Greenbone – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Wed, 12 Aug 2020 21:36:16 +0000 de hourly 1 Cyber Resilience: 5 Mythen in der Analyse https://www.datensicherheit.de/cyber-resilience-5-mythen-analyse https://www.datensicherheit.de/cyber-resilience-5-mythen-analyse#respond Sun, 09 Aug 2020 17:49:53 +0000 https://www.datensicherheit.de/?p=37411 greenbone-elmar-geeseCyber Resilience | Unternehmen sehen sich mit immer raffinierteren Cyber-Angriffen und teureren Datenskandalen konfrontiert.]]> greenbone-elmar-geese

Unternehmen sehen sich mit immer raffinierteren Cyber-Angriffen und teureren Datenskandalen konfrontiert

[datensicherheit.de, 09.08.2020] Angesichts der wachsenden Bedrohung durch Cyber-Angriffe wird die sogenannte Cyber Resilience für Unternehmen immer wichtiger. Erst 36 Prozent der Unternehmen hätten bisher allerdings ein hohes Resilienz-Level erreicht – so die Erkenntnis einer aktuellen Studie von Frost & Sullivan und Greenbone Networks. Ob „Cyber Resilience“ nur etwas für große Unternehmen mit hohen IT-Budgets ist, erörtert Elmar Geese, „COO“ bei Greenbone, in seine aktuellen Stellungnahme und möchte dabei „mit den häufigsten Mythen“ aufräumen.

greenbone-elmar-geese

Foto: Greenbone Networks

Elmar Geese: Auch KMU als Hidden Champions im Visier Cyber-Krimineller

Cyber-Vorfälle im aktuellen Allianz Risk Barometer zum weltweit wichtigsten Geschäftsrisiko aufgestiegen

Erstmals seien Cyber-Vorfälle im aktuellen „Allianz Risk Barometer“ zum weltweit wichtigsten Geschäftsrisiko aufgestiegen. Sie verdrängten damit den langjährigen Spitzenreiter, die Betriebsunterbrechung, von Platz 1 – beide Risikofaktoren seien eng miteinander verknüpft. Unternehmen sehen sich demnach mit immer raffinierteren Angriffen und teureren Datenskandalen konfrontiert. So koste ein schwerer Datendiebstahl laut dem Ponemon Institute heute durchschnittlich 42 Millionen Dollar und damit acht Prozent mehr als im Vorjahr.
Viele Unternehmen versuchten daher, Cyber-Resilienz zu erlangen. Laut einer Studie von Frost & Sullivan und Greenbone Networks hätten allerdings erst 36 Prozent der Organisationen in sechs Schlüsselindustrien in Deutschland, Frankreich, Großbritannien, den USA und Japan „ein hohes Level an ,Cyber Resilience‘ erreicht“. Häufig herrsche noch Unklarheit, „was sich hinter diesem Konzept eigentlich verbirgt und welche Faktoren und Fähigkeiten entscheidend sind“.

Mythos 1: Cyber Resilience reines Technologie-Thema

„Cyber Resilience“ beschreibe die Fähigkeit eines Unternehmens, trotz eines Cyber-Vorfalls geschäftsfähig zu bleiben, und gehe über den reinen Schutz von IT-Netzwerken und -Systemen hinaus. Der Ansatz bestehe darin, Sicherheit aus den Geschäftsprozessen heraus zu schaffen, statt einen Schutzwall um sie herum zu bauen. Technologie sei daher nur ein Aspekt. Genauso wichtig seien Menschen und Kultur sowie Prozesse und Organisation. Eine entscheidende Rolle spiele zum Beispiel die Art und Weise, wie ein Unternehmen Prozesse gestaltet und Mitarbeiter einbezieht.
Verantwortlichkeiten müssten klar und eindeutig festgelegt sein. So zeige der Report von Frost & Sullivan, „dass fast alle hochresilienten Unternehmen (95 Prozent) der Best Practice folgen, die Verantwortung eines digitalen Assets bei seinem Owner anzusiedeln, etwa einer Einzelperson oder einer Abteilung“. Außerdem kristallisierten sich in der Studie die folgenden Kernkompetenzen heraus: Die Fähigkeit, kritische Vermögenswerte jedes kritischen Geschäftsprozesses zu identifizieren, die potenziell durch einen Cyber-Angriff beeinträchtigt werden könnten (97% der hochresilienten Unternehmen). Ferner die Fähigkeit, identifizierte Schwachstellen zu mindern und zu beheben (94% der hochresilienten Unternehmen) – das schließe sowohl technische als auch organisatorische Schwachstellen ein.

