Lesedauer: 1 Minute

Ob Diesel und Benzin, Strom, Gas, Lebensmittel oder das Porto bei der Post: 2022 hat bereits mit Preissteigerungen begonnen und dieser Trend wird – Prognosen von Wirtschaftsforschern zufolge – weiter anhalten. Wir wirken diesem Preistrend entgegen – und verzichten in diesem Jahr auf Preiserhöhungen.

Warum wird in Deutschland alles teurer?

Inflation ist das Wort der Stunde. Die Corona-Pandemie ist noch nicht beendet, da artet der Ukraine-Konflikt aus und Affenpocken statten uns einen Besuch mit ungewisser Dauer ab.

Nach der Krise ist also vor der Krise, die Wirtschaft befindet sich seit über zwei Jahren im Ausnahmezustand. Keine leichte Situation. Und ein Ende ist nicht absehbar – Rohstoffe werden knapp, Lieferketten reißen ab… in der Folge wird dann eben (so gut wie) alles teuer.

Wir alle spüren es bereits im Geldbeutel: Stromrechnungen fallen höher aus, für den Wocheneinkauf müssen Sie immer tiefer in die Tasche greifen, ein Kinobesuch für die Familie kostet plötzlich 100 Euro und vom Tanken fangen wir erst gar nicht an…

Gegenüber dem Vorjahresmonat stiegen die Verbraucherpreise in Deutschland im März 2022 um 7,3 Prozent – so stark, wie dies seit rund 40 Jahren nicht mehr passiert ist (Quelle: tagesschau.de). In diesem Zusammenhang ein Tipp für alle, die es genauer wissen wollen: Auf der Website destatis.de des Statistischen Bundesamtes findet man jede Menge Fakten und aufschlussreiche Grafiken.

Verantwortlich für die seit dem Sommer 2021 stark ansteigenden Inflationsraten sind wie bereits erwähnt in erster Linie die Corona-Pandemie und die damit einhergehenden Effekte auf die Wirtschaft sowie die Senkung der Mehrwertsteuer. Verglichen mit 2021 sind – zusätzlich verstärkt durch den Krieg zwischen Russland und der Ukraine – die Preise für Rohstoffe und Mineralöl rapide gestiegen. Das macht sich sowohl in Privathaushalten als auch bei Firmen bemerkbar.

Um die Verdienstausfälle der letzten Monate und die gleichzeitig steigenden Kosten kompensieren zu können, erhöhen viele Unternehmen derzeit ihre Preise: Der Mitgliedsbeitrag im Fitnessstudio wird erhöht, Restaurants ziehen ihre Preise stark an und Dienstleister schrauben ihre Stundenlöhne nach oben – um nur einige Bespiele zu nennen.

Keine Preissteigerung bei Schneider + Wulf?

Wir wollen der aktuellen Preisentwicklung so gut es geht entgegenwirken und unsere Kunden im Rahmen unserer Möglichkeiten entlasten. Deshalb gilt:

Schneider + Wulf wird im Jahr 2022 auf Preiserhöhungen verzichten.

Davon ausnehmen müssen wir leider Lösungen und Produkte, die wir selbst einkaufen. Denn steigt der Einkaufspreis für uns, müssen wir diese Preiserhöhung gezwungenermaßen an den Endkunden weitergeben, um selbst keinen Verlust zu machen.

Alles Weitere bleibt, wie es ist. Vor allem unsere Dienstleistungspreise bleiben zu 100% stabil – unsere Qualität bleibt dabei aber selbstverständlich gewohnt hoch. Lassen Sie uns Krisen gemeinsam meistern! Wir sind für Sie da – immer zuverlässig, fair und transparent.

Haben Sie Fragen zum Thema? Kontaktieren Sie uns kostenfrei unter 0800 4883 338 oder per Mail an info@schneider-wulf.de.

Foto © cottonbro von Pexels

Lesedauer: 1 Minute

Golfen. In diesen Zeiten. Gehört sich das? Die Antwort ist ein klares Ja! Denn zum einen darf – bei aller Grausamkeit und Unsicherheit, die ein Angriffskrieg auf dem europäischen Kontinent mit sich bringt – nicht vergessen werden, dass das Leben nicht stillsteht. Und zum anderen ist es eine schlichte Tatsache, dass Leid an vielen Stellen schon vor dem Ukrainekrieg existiert hat – und weiter existiert.

