Deepfakes – Definition, Grundlagen, Funktion

,

Lesedauer ‘Deepfakes – Definition, Grundlagen, Funktion’ 6 Minuten

Die rasant zunehmende Dynamik von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) bringt neben erhöhter Effizienz eine neuartige Bedrohung mit sich: Deepfakes. Diese verblüffend realistischen Manipulationen von Bild-, Audio- und Videomaterial ermöglichen ein hohes Missbrauchspotenzial und werden gravierende Auswirkungen auf Unternehmen haben. Im folgenden Artikel erfahren Sie, welchen Beitrag KI und ML bei der Erstellung solcher Deepfakes leisten und welche (präventiven) IT-Sicherheitsmaßnahmen Sie ergreifen können, um sich effektiv abzusichern.

KI – Segen (und Fluch)

Künstliche Intelligenz und maschinelles Lernen sind auf dem Vormarsch und haben sich längst als Innovationstreiber in der Geschäftswelt etabliert. Die Fähigkeit, große Datenmengen auszuwerten und ausführliche Prognosen zu treffen, erlaubt es Unternehmen, professionelle Entscheidungen zu treffen, Ressourcen effizienter zu verwenden und maßgeschneiderte Produkte und Dienstleistungen bereitzustellen.

Einer aktuellen Umfrage von SambaNova Systems zufolge sehen 67 Prozent der Führungskräfte KI als wichtigen Baustein ihrer Technologiestrategie. 70 Prozent der befragten Führungspersonen in Deutschland sind der Meinung, dass KI ihr Geschäftsmodell in den kommenden 1 bis 2 Jahren signifikant verändert. 82 Prozent sind davon überzeugt, dass KI das Mitarbeiter- und Kundenerlebnis durch verbesserte Prozesse und kürzere Reaktionszeiten optimiert. Zu guter Letzt möchten 65 Prozent der deutschen Unternehmen Künstliche Intelligenz dazu nutzen, um das bestehende Geschäftsmodell erfolgreicher zu machen oder neuartige Einnahmequellen zu erschließen.

Aber Achtung! Wo Licht ist, ist immer auch Schatten. Zwar profitieren bereits viele Unternehmen von den Vorteilen durch den Einsatz künstlicher Intelligenz, allerdings ist mit Deepfakes eine völlig neue Bedrohung mit riesigem Schadenspotenzial entstanden.

Deepfakes: Wenn man den eigenen Augen und Ohren nicht mehr trauen kann

Deepfakes sind täuschend echte Manipulationen von Medieninhalten, die mithilfe von künstlicher Intelligenz und maschinellem Lernen (insbesondere dem sog. Deep Learning), erstellt werden. Ziel aller Deepfakes ist es, Personen und ihr Verhalten so realistisch nachzuahmen, dass nicht mehr zwischen Realität und Deepfake unterschieden werden kann.

Das Bedrohungspotenzial durch Deepfakes ist enorm: Sei es die Rufschädigung einzelner Personen durch die Verbreitung pornografischer Inhalte oder die gesellschaftliche bzw. politische Manipulation durch Falsch- oder Desinformation. Dadurch, dass der Konsument keine einfache Möglichkeit zur Unterscheidung zwischen Original und Fälschung hat, erzeugen Deepfakes Paranoia und sind in der Lage, das Verhalten der Bevölkerung in allen sozialen Schichten massiv zu beeinflussen.

Deepfakes leicht gemacht: Technische Basis und Funktionsweise

Um ein Deepfake zu erstellen, ist im ersten Schritt eine umfassende Datenauflistung erforderlich; diese dienen als Vorlage. Dies sind beispielsweise Fotografien, Videos oder Tonaufnahmen. Im Anschluss werden diese Daten in ein Machine-Learning-Modell eingespielt, welches auf der Basis von Algorithmen und statistischen Methoden die Möglichkeit bietet, das Verhalten und die Eigenschaften einer Zielperson zu imitieren.

KI studiert vorhandene Muster und bildet als Ergebnis Gestik, Mimik und das generelle Verhalten der Zielperson nach. Die Analyse riesiger Datenmengen erfasst Bewegungen der Augen, des Mundes, der Gesichtsmuskeln und etlicher weiterer Merkmale präzise.

