallmanagement.“

5 Tipps, um Sicherheitslücken z.B. in E-Mail-Servern zukünftig zu vermeiden

Schaffrin gibt fünf Tipps, „die helfen, Sicherheitslücken beispielsweise in den Mail-Servern zukünftig zu vermeiden“:

1. Inventarisierung: Machen Sie eine Bestandsaufnahme der eingesetzten Software und Systeme: Was wird wo genutzt? Welche Systeme laufen aktuell und welche wurden außer Betrieb genommen?
2. Legen Sie Zuständigkeiten fest: Wer ist wofür verantwortlich?
3. Bewerten Sie Risiken und klassifizieren Sie diese entsprechend: Welche Services sind für mein Unternehmen am wichtigsten, welche Auswirkungen haben Schwachstellen für mein Geschäft?
4. Sammeln Sie proaktiv Informationen zu möglichen Schwachstellen – etwa vom BSI (Bundesamt für Sicherheit in der Informationstechnik) und Cert Bund.
5. Legen Sie Prozesse für regelmäßige und für Notfallpatches fest und üben Sie diese mit Ihren Mitarbeitern ein.

Weitere Informationen zum Thema:

Bundesamt für die Sicherheit in der Informationstechnik
Unternehmen: Einen Vorfall bewältigen, melden, sich informieren, vorbeugen

CERT-Bund
Das Computer-Notfallteam des BSI

datensicherheit.de, 08.03.2021
Erfolgreicher Angriff: Mehr als zehntausend lokale Microsoft Exchange Server betroffen / Exchange Online Service nicht betroffen – Thomas Jupe kommentiert Vorfall und gibt Tipps

datensicherheit.de, 03.03.2021
Microsoft Exchange: Zero-Day-Lücken ermöglichen Industriespionage / Lokal installierte Versionen von Microsoft Exchange betroffen