KMU – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Mon, 14 Oct 2024 18:36:34 +0000 de hourly 1 ELITE 2.0 Wanderzirkus: OT-Awareness für KMU am 16. Oktober 2024 https://www.datensicherheit.de/elite-2-0-wanderzirkus-ot-awareness-kmu-16-oktober-2024 https://www.datensicherheit.de/elite-2-0-wanderzirkus-ot-awareness-kmu-16-oktober-2024#respond Mon, 14 Oct 2024 18:36:34 +0000 https://www.datensicherheit.de/?p=45462 fraunhofer-fokus-elite-2-0-wanderzirkus-ot-awareness-kmuELITE 2.0 Wanderzirkus: »OT-Awareness für KMU«: Im Fraunhofer FOKUS findet der Informationstag am 16. Oktober 2024 von 8.00 bis 18.00 Uhr statt.]]> fraunhofer-fokus-elite-2-0-wanderzirkus-ot-awareness-kmu

KMU sollten das Thema IT-Sicherheit weiter auffassen und auch auf die Operation Technology (OT) ausdehnen

[datensicherheit.de, 14.10.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., weist in einer Meldung auf eine Partner-Präsenzveranstaltung in Berlin hin: Im Fraunhofer FOKUS findet der Informationstag „ELITE 2.0 Wanderzirkus: »OT-Awareness für KMU«“ am 16. Oktober 2024 von 8.00 bis 18.00 Uhr statt.

fraunhofer-fokus-elite-2-0-wanderzirkus-ot-awareness-kmu

Abbildung: Fraunhofer-Institut für Offene Kommunikationssysteme

Einladung zum „ELITE 2.0 Wanderzirkus: »OT-Awareness für KMU« am 16. Oktober 2024

„ELITE 2.0 Wanderzirkus: »OT-Awareness für KMU«“

Mittwoch, 16. Oktober 2024 von 9.00 bis 18.00 Uhr
Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS
Kaiserin-Augusta-Allee 31 in 10589 Berlin
Teilnahme für KMU-Vertreter kostenlos, Online-Anmeldung (s.u.) erforderlich.

Für kleine und mittlere Unternehmen (KMU) werde es zunehmend wichtiger, das Thema IT-Sicherheit weiter aufzufassen und auch für die Bereiche der Operation Technology (OT) zu berücksichtigen. Mit „Live Hackings“ und Fachvorträgen sollen demnach Einblicke in Compliance-Regeln und weitere wichtige Aspekte für KMU gegeben werden, welche besonders im Zusammenhang mit der neuen EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) relevant sind.

Mitarbeiter-Sensibilisierung muss auch für OT berücksichtigt werden

Vor dem Hintergrund der EU-Richtlinie NIS-2 wird es offensichtlich gerade für KMU aus dem produzierenden Gewerbe und mit KRITIS-Charakter zunehmend wichtiger, das Thema der Mitarbeiter-Sensibilisierung auch für die Bereiche der Operation Technology (OT) zu berücksichtigen und im Auge zu behalten. Dies sei eine wahrlich komplexe Herausforderung, weil dafür zahlreiche Aspekte der Industriellen Sicherheit (IT-Security, OT-Security, Sicherheit der Lieferkette und physische Sicherheit) betrachtet und verstanden werden müssten. Hierzu gebe es bisher vergleichsweise wenig Informationen und Angebote.

Um dies zu ändern und „Awareness“ zu schaffen, sei unter anderem das Projekt „ELITE 2.0“ ins Leben gerufen worden. Im Rahmen dieses Vorhabens sollen durch die Fraunhofer-Institute IAO und FOKUS „niederschwellige Erlebnisinstrumente“ erreichtet und bereitgestellt werden, mit deren Hilfe KMU an das komplexe Thema OT-Security herangeführt werden könnten.

Weitere Informationen zum Thema und Anmeldung:

Fraunhofer FOKUS
ELITE 2.0 Wanderzirkus: »OT-Awareness für KMU« Veranstaltung am 16. Oktober 2024

]]>
https://www.datensicherheit.de/elite-2-0-wanderzirkus-ot-awareness-kmu-16-oktober-2024/feed 0
Cyber-Sicherheit der KMU benötigt neue Ansätze: 4 Tipps von Utimaco https://www.datensicherheit.de/cyber-sicherheit-kmu-notwendigkeit-neuheit-ansaetze-4-tipps-utimaco https://www.datensicherheit.de/cyber-sicherheit-kmu-notwendigkeit-neuheit-ansaetze-4-tipps-utimaco#respond Thu, 18 Jul 2024 17:20:26 +0000 https://www.datensicherheit.de/?p=45038 utimaco-nils-gerhardtCTO-Utimaco Nils Gerhardt gibt in seiner aktuellen Stellungnahme vier Tipps, wie sich insbesondere KMU mit innovativen Angeboten schützen können.]]> utimaco-nils-gerhardt

KMU sollten Cyber-Sicherheitsmaßnahmen so anpassen, dass sie auch künftig -Angriffen standhalten

[datensicherheit.de, 18.07.2024] Cyber-Angriffe haben in den letzten Jahren offensichtlich drastisch zugenommen. Diese können Betriebe jeglicher Größe treffen – egal, ob Großunternehmen oder kleine und mittelständische Unternehmen (KMU). Aus dieser Erkenntnis erwächst umso dringlicher die Notwendigkeit gezielt zu handeln und die eigenen Cyber-Sicherheitsmaßnahmen so anzupassen, dass sie auch künftig Cyber-Angriffen standhalten können. Nils Gerhardt, „CTO“ von Utimaco, gibt in seiner aktuellen Stellungnahme vier Tipps, wie sich insbesondere KMU mit innovativen Angeboten schützen können, auch wenn sie eben nicht über IT-Security-Experten in den eigenen Reihen verfügen.

utimaco-nils-gerhardt

Foto: Utimaco

Nils Gerhardt gibt Tipps, wie sich KMU mit innovativen Angeboten schützen können – auch ohne über IT-Security-Experten im Hause zu verfügen

Utimaco-CTO rät Unternehmen, ihre Cyber-Sicherheitsmaßnahmen anzupassen

„Cyber-Angriffe betreffen nur Großunternehmen, Soziale Netzwerke oder IT-Dienstleister? Weit gefehlt – inzwischen werden immer häufig auch Produktionsbetriebe, Mittelständler oder sogar Kleinunternehmen Ziel der Attacken.“ Doch gerade dort fehlten oft die Ressourcen, um effektive Prävention zu ergreifen und die eigenen Systeme stets auf dem neusten Stand zu halten.

Allein in den Jahren 2018 bis 2020 seien laut einer Auswertung der KfW knapp 30 Prozent der deutschen Mittelständler Opfer von Cyber-Kriminalität geworden. Gerhardt betont: „Es handelt sich also um eine konkrete Bedrohung, die zu enormer Geschäftsschädigung führen kann. Gleichzeitig sehen EU-weite Verordnungen wie NIS-2 und DORA vor, dass Manager in bestimmten Branchen auch persönlich für IT-Sicherheitsverstöße haftbar gemacht werden können, was die Dringlichkeit dieses Themas natürlich noch erhöht.“ Es sei daher höchste Zeit für Unternehmen, ihre Cyber-Sicherheitsmaßnahmen anzupassen.

1. Utimaco-Tipp: Auf die Cloud setzen!

Gerhardt führt hierzu aus: „Lange Zeit gab es Vorbehalte gegen Datenhaltung in der ,Cloud’. Unternehmen fühlten sich nicht sicher dabei, Daten aus der Hand zu geben. Das eigene Rechenzentrum, der eigene Server schienen die sicherere und kontrollierbarere Infrastruktur zu sein. Doch der Schein trügt. Ein kleineres Unternehmen, das eigene Infrastrukturen betreibt, kann niemals die Ressourcen zur Cyber-Abwehr aufbieten wie ein großer ,Cloud’-Provider.“

Ein solches werde auch kaum eine 24-Stundenbereitschaft abstellen können, um jederzeit Patches einspielen zu können, damit Systeme stets aktuell sind. Die Situation lasse sich mit Bargeld unter der Matratze vergleichen: „Dass dieses dort wesentlich unsicherer verwahrt ist, als in einem Banksafe, der vielfach gesichert und rund um die Uhr bewacht ist, leuchtet schnell ein. Warum nicht auch beim Thema ,Cloud’ umdenken?“

Um Datensicherheit und Datenschutz gleichzeitig zu gewährleisten, gebe es allerdings auch dort einiges zu beachten: Die Großen der ,Cloud’-Branche verfügten natürlich über enorme Ressourcen im Sicherheitsbereich. Allerdings handele es sich bei ihnen um US-amerikanische Unternehmen mit anderen Datenschutzvorgaben als ihre europäischen Kunden. „Nutzer aus der EU sollten also sicherstellen und vertraglich vereinbaren, dass die ,Hyperscaler’ ihre Daten ausschließlich in Rechenzentren innerhalb der Union hosten!“ Inzwischen böten sie sogar auch eine eigene Datenverschlüsselung an. Doch ein gewisser Grad der Abhängigkeit bleibe. Gerhardts Empfehlung: „Unternehmen, die sich doppelt absichern wollen und sich nicht ausschließlich auf den ,Cloud’-Provider verlassen möchten, können ihre Daten selbst verschlüsseln, bevor diese in eine ,Cloud’ gelangen.“

2. Utimaco-Tipp: Kryptographie nutzen!

„Kryptographie und Datenverschlüsselung“ klinge hochkomplex und das sei es auch. Gerhardt betont: „Doch das sollte KMU nicht verunsichern!“ Inzwischen existierten auch auf diesem Gebiet leistungsfähige „As-a-Service“-Lösungen zertifizierter europäischer Partner.