In diesem wie in den vorangegangenen Jahren ist es das Ziel der WIEST Charity Golf Tour, den Verein für Krebskranke und chronisch kranke Kinder Darmstadt/Rhein-Main-Neckar e.V. in seiner Tätigkeit zu unterstützen.

Den Kopf ein wenig frei bekommen und dabei Gutes tun … für unser Unternehmen gute Gründe, wieder als Sponsor zu fungieren.

Alle Details zur WCGTour 2022 finden sie auf der offiziellen Website: https://www.wcgtour.de/

Möchten Sie eine Runde mit uns golfen? Anmelden können Sie sich – unter Angabe eines Wunschtermins – ganz einfach telefonisch unter der kostenfreien Nummer 0800 4883 338 oder per Mail an info@schneider-wulf.de. Beachten Sie bitte, dass die Teilnahmeplätze pro Stop der Tour begrenzt sind – wer zuerst kommt, golft zuerst.

Termine WCGTour 2022 Stand 20. Mai 2022
11. Juni KIAWAH KIAWAH Monatscup – 3 Slots
25. Juni Darmstadt Traisa Greenkeeper-Cup – 2 Slots
03. Juli Odenwald Monatsbecher – 2 Slots
17. Juli Bensheim Bensheim Cup – ausgebucht
26. Juli Groß-Zimmern After Work Groß-Zimmern – 2 Slots
30. Juli Bachgrund Preis der Gastronomie – ausgebucht
02. August Biblis After Work Biblis – 4 Slots
05. August Groß-Zimmern After Work Groß-Zimmern – 3 Slots
13. August Gernsheim Preis der Gastronomie – ausgebucht

© Foto Kindel Media von Pexels

Lesedauer: 1 Minute

Schon in diesem, gestern veröffentlichten Artikel ging es um Ransomware. In Folge möchten wir das Thema aus anderer Sicht beleuchten und Ihnen ganz konkret zeigen, welche Hilfe in diesem (und anderem) Zusammenhang sinnvolles Microsoft 365 Security Management bietet.

Fakt ist: Alle 11 Sekunden wird ein Angriffsversuch mit Ransomware auf Unternehmen durchgeführt. Zieht man nun in Betracht, wie weitverbreitet Produkte und Lösungen von Microsoft sind wird schnell klar, dass gerade darauf basierende Infrastrukturen beliebte Angriffsziele sind.

Der weltweit entstandene finanzielle Schaden durch Ransomware im Jahr 2021 wird auf rund 20 Milliarden Dollar geschätzt – Analysen zufolge fällt das Gros davon unter Angriffe im Zusammenhang mit geschäftlicher Mail-Kommunikation. Und auch hier gilt: Durch die hohe Verbreitung von Microsoft Office sind Ransomware-Attacken (fast) an der Tagesordnung. Mit gravierenden finanziellen Folgen und möglichem Imageschaden.

Prävention, aber wie?

Auf Microsoft 365 abgestimmte Sicherheitslösungen bieten mehrere Hersteller. Primär sollten diese die integrierten Sicherheitsinstrumente unterstützen und so das Sicherheitsniveau soweit erhöhen, dass Angriffe weitgehend ausgeschlossen werden können. Wichtige Faktoren für die Leistungsfähigkeit solcher Produkte sind:

Spam-Erkennungsrate – Qualitativ hochwertige Security-Produkte weisen eine Rate nahezu 100% auf.

‘Zero Day Attacks’ – Neuartige Viren werden von Standardsystemen oft nicht erkannt und entsprechend auch nicht gefiltert. Aufgrund spezieller Technik können gute Sicherheitslösungen neuartige Bedrohungen bereits vor Bekanntwerden stoppen.

Schutz vor verschlüsselten Angriffen – Microsoft Office bietet hier standardmäßig keinerlei Schutz.

Gateaway für Mail-Encryption – Ebenfalls im Standard der Microsoft Mail-Office Protection nicht vorhanden. Geeignete Security Tools sollten in Sachen Mail-Archivierung und -Verschlüsselung fit sowie DSGVO-/GOBD-konform sein.

Reporting – Detaillierte Reports sind im Microsoft-Standard nicht vorgesehen.

