- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Geschäftsbetrieb möglichst effektiv zu stören


Erneut KRITIS-Betreiber im Visier von Hackern: Nehmen Verantwortliche die Gefahr ernst genug?
Um zukünftig gegen Gefahren für die IT-Sicherheit gewappnet zu sein, sollten Betreiber von Organisationen aus dem Bereich der kritischen Infrastrukturen ihr Schutzniveau konstant hochhalten und die Bedrohung zu keinem Zeitpunkt unterschätzen

- Anzeigen -





Ein Kommentar von Marc Schieder, CIO von Dracoon

Laut Recherchen der "Welt am Sonntag" beobachteten Sicherheitsbehörden im Vergleich zum letzten Jahr einen eindeutigen Anstieg von Angriffen auf die IT-Infrastruktur von Organisationen. Die Attacken, hinter denen oftmals ausländische Geheimdienste vermutet werden, zielen neuerdings weniger darauf ab, Geld zu erpressen – vielmehr ist das Ziel, den Geschäftsbetrieb möglichst effektiv zu stören. Beispielsweise werde die Wasser- und Stromversorgung manipuliert. Laut dem Bundesamt für Sicherheit in der Informationstechnik haben die Angriffe eine neue Qualität erreicht. Auch wenn selbstverständlich nicht jeder Störfall mit einem Hack gleichzusetzen sei, wie das BSI betont, sei die Zahl der Vorfälle doch deutlich gestiegen – von 145 im Berichtszeitraum Juni 2017 bis Ende Mai 2018 auf ganze 157 Meldungen in der zweiten Hälfte des Jahres 2018. Hiervon haben 19 dieser Vorfälle den Energiesektor betroffen.

Der Anstieg in diesem Bereich ist erschreckend im Hinblick auf die besondere Sensibilität der betroffenen Branchen – schließlich bringt hier ein möglicher Ausfall die Sicherheit und Gesundheit sowie das soziale Wohlergehen der Bevölkerung in Gefahr. Doch wie schätzen die Betreiber selbst die Situation ein? Mitte letzten Jahres veröffentlichte das Projekt VeSiKi (Vernetzte IT-Sicherheit Kritischer Infrastrukturen), einem Begleitprojekt im Forschungsschwerpunkt ITS/KRITIS des Bundesministeriums für Bildung und Forschung den Bericht "Monitor 2.0 – IT-Sicherheit Kritischer Infrastrukturen." Befragt wurden hier CISOs, CIOs, weitere Mitglieder des Managements und IT-Sicherheitsbeauftragte, u.a. aus KRITIS-Branchen wie Wasserversorgung, Informations- und Kommunikationstechnik, Energie und Gesundheit – aber auch KMU und Betriebe mit über 250 Mitarbeitern. Die Publikation macht deutlich, dass die KRITIS-Betreiber die eigene Sicherheit oftmals optimistisch einschätzen und sich gut abgesichert fühlen.

Dabei wird allerdings deutlich, dass die Teilnehmer die Gefahr insgesamt durchaus ernst nehmen. Gefragt nach der Einschätzung der Bedrohungslage im Bereich Cybersicherheit, differenziert nach dem Wirtschaftsraum Deutschland, der eigenen Branche, und der eigenen Organisation wurde die Bedrohung konstant als "hoch", bzw. "sehr hoch" eingeschätzt. Allerdings wird die Gefährdungslage für die eigene Organisation als geringer wahrgenommen als diese für die jeweilige Branche oder für den Standort Deutschland insgesamt. Die Einschätzung der Gefahr für Gesamtdeutschland wird zu 35 Prozent als sehr hoch eingeschätzt, 65 Prozent schätzen diese als hoch ein – bezogen auf die einzelne Branche sind es 15 Prozent (sehr hoch), 70 Prozent (hoch) und weitere 15 Prozent (gering). Am Positivsten fällt die Einschätzung der eigenen Organisation aus: 10 Prozent sehen hier zwar eine sehr hohe Gefahr, etwas mehr als 70 Prozent sehen ein hohes Bedrohungspotenzial, aber knapp unter 20 Prozent geben an, nur eine geringe Gefahr wahrzunehmen.

Um zukünftig gegen Gefahren für die IT-Sicherheit gewappnet zu sein, sollten Betreiber von Organisationen aus dem Bereich der kritischen Infrastrukturen ihr Schutzniveau konstant hochhalten und die Bedrohung zu keinem Zeitpunkt unterschätzen. Aber auch Softwarehersteller, die den Bereich KRITIS bedienen, sollten ihre Verantwortung ernst nehmen und die hohe Datensensibilität in ihre Produkte mit einfließen lassen. Hierzu gehört beispielsweise, sein Produkt durch Sicherheitszertifizierungen unabhängig prüfen zu lassen, hier seinen etwa die ISO 27001 oder das European Privacy Seal (EuroPriSe) erwähnt. Aber auch Features wie eine clientseitige Verschlüsselung und ein durchdachtes Berechtigungssystem, bei dem bestimmten Personen der Zugriff auf Daten erteilt, bzw. verwehrt werden kann, sorgen schon von Vornherein für maximal mögliche Datensicherheit.

