[datensicherheit.de, 20.11.2024] Laut einer Meldung des eco – Verband der Internetwirtschaft e.V. vom 20. November 2024 wurde der „Cyber Resilience Act“ (CRA / EU-Verordnung 2024/2847) an diesem Tag offiziell im Amtsblatt der Europäischen Union (EU) veröffentlicht, womit der Countdown für die Umsetzung der IT-Sicherheitsvorschriften begonnen habe. Der CRA lege horizontale Cyber-Sicherheitsanforderungen für Produkte mit digitalen Elementen in der EU fest, um weit verbreitete Sicherheitslücken und inkonsistente Sicherheitsupdates anzugehen.

Foto: eco e.V.

Prof. Dr. Norbert Pohlmann: Der CRA hat das Potenzial, Europa als Vorreiter in der Cyber-Sicherheit zu positionieren und langfristig globale Standards für vernetzte Geräte zu setzen

CRA erste europäische Verordnung, welche Mindestmaß an Cyber-Sicherheit für alle vernetzten Produkte festlegt

Prof. Dr. Norbert Pohlmann, eco-Vorstand für „IT-Sicherheit“, kommentiert: „Mit dem CRA geht die EU einen wichtigen Schritt für die Verbesserung der Cybe-Ssicherheit in einer zunehmend vernetzen digitalen Welt. Denn der CRA hat das Potenzial, Europa als Vorreiter in der Cyber-Sicherheit zu positionieren und langfristig globale Standards für vernetzte Geräte zu setzen – insbesondere in Bezug auf IoT-Anwendungen.“ Dies sei nicht nur ein Gewinn für die Sicherheit von Endgeräten, sondern auch für die Stabilität unserer digitalen Infrastrukturen insgesamt.

Damit sei der „Cyber Resilience Act“ die erste europäische Verordnung, welche ein Mindestmaß an Cyber-Sicherheit für alle vernetzten Produkte festlege, „die auf dem EU-Markt in den Verkehr gebracht werden“. Begrüßenswert sei laut Pohlmann zunächst, dass der CRA die Verantwortlichkeiten klar zuweise: „Hersteller werden stärker in die Pflicht genommen, Cyber-Sicherheitsanforderungen nicht nur bei der Entwicklung, sondern über den gesamten Lebenszyklus ihrer Produkte hinweg zu erfüllen. Dieser Ansatz ist ein entscheidender Schritt, um die Resilienz und das Vertrauen in digitale Produkte nachhaltig zu stärken.“

eco: CRA-Umsetzung sollte Handhabbarkeit der Regelungen in der Praxis sicherstellen und unnötige Bürokratie vermeiden

„Auch die gefundene Lösung für Open-Source-Technologien stellt einen Kompromiss dar, der Sicherheitsanforderungen und Innovationsförderung zusammenbringt. Dennoch müssen wir die Umsetzung weiterhin kritisch und konstruktiv begleiten, um sicherzustellen, dass Open-Source-Projekte nicht durch übermäßige Anforderungen beeinträchtigt werden“, unterstreicht Professor Pohlmann. Gleichzeitig sei die feingliedrige Systematik des CRA, insbesondere die Unterscheidung in vier Risikokategorien, mit gemischten Gefühlen zu sehen:

„Während diese Differenzierung für mehr Klarheit sorgt, könnte sie für kleinere Unternehmen und andere Akteure im Markt zu komplex sein. Hier wird es darauf ankommen, die Handhabbarkeit der Regelungen in der Praxis sicherzustellen und unnötige Bürokratie zu vermeiden.“ Insgesamt sei der CRA indes ein wichtiger Meilenstein für die Stärkung der Cyber-Sicherheit in Europa. Der eco-Verband werde sich aktiv dafür einsetzen, „dass die Verordnung ihre Ziele erreicht und dabei praktikable Lösungen für alle Marktteilnehmer entwickelt werden“, so Professor Pohlmann abschließend.

Weitere Informationen zum Thema:

EUR-Lex Der Zugang zum EU-Recht, 20.11.2024
Dokument 32024R2847 / Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung) (Text von Bedeutung für den EWR)

datensicherheit.de, 24.10.2024
CRA-Verabschiedung ein Paradigmenwechsel für die Produkt-Cyber-Sicherheit / CRA erzwingt, vernetzte Produkte über gesamten Lebenszyklus hinweg mit neuen Updates zu versehen

datensicherheit.de, 18.10.2024
Cyber Resilience Act der EU (CRA): Verabschiedung und Konsequenzen für Unternehmen / Suzanne Button kommentiert Bedeutung des CRA für europäische Unternehmen und unterstreicht Handlungsbedarf

datensicherheit.de, 11.10.2024
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung / Fraunhofer IEM empfiehlt drei Sofortmaßnahmen für Unternehmen

[datensicherheit.de, 19.07.2024] Auch der eco – Verband der Internetwirtschaft e.V. kommentiert die weltweit gemeldeten Ausfälle von IT-Systemen: Flughäfen, so auch der BER bei Berlin, Banken und sogar die Londoner Börse haben demnach mit erheblichen technischen Problemen zu kämpfen. „Grund dafür soll ein Update einer Sicherheitssoftware sein, das zahlreiche Rechner lahmgelegt hat.“

Foto: eco e.V.

Prof. Dr. Norbert Pohlmann: Schutz kritischer digitaler Infrastrukturen wichtiger denn je!

Schwerwiegende Konsequenzen von Störungen unserer IT-Systeme

Dieses Chaos verdeutliche eindrücklich, welche schwerwiegenden Konsequenzen Störungen unserer IT-Systeme verursachen könnten. „Der Schutz kritischer digitaler Infrastrukturen ist daher wichtiger denn je!“

IT-Systeme und -Infrastrukturen nutzen zunehmend mehr Software von Drittanbietern

„In unseren IT-Systemen und -Infrastrukturen wird zunehmend mehr Software von Drittanbietern genutzt. Damit lässt sich zwar die Geschwindigkeit der Digitalisierung erhöhen, aber gleichzeitig steigt damit auch die Abhängigkeit und Risiken werden größer, wie das aktuelle Beispiel zeigt“, erläutert eco-Vorstand und IT-Sicherheitsexperte Prof. Dr. Norbert Pohlmann.

