[datensicherheit.de, 28.08.2024] „Software Bills of Materials“ (SBOMs) sind ein relativ neues TOM-Werkzeug im Dienste der IT-Sicherheit. Deren Einsatzmöglichkeiten sollen sich in den kommenden Jahren noch deutlich erweitern. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat jetzt seinen von der TeleTrusT-AG „Cloud Security“ erarbeiteten Leitfaden „Software Bill of Materials“ veröffentlicht – dieser beschreibt demnach verfügbare SBOM-Tools sowie zukünftige Anforderungen an diese Werkzeuge.

Abbildung: TeleTrusT

Aktueller TeleTrusT-Leitfaden „Software Bill of Materials“

TeleTrusT warnt: Unternehmen bisher kaum in der Lage, Risiken der IT Supply Chain proaktiv zu erkennen bzw. Angriffe abzuwehren

„Software Bill of Materials“ sollen ein entscheidender Schritt zur Verbesserung der Transparenz und Sicherheit in der IT-Lieferkette sein. Die aktuell verfügbaren Werkzeuge konzentrierten sich jedoch auf Software im engeren Sinne und berücksichtigten die erweiterten Anforderungen durch die Nutzung von „Cloud Services“, sei es als „SaaS“, über „Cloud APIs“ oder durch die dynamische Einbindung gehosteter Softwarebibliotheken, bisher nur unzureichend oder gar nicht.

„Auch Bedrohungen durch Schwachstellen in der eingesetzten Hardware oder Netzwerkkomponenten werden durch SBOMs nicht berücksichtigt.“ Lieferanten und deren Komponenten würden oft ein hohes Vertrauen und weitgehende Rechte genießen. Die Transparenz über die genaue Zusammensetzung dieser Komponenten sei indes noch häufig unzureichend.

Diese Kombination führe laut TeleTrusT dazu, „dass Unternehmen kaum in der Lage sind, Risiken in der ,IT Supply Chain’ proaktiv zu erkennen oder entsprechende Angriffe abzuwehren.“ Vielmehr müssten sie sich weitgehend auf ihre Zulieferer verlassen.

TeleTrusT-Leitfaden soll Unternehmen helfen, potentielle Sicherheitslücken selbst und möglichst automatisiert hinsichtlich Schutzmaßnahmen zu bewerten

„Software Bills of Materials“, also Software-Stücklisten, böten hier eine Lösung, „indem sie eine detaillierte Auflistung der in einem Gerät, einer Software oder einem Dienst verwendeten Software-Komponenten liefern und so die Transparenz der ,Supply Chain’ erhöhen“. Dies ermögliche es Unternehmen, potentielle Sicherheitslücken selbst und möglichst automatisiert zu bewerten und gezielte Schutzmaßnahmen zu ergreifen.

SBOMs lieferten außerdem Informationen über die Lizenzen der verwendeten Komponenten und unterstützten so den Abgleich der tatsächlichen Nutzung mit den Lizenzvorgaben. Zukünftig könnten SBOMs auch dazu beitragen, die Transparenz im Datenschutz zu erhöhen, „indem sie Informationen darüber enthalten, welche Daten von welchen Systemen verarbeitet und gespeichert werden“.

Oliver Dehning, Leiter der TeleTrusT-AG „Cloud Security“, kommentiert: „,Software Bills of Materials’ sorgen für Transparenz in der ,IT Supply Chain’. Ohne sie ist eine angemessene Einschätzung von Risiken aus IT-Diensten praktisch unmöglich.“ Unternehmen sollten deshalb die Bereitstellung von SBOMs konsequent von ihren IT-Lieferanten fordern und auf allen Ebenen der IT im Rahmen von Sicherheitsüberwachung und Risikomanagement nutzen. „Der jetzt veröffentlichte neue TeleTrusT-Leitfaden soll dabei unterstützen“, so Dehning.

Weitere Informationen zum Thema:

Bundesverband IT-Sicherheit e.V. TeleTrusT, 2024
Software Bill of Materials / Leitfaden

TeleTrusT Bundesverband IT-Sicherheit e.V.
Cloud Security & SBOM / Software Bill of Materials (SBOM)

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

datensicherheit.de, 01.06.2023
Neuer TeleTrusT-Leitfaden: Cloud Supply Chain Security / TeleTrusT warnt vor Attacken über vertrauenswürdig eingestufte Komponenten und IT-Services Dritter

[datensicherheit.de, 26.04.2024] Der eco – Verband der Internetwirtschaft e.V. betont in einer aktuellen Stellungnahme, dass ein Verschlüsselungsverbot praktisch nicht umsetzbar sei und gegen die Grundrechte verstoße. Europol hat demnach in einer am 18. April 2024 veröffentlichten Gemeinsamen Erklärung die Ende-zu-Ende-Verschlüsselung (E2EE) kritisiert und die Industrie dazu aufgerufen, dafür Sorge zu tragen, dass illegale verschlüsselte Inhalte kontrolliert werden können. In der Praxis bedeutet laut eco indes jeder ermöglichte Zugriff Dritter auf verschlüsselte Daten „eine Aufweichung der starken Verschlüsselung“. Diese gefährde den Schutz der persönlichen Daten jedes Einzelnen in Europa.

Foto: eco e.V.

