[datensicherheit.de, 17.04.2025] Auch der eco – Verband der Internetwirtschaft e.V. hat am 16. April 2025 zu dem Auslaufen der Finanzierung für das „CVE-Programm“ genommen – mit dem Wegfall der finanziellen Unterstützung durch die US-Regierung stehe das international etablierte „CVE-Projekt“ nun vor einem kritischen Einschnitt. Die drohende Abschaltung der CVE-Datenbank berge erhebliche Risiken für die Cyber-Sicherheit von Unternehmen weltweit. eco-Vorstand Klaus Landefeld warnt vor den Folgen für die IT-Sicherheitslage und betont die Notwendigkeit einer raschen, koordinierten Übergangslösung. Vor diesem Hintergrund sieht der eco einen „dringenden Handlungsbedarf“ und unterstreicht die zentrale Rolle der CVE-Infrastruktur für die digitale Sicherheit von Wirtschaft und Gesellschaft.

Foto: eco e.V.

Klaus Landefeld: Wir hoffen, dass die Übergangsphase möglichst kurz und ohne größere Zwischenfälle verläuft!

eco unterstützt Rettungsinitiativen wie die CVE-Stiftung

Zur Ankündigung des MITRE, die CVE-Datenbank offline zu nehmen, da die finanzielle Unterstützung der US-Regierung beendet wurde, kommentiert Landefeld: „Aus unserer Sicht ist es sehr bedauerlich, dass die US-Regierung das Funding für das ,CVE-Projekt’ des MITRE abrupt einstellt.“ Dieses sei ein wichtiger Baustein für Sicherheit in Software und Produkten, auf welchen sich Unternehmen weltweit verließen.

• Der eco unterstützt daher Rettungsinitiativen wie die CVE-Stiftung, die ihre bereits seit Längerem geplante Gründung vorgezogen hat und künftig regierungsunabhängig arbeiten will. Eine unterbrechungsfreie Sicherstellung des CVE-Systems sei für die Informationssicherheit der Mitgliedsunternehmen des eco von unschätzbarer Bedeutung, unterstreicht Landefeld:

„Wir hoffen, dass die Übergangsphase möglichst kurz und ohne größere Zwischenfälle verläuft und dass US-Behörden sich bei der Ausgestaltung dieser Übergangsphase eng mit MITRE austauschen und beispielsweise eine Übergangsregelung finden.“

Wegfall der CVE-Datenbank lässt Unternehmen im Unklaren darüber, ob Sicherheitslücken bereits bekannt sind und bekämpft werden

Der eco befürchtet, dass die Einstellung der Datenbank für Unternehmen und die öffentliche Verwaltung zu einer Herausforderung werden könnte. „Es sind bereits entsprechende Maßnahmen in Vorbereitung. Diese aber beziehen sich teilweise auf das ,CVE-Projekt’ und gehen so ins Leere, oder benötigen deutlich mehr Zeit, um wirksam werden zu können“, so Landefeld.

• Cyber-Sicherheit sei für eco primär eine Aufgabe, welche Unternehmen, Staat und Nutzer nur gemeinschaftlich herstellen könnten, „wenn alle Beteiligten gemäß ihren Kapazitäten, Möglichkeiten und Befugnisse einbringen“. Die Identifizierung und Beseitigung von Sicherheitslücken in Software und IT-Produkten sei ein wichtiger Baustein für Vertrauen und Sicherheit im Netz.

Mit dem bisherigen „CVE-Projekt“ habe eine weltweit einzigartige Datenbank existiert, „die diese Sicherheitslücken katalogisiert und so Unternehmen die Möglichkeit gegeben hat, systematisch dagegen vorzugehen“. Der Wegfall dieser Datenbank lasse Unternehmen im Unklaren darüber, „ob ihre Sicherheitslücken bereits andernorts bekannt sind und bekämpft werden“. Entsprechende Projekte bei der EU-Sicherheitsbehörde ENISA seien bereits angestoßen, würden aber noch einige Monate bis zur Wirksamkeit benötigen.

Nachtrag der ds-Redaktion [18.04.2025]:
MITRE CVE Program: Abschaltung verhindert / Das von der US-Regierung finanzierte CVE-Programm gilt als entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern

Weitere Informationen zum Thema:

CVE
CVE® Program Mission: Identify, define, and catalog publicly disclosed cybersecurity vulnerabilities / There are currently over 274,000 CVE Records accessible via Download or Keyword Search above

enisa EUROPEAN UNION AGENCY FOR CYBERSECURITY
Vulnerability Disclosure / By setting rules for identifying, fixing, mitigating, and reporting new vulnerabilities before they are exploited, CVD is crucial for protecting users and strengthening cybersecurity in the EU.

connect, Leif Bärler, 16.04.2025
Globale Cybersicherheit in Gefahr / Finanzierung des CVE-Programms läuft aus / Das System zur Identifizierung von IT-Schwachstellen, das Common Vulnerabilities and Exposures (CVE)-Programm, steht mangels Finanzierung vor einer ungewissen Zukunft.

golem.de, Mike Faust, 16.04.2025
CVE-Finanzierung unklar: Datenbank für kritische Sicherheitslücken gefährdet / Für die Fortsetzung des CVE-Programms, der internationalen Datenbank für Sicherheitslücken, stehen keine finanziellen Mittel mehr zur Verfügung.

tenable, 15.04.2025
MITRE CVE Program Funding Set To Expire / MITRE’s CVE program has been an important pillar in cybersecurity for over two decades. The lack of clarity surrounding the future of the CVE program creates great uncertainty about how newly discovered vulnerabilities will be cataloged.

datensicherheit.de, 17.04.2025
MITRE CVE Program: Einstellung der Finanzierung zum 16. April 2025 / „CVE-Programm“ ermöglichte durch einheitlichen Taxonomie Nachverfolgung von über 250.000 CVEs bis Ende 2024

[datensicherheit.de, 04.10.2021] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach eigenen Angaben am 1. Oktober 2021 das Zertifizierungsprogramm nach dem neuen Schema „Beschleunigte Sicherheitszertifizierung“ (BSZ) gestartet. Das Programm sei zunächst auf Produkte aus dem Bereich der Netzwerkkomponenten ausgerichtet. Künftig werde es auch für andere Anwendungsbereiche angeboten werden.