IT-Sicherheit der Software-Zulieferer gehört in den Fokus

Aus diesem Grund müssen laut Professor Pohlmann Anwenderfirmen ihre Abhängigkeit von Software-Zulieferern klar identifizieren und deren IT-Sicherheit deutlich mehr in den Fokus stellen.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 19.07.2024
Weltweite IT-Ausfälle

datensicherheit.de, 20.07.2024
Software-Problem vom 19. Juli 2024 als Warnung: Großflächiger Cyber-Angriff könnte Welt ins Chaos stürzen / Im Falle eines böswilligen Cyber-Angriffs wäre laut Dennis Weyel die Situation für die Menschheit noch weitaus ernster

datensicherheit.de, 19.07.2024
CrowdStrike: Ein IT-Update und es wackelt die ganze Welt / Alain Blaes kommentiert globale IT-Ausfälle vom 19. Juli 2024

datensicherheit.de, 19.07.2024
Digitale Pandemie: Chris Dimitriadis kommentiert IT-Sicherheitsvorfälle vom 19. Juli 2024 / Unter anderem Fluggesellschaften, Banken, Behörden und Medienorganisationen sind von IT-Ausfällen betroffen

[datensicherheit.de, 29.01.2024] Der eco – Verband der Internetwirtschaft e.V. geht in seiner aktuellen Stellungnahme auf eigene Erkenntnisse aus einer eco-Umfrage anlässlich des bevorstehenen „Ändere Dein Passwort“-Tages am 1. Februar 2024 ein: Demnach behält jeder dritte Deutsche (34,4%) Online-Passwörter im Kopf – doch kryptische Passwörter und Zwei-Faktor-Authentifizierung (ZFA) seien besser als häufige Wechsel. Das Meinungsforschungsunternehmen Civey habe im eco-Auftrag rund 2.519 volljährige Bundesbürger zwischen dem 16. und 17. Januar 2024 befragt. Die Ergebnisse seien repräsentativ – der statistische Fehler der Gesamtergebnisse liege bei 3,2 Prozent. Der eco gibt zum „Ändere Dein Passwort“-Tag 2024 drei Tipps für sichere Passwörter.

Foto: eco e.V.

Prof. Norbert Pohlmann warnt vor reinem Passwort-Verfahren: „Die unsicherste Möglichkeit, sich zu authentisieren und ein großes Einfallstor für Ransomware-Angriffe!“

Passwörter sollten laut eco möglichst kryptisch sein – mit Zahlen und Sonderzeichen – und dürften sich nicht wiederholen

Mit der Zahl der Online-Accounts nimmt offensichtlich auch die Zahl der Passwörter zu, die jeder Mensch täglich nutzt. Damit stellt sich laut eco folgende Herausforderung:

Die Passwörter sollten möglichst kryptisch sein – mit Zahlen und Sonderzeichen – und sie dürften sich nicht wiederholen, das heißt bei Dutzenden Benutzerkonten würden auch genausoviele kryptische Passwörter benötigt werden. Sich indes die zahlreichen schwierigen Passwörter für „Social Media“, Mobiltelefon-Apps, Online-Banking, E-Mail, Online-Shops und so weiter zu merken, scheine kaum noch möglich.

Dennoch gebe jeder Dritte Deutsche (34,4%) an, sich die eigenen Passwörter im Kopf zu behalten. So ein Ergebnis einer bevölkerungsrepräsentativen Civey-Umfrage im eco-Auftrag anlässlich des „Ändere Dein Passwort“-Tags 2024. Auf Papier notierten sich 21,8 Prozent der Deutschen ihre Passwörter. 20,2 Prozent nutzten einen Passwort-Manager, also eine Software, um die Speicherung der Passwörter für sie zu übernehmen.

Prof. Norbert Pohlmann, eco-Vorstand IT-Sicherheit, empfiehlt Passwort-Manager

Zu einem Passwort-Manager rät auch Prof. Norbert Pohlmann, eco-Vorstand „IT-Sicherheit“: „Passwort-Manager schlagen sichere Passwörter vor und stellen diese dann auf unterschiedlichen Geräten verschlüsselt zur Verfügung, Nutzerinnen und Nutzer müssen sich nur noch ein Passwort merken.“ Zusätzlich empfiehlt er, wo immer es möglich ist eine ZFA zu aktivieren. Beim Online-Banking sei dies schon lange üblich, doch auch immer mehr Online-Shops und Social-Media-Plattformen böten den Nutzern heute die Chance, beispielsweise mit einem Code per Bestätigungs-SMS-Nachricht als zweitem Faktor das Log-in sicherer zu machen.

Sich alle Passwörter im Kopf zu behalten sei bei der wachsenden Zahl der Online-Accounts ohnehin zunehmend unrealistisch – zu groß die Versuchung, dasselbe Passwort für mehrere Benutzerkonten zu verwenden oder einfache, nicht-kryptische Passwörter zu wählen. Das reine Passwort-Verfahren bezeichnet Professor Pohlmann als „die unsicherste Möglichkeit, sich zu authentisieren und ein großes Einfallstor für Ransomware-Angriffe“.