Beispielsweise könnten Unternehmen so eine Datei- und Ordnerverschlüsselung umsetzen, die unabhängig vom Speicherort funktioniere und vollständig vom Anbieter gemanagt werde.

„Unternehmen, die bereits eigene kryptographische Dienste betreiben, dafür aber kein eigenes Hardware-Sicherheitsmodul ,On-Prem’ bereitstellen wollen oder können, können auf Angebote wie ,HSM-as-a-Service’ zurückgreifen.“ Dabei werde das Modul in einer hochsicheren Umgebung des Anbieters betrieben, stehe aber unter der alleinigen Fernkontrolle des Nutzers.

3. Utimaco-Tipp: Phishing-Fallen ausweichen!

Phishing, also das Abgreifen von Zugangsdaten mit gefälschten digitalen Inhalten, bilde den häufigsten Angriffsvektor. „Die Inhalte der Betrüger werden dabei immer ausgefeilter und sind wesentlich schwerer zu erkennen als noch vor wenigen Jahren“, erläutert Gerhardt. Besonders gefährlich werde es, „wenn Phishing noch mit ,Social Engineering’ kombiniert wird, wobei gezielt einzelne Personen ins Visier genommen und unter Druck gesetzt werden“. Angreifer recherchierten hierzu im Vorfeld ausgiebig und verschafften sich möglichst detaillierte Informationen zur Firma und zum Opfer. „Meist geben sie akute Notfälle vor, was Mitarbeiter immer wieder wider besseren Wissens zu gefährlichen Aktionen verleitet.“

Gerhardt rät: „Neben Aufklärung und Schulung von Mitarbeitern sollten also immer auch technische Lösungen implementiert werden, die im Ernstfall greifen.“ Setzen Unternehmen konsequent auf Multifaktor-Authentifizierung (MFA), würden erbeutete Zugangsdaten allein einem Angreifer nicht viel nützen. Eine Anmeldung müsste über einen weiteren Faktor, in der Regel das Mobiltelefon des Mitarbeiters, bestätigt werden.

Gegen gefälschte digitale Inhalte könnten Unternehmen vorgehen, indem sie Dokumente oder E-Mails elektronisch signierten. Dadurch könne sichergestellt werden, „dass diese authentisch und unverändert sind, sowie wirklich vom angegebenen Absender stammen“. Elektronische Signaturen könnten von Integratoren sehr leicht in bestehende Prozesse eingebunden werden, so dass dadurch kaum zusätzliche Komplexität entstehe.

4. Utimaco-Tipp: Verifizierung und Zertifizierung statt blindem Vertrauen!

Der Zugang zum Betriebsgelände sei in der Regel reglementiert und der Pförtner überwache am Eingang, wer hineinkommt. Dazu prüfe er die Identitäten von ihm unbekannten Personen und verifiziere im Zweifelsfall, ob diese tatsächlich eine Zugangsberechtigung haben. „Ähnlich verhielt sich dies lange Zeit auch mit den IT-Umgebungen von Unternehmen. Mittels Firewall konnten die Systeme ziemlich gut gegen die Außenwelt abgeschottet werden. Seit dem massiven Wachstum der Drahtlosnetzwerke – von WLAN bis 5G – und in Zeiten von IoT ergeben sich allerdings ganz neue Herausforderungen.“

Auch Mitarbeiter im sogenannten Home-Office benötigten Zugriff auf Daten und Dienste des Unternehmens. „Werden in der Industrie ,Smart Factories’ aufgebaut, kommen dort unzählige weiter vernetzte Geräte und Maschinen hinzu. Um Agile Prozesse zu gewährleisten, müssen mitunter auch Kunden, Lieferanten oder Partner mit ihren Geräten auf Unternehmensnetzwerke zugreifen.“

Die Überwachung und Verwaltung der Geräte im eigenen Netzwerk sei also heute oberste Pflicht. „Während traditionelles ,Identity and Access Management’ auf ,Accounts’ und rollenbasierte Zugriffmodelle setzt, stellen sich beim Thema IoT ganz neue Fragen. Hinter einem vernetzen Gerät steht kein Mensch mit einem persönlichen ,Account’, der sich bei Bedarf mit Multi-Faktor-Authentifizierung verifizieren kann. Dennoch ist es von immenser Bedeutung, den Zugriff von IoT-Devices reglementieren zu können.“ Dafür benötigten diese allerdings erst einmal eine eindeutige, fälschungssichere Identität. Dafür könne wiederum Kryptograpgie genutzt werden – „indem ein sicherer Schlüssel als Erkennungsmerkmal in die Geräte eingebracht wird“. Sogar solche komplexen Techniken seien mittlerweile als Service zu beziehen.

Weitere Informationen zum Thema:

KfW, KfW Research, 23.02.2023
KfW-Mittelstandspanel: Cyberkriminalität betrifft insbesondere die Vorreiter der Digitalisierung

]]>
https://www.datensicherheit.de/cyber-sicherheit-kmu-notwendigkeit-neuheit-ansaetze-4-tipps-utimaco/feed 0
Cyber-Sicherheit wird im Prinzip ernst genommen – doch Angestellte fühlen sich häufig nicht für entsprechende Maßnahmen zuständig https://www.datensicherheit.de/cyber-sicherheit-wird-im-prinzip-ernst-genommen-doch-angestellte-fuehlen-sich-haeufig-nicht-fuer-entsprechende-massnahmen-zustaendig https://www.datensicherheit.de/cyber-sicherheit-wird-im-prinzip-ernst-genommen-doch-angestellte-fuehlen-sich-haeufig-nicht-fuer-entsprechende-massnahmen-zustaendig#respond Tue, 04 Jun 2024 22:28:36 +0000 https://www.datensicherheit.de/?p=44808 cyber-sicherheit-nrw-2024-studie-it-sicherheit-unternehmenDie Erkenntnisse beruhen laut DIGITAL.SICHER.NRW auf neu ausgewerteten Zahlen aus der Befragung zu „Cybersicherheit in Zahlen – Lernen. Wissen. Handeln.“]]> cyber-sicherheit-nrw-2024-studie-it-sicherheit-unternehmen

Zum Thema IT-Sicherheit wurden über 5.000 Arbeitnehmer aus ganz Deutschland befragt

[datensicherheit.de, 05.06.2024] Nach aktuellen Erkenntnissen von DIGITAL.SICHER.NRW, dem Kompetenzzentrum für Cyber-Sicherheit in der Wirtschaft in Nordrhein-Westfalen (NRW) nehmen die meisten Unternehmen in NRW das Thema Cyber-Sicherheit laut eigenen Angaben ernst. Über die letzten Jahre gesehen habe die Bedeutung des Themas bei ebendiesen sogar noch weiter zugenommen. Indes fühlten sich viele Angestellte besonders in kleinen und mittleren Unternehmen (KMU) häufig nicht dafür zuständig, Sicherheitsmaßnahmen zum Schutz zu ergreifen. Die Erkenntnisse beruhen laut DIGITAL.SICHER.NRW auf neu ausgewerteten Zahlen aus der Befragung von „Cybersicherheit in Zahlen – Lernen. Wissen. Handeln.“ des IT-Sicherheitsunternehmens G DATA CyberDefense. Im Rahmen einer großflächig angelegten und repräsentativen Studie zum Thema IT-Sicherheit seien über 5.000 Arbeitnehmer aus ganz Deutschland befragt worden – untersucht worden seien Erfahrungen, Einstellungen und das Verhalten zur Cyber-Sicherheit in Deutschland. Bei der Neuauswertung dieser Zahlen habe ein besonderer Fokus auf NRW gelegen.

cyber-sicherheit-nrw-2024-studie-it-sicherheit-unternehmen

Abbildung: CYBERSEC-NRW gGmbH

CYBERSICHERHEIT IN NRW 2024: Studie zur IT-Sicherheit in Unternehmen

Konkrete Umsetzung von Cyber-Sicherheitsmaßnahmen gehört nicht automatisch zum Arbeitsalltag der Mitarbeiter

KMU fühlten sich im Schnitt weniger zuständig, konkrete Cyber-Sicherheitsmaßnahmen im Berufsalltag zu ergreifen als größere Unternehmen: „Nicht einmal die Hälfte ihrer Angestellten geben an, sichere Passwörter zu verwenden und zwei Drittel prüfen eingehende E-Mails nicht auf Phishing – dabei werden Unternehmen im Digitalen Raum am häufigsten auf diese Art angegriffen.“ Bei großen Unternehmen sehe es zwar besser aus, trotzdem nutzten nur etwas über ein Viertel einen VPN-Zugang und ein Drittel einen zweiten Faktor bei Authentifizierungen. „Das deutet darauf hin, dass die konkrete Umsetzung von Cyber-Sicherheitsmaßnahmen nicht automatisch zum Arbeitsalltag der Mitarbeitenden dazugehört.“

Dies könnte daran liegen, dass Mitarbeiter das Risiko, im Unternehmen von Cyber-Kriminalität betroffen zu sein eher, als gering einschätzten. Im Vergleich zu anderen Bundesländern sinke diese Risikoeinschätzung in NRW über die Jahre sogar noch deutlicher. Durch die Sicherheitsmaßnahmen in ihrem Betrieb fühlten sich Angestellte (sehr) gut geschützt und der Großteil stufe das Verantwortungsbewusstsein der eigenen Geschäftsführung beim Thema IT-Sicherheit als hoch ein.