BSZ ermöglicht Herstellern Sicherheitsaussage mit unabhängigem Zertifikat

„Das neue Zertifizierungsprogramm ist eine wichtige Neuerung im Angebot des BSI für mehr Cyber-Sicherheit in Deutschland.“ Die BSZ ermögliche es Herstellern, die Sicherheitsaussage ihres Produktes durch ein unabhängiges Zertifikat bestätigen zu lassen.
Das Zertifizierungsschema verfolge einen risikobasierten Ansatz. Die Sicherheitsleistungen des IT-Produkts würden dabei innerhalb eines festen Zeitrahmens mittels Konformitäts- und Penetrationstests auf ihre Sicherheitsleistungen und ihre Widerstandsfähigkeit gegen Angriffe geprüft.

BSZ klar strukturiert und mit überschaubarem Dokumentationsaufwand verbunden

Das gesamte Verfahren sei klar strukturiert und mit einem überschaubaren Dokumentationsaufwand verbunden. So würden die Produktzertifizierungen nach BSZ für die Hersteller gut planbar und mit moderaten Kosten umsetzbar sein. Für Anwender werde zudem gewährleistet, „dass der Hersteller das Produkt über einen definierten Zeitraum von in der Regel zwei Jahren durch Sicherheitsupdates auf dem neuesten Stand hält“.
Das Zertifikat sei mit einer eindeutigen und verständlichen Darstellung der Sicherheitseigenschaften sowie einer belastbaren Aussage über die Widerstandsfähigkeit des zertifizierten Produkts verbunden.

BSZ-Schema bereits erfolgreich in Pilotphase erprobt

Das BSZ-Schema sei erfolgreich in einer Pilotphase erprobt worden. „In dieser konnte nicht nur schon das erste BSZ-Zertifikat für ein IT-Produkt vergeben werden, sondern es konnten auch die ersten Prüfstellen ihre Eignung nachweisen.“ So stehen laut BSI zum Programmstart bereits drei für die BSZ anerkannte Prüfstellen bereit:

• TÜV Informationstechnik GmbH, Prüflabor für IT-Qualität, Standort Essen,
• OpenSource Security GmbH, IT-Sicherheitslabor, Standort Steinfurt und
• SRC Security Research & Consulting GmbH, Standort Bonn.

Prüfstellen können sich im Rahmen eines Erstverfahrens für die BSZ anerkennen lassen

Weitere Prüfstellen könnten sich ab dem Start des Programms im Rahmen eines Erstverfahrens ebenfalls für die BSZ anerkennen lassen. Eine Voraussetzung für die Anerkennung als BSZ-Prüfstelle sei die Umsetzung und Aufrechterhaltung der Norm DIN EN ISO/IEC 17025:2018. Die BSZ schaffe ein hohes Niveau an Vertrauen („CSA-high“) in die Sicherheitsaussagen und ergänze damit das schon bestehende Portfolio des BSI mit der Zertifizierung nach „Common Criteria“ und der Zertifizierung nach Technischen Richtlinien.
Das BSZ-Schema sei zur französischen „Certification de Sécurité de Premier Niveau“ (CSPN) kompatibel, eine gegenseitige Anerkennung zwischen Deutschland und Frankreich in Vorbereitung. Die Kompatibilität zum „Fixed-Time“-Ansatz (FIT CEM/prEN 17640) bilde zudem eine Basis für die Integration auf europäischer Ebene in zukünftige Schemata nach der Verordnung (EU) 2019/881, bekannt als „Cyber Security Act“ (CSA).

Weitere Informationen zum Thema:

datensicherheit.de, 07.09.2021
Branchenlagebild Automotive des BSI vorgestellt

Bundesamt für Sicherheit in der Informationstechnik
Beschleunigte Sicherheitszertifizierung

Bundesamt für Sicherheit in der Informationstechnik
Der Wert der Informationssicherheit: Zertifizierung und Anerkennung durch das BSI

Bundesamt für Sicherheit in der Informationstechnik, 21.06.2021
BSI erteilt das erste Zertifikat nach dem Schema „Beschleunigte Sicherheitszertifizierung“

EUR-Lex, 17.04.2019
Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik…

[datensicherheit.de, 23.08.2019] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) geht in seiner aktuellen Stellungnahme auf ein Datenleck beim Mastercard-Bonusprogramm „Priceless Specials“ ein und erläutert, was Betroffene jetzt tun sollten.

Risiko eines Datenlecks muss immer in Überlegungen einbezogen werden

Am 19. August 2019 sei bekanntgeworden, „dass Daten aus dem Mastercard-Bonusprogramm ,Priceless Specials‘ von der Plattform eines Dienstleisters abgegriffen wurden“. Nach den bislang vorliegenden Informationen habe es sich dabei um ca. 90.000 Datensätze mit Namen, E-Mail-Adressen, Anschriften, Geburtsdaten, Telefonnummern sowie teilweise verschlüsselte Kreditkartennummern gehandelt. „Darüber hinaus kursiert eine weitere Liste mit vollständigen Kreditkartennummern, deren Herkunft bislang jedoch unklar ist.“
Dieser Vorfall zeigt nach Ansicht des LfDI RLP, Prof. Dr. Dieter Kugelmann, einmal mehr, wie weit die Digitalisierung das persönliche Lebensumfeld durchdringt und wie schnell sich Sicherheitsrisiken manifestieren können: „Das Risiko eines Datenlecks muss immer in die Überlegungen einbezogen werden, ob und wie man Dienste der Informationsgesellschaft nutzt. Gerade auch beim Einsatz von Dienstleistern außerhalb direkter Einwirkungsmöglichkeiten des Verantwortlichen muss durchgängig eine verlässliche IT-Sicherheit gewährleistet werden.“