Neben diesen Punkten sollten Sie über eine Lösung zur Datensicherung und -wiederherstellung (im Bedarfsfall) nachdenken. Denn leider ist es auch hier so, dass Microsoft keine Optionen ‘out of the box’ bietet.

Im Rahmen unserer Microsoft-Projekte berücksichtigen wir dieses Thema vom Start weg. Falls Sie losgelöst davon Fragen zum Thema ‘Microsoft 365 Security Management’ haben, stehen wir Ihnen unter der kostenfreien Rufnummer 0800 4883 338 zur Verfügung. Oder vereinbaren Sie einen Online-Gesprächstermin.

Foto © Life Of Pix von Pexels

Lesedauer: ca. 2 Minuten

Die Zwei-Faktor-Authentifizierung dient eigentlich dazu, die Anmeldung an Portalen oder Diensten noch sicherer zu machen. Mit einem bereits bekannten Trick ist es der (vom Ursprung her mutmaßlich brasilianischen) Hackergruppe Lapsus$ nun jedoch gelungen, 2FA bei Microsoft und weiteren Unternehmen zu umgehen. In diesem Zusammenhang zeigt sich, dass es erhebliche Qualitätsunterschiede im Sicherheitsniveau der verwendeten 2FA- und MFA-Systeme (Multi-Faktor-Authentifizierung) gibt.

Branchenexperten äußerten sich dazu wie folgt:

“Viele 2FA-Anbieter ermöglichen es Benutzern, Push-Benachrichtigungen einer Smartphone-App zu akzeptieren oder einen Anruf zu erhalten und eine Taste als zweiten Faktor zu drücken. Bedrohungsakteure nutzen dies aus und stellen mehrere MFA-Anfragen an das legitime Gerät des Endbenutzers, bis der Benutzer die Authentifizierung akzeptiert… so wird schließlich der Zugriff auf das Konto möglich.”

Wie das Onlinemagazin Ars Technica berichtet, ging Lapsus$ auf die gleiche Weise vor und schaffte es so, auf Netzwerke von Microsoft zuzugreifen.

Erfolgreicher Angriff mit ‘MFA Bombing’

In der Lapsus$-Telegram-Gruppe war zu lesen:

“Es gibt kein Limit für die Anzahl der Anrufe, die getätigt werden können. Rufe den Angestellten 100-mal um 1 Uhr nachts an, während er versucht zu schlafen, und er wird ihn höchstwahrscheinlich irgendwann annehmen. Sobald der Mitarbeiter einen Anruf annimmt , kann auf das MFA-Registrierungsportal zugegriffen und ein weiteres Gerät registriert werden.

Ich konnte mich von Deutschland und den USA aus gleichzeitig in das Microsoft-VPN eines Mitarbeiters einloggen, offenbar ohne dass es bemerkt wurde. Außerdem konnte ich die MFA zweimal neu registrieren.”

Unter Zuhilfenahme von bestimmten, in Hacker-Kreisen gängigen Werkzeugen ist es ohne großen Aufwand möglich, Phishing Websites zu generieren. Diese gaukeln dem Anwender dann die Loginseite ‘ihres’ Services o.ä. vor. Bei Eingabe der Zugangsdaten werden diese dann aufgezeichnet.

Alternative 2FA

Im Gegensatz zu 2FA-Systemen, die auf per SMS oder Mail zugeschickten oder per App generierte Codes (TOTP) basieren, ist mit der Methode der Public-Key-Kryptografie (genutzt von Fido beziehungsweise Webauthn) Sicherheit gegen Phishing-Attacken in hohem Maße garantiert.

Hier wird zwar zusätzliche bzw. spezielle Hardware benötigt, im Gegenzug ist passwortloses Anmelden per Knopfdruck möglich.

Konzerne im Visier

Durch die Attacke auf Microsoft gelangte eine große Datenmenge (ca. 37 GByte von 250 Softwareprojekten) an die Öffentlichkeit, unter anderem Quellcode der Anwendungen Cortana, Bing und Bing Maps.

Auch bei Samsung waren Hacker der Lapsus$-Gruppe erfolgreich, wie im Zuge von Ermittlungen und Festnahmen der Londoner Polizei festgestellt wurde – dort sollen um die 190 GByte sensibler Daten gestohlen und über mehrere Kanäle verbreitet worden sein.

Weitere Konzerne waren und sind betroffen, darunter auch der Chiphersteller Nvidia.