Oliver Dehning, Leiter der eco-Kompetenzgruppe „Sicherheit“: Ohne Verschlüsselung lässt sich die Privatsphäre jedoch nicht wirksam schützen!

eco unterstreicht Schutz der Privatsphäre als Menschenrecht

„Die europäischen Polizeichefs sprechen sich in einer Gemeinsamen Erklärung gegen Ende-zu-Ende-Verschlüsselung aus“, berichtet Oliver Dehning, Leiter der eco-Kompetenzgruppe „Sicherheit“. Dies sei falsch und nicht im Interesse der europäischen Bürger: „Europol kritisiert in einer am 18. April veröffentlichten gemeinsamen Erklärung die Ende-zu-Ende-Verschlüsselung (E2EE) und ruft die Industrie auf, dafür zu sorgen, dass illegale verschlüsselte Inhalte kontrolliert werden können.“

Ohne Verschlüsselung lasse sich die Privatsphäre jedoch nicht wirksam schützen. Die Funktion der Verschlüsselung zum Schutz privater Daten komme der Funktion der verschlossenen Haustür zum Schutz privaten Eigentums gleich. Dehning betont: „Nicht umsonst gilt der Schutz der Privatsphäre als Menschenrecht. Ein Aufweichen von Verschlüsselung würde den Schutz privater Daten unmöglich machen und verletzt deshalb die Menschenrechte.“

eco-Fazit: Verschlüsselungsverbot praktisch nicht umsetzbar

Die von Sicherheitsbehörden immer wieder erhobene Forderung nach einer Schwächung von Verschlüsselung sei auch deshalb kontraproduktiv, „weil nicht anzunehmen ist, dass sich Terroristen und Verbrecher an das Verbot einer starken Verschlüsselung halten“. Wenn sie es geschickt anstellten, dann nutzten sie Methoden wie Steganographie, um die verschlüsselten Daten in anderen unverschlüsselten Nutzdaten zu verstecken.

Tatsächlich forderten gerade viele Behörden (BfDI, BNetzA, BSI, etc.) eine starke Verschlüsselung gespeicherter Daten, um diese vor Hackern und Cyber-Attacken zu schützen – also nicht nur bei Dienste-Anbietern, sondern auch bei Unternehmen oder auf privaten Devices. Dehning führt aus: „Europol fordert also, dass eine Entschlüsselung allein zum Zweck des Datenzugriffs der Sicherheitsbehörden im Fall der Übertragung der Daten an Dritte vorgenommen werden soll, während ebendiese Verschlüsselung bei gespeicherten Daten aufrechterhalten werden soll – das ist widersinnig.“ Sein Fazit: „Ein Verschlüsselungsverbot ist praktisch nicht umsetzbar, verstößt gegen die Grundrechte und kann die Sicherheit nicht wirklich verbessern.“

Weitere Informationen zum Thema:

EUROPOL, 21.04.2024
European Police Chiefs call for industry and governments to take action against end-to-end encryption roll-out

datensicherheit.de, 21.10.2021
Starke Verschlüsselung: Einmischung gefährdet Öffentlichkeit und Wirtschaft / Zivile Organisationen und Technologieunternehmen aus aller Welt haben sich am ersten Globalen Verschlüsselungstag zusammengeschlossen

datensicherheit.de, 18.11.2020
Offener Brief: Verschlüsselung nicht in Frage stellen / Reporter ohne Grenzen und Netzwerk Recherche fordern Regierungen der EU-Staaten auf, Verschlüsselung bei Messenger-Diensten zu wahren

datensicherheit.de, 11.11.2020
DAV warnt vor Hintertüren: Schwächung der Ende-zu-Ende-Verschlüsselung droht / Rechtsanwalt Dr. Eren Basar, Mitglied des Ausschusses „Gefahrenabwehrrecht“ des Deutschen Anwaltvereins (DAV), nimmt Stellung

[datensicherheit.de, 12.03.2024] Der eco – Verband der Internetwirtschaft e.V. hat ermittelt, dass mit 96 Prozent der IT-Sicherheitsexperten in Deutschland (mehr als in den Vorjahren) eine zunehmende Bedrohungslage sehen – auf diese Bedrohungslage reagierten die Unternehmen und räumten der IT-Sicherheit einen höheren Stellenwert ein als im Vorjahr, 2023; viele seien jedoch immer noch unzureichend aufgestellt.

Abbildung: eco e.V.

eco IT-Sicherheitsumfrage 2024 – 226 Sicherheitsexperten wurden befragt

eco warnt: Entspannung können die Befragten nicht erkennen

96 Prozent der Sicherheitsexperten in Deutschland sehen laut eco eine zunehmende Bedrohungslage – während vier Prozent von einer gleichbleibenden Bedrohungslage ausgehen; eine Entspannung könnten die Befragten also nicht erkennen. Die Erkenntnisse beruhten aus der „eco IT-Sicherheitsumfrage 2024“, welche der Verband am 1. März 2024 vorlegte – 226 Sicherheitsexperten seien befragt wurden.

Auf diese Bedrohungslage reagierten die Unternehmen und räumten der IT-Sicherheit einen höheren Stellenwert ein als im Vorjahr, beispielsweise mit einem Notfallplan: „Nur noch 3,4 Prozent der Befragten geben an, dass sie keinen Notfallplan für den Fall eines IT-Sicherheitsvorfalls festgelegt haben oder dass zumindest ein solcher in Planung sei.“ Im letzten Jahr seien noch 5,8 Prozent für den Fall der Fälle unvorbereitet gewesen.

eco-Kommentar: Bei allem Engagement der Unternehmen ist deutsche Wirtschaft IT-sicherheitstechnisch immer noch unzureichend aufgestellt

Auch der Stellenwert der Vorsorge steige: Die meisten Unternehmen (53,1%) schulten inzwischen ihre Mitarbeiter regelmäßig. 15,1 Prozent böten unregelmäßig Schulungen an und fünf Prozent hätten entsprechende Weiterbildungen geplant. „Insgesamt gaben die Unternehmen im letzten Jahr für IT-Sicherheit auch mehr Geld aus: 34,6 Prozent haben ihre Ausgaben moderat erhöht, 5,6 Prozent sogar stark.“ Nur rund ein Drittel (32,9%) habe die IT-Sicherheitsausgaben nicht erhöht oder gar gesenkt (1,1%).

