Schlagwortarchiv für: IT-Sicherheit

Besserer Schutz für KMU vor Cyberangriffen und BEC-Scams

Besserer Schutz für KMU vor Cyberangriffen

Ohne E-Mails läuft auch bei kleinen und mittleren Unternehmen (KMU) heutzutage nichts mehr. Deshalb sind sie ein attraktives Angriffswerkzeug für Cyber-Kriminelle. Angriffe über E-Mail, die als „Business-E-Mail-Compromise“ (BEC-Scam) bezeichnet werden, haben in den vergangenen Jahren stark zugenommen.

Besonders prominent ist der sogenannte CEO-Fraud (Geschäftsführer-Betrug). Dabei geben sich Angreifer als hochrangige Mitarbeiter eines Unternehmens aus und veranlassen Angestellte dazu, Geld etwa auf ausländische Konten zu überweisen. Oftmals werden von Angreifern auch E-Mail-Konten eines Unternehmens übernommen. Bei dort eingehenden Lieferantenrechnungen wird dann die Bankverbindung durch die Angreifer ausgetauscht und das Unternehmen überweist nichtsahnend den Rechnungsbetrag an die Betrüger. Allgegenwärtig sind Verschlüsselungstrojaner, mit denen Angreifer zunächst Daten kopieren und ausleiten und dann die Opfersysteme verschlüsseln (Ransomware). Das schafft ein Druckmittel, um ein Unternehmen zu erpressen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt deshalb den CyberRisikoCheck nach DIN SPEC 27076.

Autor: Manuel Bach, Referatsleiter Cybersicherheit bei KMU, Bundesamt für Sicherheit in der Informationstechnik (BSI)

Weitere Informationen

 

Die neue NIS-2-Richtlinie

NIS-2-Richtlinie

Die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) stellt Auflagen bei der Cybersicherheit für bestimmte Unternehmen auf. Ob der eigene Betrieb von der Regelung betroffen ist, ist im Einzelfall abzuschätzen. Grundsätzlich gilt, dass Unternehmen ab 50 Beschäftigten oder Unternehmen mit einem Jahresumsatz und einer Jahresbilanzsumme von mindestens zehn Millionen Euro direkt betroffen sind, sofern sie einem kritischen Sektor, wie Energie oder Chemiehandel, zugeordnet werden.

Betroffene Unternehmen haben voraussichtlich Risikomanagementmaßnahmen durchzuführen, welche Sicherheitsvorfälle auf ihre Dienste vermeiden sollen. Außerdem sind sie bei Kenntniserlangung eines erheblichen Sicherheitsvorfalls verpflichtet, diesen innerhalb konkreter Fristen über einen staatlich eingerichteten Meldeweg zu übermitteln. Weil diese Unternehmen auch zur Sorgfalt für ihre IT-Lieferkette verpflichtet werden, bezieht der Rechtsrahmen indirekt weitere Betriebe mit ein, darunter oftmals kleine und mittlere Unternehmen.

Die EU-Richtlinie ist bis Oktober 2024 in deutsches Recht zu überführen. Bis dahin sind Änderungen am bisherigen Referentenentwurf möglich. Um Planungsunsicherheiten für Unternehmen auszuräumen, wird daher zu einer zeitnahen Schaffung von Rechtsklarheit und Bereitstellung von Informationsangeboten geraten.

Autor: Patrick Schönowski, Referent für den Fachbereich Digitalisierung, Deutscher Mittelstands-Bund (DMB) e.V.

Weitere Informationen

GEG und Planungspraxis im neuen Planerbrief Nr. 47

Deutsche Gesellschaft für wirtschaftliche Zusammenarbeit (DGWZ)
Pressemitteilung Nr. 2024-11 vom
13. Mai 2024

Zum 1. Mai 2024 ist der neue Planerbrief Nr. 47 der Deutschen Gesellschaft für wirtschaftliche Zusammenarbeit (DGWZ) erschienen. Im Editorial gibt Gastautorin Andrea Gebhard, Präsidentin der Bundesarchitektenkammer, einen Ausblick darauf, wie sich das Gebäudeenergiegesetz (GEG) auf die Planungspraxis auswirkt.

