Lothar Geuenich erörtert KMU-Strategien zur erfolgreichen und sicheren Digitalisierung und Vernetzung

[datensicherheit.de, 19.03.2024] Die Digitalisierung der Wirtschaftsbereiche biete zwar große Vorteile, bringe aber auch eine Reihe von Herausforderungen mit sich, insbesondere bezüglich der IT-Sicherheit, so Lothar Geuenich, „VP Central Europe/DACH“ bei Check Point Software Technologies, in seiner aktuellen Stellungnahme. Oft werde dann über die großen Unternehmen und Konzerne, vielleicht noch den gehobenen Mittelstand gesprochen. Er wirft nun die Frage auf, wie es aber nun bei den sogenannten kleinen und mittleren Unternehmen (KMU) aussieht, und betont: „Auch sie sind betroffen, sei es eine örtliche (Land-)Bäckerei, die Auto-Werkstatt, oder der Gastwirt mit seinen digitalisierten Bezahl- und Einkaufsprogrammen.“

Foto: Check Point

Lothar Geuenich: Herausforderungen der KMU insbesondere im Bereich der IT-Sicherheit, nicht außer Acht lassen!

Digitale Technologien halten auch Einzug in KMU

Der Wandel hin zur Digitalisierung werde von einer Reihe von Faktoren angetrieben – darunter Kosteneinsparungen, Benutzerfreundlichkeit, Vereinfachung der Prozesse für die Kunden und eine größere Marktreichweite. Geuenich führt aus: „Beispielsweise könnte eine Bäckerei intelligente Öfen installieren, die das Backen optimieren, oder sie könnten einen Online-Shop einrichten, um mehr Kunden zu erreichen und den Umsatz zu steigern.“ Mit dem Internet verbundene Kassensysteme, „Cloud“-Technologien zum Aufsetzen von Websites und die Verwaltung von (Kunden-)Daten gehörten zum Alltag.

Darüber hinaus sei der Einsatz Künstlicher Intelligenz (KI) und des Internets der Dinge und Dienste (IoT) in kleinen Unternehmen ein wichtiger Schritt in Richtung der Digitalisierung des Betriebs. KI ermögliche personalisierte Werbung und dynamische Preisgestaltung, während vernetzte Geräte – wie sogenannte intelligente Öfen und Klimaanlagen – das Geschäft optimierten und die Kosten senken könnten.

Insbesondere bei KMU könnte die Digitale Transformation die Grenzen zwischen gesicherten und anfälligen Netzwerken verwischen

„Da aber Digitalisierung immer mit dem Sammeln von Daten und der Verknüpfung der Systeme mit dem Internet, oder anderen externen Quellen, einhergeht, rückt die IT-Sicherheit ins Blickfeld“, unterstreicht Geuenich. Die Integration verschiedener Technologien in die Firma, wie „Cloud“-Dienste, SaaS, IoT und KI böte zwar Vorteile, vergrößere aber die Angriffsfläche für Hacker. Besonders bei kleinen Unternehmen mit ihrem geringen Budget verwische die Digitale Transformation die Grenzen zwischen gesicherten und anfälligen Netzwerken schnell.

„Der Spagat für die KMU besteht darin, flexibel und innovativ zu sein, aber gleichzeitig Sicherheit, Wartung und Vorschrifteneinhaltung zu gewährleisten“, betont Geuenich. Digitale Zahlungen böten beispielsweise Komfort, erforderten aber auch strenge Sicherheitsmaßnahmen zum Schutz der Kundendaten gemäß der „Compliance“. Hinzu kämen die Audits, welche eine lückenlose Dokumentation aller Vorgänge erforderten.

Spezifische Herausforderungen der Datensicherheit in KMU

Verschiedene Hürden müssten genommen werden. „Dazu gehört die Gewährleistung des Datenschutzes, die Einhaltung von Vorschriften und sichere Einbindung sowie Verwaltung neuer Technologien, wie ,Cloud’-Anbindung. Dies erfordert eine Schulung der Mitarbeiter und Führungskräfte, um ein Verständnis für IT-Sicherheit zu schaffen.“

Insbesondere angesichts des Fachkräftemangels in der IT und IT-Sicherheit komme es hierbei schon auf die kleinsten Erkenntnisse der anderen Angestellten an, um die IT-Abwehr zu stärken – und sei es nur das Wissen um Phishing-E-Mails.

Ein grundlegendes Verständnis für Datensicherheit als erster Schritt der KMU-Geschäftsführung

Auf den ersten Blick könne die Digitalisierung auf KMU-Geschäftsführer überwältigend, sogar beängstigend wirken. Geuenich kommentiert hierzu: „Doch die Zeiten sind vorbei, da KMU ständig einer guten IT-Abwehr hinterherrennen mussten. Freilich spielt noch immer das Budget die erste Geige und es darf nicht von jedem Unternehmer erwarten werden, dass er ein Experte der IT-Sicherheit werden wird. Ein grundlegendes Verständnis ist jedoch unerlässlich geworden.“

Einfache Regeln würden bereits helfen, wie die Verwendung sicherer Passwörter, die Wachsamkeit gegenüber Phishing, die Trennung des W-Lan-Netzwerks in einen Mitarbeiter-Zugang und eingeschränkten Gast-Zugang, die Führung eines Inventars aller digitalen Vermögenswerte, sämtliche tragbare Geräte auch mit Sicherheitsprogrammen abzusichern (Handys, Laptops, Tablets), die privaten tragbaren Geräte der Mitarbeiter und Gäste aus dem Firmen-Netzwerk herauszuhalten (daher der Gast-Zugang) und die regelmäßige Aktualisierung sämtlicher Software durchzuführen.

KMU sollten ggf. Dienstleister nutzen, um Angriffsfläche zu verringern

Darüber hinaus könnten sich kleine Unternehmen an Dienstleister wenden, um die IT-Sicherheit durch externe Spezialisten und Datenschutzbeauftragte aufrechtzuerhalten, weil sie sich selbst die wichtigen Produkte, wie eine umfassende IT-Sicherheitsarchitektur, nicht leisten könnten – geschweige denn, die Mitarbeiter hätten, um diese zu implementieren und zu bedienen. „Auf diese Weise können die KMU außerdem in den Genuss der Sicherheitsprodukte kommen, die bislang nur den großen Spielern mit den großen Budgets vorbehalten waren.“

Geuenich benennt als Beispiel die KI-basierte Management-Komponente seines Hauses, welche nicht ohne Grund auf den Namen „Copilot“ höre: „Sie ist im Prinzip eine Prozessautomatisierung mit Chat-Bot als Eingabefeld und übernimmt nach der Konfiguration viele Routine-Aufgaben, steuert Sicherheitslösungen selbstständig und kann Fragen beantworten, um die Konfiguration zu verfeinern und den Überblick aufrecht zu erhalten.“ Dies schaffe Transparenz und vereinfache die Verwaltung der IT-Sicherheitsarchitektur stark, „so dass auch KMU mit geringem Personalbestand, die dennoch einige Komponenten selbst steuern wollen, eine Chance haben“. Die Fähigkeit, alles zentral zu steuern, fördere zudem die Konsolidierung der IT-Sicherheit.

