Schlagwortarchiv für: IT-Sicherheit

KI-Systeme: Chancen nutzen, Risiken kennen

Künstliche Intelligenz (KI) ist zweifelsfrei eine bahnbrechende Erfindung, doch wir müssen uns frühzeitig mit den Risiken beschäftigen. Die Einsatzgebiete von KI sind vielfältig – und natürlich loten auch Cyberkriminelle aus, welche neuen Möglichkeiten die Technologie bietet. So lassen sich etwa gängige Angriffsvektoren wie Phishing oder Malware durch Automatisierung unterstützen. Umgekehrt hilft KI aber auch in der Verteidigung: So kann sie bei der proaktiven Suche nach Sicherheitslücken unterstützen, die Beschaffenheit von Angriffsvektoren erlernen und durch prädiktive Analyse Sicherheitsvorfälle prognostizieren und abwehren.

Doch auch die Technologie selbst kann zum Ziel von Cyberangriffen werden: Wer verstanden hat, wie ein Algorithmus funktioniert, findet auch Möglichkeiten, ihn zu beeinflussen. Zudem bilden die Daten, aus denen die KI lernt, einen Angriffspunkt. Wenn es Hackern gelingt, die Trainingsdaten zu manipulieren oder das System mit falschen Informationen zu füttern, können sie das Lernverhalten der KI steuern und Fehlfunktionen provozieren.

Rund um KI kommen also völlig neue Angriffsszenarien auf uns zu, bei denen etablierte Security-Tools und Best Practices nicht greifen. Dieses Feld gilt es nun zu adressieren. Der wichtigste Schritt dafür ist, zunächst überhaupt ein Bewusstsein für Chancen und Risiken von KI-Systemen zu schaffen.

Autor: Wolfgang Kurz, Geschäftsführer und Gründer, indevis IT-Consulting and Solutions GmbH

Weitere Informationen

KRITIS-Dachgesetz: Mehr physische Sicherheit

KRITIS-Dachgesetz: Mehr physische Sicherheit

Das KRITIS-Dachgesetz bietet zahlreiche Möglichkeiten und Chancen für die Sicherheit kritischer Infrastrukturen in Deutschland. Lange Zeit lag der Fokus auf der IT-Sicherheit. Im Bereich der physischen Absicherung klaffte eine Lücke. Das neue KRITIS-Dachgesetz soll diese Lücke füllen und bildet eine Ergänzung zu den bestehenden Regelungen im Bereich Cybersicherheit. Zudem verpflichtet es Betreiber von KRITIS-Einrichtungen dazu, auch ein Mindestniveau an physischer Sicherheit zu gewährleisten.

Zentrale Inhalte dabei sind die klare Definition und Abgrenzung der KRITIS-Bereiche, verpflichtende Risikobewertungen, Mindeststandards für Betreiber sowie ein zentrales Störungsmonitoring. Wichtig hierbei ist die Schaffung sektorübergreifender Regelungen, um die Hindernisse für Zusammenarbeit und Austausch zu minimieren. Die sektorübergreifenden Auswirkungen der vergangenen Krisen und Katastrophen haben gezeigt, dass in einer vernetzten Welt mit starken Abhängigkeiten zahlreiche Schnittstellen und Interdependenzen nicht vernachlässigt werden dürfen.

Das KRITIS-Dachgesetz bietet eine wichtige Grundlage für eine sichere und stabile kritische Infrastruktur in Deutschland. Betreiber müssen die Vorgaben des Gesetzes ernst nehmen und in enger Zusammenarbeit mit den Behörden arbeiten, um die Sicherheit zu gewährleisten und Störungen schnell und effektiv zu beheben.

Autor: Prof. Dr. Clemens Gause, Geschäftsführer, Verband für Sicherheitstechnik e.V.