Weitere Themen in diesem Planerbrief sind baulicher Brandschutz nach Gebäudeklassen, Lastenmanagement in Unternehmen, IT-Sicherheit im Handwerk, Feuerwehraufzüge und Krisenmanagement in kommunalen Verwaltungen. Der Beitrag über Gebäudeklassen erläutert, nach welchen Kriterien die Musterbauordnung (MBO) Gebäude in Klassen einteilt und welche Anforderungen sich daraus für den Brandschutz ergeben. Ein weiterer Beitrag stellt Lösungen zur Vermeidung von Netzüberlastungen beim gleichzeitigen Laden mehrerer E-Autos im Unternehmen vor. Autor Andreas Hoffmann vom Mittelstand-Digital Zentrum Handwerk gibt Tipps, wie sich Handwerksbetriebe gegen Hackerangriffe rüsten können. Ein anderer Beitrag klärt die Frage nach der Prüfpflicht von Feuerwehraufzügen in hohen Gebäuden und Sonderbauten. Darüber hinaus wird über Umfang und Inhalt des neuen DGWZ-Seminars „Krisenmanagement in der öffentlichen Verwaltung“ berichtet, in dem die Teilnehmer das Fachwissen über das Zusammenspiel von organisatorischem, baulichem und technischem Schutz erlernen.

Mit dem Planerbrief informiert die DGWZ alle zwei Monate unabhängig und neutral über neue Vorschriften, Technologien und Veranstaltungen zu Planung, Errichtung und Betrieb von Technischer Gebäudeausrüstung (TGA). Der nächste Planerbrief Nr. 48 erscheint am 1. Juli 2024. Der Planerbrief kann kostenlos auf der Website www.planerbrief.de abonniert und heruntergeladen werden.

1.727 Zeichen (mit Leerzeichen), zur freien Verwendung, Beleg erbeten

Über die DGWZ

Die Deutsche Gesellschaft für wirtschaftliche Zusammenarbeit (DGWZ) setzt sich branchenübergreifend für Unternehmen in Deutschland ein, veröffentlicht neutrale Fachinformationen und bietet bundesweit Seminare zu Normen, Richtlinien und Vorschriften für die berufliche Weiterbildung an. Die DGWZ hat ihren Sitz in Bad Homburg und wurde 2013 gegründet.

Ansprechpartner
Dr. Barbara Löchte
Deutsche Gesellschaft für wirtschaftliche Zusammenarbeit mbH
Louisenstraße 120
61348 Bad Homburg v. d. Höhe
Telefon  06172 98185-30
Telefax   06172 98185-99
presse@dgwz.de
www.dgwz.de/presse

Tweet-Vorschlag
GEG und Planungspraxis sind Thema im neuen Planerbrief Nr. 47 der DGWZ vom Mai 2024. www.planerbrief.de

Download
www.dgwz.de/neuer-planerbrief-47

Bildquelle: DGWZ
Bildunterschrift: GEG und Planungspraxis sind Thema im neuen Planerbrief Nr. 47 der DGWZ vom Mai 2024.

Weiterführende Informationen
www.planerbrief.de

Cybersicherheit: Angriffe im Handwerk

Cybersicherheit: Angriffe aufs Handwerk

Viele Handwerker denken immer noch, ihr Betrieb sei viel zu klein, um das Interesse von Hackern auf sich zu ziehen. Dies ist ein großer Irrtum. Inzwischen werden auch kleinere Betriebe regelmäßig Opfer von Cyberattacken mittels Schadsoftware. Neben wirkungsvollen Schutzmaßnahmen sind auch Vorkehrungen für den Notfall essenziell. Die Frage ist längst nicht mehr „ob“, sondern „wann“ der Angriff kommt.

Es sind nicht mehr einzelne Hacker, die einen einzelnen Betrieb ins Visier nehmen. Stattdessen zielen automatisierte Angriffswellen darauf ab, die IT-Systeme einer Vielzahl von Betrieben gleichzeitig auf Schwachstellen zu testen. Gelingt der Angriff, ist der Schaden oft verheerend. Datenverschlüsselung, Datendiebstahl oder Erpressung können existenzbedrohend sein. Laut BSI werden monatlich 2.000 neue Software-Schwachstellen identifiziert und täglich 250.000 neue Schadprogramme entdeckt.

Betriebe sollten Zeit und Ressourcen investieren, um die Angriffsfläche zu reduzieren und die Kronjuwelen wie sensible Kunden- und Unternehmensdaten zu schützen. Viele Angriffe können verhindert werden, indem man Systeme absichert und Mitarbeiter schult. Ein hundertprozentiger Schutz ist hier allerdings nicht möglich. Daher sollte man für den Ernstfall ein Notfallkonzept und Backups vorhalten. Das ermöglicht ein schnelles und gezieltes Handeln.