Bei all diesem Engagement der Unternehmen sei die deutsche Wirtschaft IT-sicherheitstechnisch immer noch unzureichend aufgestellt. Zu diesem Ergebnis kommen demnach, wie bereits in den Vorjahren, erneut die meisten Experten (76%). Die IT-Sicherheit im eigenen Unternehmen schätzten die Experten hingegen eher optimistisch ein: „54 Prozent der Befragten sagen, das eigene Unternehmen sei ,sehr gut’ oder ,gut’ abgesichert, 31 Prozent bezeichnen sich als ,ausreichend’ abgesichert.“ Dennoch habe jedes fünfte Unternehmen (20%) im letzten Jahr mindestens einen IT-Sicherheitsvorfall mit zum Teil erheblichen Schäden gehabt (4%).

Leiter der eco-Kompetenzgruppe IT-Sicherheit betont Ransomware-Gefahr

„Auch wenn der Stellenwert der IT-Sicherheit insgesamt in Deutschland steigt und viele Unternehmen glauben, dass sie sicher sind, unterschätzen viele Entscheider im Mittelstand noch die Bedrohungslage“, unterstreicht Oliver Dehning, Leiter der eco-Kompetenzgruppe „IT-Sicherheit“.

Er führt abschließend aus und warnt: „Ein Ransomware-Angriff kann die Geschäftstätigkeit von Unternehmen bis zu einem Jahr lang behindern und sogar existenzbedrohend sein. Und gerade viele Mittelständler stehen im Fokus international agierender Cybercrime-Netzwerke, ohne sich dessen bewusst zu sein.“

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
eco Umfrage IT-Sicherheit 2024 / Ein Report der eco Kompetenzgruppe Sicherheit unter der Leitung von Oliver Dehning

[datensicherheit.de, 01.06.2023] Sogennannte Supply-Chain-Attacken haben in letzter Zeit deutlich zugenommen und betreffen auch bekannte Unternehmen, meldet der Bundesverband IT-Sicherheit e.V. (TeleTrusT). Solche Attacken erfolgten über vertrauenswürdig eingestufte Komponenten und IT-Services Dritter und seien daher von Anwendern schwer zu verhindern. Ein jetzt veröffentlichter TeleTrusT-Leitfaden beschreibt demnach neben der „Software Bill of Materials“ (SBOM) weitere Schutzmaßnahmen, welche von Anwenderunternehmen zur Verbesserung der „Cloud Supply Chain Security“ getroffen werden könnten.

Abbildung: TeleTrusT

Neuer TeleTrusT-Leitfaden beschreibt Software Bill of Materials (SBOM) sowie weitere Schutzmaßnahmen

Schwache Anwender-Postion laut TeleTrusT inakzeptabler Zustand

„In der IT ist die ,Supply Chain’ die Lieferkette aller Teilprodukte und Lieferungen, aus denen sich ein IT-Service oder eine Anwendung zusammensetzt.“

Für jede Art von Software, aber insbesondere für „Cloud“-Dienste, bestehe eine solche Lieferkette aus unzähligen Lieferanten und solchen Produkten, welche entweder direkt oder indirekt genutzt werden oder zur Erstellung oder Ausführung der Teile beitragen.

Im besten Fall werde der Produzent oder Anbieter der Teile die direkt genutzten Komponenten selbst auf Sicherheitseigenschaften überprüfen. Der Anwender habe aber normalerweise weder die Möglichkeit, die Nutzung einer betroffenen Komponente festzustellen, noch auf eine Behebung von Schwachstellen hinzuwirken – „ein inakzeptabler Zustand“.

TeleTrusT empfiehlt Software Bill of Materials – eine Aufstellung aller Komponenten einer Software-Anwendung

Um das Problem der mangelnden Transparenz zu lösen, führt laut TeleTrusT der Weg über die „Software Bill of Materials“ (SBOM): „Eine SBOM ist eine Aufstellung aller Komponenten, die in einer Software-Anwendung enthalten sind.“

Wenn neue Erkenntnisse zu Fehlern und Schwachstellen in diesen Komponenten auftauchen, könnten Anwender schnell ermitteln, ob sie möglicherweise betroffen sind und die von ihnen genutzten Anwendungen gefährdet sind.

Es werde erwartet, „dass sich die Bereitstellung von SBOMs durch Lieferanten und Betreiber von Software und Services zum Marktstandard entwickelt“.

Oliver Dehning, Leiter der TeleTrusT-AG Cloud Security kommentiert

„Aktuelle ,Software Bill of Materials’ (Software-Stücklisten, SBOM) sind die Basis für mehr Transparenz in der ,Cloud Supply Chain’ und damit für mehr Sicherheit bei der Nutzung von ,Cloud’-Services“, erläutert Oliver Dehning, Leiter der TeleTrusT-AG „Cloud Security“.

Anwender könnten einen erheblichen Beitrag zur Verbesserung der Sicherheit in ihrer „Cloud Supply Chain“ leisten, wenn sie die Bereitstellung von SBOMs durch Provider in ihren Anforderungskatalog aufnehmen.