Nachdem das Modell trainiert ist, wird es zur Fälschung eines Videos oder einer Audiodatei verwendet. Oftmals nutzt die KI hierbei bereits vorhandenes Ausgangsmaterial und integriert die imitierten Verhaltensmuster der Zielperson, um ein noch authentischeres Ergebnis zu erzielen. So werden z.B. in der Videoaufnahme einer politischen Rede lediglich die Mundbewegungen und die getroffenen Aussagen getauscht.

Allerdings sind Deepfake-Technologien mittlerweile so weit entwickelt, dass sie selbst komplexeste Mediendateien neu erstellen können. So z.B. ein komplettes Video, basierend auf nur einem einzigen Foto und einer kurzen Audiodatei der Zielperson.

Nichtsdestotrotz hängt die Qualität und Genauigkeit eines Deepfakes stark von der Qualität der zur Verfügung stehenden Quelldateien ab. Je mehr Informationen verfügbar sind, desto realistischer erscheint das generierte Deepfake.

Deepfakes auf der Spur

Für Unternehmen stellen Deepfakes eine immense Gefahr dar. Das mühsam geschaffene Vertrauensverhältnis zu Kunden und Geschäftspartnern – in Sekundenbruchteilen zerstört. Die Reputation einer Firma – mit gefälschten Social Media Posts im Handumdrehen zunichte gemacht. Ohne Übertreibung kann gesagt werden: Mit Deepfakes kann ein Unternehmen in den Ruin getrieben werden.

Um dieser Gefahr vorzubeugen, Deepfakes zu erkennen und abzuwehren, sollten Sie folgende Strategien ergreifen:

Mitarbeitersensibilisierung und -schulung: Wie so oft besteht die bedeutendste IT-Sicherheitsmaßnahme darin, ArbeitnehmerInnen detailliert über die Risiken von Deepfakes zu unterrichten und sie entsprechend zu sensibilisieren. So gewährleisten Sie, dass Ihr Team Fehlinformationen und betrügerische Inhalte rechtzeitig entdeckt und meldet.

Einsatz von KI-basierten Erkennungssystemen: Eine weitere Möglichkeit besteht darin, selbst fortschrittliche Technologien dazu einzusetzen, um Deepfakes in Bildern, Videos und Audiodateien zu erkennen. Solche Systeme ídentifizieren Inkonsistenzen in Gestik, Mimik sowie Aussprache und ergreifen in Echtzeit geeignete Gegenmaßnahmen.

Einführung einer Multi-Faktor-Authentifizierung: Eine weitere IT-Sicherheitsmaßnahme gegen Deepfake-bezogene Sicherheitsbedrohungen ist die Einführung einer Multi-Faktor-Identitätsprüfung (MFA). Diese liefert unterschiedliche Bestätigungsebenen, welche eine erweiterte Schutzschicht gegen Identitätsdiebstahl und betrügerische Aktivitäten bieten. Die Mischung aus starkem Passwort, biometrischen Daten und temporärem Zugangscode macht den Zugriff auf Online-Konten und -Daten nahezu unmöglich.

Verifizierung interner Informationen: Die Implementierung interner Verifikationsprozesse für relevante Informationen und Anordnungen sorgt für die effektive Abwehr etwaiger Deepfake-Bedrohungen. Durch die Einholung persönlicher Bestätigungen von Unterschriften, Anordnungen etc. im Rahmen verschlüsselter Kommunikationskanäle verifizieren Sie die Authentizität sensibler Informationen.

Einsatz digitaler Wasserzeichen und Blockchain-Technologie: Ermöglicht es Ihnen, die Herkunft und Echtheit von Informationen sicherzustellen – so ist deren Glaubwürdigkeit und Integrität garantiert.

Das Gute an der Umsetzung der zuvor genannten Maßnahmen: Sie wirken themenübergreifend positiv auf das Sicherheitsniveaus Ihres Unternehmens ein!