Autor: Stephan Blank, Konsortialleiter, Mittelstand-Digital Zentrum Handwerk und Referatsleiter Digitalisierung, Zentralverband des Deutschen Handwerks e.V. (ZDH)

Cybersicherheit: Angriffe im Handwerk

Weitere Informationen

KI-Systeme: Chancen nutzen, Risiken kennen

Künstliche Intelligenz (KI) ist zweifelsfrei eine bahnbrechende Erfindung, doch wir müssen uns frühzeitig mit den Risiken beschäftigen. Die Einsatzgebiete von KI sind vielfältig – und natürlich loten auch Cyberkriminelle aus, welche neuen Möglichkeiten die Technologie bietet. So lassen sich etwa gängige Angriffsvektoren wie Phishing oder Malware durch Automatisierung unterstützen. Umgekehrt hilft KI aber auch in der Verteidigung: So kann sie bei der proaktiven Suche nach Sicherheitslücken unterstützen, die Beschaffenheit von Angriffsvektoren erlernen und durch prädiktive Analyse Sicherheitsvorfälle prognostizieren und abwehren.

Doch auch die Technologie selbst kann zum Ziel von Cyberangriffen werden: Wer verstanden hat, wie ein Algorithmus funktioniert, findet auch Möglichkeiten, ihn zu beeinflussen. Zudem bilden die Daten, aus denen die KI lernt, einen Angriffspunkt. Wenn es Hackern gelingt, die Trainingsdaten zu manipulieren oder das System mit falschen Informationen zu füttern, können sie das Lernverhalten der KI steuern und Fehlfunktionen provozieren.

Rund um KI kommen also völlig neue Angriffsszenarien auf uns zu, bei denen etablierte Security-Tools und Best Practices nicht greifen. Dieses Feld gilt es nun zu adressieren. Der wichtigste Schritt dafür ist, zunächst überhaupt ein Bewusstsein für Chancen und Risiken von KI-Systemen zu schaffen.

Autor: Wolfgang Kurz, Geschäftsführer und Gründer, indevis IT-Consulting and Solutions GmbH

Weitere Informationen

KRITIS-Dachgesetz: Mehr physische Sicherheit

KRITIS-Dachgesetz: Mehr physische Sicherheit

Das KRITIS-Dachgesetz bietet zahlreiche Möglichkeiten und Chancen für die Sicherheit kritischer Infrastrukturen in Deutschland. Lange Zeit lag der Fokus auf der IT-Sicherheit. Im Bereich der physischen Absicherung klaffte eine Lücke. Das neue KRITIS-Dachgesetz soll diese Lücke füllen und bildet eine Ergänzung zu den bestehenden Regelungen im Bereich Cybersicherheit. Zudem verpflichtet es Betreiber von KRITIS-Einrichtungen dazu, auch ein Mindestniveau an physischer Sicherheit zu gewährleisten.

Zentrale Inhalte dabei sind die klare Definition und Abgrenzung der KRITIS-Bereiche, verpflichtende Risikobewertungen, Mindeststandards für Betreiber sowie ein zentrales Störungsmonitoring. Wichtig hierbei ist die Schaffung sektorübergreifender Regelungen, um die Hindernisse für Zusammenarbeit und Austausch zu minimieren. Die sektorübergreifenden Auswirkungen der vergangenen Krisen und Katastrophen haben gezeigt, dass in einer vernetzten Welt mit starken Abhängigkeiten zahlreiche Schnittstellen und Interdependenzen nicht vernachlässigt werden dürfen.

Das KRITIS-Dachgesetz bietet eine wichtige Grundlage für eine sichere und stabile kritische Infrastruktur in Deutschland. Betreiber müssen die Vorgaben des Gesetzes ernst nehmen und in enger Zusammenarbeit mit den Behörden arbeiten, um die Sicherheit zu gewährleisten und Störungen schnell und effektiv zu beheben.

Autor: Prof. Dr. Clemens Gause, Geschäftsführer, Verband für Sicherheitstechnik e.V.

Weitere Informationen

IT-Sicherheit weiter gefährdet

BSI-Lagebericht zur Cybersicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den IT-Lagebericht 2022 veröffentlicht. Aus diesem geht hervor, dass sich die Gefährdungslage im Cyber-Raum von Juni 2021 bis Mai 2022 weiter zugespitzt hat. Die Gründe für die hohe Bedrohungslage sind anhaltende Aktivitäten im Bereich der Cyber-Kriminalität, Cyber-Angriffe im Kontext des russischen Angriffs auf die Ukraine und auch in vielen Fällen eine unzureichende Produktqualität von IT- und Software-Produkten.

Jede Schwachstelle in Soft- oder Hardware-Produkten ist ein potenzielles Einfallstor für Angreifer und gefährdet die Informationssicherheit in Verwaltung, Wirtschaft und Gesellschaft. So wurden im Jahr 2021 über 20.000 Schwachstellen in Software-Produkten registriert. Das entspricht einem Zuwachs von 10 Prozent gegenüber dem Vorjahr.