Dehning rät abschließend: „Provider sollten ihrerseits ihren Anwendern diese Informationen zur Verfügung stellen und damit aktives Management von Cyber-Sicherheit auch in der ,Cloud’ ermöglichen.“

Weitere Informationen zum Thema:

Bundesverband IT-Sicherheit e.V. TeleTrusT
Cloud Supply Chain Security / Leitfaden für Schutzmaßnahmen 2023

[datensicherheit.de, 12.04.2023] Der eco – Verband der Internetwirtschaft e.V. meldet, dass laut einer aktuellen Umfrage 93 Prozent der Befragten angegeben haben, „dass die Bedrohungslage der Internet-Sicherheit wächst, beziehungsweise stark wächst“. 71 Prozent der Unternehmen schulten und sensibilisierten Mitarbeiter hinsichtlich Cyber-Sicherheit und hätten Notfallpläne für Cybercrime-Vorfälle. Der eco unterstreicht: „Cyber-Sicherheit ist Chefsache und sollte in allen Unternehmensbereichen berücksichtigt werden.“

Abbildung: eco – Verband der Internetwirtschaft e.V.

eco IT-SICHERHEITSUMFRAGE 2023: Aktuelle Cyber-Sicherheitslage in Deutschland weiterhin angespannt!

Rund 78% der vom eco Befragten meinen, dass die deutsche Wirtschaft unzureichend geschützt ist

Die aktuelle Cyber-Sicherheitslage in Deutschland bleibe weiterhin angespannt, so das überwiegende Urteil von IT-Experten. Demnach schätzen 93 Prozent die allgemeine Bedrohungslage als „hoch“, beziehungsweise als „sehr hoch“ ein. Nur etwa sieben Prozent der im Rahmen der aktuellen IT-Sicherheitsumfrage des eco Befragten gingen von einer „gleichbleibenden Bedrohungslage“ aus. Zugleich sähen sich allerdings viele Unternehmen als „gut geschützt“ an. 53 Prozent der Befragten schätzten die Absicherung ihres Unternehmens als „gut“ beziehungsweise „sehr gut“ ein, während 28 Prozent eine „ausreichende Absicherung“ angäben. Nur jeder Fünfte (19%) empfinde die Cyber-Sicherheit im eigenen Unternehmen als „unzureichend“. Diese Wahrnehmung der unternehmensinternen Sicherheit stehe im Kontrast dazu, wie die befragten Experten die IT-Sicherheit der deutschen Wirtschaft insgesamt bewerten: „Rund 78 Prozent geben an, die deutsche Wirtschaft sei ,unzureichend geschützt’– vor zwei Jahren waren es noch 67 Prozent.“

Oliver Dehning, Leiter der „Kompetenzgruppe Sicherheit“ im eco, sieht darin eine potenzielle Gefahr: „Die IT-Landschaft wird immer komplexer, wodurch sich auch die Angriffsfläche von Unternehmen und Institutionen vergrößert. Gleichzeitig wächst stetig die Bedrohungslage durch zunehmend professioneller organisierte Formen von Cyber-Kriminalität.“ Viele mittelständische Unternehmen schätzten ihre Cyber-Resilienz zu optimisch ein. Vor dem Hintergrund globaler Krisen müssten diese Unternehmen besonders jetzt aktiv Sicherheitsmaßnahmen implementieren.

Unternehmen reagieren auf Bedrohung durch Cyberkriminalität

„Tatsächlich hatten 13 Prozent der befragten Unternehmen einen oder mehrere IT-Sicherheitsvorfälle im vergangenen Jahr.“ Bei sieben Prozent habe es einen und bei sechs Prozent sogar mehrere schwerwiegende Fälle gegeben. Dies seien weniger als ein Jahr zuvor, knapp 17 Prozent der Befragten hätten 2021 einen oder mehrere gravierende Sicherheitsvorfälle gehabt. Die häufigsten Angriffe seien unter anderem in den Bereichen Ransomware, Distributed Denial of Service (DDoS) und Webseiten-Hacking angesiedelt.

Zahlreiche Unternehmen wirkten diesem Risiko mit Maßnahmen wie Sensibilisierung der Mitarbeitenden oder „Cloud Security“ entgegen. „Schon viele Unternehmen reagieren angemessen und passen ihre IT-Strategie an die angespannte Sicherheitslage an“, berichtet Dehning. 71 Prozent der Firmen hätten einen Notfallplan für IT-Angriffe und schulten oder sensibilisierten die Mitarbeiter regelmäßig zum Thema IT-Sicherheit. Lediglich drei Prozent klärten ihre Mitarbeiter nicht auf und zehn Prozent hätten keinen Notfallplan und auch keinen in Vorbereitung.

eco fordert: Cyber-Sicherheit sollte Chefsache sein!

Die vorliegende Studie zeige, dass sich die empfundene Bedrohungslage im Bereich IT zuspitze und durch Krisen weiter verschärft werde. Neben den in der IT bereits bekannten Formen von organisierter Cyber-Kriminalität gebe es mittlerweile auch staatliche Akteure, die Cyber-Räume gezielt für Angriffe auf Unternehmen und öffentliche Infrastrukturen nutzten.

„Gerade viele Mittelständler stehen im Fokus international agierender Cybercrime-Netzwerke und sind sich dessen nicht bewusst“, warnt Dehning abschließend. Daher betont der eco, dass Cyber-Sicherheit „Chefsache“ sein sollte und dementsprechend in allen Unternehmensbereichen umgesetzt werden müsse.

Weitere Informationen zum Thema:

eco
eco IT-SICHERHEITSUMFRAGE 2023

[datensicherheit.de, 18.08.2021] „Cloud Computing“ ist nach Ansicht des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) inzwischen ein breit akzeptiertes IT-Betriebsmodell und wird von den meisten Unternehmen genutzt: Auch viele IT-Anbieter hätten in ihrer Strategie auf „Cloud First“ gewechselt, zum Teil sogar auf „Cloud Only“. Die Bedrohungslage hat sich ebenfalls verändert: „Cloud“-Plattformen sind zunehmend im Blickfeld von Cybercrime. Die sichere Nutzung von „Cloud Services“ sei deshalb ein zentraler Baustein der IT-Sicherheit von Unternehmen insgesamt. Der TeleTrusT-Leitfaden „Cloud Security“ richte sich vorwiegend an kleine und mittlere Unternehmen.

