Schlagwortarchiv für: IT-Sicherheit

Die neue NIS-2-Richtlinie

NIS-2-Richtlinie

Die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) stellt Auflagen bei der Cybersicherheit für bestimmte Unternehmen auf. Ob der eigene Betrieb von der Regelung betroffen ist, ist im Einzelfall abzuschätzen. Grundsätzlich gilt, dass Unternehmen ab 50 Beschäftigten oder Unternehmen mit einem Jahresumsatz und einer Jahresbilanzsumme von mindestens zehn Millionen Euro direkt betroffen sind, sofern sie einem kritischen Sektor, wie Energie oder Chemiehandel, zugeordnet werden.

Betroffene Unternehmen haben voraussichtlich Risikomanagementmaßnahmen durchzuführen, welche Sicherheitsvorfälle auf ihre Dienste vermeiden sollen. Außerdem sind sie bei Kenntniserlangung eines erheblichen Sicherheitsvorfalls verpflichtet, diesen innerhalb konkreter Fristen über einen staatlich eingerichteten Meldeweg zu übermitteln. Weil diese Unternehmen auch zur Sorgfalt für ihre IT-Lieferkette verpflichtet werden, bezieht der Rechtsrahmen indirekt weitere Betriebe mit ein, darunter oftmals kleine und mittlere Unternehmen.

Die EU-Richtlinie ist bis Oktober 2024 in deutsches Recht zu überführen. Bis dahin sind Änderungen am bisherigen Referentenentwurf möglich. Um Planungsunsicherheiten für Unternehmen auszuräumen, wird daher zu einer zeitnahen Schaffung von Rechtsklarheit und Bereitstellung von Informationsangeboten geraten.

Autor: Patrick Schönowski, Referent für den Fachbereich Digitalisierung, Deutscher Mittelstands-Bund (DMB) e.V.

Weitere Informationen

GEG und Planungspraxis im neuen Planerbrief Nr. 47

Deutsche Gesellschaft für wirtschaftliche Zusammenarbeit (DGWZ)
Pressemitteilung Nr. 2024-11 vom
13. Mai 2024

Zum 1. Mai 2024 ist der neue Planerbrief Nr. 47 der Deutschen Gesellschaft für wirtschaftliche Zusammenarbeit (DGWZ) erschienen. Im Editorial gibt Gastautorin Andrea Gebhard, Präsidentin der Bundesarchitektenkammer, einen Ausblick darauf, wie sich das Gebäudeenergiegesetz (GEG) auf die Planungspraxis auswirkt.

Weitere Themen in diesem Planerbrief sind baulicher Brandschutz nach Gebäudeklassen, Lastenmanagement in Unternehmen, IT-Sicherheit im Handwerk, Feuerwehraufzüge und Krisenmanagement in kommunalen Verwaltungen. Der Beitrag über Gebäudeklassen erläutert, nach welchen Kriterien die Musterbauordnung (MBO) Gebäude in Klassen einteilt und welche Anforderungen sich daraus für den Brandschutz ergeben. Ein weiterer Beitrag stellt Lösungen zur Vermeidung von Netzüberlastungen beim gleichzeitigen Laden mehrerer E-Autos im Unternehmen vor. Autor Andreas Hoffmann vom Mittelstand-Digital Zentrum Handwerk gibt Tipps, wie sich Handwerksbetriebe gegen Hackerangriffe rüsten können. Ein anderer Beitrag klärt die Frage nach der Prüfpflicht von Feuerwehraufzügen in hohen Gebäuden und Sonderbauten. Darüber hinaus wird über Umfang und Inhalt des neuen DGWZ-Seminars „Krisenmanagement in der öffentlichen Verwaltung“ berichtet, in dem die Teilnehmer das Fachwissen über das Zusammenspiel von organisatorischem, baulichem und technischem Schutz erlernen.

Mit dem Planerbrief informiert die DGWZ alle zwei Monate unabhängig und neutral über neue Vorschriften, Technologien und Veranstaltungen zu Planung, Errichtung und Betrieb von Technischer Gebäudeausrüstung (TGA). Der nächste Planerbrief Nr. 48 erscheint am 1. Juli 2024. Der Planerbrief kann kostenlos auf der Website www.planerbrief.de abonniert und heruntergeladen werden.

1.727 Zeichen (mit Leerzeichen), zur freien Verwendung, Beleg erbeten

Über die DGWZ

Die Deutsche Gesellschaft für wirtschaftliche Zusammenarbeit (DGWZ) setzt sich branchenübergreifend für Unternehmen in Deutschland ein, veröffentlicht neutrale Fachinformationen und bietet bundesweit Seminare zu Normen, Richtlinien und Vorschriften für die berufliche Weiterbildung an. Die DGWZ hat ihren Sitz in Bad Homburg und wurde 2013 gegründet.