Mit HPI Identity Leak Checker mögliche Betroffenheit prüfen

Der LfDI RLP rät den Inhabern einer Mastercard nach eigenen Angaben, insbesondere aber den Teilnehmern des Bonusprogramms, sich danach zu erkundigen, ob sie von der aktuellen Datenpanne betroffen sind. „Dies kann z.B. über den ,HPI Identity Leak Checker‘ des Hasso-Plattner-Instituts in Potsdam geprüft werden. Hierzu wird die Mail-Adresse benötigt, mit der man sich beim Bonusprogramm registriert hat.“
Betroffene Teilnehmer des Bonusprogramms sollten umgehend Kontakt mit Mastercard aufnehmen, um die nächsten Schritte zu klären. Unabhängig davon sollte auf Unregelmäßigkeiten bei Abbuchungen und in den Kreditkartenabrechnungen geachtet werden.

Hessischer Beauftragter für Datenschutz und Informationsfreiheit ermittelt

Häufig würden erbeutete Daten für sogenannte Phishing-Attacken genutzt, um über vorliegende Kontaktdaten an weitere Informationen und Zugangsdaten zu gelangen. Die Teilnehmer des Bonusprogramms sollten daher verstärkt auf ungewöhnliche Kontaktversuche achten und bei Nachrichten – egal ob per E-Mail, SMS oder Messenger – prüfen, ob der Absender bekannt ist. Insbesondere sollten E-Mail-Anhänge und angebotene Internet-Links nicht unbedacht angeklickt werden.
„Mastercard unterhält in Hessen eine deutsche Repräsentanz. Daher koordiniert der Hessische Beauftragte für Datenschutz und Informationsfreiheit die Bearbeitung der Datenschutzanfragen in Deutschland“, so der LfDI RLP.

Weitere Informationen zum Thema:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, 22.08.2019
Datenpanne bei Mastercard und Mastercard Priceless

verbraucherzentrale, 10.01.2019
Welche Folgen Identitätsdiebstahl im Internet haben kann

datensicherheit.de, 25.07.2019
Schadensersatz: Equifax zahlt 700 Millionen US-Dollar

datensicherheit.de, 25.04.2018
Identitätsdiebstahl: Die unterschätzte Gefahr mit weitreichenden Folgen

datensicherheit.de, 29.01.2018
Dieter Kugelmann: Plädoyer für Souveränität in der digitalen Welt

[datensicherheit.de, 31.05.2019] Ob z.B. neue Bezahlmodelle, die globale Vernetzung von Produktionsketten und „E-Health“ – die Digitalisierung und Vernetzung verändern unser Leben und Arbeiten. Sie bergen allerdings Gefahren: Cyber-Kriminelle können Bankkonten leerräumen, Fließbänder stillstehen lassen oder sogar die Kontrolle über medizintechnische Geräte erlangen. Als weltweit ausstellerstärkste Fachmesse zum Thema Cyber-Sicherheit soll die diesjährige „it-sa“ vom 8. bis 10. Oktober 2019 im Messezentrum Nürnberg ein umfassendes Angebot an Produkten und Lösungen für mehr IT-Sicherheit bieten.

Erstmals in vier Hallen

Die Auflage im Vorjahr 2018 verzeichnete mit 698 Ausstellern und 14.290 Fachbesuchern und Entscheidern laut NürnbergMesse „neue Bestmarken“. Demnach belegt die „it-sa“ dieses Jahr erstmals vier Hallen, um dem weiter wachsenden Interesse nachzukommen.
Das begleitende Kongressprogramm „Congress@it-sa“ startet wieder bereits am Vortag, auch in diesem Jahr mit der Jahrestagung der IT-Sicherheitsbeauftragten in Ländern und Kommunen. Ebenfalls bereits am 7. Oktober 2019 findet „UP19@it-sa“ statt, die zweite Ausgabe des „CyberEconomy Match-up“ zur „it-sa“.

Nach Ausstellern weltweit größte IT-Sicherheitsfachmesse

Die „it-sa“ gilt als die nach Ausstellern weltweit größte IT- Sicherheitsfachmesse und führende Informationsplattform für IT-Sicherheitsexperten und Entscheider in Europa. Die beteiligten Unternehmen präsentieren dort Produkte und Lösungen zur IT-Sicherheit einschließlich der physischen IT-Sicherheit sowie entsprechende Dienstleistungen, Beratung und Forschung.
Die Besucher der „it-sa“ repräsentieren Entscheider unter anderem aus den Bereichen Industrie und Produktion, Behörden und Verwaltung sowie KRITIS. Ein umfangreiches Rahmenprogramm, namhafte Begleitveranstaltungen sowie das Kongressprogramm „Congress@it-sa“ bieten zusätzliches und passgenaues Fachwissen an.

Zweistellige Wachstumsrate

Seit mehreren Jahren zeichnet die „it-sa“ laut NünrbergMesse mit zweistelligen Wachstumsraten bei der Aussteller- und Besucherbeteiligung die rasante Entwicklung der IT-Sicherheitsindustrie nach: Bei einer Befragung des Bundesverbands IT-Sicherheit (TeleTrusT) zur Messe-Präferenz seiner Mitgliedsunternehmen habe sich die „it-sa“ erneut mit an die Spitze gesetzt. „Größten Zuspruch der deutschen IT-Sicherheitshersteller finden aktuell die ,it-sa‘ in Nürnberg und die RSA in San Francisco“, so der Verband im April 2019.
Ebenfalls steil nach oben zeige die Kurve der von den beteiligten Unternehmen gebuchten Ausstellungsfläche. „Heute, fünf Monate vor der ,it-sa 2019‘, liegt die Standfläche der bisher gemeldeten Aussteller schon über dem Ergebnis der letzten Veranstaltung“, berichtet Frank Venjakob, „Executive Director it-sa“ bei der NürnbergMesse. Zur „it-sa 2019“ soll die Halle 11.0 die bisherige Hallenkonstellation erweitern, um die benötigten Standflächen realisieren zu können.