Auch die Methode, Passwörter auf Papier zu notieren, sieht er sehr kritisch: „Wer seine Passwörter aufschreibt, muss darauf achten, diese Notizen räumlich getrennt von Handy oder Notebook zu verwahren. Das klassische ,Post-it’ mit Passwörtern unter der Tastatur, am Bildschirm oder unter der Handyhülle ist grob fahrlässig und eine Einladung, in die privaten Systeme einzudringen.“

Für sichere Passwörter gibt der eco folgende drei Tipps:

1. Tipp: Tauschen Sie unsichere gegen kryptische Passwörter aus!
„Diese sind acht bis zwölf Zeichen lang, besteht aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen – in willkürlicher Reihenfolge. Überprüfen Sie, ob Ihre wichtigen Online-Passwörter sicher und schwer zu knacken sind – und ändern Sie diese gegebenenfalls heute.“

2. Tipp: Verwenden Sie einen Passwort-Manager, da sichere Passwörter schwer zu merken sind!
„Damit müssen Sie sich nur noch ein Passwort merken, nämlich das zu Ihrem Passwort Manager. Für alle anderen Zwecke generiert die Software starke und einzigartige Passwörter automatisch und speichert diese verschlüsselt ab – lokal auf einem Gerät oder auch online. Das hat den Vorteil, dass man auch mobil und mit verschiedenen Geräten auf die eigenen Passwörter zugreifen kann.“

3. Tipp: Verwenden Sie wenn möglich eine Zwei-Faktor-Authentifizierung!
„Ein zweiter Identifikationsweg, zusätzlich zum Passwort, erhöht die Sicherheit. Diese Zwei-Faktor-Authentifizierung gibt es in zahlreichen Varianten, etwa als Code per SMS, mit einem TAN-Generator etwa beim Online-Banking oder in einer App. Ein starkes Passwort und aktivierte Zwei-Faktor-Authentifizierung schützen sehr wirksam gegen Missbrauch durch Kriminelle.“

Einen Vorschlag, wie sich auch ein komplexes Passwort leicht merken lässt, gibt der eco-Verband zum Abschluss: „Es hilft, sich einen Satz oder eine Phrase auszudenken und daraus die ersten Buchstaben jedes Wortes zu nehmen und es mit Sonderzeichen und Ziffern zu kombinieren. Beispiel: Aus ,Ich wohne in einem gelben Haus und habe zwei Katzen’ könnte IwiegH&h#2K! werden.“

Weitere Informationen zum Thema:

eco
Wie verwalten Sie Ihre privaten Online-Passwörter?

[datensicherheit.de, 26.01.2023] Der eco – Verband der Internetwirtschaft e.V. meldet in seiner aktuellen Stellungnahme, dass 14,8 Prozent der IT-Nutzer nie ihre Passwörter änderten und 37,4 Prozent seltener als einmal im Jahr. So möchte der eco zum bevorstehenden „Ändere dein Passwort“-Tag am 1. Februar 2023 drei Tipps für sichere Log-Ins geben. Einen Vorschlag, wie sich auch ein komplexes Passwort leicht merken lässt, gibt der eco auch: „Es hilft, sich einen Satz oder eine Phrase auszudenken und daraus die ersten Buchstaben jedes Wortes zu nehmen und es mit Sonderzeichen und Ziffern zu kombinieren.“ Als Beispiel nennt der eco den Satz „Ich wohne in einem gelben Haus und habe zwei Katzen“ – daraus könnte das z.B. Passwort „IwiegH&h#2K!“ werden.

Foto: eco e.V.

Prof. Norbert Pohlmann: Besser auf starke, schwer zu knackende Passwörter setzen, statt diese häufig zu wechseln!

eco-Empfehlung an IT-Nutzer: Unsichere gegen starke Passwörter austauschen

„Wenn es um ihre Online-Passwörter geht, bevorzugen viele Deutschen Kontinuität: 37,6 Prozent geben in einer repräsentativen Civey-Umfrage im Auftrag des eco-Verbands an, sie wechseln ihre Passwörter seltener als einmal im Jahr. 14,8 Prozent sagen, sie wechseln diese nie. Einmal im Jahr überlegen sich 7,9 Prozent neue Passwörter für ihre Online-Accounts, mehrmals im Jahr 16,9 Prozent.“

Da stelle sich die Frage, ob das ausreicht! Alljährlich soll demnach der „Ändere dein Passwort“-Tag jeweils am 1. Februar motivieren, die Passwörter zu wechseln. Indes: Aktiv werden sollen Nutzer jedoch nur bei unsicheren Exemplaren.

eco sieht in starken Passwörtern Schutz der eigenen Online-Identität

Im Jahr 2022 habe das beliebteste Passwort der Deutschen „123456“ gelautet, so eine Ermittlung das Hasso Plattner Instituts (HPI). „Angesichts der vielen Passwörter, die wir nutzen, ist es besser auf starke, schwer zu knackende Passwörter zu setzen, statt diese häufig zu wechseln“, betont Prof. Norbert Pohlmann, eco-Vorstand „IT-Sicherheit“.

Starke Passwörter schützten die eigene Online-Identität und verhinderten unbefugte Zugriffe auf persönliche oder geschäftliche Informationen. „Ein zusätzlicher zweiter Faktor ist noch besser“, so Professor Pohlmann. Mit diesen drei eco-Tipps könne man sich sicher im Internet bewegen:

eco-Tipp 1: Tauschen Sie unsichere gegen kryptische Passwörter aus!

Diese seien acht bis zwölf Zeichen lang, bestehend aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen – in willkürlicher Reihenfolge.

„Überprüfen Sie, ob Ihre wichtigen Online-Passwörter sicher und schwer zu knacken sind – und ändern Sie diese gegebenenfalls heute!“

eco-Tipp 2: Verwenden Sie einen Passwort-Manager, da sichere Passwörter schwer zu merken sind!

„Damit müssen Sie sich nur noch ein Passwort merken, nämlich das zu Ihrem Passwort-Manager.“ Für alle anderen Zwecke generiere die Software starke und einzigartige Passwörter automatisch und speichere diese verschlüsselt ab – lokal auf einem Gerät oder auch online.

Dies habe den Vorteil, dass man auch mobil und mit verschiedenen Geräten auf die eigenen Passwörter zugreifen könne.

eco-Tipp 3: Verwenden Sie für besonders schützenswerte Zugänge die Zwei-Faktor Authentifizierung!

Ein zweiter Identifikationsweg – zusätzlich zum Passwort – erhöhe die Sicherheit. Diese Zwei-Faktor-Authentifizierung gebe es in zahlreichen Varianten, etwa als Code per SMS, mit einem TAN-Generator etwa beim Online-Banking oder in einer App.