Ransomware-Angriffe, also Cyber-Angriffe auf Unternehmen, Universitäten und Behörden, mit dem Ziel, Lösegeld zu erpressen, gilt aktuell als größte Bedrohung im Cyber-Bereich. Hier ist es im Berichtszeitraum zu mehreren Ransomware-Vorfällen gekommen bei denen Kommunen in Deutschland angegriffen wurden. Zum ersten Mal in der deutschen Geschichte wurde in Folge eines Cyber-Angriffs von der betroffenen Kommune der Katastrophenfall ausgerufen.

Mit seinem Bericht zur Lage der IT-Sicherheit in Deutschland legt das BSI als die Cyber-Sicherheitsbehörde des Bundes jährlich einen umfassenden Überblick über die Bedrohungen im Cyber-Raum vor.

Weitere Informationen

Neue BSI-Broschüre zur Cyber-Sicherheit für KMU

Neue BSI-Broschüre zur Cyber-Sicherheit für KMU

Kleine und mittlere Unternehmen (KMU) sind einem erhöhten Risiko ausgesetzt, Opfer von Cyber-Sicherheitsvorfällen zu werden, da sie selten über ein eigenes IT-Team verfügen und das Knowhow zum Thema IT-Sicherheit innerhalb der KMU begrenzt ist. Daher hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im September eine neue Publikation zur “Cyber-Sicherheit für kleine und mittlere Unternehmen (KMU)“ veröffentlicht. Die Broschüre bietet KMU einen leicht verständlichen Einstieg, um ihr Cyber-Sicherheitsniveau zu verbessern und sich so besser vor Cyber-Angriffen zu schützen.

Anhand von 14 Fragen werden die wichtigsten Grundlagen der IT-Sicherheit erläutert. Die Broschüre informiert unter anderem darüber, wer für die Informationssicherheit im Unternehmen verantwortlich ist, warum Patches und Updates regelmäßig installiert werden sollten, warum ein Virenschutzprogramm notwendig ist und eine Datensicherung so wichtig ist. Am Ende der Lektüre werden KMU wissen, was sie im Unternehmen selbst umsetzen können und welche Aufgaben an externe IT-Dienstleister zu vergeben sind.

Weitere Informationen

Vor Hackerangriffen schützen

Vor Hackerangriffen schützen

Moderne Aufzüge können Gegenstand von Hackerangriffen werden. Die Aufzüge werden durch Sensoren überwacht und sind per Internet oder Mobiltelefonnetz mit der Außenwelt verbunden. Wartungsfirmen überwachen online, ob der Aufzug ordnungsgemäß funktioniert und starten die Software bei technischen Problemen über das Internet neu.

Diesen Weg können auch Cyberkriminelle nutzen, um sich Zugang zum System zu verschaffen oder den Aufzug von außen zu steuern. Im schlimmsten Fall könnte auf die gesamte technische Gebäudeausrüstung zugegriffen werden. Daher sollten Aufzugsanlagen von der Haustechnik abgekoppelt sein und in das Sicherheitskonzept des Betreibers integriert werden.

Autor: Ulf Theike, Chief Digital Officer in der Geschäftsführung, TÜV NORD Systems

Weitere Informationen

Vernetzte Sicherheit im Smart Building

Die Vernetzung sicherheitstechnischer Systeme untereinander sowie mit anderen gebäudetechnischen Anlagen bietet heute eine Vielzahl an Möglichkeiten. Noch Zukunftsmusik sind denkbare Szenarien: Gebäudenutzer mit Mobilgeräten oder anderen vernetzten „Wearables“ erhalten im Gefahrenfall eine personalisierte Warnung, und das mit der Gebäudeautomatisierung verbundene Smartphone weist mittels Navigation den Fluchtweg aus dem Gebäude. Ein adaptives Fluchtweglenkungssystem wertet die Informationen der vernetzten Mobilgeräte aus und vermeidet durch intelligentes Umsteuern gefährliche Stauungen in den Fluchtwegen. Die kombinierte Nutzung von Sensoren sicherheits- und gebäudetechnischer Systeme eröffnet Optionen für zusätzliche Funktionalitäten: So liefern Bewegungsmelder einer Einbruchmeldeanlage und Temperatursensoren von Brandmeldern gemeinsam wertvolle Daten, die zur Lüftungssteuerung eines Gebäudes genutzt werden können. Voraussetzung für das problemlose Funktionieren der verschiedenen Technologien ist eine Gewerke-übergreifende digitale Planung, universelle Standards für alle an der Konzeption und dem Betrieb Beteiligten, hohe IT-Sicherheit und ein guter Datenschutz. Die Komplexität der künftigen Anforderungen schon heute zu überblicken, ist ein Erfolgsfaktor für alle gebäudebezogen arbeitenden Experten.

Autor: Iris Jeglitza-Moshage, Geschäftsleitung, Messe Frankfurt GmbH

Weitere Informationen