Die Verantwortung für Cyber-Sicherheit liegt bei der Chefetage

„Digitale Sicherheit muss im Unternehmen von Anfang an mitgedacht und als fortlaufender Prozess betrachtet und gelebt werden“, stellt Sebastian Barchnicki, Sprecher der Geschäftsführung von DIGITAL.SICHER.NRW., in seinem Kommentar klar. Er lässt keinen Zweifel: „Die Verantwortung hierfür liegt bei der Chefetage!“ Erst dann könne sich das Thema „in der DNA des Unternehmens“ verankern, um dieses gegen Cyber-Kriminalität und die daraus entstehenden wirtschaftlichen Schäden bestmöglich zu schützen.

Andreas Lüning, Vorstand und Mitgründer der G DATA CyberDefense AG, führt ergänzend aus: „Die jüngsten Cyber-Angriffe in NRW verdeutlichen, dass jedes Unternehmen, unabhängig von Größe und Branche, ein potenzielles Ziel ist.“ Trotzdem zeige sich in Gesprächen eine Passivität gegenüber Cyber-Sicherheit, mit dem Glauben, technische Lösungen allein seien ausreichend. Abschließend rät Lüning dringend: „Doch Schulungen und Investitionen in Mitarbeiter sind essenziell, wie eine deutschlandweite Umfrage belegt. Es ist an der Zeit zu handeln, wie die Zahlen zeigen.“

Weitere Informationen zum Thema:

DIGITAL SICHER NRW Kompetenzzentrum für Cybersicherheit in der Wirtschaft
CYBERSICHERHEIT IN NRW 2024 / Studie zur IT-Sicherheit in Unternehmen

DIGITAL SICHER NRW
Ihr Kompetenzzentrum für Cybersicherheit in der Wirtschaft

]]>
https://www.datensicherheit.de/cyber-sicherheit-wird-im-prinzip-ernst-genommen-doch-angestellte-fuehlen-sich-haeufig-nicht-fuer-entsprechende-massnahmen-zustaendig/feed 0
CyberRisikoCheck zu Positionsbestimmung der IT-Sicherheit für KMU https://www.datensicherheit.de/cyberrisikocheck-positionsbestimmung-it-sicherheit-kmu https://www.datensicherheit.de/cyberrisikocheck-positionsbestimmung-it-sicherheit-kmu#respond Sat, 23 Mar 2024 23:11:55 +0000 https://www.datensicherheit.de/?p=44355 bsi-cyberrisikocheck-schulung-BonnDer CyberRisikoCheck soll KMU eine standardisierte, bedarfsgerechte Beratung durch IT-Dienstleister ermöglichen.]]> bsi-cyberrisikocheck-schulung-Bonn

BSI möchte gemeinsam mit Partnern KMU dabei unterstützen, ihre Cyber-Resilienz zu erhöhen

[datensicherheit.de, 24.03.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) möchte nach eigenen Angaben gemeinsam mit Partnern kleine und mittlere Unternehmen (KMU) dabei unterstützen, ihre Cyber-Resilienz zu erhöhen – hierfür sei der „CyberRisikoCheck“ entwickelt worden: „Er bietet KMU eine standardisierte, bedarfsgerechte Beratung durch IT-Dienstleister.“ Das BSI – als die Cyber-Sicherheitsbehörde des Bundes – habe nun erstmals mehr als 60 IT-Dienstleister für die Anwendung des neuen Verfahrens geschult.

bsi-cyberrisikocheck-schulung-Bonn

Foto: BSI

CyberRisikoCheck: BSI hat erstmals mehr als 60 IT-Dienstleister für die Anwendung des neuen Verfahrens geschult

KMU-Bedrohungslage im CyberSpace besorgniserregend

Die Bedrohungslage im sogenannten „CyberSpace“ sei besorgniserregend: „Die Anzahl der Angriffe auf Wirtschaftsunternehmen steigt stetig an und kriminelle Attacken verursachen Rekordschäden.“

Auch KMU seien zunehmend von Cyber-Attacken betroffen. Dabei würden sie meist nicht zielgerichtet zum Opfer, sondern von großflächig und automatisiert durchgeführten Angriffen getroffen. Viele KMU würden daher gerne mehr für ihre IT-Sicherheit tun, wüssten aber oftmals nicht wie.

Hinweis für KMU zur Umsetzung bzw. Beauftragung konkreter Maßnahmen

Der „CyberRisikoCheck“ soll demnach einem Unternehmen eine Positionsbestimmung des eigenen IT-Sicherheitsniveaus ermöglichen und aufzeigen, welche konkreten Maßnahmen ein Unternehmen umsetzen bzw. bei einem IT-Dienstleister beauftragen sollte.

64 IT-Sicherheitsdienstleister aus ganz Deutschland hätten sich nun für die Durchführung des „CyberRisikoChecks“ in Bonn schulen lassen. Die Teilnahme an der Schulung sei Voraussetzung für die Nutzung einer Software, „die das BSI IT-Dienstleistern für die Durchführung des ,CyberRisikoChecks’ zur Verfügung stellt“. Das BSI gewinne aus dem Verfahren anonymisierte Erhebungsdaten, welche zur Generierung eines Informationssicherheitslagebildes für KMU genutzt würden.

Grundstein für KMU-Cyber-Sicherheitslagebild gelegt

„Der ,CyberRisikoCheck’ ist ein echtes Win-Win-Win-Produkt – für die kleinen Unternehmen, für die IT-Dienstleister und für das BSI“, betont die BSI-Präsidentin, Claudia Plattner. Damit sei nun der Grundstein für ein KMU-Cyber-Sicherheitslagebild gelegt worden – „und das ist ein wichtiger Schritt auf dem Weg zur Cyber-Nation Deutschland“.

Plattner freut sich, dass schon jetzt mehr als 120 weitere IT-Dienstleister ihr Interesse an einer Durchführung es „CyberRisikoChecks“ bekundet hätten. Weitere Schulungstermine seien in Vorbereitung und würden zeitnah durch das BSI veröffentlicht.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
CyberRisikoCheck / Wirkungsvoller Schutz für kleine und Kleinstunternehmen nach DIN SPEC 27076

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland 2023 / Ransomware ist und bleibt die größte Bedrohung

]]>
https://www.datensicherheit.de/cyberrisikocheck-positionsbestimmung-it-sicherheit-kmu/feed 0
Datensicherheit: Wie auch KMU die Digitale Transformation meistern können https://www.datensicherheit.de/datensicherheit-wie-auch-kmu-die-digitale-transformation-meistern-koennen https://www.datensicherheit.de/datensicherheit-wie-auch-kmu-die-digitale-transformation-meistern-koennen#respond Tue, 19 Mar 2024 21:22:00 +0000 https://www.datensicherheit.de/?p=44296 check-point-lothar-geuenich-2024Auch KMU sind betroffen – sei es eine örtliche (Land-)Bäckerei, die Auto-Werkstatt, oder der Gastwirt mit seinen digitalisierten Bezahl- und Einkaufsprogrammen.]]> check-point-lothar-geuenich-2024

Lothar Geuenich erörtert KMU-Strategien zur erfolgreichen und sicheren Digitalisierung und Vernetzung

[datensicherheit.de, 19.03.2024] Die Digitalisierung der Wirtschaftsbereiche biete zwar große Vorteile, bringe aber auch eine Reihe von Herausforderungen mit sich, insbesondere bezüglich der IT-Sicherheit, so Lothar Geuenich, „VP Central Europe/DACH“ bei Check Point Software Technologies, in seiner aktuellen Stellungnahme. Oft werde dann über die großen Unternehmen und Konzerne, vielleicht noch den gehobenen Mittelstand gesprochen. Er wirft nun die Frage auf, wie es aber nun bei den sogenannten kleinen und mittleren Unternehmen (KMU) aussieht, und betont: „Auch sie sind betroffen, sei es eine örtliche (Land-)Bäckerei, die Auto-Werkstatt, oder der Gastwirt mit seinen digitalisierten Bezahl- und Einkaufsprogrammen.“

check-point-lothar-geuenich-2024

Foto: Check Point

Lothar Geuenich: Herausforderungen der KMU insbesondere im Bereich der IT-Sicherheit, nicht außer Acht lassen!