Deepfakes mit positivem Nutzen

Obwohl Deepfakes häufig in direkter Verbindung mit Schlagworten wie Desinformation oder Rufschädigung stehen, existieren auch etliche positive und kreative Einsatzmöglichkeiten:

Bildung: Unterrichtsmaterial kann durch Deepfakes anschaulicher und attraktiver gestaltet werden. So werden z.B. historische Persönlichkeiten zum Leben erweckt oder Lehrvideos mehrsprachig angefertigt und mit zielgruppenspezifischen Moderatoren versehen.

Künstlerische Ausdrucksformen: Als kreatives Werkzeug genutzt, ermöglichen Deepfakes die Realisierung beeindruckender Kunstwerke, Musikvideos und vieler weiterer experimenteller Projekte auf völlig neue Art und Weise.

Forschung und Entwicklung: Indem Deepfakes realistische Trainingsdaten für die Entwicklung von Algorithmen bereitstellen, optimieren sie Maschinelles Lernen. Ein Kreislauf, der die positiven Aspekte Künstlicher Intelligenz vorantreibt.

Sprachsynthese: Deepfake-Technologien erzeugen realistische und personalisierte Sprachsynthesen, die z.B. in Navigationssystemen und Sprachassistenten zum Einsatz kommen.

Film- und Unterhaltungsindustrie: Deepfakes ermöglichen den Dreh von Szenen, bei denen der Einsatz von SchauspielerInnen zu gefährlich wäre. Verhinderte oder verstorbene SchauspielerInnen werden in aktuelle Produktionen integriert oder Jugendszenen älterer Akteure werden im Handumdrehen generiert. Zu guter Letzt dienen Deepfakes der Fehlerkorrektur in der Post Production oder der nachträglichen Optimierung von Spezialeffekten.

Werbung: Deepfakes ermöglichen die individuelle Anzeigengestaltung. Zudem können Prominente zeitsparend und kosteneffizient in Werbespots integriert werden.

Fazit: Mit Aufklärung und Technologie Deepfakes immer einen Schritt voraus

Um sich proaktiv vor den Gefahren von Deepfakes zu schützen, müssen Unternehmen zielgerichtete Mitarbeitertrainings anbieten, moderne Technologien einsetzen und die Integrität digitaler Inhalte bewahren. Zudem bleibt festzustellen: Trotz aller Gefahren bieten Deepfakes einzigartige Chancen zur kreativen und innovativen Anwendung. Es liegt an den Unternehmen, die Möglichkeiten dieser Technologie sinnvoll zu nutzen und zeitgleich gegen ihre negativen Auswirkungen vorzugehen.

Möchten Sie sich proaktiv vor Deepfake-Angriffen schützen und die Integrität Ihrer digitalen Assets und Kommunikation gewährleisten? Haben Sie weitere Fragen zu diesem Thema oder zu unserem Portfolio? Kontaktieren Sie uns unter der Nummer 0800 4883 338!

 

Weiterführende Infos: Audits und IT-Infrastrukturanalysen | IT-Sicherheitsanalysen aus Angreifersicht

 

Foto © cottonbro studio @ Pexels

 

/von

Dunning-Kruger: Die unsichtbare Bedrohung für die IT-Sicherheit!

Lesedauer ‘Dunning-Kruger: Die unsichtbare Bedrohung für die IT-Sicherheit! 5 Minuten

Die Bedrohungslage durch Angriffe im Internet ist so hoch wie nie. Ungeachtet dieser Tatsache sind nur die wenigsten Unternehmen umfassend gegen externe und innere Bedrohungen gerüstet. Viele Firmen haben ein verzerrtes Selbstverständnis bezüglich der Gefahren von möglichen Sicherheitslücken in der IT-Infrastruktur. Dies wiederum sorgt für einen Mangel an Investitionsbereitschaft in eine umfängliche IT-Sicherheitsstrategie – was das eigentliche Problem noch verstärkt. Diese kognitive Verzerrung wird in der Psychologie als Dunning-Kruger-Effekt bezeichnet. Was sich hinter diesem Begriff versteckt, welche Auswirkungen er auf die IT-Sicherheit von Unternehmen hat und wie Sie diesen Effekt umgehen bzw. minimieren können, erfahren Sie im folgenden Blogbeitrag.