Ansprechpartner
Dr. Barbara Löchte
Deutsche Gesellschaft für wirtschaftliche Zusammenarbeit mbH
Louisenstraße 120
61348 Bad Homburg v. d. Höhe
Telefon  06172 98185-30
Telefax   06172 98185-99
presse@dgwz.de
www.dgwz.de/presse

Tweet-Vorschlag
GEG und Planungspraxis sind Thema im neuen Planerbrief Nr. 47 der DGWZ vom Mai 2024. www.planerbrief.de

Download
www.dgwz.de/neuer-planerbrief-47

Bildquelle: DGWZ
Bildunterschrift: GEG und Planungspraxis sind Thema im neuen Planerbrief Nr. 47 der DGWZ vom Mai 2024.

Weiterführende Informationen
www.planerbrief.de

Cybersicherheit: Angriffe im Handwerk

Cybersicherheit: Angriffe aufs Handwerk

Viele Handwerker denken immer noch, ihr Betrieb sei viel zu klein, um das Interesse von Hackern auf sich zu ziehen. Dies ist ein großer Irrtum. Inzwischen werden auch kleinere Betriebe regelmäßig Opfer von Cyberattacken mittels Schadsoftware. Neben wirkungsvollen Schutzmaßnahmen sind auch Vorkehrungen für den Notfall essenziell. Die Frage ist längst nicht mehr „ob“, sondern „wann“ der Angriff kommt.

Es sind nicht mehr einzelne Hacker, die einen einzelnen Betrieb ins Visier nehmen. Stattdessen zielen automatisierte Angriffswellen darauf ab, die IT-Systeme einer Vielzahl von Betrieben gleichzeitig auf Schwachstellen zu testen. Gelingt der Angriff, ist der Schaden oft verheerend. Datenverschlüsselung, Datendiebstahl oder Erpressung können existenzbedrohend sein. Laut BSI werden monatlich 2.000 neue Software-Schwachstellen identifiziert und täglich 250.000 neue Schadprogramme entdeckt.

Betriebe sollten Zeit und Ressourcen investieren, um die Angriffsfläche zu reduzieren und die Kronjuwelen wie sensible Kunden- und Unternehmensdaten zu schützen. Viele Angriffe können verhindert werden, indem man Systeme absichert und Mitarbeiter schult. Ein hundertprozentiger Schutz ist hier allerdings nicht möglich. Daher sollte man für den Ernstfall ein Notfallkonzept und Backups vorhalten. Das ermöglicht ein schnelles und gezieltes Handeln.

Autor: Stephan Blank, Konsortialleiter, Mittelstand-Digital Zentrum Handwerk und Referatsleiter Digitalisierung, Zentralverband des Deutschen Handwerks e.V. (ZDH)

Cybersicherheit: Angriffe im Handwerk

Weitere Informationen

KI-Systeme: Chancen nutzen, Risiken kennen

Künstliche Intelligenz (KI) ist zweifelsfrei eine bahnbrechende Erfindung, doch wir müssen uns frühzeitig mit den Risiken beschäftigen. Die Einsatzgebiete von KI sind vielfältig – und natürlich loten auch Cyberkriminelle aus, welche neuen Möglichkeiten die Technologie bietet. So lassen sich etwa gängige Angriffsvektoren wie Phishing oder Malware durch Automatisierung unterstützen. Umgekehrt hilft KI aber auch in der Verteidigung: So kann sie bei der proaktiven Suche nach Sicherheitslücken unterstützen, die Beschaffenheit von Angriffsvektoren erlernen und durch prädiktive Analyse Sicherheitsvorfälle prognostizieren und abwehren.

Doch auch die Technologie selbst kann zum Ziel von Cyberangriffen werden: Wer verstanden hat, wie ein Algorithmus funktioniert, findet auch Möglichkeiten, ihn zu beeinflussen. Zudem bilden die Daten, aus denen die KI lernt, einen Angriffspunkt. Wenn es Hackern gelingt, die Trainingsdaten zu manipulieren oder das System mit falschen Informationen zu füttern, können sie das Lernverhalten der KI steuern und Fehlfunktionen provozieren.

Rund um KI kommen also völlig neue Angriffsszenarien auf uns zu, bei denen etablierte Security-Tools und Best Practices nicht greifen. Dieses Feld gilt es nun zu adressieren. Der wichtigste Schritt dafür ist, zunächst überhaupt ein Bewusstsein für Chancen und Risiken von KI-Systemen zu schaffen.