Ein starkes Passwort und aktivierte Zwei-Faktor-Authentifizierung schützten sehr wirksam gegen Missbrauch durch Kriminelle.

Weitere Informationen zum Thema:

eco, 19-19.01.2023
CIVEY: Wie häufig wechseln Sie durchschnittlich Ihre privaten Online-Passwörter?

HPI Hasso Plattner Institut, 19.12.2022
Die beliebtesten deutschen Passwörter 2022

datensicherheit.de, 05.05.2022
Passwörter als Sicherheitsrisiko – Experten plädieren zum Wechsel zur passwortlosen Authentifizierung / Statt sich auf eine gute Kennworthygiene zu konzentrieren, sollte der Einsatz der Passwort-Authentifizierung hinterfragt werden

datensicherheit.de, 03.05.2022
Passwörter gehören noch immer zu den wichtigsten Datensicherheitsmaßnahmen / Werner Thalmeier kommentiert Bedeutung der Passwörter und gibt Tipps zum „World Password Day 2022“

datensicherheit.de, 29.01.2021
„Change Your Password Day“ am 1. Februar: Tipps für starke Passwörter / Schwacher Passwörter und die Mehrfachnutzung für sehr viele unterschiedliche Dienste überaus leichtsinnig

[datensicherheit.de, 25.10.2022] Nach Angaben der NürnbergMesse ist die „it-sa 2022“ ausgebucht und aussichtsreich am 25. Oktober 2022 an den Start gegangen. Demnach sind diesmal 693 Aussteller vertreten, darunter 200 aus dem Ausland – aus 29 Ländern. Europas größte IT-Sicherheitsfachmesse mit begleitendem Kongress baut somit ihren internationalen Anspruch aus. Im Fokus der 350 Forenvorträge stehen u.a. der sogenannte Fachkräftemangel, der Schutz Kritischer Infrastrukturen und Lösungsansätze zur Stärkung der Datensicherheit.

Foto: Dirk Pinnow

Frank Venjakob: Resonanz in der Branche überragend

it-sa startet gestärkt durch

„Daten und IT-Infrastrukturen zu schützen ist eine Aufgabe, der sich IT-Sicherheitsverantwortliche auf allen Ebenen gemeinsam stellen. Die ,it-sa‘ bietet ihnen dafür seit 2009 in Nürnberg den Rahmen – und war noch nie so relevant wie dieses Jahr“, betont Frank Venjakob, „Executive Director it-sa“ bei der NürnbergMesse zum Geleit. Wie wichtig der „Schulterschluss in der IT-Sicherheitsgemeinschaft“ insbesondere in dieser Zeit ist, zeigten die internationalen Gemeinschaftsstände aus Österreich, Tschechien und Südkorea. Die Resonanz in der Branche sei „überragend“ gewesen – so seien bereits im September alle 2022 verfügbaren Flächen vergeben gewesen, so Venjakob.

Auch dem „enormen Innovationspotenzial“ gerade junger IT-Sicherheitsfirmen wird wieder Raum gegeben: So steht diesen die Sonderfläche „Startups@it-sa“ zur Präsentation zur Verfügung und der „ATHENE Startup Award UP22@it-sa“ wird nun bereits zum fünften Mal auf der „it-sa“ verliehen. Um mehr potenzielle Fachkräfte für die IT-Sicherheit zu begeistern, wurden der Wettbewerb „Deutschlands bester Hacker“ ausgelobt und die Vortragsreihe „Women in Cybersecurity“ in das Begleitprogamm aufgenommen.

Impulse der Eröffnungspressekonferenz der it-sa 2022

Auf der Eröffnungspressekonferenz wurde ausgeführt, dass die Zunahme der Cyber-Bedrohungen für die Gesellschaft eine ganz konkrete Gefährdung bedeutet. Bedrohliche Vorfälle haben erkennbar zugenommen – wie auch die Anzahl der Schwachstellen. Dr. Markus Richter, Staatssekretär im Bundesministerium des Innern und für Heimat sowie Beauftragter der Bundesregierung für Informationstechnik, rief angesichts der Herausforderungen zur Zusammenarbeit auf. Die IT-Sicherheit müsse im Sinne der „Security-by-Design“ an den Anfang gestellt werden. Hierzu bedürfe es entsprechender fachlicher Fähigkeiten und natürlich auch angemessener Investitionen.

Dr. Gerhard Schabhüser, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), bekannte sich zur „it-sa“ als Europas größter Fachmesse – das BSI engagiere sich hier insbesondere mit dem Anspruch, Kritische Infrastrukturen (KRITIS) zu schützen und sich der erhöhten Bedrohungslage zu stellen; das BSI sei indes auch Aufsichtsbehörde im Sinne des „Stands der Technik“. Es gebe viel zu tun – in diesem Zusammenhang verwies er auf den soeben publizierten BSI-Lagebericht und empfahl dessen Lektüre.

Udo Littke erläuterte namens des Branchenverbands Bitkom, dass inzwischen bereits 45 Prozent aller Unternehmen Cyber-Angriffe für existenzbedrohend halten – der jährliche Schaden für die deutsche Wirtschaft liege bei 200 Milliarden Euro. Die Angriffe würden professioneller. So betonte er, das IT-Sicherheit kein Thema allein für die betreffende Fachabteilung sei, sondern in das Top-Management gehöre.