Sichere Nutzung von Cloud Services zentraler Baustein der IT-Sicherheit

Der Leitfaden umfasse eine systematische Betrachtung der Risiken bei der Nutzung von „Cloud“-Diensten, gegliedert nach allgemeinen IT-Risiken, „Cloud“-spezifischen Risiken und rechtlichen Anforderungen. Hervorgehoben würden auch die Sicherheitsvorteile von „Cloud Services“.
Er zeige technische, organisatorische und rechtliche Maßnahmen zur Reduktion und Beherrschung ermittelter Risiken auf. Neben Mechanismen und Konfigurationsmöglichkeiten, die integraler Bestandteil der Cloud-Dienste seien, werde fokussiert auf externe Sicherungsmechanismen eingegangen: „Identity Provider“, „Cloud Access Security Broker“ (CASB), „Cloud Encryption Gateways“, „E-Mail Security Gateways“, „Cloud VPNs“, „Cloud Firewalls“, „Confidential Computing“, Backup und Notfallplanung.
Im Bereich organisatorischer Maßnahmen werde auf die Aufgabenverteilung zwischen Anbieter und Nutzer sowie auf die Vertragsgestaltung eingegangen. Der Leitfaden schließe mit einer Betrachtung von Testaten und Zertifikaten im „Cloud“-Umfeld.

Corona-Pandemie beschleunigt Zunahme von Cloud Computing

„,Cloud Computing‘ ist inzwischen ein breit akzeptiertes IT-Betriebsmodell. Die allermeisten Unternehmen nutzen heute ,Cloud Services‘ in irgendeiner Form. Viele IT-Anbieter haben in ihrer Strategie auf ,Cloud First‘ gewechselt, zum Teil sogar auf ,Cloud Only‘“, berichtet Oliver Dehning, Leiter der TeleTrusT-AG „Cloud Security“.
Die weltweiten Ausgaben für „Public Cloud Services“ würden laut Gartner im Jahr 2021 304,9 Milliarden US-Dollar betragen – ein Wachstum von 18,4 Prozent gegenüber 2020. Dehning: „Das Tempo des Wachstums wird dabei durch die ,Corona-Pandemie‘ noch beschleunigt. Bis zum Jahr 2024 soll der Anteil der Ausgaben für ,Cloud Computing‘ auf 14,2 Prozent der Unternehmensausgaben für IT wachsen, gegenüber 9,1 Prozent im Jahr 2000.“
Für Unternehmen stelle sich daher kaum noch die Frage, ob „Cloud Computing“ genutzt werden kann, sondern wie – insbesondere mit Blick auf die IT-Sicherheit. „Auch die Bedrohungslage hat sich verändert: ,Cloud‘-Plattformen sind zunehmend im Blickfeld von Cybercrime.“ Die sichere Nutzung von „Cloud Services“ sei deshalb ein zentraler Baustein der IT-Sicherheit von Unternehmen insgesamt. Insbesondere kleine und mittlere Unternehmen müssten dabei unterstützt werden. Sie hätten oft nicht die nötigen Kapazitäten zum Aufbau eigener Expertise. Der TeleTrusT-Leitfaden „Cloud Security“ richte sich daher vorwiegend an kleine und mittlere Unternehmen. „Er soll einen Überblick und Hilfestellung zum sicheren Betrieb von ,Cloud Services‘ geben“, so Dehning.

Weitere Informationen zum Thema:

TeleTrusT
Cloud Security

datensicherheit.de, 05.08.2021
Cloud: Zunehmende Sicherheitsrisiken durch Malware-Bereitstellung, Plugins von Drittanbietern und exponierte Workloads / Netskope Threat Labs zeigen kritische Trends bei der Nutzung von Cloud-Diensten und -Apps in Unternehmen auf

datensicherheit.de, 25.05.2021
Kleines DSGVO-Jubiläum: Cloud-Nutzung als Herausforderung für Unternehmen / Datenspeicherung au0erhalb der EU bereitet DSGVO-Probleme

[datensicherheit.de, 16.02.2021] Laut dem eco – Verband der Internetwirtschaft e.V. sehen Deutschlands IT-Sicherheitsexperten ein „hohes Bedrohungspotenzial“ durch Cyber-Kriminalität für die deutsche Wirtschaft. Doch es gebe auch einige Indikatoren, die verhalten positiv stimmten. Der eco hatte nach eigenen Angaben von September bis Dezember 2020 175 Sicherheitsexperten befragt und die Ergebnisse in der eco-Umfrage „IT-Sicherheit 2020“ veröffentlicht.

Foto: eco e.V.

Oliver Dehning: Leiter der Kompetenzgruppe Sicherheit im eco-Verband

Erkenntnisse aus der vom eco am 16. Februar 2021 veröffentlichten „IT-Sicherheitsstudie 2021“

77 Prozent der Experten – und damit weniger als im Vorjahr, 2020, – gingen davon aus, dass die Bedrohung weiter steige. 2020 seien indes noch 91 Prozent der Befragten von einer mindestens wachsenden Bedrohungslage ausgegangen, so Erkenntnisse aus der vom eco am 16. Februar 2021 veröffentlichten „IT-Sicherheitsstudie 2021“.
„Auch vor dem Hintergrund dieser Bedrohungskulisse schützen sich viele Unternehmen nur unzureichend vor den Angriffen der Cyber-Kriminellen“, berichtet Oliver Dehning, Leiter der Kompetenzgruppe „Sicherheit“ im eco-Verband. Tatsächlich sähen laut eco-Umfrage rund 57 Prozent der befragten Experten die deutsche Wirtschaft „unzureichend aufgestellt“. Verhalten optimistisch stimme allein ein Vergleich mit dem Vorjahr: „Im Jahr 2019 stimmten noch 66 Prozent und damit neuen Prozent mehr Experten der Aussage zu, die Wirtschaft sei unzureichend aufgestellt.“