Mit passender Unterstützung in Fragen der Datensicherheit können sich KMU-Geschäftsführer auf ihre eigentliche Arbeit konzentrieren

Daneben böten sich fortschrittliche IT-Sicherheitsarchitekturen mit zentraler Plattform als Rund-um-Pakete an. „Das ist günstiger, als einen Wildwuchs verschiedener Lösungen zusammenzutragen und erfordert wesentlich weniger Verwaltungsaufwand.“ Dadurch brauche es weniger Fachkräfte – und die Geschäftsführer der kleinen Betriebe könnten sich auf ihre eigentliche Arbeit konzentrieren, „während die weitgehend automatisierten Sicherheitsplattformen im Hintergrund sehr zuverlässig arbeiten und sich nur melden, wenn menschliches Eingreifen erforderlich ist“.

Diese Konsolidierung der IT-Sicherheit führe außerdem zu einheitlichen und übersichtlichen Oberflächen, was die Konfiguration von Sicherheitsrichtlinien stark erleichtere und eine lückenlose Dokumentation ermögliche, um jedes Audit zu überstehen.

KMU sollten vor allem Bewusstsein und Verständnis für die neuartigen Herausforderungen entwickeln

Geuenichs Fazit: „Während die Geschäftsführer und Inhaber von wirklich kleinen und mittleren Unternehmen die Digitalisierung auch in ihrer Firma vorantreiben, dürfen sie die Herausforderungen, vor denen sie dadurch stehen, insbesondere im Bereich der IT-Sicherheit, nicht außer Acht lassen.“ Jedoch brauchten sie nicht zu verzweifeln, weil eine robuste IT-Sicherheit zum einen längst nicht mehr den großen Konzernen allein vorbehalten sei und zum anderen schon einfache Maßnahmen sowie Verhaltensweisen die üblichen IT-Attacken verhindern könnten.

Am wichtigsten sei es, ein Bewusstsein und Verständnis für diese neuartigen Herausforderungen zu entwickeln und die Angst vor der Komplexität zu überwinden. „Sie sollte nicht länger ein Hemmnis für den Schutz sensibler Unternehmensdaten sein. Dann können die wirtschaftlichen Vorteile der Digitalisierung ausgeschöpft werden“, so Geuenich abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 04.01.2023
Internetfähige Geräte: Check Point gibt 13 Tipps zur Absicherung / Verwundbarkeit über das Internet sollte Verbrauchern und Unternehmen bekannt sein, um sich vor Cyber-Gefahren zu schützen

datensicherheit.de, 12.12.2022
Ransomware-Realitätscheck zum Schutz für KMU / Trotz wachsender Bedrohung nur wenigen KMU bewusst, dass sie genauso wie größere Unternehmen gefährdet sind – wenn nicht sogar stärker

[datensicherheit.de, 07.02.2024] Laut einer aktuellen Stellungnahme des TÜV-Verband e.V. sendet Deutschlands neue Digitalstrategie ein „starkes Signal für europäische Souveränität“ im Digitalen Raum und betont die „Notwendigkeit einer konsequenten und nachhaltigen Umsetzung“.

Stellungnahme zu der am 7. Februar 2024 vom Bundeskabinett beschlossenen Strategie zur internationalen Digitalpolitik

Dass Digitalpolitik auch geopolitisch eine immer wichtigere Rolle spiele, zeige die am 7. Februar 2024 vom Bundeskabinett beschlossene „Strategie zur internationalen Digitalpolitik“. Federführend bei der Erarbeitung der Strategie war demnach das Bundesministerium für Digitales und Verkehr (BMDV).

Marc Fliehe, Fachbereichsleiter „Digitalisierung und Bildung“ beim TÜV-Verband, kommentiert: „Mit der Strategie zur internationalen Digitalpolitik sendet das Bundeskabinett ein klares Signal für mehr europäische Souveränität und Resilienz im Digitalen Raum.“

Darüber hinaus werde deutlich, „dass Sicherheit und Wertschöpfung heute untrennbar mit der Digitalisierung verbunden sind“. Durch die ressortübergreifende Erarbeitung erfahre die Digitalisierung eine breite politische Rückendeckung. Im digitalen Wettbewerb könnten Deutschland und Europa gestärkt werden.

Strategie für internationale Digitalpolitik soll Leitplanken zur Risikoreduzierung, Vertrauenswürdigkeit und Sicherheit setzen

Fliehe führt aus: „Die Schritte der Bundesregierung, die Nachhaltigkeitspotenziale der Digitalisierung zu nutzen, sind richtig, denn das Verhältnis von Digitalisierung und Nachhaltigkeit ist in jüngster Zeit als neue Dimension in den Fokus gerückt: Dennoch existieren bisher weder in Deutschland noch in der EU kaum regulatorische Vorgaben, um das wechselseitige Zusammenwirken von Nachhaltigkeit und Digitalisierung zu fördern.“ Dabei wären konkrete Vorgaben nicht nur für die Umwelt, sondern auch für die langfristige Wettbewerbsfähigkeit der europäischen Unternehmen wichtig.

„Für einen globalen, offenen, freien, stabilen und sicheren Cyber-Raum sind Cyber-Sicherheit, sichere Infrastrukturen und faires Datenmanagement unerlässlich“, betont Fliehe. Mit der Strategie für internationale Digitalpolitik gebe die Bundesregierung nun „klare Leitplanken zur Risikoreduzierung, Vertrauenswürdigkeit und Sicherheit“. Entscheidend für den Erfolg sei jetzt die konsequente und nachhaltige Umsetzung. Dabei sei nicht nur die Frage nach den finanziellen Mitteln entscheidend, sondern auch die Frage nach effizienten Strukturen.

„Der TÜV-Verband steht voll und ganz hinter der neuen Strategie“, so Fliehe. Als erfahrene Prüf- und Zertifizierungsorganisationen leisteten die TÜV-Unternehmen ihren Beitrag dazu, die Digitalisierung nicht nur effizient, sondern auch nachhaltig und sicher zu gestalten. „Unser Ziel ist es, gemeinsam mit den Akteuren im Digitalen Raum eine verlässliche Basis für Innovationen zu schaffen und gleichzeitig höchste Standards für Sicherheit und Nachhaltigkeit zu gewährleisten.“

Weitere Informationen zum Thema:

Bundesministerium für Digitales und Verkehr, 07.02.2024
Strategie für die Internationale Digitalpolitik der Bundesregierung
https://bmdv.bund.de/SharedDocs/DE/Artikel/K/strategie-internationale-digitalpolitik.html

datensicherheit.de, 17.06.2022
Deutscher Mittelstands-Bund moniert Digitalpolitik: Durcheinander der Zuständigkeiten befürchtet / Hohe Erwartungen des Mittelstands an die Digitalstrategie der Bundesregierung

datensicherheit.de, 19.07.2019
Digitalpolitik der Bundesregierung: Bitkom zieht Zwischenfazit / Bislang viele Ziele des Koalitionsvertrags schuldig geblieben

Auf bestehende Strategie aufbauen, DevSecOps-Praktiken priorisieren

Von unserem Gastautor Julian Totzek-Hallhuber, Principal Solution Architect bei Veracode

[datensicherheit.de, 21.07.2021] Patientendaten und Informationen rund um Pflege, Diagnose und Behandlung sind nur ein Teil der sensiblen Daten, mit denen Organisationen im Gesundheitswesen täglich arbeiten. Eine zentrale Aufgabe der IT ist es, diese mit größter Sorgfalt zu behandeln und umfassend zu schützen. Der elfte State of Software Security (SoSS) Report von Veracode gibt einen Überblick über den aktuellen Stand der Anwendungssicherheit und enthüllt dabei spezifische Erkenntnisse über den Gesundheitssektor. Julian Totzek-Hallhuber, Principal Solution Architect des Unternehmens, fasst die wichtigsten Erkenntnisse zusammen und zeigt Entwicklern und Entscheidern im Gesundheitssektor, worauf sie in Zukunft achten müssen.