Datenklau leicht gemacht

Der zunehmende Einsatz digitaler Technologien verändert die Geschäftswelt seit Jahren fundamental. Innerhalb kürzester Zeit wurden bis dato bewährte und erfolgreiche Geschäftsmodelle und Geschäftsstrategien abgewertet; zeitgleich fand ein Wandel in den Geschäftsanforderungen, vor allem auf rechtlicher Ebene, statt. Dieser Wandel wiederum führte zu einer Enthemmung im Bereich der Internetkriminalität, begünstigt durch die leichte Verfügbarkeit entsprechender Werkzeuge über anonyme Plattformen im Darknet. Mit netzfähigen Endpunkten, cloudbasierten Datenbanken usw. eröffnen sich kriminellen Akteuren zudem eine Reihe neuer Modi Operandi – mit enormen Schadenspotenzialen.

Dennoch: Obwohl mittlerweile 84 Prozent der deutschen Unternehmen von Internetkriminalität betroffen sind, stagnieren vielerorts die Aufwendungen für funktionierende IT-Sicherheit. Oftmals der Auslöser: Eine falsche Wahrnehmung bezüglich des vorhandenen IT-Schutzes. Die unternehmerischen Abwehrkräfte in Bezug auf die IT-Infrastruktur werden – wegen bereits implementierter IT-Sicherheitsmaßnahmen – überbewertet; die tatsächlichen Gefahren verkannt oder gänzlich übersehen. Genau das ist der o.g. Dunning-Kruger-Effekt.

Im Teufelskreis der Selbstüberschätzung

Kurz zusammengefasst handelt es sich beim Dunning-Kruger-Effekt um ein Phänomen, bei dem einzelne Personen oder Personengruppen eine bemerkenswerte Selbstüberschätzung ihrer Kenntnisse an den Tag legen, insbesondere in Bezug auf spezielles Fachwissen und zugehörige Fähigkeiten. Das Resultat: Menschen halten sich für fähiger, als sie tatsächlich sind. Dies erzeugt mehrere Probleme, von denen die relevantesten ein falsches Sicherheitsgefühl und mangelnde Objektivität sind.

Der Dunning-Kruger-Effekt ist auf die Ergebnisse der beiden Psychologen David Dunning und Justin Kruger zurückzuführen. Diese führten 1999 Untersuchungen hinsichtlich der Selbstüberschätzung und Außendarstellung von Personen mit hohem Selbstbewusstsein durch. Die beiden Wissenschaftler kamen zu dem Schluss, dass Menschen mit geringem Wissen sowie fehlender Qualifikation in stärkerem Maße zur Selbstüberschätzung tendieren. Aufgrund mangelnder Selbstreflexion wird die eigene Position subjektiv bewertet und Rat oder Hilfe anderer Personen ignoriert.

Der Dunning-Kruger-Effekt im Alltag

Dem Dunning-Kruger-Effekt begegnet man überall. Eines der beeindruckendsten Beispiele zeigt sich in der Kriminalgeschichte: Im Jahr 1995 raubte McArthur Wheeler am helllichten Tag zwei Banken aus. Dabei verzichtete er auf jegliche Vermummung, ungeachtet der Tatsache, dass die Banken kameraüberwacht waren. Als er geschnappt wurde, war seine Verwunderung groß – war er doch davon überzeugt, durch den Einsatz von Zitronensaft für die Kameras der Banken unsichtbar zu sein. Weitere bekannte Beispiele für den Dunning-Kruger-Effekt sind

  • Fußballfans mit der Überzeugung, ein höheres taktisches Bewusstsein und Ahnung vom Spiel zu haben als der Trainerstab
  • Autofahrer, die der Meinung sind, im Vergleich zu anderen Verkehrsteilnehmern ‘ordnungsgemäßer’ zu fahren
  • Personen, die unser Land besser regieren können als Politiker und für sämtliche Krisen Lösungen parat haben

Die Folge: Hohes IT-Sicherheitsrisiko

Eine solche Fehleinschätzung kann vor allem im Bereich der unternehmerischen IT-Infrastruktursicherheit gravierende Folgen haben:

Persönliche Angriffsfläche erhöhen: Werden die eigenen Fähigkeiten und Fachkenntnisse in Bezug auf den Umgang mit Mails usw. falsch bewertet, steigt die Anfälligkeit für Phishing-Attacken. Oder es werden unsichere Passwörter verwendet – was das Risiko von Sicherheitsverletzungen ebenfalls steigert.