Attraktives Messe-, Foren-und Kongressprogramm:

• Wie in den Vorjahren steht nach Angaben der Veranstalter mit „Startup@it-sa“ jungen Unternehmen eine gesondert ausgewiesene Präsentationsfläche zu attraktiven Konditionen offen.
• Ein gemeinsamer Messeauftritt von IT-Security-Unternehmen aus dem Baskenland ist der erste internationale Gemeinschaftsstand, der zur „it-sa 2019“ bereits bestätigt ist.
• Das Programm der offenen Foren soll auch in diesem Jahr mit rund 350 erwarteten Vorträgen auf die „it-sa“ Interessierte anlocken: In jeder Halle finden zahlreiche Kurzvorträge der Aussteller statt, die IT-Sicherheitsfragen aus Perspektive von Management und Technik beleuchten.
• Zu den Höhepunkten zählen die als „it-sa insights“ ausgewiesenen Programmpunkte – produktneutrale Vorträge und Expertendiskussionen von Verbänden und Organisationen – sowie das „International Forum“ als rein englischsprachige Vortragsbühne. Im Mittelpunkt der Forenbeiträge stehen unter anderem rechtliche Fragen und IT-Security-Trends wie der Einsatz Künstlicher Intelligenz (KI) sowie IT-Sicherheit für Industrie 4.0 und Kritische Infrastrukturen (KRITIS).
• Das begleitende Kongressprogramm startet am 7. Oktober 2019. Herausforderungen für IT-Sicherheitsverantwortliche werden dabei in mehreren Veranstaltungen aufgegriffen, die verschiedene Aspekte der IT-Security aufgreifen. Die Jahrestagung der IT-Sicherheitsbeauftragten in Ländern und Kommunen macht „Congress@it-sa“ erneut auch zur wichtigen Informationsplattform für Experten in Behörden und Verwaltung.

„CyberEconomy Match-up“ geht in die zweite Runde

Am Vortag der „it-sa 2019“ treten bei „UP19@it-sa“ zwölf Start-ups aus dem IT-Sicherheitsbereich an, um potenzielle Investoren in einem Speed-Pitch zu überzeugen. Beim „CyberEconomy Match-Up“ für Start-ups, Macher und Entscheider darf sich präsentieren, wer vorab die Fachjury überzeugen konnte. Sie bewertet das Gesamtpaket aus Angebot, Unternehmen sowie Vertriebs- und Marketingstrategie.
Dem Gewinner des „UP19@it-sa Award“ winkt ein individuelles Coaching und Mentoring durch den Digital Hub Cybersecurity und das Bayerische IT-Sicherheitscluster. Bewerbungen sind bis zum 9. August 2019 möglich.

Abbildung: NürnbergMesse

Auch „datensicherheit.de“ ist wieder mit dabei!

Weitere Informationen zum Thema:

it-sa 2019 Die IT-Security Messe und Kongress
8. – 10. Oktober 2019 // Nürnberg

datensicherheit.de, 30.05.2019
it-sa 2019: Aufruf zur Teilnahme am UP19@it-sa Award / Veranstaltung am Vortag der Messe in Nürnberg

datensicherheit.de, 05.10.2018
it-sa 2018: 10. Expertentreffen der IT-Sicherheitsbranche in Nürnberg

datensicherheit.de, 28.06.2018
UP18@it-sa: Neues Veranstaltungsformat am Vortag der it-sa 2018 / Der erste Wettbewerb ausschließlich für IT-Security-Start-ups

Von unserem Gastautor Perry Carpenter, Chief Evangelist & Strategy Officer bei KnowBe4

[datensicherheit.de, 15.04.2019] Bei der Bemühung im Unternehmen eine Verhaltensveränderung auf Seiten der Mitarbeiter herbeizuführen, gibt es verschiedene Möglichkeiten diese zu einer Art menschlichen Firewall zu trainieren. Doch das ist erst der erste Schritt. Ein weiterer Schritt ist das Konzept der Kulturträger.

In einem organisatorischen Kontext ist ein Kulturträger: „Jemand, der die Unternehmenswerte genau kennt und eine intelligente Diskussion darüber führen kann, warum das Unternehmen tut, was es tut. Sie sind Botschafter ihres Unternehmens und setzen sich mit Leidenschaft für die Förderung der Unternehmenswerte im täglichen Umgang mit Kunden und Mitarbeitern ein.“ Eine Möglichkeit, den Einfluss von Sicherheitswerten zu erhöhen, besteht darin, Kulturträger zu nutzen.

Konzept der Kulturträger effektiv

Das Konzept der Kulturträger ist effektiv, weil es skalierbar und kostengünstig ist, aus hoch engagierten Personen besteht und Unternehmen im Wesentlichen ihr eigenes Kommunikationsnetzwerk aufbauen. Verantwortliche sollten darüber nachdenken – anstatt nur eine Person zu haben, die eine Nachricht überbringt, haben sie viele im gesamten Unternehmen, die helfen, diese Nachricht zu verstärken. Auch die finanziellen Kosten sind minimal, um diese Art von Programm umzusetzen: Die größten Kosten sind natürlich der Zeitaufwand. Diese Botschafter verstehen sowohl die Herausforderungen als auch die Kulturen ihrer Abteilungen und machen ihre Kommunikation mit ihnen viel effektiver als die Kommunikation von jemand anderem.

In vielerlei Hinsicht schaffen Unternehmen bei der Entwicklung von Kulturträgern ein eigenes Kommunikationsnetzwerk. Nicht nur, dass diese wichtigen Informationen in der gesamten Organisation weitergeben, die das Unternehmen verbreiten möchte, sondern sie sammeln auch wichtige Informationen von den Trägern.