Autor: Wolfgang Kurz, Geschäftsführer und Gründer, indevis IT-Consulting and Solutions GmbH

Weitere Informationen

KRITIS-Dachgesetz: Mehr physische Sicherheit

KRITIS-Dachgesetz: Mehr physische Sicherheit

Das KRITIS-Dachgesetz bietet zahlreiche Möglichkeiten und Chancen für die Sicherheit kritischer Infrastrukturen in Deutschland. Lange Zeit lag der Fokus auf der IT-Sicherheit. Im Bereich der physischen Absicherung klaffte eine Lücke. Das neue KRITIS-Dachgesetz soll diese Lücke füllen und bildet eine Ergänzung zu den bestehenden Regelungen im Bereich Cybersicherheit. Zudem verpflichtet es Betreiber von KRITIS-Einrichtungen dazu, auch ein Mindestniveau an physischer Sicherheit zu gewährleisten.

Zentrale Inhalte dabei sind die klare Definition und Abgrenzung der KRITIS-Bereiche, verpflichtende Risikobewertungen, Mindeststandards für Betreiber sowie ein zentrales Störungsmonitoring. Wichtig hierbei ist die Schaffung sektorübergreifender Regelungen, um die Hindernisse für Zusammenarbeit und Austausch zu minimieren. Die sektorübergreifenden Auswirkungen der vergangenen Krisen und Katastrophen haben gezeigt, dass in einer vernetzten Welt mit starken Abhängigkeiten zahlreiche Schnittstellen und Interdependenzen nicht vernachlässigt werden dürfen.

Das KRITIS-Dachgesetz bietet eine wichtige Grundlage für eine sichere und stabile kritische Infrastruktur in Deutschland. Betreiber müssen die Vorgaben des Gesetzes ernst nehmen und in enger Zusammenarbeit mit den Behörden arbeiten, um die Sicherheit zu gewährleisten und Störungen schnell und effektiv zu beheben.

Autor: Prof. Dr. Clemens Gause, Geschäftsführer, Verband für Sicherheitstechnik e.V.

Weitere Informationen

IT-Sicherheit weiter gefährdet

BSI-Lagebericht zur Cybersicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den IT-Lagebericht 2022 veröffentlicht. Aus diesem geht hervor, dass sich die Gefährdungslage im Cyber-Raum von Juni 2021 bis Mai 2022 weiter zugespitzt hat. Die Gründe für die hohe Bedrohungslage sind anhaltende Aktivitäten im Bereich der Cyber-Kriminalität, Cyber-Angriffe im Kontext des russischen Angriffs auf die Ukraine und auch in vielen Fällen eine unzureichende Produktqualität von IT- und Software-Produkten.

Jede Schwachstelle in Soft- oder Hardware-Produkten ist ein potenzielles Einfallstor für Angreifer und gefährdet die Informationssicherheit in Verwaltung, Wirtschaft und Gesellschaft. So wurden im Jahr 2021 über 20.000 Schwachstellen in Software-Produkten registriert. Das entspricht einem Zuwachs von 10 Prozent gegenüber dem Vorjahr.

Ransomware-Angriffe, also Cyber-Angriffe auf Unternehmen, Universitäten und Behörden, mit dem Ziel, Lösegeld zu erpressen, gilt aktuell als größte Bedrohung im Cyber-Bereich. Hier ist es im Berichtszeitraum zu mehreren Ransomware-Vorfällen gekommen bei denen Kommunen in Deutschland angegriffen wurden. Zum ersten Mal in der deutschen Geschichte wurde in Folge eines Cyber-Angriffs von der betroffenen Kommune der Katastrophenfall ausgerufen.

Mit seinem Bericht zur Lage der IT-Sicherheit in Deutschland legt das BSI als die Cyber-Sicherheitsbehörde des Bundes jährlich einen umfassenden Überblick über die Bedrohungen im Cyber-Raum vor.

Weitere Informationen

Neue BSI-Broschüre zur Cyber-Sicherheit für KMU

Neue BSI-Broschüre zur Cyber-Sicherheit für KMU

Kleine und mittlere Unternehmen (KMU) sind einem erhöhten Risiko ausgesetzt, Opfer von Cyber-Sicherheitsvorfällen zu werden, da sie selten über ein eigenes IT-Team verfügen und das Knowhow zum Thema IT-Sicherheit innerhalb der KMU begrenzt ist. Daher hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im September eine neue Publikation zur “Cyber-Sicherheit für kleine und mittlere Unternehmen (KMU)“ veröffentlicht. Die Broschüre bietet KMU einen leicht verständlichen Einstieg, um ihr Cyber-Sicherheitsniveau zu verbessern und sich so besser vor Cyber-Angriffen zu schützen.

Anhand von 14 Fragen werden die wichtigsten Grundlagen der IT-Sicherheit erläutert. Die Broschüre informiert unter anderem darüber, wer für die Informationssicherheit im Unternehmen verantwortlich ist, warum Patches und Updates regelmäßig installiert werden sollten, warum ein Virenschutzprogramm notwendig ist und eine Datensicherung so wichtig ist. Am Ende der Lektüre werden KMU wissen, was sie im Unternehmen selbst umsetzen können und welche Aufgaben an externe IT-Dienstleister zu vergeben sind.