Phishing-Attacken sind eine ernstzunehmende Bedrohung – auch für mittelständische Unternehmen. Unsere Erfahrung und die Arbeit unserer Experten für Sicherheitsanalysen von CRISEC zeigt immer wieder die Defizite auf, die diesbezüglich bestehen.

Falls Sie Fragen zum Thema haben oder sich zu wirkungsvollen Gegenmaßnahmen informieren möchten, stehen wir Ihnen gerne unter der kostenfreien Rufnummer 0800 4883 338 zur Verfügung.

Quelle: https://www.golem.de/news/lapsus-hackergruppe-umgeht-2fa-mit-einfachem-trick-2203-164236.html

Foto © Markus Spiske von Pexels

Lesedauer: ca. 4 Minuten

Das Bundesamt für Sicherheit in der Informationstechnik hat am 23. Februar 2022 mit dem ‘Maßnahmenkatalog Ransomware’ Ratschläge zum Schutz vor Ransomware herausgegeben. Bei diesem 21-seitigen Schriftstück mit dem Untertitel ‘Präventive Maßnahmen zur Absicherung vor Krypto-Trojanern’ handelt es sich um eine frei zugängliche Veröffentlichung zur allgemeinen Cyber-Absicherung.

Welche Bedeutung hat das Dokument? Und was steht eigentlich drin? An wen richtet es sich? Was es mit den Empfehlungen des BSI auf sich hat, erfahren Sie in diesem Artikel.

Laut BSI dient das Dokument zur Vorbereitung auf einen Ransomware-Angriff und stellt die notwendigen präventiven Grundlagen vor. Es wurde auf Basis der Erfahrungen, die bei der Ransomware-Fallbearbeitung gewonnen wurden, erstellt. Es richtet sich an Unternehmen und Behörden, die sich mit dem Thema noch nicht oder nur ansatzweise auseinandergesetzt haben und eine Übersicht über mögliche Schutzmaßnahmen vor Ransomware suchen.

Um das Schreiben, welches auf der Internetseite des BSI zum Download bereitsteht, verstehen und einordnen zu können, ist erstmal wichtig zu wissen, was Ransomware überhaupt ist.

Der Begriff Ransomware ist eine Zusammensetzung des englischen Begriffs ‘ransom’ (Lösegeld) und der Endung ‘ware’ von Software. Dabei dreht es sich um Schadprogramme, die man auch als Erpressungstrojaner bezeichnen kann. Solche Viren können, im Falle, dass diese einmal ins unternehmerische Datennetz eingedrungen sind, den Zugang auf Informationen wie auch komplette Systeme einschränken oder komplett lahmlegen. Verbunden sind solche Angriffe generell mit einer Lösegeld-Forderung – wird dieser nachgekommen, werden die Daten wieder freigegeben (so zumindest die Aussage der Erpresser). Die Bezahlung wird meist in Krypto-Währungen wie Bitcoin gefordert. Absicht eines Ransomware-Angriffs ist es also, Daten zu chiffrieren und Lösegeld für ihre Entschlüsselung zu fordern.

Aber Achtung: Die Zeit hat gezeigt, dass die Bezahlung der geforderten Gesamtsumme keine Gewährleistung für die Freigabe der Daten ist. Statt deshalb im Schadensfall solchen Forderungen nachzukommen, empfiehlt das BSI klar, sich an die Behörden zu wenden und Anzeige zu erstatten (weitere Empfehlungen, was Unternehmen tun sollten, wenn sie von einem Ransomware-Angriff betroffen sind, hat das BSI auf dieser Seite gelistet).

Ransomware-Angriffe nehmen bereits seit 2006 kontinuierlich zu – weltweit. Während dieser Zeit wurden schon unterschiedlichste Institutionen Opfer solcher Erpressungsversuche: Von öffentlichen Einrichtungen über große Firmen und mittelständische Betriebe bis hin zu kleinen Betrieben, Schulen oder Krankenhäusern.

Wie kann man sich gegen Cyber-Erpressung absichern?

Wie erwähnt bietet der Leitfaden präventive Tipps zum Schutz vor Ransomware-Angriffen. Darüber hinaus enthält das Dokument Strategien für den Ernstfall, also konkrete Empfehlungen fürden Umgang mit einer Lösegelderpressung infolge eines Verschlüsselungstrojaners.