Bild: KnowBe4

Kulturträge sind Surround-Soundsysteme

Kulturträger können mit einem Surround-Soundsystem verglichen werden. Eine Stereoanlage ist relativ einfach, sie leitet den Klang von vorne auf den Hörer zu. Eine Stereoanlage ist wie die Arbeit von oben nach unten in einem Unternehmen. Mit einer einfachen Stereoanlage können sie das Gefühl haben, dass der Klang gerade auf den Hörer zukommt. Wenn jedoch einige Komponenten des Surround-Sounds hinzugefügt werden, verbessert sich das gesamte Hörerlebnis. Große Surround-Soundsysteme geben einem das Gefühl, dass man in den Klang eingetaucht ist, im Gegensatz zu dem Klang, der gerade auf den Hörer zukommt.

Kulturträger sind wie Surround-Sound-Lautsprecher. Wenn Unternehmen Surround-Sound haben, werden die Botschaften, Werte und Verhaltensweisen von mehreren Punkten aus verstärkt, was zu einem immersiven Erlebnis führt.

Unternehmen sollten einen Moment darüber nachdenken, wie die Idee eines Kulturträgers in einem Sicherheitskontext aussehen könnte. Sie müssen sich vorstellen, in der Firma gibt es Gruppen von Personen in Regionen, Abteilungen und auf allen Ebenen des Unternehmens, die die Sicherheitswerte genau kennen und positives Sicherheitsverhalten modellieren; sie können diskutieren, warum diese Werte und Verhaltensweisen relevant und wichtig sind. Unternehmen sollten sich dann vorstellen, wie die Kraft und der Einfluss sein könnten, den sie mitbringen würden. Wenn daran investiert wird, die Unternehmenswerte zu fördern, mit anderen Menschen zu interagieren, Projekte zu unterstützen, Neueinstellungen zu begleiten und anderen Mitarbeitern in ihrer Umgebung zu helfen. Diese Gruppe von Mitarbeitern wird zu einem Kraftmultiplikator für andere Mitarbeiter und das größere Unternehmen.

Kulturträger als Vorbilder für Security Awareness

Indem sie die Kultur auf diese Weise verbreiten, schafft das Security Awareness-Programm einen kritischen Rahmen für Nachhaltigkeit. Die verteilte Natur der Kulturträger ermöglicht es, dass Sicherheitsinhalte und -werte verschiedene Abteilungen und Regionen des Unternehmens erreichen. Das System von Kulturträgern und die Methoden, mit denen Unternehmen deren Wert und Unterstützung anerkennen, sind alles Faktoren für ihre Nachhaltigkeit.

Diese Gruppe von Kulturträgern, Botschaftern oder wie auch immer man sie nennen möchte, sollten von allen Ebenen des Unternehmens und in so vielen Abteilungen und Regionen wie möglich kommen, um die Verbreitung und Diversifizierung ihrer Sicherheitsnachrichten deutlich zu unterstützen. Menschen können sich bewerben, um Kulturträger zu werden, Manager können nominieren, andere Mitarbeiter können nominieren oder Umfragen können helfen, einflussreiche Personen zu identifizieren. Im Idealfall sollten Sicherheitskulturträger bereits respektiert und einflussreiche Personen innerhalb der Abteilungen und Peer-Gruppen sein. Dieses Konzept ist am effektivsten, wenn die Personen wirklich an das Programm glauben.

Fazit

Es ist auch wichtig, Anreize mit den Erfolgen des Programms zu verknüpfen. Unternehmen sollten überlegen, was sie tun können, damit sich ihre Kulturträger besonders und geschätzt fühlen. Dass muss keine monetären Belohnungen bedeuten – es kann Anerkennung, das Gefühl, über Insiderwissen zu verfügen, usw. sein. Die wichtige Sache ist zu erkennen, dass die Kulturträger ihnen einen wertvollen Dienst erweisen, und deshalb sollten sie ihnen einen gewissen Wert zurückgeben. Insgesamt sind Kulturträger eine der effektivsten Kommunikationstaktiken, um die Kernbotschaften eines Security Awareness-Programms zu verbreiten. Sie sind eine Verstärkung der Botschaft. Unternehmen und Sicherheitsverantwortliche sollten diesen entscheidenden Schritt bei der Entwicklung eines effektiven Security Awareness-Programms nicht übersehen, sondern für sich ausnutzen.

Weitere Informationen zum Thema:

datensicherheit.de, 07.11.2018
Security Awareness: Tipps für ein funktionierendes Sicherheitsbewusstsein im Unternehmen

datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen

Von unserem Gastautor Perry Carpenter, Chief Evangelist und Strategy Officer bei KnowBe4

[datensicherheit.de, 07.11.2018] Um den Prozess der Erstellung eines soliden Plans und einer soliden Grundlage für ein Security Awareness-Programm zu beginnen, müssen sich interne Sicherheitsexperten die Zeit nehmen, zu erfahren, was die Mitarbeiter im Unternehmen über Sicherheit überhaupt denken.

Ein kritischer Schritt ist die Implementierung eines Frameworks, um sicherzustellen, dass die Dinge strukturiert angegangen werden, anstatt sie einfach nachzubauen. Besonders in großen globalen Unternehmen empfiehlt sich, eine Reihe von Interviews oder Schnellumfragen durchzuführen. Daran lässt sich ablesen, wie verschiedene Abteilungen und Bereichsleiter Sicherheit sehen, Richtlinien und Best Practices verstehen und was sie wirklich für wichtig halten. Es ist immer wieder interessant zu sehen, welche Unterschiede und Gemeinsamkeiten dieser Prozess aufdecken kann. Es hilft Unternehmen auch zu verstehen, ob ihre wichtigsten Führungskräfte sich einig sind und ob es einige politische oder logistische Hürden gibt, die beim Aufstellen eines Sicherheitskonzepts überwunden werden müssen.