Weitere Informationen

Vor Hackerangriffen schützen

Vor Hackerangriffen schützen

Moderne Aufzüge können Gegenstand von Hackerangriffen werden. Die Aufzüge werden durch Sensoren überwacht und sind per Internet oder Mobiltelefonnetz mit der Außenwelt verbunden. Wartungsfirmen überwachen online, ob der Aufzug ordnungsgemäß funktioniert und starten die Software bei technischen Problemen über das Internet neu.

Diesen Weg können auch Cyberkriminelle nutzen, um sich Zugang zum System zu verschaffen oder den Aufzug von außen zu steuern. Im schlimmsten Fall könnte auf die gesamte technische Gebäudeausrüstung zugegriffen werden. Daher sollten Aufzugsanlagen von der Haustechnik abgekoppelt sein und in das Sicherheitskonzept des Betreibers integriert werden.

Autor: Ulf Theike, Chief Digital Officer in der Geschäftsführung, TÜV NORD Systems

Weitere Informationen

Vernetzte Sicherheit im Smart Building

Die Vernetzung sicherheitstechnischer Systeme untereinander sowie mit anderen gebäudetechnischen Anlagen bietet heute eine Vielzahl an Möglichkeiten. Noch Zukunftsmusik sind denkbare Szenarien: Gebäudenutzer mit Mobilgeräten oder anderen vernetzten „Wearables“ erhalten im Gefahrenfall eine personalisierte Warnung, und das mit der Gebäudeautomatisierung verbundene Smartphone weist mittels Navigation den Fluchtweg aus dem Gebäude. Ein adaptives Fluchtweglenkungssystem wertet die Informationen der vernetzten Mobilgeräte aus und vermeidet durch intelligentes Umsteuern gefährliche Stauungen in den Fluchtwegen. Die kombinierte Nutzung von Sensoren sicherheits- und gebäudetechnischer Systeme eröffnet Optionen für zusätzliche Funktionalitäten: So liefern Bewegungsmelder einer Einbruchmeldeanlage und Temperatursensoren von Brandmeldern gemeinsam wertvolle Daten, die zur Lüftungssteuerung eines Gebäudes genutzt werden können. Voraussetzung für das problemlose Funktionieren der verschiedenen Technologien ist eine Gewerke-übergreifende digitale Planung, universelle Standards für alle an der Konzeption und dem Betrieb Beteiligten, hohe IT-Sicherheit und ein guter Datenschutz. Die Komplexität der künftigen Anforderungen schon heute zu überblicken, ist ein Erfolgsfaktor für alle gebäudebezogen arbeitenden Experten.

Autor: Iris Jeglitza-Moshage, Geschäftsleitung, Messe Frankfurt GmbH

Weitere Informationen

Keine Chance für Hacker!

Viele Unternehmen des deutschen Mittelstandes haben sich eine Position als Weltmarktführer erarbeitet – und werden damit zum lohnenden Ziel für Spione, Hacker und Cracker. Moderne Produktionsanlagen haben heute meist eine Verbindung zum Internet, zum Beispiel für Fernwartung oder Prozessoptimierung. Das macht sie angreifbar. Aber auch auf organisatorischer Ebene gibt es Sicherheitslücken, etwa wenn Mitarbeiter auf Freigaben, Verzeichnisse und Dateien zugreifen können, die sie für ihre Arbeit gar nicht benötigen.

Wenn Daten gestohlen oder Produktionsanlagen lahmgelegt werden, kann ein Angriff teuer werden. Traurig aber wahr: Mangelnde Cyber-Security kostet uns 1,6 Prozent des Bruttoinlandsproduktes. VdS Schadenverhütung hat deshalb vor kurzem Richtlinien für ein vollständiges, pragmatisches Informationssicherheits-Managementsystem veröffentlicht. Diese Richtlinien richten sich vor allem an den Mittelstand – der hierzulande mehr als 99 Prozent aller umsatzsteuerpflichtigen Unternehmen ausmacht.

Hilfe zum Selbstschutz gibt es in den Richtlinien VdS 3473 „Cyber-Security für kleine und mittlere Unternehmen (KMU)“. Wer ganz auf Nummer sicher gehen will, sollte sich die nach VdS 3473 umgesetzte Informationssicherheit in seinem Betrieb zertifizieren lassen.

Nutzen Sie diese Möglichkeiten – und geben Sie Kriminellen keine Chance!

Autor: Thomas Urban, Geschäftsführer, VdS Schadenverhütung GmbH

Weitere Informationen