Auch während der „Pandemie“: IT-Sicherheit braucht höchste Priorität

Dehning mahnt dazu, die leicht positiven Tendenzen dieser Umfrageergebnisse richtig einzuordnen: „Es geht weiterhin eine deutliche Mehrheit der IT-Sicherheitsexperten in Deutschland davon aus, dass sich die IT-Sicherheitslage für deutsche Unternehmen weiter verschlechtert.“ Die Verantwortlichen müssten der IT-Sicherheit weiterhin höchste Priorität einräumen – die „Pandemie“ dürfe nicht als Ausrede für mangelnde IT-Sicherheit dienen, so Dehning. Insbesondere kleine und mittelständische Unternehmen (KMU) seien nach wie vor massiv von internationaler Cyber-Kriminalität bedroht. Für Unternehmen, die ohnehin von „Corona“ geschwächt seien, könnte ein gezielter Angriff durch Hacker sogar existenzbedrohend sein.
Eine Zahl aus der IT-Sicherheitsumfrage bestätige Dehnings These, dass viele Geschäftsführer die Gefahr schlicht unterschätzten: Nur 13 Prozent der Verantwortlichen sähen das eigene Unternehmen als unzureichend in Anbetracht der Cyber-Bedrohungen aufgestellt. Tatsächlich habe jedoch jedes fünfte Unternehmen (20 Prozent) im vergangenen Jahr, 2020, einen oder mehrere gravierende Sicherheitsvorfälle gehabt.

Weitere Informationen zum Thema:

datensicherheit.de, 17.03.2020
eco IT-Sicherheitsstudie 2020: Unternehmen bereiten sich auf den Ernstfall vor / Unternehmen verbessern ihre Cyber-Resilienz mittels Notfallplänen (+6 Prozent) und regelmäßigen Mitarbeiterschulungen (+11 Prozent) / Mehr gravierende Sicherheitsvorfälle in Unternehmen als im Vorjahr

[datensicherheit.de, 18.04.2018] Laut einer Studie des eco – Verband der Internetwirtschaft e.V. bewerten rund 80 Prozent der Experten aus der IT-Branche das Thema Notfallplanung als „wichtig“ oder „sehr wichtig“. Zugleich gebe es in vielen Unternehmen Verbesserungspotenzial.

Zunahme von Cyber-Kriminalität stärkster Treiber für IT-Sicherheit

32 Prozent der deutschen Unternehmen haben nach eco-Angaben einen Notfallplan, um im Schadensfall infolge von Cyber-Kriminalität richtig reagieren zu können. Demnach ist eine Notfallplanung zur Abwehr von Cyber-Attacken das „wichtigste IT-Sicherheitsthema 2018“. Dies zeigt laut eco die aktuelle eigene „IT-Security-Umfrage“.
Rund 80 Prozent der 955 befragten Experten aus der IT-Branche bewerteten das Thema als „wichtig“ oder „sehr wichtig“. Die Zunahme von Cyber-Kriminalität sei dabei der stärkste Treiber für die sich ändernden Anforderungen an die IT-Sicherheit.
„Die Unternehmen haben erkannt wie wichtig es ist, sich gut auf mögliche Cyber-Attacken vorzubereiten“, erläutert Oliver Dehning, Leiter der Kompetenzgruppe „Security“ beim eco–Verband.

Europäischer Datenschutz und Standort EU von besonderer Bedeutung

Weitere Top-Themen auf dem Gebiet der IT-Security seien für Befragten die Mitarbeitersensibilisierung auf Platz 2 sowie Datensicherheit/Datenschutz auf Platz 3.
Insbesondere der europäische Datenschutz und der Standort EU sei den allermeisten Unternehmen bei der Nutzung von Cloud-Diensten „wichtig“. Nur 15 Prozent gäben an, keinen Wert auf europäischen Datenschutz zu legen.
Obwohl Notfallpläne für die überwiegende Mehrheit „wichtig“ seien, hätten erst rund ein Drittel (32 Prozent) der deutschen Unternehmen interne Prozesse beziehungsweise einen konkreten Notfallplan festgelegt, um im Falle eines „Cybercrime“-Vorfalls richtig reagieren zu können. 26 Prozent hätten einen solchen Notfallplan in Planung.

Schulung, Sensibilisierung und Versicherung noch ausbaufähig

Großes Verbesserungspotenzial hätten Unternehmen auch im Bereich der Schulung und Sensibilisierung ihrer Mitarbeiter: 36 Prozent informierten diese regelmäßig zu „Cybercrime“-Themen, weitere 28 Prozent unregelmäßig.
Die Folgen einer Cyber-Attacke könne eine Cyber-Schutzversicherung abmildern, doch nur rund fünf Prozent der Unternehmen hätten eine solche abgeschlossen. Immerhin 18 Prozent der Befragten plane, in der Zukunft eine solche Versicherung abzuschließen; rund 52 Prozent der Unternehmen hätten dies auch in Zukunft nicht vor.
„Die IT-Sicherheit lässt sich niemals zu 100 Prozent gewährleisten. Eine Cyber-Versicherung kann eine gute Möglichkeit sein, das verbliebene Restrisiko abzudecken“, empfiehlt Dehning.

Foto: eco – Verband der Internetwirtschaft e.V.