Bild: KnowBe4

Perry Carpenter, Chief Evangelist und Strategy Officer bei KnowBe4

Mit diesem Hintergrundwissen können Unternehmen beginnen, ihre Jahresziele zu erstellen. Hierfür kann der SMARTER-Zielsetzungsrahmen genutzt werden. Der Ansatz stammt von mehreren Produktivitäts-Gurus und es gibt einige verschiedene Versionen des SMARTER-Frameworks; für unsere Zwecke verwenden wir hier die Michael-Hyalt-Version.

SMARTER Rahmenziele im Rahmen eines Security Awareness Programms setzen sich wie folgt zusammen:

• Spezifisch genug, um die Bemühungen der Unternehmen zu konzentrieren und zu lenken. Was genau erhofft sich der Sicherheitsexperte im nächsten Jahr zu erreichen? Darüber sollte er nachdenken, sowohl in Bezug auf die Bereitstellung von Inhalten, Verhaltensänderungen und alle anderen Ziele, die er soweit verfeinern kann, dass das Security Awareness-Programm genau darauf eingeht.
• Messbar, damit die Fortschritte verfolgt und die Lücken erkannt werden können. Identifizierung, was gemessen werden soll z.B. die Anzahl der Kampagnen; der Prozentsatz der Kursabschlüsse; die durchschnittlichen Testergebnisse pro Abteilung; prozessanfällige prozentuale Veränderung im Laufe der Zeit; Anzahl der speziellen Trainingsveranstaltungen vor Ort, wie z.B. Table-Top-Übungen; Anzahl der selbst gemeldeten vermuteten Sicherheitsprobleme; Anzahl der gemeldeten vermuteten Phishing-E-Mails v. der Anzahl der genau gemeldeten Phishing-E-Mails und der bekannten nicht gemeldeten Phishing-E-Mails; und die Liste wird fortgesetzt. Der Punkt ist, messbare Attribute/Ergebnisse eines Sicherheitsbewusstseinsprogramms zu finden, die für das Unternehmen relevant sind, um die Veränderung, die der Sicherheitsexperte vorantreiben will nachvollziehen zu können.
• Handlungsfähig mit einem klaren Initialverb, das eine bestimmte Aktivität auslöst. Das Security Awareness-Programm wird wahrscheinlich mehrere Ziele haben. Jedes Ergebnis sollte mit einem Aktionsverb klar formuliert werden. Hier ist ein Beispiel: „Reduzieren Sie unseren gesamten Prozentsatz für Phishing-Anfälle von 22% auf 2% bis Dezember 2018.“ Und hier kommt ein weiteres Beispiel: „Aufbau unseres Security Awareness Dashboards und Bereitstellung vereinbarter Kennzahlen bis Ende des ersten Quartals 2018“.
• Riskant genug, um eine natürliche Tendenz zur Bewältigung von Herausforderungen zu nutzen. Sicherheitsexperten sollten sich fragen, wo sie es sich leisten können, riskant zu sein. Was ist das Ziel, um die Anfälligkeit des Unternehmens für Social Engineering-Angriffe zu reduzieren? Hier sollten Sicherheitsexperten ein Risiko eingehen und aggressiv in ihrer Einschätzung ein. Dies zwingt sie (und alle anderen in der Genehmigungskette für das Programm), eine bewährte Vorgehensweise mit häufigen Phishing- und Social-Engineering-Tests anzuwenden, so dass die Mitarbeiter entsprechend darauf vorbereitet sind, nicht auf Phishing-Links zu klicken. Oder vielleicht ist es ein riskantes Ziel, das Programm zum ersten Mal global auszurichten. Wenn ja, wird die Angabe des Ziels sein, die verantwortlichen Sicherheitsexperten dazu zu zwingen, mit anderen Bereichen des Unternehmens zusammenzuarbeiten, um sicherzustellen, dass das Programm die besten Erfolgsaussichten hat, wenn es in jeder Region umgesetzt wird.
• Zeitgesteuert, so dass Sicherheitsexperten genau dann aufgefordert werden, wenn sie handeln müssen. Das ist im Grunde genommen selbsterklärend. Wenn sie sich nicht auf einen bestimmten Zeitrahmen festgelegt haben, werden sie das Ziel wahrscheinlich nur als vage ansehen. Sobald ein Datum damit verbunden wird, ist der Anreiz größer, daran zu arbeiten, das Datum einzuhalten. Und das zwingt die Verantwortlichen, ab dem Zieldatum rückwärts zu arbeiten und das Ziel in überschaubare/definierte Blöcke aufzuteilen.
• Spannend genug, um die Kraft der inneren Motivation zu nutzen. Es geht darum, sich von einer „Check the Box“-Mentalität in eine Art Kreuzritter-Mentalität zu transformieren. Verantwortliche sollten darüber nachdenken, warum jeder Aspekt des Programms wichtig ist. Wie verbessert es die Gesamtorganisation? Der Kontakt mit dem zugrunde liegenden „Warum“ hinter jedem Aspekt kann dazu beitragen, die Verantwortlichen das ganze Jahr über mit Energie zu versorgen, während sie auf den Wellen des Erfolgs und der Frustration reiten.
• Relevant für den Gesamtkontext des Unternehmens und der Mitarbeiter. Sicherheit sollte nicht zu einem abstrakten Konzept werden. Wenn Dinge trainiert werden, die für das Unternehmen oder die Mitarbeiter nicht relevant sind, werden sie den Inhalt ignorieren und vergessen. Mache es real, mache es verknüpfbar und mache es relevant. Dies bedeutet wahrscheinlich, dass die Verantwortlichen in verschiedenen Abteilungen, Regionen oder Altersgruppen unterschiedliche Nachrichten und Taktiken verwenden.