Mangelndes Fachwissen: Verfügt das zuständige Personal über ungenügendes oder veraltetes Fachwissen, kann dies mangelhafte Sicherheitskonfigurationen in IT-Infrastrukturen zur Folge haben. So steigt die Gefahr von Angriffen.

Unsichere Software-Installationen: Wird die Kompetenz, gesicherte Software-Installationen vorzunehmen, zu hoch bewertet, werden schlimmstenfalls Sicherheits-Updates ignoriert oder Schad-Code höchstselbst eingespielt.

Unsichere Datenspeicherung: Ganze Datensicherungskonzepte werden unbrauchbar (und somit anfällig), wenn die persönlichen Fähigkeiten in diesem Bereich falsch eingeschätzt werden. Das Risiko von Datenverlust oder -diebstahl steigt exponentiell.

Mangelhafte Compliance: Sind sich Mitarbeiter der bestehenden Compliance-Regeln nicht bewusst bzw. beurteilen die Wichtigkeit solcher Regeln falsch, sind schwerwiegende Konsequenzen die Folge.

Was Sie gegen den Dunning-Kruger-Effekt tun können

Es gibt etliche erprobte Maßnahmen zur Eingrenzung oder Vermeidung des Dunning-Kruger-Effekts:

Regelmäßige Aufklärung und Sensibilisierung: Zum einen sollten Sie Ihre MitarbeiterInnen ganz konkret über den Dunning-Kruger-Effekt und seine Auswirkungen informieren. Zum anderen ist die Mitarbeitersensibilisierung und kontinuierliche Schulung ein wirksames Mittel.

Realistische Einschätzung der eigenen Fähigkeiten: Es ist wichtig, dass Ihre MitarbeiterInnen eine realistische Einschätzung ihrer persönlichen Kenntnisse und Fähigkeiten haben. Niemand ist Experte für alles; indem Sie vorhandenes Talent identifizieren und fördern, bestärken Sie Ihr Team darin, Nein zu sagen. Arbeiten, bei denen sie sich nicht sicher fühlen, delegieren Sie an die Kollegen, die sie effizient erledigen.

Einhaltung von Sicherheitsrichtlinien und -verfahren: Sicherheitsrichtlinien und -verfahren müssen im Team bekannt gemacht und eingehalten werden. So reduzieren Sie das Risiko von Sicherheitsverletzungen drastisch.

Kommunikation und Zusammenarbeit: In der IT-Sicherheit ist Kommunikation, Zusammenarbeit und Kritikfähigkeit von entscheidender Bedeutung zur Vermeidung des Dunning-Kruger-Effekts.

Risikomanagement: Ein wichtiger Bestandteil funktionierender IT-Infrastruktursicherheit ist das Risikomanagement. Durch die kontinuierliche Gefahrenprüfung und die Ergreifung adäquater Maßnahmen verringern Sie entsprechende Risiken aktiv. Hierzu gehört vor allem, dass man die Kompetenzen und Fähigkeiten einzelner Teammitglieder berücksichtigt.

Unwissenheit schützt vor Strafe nicht

Fakt ist: Der Dunning-Kruger-Effekt ist im Bereich der IT-Infrastruktursicherheit ein ernstzunehmendes Problem, welches unbedingt vermieden werden muss. Regelmäßige IT-Sicherheitsschulungen sowie weitere Sensibilisierungsmaßnahmen versetzen Unternehmen in die Lage, das Know-how und die Kenntnisse Ihrer MitarbeiterInnen zu optimieren. So wird garantiert, dass das Team gut gerüstet ist wenn es darum geht, potenziellen internen und externen Gefahren zu trotzen.