Digitale Technologien halten auch Einzug in KMU

Der Wandel hin zur Digitalisierung werde von einer Reihe von Faktoren angetrieben – darunter Kosteneinsparungen, Benutzerfreundlichkeit, Vereinfachung der Prozesse für die Kunden und eine größere Marktreichweite. Geuenich führt aus: „Beispielsweise könnte eine Bäckerei intelligente Öfen installieren, die das Backen optimieren, oder sie könnten einen Online-Shop einrichten, um mehr Kunden zu erreichen und den Umsatz zu steigern.“ Mit dem Internet verbundene Kassensysteme, „Cloud“-Technologien zum Aufsetzen von Websites und die Verwaltung von (Kunden-)Daten gehörten zum Alltag.

Darüber hinaus sei der Einsatz Künstlicher Intelligenz (KI) und des Internets der Dinge und Dienste (IoT) in kleinen Unternehmen ein wichtiger Schritt in Richtung der Digitalisierung des Betriebs. KI ermögliche personalisierte Werbung und dynamische Preisgestaltung, während vernetzte Geräte – wie sogenannte intelligente Öfen und Klimaanlagen – das Geschäft optimierten und die Kosten senken könnten.

Insbesondere bei KMU könnte die Digitale Transformation die Grenzen zwischen gesicherten und anfälligen Netzwerken verwischen

„Da aber Digitalisierung immer mit dem Sammeln von Daten und der Verknüpfung der Systeme mit dem Internet, oder anderen externen Quellen, einhergeht, rückt die IT-Sicherheit ins Blickfeld“, unterstreicht Geuenich. Die Integration verschiedener Technologien in die Firma, wie „Cloud“-Dienste, SaaS, IoT und KI böte zwar Vorteile, vergrößere aber die Angriffsfläche für Hacker. Besonders bei kleinen Unternehmen mit ihrem geringen Budget verwische die Digitale Transformation die Grenzen zwischen gesicherten und anfälligen Netzwerken schnell.

„Der Spagat für die KMU besteht darin, flexibel und innovativ zu sein, aber gleichzeitig Sicherheit, Wartung und Vorschrifteneinhaltung zu gewährleisten“, betont Geuenich. Digitale Zahlungen böten beispielsweise Komfort, erforderten aber auch strenge Sicherheitsmaßnahmen zum Schutz der Kundendaten gemäß der „Compliance“. Hinzu kämen die Audits, welche eine lückenlose Dokumentation aller Vorgänge erforderten.

Spezifische Herausforderungen der Datensicherheit in KMU

Verschiedene Hürden müssten genommen werden. „Dazu gehört die Gewährleistung des Datenschutzes, die Einhaltung von Vorschriften und sichere Einbindung sowie Verwaltung neuer Technologien, wie ,Cloud’-Anbindung. Dies erfordert eine Schulung der Mitarbeiter und Führungskräfte, um ein Verständnis für IT-Sicherheit zu schaffen.“

Insbesondere angesichts des Fachkräftemangels in der IT und IT-Sicherheit komme es hierbei schon auf die kleinsten Erkenntnisse der anderen Angestellten an, um die IT-Abwehr zu stärken – und sei es nur das Wissen um Phishing-E-Mails.

Ein grundlegendes Verständnis für Datensicherheit als erster Schritt der KMU-Geschäftsführung

Auf den ersten Blick könne die Digitalisierung auf KMU-Geschäftsführer überwältigend, sogar beängstigend wirken. Geuenich kommentiert hierzu: „Doch die Zeiten sind vorbei, da KMU ständig einer guten IT-Abwehr hinterherrennen mussten. Freilich spielt noch immer das Budget die erste Geige und es darf nicht von jedem Unternehmer erwarten werden, dass er ein Experte der IT-Sicherheit werden wird. Ein grundlegendes Verständnis ist jedoch unerlässlich geworden.“

Einfache Regeln würden bereits helfen, wie die Verwendung sicherer Passwörter, die Wachsamkeit gegenüber Phishing, die Trennung des W-Lan-Netzwerks in einen Mitarbeiter-Zugang und eingeschränkten Gast-Zugang, die Führung eines Inventars aller digitalen Vermögenswerte, sämtliche tragbare Geräte auch mit Sicherheitsprogrammen abzusichern (Handys, Laptops, Tablets), die privaten tragbaren Geräte der Mitarbeiter und Gäste aus dem Firmen-Netzwerk herauszuhalten (daher der Gast-Zugang) und die regelmäßige Aktualisierung sämtlicher Software durchzuführen.

KMU sollten ggf. Dienstleister nutzen, um Angriffsfläche zu verringern

Darüber hinaus könnten sich kleine Unternehmen an Dienstleister wenden, um die IT-Sicherheit durch externe Spezialisten und Datenschutzbeauftragte aufrechtzuerhalten, weil sie sich selbst die wichtigen Produkte, wie eine umfassende IT-Sicherheitsarchitektur, nicht leisten könnten – geschweige denn, die Mitarbeiter hätten, um diese zu implementieren und zu bedienen. „Auf diese Weise können die KMU außerdem in den Genuss der Sicherheitsprodukte kommen, die bislang nur den großen Spielern mit den großen Budgets vorbehalten waren.“

Geuenich benennt als Beispiel die KI-basierte Management-Komponente seines Hauses, welche nicht ohne Grund auf den Namen „Copilot“ höre: „Sie ist im Prinzip eine Prozessautomatisierung mit Chat-Bot als Eingabefeld und übernimmt nach der Konfiguration viele Routine-Aufgaben, steuert Sicherheitslösungen selbstständig und kann Fragen beantworten, um die Konfiguration zu verfeinern und den Überblick aufrecht zu erhalten.“ Dies schaffe Transparenz und vereinfache die Verwaltung der IT-Sicherheitsarchitektur stark, „so dass auch KMU mit geringem Personalbestand, die dennoch einige Komponenten selbst steuern wollen, eine Chance haben“. Die Fähigkeit, alles zentral zu steuern, fördere zudem die Konsolidierung der IT-Sicherheit.

Mit passender Unterstützung in Fragen der Datensicherheit können sich KMU-Geschäftsführer auf ihre eigentliche Arbeit konzentrieren

Daneben böten sich fortschrittliche IT-Sicherheitsarchitekturen mit zentraler Plattform als Rund-um-Pakete an. „Das ist günstiger, als einen Wildwuchs verschiedener Lösungen zusammenzutragen und erfordert wesentlich weniger Verwaltungsaufwand.“ Dadurch brauche es weniger Fachkräfte – und die Geschäftsführer der kleinen Betriebe könnten sich auf ihre eigentliche Arbeit konzentrieren, „während die weitgehend automatisierten Sicherheitsplattformen im Hintergrund sehr zuverlässig arbeiten und sich nur melden, wenn menschliches Eingreifen erforderlich ist“.

Diese Konsolidierung der IT-Sicherheit führe außerdem zu einheitlichen und übersichtlichen Oberflächen, was die Konfiguration von Sicherheitsrichtlinien stark erleichtere und eine lückenlose Dokumentation ermögliche, um jedes Audit zu überstehen.

KMU sollten vor allem Bewusstsein und Verständnis für die neuartigen Herausforderungen entwickeln

Geuenichs Fazit: „Während die Geschäftsführer und Inhaber von wirklich kleinen und mittleren Unternehmen die Digitalisierung auch in ihrer Firma vorantreiben, dürfen sie die Herausforderungen, vor denen sie dadurch stehen, insbesondere im Bereich der IT-Sicherheit, nicht außer Acht lassen.“ Jedoch brauchten sie nicht zu verzweifeln, weil eine robuste IT-Sicherheit zum einen längst nicht mehr den großen Konzernen allein vorbehalten sei und zum anderen schon einfache Maßnahmen sowie Verhaltensweisen die üblichen IT-Attacken verhindern könnten.

Am wichtigsten sei es, ein Bewusstsein und Verständnis für diese neuartigen Herausforderungen zu entwickeln und die Angst vor der Komplexität zu überwinden. „Sie sollte nicht länger ein Hemmnis für den Schutz sensibler Unternehmensdaten sein. Dann können die wirtschaftlichen Vorteile der Digitalisierung ausgeschöpft werden“, so Geuenich abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 04.01.2023
Internetfähige Geräte: Check Point gibt 13 Tipps zur Absicherung / Verwundbarkeit über das Internet sollte Verbrauchern und Unternehmen bekannt sein, um sich vor Cyber-Gefahren zu schützen

datensicherheit.de, 12.12.2022
Ransomware-Realitätscheck zum Schutz für KMU / Trotz wachsender Bedrohung nur wenigen KMU bewusst, dass sie genauso wie größere Unternehmen gefährdet sind – wenn nicht sogar stärker

]]>
https://www.datensicherheit.de/datensicherheit-wie-auch-kmu-die-digitale-transformation-meistern-koennen/feed 0
KMU-Studie zur IT-Sicherheit – ein Hürdenlauf für den Mittelstand https://www.datensicherheit.de/kmu-studie-it-sicherheit-huerdenlauf-mittelstand https://www.datensicherheit.de/kmu-studie-it-sicherheit-huerdenlauf-mittelstand#respond Tue, 24 Oct 2023 19:48:28 +0000 https://www.datensicherheit.de/?p=43624 drivelock-studie-it-sicherheit-mittelstand-2023Effektiven IT-Schutz umzusetzen, ist für KMU in Teilen noch immer schwierig – fehlende Ressourcen wie Budgets und Fachkräfte stellen erhebliche Hindernisse dar.]]> drivelock-studie-it-sicherheit-mittelstand-2023