Der wichtigste Ratschlag zur Risikoreduzierung: Zyklische Backups aller wichtiger Daten!

Wer (idealerweise vollautomatisiert) in einem fix festgesetzten Takt Sicherheitskopien sämtlicher wichtiger Daten erstellt, ist gegen einen Ransomware-Angriff geschützt, denn: Backups nehmen Lösegeldforderungen den Wind aus den Segeln.

Neben Datensicherungen sind die Nutzung von Virenschutzprogrammen auf allen im Unternehmen eingesetzten Geräten plus regelmäßige Aktualisierungen der eingesetzten Softwarelösungen und des Betriebssystems grundsätzliche Empfehlungen vom BSI. Zu guter Letzt weißt das BSI auf die Bedeutsamkeit hin, Mails von unseriösen Absendern nicht zu öffnen.

Zusätzlich zu diesen Tipps (die für jedermann sofort nachvollziehbar sind), hält das BSI-Papier einige Empfehlungen bereit, die sich konkret an IT-Administratoren richten, beispielsweise:

Nur erforderliche Ports freigeben
Remote-Fernzugänge schützen
Sensibler Umgang mit Administrator-Accounts
Zentrales Logging

Tipp: Mit dem kostenfreien Mailverteiler Sicher – Informiert weist das BSI alle zwei Wochen auf aktuelle Sicherheitslücken und wichtige Ereignissen rund um die IT-Sicherheit hin.

Fazit zum BSI-Leitfaden

Das Gute am aktuellen Handbuch zu Ransomware: Es ist in beachtlichen Teilen auch für Nicht-IT-Experten nachvollziehbar.

Das Schlechte am aktuellen Handbuch zu Ransomware: Es ist in beachtlichen Teilen auch für Nicht-IT-Experten nachvollziehbar.

Soll heißen: Seine Ratschläge sind relevant und kommen im richtigen Moment, sind aber an vielen Bereichen eher seicht und enthalten Informationen, die Unternehmen ohnehin schon umgesetzt haben sollten. Uns ist natürlich bewusst, dass viele Betriebe keinesfalls bestmöglich positioniert sind in Puncto IT-Grundschutz, weshalb der Leitfaden vom BSI wie gerufen kommt – mit dem Ziel sich die Frage zu fragen, welche von den empfohlenen Methoden bereits realisiert wurden und welche nicht.

Die Aktion des BSI, für das Thema Ransomware zu sensibilisieren und Unternehmen die relevanten Fakten an die Hand zu geben, begrüßen und unterstützen wir voll und ganz. Man sollte allerdings bewertend bemerken, dass es sich bei dem Arbeitspapier lediglich um eine Sammlung von ‘Best Practices’ dreht, die gegen unterschiedliche Angriffe absichern sollen.

Ohne Frage – ein Verfahren nach diesem Gießkannenprinzip ist auf jeden Fall besser, als keinerlei Sicherheitsmaßnahmen zu realisieren. Allerdings benötigen Unternehmen mit dem Ziel, umfassend vor jedem Ransomware-Angriff geschützt zu sein, eine individuelle IT-Sicherheitsarchitektur, da jedes Unternehmen über eine individuelle IT-Landschaft verfügt. Empfehlenswert ist ein geeignetes Gesamt-Konzept, welches alle Einzelteile einbezieht und bei welchem Themen wie Firewall, Cloud-Sicherheit, Handy-Schutz und vieles mehr perfekt aufeinander abgestimmt sind.

Insbesondere aufgrund der aktuellen geopolitischen Lage sollten die Ratschläge des BSI in jedem Fall ernstgenommen und bei Defiziten zeitnah im persönlichen Betrieb implementiert werden. Wenn Sie den Wunsch haben, Ihre IT-Sicherheit begutachten zu lassen oder auch Unterstützung benötigen, um sich gezielt sowie gründlich vor Ransomware abzusichern, dann sind wir Ihr qualifizierter Ansprechpartner.

Sprechen Sie uns unter der Nummer 0800 4883 338 gerne persönlich an. Unsere Experten kümmern sich professionell um eine optimale Absicherung Ihrer IT-Landschaft.