Möchten auch Sie den Dunning-Kruger-Effekt bei sich im Unternehmen vermeiden? Haben Sie weiterführende Fragen zu diesem Thema oder anderen Themen? Sprechen Sie uns an! Sie erreichen uns kostenfrei unter der Nummer 0800 4883 338!

 

Weiterführende Infos: Audits und IT-Infrastrukturanalysen | IT-Sicherheitsanalysen aus Angreifersicht

 

Foto © Naomie Daslin @ Pexels

 

/von

IT-Grundschutz – mit passenden Bausteinen des BSI

, ,

Lesedauer ‘IT-Grundschutz – mit passenden Bausteinen des BSI’ 6 Minuten

Ohne adäquaten IT-Grundschutz sind Unternehmen der wachsenden Bedrohung durch Internetangriffe und Datenverlust schutzlos ausgeliefert. Die Auswirkungen sind oftmals gravierend und können schlimmstenfalls zur Insolvenz führen. Es ist daher grundlegend erforderlich, wirksame IT-Sicherheitsmaßnahmen zu implementieren, um die Verfügbarkeit und Integrität von IT-Systemen und sensiblen Geschäftsdaten zu garantieren.

Hierzu bietet das BSI (Bundesamt für Sicherheit in der Informationstechnik) eine Vielzahl von Standards an. Diese geben Unternehmen Leitfäden an die Hand, welche standardisierte Vorgehensweisen für Umsetzung und Erfüllung hoher IT-Infrastruktursicherheit liefern.

Welche das sind und wie Sie diese Leitfäden sinnvoll in Ihrem Unternehmen nutzen könne, erfahren Sie im folgenden Artikel.

Licht und Schatten – Technologisierung im Mittelstand

Die rasant fortschreitende Technologisierung beeinflusst den deutschen Mittelstand aktuell wie nie davor. Technologietrends wie künstliche Intelligenz, das Internet der Dinge, Blockchain-Technologie und Big Data-Analysen beeinflussen unser Arbeitsverhalten massiv. Im Mittelpunkt dieser Entwicklung steht die IT-Infrastruktur, welche entscheidend dazu beiträgt, Unternehmen effizienter und wettbewerbsfähiger zu machen: Sie bildet das Rückgrat für wirtschaftlichen Erfolg.

Allerdings hat die zunehmende Technologisierung sowie die damit verbundene steigende Abhängigkeit von IT eine Kehrseite: Die Bedrohung durch Internetkriminalität. Malware und weitere Formen von Schadsoftware sind leicht und mit geringem finanziellen Aufwand verfügbar. Dies führt zu einer stetig wachsenden Anzahl von Angriffen auf Unternehmen. Tatsächlich sind ca. 76 Prozent aller verfügbaren Schadsoftware-Kits und 91 Prozent der verfügbaren Exploits für weniger als zehn US Dollar erhältlich.

Um diesen Risiken effektiv entgegenzuwirken und Firmen dabei zu unterstützen, eine unternehmensweite Informationssicherheit aufzubauen, hat das Bundesamt für Sicherheit in der Informationstechnik ein IT-Grundschutz-Kompendium sowie die sog. BSI-Standards entwickelt.

IT-Grundschutz – IT-Sicherheit auf höchstem Niveau

Das IT-Grundschutz-Kompendium und die BSI-Standards sind die beiden fundamentalen Bausteine des BSI-IT-Grundschutzes. Sie dienen dazu, Firmen bei der Durchführung einer vollumfänglichen IT-Sicherheitsstrategie zu unterstützen. Die vom Bundesamt für Sicherheit in der IT entwickelten Standards und Richtlinien stellen sicher, dass Unternehmen auf höchstem Niveau agieren, um ihre IT-Landschaft, Arbeitsabläufe, Unternehmensprozesse und Daten zu schützen. Die Implementierung des IT-Grundschutzes befähigt Unternehmen dazu, sich nachhaltig gegen eine Vielzahl von Bedrohungen (Internetangriffe, Datenlecks und Systemausfälle) zu wappnen. Die Orientierung am IT-Grundschutz-Kompendium wie auch den BSI-Standards ermöglicht Firmen, von erprobten Best Practices und umfassenden Handlungsempfehlungen zu profitieren.