Weitere Informationen

IT-Sicherheit weiter gefährdet

BSI-Lagebericht zur Cybersicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den IT-Lagebericht 2022 veröffentlicht. Aus diesem geht hervor, dass sich die Gefährdungslage im Cyber-Raum von Juni 2021 bis Mai 2022 weiter zugespitzt hat. Die Gründe für die hohe Bedrohungslage sind anhaltende Aktivitäten im Bereich der Cyber-Kriminalität, Cyber-Angriffe im Kontext des russischen Angriffs auf die Ukraine und auch in vielen Fällen eine unzureichende Produktqualität von IT- und Software-Produkten.

Jede Schwachstelle in Soft- oder Hardware-Produkten ist ein potenzielles Einfallstor für Angreifer und gefährdet die Informationssicherheit in Verwaltung, Wirtschaft und Gesellschaft. So wurden im Jahr 2021 über 20.000 Schwachstellen in Software-Produkten registriert. Das entspricht einem Zuwachs von 10 Prozent gegenüber dem Vorjahr.

Ransomware-Angriffe, also Cyber-Angriffe auf Unternehmen, Universitäten und Behörden, mit dem Ziel, Lösegeld zu erpressen, gilt aktuell als größte Bedrohung im Cyber-Bereich. Hier ist es im Berichtszeitraum zu mehreren Ransomware-Vorfällen gekommen bei denen Kommunen in Deutschland angegriffen wurden. Zum ersten Mal in der deutschen Geschichte wurde in Folge eines Cyber-Angriffs von der betroffenen Kommune der Katastrophenfall ausgerufen.

Mit seinem Bericht zur Lage der IT-Sicherheit in Deutschland legt das BSI als die Cyber-Sicherheitsbehörde des Bundes jährlich einen umfassenden Überblick über die Bedrohungen im Cyber-Raum vor.

Weitere Informationen

Neue BSI-Broschüre zur Cyber-Sicherheit für KMU

Neue BSI-Broschüre zur Cyber-Sicherheit für KMU

Kleine und mittlere Unternehmen (KMU) sind einem erhöhten Risiko ausgesetzt, Opfer von Cyber-Sicherheitsvorfällen zu werden, da sie selten über ein eigenes IT-Team verfügen und das Knowhow zum Thema IT-Sicherheit innerhalb der KMU begrenzt ist. Daher hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im September eine neue Publikation zur “Cyber-Sicherheit für kleine und mittlere Unternehmen (KMU)“ veröffentlicht. Die Broschüre bietet KMU einen leicht verständlichen Einstieg, um ihr Cyber-Sicherheitsniveau zu verbessern und sich so besser vor Cyber-Angriffen zu schützen.

Anhand von 14 Fragen werden die wichtigsten Grundlagen der IT-Sicherheit erläutert. Die Broschüre informiert unter anderem darüber, wer für die Informationssicherheit im Unternehmen verantwortlich ist, warum Patches und Updates regelmäßig installiert werden sollten, warum ein Virenschutzprogramm notwendig ist und eine Datensicherung so wichtig ist. Am Ende der Lektüre werden KMU wissen, was sie im Unternehmen selbst umsetzen können und welche Aufgaben an externe IT-Dienstleister zu vergeben sind.

Weitere Informationen

Vor Hackerangriffen schützen

Vor Hackerangriffen schützen

Moderne Aufzüge können Gegenstand von Hackerangriffen werden. Die Aufzüge werden durch Sensoren überwacht und sind per Internet oder Mobiltelefonnetz mit der Außenwelt verbunden. Wartungsfirmen überwachen online, ob der Aufzug ordnungsgemäß funktioniert und starten die Software bei technischen Problemen über das Internet neu.

Diesen Weg können auch Cyberkriminelle nutzen, um sich Zugang zum System zu verschaffen oder den Aufzug von außen zu steuern. Im schlimmsten Fall könnte auf die gesamte technische Gebäudeausrüstung zugegriffen werden. Daher sollten Aufzugsanlagen von der Haustechnik abgekoppelt sein und in das Sicherheitskonzept des Betreibers integriert werden.