Für den aktuellen SoSS Report analysierte Veracode 130.000 Anwendungen. Die elfte Ausgabe der branchenweit umfangreichsten Studie gibt einen Überblick über den Status Quo der Anwendungssicherheit. Im Fokus standen die Finanzbranche, das Gesundheitswesen, der Einzelhandel/Gastgewerbe, die Produktionsbranche, die Technologie-Branche und Behörden. Eine zentrale Erkenntnis: In den verschiedene Sektoren adressieren IT-Teams Sicherheitslücken auf unterschiedliche Weise – und mit unterschiedlichen Geschwindigkeiten. Das Gesundheitswesen arbeitet mit vielen sensiblen Daten. Nur so kann Klinikpersonal und anderes medizinisches Personal ihren Patienten die bestmögliche Versorgung gewährleisten. Im Zug der fortschreitenden Digitalisierung gilt es, diese wertvollen Daten zu schützen und der SoSS Report zeigt: Unternehmen aus dem Gesundheitswesen beheben Sicherheitsrisiken schneller, als Unternehmen aus anderen Branchen. Und obwohl einige DevSecOps-Praktiken dort bereits angekommen sind, gibt es immer noch weitere Best Practices, die Entwickler in ihre Arbeitsabläufe einbauen können, um Sicherheitslücken schneller zu schließen.

Bild: Veracode

Der aktuelle Stand der Anwendungssicherheit im Gesundheitssektor

Im Vergleich zu anderen Branchen schneidet das Gesundheitswesen gut ab: Lediglich 75 Prozent aller Anwendungen weisen mindestens eine Sicherheitslücke auf. Weniger Schwachstellen finden sich nur in der Finanzbranche, mit 74 Prozent. Schlechter schneidet der Einzelhandel sowie die Produktion mit 76 Prozent ab. Bei Anwendungen aus der Technologie-Branche wurde ein Anteil von Applikationen mit mindestens einer Sicherheitslücke von 78 Prozent, bei behördlichen Anwendung sogar ein Anteil von 80 Prozent verzeichnet.

Im Vergleich zu diesem relativ positiven Ergebnis finden sich im Gesundheitssektor zahlreiche Anwendungen mit schwerwiegenden Sicherheitslücken – mit 26 Prozent belegt die Branche den zweiten Platz. Nur die Technologiebranche hat mit 28 Prozent einen höheren Anteil an schwerwiegenden Sicherheitslücken. Auch die Fehlerbehebungsrate ist auf einem recht niedrigen Niveau. Während die Finanzbranche mit einer Fehlerbehebungsrate von 75 Prozent am besten von allen untersuchten Branchen abschneidet, verzeichnet das Gesundheitswesen lediglich eine Rate von 70 Prozent. Schlechter schneiden nur behördliche Einrichtungen (66 Prozent) und die Produktionsbranche (59 Prozent) ab. Die Dauer, bis die Hälfte der Sicherheitslücken im Gesundheitswesen behoben wird, ist mit 149 Tagen zwar auf dem zweiten Platz von allen untersuchten Sektoren, trotzdem bietet sich hier enormer Raum zur Optimierung.

Fehleranalyse: Wo es hakt

Die unterschiedlichen identifizierten Sicherheitslücken in den Anwendungen wurden kategorisiert, um eine detailliertere Analyse zu ermöglichen. Bei einem Überblick über alle Kategorien kann das Gesundheitswesen eine positive Bilanz verzeichnen: Im Durchschnitt werden hier kategorienübergreifend weniger Sicherheitslücken gefunden als in den anderen Branchen. Die häufigste Art der Fehler sind mit 49 Prozent Datenlecks, gefolgt von CLRF-Injections mit 48 Prozent und der Qualität des Codes mit 46 Prozent. Dabei stellen Datenlecks ein signifikant geringeres Problem dar als im branchenübergreifenden Durchschnitt, der bei 58 Prozent liegt. Auffällig ist, dass das Gesundheitswesen gerade beim Beheben von CLRF-Injections und kryptographischen Problemen einen enormen Vorsprung gegenüber den anderen Branchen hat. Das ist in Hinblick auf den wachsenden Rückgriff von Patienten auf Apps für das Gesundheitsmanagement ein positiver Trend.

Die Entwicklungsumgebung macht den Unterschied

Der aktuelle Bericht hat das Verhalten von Entwicklern in den Fokus gestellt, da die Ausübung von DevSecOps-Praktiken einen wichtigen Faktor für erfolgreiche Anwendungssicherheit darstellt. Es kann zwischen gegebenen Eigenschaften der Entwicklungsumgebung („Nature“) und den beeinflussbaren Faktoren bei der Entwicklung („Nurture“) unterschieden werden. Entwickler im Gesundheitswesen agieren in einer relativ sicheren und stabilen Umgebung im Vergleich zu anderen Industrien. Die Branche belegt bei dem durchschnittlichen Alter der Anwendungen, der Anwendungsgröße und der Fehlerdichte jeweils den zweiten Platz. Die Organisationen selbst scheinen allerdings relativ groß zu sein – das Gesundheitswesen belegt hier den vierten Platz. Folglich findet der Einzug von DevSecOps-Praktiken nur Schritt für Schritt statt. Unternehmen im Gesundheitssektor belegen lediglich Platz fünf bei der Häufigkeit ihrer Sicherheitsscans und bei der Integration von Sicherheitsaspekten im Entwicklungsprozess nehmen sie den vierten Platz ein. Im Gegensatz dazu belegen die Organisationen den ersten Platz bei der Scan-Kadenz. Dies legt offen: Es gibt zwar keine häufigen Sicherheits-Scans, aber konsistente, die einer kontinuierlichen Strategie unterliegen. Entwickler im Gesundheitswesen greifen verstärkt auf dynamische Analyse (DAST) zurück, Organisationen belegen hier im Vergleich zu Unternehmen aus anderen Branchen den ersten Platz – bei Software-Composition-Analyse (SCA) jedoch den letzten. Hier besteht Handlungsbedarf, denn Teams, die eine Kombination von Scan-Typen, einschließlich DAST, SCA und statischer Analyse (SAST), verwenden, verbessern ihre Fehlerbehebungsrate. Diejenigen, die auf eine Kombination aus SAST und DAST zurückgreifen, beheben die Hälfte der Fehler 24 Tage schneller. Für Unternehmen im Gesundheitswesen gilt daher das Fazit: DevSecOps-Praktiken wurden zwar bereits schrittweise integriert, sind aber noch nicht umfassend genug etabliert.

Digitales Gesundheitswesen: Auf bestehende Strategie aufbauen, DevSecOps-Praktiken priorisieren

Organisationen im Gesundheitswesen sind zwar relativ groß, die Anwendungen auf die sie zurückgreifen jedoch zeitgemäß und eher klein. So stehen Entwickler vor weniger Herausforderungen, denn der „Nature“-Aspekt der Entwicklungsumgebung im Gesundheitswesen unterstützt sie. Die zahlreichen identifizierten Vorteile führen zu einer besseren Reaktionszeit. Dies trägt zu einer erhöhten Wahrscheinlichkeit bei, Fehler schneller zu beheben. Für Unternehmen gilt es jetzt zu erkennen, dass sie weitere Vorteile daraus ziehen könnten, wenn Entwickler zusätzliche DevSecOps-Praktiken nachhaltig in das Unternehmen integrieren würden. Es muss also zukünftig die „Nuture“ verstärkt in den Fokus rücken. Die Sicherheitsstrategie im Gesundheitswesen könnte durch eine erhöhte Frequenz und durch die Integration von weiteren Scan-Typen die Anwendungssicherheit auf ein neues Level heben.