IT-Grundschutz als Kompendium – Der Wegweiser für umfassende IT-Sicherheit

Das IT-Grundschutz-Kompendium ist ein elementarer Leitfaden für Unternehmen, um wirksame IT-Sicherheitsmaßnahmen zu implementieren. Es enthält 111 Bausteine, welche in zehn Themengebiete sowie in Prozess- und System-Bausteine gegliedert sind.

Die Prozess-Komponenten setzen sich mit Themen wie Informationssicherheitsmanagement, Notfallmanagement, Risikomanagement und Datenschutz auseinander. Die System-Bausteine fokussieren sich auf spezielle technische Systeme wie Clients, Server, Mobile Devices, Netzwerke sowie Cloud Computing. Alle Bausteine enthalten detaillierte Themenbeschreibungen, inklusive Auswertung der Gefährdungslage und konkreten Anforderungen zu deren Umsetzung.

Das IT-Grundschutz-Kompendium wird vom BSI jährlich aktualisiert, um aktuelle Erkenntnisse zu integrieren und Marktentwicklungen zu berücksichtigen. Dank der modularen Struktur können Unternehmen systematisch vorgehen: Wesentliche Bausteine werden nach dem Baukastenprinzip ausgewählt und an ihre spezifischen Erfordernisse angeglichen. Zusätzlich dient das IT-Grundschutz-Kompendium als Grundlage für das IT-Grundschutz-Zertifikat, eine von dem BSI vergebene Zertifizierung, die die Einhaltung der IT-Grundschutz-Standards bestätigt.

BSI-Standards – Welche gibt es?

Zusätzlich zum IT-Grundschutz-Kompendium hat das Bundesamt für Sicherheit in der Informationstechnik eine Reihe von BSI-Standards entwickelt. Ziel ist, Unternehmen bei der Implementierung von IT-Sicherheitsmaßnahmen zu unterstützen. Diese Standards beinhalten ausführliche Vorgaben, Anforderungen und Best Practices, welche darauf ausgerichtet sind, verständliche Anleitungen für die Umsetzung der Maßnahmen zu bieten.

Derzeitig existieren vier BSI-Standards, die Methoden, Prozessen und Verfahren für unterschiedliche Aspekte der Informationssicherheit bieten:

BSI-Standard 200-1

Informationssicherheitsmanagementsystem(e), kurz ISMS. Dieser Standard spezifiziert die grundsätzlichen Anforderungen für ein ISMS. Er gewährleistet die Planung, Einführung, Überwachung und stetige Optimierung der IT-Sicherheit im Unternehmen.

BSI-Standard 200-2

IT-Grundschutz-Methodik. Der BSI-Standard 200-2 beschreibt eine Methode, welche Firmen zur Erweiterung des ISMS nutzen können. Hierfür sind drei Methoden zur Ausführung definiert: Basis-, Standard- und Kern-Absicherung. Jede dieser Methoden bietet unterschiedliche Sicherheitsniveaus und Justagemöglichkeiten, um den individuellen Bedürfnissen einer Organisation gerecht zu werden.

BSI-Standard 200-3

Risikomanagement. Der BSI-Standard 200-3 befasst sich mit sämtlichen risikobezogenen Arbeitsabläufen bei der Implementation des IT-Grundschutzes. Dieser ist insbesondere für Organisationen geeignet, welche bereits die IT-Grundschutz-Methodik (BSI-Standard 200-2) integriert haben aber obendrein eine nachstehende Risikoanalyse ausführen möchten, um mögliche Schwachpunkte und Gefahren strukturiert zu erfassen und zu evaluieren.

BSI-Standard 200-4

Business Continuity Management. Dieser Standard liefert eine praxisnahe Anleitung zur Implementierung eines Business Continuity Management-Systems (BCMS). Das BCMS garantiert die Aufrechterhaltung kritischer Unternehmensprozesse im Fall von Not- und Schadenssituationen. Der Standard 200-4 befindet sich aktuell noch in der Kommentierungsphase und ersetzt den BSI-Standard 100-4 – Notfallmanagement.