Insgesamt deutet vieles darauf hin, dass die Verantwortlichen im Bereich KRITIS zwar über ein hohes Sicherheitsbewusstsein verfügen, allerdings müssen angesichts der immer wieder neu auftretenden Sicherheitsvorfälle innerhalb der letzten Monate die Schutzmaßnahmen angepasst und erhöht werden. Dazu gehört neben der Schaffung einer Kultur der Sicherheit innerhalb des Betriebs durch Aufklärung und Schulungen auch die Implementierung von Lösungen, deren Hersteller das hohe Bedrohungspotenzial bereits bei der Entwicklung in ihr Produkt haben einfließen lassen. (Dracoon: ra)

eingetragen: 10.03.19
Newsletterlauf: 11.04.19

Dracoon: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Meldepflicht: Soziale Netzwerke & Hass-Postings

    Seit dem 1. Januar 2018 verpflichtet das Netzwerkdurchsetzungsgesetz (NetzDG) Betreiber von sozialen Netzwerken dazu, strafbare Inhalte im Netz innerhalb einer bestimmten Frist und unter Androhung von teils hohen Geldstrafen zu löschen. Heute haben sich die Bundesministerien für Justiz und Inneres auf die Einführung einer Meldepflicht für soziale Netzwerke bei Hass-Postings im Internet verständigt und damit die Vorgaben des Netzwerkdurchsetzungsgesetzes nochmals erweitert. eco-Vorstandsvorsitzender Oliver J. Süme bewertet die aktuellen Pläne einer Meldeverpflichtung für Betreiber sozialer Netzwerke als unzureichend durchdacht und daher kritisch.

  • Selbstbestimmtes und flexibles Arbeiten

    Das Landesarbeitsgericht München hat entschieden, dass Crowdworker keine Angestellten der vermittelnden Internetplattform sind. Dazu erklärt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder: "Wir begrüßen, dass das Landesarbeitsgericht München klarstellt, dass Crowdworker keine Angestellten der vermittelnden Internetplattform sind. Damit stärkt das Urteil die Plattformökonomie in Deutschland. Crowdworking ist eine völlig neue und hochflexible Form des Arbeitens, die überhaupt erst durch die Digitalisierung ermöglicht wird, und kann sowohl für die beauftragenden Unternehmen als auch für die Crowdworker selbst große Vorteile bieten."

  • Benennungspflicht für Datenschutzbeauftragte

    Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. appelliert an die Bundesregierung, das Datenschutz-Know-how in Deutschland nicht durch eine weitere Aufweichung der Benennungspflicht für Datenschutzbeauftragte (DSB) zu verspielen. Die in Deutschland verankerte Benennungspflicht für DSB sichere der Wirtschaft ein hohes Datenschutz-Niveau, für das sie international Anerkennung erhalte und wettbewerbsfähiger werde. "Ohne datenschutzrechtliche Kompetenz droht den Unternehmen ein Verlust an Ansehen und Vertrauen von Kunden und Partnern", erklärte BvD-Vorstandsvorsitzender Thomas Spaeing nach dem Digitalgipfel in Dortmund. "Das deutsche DSB-Modell ist weltweit zu einem Markenzeichen geworden."

  • Bankenunion allein ist nicht ausreichend

    Mehr Rückenwind für den europäischen Finanzsektor hat Bankenpräsident Hans-Walter Peters eingefordert. "Die jüngsten politischen Initiativen geben Hoffnung, dass sich etwas bewegen wird", sagte Peters. "Zu lange ist nichts passiert, dies gilt sowohl für den europäischen Finanzbinnenmarkt als auch für die Kapitalmarktunion." Peters begrüßte den Vorstoß von Bundesfinanzminister Scholz zur Vertiefung der Bankenunion. "Einer musste den Stein ins Wasser werfen, ansonsten hätten wir in dieser Frage keine Bewegung." Peters betonte, dass eine europäische Bankenunion jedoch allein nicht ausreichend sei, um das wirtschaftliche Potenzial zu heben. Daneben bräuchte es eine weitere Harmonisierung aufsichtlicher Regeln und Anforderungen in der EU. Banken, die in verschiedenen europäischen Ländern tätig sind, bewegten sich immer noch auf einem Flickenteppich aus Regulierung und Bürokratie.

  • Betrug durch "Ghost Broking"

    Nach Angaben der beiden US-Finanzdienstleister TransUnion und Iovation steigen die Betrugsfälle bei den Nutzern der Online Plattformen stetig. Zwischen 2015 und 2018 verzeichnete beispielsweise eines der beiden Unternehmen einen Anstieg vergleichbarer Betrugsfälle von 516 Prozent und damit mehr als verfünffacht. Diese Entwicklung ist ein Fingerzeig für das, was uns in Europa nach der flächendeckenden Einführung der PSD2 noch erwarten wird. Seit dem 14. September 2019 treten innerhalb der EU vermehrt Probleme durch schlecht ausgearbeitete Implementierungen der Banken-IT sowie Betrugsfälle in Bezug auf die Richtlinie auf.