Weitere Informationen zum Thema:

datensicherheit.de, 28.05.2020
Veracode-Report: 70 Prozent aller Anwendungen haben Open-Source-Schwachstellen

Voraussetzungen für sicheren ad-hoc-Datenzugriff

[datensicherheit.de, 07.05.2020] In der digitalen Welt sind Unternehmen weit mehr als ein Bürogebäude, in dem Mitarbeiter ein und aus gehen. Legt man den kontinuierlichen Strom an digitalen Daten zu Grunde, die von Mitarbeitern hinzugefügt, bearbeitet, verschoben, versendet, gespeichert oder gelöscht werden, kann man sich ein dynamisches, in gewisser Hinsicht fast lebendiges Gebilde vorstellen. Kommt es an irgendeiner Stelle im Datenkreislauf zu einer fehlerhaften Funktion, beispielsweise im Falle eines Verstoßes, wäre die gesamte Struktur betroffen. Der Lockdown im Zuge der Pandemie hat gezeigt, wie schnell dieser Pulsschlag moderner Unternehmen zum Erliegen kommen kann. Plötzlich musste der Datenstrom auf andere Weise – vom persönlichen Standort jedes einzelnen Zugriffsberechtigten aus – aufrechterhalten werden. Ein Notfall, für den nicht alle Unternehmen vorgesorgt haben. Dabei gibt es zahlreiche wahrscheinliche Szenarien, die es erforderlich machen, die Voraussetzungen dafür zu schaffen, dass die Belegschaft ohne Vorbereitung einfach von jedem beliebigen Ort aus arbeiten kann. Dazu gehören zum Beispiel Ereignisse wie schwere Schneestürme, unvorhergesehene Reparaturarbeiten im Bürogebäude, Streik bei den öffentlichen Verkehrsbetrieben oder eine unter den Mitarbeitern grassierende Erkältungswelle.

Für Unternehmen, in denen ohnehin nicht vorgesehen ist, dass Mitarbeiter außerhalb des Büros arbeiten, scheint es in guten Zeiten schlicht unwirtschaftlich, jedem einzelnen Mitarbeiter ein verwaltetes Ersatzgerät zur Seite zu stellen. Zu groß ist die Gefahr, dass die angeschaffte Hardware weitgehend ungenutzt vor sich hin altert. Gleichzeitig entsteht für die IT-Abteilung, die dafür fortlaufend aktuelle Softwareanwendungen und Sicherheitsupdates bereitstellen muss, ein spürbarer zusätzlicher Aufwand. Zwar nutzen die meisten Unternehmen bereits Cloudanwendungen, was eine hervorragende Voraussetzung für Fernarbeit ist. Allerdings ist die Nutzung nicht optimal: In der Regel halten Unternehmen ihre Mitarbeiter im Zuge dessen dazu an, von außerhalb über VPNs auf das Unternehmensnetzwerk und Cloud-Ressourcen zuzugreifen. Dies kann allerdings eine Reihe von Latenzproblemen verursachen, die es schwierig machen, den gesamten Web-Datenverkehr auf den Geräten der Benutzer – einschließlich ihrer persönlichen Anwendungen – bereitzustellen und zu nachzuverfolgen.

BYOD als flexibler Ausweg im Notfall

Ein flexibler Ausweg, der im Notfall sofort verfügbar ist, wäre, allgemein Bring Your Own Device (BYOD) – also das Arbeiten der Mitarbeiter über ihre eigenen Geräte – zuzulassen. Ein Schritt, vor dem vor allem Unternehmen mit branchenspezifischen regulatorischen Anforderungen eher zurückschrecken. Daher entscheiden sie sich meist für Mobile Device Management (MDM) Software, um das erforderliche Sicherheitsniveau herstellen zu können. Allerdings ist diese in datenschutzrechtlicher Hinsicht problematisch, da sie weit in die Privatsphäre der Nutzer eindringt. Eine Problematik, die sich mit Einführung der DSGVO noch weiter verschärft hat: Der Einsatz von MDM ist mittlerweile nur mit ausdrücklicher Einwilligung der einzelnen Mitarbeiter und dann nur innerhalb engmaschiger, nachvollziehbarer Kontrollprozesse möglich. Schlussendlich ist MDM kaum mehr praktikabel, da nicht vorausgesetzt werden kann, dass alle Mitarbeiter mit diesem Eingriff in ihre Privatsphäre einverstanden sind.

Bild: Bitglass

Anurag Kahol, CTO, Bitglass

Zu MDM bestehen allerdings auch Alternativen, die auf der Datenebene ansetzen und es ermöglichen, die Datenschutzanforderungen zu erfüllen. Damit Unternehmen das Risiko einer Datenexposition, das beim Download auf private Geräte an entfernten Standorten und über ungesicherte Netzwerke entsteht, sicher managen können, sollten sie auf folgende Eigenschaften Wert legen:

1. Sichtbarkeit und Kontrolle über Daten
   Die Sichtbarkeit und Kontrolle über die Daten beim Zugriff durch nicht verwaltete Geräte sollte für Unternehmen stets gegeben sein. Andernfalls bestehen Gefahren durch unbefugten Datenzugriff, unzulässiger Weitergabe oder schlichtweg Verlust der unternehmenseigenen Daten. Von Vorteil ist eine Lösung, die über eine Data Loss Prevention (DLP) Funktion verfügt. Diese kann Datenverluste verhindern, indem sie sensible Informationen sowohl im Ruhezustand als auch beim Zugriff identifiziert und kontrolliert. So lässt sich sicherstellen, dass Daten nicht in die falschen Hände gelangen oder es zu einem Sicherheitsverstoß kommt.
2. Identitäts- und Zugriffsverwaltung mit MFA und UEBA
   Identitäts- und Zugriffsmanagement, wie zum Beispiel Multi-Faktor-Authentifizierung (MFA) oder Benutzer- und Entitätsverhaltensanalyse (UEBA), ist notwendig, um anormale Aktivitäten erkennen und gegen Sicherheitsbedrohungen vorgehen zu können. MFA erfordert für die Authentifizierung eine zweite Art der Identitätsüberprüfung, um sicherzustellen, dass der Benutzer derjenige ist, für den er sich ausgibt. Nach der Eingabe des Passworts wird der Benutzer aufgefordert, seine Identität zusätzlich durch ein SMS-Token zu verifizieren, das per E-Mail oder durch eine Textnachricht versandt wird.
   UEBA lernt kontinuierlich das typische Verhalten jedes einzelnen Nutzers, so dass anormale Aktivitäten sofort überprüft werden können. Wenn sich beispielsweise ein Benutzer, der sich normalerweise von München aus einloggt, plötzlich von Hamburg aus anmeldet, wird eine Warnung gesendet, um sicherzustellen, dass das Nutzerkonto des nicht kompromittiert wurde. Für den Fall, dass keine UEBA-Funktion besteht, sollte wenigstens Single Sign-On (SSO) genutzt werden, da dies Benutzer über alle Cloud-Anwendungen eines Unternehmens hinweg sicher authentifiziert.
3. Agentenlose Sicherheit
   Eine agentenlose Sicherheitslösung erfordert keine Installation von Software auf den einzelnen Geräten. Dies ist hilfreich, wenn die Belegschaft abrupt auf ihre Privatgeräte zurückgreifen muss, um den Betrieb aufrecht zu erhalten. Sie schützen darüber hinaus die Privatsphäre der Mitarbeiter. Unternehmensdaten können beispielsweise aus der Ferne gelöscht werden, während die persönlichen Daten erhalten bleiben. Sowohl Sicherheits- als auch Datenschutzanforderungen lassen sich auf diese Weise miteinander vereinbaren.
   Was ein Unternehmen ausmacht ist gewiss mehr als lediglich die Summe seiner Daten. Allerdings erweitern sich mit deren Verfügbarkeit rund um die Uhr die Möglichkeiten, Arbeitskraft zu nutzen. Auf der anderen Seite entsteht die Anforderung, die Datennutzung stets sicher zu gestalten. Der Einsatz von BYOD und geeigneter Sicherheitstools kann nicht nur dabei helfen, die Flexibilität, die Digitalisierung bietet, auszunutzen, sondern auch, die Arbeitskultur vielfältiger und innovativer zu gestalten.