DriveLock und techconsult empfehlen deutschen KMU einfache und robuste Cyber-Sicherheit

[datensicherheit.de, 24.10.2023] Die DriveLock SE hat die Ergebnisse der gemeinsamen Studie mit der techconsult GmbH zur aktuellen Lage der IT-Sicherheit im deutschen Mittelstand veröffentlicht – als Neuauflage der bisherigen Ausgabe von 2019. Die Antworten der befragten Unternehmen lassen demnach erkennen: „Der Stellenwert von Cybersecurity in den Unternehmen hat an Bedeutung gewonnen und wird entsprechend als wichtig wahrgenommen.“ Doch effektiven IT-Schutz umzusetzen, sei für kleine und mittelständische Unternehmen (KMU) in Teilen noch immer schwierig. Dort stellten fehlende Ressourcen wie Budgets und Fachkräfte erhebliche Hindernisse dar. Security-Lösungen müssten daher gleich in mehrfacher Hinsicht einfach und ressourcenschonend sein – von der Investition und Implementierung bis hin zur täglichen Nutzung und Wartung.

drivelock-studie-it-sicherheit-mittelstand-2023

Abbildung: DriveLock SE

Lage der IT-Sicherheit deutscher KMU 2023

Zentrale Erkenntnisse der aktuellen KMU-Studie:

Im Mittelstand sei die Bedeutung von IT-Sicherheit gestiegen – von 55 Prozent vor vier Jahren auf nunmehr 70 Prozent. Dennoch gebe es noch Raum für Verbesserungen: „21 Prozent der befragten Unternehmen setzen Sicherheitsmaßnahmen unregelmäßig und ohne klare Strategie um, während acht Prozent sogar erst nach einem Sicherheitsvorfall reagieren.“ Diese Ergebnisse zeigten die Notwendigkeit einer konsequenten Umsetzung von Sicherheitsmaßnahmen.

Ein zentrales Hindernis für die Umsetzung umfänglicher IT-Sicherheitsmaßnahmen seien die wahrgenommenen Kosten. „Die Hälfte der Unternehmen ohne eine klare Sicherheitsstrategie vermeidet Sicherheitsinvestitionen aufgrund zu hoher Kosten.“ Zeitmangel sei ein weiteres Problem, weshalb 40 Prozent der befragten Unternehmen ohne konkrete Sicherheitsstrategie agierten. „Interessanterweise wiegen sich fast 30 Prozent dieser Unternehmen in falscher Sicherheit und gehen davon aus, nicht Opfer von Cyber-Angriffen zu werden.“ Dieser Leichtsinn könne jedoch zu erheblichen finanziellen und nicht-monetären Schäden führen.

Ferner bildeten die üblichen Security-Klassiker die Grundlage für die Mehrheit der Unternehmen. Unternehmen mit einer etablierten Sicherheitsstrategie setzten zusätzlich auf weitergehende Sicherheitslösungen. „Eine wichtige und richtige Entscheidung.“ Angesichts der zunehmenden Raffinesse von Cyber-Angriffen und Veränderungen in der Unternehmensstruktur, wie der Einführung von „Cloud“-Infrastrukturen und Remote-Arbeit, sei eine Anpassung der Sicherheitsmaßnahmen unerlässlich. Unternehmen sollten ihre Sicherheitsstrategien überdenken und die Bedeutung mehrschichtiger Security-Maßnahmen erkennen, um sich effektiv vor Cyber-Bedrohungen zu schützen.

Mit Blick auf die Betriebsmodelle von IT-Sicherheit in den Unternehmen lasse sich erkennen, dass 79 Prozent der Befragten diese trotz Fachkräftemangels entweder komplett oder größtenteils „in-house“ betrieben. Gefragt nach ihren Wünschen, gäben noch immer knapp 60 Prozent der Befragten an, die gesamte IT-Sicherheit selbst verwalten zu wollen. „Ein Ergebnis mit signifikanter Diskrepanz zu vorhandenen Personalressourcen und entsprechender Fachexpertise in KMU.“

KMU versuchen traditionell, ihre IT-Sicherheit selbst zu regeln

Diese Diskrepanz erläutert Arved Stackelberg, „CEO“ von DriveLock: „Hier kommen mehrere Faktoren ins Spiel. Zum einen haben KMU traditionell versucht, IT-Sicherheit selbst zu regeln – oft ohne das notwendige Experten-Wissen und ausreichende Ressourcen, um sich tatsächlich effektiv schützen zu können.“ Zum anderen gebe es nach wie vor ein gewisses Misstrauen gegenüber „cloud“-basierten Lösungen – Stichwort „Souveränität“.

Dabei bieten „cloud“-basierte Lösungen signifikante Vorteile. Diese seien schnell verfügbar und erforderten weniger Investition in Infrastruktur und personelle Ressourcen. „Und nochmal zum Stichwort ,Souveränität’: Hier gibt es sinnvolle Alternativen in Deutschland und Europa. Unsere DriveLock-Lösungen sind ,cloud’-basiert und ,Made in Germany’. Mit unserer langjährigen Erfahrung im Mittelstand bringen wir Unternehmen in sehr kurzer Zeit auf ein höheres Sicherheitsniveau“, sagt Stackelberg. Dies spare Zeit und Kosten bei gleichzeitig konsequentem Schutz digitaler Arbeitsplätze.

Mehrschichtige KMU-Sicherheitslösungen als Festung gegen Cyber-Kriminelle

Raphael Napieralski, Analyst bei techconsult GmbH, betont: „Die Bedrohungslage im Bereich Cybersecurity ist akuter denn je, und es ist an der Zeit, sich proaktiv zu schützen.“ Von der Priorisierung der IT-Sicherheit bis zur Integration in die Unternehmensstrategie – nur so könne ein flächendeckender Schutz gewährleistet werden.

Mehrschichtige Sicherheitslösungen seien die Festung gegen Cyber-Kriminelle. „Die Stärkung der IT-Sicherheit reicht jedoch über Technologie hinaus, denn der Mensch bleibt das schwächste Glied in der Kette“, stellt Napieralski abschließend klar – Schulungen und Sensibilisierung seien daher der „Schlüssel zur Gefahrenminimierung“.

Weitere Informationen zum Thema:

DriveLock
Cybersecurity im deutschen Mittelstand / Warum brauchen KMU eine robuste Cybersicherheit?

]]>
https://www.datensicherheit.de/kmu-studie-it-sicherheit-huerdenlauf-mittelstand/feed 0
Chip-Industrie: Europäisches Parlament billigt Gesetz zur Stärkung der EU https://www.datensicherheit.de/chip-industrie-europaeisches-parlament-billigung-gesetz-staerkung-eu https://www.datensicherheit.de/chip-industrie-europaeisches-parlament-billigung-gesetz-staerkung-eu#respond Tue, 11 Jul 2023 20:07:04 +0000 https://www.datensicherheit.de/?p=43339 bwmk-mikroelektronik-standorte-deutschland3,3 Milliarden Euro werden für Forschung und Innovation im Bereich Chips bereitgestellt – als verstärkte Unterstützung auch gerade für KMU.]]> bwmk-mikroelektronik-standorte-deutschland

Neues Chip-Gesetz der EU soll Europas strategische Autonomie und Sicherheit stärken

[datenicherheit.de, 11.07.2023] Laut einer aktuellen Mitteilung des Europäischen Parlaments soll das verabschiedete „Chip-Gesetz“ der EU „Europas strategische Autonomie und Sicherheit stärken“. Vorgesehen sei in diesem Zusammenhang auch ein Krisenreaktionsmechanismus zur Bewältigung von möglichen Engpässen. Demnach werden 3,3 Milliarden Euro für Forschung und Innovation im Bereich „Chips“ bereitgestellt – als verstärkte Unterstützung auch gerade für kleine und mittlere Unternehmen (KMU).

bwmk-mikroelektronik-standorte-deutschland

Abbildung: BMWK

Mikroelektronik in Deutschland: 31 Chip-Projekte aus 11 Bundesländern verteilen sich auf insgesamt 54 Standorte

Am 11. Juli 2023 in Straßburg Pläne zur Sicherung der Chip-Versorgung in der EU gebilligt

Nach eigenen Angaben hat das Europäische Parlament am 11. Juli 2023 in Straßburg Pläne zur Sicherung der Chip-Versorgung in der EU gebilligt: „Produktion und Innovation sollen finanziell gefördert werden. Bei Lieferengpässen können Notfallmaßnahmen eingeführt werden. Dies soll auch Berlin zugutekommen.“

Das neue Gesetz, auf das sich Europäisches Parlament und Rat bereits informell im sogenannten Trilog geeinigt hätten, solle ein günstiges Umfeld für Chip-Investitionen in Europa schaffen. Genehmigungsverfahren würden beschleunigt und erhielten den „Status der höchstmöglichen nationalen Bedeutung“. Um Innovationen zu fördern, würden KMU ebenfalls stärker unterstützt, insbesondere auf dem Gebiet des Chip-Designs.