Autor: Ulf Theike, Chief Digital Officer in der Geschäftsführung, TÜV NORD Systems

Weitere Informationen

Vernetzte Sicherheit im Smart Building

Die Vernetzung sicherheitstechnischer Systeme untereinander sowie mit anderen gebäudetechnischen Anlagen bietet heute eine Vielzahl an Möglichkeiten. Noch Zukunftsmusik sind denkbare Szenarien: Gebäudenutzer mit Mobilgeräten oder anderen vernetzten „Wearables“ erhalten im Gefahrenfall eine personalisierte Warnung, und das mit der Gebäudeautomatisierung verbundene Smartphone weist mittels Navigation den Fluchtweg aus dem Gebäude. Ein adaptives Fluchtweglenkungssystem wertet die Informationen der vernetzten Mobilgeräte aus und vermeidet durch intelligentes Umsteuern gefährliche Stauungen in den Fluchtwegen. Die kombinierte Nutzung von Sensoren sicherheits- und gebäudetechnischer Systeme eröffnet Optionen für zusätzliche Funktionalitäten: So liefern Bewegungsmelder einer Einbruchmeldeanlage und Temperatursensoren von Brandmeldern gemeinsam wertvolle Daten, die zur Lüftungssteuerung eines Gebäudes genutzt werden können. Voraussetzung für das problemlose Funktionieren der verschiedenen Technologien ist eine Gewerke-übergreifende digitale Planung, universelle Standards für alle an der Konzeption und dem Betrieb Beteiligten, hohe IT-Sicherheit und ein guter Datenschutz. Die Komplexität der künftigen Anforderungen schon heute zu überblicken, ist ein Erfolgsfaktor für alle gebäudebezogen arbeitenden Experten.

Autor: Iris Jeglitza-Moshage, Geschäftsleitung, Messe Frankfurt GmbH

Weitere Informationen

Keine Chance für Hacker!

Viele Unternehmen des deutschen Mittelstandes haben sich eine Position als Weltmarktführer erarbeitet – und werden damit zum lohnenden Ziel für Spione, Hacker und Cracker. Moderne Produktionsanlagen haben heute meist eine Verbindung zum Internet, zum Beispiel für Fernwartung oder Prozessoptimierung. Das macht sie angreifbar. Aber auch auf organisatorischer Ebene gibt es Sicherheitslücken, etwa wenn Mitarbeiter auf Freigaben, Verzeichnisse und Dateien zugreifen können, die sie für ihre Arbeit gar nicht benötigen.

Wenn Daten gestohlen oder Produktionsanlagen lahmgelegt werden, kann ein Angriff teuer werden. Traurig aber wahr: Mangelnde Cyber-Security kostet uns 1,6 Prozent des Bruttoinlandsproduktes. VdS Schadenverhütung hat deshalb vor kurzem Richtlinien für ein vollständiges, pragmatisches Informationssicherheits-Managementsystem veröffentlicht. Diese Richtlinien richten sich vor allem an den Mittelstand – der hierzulande mehr als 99 Prozent aller umsatzsteuerpflichtigen Unternehmen ausmacht.

Hilfe zum Selbstschutz gibt es in den Richtlinien VdS 3473 „Cyber-Security für kleine und mittlere Unternehmen (KMU)“. Wer ganz auf Nummer sicher gehen will, sollte sich die nach VdS 3473 umgesetzte Informationssicherheit in seinem Betrieb zertifizieren lassen.

Nutzen Sie diese Möglichkeiten – und geben Sie Kriminellen keine Chance!

Autor: Thomas Urban, Geschäftsführer, VdS Schadenverhütung GmbH

Weitere Informationen

KRITIS - IT-Sicherheit für kritische Infrastrukturen

KRITIS ist Chefsache

Kritische IT-Infrastrukturen der Bereiche Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung sollen besser geschützt werden.

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) hat Betreiber im Fokus, die ein Mindestniveau an IT-Sicherheit gewährleisten und IT-Störungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden müssen. Die Vorgaben für Energieeffizienz-Messwerte, Verfügbarkeits- und Schutzklassen schafft die europäische Rechenzentrum-Norm EN 50600. Das BSI als Bundesbehörde ist für die Unterstützungs- und Überwachungsfunktion zuständig.