Weitere Informationen zum Thema:

datensicherheit.de, 10.06.2019
Stille Teilnehmer: BYOD-Mobilgeräte in Unternehmen

datensicherheit.de, 18.02.2019
Wenn Kollegen zum Sicherheitsrisiko werden

datensicherheit.de, 11.03.2014
Studie: BYOD-Trend hält an – Sicherheitskultur weiter mangelhaft

[datensicherheit.de, 12.10.2018] Auf eine Billion Dollar summieren sich die weltweiten Aufwände im Kampf gegen Cyber-Kriminalität bis 2021 laut einer Studie des Marktbeobachters Cybersecurity Ventures. Damit sich diese Investitionen auszahlen, ist eine umfassende Strategie erforderlich. Denn Cyber-Sicherheit ist wie ein Muskel: Je häufiger er trainiert wird, desto stärker wird er. Trotz umfassender Sicherheitsvorkehrungen bleibt der Mitarbeiter der entscheidende Faktor. Denn Sicherheitssysteme schützen gegen bekannte Gefahren – Mitarbeiter werden mit dem Unbekannten konfrontiert. Die Unternehmens-IT und Mitarbeiter stehen in wechselseitiger Abhängigkeit: „Obwohl Mechanismen der Cyber-Sicherheit das ganze Jahr über einzuhalten sind, sollte man sich jetzt daran erinnern, dass wir alle gemeinsam eine Rolle bei der IT-Sicherheit und Minderung von Risiken spielen“, sagt Chris Goettl, Director of Product Management, Security, Ivanti. „Um IT-Abteilungen bei der Schulung von Nutzern zu helfen, haben wir diese Liste der wichtigsten Tipps zusammengestellt. Damit soll die Gefährdung durch Schwachstellen und Bedrohungen verringert werden.“

1. Sensibilisieren Sie Ihre Mitarbeiter. Heute finden laut F5 Networks rund 80 Prozent der Angriffe auf Anwendungsebene statt. Phishing oder andere Social-Engineering-Attacken sowie Ransomware greifen über das Endgerät den Nutzer an, damit dieser auf gefälschte Anhänge oder Links klickt. Daher muss der Schutz des Endgeräts und der Anwendungen inklusive einer entsprechenden Schulung der Mitarbeiter in die Sicherheitsstrategie von Unternehmen integriert sein. Dieses umfassende Verständnis von IT-Sicherheit hat Ivanti im Konzept der „Operational Security“ zusammengeführt: Es geht von der Annahme aus, dass sich IT-Sicherheit unmittelbar in die IT-Betriebskonzepte integrieren muss. Es handelt sich also um einen Ansatz, der IT-Sicherheit grundsätzlich im Betrieb verankert und dort seinen Ausgangspunkt hat, um Sicherheitslücken so früh wie möglich im Prozess zu vermeiden.
2. Komplexe Passwörter schützen. Die Komplexität eines Passworts ist ein entscheidender Hebel für eine nachhaltige IT-Sicherheit. Jeder Benutzer sollte seine Passwörter häufig ändern und einzigartige Passwörter mit mindestens 13 Zeichen erstellen, die eine Kombination aus Wörtern, Zahlen, Symbolen sowie Groß- und Kleinbuchstaben verwenden. Vermeiden Sie leicht zu erratende Begriffe, Zahlenkombinationen oder Variationen. Unternehmen sollten zudem einen formalen Passwort-Prozess entwickeln, so dass Anmeldeinformationen organisationsübergreifend stark sind. Zudem sollten Sie ein System installieren, das Passwörter regelmäßig überprüft. Vermeiden Sie es beispielsweise auch, eine Ziffer als letztes Zeichen eines Passworts zu setzen. Eine Ziffer am Ende bringt Ihnen kein Plus in punkto IT-Sicherheit.
3. Kontextbezogene Zugriffsrechte durch Geo-Fencing. Öffentliches WIFI ist ein willkommenes Einfallstor für Hacker. Zum Schutz sensibler Daten können daher standortbezogene Zugriffsrechte sinnvoll sein. Ein Arzt sollte beispielsweise einen drahtlosen Zugriff auf bestimmte Daten des klinischen Systems haben, während er in der Gesundheitseinrichtung vor Ort ist. Verlässt er sein Krankenhaus, so sollten Sie ihm den Zugang zu diesen Daten nicht länger gestatten. Machen Sie Zugriffsrechte außerdem davon abhängig, ob die WIFI-Verbindung öffentlich, also unsicher, oder privat und dementsprechend sicher ist.
   Wenn Kollegen außerhalb des Büros arbeiten, sollten sie sich in jedem Fall sofort mit dem Firmen-VPN verbinden, bevor sie E-Mail oder Browser nutzen. Dies fügt eine zusätzliche Verschlüsselung hinzu.
4. Integrieren Sie Patching in die gesamte IT. Idealerweise sollte das Patch-Management integriert und automatisiert laufen. Die Zusammenführung von Schwachstellenanalyse und Patching im Service Desk sowie die Nutzung von Automatisierungstools und Reporting-Lösungen stellt sicher, dass die IT-Abteilung Einblicke in den Sicherheitsstatus aller Systeme gewinnt. Da immer mehr Endgeräte das Netzwerk physisch verlassen können, wird zudem die Frequenz beim Patching zur Achillesferse. Das Aufspielen neuer Patches zweimal wöchentlich ist daher ein ausgezeichneter Ansatz, der vor allem Laptops schützt.
5. Sichern Sie Ihre Daten. Regelmäßige Backups auf Unternehmensservern oder firmeneigenen Cloud-Speichern sind elementar. Im Falle eines Cyberangriffs können infizierte Computer gelöscht und die Daten hinterher wiederhergestellt werden. Machen Sie Ihre Mitarbeiter darauf aufmerksam: Die haben es letztlich in der Hand, dass ihre beruflich genutzten Daten von den Backup- und Wiederherstellungsprozessen des Unternehmens wirksam erfasst werden. Ohne ordnungsgemäße Backups können im Falle eines Cyberangriffs Daten für immer verloren gehen. Die Auslagerung von Daten in die Cloud bietet eine zusätzliche Sicherheitsstufe für den Fall, dass Ihre Unternehmensserver von einem Angriff betroffen sind.