Mythos 2: Widerstandsfähigkeit gegen Cyber-Angriffe eine Frage des Budgets

Die Studie zeige zwar, dass hochresiliente Unternehmen im Durchschnitt einen größeren Umsatz und ein höheres IT-Budget hätten als weniger resiliente. Bei genauerer Betrachtung werde jedoch deutlich, dass es keinen Zusammenhang zwischen der Höhe der IT-Ausgaben und dem erreichten Cyber-Resilience-Level gebe. Geese betont: „Wichtiger ist vielmehr ein grundlegendes Verständnis der Geschäftsprozesse und ein Bewusstsein dafür, welches die geschäftskritischen digitalen Ressourcen im Unternehmen sind.“
Gerade bei knappen IT-Budgets komme es darauf an, die zur Verfügung stehenden Mittel auf die wichtigsten Assets zu konzentrieren. Hierbei gehe es häufig um Entscheidungen, die nur Führungskräfte treffen könnten, denn diese müssten Risiken gegen Kosten abwägen. „Cyber Resilience“ müsse daher auf Management-Ebene angesiedelt sein. In 97 Prozent der hochresilienten Unternehmen werde „Cyber Security“ regelmäßig in „Senior Management Meetings“ besprochen.

Mythos 3: Cyber Resilience schließt System-Ausfälle aus

Auch mit den besten Security-Maßnahmen werde es nie hundertprozentige Sicherheit geben. „Cyber Resilience“ bedeute daher nicht nur, Hacker-Angriffe so gut es geht abzuwehren, sondern auch im Falle einer Attacke schnell gegenzusteuern und trotzdem die gesetzten Geschäftsziele erreichen zu können.
„Wie die Frost & Sullivan-Studie zeigt, sind sich Unternehmen zunehmend bewusst, dass Cyber-Angriffe unvermeidlich sind. Die Fähigkeit, sie zu verhindern, spielt daher eine eher untergeordnete Rolle auf dem Weg zur Resilienz“, erläutert Geese. Als wichtiger erachten die Befragten die Fähigkeit, auf Cyber-Attacken zu reagieren (81%), ihre Auswirkungen auf kritische Geschäftsprozesse zu mindern (79%) und identifizierte Schwachstellen zu schließen (78%).

Mythos 4: Cyber Resilience auf das eigene Unternehmen begrenzt

Da „Cyber Resilience“ auf die Geschäftsziele fokussiere und von der Prozess-Seite her gedacht werden müsse, „endet sie nicht an den Grenzen des eigenen Hauses“. Vielmehr müssten Unternehmen auch an alle Beteiligten denken, mit denen sie vernetzt sind oder zu denen es Abhängigkeiten gibt, zum Beispiel Lieferanten, Kunden, Mitbewerber oder Regulierungsbehörden.
Wie wichtig es sei, eine breitere „Nachbarschaft“ zu berücksichtigen, zeige das Beispiel des Energiesektors. Kommt es dort an einer Stelle im Gefüge zu Ausfällen, ziehe dies eine ganze Kaskade von Problemen nach sich, „denn ohne Strom funktioniert in unserer heutigen Gesellschaft nahezu nichts mehr“.

Mythos 5: Konzepte für Cyber Resilience nur etwas für große Organisationen

Geese stellt klar: „Es wäre fatal zu glauben, dass nur große Unternehmen von Cyber-Angriffen betroffen sind. Schon längst haben Hacker auch kleinere und mittelständische Organisationen als attraktives Ziel entdeckt.“ Denn gerade dort gebe es oft viele „Hidden Champions“, bei denen sich Industriespionage und Datendiebstahl lohnten.
Zudem seien KMU häufig schlechter geschützt als große Unternehmen und damit ein leichteres Opfer. Laut einer aktuellen Bitkom-Studie seien 2019 mindestens 75 Prozent aller deutschen Unternehmen von Cyber-Angriffen betroffen gewesen. Besonders bei den kleineren Betrieben mit zehn bis 99 Mitarbeitern sei die Zahl im Vergleich zu 2017 deutlich angestiegen. Die Fähigkeit, sich auf solche Vorfälle einzustellen, schnell handeln zu können und betriebsfähig zu bleiben, werde daher „für Unternehmen aller Größen zu einem entscheidenden Wettbewerbsfaktor“.

Weit aber lohnend: Der eigene Weg zur Cyber Resilience

Die meisten Unternehmen in den fünf größten Volkswirtschaften der Welt befänden sich noch am Anfang auf ihrem Weg zu hoher Cyber Resilience. Es gebe also noch viel zu tun. Nur indem Unternehmen alle drei Dimensionen „Technologie und Infrastruktur“, „Menschen und Kultur“ sowie „Organisation und Prozesse“ in einem umfassenden Konzept berücksichtigten, könnten sie ihr Ziel erreichen.
Cyber Resilience sei keine reine Frage der Technik, des IT-Budgets oder der Unternehmensgröße und dürfe nicht an den Grenzen des eigenen Hauses aufhören. „Wer auf seine geschäftskritischen Prozesse und Assets fokussiert, Schlüsselfähigkeiten erwirbt und sich an ,Best Practices‘ orientiert, macht einen großen Schritt nach vorn, so Geeses Fazit.