„Unterstützt werden sollen vor allem Projekte, die die Versorgungssicherheit der EU erhöhen.“ Während der Gespräche mit den Vertretern des Rates hätten die Europa-Abgeordneten 3,3 Milliarden Euro für Forschung und Innovation im Bereich „Chips“ bewilligt. Ein Netzwerk von Kompetenzzentren werde eingerichtet, um den Fachkräftemangel in der EU zu beheben und neue Talente für Forschung, Design und Produktion zu gewinnen.

Jüngste Investitionen in die Chip-Industrie der EU – ein milliardenschweres Beihilfeprogramm für Mikroelektronik

Zu den jüngsten Investitionen in die Chip-Industrie in der EU zähle ein milliardenschweres Beihilfeprogramm für Mikroelektronik. Die EU-Kommission habe das sogenannte IPCEI (Important Project of Common European Interest) „Mikroelektronik und Kommunikationstechnologien“ genehmigt und damit den Weg freigemacht für die Förderung von rund 100 Projekten in Europa.

In Deutschland ebnet dies nach Angaben des Bundesministeriums für Wirtschaft und Klimaschutz (BMWK) den Weg für vier Milliarden Euro Förderung für 31 Projekte aus elf Bundesländern.

Die Projekte verteilten sich auf insgesamt 54 Standorte, drei davon in Berlin. Bayern stehe im bundesweiten Vergleich mit 17 Standorten an oberster Stelle, gefolgt von Baden-Württemberg und Sachsen, auf die jeweils neun Standorte entfielen.

Europäische Chip-Produktion: Krisenreaktionsmechanismus zur Bewältigung von Versorgungsproblemen

Teil dieses neuen Gesetzes sei auch ein Krisenreaktionsmechanismus: „Die Kommission bewertet dabei die Risiken für die Versorgung der EU mit Halbleitern. Ein Engpass-Alarm wird ausgelöst, sobald Frühwarnindikatoren in den Mitgliedstaaten auf Lieferprobleme hinweisen.“

Dieser Mechanismus werde der Kommission ermöglichen, Notfallmaßnahmen zu ergreifen, wie z.B. die vorrangige Versorgung mit Produkten, „die von einer Verknappung besonders betroffen sind, oder die gemeinsame Beschaffung von Halbleitern für die Mitgliedstaaten“.

Die Abgeordneten hätten das System weiter verbessert, „indem sie ein Kartierungsinstrument eingeführt haben, das helfen wird, mögliche Versorgungsengpässe zu identifizieren“. Diese Maßnahmen sollten als letztes Mittel im Falle einer Krise im Halbleiter-Sektor eingesetzt werden.

Zusammenarbeit mit strategischen Partnern für Wettbewerbsvorteile und Schutz des Chip-Sektors der EU

Das Parlament habe auch eine stärkere internationale Zusammenarbeit mit strategischen Partnern unterstützt, um Wettbewerbsvorteile und Schutz für den EU-Sektor zu gewährleisten.

„Mit dem ,European Chips Act’ wollen wir die Position der EU in der Halbleiter-Landschaft weltweit stärken und die durch die ,Pandemie’ aufgedeckten Schwachstellen in den Lieferketten beheben. Wir wollen mehr Einfluss bekommen und führend sein, deshalb haben wir 3,3 Milliarden Euro für Forschung und Innovation bereitgestellt“, kommentiert Berichterstatter Dan Nica („S&D“, MEP aus Rumänien).

Laut Nica sollen die technologischen Kapazitäten ausgebaut und Maßnahmen zur Bekämpfung potenzieller Engpässe ergriffen werden. Europa sei auf die künftigen Herausforderungen in der Halbleiter-Iindustrie vorbereitet und lege dabei den Schwerpunkt auf „strategische Autonomie, Sicherheit und ein günstiges Geschäftsumfeld“.

Chip-Versorgung – bisher beispielloser Mangel an Halbleitern

Die Gesetzgebung sei mit 587 zu zehn Stimmen angenommen worden, bei 38 Enthaltungen. Die Initiative müsse nun vom Ministerrat gebilligt werden, um in Kraft zu treten.

Eine Studie des Parlaments zeige, dass der Anteil Europas an der weltweiten Produktionskapazität von Halbleitern unter zehn Prozent liege. Der Legislativ-Vorschlag ziele darauf ab, diesen Anteil auf 20 Prozent zu erhöhen. Eine weitere Analyse des Parlaments aus dem Jahr 2022 habe gezeigt, dass die „Pandemie“ seit Langem bestehende Schwachstellen in den globalen Lieferketten aufgedeckt habe, wofür der „beispiellose Mangel an Halbleitern“ in besonderer Weise exemplarisch sei.

Letztere Analyse zeige, was in den kommenden Jahren auf uns zukommen könnte: „Diese Engpässe haben u.a. zu steigenden Kosten für die Industrie und höheren Preisen für die Verbraucher geführt und das Tempo des Aufschwungs in Europa verlangsamt.“

Weitere Informationen zum Thema:

Europäisches Parlament, 11.07.2023
Legislative Entschließung des Europäischen Parlaments vom 11. Juli 2023 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Schaffung eines Rahmens für Maßnahmen zur Stärkung des europäischen Halbleiter-Ökosystems (Chip-Gesetz)

European Parliament
Legislative Observatory: 2022/0032(COD) / Chips Act

Bundesministerium für Wirtschaft und Klimaschutz, 08.06.2023
Habeck: „Wichtiger industriepolitischer Meilenstein: EU-Kommission genehmigt 31 Mikroelektronik Projekte aus 11 Bundesländern. Mikroelektronik-Standort Deutschland wird in der Breite gestärkt.“

]]>
https://www.datensicherheit.de/chip-industrie-europaeisches-parlament-billigung-gesetz-staerkung-eu/feed 0
Ransomware-Realitätscheck zum Schutz für KMU https://www.datensicherheit.de/ransomware-realitaetscheck-schutz-kmu https://www.datensicherheit.de/ransomware-realitaetscheck-schutz-kmu#respond Mon, 12 Dec 2022 20:27:37 +0000 https://www.datensicherheit.de/?p=42745 Ein Teil des Anreizes besteht darin, dass KMU eine Fülle vertraulicher Informationen aufbewahrten – von Krankenakten bis zu Bankkonten.]]>

Trotz wachsender Bedrohung nur wenigen KMU bewusst, dass sie genauso wie größere Unternehmen gefährdet sind – wenn nicht sogar stärker

[datensicherheit.de, 12.12.2022] Ransomware – eine Bedrohung, der wir uns alle zunehmend bewusst würden und von der wir uns am liebsten fernhalten möchten. Sie betreffe jeden Sektor, und die Angriffe würden immer häufiger und raffinierter. Lothar Geuenich, „VP Central Europe / DACH“ bei Check Point Software Technologies, geht in seiner aktuellen Stellungnahme zum Thema „Ransomware“ insbesondere auf die Rolle der kleinen und mittleren Unternehmen (KMU) ein: Trotz wachsender Bedrohung seien sich nur wenige KMU bewusst, dass sie genauso gefährdet seien – wenn nicht sogar stärker als größere Unternehmen. Tatsächlich seien allein im Jahr 2022 insgesamt 61 Prozent aller Cyber-Angriffe auf kleine Unternehmen gerichtet gewesen.

check-point-lothar-geuenich

Foto: CHECK POINT

Lothar Geuenich: KMU sollten Cyber-Sicherheitsstrategie nicht als einmalige Angelegenheit betrachten!

KMU setzen auf ihrem Weg zur Digitalen Transformation weiterhin Vielzahl neuer Technologien ein

Ein Teil des Anreizes bestehe darin, dass KMU eine Fülle vertraulicher Informationen aufbewahrten – „von Krankenakten bis zu Bankkonten, die Cyber-Kriminelle entweder im Darknet verkaufen oder als Lösegeld erpressen können“. Obendrein könnten die Betroffenen mit zusätzlichen Geldbußen belegt werden (wenn gegen Vertraulichkeitsgesetze verstoßen wird).

Geuenich unterstreicht: „Wenn man dann noch den Verlust des Kundenvertrauens hinzurechnet, auf den viele KMU angewiesen sind, um mit größeren Unternehmen konkurrieren zu können, wird klarer, wie verheerend ein Angriff sein kann.“ Da KMU auf ihrem Weg zur Digitalen Transformation weiterhin eine Vielzahl neuer Technologien einsetzten, werde diese Bedrohung nur noch zunehmen.