Die Entwicklung einer ganzheitlichen Sicherheitsstrategie ist alles andere als trivial. Um wirklich sämtliche Aspekte zu berücksichtigen, erfordert sie ein Zusammenwirken aller Unternehmensbereiche. Noch schwieriger gestaltet sich häufig die Umsetzung dieser Strategie in die Praxis. Denn hier ist eine Transferleistung der aufgestellten Richtlinien in die konkreten Prozesse und Arbeitsabläufe gefordert. Auch hier sind die Mitarbeiter von Anfang an zu integrieren, da sie ja letztlich meist die ersten Betroffenen von möglichen Angriffsversuchen sind.

Weitere Informationen zum Thema:

Ivanti
Webinar „Patch Tuesday“ vom 10. Oktober 2018

datensicherheit.de, 09.10.2018
it-sa 2018: Der Mensch gehört in den Fokus

datensicherheit.de, 26.07.2018
Der Mensch als Schlüsselfaktor Cybersicherheit

Awareness 2.0 mittels Sensibilisierung und Selbstreflexion

[datensicherheit.de, 11.09.2018] Altgediente Buchhalter überweisen Millionenbeträge auf die Konten von Kriminellen, Sekretärinnen versenden vertrauliche Konstruktionspläne als Download-Link. Als Social Engineering bezeichnen Sicherheitsexperten Angriffsmethoden auf Unternehmen, die auf die Manipulation der Mitarbeiter setzen. Die Betroffenen merken dabei in der Regel nicht, dass sie vertrauliche Informationen an Cyberkriminelle weitergeben. Die Mitarbeiter entsprechend zu sensibilisieren gehört daher zu den wichtigsten Themen im Bereich IT-Security. Die wachsende Bedeutung zeigt auch die aktuelle eco Sicherheitsstudie. „In vielen Fällen sind es gutgläubige Mitarbeiter, die Kriminellen Zugang zu vertraulichen Informationen geben“, sagt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco – Verband der Internetwirtschaft e. V. „Eine gute Cyber-Abwehrstrategie muss daher auch immer die Awareness der Mitarbeiter steigern, damit diese solche Angriffe auch unter Stress erkennen können.“ Oft versuchen Angreifer insbesondere kurz vor Büroschluss oder dem Wochenende Handlungsdruck aufzubauen.

Foto: eco – Verband der Internetwirtschaft e.V.

Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco

Gründe warum Menschen auf Manipulationen hereinfallen

„Es sind typische menschliche Eigenschaften wie Hilfsbereitschaft, Gutgläubigkeit und Neugier, die sich Cyberkriminelle zunutze machen“, sagt Ivona Matas vom Security-Beratungsunternehmen known_sense. „Der Mensch und seine angeborenen sozialen Eigenschaften werden schonungslos ausgenutzt.“ So geben sich Angreifer etwa als Mitarbeiter von HR-Abteilungen aus, die eine vertrauliche Information brauchen oder bieten Hilfe bei der Installation einer Datei an, mit der gleichzeitig ein Spionageprogramm installiert wird. Oder es werden Rechnungen zugestellt, die das Opfer umgehend bezahlen soll. Als CEO-Fraud bezeichnen Experten diese Art der Fälschung eines persönlichen Auftrags der Geschäftsführung.

Im Rahmen der Internet Security Days (ISDs) erläutert die Experten, wie Unternehmen im Falle solcher Angriffe von einer Reifung und Resilienz ihrer Mitarbeiter profitieren. Am 20. und 21. September haben der eco Verband und heise Events die führenden Köpfe der IT-Sicherheitsbranche ins Phantasialand bei Köln eingeladen.

Awareness 2.0: Die eigenen Schwächen erkennen

Gefälschte E-Mails als Phishing-Falle sind dabei ein beliebter Angriffsvektor. Dabei werden Psycho-Tricks genauso genutzt wie Täuschungsversuche mit gefälschten Inhalten und falschen Absender-Adressen. Beliebt sind beispielsweise gefälschte Gewinnspiele, bei denen attraktive Preise als Lockmittel dienen oder gefälschte Dateianhänge an E-Mails, die zum Anklicken einladen. „Technische Verteidigungssysteme gegen Phishing-Attacken wie Email-Filter helfen dabei, Angriffe abzuwehren“, sagt Oliver Dehning. Zusätzlich ist es nötig, die Awareness für solche Angriffe bei den Mitarbeitern ständig hoch zu halten.

Eine erfolgreiche Strategie unterstützt daher neben einer Sensibilisierung auch Selbstreflexion: Die Mitarbeiter müssen diejenigen ihrer sozialen Eigenschaften ‚entdecken‘, die im Rahmen von Social Engineering zum sogenannten sozialen Einfallstor werden können. „Es fallen nicht nur naive Menschen auf Fake, Phishing oder Social Engineering herein, sondern es kann jeden treffen“, sagt Matas. Geeignete systemische Präventions- und Awareness-Maßnahmen zu Cyber Crime, Social Engineering, Fake News und Co. sind daher in praktisch jedem Unternehmen nötig.

Weitere Informationen zum Thema:

eco
Umfrage IT-Sicherheit 2018

[datensicherheit.de, 26.07.2018] Angesichts der steigenden Verbreitung sensibler Daten, Vernetzung sowie Automatisierung müssen Geschäftsführer und IT-Entscheider künftig neue Wege gehen, um ihre Unternehmen wirksam vor Cyber-Angriffen zu schützen. Im Bereich der Cybersicherheit gilt es, eine signifikante Lücke zwischen tatsächlichem Schutz und erkanntem Risiko zu schließen. Dafür muss die Verantwortung für Cybersicherheit stärker auf das gesamte Unternehmen verteilt und weniger beim CISO zentralisiert werden. Dies ist das Ergebnis einer aktuellen Studie des Beratungsunternehmens Accenture.

Cybersecurity in den meisten Unternehmen zentral organisiert

In der Studie „Securing the Future Enterprise Today – 2018“ sind 73 Prozent der rund 1.400 weltweit befragten Führungskräfte der Meinung, dass Cybersecurity-Mitarbeiter in allen Unternehmensbereichen präsent und Schutzprogramme großflächig ausgeführt werden müssen. Gleichzeitig zeigen die Ergebnisse allerdings, dass Cybersecurity in 74 Prozent der Unternehmen nach wie vor zentral organisiert ist. Es gibt bisher kaum Anzeichen für eine stärkere Verlagerung der Verantwortung auf die Geschäftseinheiten. So sind derzeit lediglich
25 Prozent der „Nicht-CISO-Führungskräfte“ für Cybersicherheit verantwortlich. Ein Viertel der Befragten ist allerdings der Meinung, dass die Geschäftsbereichsleiter in Zukunft zuständig sein sollten.

„Zweifellos wird das Thema Cybersicherheit heute von Unternehmen ernster genommen. Doch es bleibt noch viel zu tun. Die Cybersecurity-Strategie muss vom Vorstand geleitet, von den Führungskräften ausgeführt und in allen Ebenen der Organisation gelebt werden. Darüber hinaus muss sie in alle Prozesse und Systeme eines Unternehmens einfließen und auch in den Arbeitsalltag der Mitarbeiter integriert werden“, erläutert Marius von Spreti, Managing Director und Leiter IT-Security bei Accenture.