Foto © cottonbro von Pexels

Lesedauer: ca. 8 Minuten

Zeitgenössische Gesellschaften mit hochentwickelter Dienstleistungs- und Industriewirtschaft zeichnen sich durch ein hohes Maß an Digitalisierung, Wendigkeit, Konkurrenzfähigkeit und intensiver Teilnahme an der Globalisierung aus. In Anbetracht dessen sind moderne Unternehmen immer stärker von einer hochleistungsfähigen, funktionstüchtigen und ausfallsicheren IT-Infrastruktur abhängig – das gilt insbesondere für systemrelevante Unternehmen der kritischen Infrastruktur.

Diese als KRITIS bezeichneten Infrastrukturen werden so zu einem der bedeutendsten wirtschaftlichen Stützpfeiler. Deshalb muss deren reibungsloser Betrieb zu jeder Zeit gewährleistet sein – fallen sie infolge von Internetangriffen, Havarien oder technischem Versagen aus, hat das gravierende Auswirkungen auf die Sicherheit und Versorgungslage des Landes.

Aus diesem Grund hat die Politik rechtliche Vorgaben und Regelungen festgelegt, um solchen gefährlichen Szenarien vorzubeugen. Welche dies sind, wann eine Infrastruktur als ‘kritisch’ bezeichnet wird und welchen spezifischen Herausforderungen systemrelevante Unternehmen der kritischen Infrastruktur begegnen, lesen Sie in unserem folgenden Blogartikel.

Wie sich eine kritische Infrastruktur definiert

Laut der öffentlichen Begriffsklärung des Bundesamtes für Sicherheit und Informationstechnologie (BSI) wie auch des Bundesamtes für Bevölkerungsschutz sowie Katastrophenhilfe (BBK) handelt es sich bei kritischen Infrastrukturen um die ‘Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.’

Merkmale kritischer Infrastrukturen

Demzufolge sind private und staatliche Betriebe der kritischen Infrastruktur für die Instandhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheitssituation, der Sicherheit und des ökonomischen oder sozialen Wohlseins der Bevölkerung elementar – und somit äußerst schützenswert.

Die Nationale Strategie zur Sicherheit kritischer Infrastrukturen, die am 17. Juni 2009 vom Bundesministerium des Innern sowie Heimat (BMI) verabschiedet wurde, definiert 9 Bereiche der kritischen Infrastrukturen:

1. Staat und Verwaltung
2. Stromerzeugung
3. Informationstechnik und Telekommunikation
4. Transport und Verkehr
5. Gesundheitszustand
6. Wasser
7. Ernährung
8. Finanz- und Versicherungswesen
9. Medien plus Kultur

Mit der Novellierung des BSIG im Jahr 2021 kam mit der Siedlungsabfallentsorgung ein zehnter Bereich hinzu (der jedoch auf Bundesebene noch nicht allgemeingültig ist).

Inwiefern ein Unternehmen als kritische Infrastruktur eingestuft wird, kann nur eine individuelle Prüfung mit Sicherheit beantworten. Es existieren jedoch bekannte Anhaltspunkte, anhand derer eine erste Einstufung möglich ist:

Schwellenwert – Das BSI hat in der KRITIS-Verordnung 2021 für jeden Bereich spezielle Schwellenwerte festgelegt. Diese bestimmen, ab wann ein Unternehmen der kritischen Infrastruktur zuzuschreiben ist. Eine übersichtliche Aufzählung finden Sie hier.

IT-Netzwerk – Die sog. IT-Independenz von Unternehmen ist ein weiterer aussagekräftiger Faktor. Hier geht es darum, ob ein Betrieb mit mehreren Standorten diese IT-seitig zentral oder dezentral verwaltet. Verständlicherweise unterstützt eine zentrale Verwaltung die Einstufung als kritische Infrastruktur.

Verschärfte Bedrohungslage erfordert verschärfte Maßnahmen

Grundsätzlich sind kritische Infrastrukturen vorteilhaft beschützt. Nichtsdestotrotz stellen sie aufgrund deren Bedeutsamkeit sowie Sensibilität für Wirtschaft und Gesellschaft und Staat ein lukratives Geschäft für Internetkriminelle, Terroristen und verfeindete Staaten dar.

Deshalb überrascht es absolut nicht, dass in der Presse immer wieder von IT-Ausfällen oder Störungen kritischer Infrastrukturen zu lesen ist. So sorgte zum Beispiel im Mai 2021 ein Ransomware-Zugriff auf eines der größten Kraftstoff-Leitungssysteme des Betriebs Colonial Pipeline in den USA temporär für Treibstoffengpässe an der gesamten Ostküste.