Autor: Thomas Grüschow, Auditor kritische Infrastruktur Data Center, TÜV SÜD Industrie Service GmbH

Weitere Informationen

IT-Grundschutz - Bundesamt für Sicherheit in der Informationstechnik (BSI)

IT-Sicherheit: Stabsstelle unverzichtbar

IT-Grundschutz - Bundesamt für Sicherheit in der Informationstechnik (BSI)Beim Thema Informationssicherheit geht es längst nicht nur um Technik. Natürlich sind Maßnahmen wie Patchen, Virenschutz und Datensicherung weiterhin unverzichtbar. Sie sind aber völlig nutzlos, wenn beispielsweise der Serverraum für Jedermann frei zugänglich ist. Erfolg verspricht daher nur ein ganzheitlicher Planungsansatz. Voraussetzung ist die Implementierung einer zentralen Stabsstelle im Unternehmen, etwa durch den Posten eines Sicherheitsverantwortlichen. Ebenfalls sinnvoll ist die kontinuierliche Fortbildung und Sensibilisierung der Mitarbeiter, denn schon das Öffnen von Spam-Mails kann verheerende Folgen haben.

Wie Informationssicherheit auf allen organisatorischen und technischen Ebenen gewährleistet werden kann, zeigt der IT-Grundschutz des BSI, der aktuell modernisiert wird. Planer finden in den kostenfreien Unterlagen alles, was sie zu einzelnen Themenbereichen, wie etwa Sicherheit, Infrastruktur, IT-Systeme oder Netze wissen müssen. Dazu gehören unter anderem potenzielle Gefährdungsszenarien sowie entsprechende Sicherheitsmaßnahmen. Für die Umsetzung gilt hierbei: Ohne ausreichende finanzielle und personelle Ressourcen geht nur sehr wenig. Zwar sind die Empfehlungen des BSI so geschrieben, dass nicht viel Geld investieren werden muss oder ein externer Berater benötigt wird, am Ende muss sich aber jemand verlässlich um das Thema kümmern. (hs)

Autor: Holger Schildt (hs), IT-Grundschutz, Bundesamt für Sicherheit in der Informationstechnik (BSI)

Weitere Informationen

www.dgwz.de/it-grundschutz

Logo der Allianz für Cyber-Sicherheit vom BSI (png)

Sichere IT-Systeme

Allianz für Cyber-Sicherheit

Logo der Allianz für Cyber-Sicherheit vom BSI (png)Die Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der deutschen Wirtschaft, um die IT-Sicherheit in Deutschland zu stärken. Über 1.200 Unternehmen und Institutionen nehmen bereits teil. Sie werden kostenlos über neue Gefahren und Gegenmaßnahmen informiert, tauschen Erfahrungen aus und besuchen regelmäßige Veranstaltungen zu aktuellen Themen rund um die Cyber-Sicherheit. Der nächste Cyber-Sicherheitstag findet am 24. September 2015 in Hamburg statt. (sp)

Autorin: Stephanie Pötz (sp), Referat C 26 IT-Grundschutz und Allianz für Cyber-Sicherheit, Bundesamt für Sicherheit in der Informationstechnik (BSI)

Weitere Informationen

Schlagwortarchiv für: IT-Sicherheit

IT-Sicherheit

IT-Sicherheitspyramide

Ziel einer IT-Sicherheitsstrategie ist die Gewährleistung der Sicherheitsanforderungen bei gleichzeitiger wirtschaftlicher Umsetzung der Schutzmaßnahmen.

Nach dem Modell der IT-Sicherheitspyramide steht an oberster Stelle eine IT-Sicherheitsrichtlinie, in der die langfristige IT-Strategie und die übergeordneten Sicherheitsziele eines Unternehmens festgelegt werden. Daraus ergeben sich die auf der darunterliegenden Ebene liegenden IT-Sicherheitsrichtlinien mit Vorgaben für die Umsetzung. Auf der untersten Ebene geben die IT-Sicherheitsregeln konkrete Handlungsanweisungen vor.