Abschließend erklärte Prof. Dr. (TU NN) Dipl.-Ing. Norbert Pohlmann. Norbert Pohlmann, Vorsitzender des Bundesverbands IT-Sicherheit e.V. (TeleTrusT), dass – wiewohl es die Vorredner schon sagten – die Lage „ernst“ sei. Auch er votierte für mehr Investitionen, angesichts der Erkenntnis, dass die Probleme jedes Jahr zunähmen, weil die Informationstechnik (IT) oftmals nicht sicher genug konzipiert und adäquat abgesichert sei. Mit Zunahme der Kompexität der Strukturen erhöhe sich deren Angriffsfläche – und auch die Angriffe seien von zunehmend komplexer Art. Diese würden von Tätern optimiert, weil die Aussicht auf den Zugriff auf digitale Werte immer lukrativer werde. Statt nur auf Angriffe zu reagieren, sollte eine Strategie der Vermeidung implementiert werden: Als Beispiel nannte er die sogenannte Datensparsamkeit (nur fünf Prozent der Daten seien „Kronjuwelen“). Zudem sollte der Fokus der IT-Anwendung auf dem Notwendigen liegen, Gleiches gelte für die Rechtevergabe. Er sprach sich ferner für eine Erhöhung des Sicherheitsbewusstseins auf Anwenderseite aus und forderte mehr Verschlüsselung bei der Übertragung, Bearbeitung und Speicherung von Daten. Er riss gewissermaßen eine Art Drei-Stufen-Plan an: 1. Vermeidung, 2. Erkennung (s. Anomalien), 3. Reaktion (geeignete Maßnahmen, um das Ausmaß des Schadens zu minimieren). Schließlich betonte er noch die Notwendigkeit eines erprobten Notfall- und Wiederanlaufsplans. „Hört sich leicht an, kostet aber viel!“, so Professor Pohlmann. Sein Rat: Synergien nutzen. Sieben Prozent der IT-Budgets würden heute durchschnittlich für IT-Sicherheit verwendet – notwendig seinen aber eher zehn bis 15 Prozent.

Weitere Informationen zum Thema:

it-sa 365
IT-SA EXPO&CONGRESS / 25. bis 27. Oktober 2022

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland 2022

[datensicherheit.de, 05.09.2022] Laut einer aktuellen Stellungnahme vom eco – Verband der Internetwirtschaft e.V. fordert eco-Vorstand Prof. Norbert Pohlmann: „Nationale Alleingänge vermeiden. Nutzerfreundlichkeit und offene Standards sollten im Mittelpunkt stehen, um Akzeptanz digitaler Identitäten und offenen Wettbewerb zu fördern.“ Eine aktuelle eco-Studie zeigt demnach, dass vielen Menschen verfügbaren digitalen Behördendienste zu kompliziert und zu unsicher sind – Bürger wünschten sich von Behörden mehr Online-Services (60%), besseres Nutzungserlebnis (76%) und Gewährleistungen für die Sicherheit (77%).

Foto: eco e.V.

Prof. Norbert Pohlmann: Nutzerfreundlichkeit und offene Standards sollten im Mittelpunkt stehen, um Akzeptanz digitaler Identitäten und offenen Wettbewerb zu fördern!

eco sieht als wichtigen Grund für die Zurückhaltung das ausbaufähige Nutzungserlebnis

Ob zur digitalen Abgabe der Steuererklärung oder zur Online-Anmeldung eines Fahrzeugs: „Wer digitale Behördendienste nutzen möchte, muss sich online einloggen und identifizieren – beispielsweise auf Basis des eID-Verfahrens mit dem neuen elektronischen Personalausweis.“ Doch nur ein Drittel der Menschen in Deutschland nutze überhaupt solche digitalen Behördendienste, so ein Ergebnis der Studie „Security & digitale Identitäten in einer digitalisierten Welt“, von eco 2022 in Zusammenarbeit mit dem Analystenhaus techconsult erstellt.

Ein wichtiger Grund für die Zurückhaltung sei das ausbaufähige Nutzungserlebnis (User Experience), das viele Menschen (76%) mit behördlichen Online-Diensten verbinden würden. Insbesondere die mangelhafte Struktur und Auffindbarkeit der Online-Angebote halte viele zurück. „Mit einem ,funktioniert’ ist es nicht getan“, stellt Professor Pohlmann fest: „Die Menschen erwarten einen vergleichbaren Komfort und die einfache Bedienbarkeit, die sie aus ihren täglich genutzten kommerziellen Anwendungen gewöhnt sind – am Rechner genauso wie auf dem Smartphone.“

Vor allem für ältere Menschen stelle die Bedienbarkeit eine wichtige Anforderung dar. Während beispielsweise in der Altersklasse bis 49 Jahre etwas mehr als zwei Drittel die Bedienbarkeit als wichtigen Faktor erachteten, seien es bei Älteren um die 90 Prozent.

eco warnt: Viele Menschen bezweifeln Sicherheit der eigenen Daten

Ungeklärte Fragen hinsichtlich des Datenschutzes und der Datensicherheit spielten außerdem für 47 Prozent eine große Rolle, die gegen den Einsatz von sogenanntem E-Government-Diensten sprächen. Hierbei seien vor allem ältere Menschen tendenziell deutlich besorgter, als dies bei jüngeren der Fall sei. Für Unsicherheit sorge dabei der aktuelle Wildwuchs digitaler Identitäten: Ein Drittel der Bürger verwalte aktuell mehr als zehn verschiedene Benutzerkonten, um Internetdienste zu nutzen. Jeder Zehnte verfüge sogar über mehr als 20 Benutzerkonten.

Diese durch eine universelle Identität abzulösen, komme für die allermeisten (77%) erst bei Gewährleistung der Sicherheit dieser Identität infrage. „Hochsensible persönliche Daten preiszugeben, ist eine große Hürde für jeden Menschen“, unterstreicht Professor Pohlmann und führt aus: „Wenn diese beispielsweise durch Sicherheitslücken in die falschen Hände oder unberechtigt an die Öffentlichkeit gelangen, führt dies zu massiven Schäden und Vertrauensverlusten.“

Es sei grundsätzlich gut, dass die Bundesregierung das Thema digitale Identitäten in ihrer Digitalstrategie aufgreife und als Priorität benenne. Entsprechende Projekte müssten aber im Zusammenhang mit der geplanten EUid und der Evaluation der eIDAS-Verordnung in Brüssel gedacht werden, um nationale Alleingänge zu vermeiden. „Nutzerfreundlichkeit und offene Standards sollten dabei im Mittelpunkt stehen, um die Akzeptanz digitaler Identitäten und einen offenen Wettbewerb zu fördern“, betont Professor Pohlmann.