Dies ist kein Einzelfall: Gemäß dem Bundesamt für Sicherheit in der Informationstechnik haben die Attacken auf die Sektoren Informationstechnik sowie Telekommunikation, Finanz- und Versicherungswesen sowie Wasser und Energie in den vergangenen Jahren merklich zugenommen. Zeitgleich zeigen die Ergebnisse des aktuellen Lageberichts der IT-Sicherheit des Bundesamtes für Sicherheit in der EDV, dass in den erwähnten Branchen insgesamt 1.805 Sicherheitsmängel festgestellt wurden, die insbesondere auf Problematiken im Fachbereich Netztrennung, Notfallmanagement und physische Sicherheit zu begründen sind.

Nebst Internetangriffen gehen auch Naturgewalten, Havarien, menschliches Scheitern oder technische Fehler mit teilweise schwerwiegenden Folgen für die Sicherheit und das Wohlergehen der Menschen einher, wie der 31-stündige Stromausfall in Berlin-Köpenick Ende Februar 2019 mit Nachdruck verdeutlichte.

Gesetze zum Schutz kritischer Infrastrukturen

Mit dem Ziel, derartige Worst-Case-Szenarien zu verhindern, gilt es für Betriebe der kritischen Infrastruktur Gefahren und Bedrohungen frühzeitig zu ermitteln und abzuwehren. Die gesetzlichen Bedingungen sowie Regelungen sind dazu im IT-Sicherheitsgesetz 2.0, dem BSI-Gesetz (BSIG), sowie der BSI-KRITIS-Verordnung (BSI-KritisV) festgelegt. Demnach sind Betriebe der kritischen Infrastruktur dazu verordnet,

eine Kontaktstelle für die betriebene kritische Infrastruktur zu benennen.

die IT-Sicherheit auf den ‘Stand der Technik’ umzusetzen und passende organisatorische und elektronische IT-Sicherheitsmaßnahmen zur Prävention, Ausmachung und Bewältigung von IT-Sicherheitsvorfällen oder IT-Störungen zu implementieren (vor allem ein ISO 27001-konformes Informationssicherheitsmanagementsystem) und auf diese Weise die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme, IT-Komponenten und IT-Prozesse sicherzustellen.

IT-Sicherheitsvorfälle und erhebliche IT-Störungen, welche zu einem IT-Störfall führen, zu melden.

die getroffenen IT-Sicherheitsvorkehrungen gemäß § 8a Absatz 3 BSIG mittels eines Gutachtens gegenüber dem Bundesamt für Sicherheit in der Informationstechnik zu belegen.

Stabile Netzwerke – ein Muss

Das Bundesamt für Sicherheit in der Informationstechnik hat bereits im März 2020 die ‘Konkretisierung der Anforderungen an die nach § 8a Absatz 1 BSIG umzusetzenden Maßnahmen‘ veröffentlicht. Mit diesem Anforderungskatalog stellt das BSI allen Betrieben der kritischen Infrastruktur und ihren Gutachtern einen konkreten Bereich zur Wahl, Umsetzung und Prüfung aller IT-Sicherheitsmaßnahmen, welche im Rahmen der IT-Sicherheit umzusetzen sind. Hierbei deckt der Anforderungskatalog alle aufgeführten Bereiche ab:

Informationsmanagementsystem
Asset Management
Risikoanalysemethode
Continuity Management
Technische Informationssicherheit
Personelle sowie organisatorische Sicherheit
Bauliche / physische Absicherung
Vorfallserkennung und Bearbeitung
Begutachtung im laufenden Betrieb
Externe Informationsversorgung sowie Unterstützung
Lieferanten, Dienstleistungsunternehmen und Dritte
Meldewesen

Sind Sie ein Unternehmen der kritischen Infrastruktur und auf der Recherche nach effektiven und innovativen IT-Sicherheitslösungen? Ihr Ziel ist es, ihre IT-Infrastruktur intelligent vor potenziellen Bedrohungen zu beschützen? Sie haben weitere Fragen zu den Themen IT-Sicherheitsgesetz 2.0, BSI-KRITIS-Verordnung oder kritische Infrastrukturen? Sprechen Sie uns unter der 0800 4883 338 gerne an!

Foto © Elijah O’Donnell von Pexels