Weitere Informationen zum Thema:

datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen

[datensicherheit.de, 07.03.2018] Nach Einschätzung von Telekom Security-Chef Dirk Backofen hat die weltweite Attacke mit dem Verschlüsselungstrojaner „WannaCry“ 2017 „überdeutlich“ gezeigt, dass die IT-Infrastrukturen global viel zu wenig geschützt sind. Cyber-Angriffe würden, selbst wenn sie sich gegen bekannte Schwachstellen richteten, immer noch nicht ausreichend erkannt und abgewehrt. Sie könnten sich damit international weit verbreiten. In seinem Acht-Punkte-Programm forderte Backofen Unternehmen daher auf, ihre Cyber-Sicherheit „massiv“ auszubauen: „Ohne vernünftigen Cybersecurity-Schutz verschenken wir wichtigen Boden und ungeahnte ökonomische Werte an die Angreifer“, warnte er auf dem „3. Telekom Fachkongress Magenta Security“ in Bonn.

Foto: Deutsche Telekom AG

Telekom Security-Chef Dirk Backofen fordert „Cyber-Schutzimpfung“ für alle Unternehmen

Immunisierung der gesamten Gesellschaft

„Wir benötigen eine Immunisierung der gesamten Gesellschaft. Eine Art Cyber-Schutzimpfung für alle Unternehmen. Denn Sicherheit funktioniert nur, wenn alle mitmachen und immun gegen Cyber-Attacken sind.“

Folgende acht Programm-Punkte stellte Backofen am 7. März 2018 in Bonn vor:

1. Security by Design
   Sicherheit sei kein Attribut, das dem fertigen Produkt angehängt werden könnte. Sicherheit müsse bei jeder Neu- oder Weiterentwicklung von Beginn an mitgedacht, quasi in die „DNA“ eines Produktes eingeschrieben werden.
   Das gelte zum einen für Unternehmen, die Produkte entwickeln. Das gelte aber auch für Geschäftskunden, die Produkte beziehen: Sie seien gefordert, „Security by Design“ bereits in ihren Ausschreibungsunterlagen zu verlangen.
2. Verpflichtende Vulnerability Scans
   IT-Systeme und Lösungen müssten nicht nur einmalig beim Launch neuer Produkte und Systeme, sondern kontinuierlich auf Schwachstellen getestet werden. Diese Tests müssten verpflichtend und überprüfbar sein.
3. APT-Schutz für jedes geschäftliche Postfach und Web
   Unternehmen müssten zwingend einen Schutz gegen sogenannte fortgeschrittene, andauernde Bedrohung (Advanced Persistent Threat), kurz APT, für jedes Postfach und ihren Web-Zugang gewährleisten, um komplexe, zielgerichtete und effektive Angriffe sicher zu verhindern.
4. DDoS-Absicherung im Terabit-Bereich
   Unternehmen müssten ihren Schutz gegen volumenbasierte Attacken aus dem Internet, sogenannte DDoS-Attacken (Distributed Denial of Service) überprüfen und so aufrüsten, dass er gegen die immer stärker werdenden Angriffe bis in den Terabit-Bereich wirkt.
5. Mobile Security für Unternehmen
   Mobile Endgeräte benötigten eine Art „Dauer-Radar“ als Schutzschild, der jedes einzelne Smartphone oder Tablet überwacht und bei Bedrohung vom Netz nimmt, um so Gefahren speziell beim Zugang zu Unternehmensnetzen rechtzeitig zu erkennen und fernzuhalten.
6. Verpflichtende Cyber-Abwehr für Unternehmensnetzwerke
   Prävention alleine reiche für den Schutz von Unternehmen lange nicht mehr aus. Angreifer könnten sich über nachgeladene Schadsoftware oder infizierte USB-Sticks unbemerkt Zugang zu Unternehmensnetzwerken und wichtigen Daten verschaffen.
   „Zero Day Exploits“ und APTs seien nur durch ausgefeilte Detektionsmaßnahmen und gezielte Abwehrmaßnahmen unter Kontrolle zu bringen. Dazu sollten Systeme zur Erkennung und Verarbeitung von Cyber-Attacken (SIEM) für die Unternehmen verpflichtend sein. Ein Kernelement sei dabei neben der „Threat Intelligence“ das Wissen über Angriffsvektoren und deren gezielte Bekämpfung.
7. Industrienetzwerke wie Kritische Infrastrukturen behandeln!
   Industrienetzwerke seien heute immer noch zu wenig geschützt, allerdings hoch sensibel. Sie müssten ebenso umfassend geschützt werden wie die Kritische Infrastrukturen selbst.
8. Reaktionsgeschwindigkeit erhöhen!
   Im Schnitt dauere es 180 Tage, bis Unternehmen merkten, dass ein Angreifer in ihrem IT-Systems sensible Daten gestohlen hat oder noch danach sucht. 180 Tage Zeit, um Schaden anzurichten!
   Daher müsse gelten: „Zeit ist Sicherheit!“ Die Geschwindigkeit der Angriffswellen müsse einhergehen mit schneller greifenden Detektions- und Abwehrmaßnahmen.

Weitere Informationen zum Thema:

Deutsche Telekom, 20.02.2018
Fachkongress der Extraklasse

datensicherheit.de, 22.06.2017
Telekom Security: Hochsicherheit für Fernwartung

[datensicherheit.de, 31.08.2011] Die cirosec GmbH wird vom 11. bis 13. Oktober 2011 auf der IT-Security-Messe „it-sa“ in Nürnberg mit einem eigenen Stand (Nummer 413) vertreten sein. Im Mittelpunkt des diesjährigen Auftritts stehen neben der Sicherheit sensibler Daten und Werkzeugen zur Sicherheitsüberprüfung Themen wie Anomalie-Erkennung im Netzwerk und „iPhone-“/„iPad“-Sicherheit:
„iPhone“ und „iPad2 weckten Emotionen – positive wie negative. Auf der einen Seite stehe der Manager, der Kontakte und E-Mails mit seinem Apple-Gerät synchronisieren möchte, auf der anderen der Sicherheitsbeauftragte, welcher dabei mit zu vielen ungeklärten Sicherheitsfragen konfrontiert werde. In der Präsentation am Stand will cirosec die Messebesucher über die Sicherheitsaspekte von „iPhone“ und „iPad“ informieren und dabei insbesondere auf den Einsatz von Apple-Geräte im Unternehmensumfeld eingehen.