Abbildung: eco / techconsult

eco-Studie: Hürden für die Nutzung digitaler Identitäten

Laut eco grundsätzlich hohe Akzeptanz für digitale Behördendienste

Viele digitale Behördendienste würden die Menschen demnach gerne nutzen, wenn sie denn zur Verfügung stünden. Knapp 60 Prozent der Bürger seien mit der Anzahl der verfügbaren Dienste unzufrieden. Ganz oben auf der Wunschliste der Bürger seien die Ausstellung von Ausweisen und Pässen (53%), die An- oder Ummeldung des Wohnsitzes (53%) sowie Dienste zum Ausstellen von allgemeinen Dokumenten wie der Geburtsurkunde (50%) und die Kfz-Zulassung (50%). Aber auch nahezu alle anderen möglichen Dienste würden grundsätzlich hohe Akzeptanz genießen. Beispielsweise seien heute knapp ein Viertel der Bürger Briefwähler und forderten die Wahlunterlagen digital über das Portal ihrer Gemeinde an.

Die Öffentlichen Verwaltungen selbst böten primär Dienste zur Beantragung von staatlichen Leistungen gegenüber Unternehmen und Bürgern an (33%). Dahinter folgten Dienste für die Steuererklärung (25%) sowie die elektronische Ausstellung des Führerscheins (23%), die An- oder Ummeldung des Wohnsitzes (23%) die Anforderung von Wahlunterlagen (23%) und die Ausstellung allgemeiner Dokumente (23%).

Die Verfügbarkeit von Diensten solle in Zukunft noch stark ansteigen. So planten beispielsweise 27 Prozent der Kommunen, welche bisher noch keine digitalen Dienste für Bürger anböten, in Zukunft erste Angebote einzuführen. Hier eigneten sich insbesondere bereits in anderen Kommunen etablierte Dienste wie die Ausstellung von Ausweisen und Pässen oder die digitale An- oder Ummeldung des Wohnsitzes. Diese eco-Studie stehe vollständig zum Download zur Verfügung. Das Analystenhaus techconsult habe im Frühjahr 2022 zur Erstellung rund 300 Bürger, 170 Unternehmen und 40 Öffentliche Verwaltungen befragt.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
Security & digitale Identitäten in einer digitalisierten Welt / Potenziale und Hürden bei der Nutzung digitaler Identitäten

[datensicherheit.de, 13.07.2022] Der eco – Verband der Internetwirtschaft e.V. hat die am 12. Juli 2022 von Bundesinnenministerin Nancy Faeser vorgestellte „Cybersicherheitsagenda“ von seinem Vorstand „IT Sicherheit“, Prof. Dr. Norbert Pohlmann, kommentieren lassen:

Foto: eco e.V.

Prof. Dr. Norbert Pohlmann: BMI sollte Pläne noch einmal kritisch prüfen!

eco-Forderung nach Verbesserung des Informationsaustauschs zwischen Wirtschaft und Verwaltung

„eco begrüßt, dass die Bundesregierung die Erhöhung der Cyber-Sicherheit entschlossen vorantreibt“, unterstreicht Professor Pohlmann. Die Stärkung der Resilienz digitaler Infrastrukturen und die Stärkung einer unabhängigen Rolle des BSI sehe der eco als wichtige Faktoren für mehr Vertrauen in den Staat als Akteur in der Cyber-Sicherheitspolitik.

Er fordert indes: „Der Informationsaustausch zwischen Wirtschaft und Verwaltung muss dringend verbessert werden, so dass bestehende Sicherheitslücken möglichst schnell geschlossen werden können.“

Eine engere und gezielte Zusammenarbeit zwischen allen Stakeholdern wie Staat, Anwender- sowie Anbieterwirtschaft und Forschung im Bereich Cyber-Sicherheitstechnologien werde helfen, die Mammut-Aufgabe „Cyber-Sicherheit für alle“ gemeinsam zu bewältigen.

eco moniert gegenwärtige Regelungen zum Schwachstellen-Management

„Gleichzeitig weisen wir aber auch darauf hin, dass Teile der vorgelegten Agenda aktuell noch zu unbestimmt formuliert sind und daher kritisch hinterfragt werden müssen“, moniert Professor Pohlmann. Dies betreffe zum Beispiel die Regelungen zum Schwachstellen-Management, aber auch die geplante Ausweitung der staatlichen Befugnisse zur Aufklärung technischer Sachverhalte, welche unter Umständen auch aus eco-Sicht problematische Mittel wie Staatstrojaner oder „Hackbacks“ einschließen könnten.

Es müsse klar sein, dass eine Erhöhung der IT-Sicherheit nicht auf Kosten bürgerlicher Freiheiten im Netz gehen dürfe. Massive Eingriffe in die Vertraulichkeit elektronischer Kommunikation könnten das Vertrauen der Bürger in digitale Technologien untergraben und gleichzeitig selbst zum Sicherheitsrisiko im Netz werden.

Professor Pohlmanns abschließender Aufruf: „Die Internetwirtschaft appelliert daher an das BMI, seine Pläne unter diesen Gesichtspunkten noch einmal kritisch zu prüfen und hofft auf einen konstruktiven Dialog bei der Umsetzung der Agenda.“

Weitere Informationen zum Thema:

Bundesministerium des Innern und für Heimat
Cybersicherheitsagenda des Bundesministeriums des Innern und für Heimat / Ziele und Maßnahmen für die 20. Legislaturperiode

datensicherheit.de, 13.07.2022
Cybersicherheitsagenda: Berücksichtigung der Bürger und technische Modernisierung gefordert / Christian Borst kommentiert nationale Cyber-Schutzstrategie gegen Hacker-Angriffe

datensicherheit.de, 06.07.2022
eco-Stellungnahme zum Entwurf der Digitalstrategie der Bundesregierung / Für den eco zentrale Faktoren insgesamt zu vage und sollten weiter konkretisiert werden

[datensicherheit.de, 22.07.2021] Laut einer aktuellen Meldung des eco – Verband der Internetwirtschaft e.V. steigt die Nachfrage nach Cyber-Sicherheitslösungen steigt an und werde ein „zentraler Treiber der Smart City“ – dies zeige die Studie „Der Smart-City-Markt in Deutschland, 2021-2026“. Diese gemeinsame Studie vom eco und Arthur D. Little – unterstützt von NetCologne, Cloudflare, Uber sowie dem Vodafone Institut – beschreibt demnach „Cybersecurity als Enabler für innovative Geschäftsmodelle in neun Smart-City Segmenten“. Internetdienste und -anwendungen profitierten am stärksten von der steigenden Umsetzung im Bereich IT-Sicherheit.