Bessere Abstimmung von Strategie und Sicherheitsmaßnahmen

Die Studie zeigt, dass es eine signifikante Lücke gibt zwischen neu entstehenden Risiken, die Führungskräfte erkennen und dem tatsächlichen Schutz durch umgesetzte Strategien für Cybersicherheit. „Damit Unternehmen sicher wachsen können, müssen sie die Lücke zwischen wahrgenommenem Risiko und gelebtem Schutz schließen“, rät von Spreti. „Dafür braucht es einen kontinuierlichen Fokus auf Cybersicherheit in allen Unternehmensbereichen. Jeder Mitarbeiter muss hier Verantwortung übernehmen.“ 

Zum Beispiel leisten Unternehmen immer noch zu wenig, um ihre Mitarbeiter in puncto Sicherheit zu schulen. Lediglich die Hälfte der Befragten erklärte, dass alle Mitarbeiter beim Eintritt in das Unternehmen eine Cybersicherheitsschulung absolvieren und während des Beschäftigungsverhältnisses regelmäßig weitergebildet werden. Darüber hinaus haben nur sehr wenige CISOs überhaupt die Befugnis, Geschäftseinheiten in ihren Unternehmen zu beeinflussen. Lediglich 40 Prozent der CISOs gaben an, dass sie sich immer mit den Führungskräften der Geschäftseinheiten beraten, bevor sie eine Sicherheitsstrategie vorschlagen. Knapp die Hälfte der CISOs sind außerdem der Ansicht, dass ihre Sicherheitsverantwortung im Unternehmen schneller wächst als ihre Möglichkeiten, Sicherheitsprobleme zu lösen.

Die größten Cyber-Risiken: Neue Technologien und Datenaustausch

Die befragten Führungskräfte sehen vor allem in einigen neuen Technologien und Werkzeugen ein erhöhtes Cyber-Risiko für ihr Unternehmen und befürchten potenzielle Gefahren beim Datenaustausch mit Dritten.

• Die Internet of Things (IoT) -Technologie, also das Internet der Dinge, führt die Liste der Cyber-Risiken an: 77 Prozent denken, dass die IoT-Technologie das Cyber-Risiko geringfügig bis signifikant anheben wird, geschützt sind in diesem Bereich lediglich knapp 60 Prozent.
• 74 Prozent geben an, dass Cloud-Services das Cyber-Risiko erhöhen werden. Doch zugleich erklärten nur 44 Prozent, dass Cloud-Technologie durch ihre Cyber-Sicherheitsstrategie geschützt ist.
• Mehr als 70 Prozent erwarten, dass der Austausch von Daten mit strategischen Partnern und Dritten das Risiko erhöhen wird. Lediglich 39 Prozent gaben an, dass der Datentransfer durch ihre Cybersecurity-Strategie ausreichend geschützt ist.

Widerstandsfähigkeit gegen Cyber-Risiken in der gesamten Organisation verankern

Um die Widerstandsfähigkeit von Unternehmen gegen Cybergefahren zu stärken und die Lücke zwischen Schutz und Risiko schließen zu können, empfiehlt die Accenture-Studie die folgenden fünf Maßnahmen:

1. Die Führungsebene muss sich der Cybersicherheit verpflichten und das Thema bei Entscheidungen über Strategie und Risikomanagement mitdenken.
2. Die Rolle des CISO sollte die eines zuverlässigen Wegbereiters für die Geschäftsaktivitäten sein. Um eine durchgängige Robustheit gegen Cyber-Risiken sicherzustellen, bedarf es im Unternehmen neuer Sicherheits-Expertise.
3. Die Mitarbeiter sind Teil der Lösung, wenn es um Cybersicherheit geht. Jeder Mitarbeiter ist für die Gefahrenabwehr verantwortlich.
4. Beim Thema Datenschutz sollten Unternehmen über die eigenen Compliance-Richtlinien hinausgehen und als Fürsprecher ihrer Kunden auftreten.
5. Der Schutz einer Organisation lässt sich nur innerhalb ihres Ökosystems realisieren. Unternehmen sollten hier mit ihren Partnern zusammenarbeiten, um Risiken zu minimieren.

Weitere Informationen zum Thema:

Accenture
Studie „Securing the Future Enterprise Today – 2018“

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

datensicherheit.de, 08.01.2018
Cybersicherheit im Jahr 2018 – Unternehmen müssen Datenintegrität besser verstehen

datensicherheit.de, 08.11.2017
Studie: Cybersicherheit im Kontext von IoT und Operational Technology

[datensicherheit.de, 25.07.2018] Mimecast veröffentlicht zum zweiten Mal seinen  Jahresbericht zum Stand der E-Mail-Sicherheit.  Der Bericht identifiziert die neuesten E-Mail-Bedrohungen, denen Unternehmen aller Größen und Branchen weltweit ausgesetzt sind.

Die wichtigsten Fakten des State of Email Security Report:

• Cyberangriffe nehmen zu: Tatsächlich geben mehr als 50 Prozent  der Unternehmen an, dass das Volumen der Phishing-Angriffe in den letzten zwölf Monaten zugenommen hat. Außerdem stieg die Zahl der impersonation-Attacken um 40 Prozent.
• Unternehmensführung schneiden global nicht gut ab: 20 Prozent der Befragten sagen aus, dass ihr C-Level sensible Daten als Reaktion auf einen Phishing-Angriff versendet hat. Geschäftsführungen von deutschen Organisationen sollen sogar in 48 Prozent aller Fälle sensible Daten nach einer Phishing-Attacke versendet haben und sind damit weit über dem Durschnitt.
• Zudem kommen fast die Hälfte der (49 Prozent) Befragten zu dem Schluss, dass ihre Management- und Finanzteams nicht über ausreichende Kenntnisse verfügen, um einen Imitationsversuch zu identifizieren und zu stoppen

„E-Mail-basierte Angriffe entwickeln sich ständig weiter und unsere Untersuchung zeigt wie wichtig eine Cyber-Resilience-Strategie ist. Es geht um mehr als eine reinen Verteidigungsansatz. Das ist mehr als nur ein IT-Problem“, sagt Peter Bauer, Geschäftsführer von Mimecast. „Es erfordert eine unternehmensweite Anstrengung, die viele Stakeholder zusammenbringt, die richtigen Sicherheitslösungen bereitstellt und die Mitarbeiter – von der C-Suite bis zur Rezeption – in die Lage versetzt, die letzte Verteidigungslinie zu sein.“

Cybersicherheit in Unternehmen untersucht

Mimecast hat gemeinsam mit Vanson Bourne den Zustand der Cybersicherheit von Organisationen, ihre Erwartungen und Bedürfnisse sowie die Zunahme von Angriffen untersucht. Die Ergebnisse des Berichts basieren auf den Antworten von 800 IT-Entscheidern und Führungskräften auf globaler Ebene und zeigen Einstellungen, Verhaltensweisen, Vertrauen und Bereitschaft von Sicherheitsexperten und der Vorstandsebene im Umgang mit diesen Bedrohungen auf.

Weitere Informationen zum Thema:

Mimecast
The State of Email Security 2018 Report

datensicherheit.de, 18.07.2018
BEC und EAC Fraud: Schäden in Milliardenhöhe

datensicherheit.de, 04.07.2018
Cyber-Security: Viel höhere Budgets für E-Mail Sicherheit notwendig

datensicherheit.de, 14.06.2018
KRITIS braucht Cyber-Resillence

[datensicherheit.de, 12.07.2017] Die Diskussion zu Ransomware geht am Kern der Sache vorbei. Organisationen müssen die Folgen von Ransomware-Angriffen abfedern können, um Daten und Applikationen schnell und einfach wiederherzustellen. Ohne zu bezahlen.