Risiken

  • Mitarbeiter
  • E-Mails
  • Mobile Endgeräte

Bedrohungen

  • Malware
  • Phishing
  • Ransomware
  • Viren
  • Trojaner
  • Hacker-Angriffe
  • E-Mail-Anhänge
  • Mobile Endgeräte (Handys, Smartphones, Tablets)

Schutzmaßnahmen

  • Firewall
  • Antivirus-Programme
  • Air Gap (Physische Trennung sicherheitsrelevanter Systeme)
  • Regelmäßige Software-Updates
  • Regelmäßige Datensicherungen

Weiterführende Informationen

IT-Sicherheit, EDV, Schutz, Cyber, Security, Informationssicherheit
Malware, Trojaner, Viren, Verschlüsselung, Signatur, Firewall, Virenscanner, Phishing, Antivirus, Ransomware

Mitarbeiter sorgen für IT-Sicherheit in Unternehmen

Informationssicherheit

Übersicht zu Informationssicherheit

Einführung | Cyber-Security | Normen und Vorschriften | Weitere Informationen

Einführung

Die Aufrüstung in sichere Informationstechnik in Unternehmen gewinnt vor allem für kleine und mittlere Unternehmen (KMU) an Relevanz, da diese einem erhöhten Risiko durch Cyber-Angriffen ausgesetzt sind. KMU’s verfügen oft nicht über ein eigenes IT-Team und haben nur begrenzt Erfahrung und Kenntnis über IT-Sicherheit. Die Sicherheit kann schon mit einfachen organsiatorischen Mitteln erheblich verbessert werden:

  • IT-Sicherheit als Unternehmensphilosophie
  • Erarbeitung einer Sicherheitsleitlinie
  • Regelmäßige Mitarbeiter-Schulungen und Geheimhaltungspflicht
  • Erstellung eines Notfallplans
  • E-Mail-Richtlinien
  • Verhaltenscodex für Soziale Medien
  • Umgang mit Passwörtern
  • Nutzung mobiler Endgeräte
  • Nutzung von externen Speichermedien (USB-Sticks, SD-Karten, HDD-Festplatten) und Cloud-Diensten
  • Sicherung von Geschäftsräumen und Unterlagen
  • Regelmäßige Software-Updates
  • Regelmäßige Datensicherungen

Cyber-Security für kleine und mittlere Unternehmen (KMU)

Viele Unternehmen des deutschen Mittelstandes haben sich eine Position als Weltmarktführer erarbeitet – und werden damit zum lohnenden Ziel für Spione und Hacker. Moderne Produktionsanlagen haben heute meist eine Verbindung zum Internet, zum Beispiel für Fernwartung oder Prozessoptimierung. Das macht sie angreifbar. Aber auch auf organisatorischer Ebene gibt es Sicherheitslücken, etwa wenn Mitarbeiter auf Freigaben, Verzeichnisse und Dateien zugreifen können, die sie für ihre Arbeit gar nicht benötigen.

Wenn Daten gestohlen oder Produktionsanlagen sabotiert werden, könnte ein Angriff einen hohen Kostenaufwand für die Unternehmen bedeuten. Mangelnde Cyber-Security kostet rund 1,6 Prozent des Bruttoinlandsproduktes.

Die Richtlinie VdS 10000 „Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)“ bietet Hilfe zum Selbstschutz für ein vollständiges, pragmatisches Informationssicherheits-Managementsystem. Die aktuell gültige Richtlinie VdS 10000 ist im Dezember 2018 in Kraft getreten und ersetzt die Richtlinie VdS 3473 vom Juli 2015.

Normen und Vorschriften

Für die Informationssicherheit in Unternehmen gelten eine Reihe von Normen und Vorschriften:

Weiterführende Informationen

IT-Grundschutz - Bundesamt für Sicherheit in der Informationstechnik (BSI)

IT-Grundschutz

IT-Grundschutz - Bundesamt für Sicherheit in der Informationstechnik (BSI)Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den IT-Grundschutz entwickelt, um in deutschen Behörden und Unternehmen ein angemessenes und ausreichendes Schutzniveaus für IT-Systeme zu erreichen. Hierfür werden in den IT-Grundschutz-Katalogen technische Sicherheitsmaßnahmen und infrastrukturelle, organisatorische und personelle Schutzmaßnahmen beschrieben.