Abbildung: eco e.V.

eco meldet deutlich weiter steigende Nachfrage nach Cyber-Sicherheitslösungen in Deutschland

Laut eco profitiert insbesondere das Branchensegment Internet-Services & Applications

Durch veränderte regulatorische Rahmenbedingungen in Europa, steigendes Bewusstsein für Online-Bedrohungen sowie den Aufschwung digitaler Geschäftsmodelle steige die Nachfrage nach Cyber-Sicherheitslösungen in Deutschland weiter deutlich an und entwickele sich so auch zu einem zentralen Treiber des „Smart City“-Marktes in Deutschland.
Von diesem Trend profitiere besonders das Branchensegment „Internet-Services & Applications“. Cybersecurity-Lösungen hätten demnach allein im Jahr 2020 etwa die Hälfte der 13,7 Milliarden Euro ausgemacht, welche im sogenannten Layer 2 des Modells der Internetwirtschaft „Internet-Services & Applications“ in Deutschland umgesetzt wurden (s. Schichtenmodell laut der Studie „Die Internetwirtschaft in Deutschland, 2020-2025“ von ADL und eco, 2020). Die andere Hälfte der Umsätze dieses Layers sei auf „Public Cloud Services“ entfallen, insbesondere auf Lösungen für Infrastruktur und Software. Internetdienste und -anwendungen profitierten damit besonders stark von der steigenden Umsetzung im Bereich IT-Sicherheit mit weiterhin hohen Wachstumsraten.

eco-Vorstand für IT-Sicherheit fordert, Cybersecurity für die Smart City von Anfang an mitzudenken

„Die zunehmende Vernetzung sorgt in ,Smart Cities‘ dafür, dass die IT-Landschaften zunehmend komplexer werden. Städte, Dienstleister und Bürger tauschen Daten über immer mehr IT-Systeme und Schnittstellen hinweg aus“, erläutert Prof. Norbert Pohlmann, Vorstand „IT-Sicherheit“ im eco. IoT-Geräte, Sensoren und Plattformen für den Datenaustausch und die Datenanalyse mit ganz unterschiedlichen Sicherheitsleveln erhöhten das Risiko für Sicherheitsschwachstellen und Cyber-Angriffe. Professor Pohlmann rät: „Daher sollten die Verantwortlichen in den Kommunen beim Entwurf smarter Lösungen für Verwaltung und Bürgerservices Cyber-Sicherheit von Anfang an mitdenken.“
„Die Verlässlichkeit, Sicherheit und Vertrauenswürdigkeit aller Smart-City-Komponenten steht und fällt mit der Fähigkeit, die Systeme vor Hackern zu schützen“, betont Thomas Seifert, „Chief Financial Officer“ des Infrastruktur- und Cyber-Sicherheitsunternehmens Cloudflare. Angriffe auf Sicherheitssysteme bei der Gebäudeautomatisierung, auf digitale Patientenakten im Gesundheitswesen oder Eingriffe in digitale Bürgerbeteiligungen im Zuge von Wahlen seien allesamt Szenarien, welche verhindert werden müssten, unterstreicht Seifert. In der Studie nennt er nach eigenen Angaben Strategien, alle Organisationen und Bürger in einer „Smart City“ vor solchen Eingriffen zu schützen, vom öffentlichen Sektor über privatwirtschaftliche Unternehmen bis hin zu einzelnen Individuen.

eco: Sichere und vertrauenswürdige Daten-Ökosysteme als Grundlage erfolgreicher Smart-City-Plattformen

Um den eigenen Weg zur „Smart City“ zu ebnen, sollten deutsche Städte und Kommunen laut der Studie ihre vorhandene Datenbank-Landschaft kontinuierlich hinterfragen und mit den technologischen Trends und deren Anforderungen validieren. Denn erst eine segmentübergreifende Architektur von Datenökosystemen und eine entsprechende „Data Governance“ erlaubten es, die unzähligen Datenpunkte zu aggregieren, neue Geschäftsmodelle zu entwickeln und Synergien zwischen den Segmenten und den Bausteinen zu nutzen. Hilfreich seien dabei vermehrt Cybersecurity-Cluster. Ein Beispiel sei die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) initiierte „Allianz für Cyber-Sicherheit“. Diese vereine Wissenschaft, Wirtschaft und Behörden, um die Cyber-Sicherheit auf allen Ebenen zu verbessern.
Geschützt werden müssten unter anderem ganzheitliche und intermodale Mobilitätsplattformen, sowie eine voranschreitende Digitalisierungswelle im Gesundheits- und Bildungswesen. Darüber hinaus sei Cyber-Sicherheit „Digitalisierungs-Enabler über alle Lösungen in neun Segmenten der ,Smart City‘ hinweg“ – herausgehoben sei die Bedeutung für Gesundheitswesen, öffentliche Verwaltung, Gebäudeautomatisierung oder Finanzdienstleistungen.