Von der Umstellung auf die „Cloud“ bis hin zur Nutzung von sogenannten SaaS-Plattformen, die den Fernzugriff für hybrides Arbeiten erleichterten, seien heute mehr Geräte dem Internet ausgesetzt als je zuvor. „Wie können KMU also ihre Cyber-Resilienz erhöhen, um einen Ransomware-Angriff zu verhindern?“

Keine Garantie dafür, dass KMU-Daten nach Lösegeld-Zahlung wieder freigegeben werden

Die Häufigkeit und Raffinesse von Ransomware-Angriffen werde von Cyber-Kriminellen immer weiter gesteigert. „Ransomware wird bevorzugt verwendet, da sie schnell eingesetzt werden kann und lukrative Gewinne verspricht.“ Dabei verschafften sich Kriminelle Zugang zu hochwertigen Unternehmensdaten und verschlüsselten sie, so dass nicht mehr darauf zugegriffen werden könne.

Der einzige Weg, wieder an die eigenen Daten zu gelangen, bestehe dann darin, für viel Geld den Freischaltcode von den Tätern zu erkaufen. Manchmal sogar sehr viel Geld, meist in Form von nicht zurückverfolgbarer „Kryptowährung“. „Im Jahr 2021 wurde berichtet, dass Ransomware-Angriffe weltweit dazu führten, dass Unternehmen insgesamt 49 Millionen Euro aushändigten.“ Geuenich betont indes: „Dabei darf nicht vergessen werde, dass man es hier mit Kriminellen zu tun hat. Es gibt also keine Garantie dafür, dass Daten nach der Zahlung eines Lösegelds wieder freigegeben werden, im Gegenteil – die Täter könnten sogar noch mehr verlangen, je größer die Not der Opfer wird.“

Einige Cyber-Kriminelle könnten sogar versuchen, den Einsatz zu erhöhen, indem sie einen Doppelten oder sogar Dreifachen Ransomware-Erpressungsangriff starteten. Teil dieser Taktik sei es, lediglich einen Teil der gestohlenen Daten (teils sogar Kundendaten) weiterzugeben, um den Druck zu erhöhen oder Geld von den betroffenen Personen zu verlangen.

Schutz für KMU beginnt mit Verbesserung der Widerstandsfähigkeit

Geuenich führt aus: „Alles beginnt mit der Verbesserung der Widerstandsfähigkeit. Zunächst einmal sollten alle Unternehmen über Sicherheits-Patches Bescheid wissen und diese für alle Mitarbeiter und Geräte bereitstellen, sobald sie verfügbar sind.“ Jede Verzögerung könnte eine günstige Gelegenheit für Cyber-Kriminelle darstellen. Es sei wichtig, dass die internen Prozesse verbessert würden, damit diese Aktualisierungen schnell und effizient durchgeführt werden könnten.

Zweitens müsse sichergestellt werden, „dass die Backups in keiner Weise mit dem Hauptserver verbunden sind“. Oft wiegten sich Unternehmen in falscher Sicherheit, weil sie irgendwo ein Backup hätten, aber in vielen Fällen seien sie auf demselben Server wie alle anderen Daten gespeichert – „was bedeutet, dass bei einem Angriff alle Daten zugänglich sind“.

Stattdessen sollten Unternehmen über ein vollständig isoliertes, externes Netzwerk-Backup verfügen, damit die Mitarbeiter bei der Wiederherstellung nach einem Ransomware-Angriff auf wichtige Dateien zugreifen könnten, „die es ihnen ermöglichen, das Tagesgeschäft fortzusetzen“.

Sicherheits-Budget für KMU oft ein Hindernis

„Da das Budget für KMU oft ein Hindernis darstellt, sollte es eine Priorität sein, die Anzahl der vorhandenen Lösungen zu reduzieren und auf eine einzige Plattform oder einen einzigen Anbieter zu konsolidieren, bevor neue Technologien implementiert werden“, rät Geuenich. Der Grund dafür sei, dass Unternehmen oft auf eine Reihe von Drittanbietern angewiesen seien, um verschiedene Bereiche ihres Unternehmens zu schützen. Dadurch würden unnötigerweise doppelte Schutzmaßnahmen eingeführt.

Durch die Verringerung der Anzahl der beteiligten Anbieter würden die Gesamtbetriebskosten (TCO) gesenkt, die Angriffsfläche verringert und ein einheitlicher Überblick über das gesamte Netzwerk geschaffen, so dass ungewöhnliche Aktivitäten leichter zu erkennen seien.

„Ransomware ist ein wachsendes Problem und es gibt keine Anzeichen für eine Verlangsamung. Daher müssen sich KMU jetzt vorbereiten, bevor es zu einem Angriff kommt.“ Geuenich erklärt abschließend: „Bei der Planung für diese neue Zeit des Wandels ist es wichtig, dass Sie Ihre Cyber-Sicherheitsstrategie nicht als einmalige Angelegenheit betrachten!“ Diese müsse flexibel sein, damit sie sich an die veränderten Bedrohungen anpassen könne. Die Methoden der Hacker entwickelten sich ständig weiter, und deshalb müssten die Unternehmen bereit sein, ihre Vorgehensweise im gleichen Tempo zu ändern. Es sei wichtig, dass dies für jedes KMU zur Priorität werde, denn jede Verzögerung könne verheerende Folgen haben.

Weitere Informationen zum Thema:

Renolon, Yaqub M., 09.10.2022 (update)
What Percentage of Small Businesses are Hit By All Cyber Attacks [2022 Update]

comparitech, Sam Cook, 06.10.2022 (update)
2018-2022 Ransomware statistics and facts / 2022 has rolled in, and so has a new bout of ransomware. Here’s everything you need to know about the latest trends, facts, and stats surrounding ransomware.

]]>
https://www.datensicherheit.de/ransomware-realitaetscheck-schutz-kmu/feed 0
Cyber-Kriminalität: Web-Seminar zur Aufklärung mit KMU-Beispiel https://www.datensicherheit.de/cyber-kriminalitaet-web-seminar-aufklaerung-kmu-beispiel https://www.datensicherheit.de/cyber-kriminalitaet-web-seminar-aufklaerung-kmu-beispiel#respond Tue, 21 Jun 2022 13:53:01 +0000 https://www.datensicherheit.de/?p=41933 itsbb-web-seminar-cyber-kriminalitaet-kmuDer it’s.BB e.V. lädt auch unsere Leser zum nächsten Web-Seminar ein – diesmal mit einer Live-Präsentation zum Thema Ransomware und Tipps für KMU.]]> itsbb-web-seminar-cyber-kriminalitaet-kmu

it’s.BB e.V. lädt auch ds-Leser ein, zum nächsten Web-Seminar

[datensicherheit.de, 21.06.2022] Der it’s.BB e.V. lädt auch unsere Leser zum nächsten Web-Seminar ein – diesmal mit einer Live-Präsentation zum Thema Ransomware und Tipps für KMU.

itsbb-web-seminar-cyber-kriminalitaet-kmu-600

Abbildung: it’s.BB e.V.

Erkennen, wie wichtig IT-Sicherheitsmanagement gerade für kleine und mittelständische Unternehmen (KMU) ist!

Aufklärung über moderne Cyber-Kriminalität am Beispiel eines betroffenen KMU‘

Cyber-Gefahren seien gerade in der heutigen Zeit ein stetig wachsendes Problem. Im bevorstehenden „Awareness-Seminar“ sollen die Teilnehmer online einen Überblick über aktuelle Gefahren erhalten und anhand eines negativen Beispiels erkennen, „wie wichtig IT-Sicherheitsmanagement gerade für kleine und mittelständische Unternehmen (KMU) ist und wie die Lösung hierfür aussehen kann“.

Web-Seminar am Mittwoch, dem 22. Juni 2022
16.00 bis 17.00 Uhr, online über „MS Teams“-Plattform
Teilnahme kostenlos / Anmeldung erforderlich

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung
Sebastian Breu, Fraunhofer FOKUS & HTW Berlin
Michael Holzhüter, Fraunhofer FOKUS & HTW Berlin
Andreas Polzer, IHK Berlin

16.10-16.45 Uhr
• Intro
• Vorstellung „Lernlabor Cybersicherheit Berlin“
• Überblick über aktuelle Gefahren
• Live-Präsentation Ransomware
• Verschlüsseltes KMU – Problem
Sebastian Breu, Fraunhofer FOKUS & HTW Berlin
Michael Holzhüter, Fraunhofer FOKUS & HTW Berlin

16.45-17.00 Uhr Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema u. Anmeldung:

eventbrite
Aufklärung über moderne Cyberkriminalität am Beispiel eines betroffenen KMU / von it’s.BB e.V. (IT-Sicherheitsnetzwerk Berlin-Brandenburg)

]]>
https://www.datensicherheit.de/cyber-kriminalitaet-web-seminar-aufklaerung-kmu-beispiel/feed 0
Schutz statt Nachlässigkeit: 5 einfache Tipps zur Stärkung der KMU-Cybersecurity https://www.datensicherheit.de/schutz-ersatz-nachlaessigkeit-5-tipps-staerkung-kmu-cybersecurity https://www.datensicherheit.de/schutz-ersatz-nachlaessigkeit-5-tipps-staerkung-kmu-cybersecurity#respond Thu, 10 Mar 2022 14:38:35 +0000 https://www.datensicherheit.de/?p=41618 Bewusstsein, wie wichtig auch der KMU-Schutz vor Cyber-Attacken ist, noch lange nicht geschärft

[datensicherheit.de, 10.03.2022] Kingston geht in einer aktuellen Stellungnahme auf die Rolle der mittelständischen Wirtschaft, existenzielle Bedrohungen und Empfehlungen für eine Stärkung der Datensicherheit ein. Weltweit bildeten kleine und mittelgroße Unternehmen (KMU) das Rückgrat der gesamten Wirtschaftsleistung: Global existierten mehr als 400 Millionen von ihnen – insgesamt 95 Prozent aller Unternehmen überhaupt, mit rund zwei Dritteln aller Arbeitsplätze. „Sie alle stehen im Zuge der Digitalisierung und aktuell auch der ,Pandemie‘ nicht nur vor massiven wirtschaftlichen Herausforderungen. Besonders Cybersecurity wird zu einem immer stärkeren Faktor, den es mit Blick auf die eigene Existenz zu beachten gilt“, so Kingston. Weltweit komme es im Schnitt alle 39 Sekunden zu einem Cyber-Angriff, welcher zu schwersten Schäden führen könne. Trotz allem sei das Bewusstsein, „wie wichtig der Schutz vor solchen Attacken ist“, noch lange nicht geschärft.