Oliver Dehning: Verbesserungspotenzial auch im Bereich der Schulung und Sensibilisierung

955 Experten für IT-Security befragt

Wichtigster Treiber für die Veränderung der IT-Sicherheit in den nächsten fünf Jahren sei für die Befragten der erwartete Anstieg im Bereich Cyber-Kriminalität. Weiterhin wichtig bleibe der Bereich „Cloud Computing“ und der Schutz personenbezogener Daten.
Im Rahmen der eco-Umfrage „IT-Sicherheit 2018“ hat der Verband nach eigenen Angaben 955 Experten für IT-Security zur aktuellen Sicherheitslage befragt. Rund die Hälfte der befragten Verantwortlichen habe Budget- und/oder Personalverantwortung. Diese Studie steht für eco-Mitglieder zum Download zur Verfügung.
Neue Sicherheitsstrategien für die aktuelle Cyber-Bedrohungslage sollen laut eco auch im Zentrum der kommenden „Internet Security Days“ stehen, in deren Rahmen am 20. und 21. September 2018 im „Phantasialand“ bei Köln rund 600 Besucher aus mehr als 20 Ländern erwartet werden.

Weitere Informationen zum Thema:

datensicherheit.de, 28.03.2017
eco-Verband nimmt Stellung zur sicheren Vernetzung für die „Gesundheit 4.0“

[datensicherheit.de, 08.03.2017] Nach einer Meldung vom eco – Verband der Internetwirtschaft e.V. unterschätzen viele Unternehmen menschliche Faktoren bei der IT-Risikobewertung. Die Mitarbeiter sollten aber zu Verteidigern der Firmen-IT werden.

IT-Sicherheit umfassend denken!

Bei der IT-Security verließen sich viele mittelständische Unternehmen noch zu sehr auf rein technische Lösungen. Insbesondere den menschlichen Faktor unterschätzten viele bei der Risikobewertung. Immer wieder ermöglichten so Mitarbeiter Cyber-Kriminellen erfolgreiche Angriffe – beispielsweise indem sie in verdächtigen E-Mails auf Links oder auf die Anhänge klickten und so einen Erpressungstrojaner ins Haus holten.
„Insbesondere kleinere Unternehmen vernachlässigen es, bei der IT-Sicherheit umfassend zu denken und eine Unternehmenskultur zu schaffen, die Mitarbeiter für Bedrohungslagen sensibilisiert“, erläutert Oliver Dehning, Leiter der „Kompetenzgruppe Sicherheit“ im eco – Verband der Internetwirtschaft e.V.

Kombinierte technische und menschliche Angriffsvektoren

Beim „CEO-Fraud“ etwa nutzten Cyber-Kriminelle menschliche Eigenschaften wie Hilfsbereitschaft, Neugier und Angst aus. Aufgrund gefälschter E-Mails und Telefonanrufe überwiesen Mitarbeiter hohe Summen ins Ausland. Diese Form der personalisierten Manipulation („Social Engineering“) habe Hochkonjunktur und ergänze immer stärker technische Angriffe.
„Cyber-Kriminelle kombinieren heute technische und menschliche Angriffsvektoren“, sagt Dehning. Durch die hohe Zahl der attackierten Firmen verbuchten die Kriminellen immer wieder Erfolge. Bis zu 40 Millionen Euro hätten einzelne deutsche Mittelständler bereits auf diesem Wege verloren. Dehning: „Insbesondere Unternehmen, die ihre Strukturen und die Sicherheit ihrer digitalen Arbeitswege nicht den aktuellen Anforderungen angepasst haben, sind gefährdet.“

Bewusstsein schaffen: Der Mensch als Sicherheitsfaktor

Entwickeln Unternehmen jedoch ein Bewusstsein für die neuen Bedrohungen, dann würden die Mitarbeiter vom Risikofaktor zum Verteidiger der Firmen-IT: „Entscheidend ist eine Unternehmenskultur, in der Mitarbeiter sich trauen verdächtige Vorfälle und E-Mails zu melden und Rücksprache zu halten“, betont Dehning.
Die IT-Verantwortlichen könnten dann die tatsächliche E-Mail-Adresse und gegebenenfalls das S/MIME-Zertifikat überprüfen. Auch wenn eine zweifelhafte Überweisung bereits raus ist, sollten sich Mitarbeiter bei Verantwortlichen mit ihrem Verdacht melden. Je schneller ein erfolgreicher Betrug ans Licht komme desto höher sei die Chance, das Geld zurück zu bekommen.
Damit die Mitarbeiter neue Verhaltensweisen verinnerlichen, sollten sie kontinuierlich wiederholt werden, fordert Dehning. Regelmäßige Schulungen oder monatliche Mitarbeiterversammlungen hielten das Bewusstsein für aktuelle Bedrohungen aufrecht.
Zusätzlich zur Sensibilisierung ihrer Mitarbeiter sollten Unternehmen nicht zu viele Daten auf der Website oder über Soziale Netzwerke preisgeben. Denn diese könnten für Angriffe instrumentalisiert werden.

Foto: eco – Verband der Internetwirtschaft e.V.

Oliver Dehning: Mitarbeiter müssen sich trauen können, verdächtige Vorfälle zu melden!

Faktor Mensch auf den „Internet Security Days 2017“

Der Faktor Mensch soll laut eco auch eines von vier Schwerpunktthemen der „Internet Security Days“ (ISD) vom 28. bis 29. September 2017 in Brühl sein.
Mit einem „Call for Papers“ suchen die Veranstalter demnach bis Mitte April 2017 Referenten.

Weitere Informationen zum Thema:

Willkommen zu den Internet Security Days 2017:
Fachmesse, Konferenz, Networking, Spaß

Internet Security Days
Konferenz, Ausstellung und Networking zu den Sicherheitstrends für heute und morgen (Call for Papers)

datensicherheit.de, 05.11.2011
Faktor Mensch: Personelle Engpässe sowie mangelnde Fachkompetenz der Mitarbeiter als Risikofaktoren

[datensicherheit.de, 01.02.2017] In einer aktuellen Stellungnahme des Branchenverbands eco wird auf die Bedeutung einer starken Zwei-Faktor-Authentisierung als Grundlage für vertrauenswürdige Identitäten hingewiesen – Nutzername und Passwort alleine seien nicht mehr zeitgemäß. Sichere Identitäten aber seien im Internet der Dinge (engl.: Internet of Things / IoT) auch für Objekte wie Autos und Organisationen notwendig.