Weitere Informationen zum Thema:

datensicherheit.de, 10.06.2021
eco fordert Transparenz, Aufklärung und Kontrolle im Umgang mit Staatstrojanern

eco VERBAND DER INTERNETWIRTSCHAFT
Studie / Der Smart-City-Markt in Deutschland 2021-2026

eco & heise Events
ISD INTERNET SECURITY DAYS 2021 / Agenda

[datensicherheit.de, 21.07.2021] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) lädt zum Anhören seines neuen Podcasts zur „Self-Sovereign Identity“ ein und erläutert hierzu: „,Self-Sovereign Identity‘ (SSI) ermöglicht Personen, Organisationen oder Geräten, eine eigenkontrollierte Digitale Identität, ohne dass es einer zwischengeschalteten Vermittlungsentität bedarf.“ Diese verschaffe Kontrolle darüber, „inwieweit personenbezogene Daten geteilt und verwendet werden“. In dem aktuellen TeleTrusT-Podcast zu diesem Thema erläutert der TeleTrusT-Vorsitzende, Prof. Dr. Norbert Pohlmann, demnach die Funktionsweise, Einsatzmöglichkeiten und Chancen, die sich aus dieser Technologie ergeben.

SSI für den TeleTrusT auch ein Beitrag zur technologischen Souveränität

„Self-Sovereign Identity“ stehe in engem Zusammenhang mit den Themen Blockchain, Plattformökonomie, eIDAS und DSGVO. Für Europa biete sich die Chance, die Abhängigkeit von nichteuropäischen Plattformanbietern zu reduzieren. „Insofern ist SSI auch ein Beitrag zu technologischer Souveränität.“

TeleTrusT-Podcast zur Self-Sovereign Identity auf SOUNDCLOUD online

TeleTrusT-Podcasts seien als Interviews angelegt: „Fachleute aus Wirtschaft, Forschung, Beratung, Politik und Verwaltung werden eingeladen, um zu einem bestimmten Thema befragt zu werden.“

TeleTrusT-Podcast „Self-Sovereign Identity“
Gesprächspartner: Prof. Norbert Pohlmann, TeleTrusT-Vorsitzender
Interviewerin: Franziska J. Bock, TeleTrusT

In diesem jetzt veröffentlichten TeleTrusT-Podcast werden laut TeleTrusT u.a. folgende Fragen behandelt:

• Wer sind die Akteure im SSI-Ökosystem?
• Welche praktischen Anwendungen bietet SSI?
• Welchen Beitrag kann SSI zur angestrebten technologisch-digitalen Souveränität der EU leisten?
• Warum kann SSI helfen, die Privatsphäre gegenüber zentralen eID-Providern zu stärken?
• Was leistet SSI als Digitalisierungsbeschleuniger?
• Wie wirkt SSI einer Monopolisierung des eID-Managements entgegen?
• Inwieweit ist SSI ein Beitrag zu größerer Vertrauenswürdigkeit von Online-Dienstleistungen?
• Wo steht Deutschland mit dieser Anwendung?
• Welche Ziele verfolgt die EU mit SSI?

TeleTrusT betont Rolle des europäischen SSI-Ökosystems

Pohlmann erläutert: „Ich freue mich sehr, dass wir jetzt den ersten TeleTrusT-Podcast veröffentlichen.“ „Self-Sovereign Identity“ (SSI) sei ein wichtiges und zukunftsorientiertes Thema, mit dem wir uns alle intensiv beschäftigen müssten, um frühzeitig ein Teil des „europäischen SSI-Ökosystems“ zu werden.

Weitere Informationen zum Thema:

datensicherheit.de, 16.06.2021
TeleTrusT veröffentlicht Handreichung: Secure Platforms für Digitale Souveränität

TeleTrusT auf SOUNDCLOUD
Self-Sovereign Identity

[datensicherheit.de, 12.04.2021] Nach Einschätzung des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) betrachtet die Mehrheit der deutschen IT-Entscheider nach wie vor den Fachkräftemangel im Bereich IT-Sicherheit als Problem. Einhergehend mit Cloud-Anwendungen, Mobile Computing, „Industrial Security“ und dem „Internet of Things“ sowie immer gezielteren Cyber-Angriffen wächst demnach der Bedarf an qualifizierten Experten. Der TeleTrusT hat daher eine bundesweite Übersicht über relevante Studiengänge erstellt. Diese Übersicht werde fortlaufend aktualisiert – entsprechende Hinweise seien erbeten an info [at] teletrust [dot] de.

TeleTrusT begrüßt Aufbau von Studiengängen zur IT-Sicherheit

IT-Sicherheit erfordere eine anspruchsvolle Aus- und Fortbildung. Viele Lehreinrichtungen hätten den Bedarf erkannt und entsprechende Studiengänge aufgebaut. Der TeleTrusT begrüßt nach eigenen Angaben diese Entwicklung und hat eine bundesweite Übersicht über aktuelle Lehrangebote erstellt: Nachwuchskräfte, welche sich über Studienmöglichkeiten informieren möchten, finden dort Anhaltspunkte zur weitergehenden Orientierung.

TeleTrusT-Vorsitzender ist auch Direktor des Institutes für Internet-Sicherheit an der Westfälischen Hochschule

„Ein IT-Sicherheitsstudium vermittelt fundiertes und praxisnahes Wissen zu Architekturen, Konzepten, Prinzipien, Mechanismen und Eigenschaften im Bereich IT- und Sicherheitssystemen“, erläutert Prof. Norbert Pohlmann, TeleTrusT-Vorsitzender und Direktor des Institutes für Internet-Sicherheit an der Westfälischen Hochschule.

TeleTrusT engagiert sich für sicheres und vertrauenswürdiges Fundament der fortschreitenden Digitalisierung

Damit werde der interessierte Nachwuchs in die Lage versetzt, sich aktiv an der Absicherung der digitalen Zukunft zu beteiligen, „indem sie unter anderem Sicherheitslücken finden, bevor kriminelle Hacker diese für ihre Zwecke ausnutzen können oder auch dazu, notwendige sowie innovative IT-Sicherheitslösungen zu entwickeln, um für die fortschreitende Digitalisierung ein sicheres und vertrauenswürdiges Fundament zu schaffen“, betont Professor Pohlmann.

Weitere Informationen zum Thema:

TeleTrusT
IT-Sicherheitslehre / Übersicht über Studienangebote zu IT-Sicherheit