Schutz der KMU vor Cyber-Angriffen von existenzieller Wichtigkeit

85 Prozent aller Cyber-Angriffe gingen auf sogenannte Phishing-Mails zurück, welche Anwender dazu verleiten sollten, unbewusst Malware herunterzuladen. Ein entsprechendes Beispiel zeige die „Pandemie“: Kriminelle versendeten Phishing-E-Mails, SMS- oder „WhatsApp“-Nachrichten mit einem dringend wirkenden Betreff wie „Covid-19“.

Die Malware platziere dann ein schwer erkennbares Schadprogramm, „das es Hackern ermöglicht, sich trotz Firewall oder anderen herkömmlichen Sicherheitsmaßnahmen in einem IT-System umzusehen (oft über Wochen oder gar Monate hinweg) und dann wertvolle Daten ausfindig zu machen oder sie zu verschlüsseln, um im Anschluss ihre Opfer mit Geldforderungen zu erpressen“.

Diese sogenannten Ransomware-Angriffe könnten jedoch nicht nur die unmittelbaren Opfer kompromittieren, da den Hackern unter Umständen so auch Daten über Kunden und/oder Zulieferer in die Hände fielen.

70% der befragten KMU sehen Gefahr für ihr eigenes Unternehmen als gering an

Noch immer fehle es deutlich am Problembewusstsein, wie etwa eine erst 2021 im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) von Forsa durchgeführte Studie zum Stand der Cyber-Sicherheit in der deutschen Wirtschaft zeige.

70 Prozent der befragten Mittelständler hätten die Gefahr für ihr eigenes Unternehmen als „gering“ angesehen, obwohl 27 Prozent schon mindestens einmal Opfer einer Attacke geworden seien. Vier von fünf Befragten seien sogar der Ansicht gewesen, genug für ihre IT-Sicherheit getan zu haben – „dabei hatte gleichzeitig nur ein Drittel aller Unternehmen überhaupt Mitarbeiter eingestellt, die sich explizit mit dem Problemfeld befassten“.

Möglicherweise sei dies in der falschen Annahme geschehen, „dass ausreichende Cybersecurity-Funktionen in den von ihnen gekauften IT-Produkten enthalten und folglich keine zusätzlichen Maßnahmen erforderlich waren“.

Insbesondere für KMU können Cyber-Attacken durchaus existenzbedrohend sein

Dies sei „fatal“, denn gerade für KMU könnten solche Attacken durchaus existenzbedrohend sein. Der Verband der Internet- und Telekommunikationsleister Bitkom habe 2021 den jährlichen Schaden durch Cyber-Angriffe auf 223 Milliarden Euro beziffert – „und das sind nur die akuten Schäden“.

Nach einem Angriff sinke auch das Vertrauen der Kunden in die betreffende Marke und dies habe direkte Auswirkungen auf den Umsatz: „Daten von KMU, die mit einer Vielzahl von Zulieferern und Partnern zusammenarbeiten, sind genauso wertvoll wie die von Großunternehmen und können wie oben beschrieben ein Zugangstor zu anderen Firmen darstellen.“

Daten von KMU seien obendrein in der Regel auch viel leichter zu stehlen, da KMU oftmals weder über die Ressourcen noch das Problembewusstsein verfügten, welche für eine effektive Abwehr möglich wären. Zusätzliche Faktoren wie mangelnde Risikobewertung, unzureichende Zugangskontrolle, generell mangelhafter Schutz von Daten, Geräten und Passwörtern, unzureichende Schulung und Sensibilisierung erhöhten die Gefahr.

5 Tipps zur Stärkung der KMU-Cybersecurity

  1. Tipp: Software auf dem neuesten Stand halten!
    Software-Anbieter veröffentlichten Updates aus einer Vielzahl von Gründen, beispielsweise für die Bereitstellung von verbesserten Funktionen, Fehlerbehebungen und Sicherheitspatches.
    „Es sollte immer sichergestellt sein, dass Software kontinuierlich auf die neueste Version aktualisiert wird, sobald diese verfügbar ist.“ Dies habe zudem den Vorteil, dass Entwickler damit auf neue Gesetzesvorschriften reagierten und die Anwender damit rechtlich besser geschützt seien.
  2. Tipp: Veraltete Hardware bei Bedarf aufrüsten!
    Neue Updates seien jedoch möglicherweise nicht mit der Hardware des Geräts kompatibel. „Ist die Hardware veraltet, ist sie nicht mehr in der Lage, die neuesten Softwareversionen auszuführen.“
    Dieses Risiko gelte es unmittelbar zu vermeiden – generell lohnten sich Investitionen in Hardware aber auch wirtschaftlich, da schnellere Rechner auch mehr Effizienz bedeuteten.
  3. Tipp: Backups anfertigen!
    Obendrein seien sichere Daten-Backups für Unternehmen jeder Größe unerlässlich. Dies gelte insbesondere für den Schutz gegen Ransomware-Angriffe, die eben darauf abzielten, Daten zu verschlüsseln oder zu löschen. „Die Widerstandsfähigkeit ist bei der Datenwiederherstellung entscheidend.“
    Es sei kein Szenario nach dem Motto „falls“, sondern nach dem Motto „wenn“, und angesichts der sich ständig erweiternden Bedrohungslandschaft im Bereich der Cyber-Sicherheit könne es schwierig sein, „bösartigen Angriffen, die auch immer raffinierter werden, immer einen Schritt voraus zu sein“. Kingston legt daher nahe: „Erstellen Sie einen Plan für den Umgang mit ,nachträglich‘ erkannten Sicherheitsverletzungen und üben/testen Sie Ihre Reaktion regelmäßig!“
  4. Tipp: Geräte und Daten sichern!
    Die Sicherheit von Daten zu gewährleisten, sei von entscheidender Bedeutung, „insbesondere der Daten, die sich lokal bei einzelnen Mitarbeitern befinden“. Verschlüsselte USB-Sticks trügen dazu bei, dass sensible Daten so sicher wie möglich gespeichert und übertragen werden könnten.
    Ebenso müssten Desktop-PCs im Büro oder zu Hause gesichert werden wie auch mobile Endgeräte. Zudem sollten unbedingt starke 2-Faktor-Authentifizierungspasswörter und biometrische Zugangskontrollen zum Einsatz kommen. Datentransfer dürfe nur über verschlüsselte VPN-Kanäle erfolgen.
  5. Tipp: Erst denken, dann klicken!
    Der „Faktor Mensch“ sei eines der größten Risiken im Bereich der Cyber-Sicherheit. Da Phishing- und Ransomware-Angriffe mittlerweile zum Alltag gehörten, sollten Mitarbeiter und sogar deren Familien über ein gewisses Grundverständnis der Thematik verfügen und unter Umständen geschult werden.
    „Wenn Hacker keine Sicherheitslücke finden können, werden sie auf andere Weise angreifen.“ Hierzu trete „Social Engineering“ auf den Plan. Dieser Angriffstyp ziele auf die Denkweise und die Bedenken der Benutzer ab und nicht auf Geräte, um Zugang zu Systemen und Informationen zu erhalten. Anfragen nach persönlichen Informationen oder Passwörtern sollten immer ignoriert oder noch besser der IT-Abteilung gemeldet werden.

Weitere Informationen zum Thema:

datensicherheit.de, 25.01.2022
3 BlackBerry-Tipps zur Abwehr von Ransomware-Attacken / Zunehmende Ransomware-Bedrohung durch Cybercrime-as-a-Service

datensicherheit.de, 03.11.2021
Datensicherheit: 10 Tipps von Pure Storage zur Einhaltung / „Best Practices“ als Tipps komprimiert für die Daten-Compliance, um Ransomware einzudämmen

datensicherheit.de, 28.09.2021
Ransomware: 5 Tipps für Unternehmen, um sich zu schützen / Tanja Hofmann gibt fünf aktuelle Tipps, wie Organisationen ihre IT-Sicherheit verbessern können

]]>
https://www.datensicherheit.de/schutz-ersatz-nachlaessigkeit-5-tipps-staerkung-kmu-cybersecurity/feed 0