Abbildung: SecuMedia Verlags GmbH, Gau-Algesheim

cirosec GmbH am Stand 413 mit umfangreichem Vortragsprogramm

Auf dem cirosec-Stand stellen als Partner Sirrix, Core Security und Lancope ihre Produkte vor.

Vortragsprogramm auf dem cirosec-Stand:

Dienstag, 11. Oktober 2011
10 Uhr: Sicherheit in virtualisierten Umgebungen
11 Uhr: Lancope: Anomalie-Erkennung im Netzwerk und Netflow-Analyse
12 Uhr: Sicherheit von iPhone/iPads
13 Uhr: Core Technologies: Plattform für Penetrationstests
14 Uhr: Web-Applikations-Sicherheit
15 Uhr: Sicherheit sensibler Daten, anschließend Sirrix: Schutz für Unternehmensdaten vor unerwünschtem Datenabfluss
16 Uhr: Intrusion Detection und Intrusion Prevention
17 Uhr: Kennzahlen in der IT-Sicherheit

Mittwoch, 12. Oktober 2011
10 Uhr: Incident Response und Forensik
11 Uhr: Sirrix: Schutz für Unternehmensdaten vor unerwünschtem Datenabfluss
12 Uhr: Sicherheitsüberprüfungen und Audits
13 Uhr: Kontrolle und Nachvollziehbarkeit administrativer Zugriffe
14 Uhr: Lancope: Anomalie-Erkennung im Netzwerk und Netflow-Analyse
15 Uhr: Core Technologies: Plattform für Penetrationstests
16 Uhr: Sicherheit von iPhone/iPads
17 Uhr: Verwundbarkeits-Management

Donnerstag, 13. Oktober 2011
10 Uhr: Core Technologies: Plattform für Penetrationstests
11 Uhr: Informationssicherheits- und Risikomanagement
12 Uhr: Sirrix: Schutz für Unternehmensdaten vor unerwünschtem Datenabfluss
13 Uhr: Lancope: Anomalie-Erkennung im Netzwerk und Netflow-Analyse
14 Uhr: Sicherheitsüberprüfungen und Audits
15 Uhr: Web-Applikations-Sicherheit aus Angreifersicht
16 Uhr: Sicherheit sensibler Daten

Im Rahmen einer „Guided Tour“ gibt die cirosec GmbH am 11. Oktober 2011 von 15 bis 16 Uhr eine Einführung mit dem Thema „Sicherheit sensibler Daten“. Zudem gibt es einen Vortrag der cirosec GmbH auf dem „Forum blau“ am 12. Oktober 2011 um 14 Uhr mit dem Titel „Sicherheit im internen Netzwerk“.

[datensicherheit.de, 29.01.2010] Das Programm des Sicherheitsforums auf den 4. Berliner globits-Tagen ist eine Kooperationsveranstaltung mit datensicherheit.de und steht in der Tradition der DatenSicherheitsTage des PINNOW & Partner GmbH:

Programm für den DatenSicherheitsTag – das Sicherheitsforum auf den 4. Berliner globits-Tagen:

Donnerstag, 25. Februar 2010

13:45-14:00 Uhr Impulsvortrag: Sicherheit – datensicherheit.de/PINNOW & Partner
14:00-14:30 Uhr Datenschutz/Datensicherheit und deren Haftungsbestimmungen – Gentz & Partner
14:30-15:00 Uhr Port-Security – Mikado
15:00-15:30 Uhr – Pause –
15:30-16:00 Uhr Videomanagement, Videoanalyse, Videoüberwachung – Aimetis und Axis
16:00-16:30 Uhr Rechtsgrundlagen der Videoüberwachung sowie die Zulässigkeit und Gerichtsverwertbarkeit von Videobildern – Dr. Ullrich Dieckert

Stand vom 29.01.2010. Änderungen vorbehalten.

Anmeldung zu den 4. Berliner globits-Tagen.

Weitere Informationen zum Thema:

globits GmbH
4. Berliner globits-Tage

datensicherheit.de, 14.01.2020
Veranstaltungshinweis: 4. Berliner globits-Tage / mit DatenSicherheitsTag Berlin am 25.02.2010

Im Oktober 2008 hätten sich Bundesbildungs- und -innenministerium darauf verständigt, IT-Sicherheit zu einem Forschungsschwerpunkt zu machen. Jetzt beginne das entsprechende Förderprogramm. Es stelle innerhalb von fünf Jahren 30 Millionen Euro zur „Stärkung der Innovationsfähigkeit der Unternehmen in Deutschland“ bereit, berichtete die iX in ihrer Online-Ausgabe am 03.09.2009:
Die Zuwendungen sollten innovative Forschungsprojekte unterstützen, die ohne Förderung nicht durchgeführt werden könnten. Als zentrale Themenschwerpunkte sehe das Ministerium derzeit „Neue Herausforderungen zum Schutz von IT-Systemen und der Identifikation von Schwachstellen“ sowie die „Sicherheit in unsicheren Umgebungen“.

Quelle: iX, 03.09.2009
Originalartikel unter: Bundesregierung fördert Forschung zur IT-Sicherheit

Weitere Informationen zum Thema:

Bundesministeriums für Bildung und Forschung, 26.08.2009
Bekanntmachung des Bundesministeriums für Bildung und Forschung von Richtlinien zur Förderung der IT-Sicherheit

heise Security, 06.03.2009
CeBIT: Bundesregierung steckt 30 Millionen Euro in Programm für IT-Sicherheit Meldung vorlesen