Weitere Informationen zum Thema:

Allianz, 14.02.2020
Allianz Risk Barometer 2020: Cyber steigt zum weltweiten Top-Risiko für Unternehmen auf

Greenbone
Cyber Resilience – die Antwort auf die Risiken unserer vernetzten Geschäftswelt

datensicherheit.de, 16.11.2018
Internationaler Cyber Resilience Think Tank: Hohe Priorität für Threat Intelligence

]]>
https://www.datensicherheit.de/cyber-resilience-5-mythen-analyse/feed 0
1,19 Milliarden medizinische Bilder im Internet zugänglich https://www.datensicherheit.de/119-milliarden-medizinische-bilder-im-internet-zugaenglich https://www.datensicherheit.de/119-milliarden-medizinische-bilder-im-internet-zugaenglich#respond Fri, 22 Nov 2019 19:28:03 +0000 https://www.datensicherheit.de/?p=35238 Erneute Greenbone-Analyse zeigt Ausmaß der Schwachstellen im medizinischen Bereich

[datensicherheit.de, 22.11.2019] Greenbone, nach eigenen Angaben Lösungsanbieter zur Schwachstellenanalyse von IT-Netzwerken, hat ein Update seines Sicherheitsberichts zu ungeschützten medizinischen Bildarchivierungssystemen (Picture Archiving and Communication Systems, PACS) veröffentlicht. Ärzte und Kliniken auf der ganzen Welt nutzen demnach PACS-Server, um radiologische Bilder wie CT- oder MRT-Aufnahmen zu speichern. In der ersten Analyse vor 60 Tagen habe Greenbone Networks über 24 Millionen öffentlich zugängliche Patientendatensätze im Internet gefunden – seither sei die Zahl auf 35 Millionen gestiegen.

Die meisten neuen Datensätze in den USA entdeckt

Sicherheitsforscher von Greenbone hätten 1,19 Milliarden medizinische Bilder im Zusammenhang mit diesen Patientendaten identifiziert. Das seien 60 Prozent mehr als bei der ersten Analyse zwischen Juli und September 2019.
In vielen Fällen seien Angaben zu Patientennamen, Untersuchungsgrund, Geburtsdatum und sogar Ausweisnummern enthalten. Die meisten neuen Datensätze seien in den USA entdeckt worden. Die 786 Millionen damit verknüpften medizinischen Bilder enthielten zum Teil Sozialversicherungsnummern oder Angaben zu Militärausweisen des Verteidigungsministeriums.

Seit erster Analyse vor 60 Tagen keine Verbesserung erkennbar

Weltweit habe Greenbone 129 neue, ungeschützte Archivierungssysteme entdeckt. Neun weitere Länder seien seit der ersten globalen Analyse hinzugekommen. Am stärksten sei die Zahl der öffentlich im Internet zugänglichen Bilder in den USA, Indien, Südafrika, Brasilien und Ecuador gestiegen.
Greenbone habe außerdem festgestellt, dass angemessene Kontrollmaßnahmen, wie sie zum Beispiel durch das Gesetz zum Schutz von Gesundheitsinformationen (Health Insurance Portability and Accountability Act, HIPAA) in den USA vorgeschrieben seien, weitgehend fehlten. Insgesamt habe sich die Zahl der ungeschützten medizinischen Datensätze von 4,4 Millionen auf neun Millionen mehr als verdoppelt. Damit seien 370 Millionen sensible Bilder öffentlich über das Internet zugänglich. Jeder könne sie mit wenigen Internetkenntnissen einsehen.

Deutschland, Großbritannien, Thailand und Venezuela entfernten medizinische Bildarchivierungssysteme

Umgekehrt habe Greenbone auch festgestellt, dass 172 PACS-Server vollständig offline genommen worden seien. Elf Länder, darunter Deutschland, Großbritannien, Thailand und Venezuela, hätten all ihre medizinischen Bildarchivierungssysteme entfernt, so dass Patientendaten nicht länger über das Internet zugänglich seien.
„Während einige Länder schnell gehandelt haben und alle zugänglichen Daten aus dem Internet entfernt haben, scheint sich das Problem der ungeschützten PACS-Systeme weltweit noch zu verschärfen. Insbesondere in den USA fließen sensible Patienteninformationen offenbar frei zugänglich im Netz. Dort zeichnet sich eine Datenschutzkatastrophe ab“, kommentiert Dirk Schrader, „Cyber Resilience Strategist“ bei Greenbone Networks.

Details zu ungeschützten Systemen nur an autorisierte Stellen

„Bei unserer zweiten Analyse hatten wir nicht damit gerechnet, dass wir noch mehr ungeschützte Daten finden würden als zuvor. Und schon gar nicht, dass wir weiterhin Zugang zu den Systemen haben würden, die wir bereits identifiziert hatten. Immerhin ist es einigen Ländern gelungen, ihre Systeme aus dem Internet zu nehmen. Das gibt Hoffnung. Aber es gibt noch viel zu tun, betont Schrader.
Um die Einhaltung der Datenschutzbestimmungen zu gewährleisten, habe Greenbone im Rahmen seiner Forschung keine Patientendaten heruntergeladen oder eingesehen und werde Details zu den ungeschützten Systemen nur an autorisierte Stellen weitergeben.

Weitere Informationen zum Thema:

Greenbone
Information Security Report / Unprotected patient data in the Internet – a review 60 days later or The Good, the Bad, and the Ugly

]]>
https://www.datensicherheit.de/119-milliarden-medizinische-bilder-im-internet-zugaenglich/feed 0