Sichere und zweifelsfreie Identität des Nutzers Grundvoraussetzung

In der technisierten Lebens- und Arbeitswelt von heute seien sichere digitale Identitäten unverzichtbar – nicht nur beim Online-Banking möchten Nutzer zuverlässig erkannt werden. Für immer mehr Anwendungen in der Cloud oder für das Smartphone sei die sichere und zweifelsfreie Identität des Nutzers Grundvoraussetzung. Es stelle sich nun die Frage, wie es sich verhindern lässt, dass sich eine Person digital als jemand anders ausgibt.
„Ein Passwort zur eindeutigen Authentifizierung der Person hinter einem Benutzernamen reicht nicht mehr aus“, betont Oliver Dehning, Leiter der „Kompetenzgruppe Sicherheit“ im eco – Verband der Internetwirtschaft e.V.

Abermillionen gestohlener Passwörter im Netz

Auch die Bundesregierung betone in ihrer am 9. November 2016 beschlossenen „Cyber-Sicherheitsstrategie für Deutschland 2016“, dass das derzeit verbreitete, aber nicht sichere Benutzername/Passwort-Verfahren als Standard zu ergänzen und nach Möglichkeit abzulösen sei.
Denn bei einer Authentisierung mittels Nutzername und Passwort seien Diebstahl, Manipulation oder Fälschung einer Identität nicht hinreichend ausgeschlossen. Hunderte Millionen gestohlener Passwörter inklusive Nutzernamen und E-Mail-Adressen kursierten im Internet. Diese stammten aus Hacks bedeutender Webseiten. Millionenfacher Passwort-Diebstahl sei nicht nur von den Online-Diensten Dropbox, Yahoo und LinkedIn eingeräumt worden. Es gebe ein großes Bedürfnis nach besseren digitalen Verfahren zum Nachweis der eigenen digitalen Identität, so Dehning.

Starke, nutzerfreundliche Authentisierungs-Methoden gefragt

„Eine starke Authentisierung setzt die Nutzung zweier unterschiedlicher Faktoren voraus“, sagt Jens Bender vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Dabei gelte es, Authentisierungsfaktoren geschickt zu kombinieren, um verschiedene Angriffskategorien abzuwehren und die Stärken verschiedener Faktoren zu kombinieren. Es sollten asymmetrische Verfahren bevorzugt werden, bei denen keine zentrale Datenbank notwendig ist.
Mit Ausweisdokumenten einschließlich Online-Ausweisfunktion stelle die Bundesregierung bereits eine „hochsichere und datensparsame Identifikationsmöglichkeit im Netz bereit“, heißt es in der „Cyber-Sicherheitsstrategie für Deutschland 2016“. Der neue deutsche Personalausweis (eID) beispielsweise biete eine sichere Möglichkeit, sich auch für Cloud-Infrastrukturen zu identifizieren. Dies habe Dr. Detlef Hühnlein von der ecsec GmbH im Rahmen der „Internet Security Days 2016“ in Brühl bei Köln gezeigt. Mit der Lösung „SkIDentity“ auf der Basis der Online-Funktion des Personalausweises ließen sich sichere virtuelle Identitäten erstellen und auch transferieren, beispielsweise auf ein Smartphone. Mit dieser vom BSI nach ISO 27001 auf Basis von IT-Grundschutz und von der TÜV Informationstechnik GmbH gemäß dem „Trusted Cloud Datenschutz“-Profil zertifizierten Lösung könnten sich Nutzer anschließend bis zu 14 Tage lang auch ohne Nutzung des physikalischen Ausweises für digitale Services authentisieren.

Foto: eco – Verband der Internetwirtschaft e.V.

Oliver Dehning: „Ein Passwort zur eindeutigen Authentifizierung der Person hinter einem Benutzernamen reicht nicht mehr aus!“

Zweifelsfreie Identitäten für Personen, Institutionen und Objekte

Im Internet der Dinge benötigten nicht nur Personen, sondern auch Objekte zweifelsfreie Identitäten. „Wenn beispielsweise Fahrzeuge untereinander kommunizieren, um sich gegenseitig vor Gefahren zu warnen oder über die Verkehrslage zu informieren, dann muss die Kommunikation zugleich vertrauenswürdig sein und extrem schnell ablaufen“, erläutert Christian Welzel vom Fraunhofer Institut FOKUS. Auch Organisationen und Dienste brauchten digitale Identitäten, denen Nutzer vertrauen können.
„Dem Staat kommt dabei die Rolle zu, den Rahmen festzulegen. Er definiert rechtliche und technische Anforderungen und gewährleistet über Zertifikate Sicherheit.“ Zugleich stehe der Staat in Konkurrenz zur Wirtschaft, die eigene Möglichkeiten zur Authentisierung geschaffen habe. Beispiele dafür seien etwa die „Facebook ID“ für Personen oder Gütesiegel für Online-Shops. Generell gelte: „Lösungen für digitale Identitäten müssen global gedacht werden und internationalen Standards und Kriterien genügen“, unterstreicht Welzel. Dies gelinge mit einheitlichen Standards und Rahmenbedingungen und abgestimmten Vergleichskriterien für Authentisierungsverfahren.

Weitere Informationen zum Thema:

datensicherheit.de, 09.11.2016
Cyber-Sicherheitsstrategie 2016: Investments in die digitale Aufklärungsarbeit