Weiterführende Informationen

IT-Grundschutz

Logo der Allianz für Cyber-Sicherheit vom BSI (png)

Allianz für Cyber-Sicherheit

Logo der Allianz für Cyber-Sicherheit vom BSI (png)Die Allianz für Cyber-Sicherheit will die Cyber-Sicherheit in Deutschland erhöhen und die Widerstandsfähigkeit des Standortes Deutschland gegenüber Cyber-Angriffen stärken. Sie richtet sich an Unternehmen mit Sitz in Deutschland und informiert regelmäßig über Maßnahmen zur IT-Sicherheit und aktuelle Gefahren für IT-Infrakstrukturen. Unternehmen und Institutionen können an der Allianz teilnehmen. Der Allianz gehören derzeit mehr als 1.200 teilnehmende Institutionen an.

Die Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) gegründet wurde und ist ein Zusammenschluss aller wichtigen Akteure im Bereich der Cyber-Sicherheit in Deutschland. Die Allianz für Cyber-Sicherheit baut hierfür eine umfangreiche Wissensbasis auf und unterstützt den Informations- und Erfahrungsaustausch.

Informationspool

Die Bereitstellung von Informationen und Hilfestellungen zu den vielfältigen Themenbereichen der Cyber-Sicherheit ist eines der wesentlichen Ziele der Allianz für Cyber-Sicherheit. In dem Informationspool wird eine stetig wachsende Sammlung von Empfehlungen und anderen Publikationen sowie aktuelle Informationen zur Cyber-Sicherheitslage veröffentlicht. Die kostenfreien Inhalte werden durch die Partner der Allianz und das BSI erstellt und bei Bedarf aktualisiert.

Weiter zum Informationspool…

Cyber-Sicherheitstage

Der persönliche Erfahrungsaustausch zwischen den Teilnehmern und Partnern auf den „Cyber-Sicherheitstagen“ ist einer der Schwerpunkte der Allianz für Cyber-Sicherheit. In vertraulichem Rahmen kann sich hier in regelmäßigen Abständen getroffen werden. Experten zum Thema Cyber-Sicherheit erhalten die Möglichkeit, ihre Erfahrungen untereinander auszutauschen und zu teilen. Die Teilnahme ist kostenlos. Die Plätze sind begrenzt.

Weiter zu den Cyber-Sicherheits-Tagen für Teilnehmer…

Information zur Registrierung

Die Teilnahme an Allianz für Cyber-Sicherheit kann grundsätzlich durch jede deutsche Institution beantragt werden. Die Teilnahme erfolgt auf freiwilliger Basis und ist kostenlos. Voraussetzung für die Aufnahme in die Allianz für Cyber-Sicherheit ist, dass es sich bei dem Interessenten um eine deutsche Institution (Unternehmen, Behörde, Forschungseinrichtung, Unternehmen, etc.) handelt und ein Ansprechpartner benannt wird, der die Institution gegenüber der Allianz für Cyber-Sicherheit repräsentiert.

Weiter zur Registrierung…

Kontakt zur Geschäftsstelle

Geschäftsstelle Allianz für Cyber-Sicherheit
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Godesberger Allee 185-189
53175 Bonn
Telefon:0800 2741000
Fax: 022899 109582 6050
E-Mail info@cyber-allianz.de
www.cyber-allianz.de

Weiterführende Informationen

Allianz für Cyber-Sicherheit, IT-Sicherheit, Sicherheitstage, Angriff, Schutz

Unternehmenssicherheit

Unternehmenssicherheit

Weiterführende Kontakte

Unternehmenssicherheit, Betriebssicherheit, Datenschutz, Arbeitsschutz, Arbeitssicherheit, Brandschutz, IT-Sicherheit, Cyber Security, Informationssicherheit