Andreas Mayer dazu: „Die Frage ist nicht ‚ob‘ eine Organisationen erfolgreich von Kriminellen mit Ransomware gehackt wird, sondern wann. Die nicht endenden Wellen von immer komplexeren Angriffen wie GoldenEye, Petya oder WannaCry bestätigen: Erstens ist Ransomware nicht nur ein temporäres Problem, sondern wird die IT jeder Organisation in der Zukunft beschäftigen. Und zweites zeigt sich, dass die derzeitigen Strategien, mit denen sich die IT wehrt, nicht ausreichen, um sich zu schützen.

Ransomware ist längst zu einem Problem geworden, das größere Kreise zieht, über die IT hinaus. Die Schauergeschichten der Folgen sind erstaunlich: Der kürzlich erfolgte Angriff auf den Serviceprovider Nayana beeinträchtigte tausende Kunden. Er ist deshalb speziell, weil mit nur einem erfolgreichen Angriff tausende Firmen gehackt wurden. Die bezahlte Summe von einer Millionen US-Dollar ist bis heute das größte bekannt gewordene Ransomware-Lösegeld, das bezahlt wurde. Überdies ist Bezahlen ein Vabanquespiel, da man nie weiß, ob die Hacker die Verschlüsselung der Daten wieder entfernen werden.

Wenn man das Positive an der Ransomware-Epidemie sehen will: All dies dient als Härtetest für Unternehmenslenker und IT-Manager, aber auch für Serviceprovider, um die Wirksamkeit ihrer aktuelle Disaster-Recovery-Strategien zu überprüfen. Kann diese einem erfolgreichen Ransomware-Angriff standhalten und kritische Applikationen und Daten schnell wiederherstellen, auf einen Stand vor dem Angriff?

Eine solche Strategie ist durchaus mit dem aktuellen Stand der Technologie möglich und für viele Unternehmen nicht einmal eine Wahl, sondern schon bald eine gesetzlich verankerte Voraussetzung: Das IT-Sicherheitsgesetz wird am 26. Juli in Kraft treten. Ab dann sind viele Organisationen rechtlich verpflichtet sich nachweislich vor Hackern zu schützen, inklusive Ransomware. Das Stichwort ist hier „nach dem Stand der derzeitigen Technik“, die mit einfachen Backups nicht ausreicht.

Ransomware wird nicht einfach so wieder verschwinden. Unternehmen müssen sich aus vielen Gründen darauf vorbereiten, da ihre Existenz davon abhängen kann. Software-Lösungen aufbauend auf virtueller Replikation können ein wichtiger Baustein einer Strategie sein, um IT-Systeme gegen alle Arten von Ausfällen abzusichern, inklusive Ransomware. So lassen sich kritische Applikationen und Daten schnell wiederherstellen und alles ist so, als wäre nichts geschehen. Ohne zu bezahlen.“

[datensicherheit.de, 04.04.2017] Um das Risikobewusstsein der Nutzer zu schärfen und ihnen geeignete Mittel zum Selbstschutz an die Hand zu geben, bauen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Polizei nach BSI-Angaben ihre Zusammenarbeit in einer strategischen Kooperation aus. Am 4. April 2017 unterzeichneten BSI-Präsident Arne Schönbohm und Gerhard Klotter als Vorsitzender der Projektleitung des „Programms Polizeiliche Kriminalprävention der Länder und des Bundes“ (ProPK) in Stuttgart eine gemeinsame Vereinbarung zur strategischen Kooperation der beiden Organisationen.

Weder Opfer noch Täter werden!

Risikobewusstsein schärfen, Selbstschutz ermöglichen und verhindern, dass Privatanwender Opfer von Cyber-Kriminalität oder gar unwissentlich zu Tätern werden: Diese Prämissen sind nach eigenen Angaben Teil der Präventionsarbeit des BSI und des ProPK.

Sicherer Umgang mit digitalen Medien

Mit abgestimmten Maßnahmen wollen die Kooperationspartner demnach gemeinsam den sicheren Umgang mit digitalen Medien und die IT-Sicherheit fördern sowie Beiträge zur Prävention von Cyber-Kriminalität leisten.
Schutzempfehlungen aktiv und nachhaltig an Bürger zu vermitteln, stehe im Mittelpunkt der gemeinsamen Präventionsarbeit. Ein wichtiger Ansatzpunkt für die Verstetigung der Kooperation sei die fortschreitende Digitalisierung der Lebens- und Alltagswelt – und die daraus erwachsenden Probleme. Sicherheit rund um Hausgeräte spiele dabei genauso eine Rolle wie der Schutz vor Straftaten mit dem Tatmittel Internet.

Risiken im Internet erkennen und sich davor schützen!

„In einem zunehmend digitalisierten Alltag ist es Aufgabe des BSI als nationaler Cyber-Sicherheitsbehörde, Bürgerinnen und Bürger dabei zu unterstützen, die Risiken im Internet zu erkennen und sich davor zu schützen“, betont BSI-Präsident Schönbohm. Gemeinsam mit der ProPK habe man bereits einige erfolgreiche Projekte umgesetzt. Diese Kooperation zu verstetigen sei ein logischer Schritt, der zu mehr Sicherheit in der Digitalisierung beitrage.
„Mit der Verstetigung unserer Kooperation wollen wir die Wirkung der präventiven Maßnahmen von Polizei und BSI erhöhen und mehr Menschen besser über digitale Sicherheit aufklären“, unterstreicht Klotter. Die Polizei beschäftige sich in ihrer kriminalpräventiven Arbeit nicht nur mit Cyber-Kriminalität wie Datendiebstahl oder Computersabotage. Man informiere die Bevölkerung über alle Sicherheitsrisiken und möglichen Graubereiche der Internetnutzung. Die Ergebnisse ihrer Online-Umfrage zeigten auch deutlich, dass Sicherheitsinformationen aus vertrauensvoller Quelle von Nutzern gewünscht und gefordert würden.

Bereits gemeinsame Projekte in den vergangenen Jahren

Bereits in der Vergangenheit haben BSI und ProPK nach eigenen Angaben gemeinsam zu Themen der IT- und Internetsicherheit agiert: Mit der Online-Anwendung „Sicherheitskompass“ wollen sie zu zehn häufigen Sicherheitsrisiken im Internet aufklären und das Medienpaket „Verklickt!“ für den Schulunterricht soll Jugendlichen sicherheitsbewusstes Verhalten im digitalen Alltag vermitteln – unter anderem in Bezug auf Cyber-Mobbing, auf Soziale Netzwerke oder Persönlichkeitsrechte.
Zudem hätten die Partner 2015 und 2016 jeweils anlässlich des „European Cyber Security Month“ über eine Online-Umfrage Bürger befragt, wie sich diese vor Angriffen aus dem Internet schützen und welche Erfahrungen sie bisher mit Cyber-Kriminalität gemacht haben. Die Ergebnisse dieser Umfragen sollen ebenfalls in die Ausgestaltung dieser Kooperation einfließen.

Weitere Informationen zum Thema:

POLIZEILICHE KRIMINALPRÄVENTION DER LÄNDER UND DES BUNDES
Sicherheitskompass

POLIZEILICHE KRIMINALPRÄVENTION DER LÄNDER UND DES BUNDES
Verklickt!

datensicherheit.de, 01.03.2017
Kooperation: BSI und Verbraucherzentrale NRW haben Vereinbarung unterzeichnet

datensicherheit.de, 20.09.2016
photokina 2016: BSI informiert über Sicherheitsmaßnahmen für Kameras