BSI-Zertifizierung – Werden Sie zum Spitzenreiter in Sachen IT-Sicherheit!

Neben der Entwicklung von IT-Sicherheitsstandards bietet das BSI diverse Zertifizierungen an: Common Criteria (CC), technische Richtlinien (TR) usw. Zudem zertifiziert die Behörde Managementsysteme entsprechend der DIN-Norm 27001. Selbst Einzelpersonen können BSI-Zertifikate erhalten: Als Auditoren, IT-Sicherheitsprüfer oder IT-Grundschutz-Berater.

BSI-Zertifizierungen garantieren die Qualität und Kompetenz von Experten sowie Lösungen im Bereich der IT-Sicherheit. Im Umkehrschluss schaffen diese Garantien ein hohes Maß an Vertrauen in das Angebot und die Reputation des BSI.

IT-Grundschutz versus KRITIS-Verordnung – Unterschiede und Gemeinsamkeiten

Sowohl IT-Grundschutz als auch die KRITIS-Verordnung beschäftigen sich mit dem Schutz der Informationstechnik – jedoch mit unterschiedlichen Schwerpunkten und Verbindlichkeiten. Das IT-Grundschutz-Kompendium ist für Unternehmen, Behörden und Institutionen aller Größen konzipiert und bietet einen freiwilligen Maßnahmenkatalog zum Schutz unternehmerischer IT-Infrastrukturen. Im Gegensatz dazu richtet sich die KRITIS-Verordnung speziell an Betreiber kritischer Infrastrukturen. Diese sind verpflichtet, die Anforderungen der Verordnung durchzuführen, um gravierende negative Folgen für das Gemeinwohl abzuwenden.

Da er branchenspezifische Sicherheitsstandards sowie Ratschläge zur Einführung eines passenden Informationssicherheitsmanagements liefert, kann der IT-Grundschutz für KRITIS-Betreiber als Leitfaden zur Erfüllung der KRITIS-Verordnung dienen.

Fazit: Mit IT-Grundschutz und BSI-Standards Datenschutz und Compliance meistern

IT-Sicherheit ist für Unternehmen von zentraler Bedeutsamkeit, um sensible Daten und Systeme vor den Bedrohungen der vernetzten Welt zu schützen. Das Bundesamt für Sicherheit in der Informationstechnik hat mit dem IT-Grundschutz-Kompendium sowie den BSI-Standards ein Instrumentarium entwickelt, welches Firmen eine umfassende Orientierungshilfe für eine gelungene IT-Sicherheitsstrategie bietet.

Um die Vorzüge des IT-Grundschutzes und der BSI-Standards voll auszuschöpfen, sollten Unternehmen deshalb diese Schritte befolgen:

  1. IT-Sicherheitslage analysieren – Erfassung von IT-Systemen, Anwendungen und Prozessen; Identifizierung von Schwachstellen und Bedrohungen.
  2. Relevante Module und Standards auswählen – Selektion basierend auf Branche, Unternehmensgröße sowie eigenen Ansprüchen.
  3. Maßnahmen implementieren – Integration in interne Prozesse und Richtlinien; Sensibilisierung der Mitarbeiter für IT-Sicherheit.
  4. Überprüfung und Anpassung – Regelmäßige Kontrolle und Aktualisierung der Sicherheitsmaßnahmen mittels neuer Bedrohungen und Technologien.
  5. Dokumentation und Zertifizierung – Lückenlose Maßnahmendokumentation, Zertifizierung nach BSI-Standards. Ziel ist die Schaffung hohen Vertrauens bei Kunden, Partnern und Behörden.

Gerne unterstützen wir Sie bei der Durchführung dieser Leitlinien! Kontaktieren Sie uns noch heute unter 0800 4883 338 (innerdeutsch kostenfrei) sind wir für Sie da!

 

Weiterführende Infos: Audits und IT-Infrastrukturanalysen | IT-Sicherheitsanalysen aus Angreifersicht

 

Foto © Mue Ervive @ Pexels

 

/von

Schatten-IT – Fluch (und Segen) für Unternehmen

,

Lesedauer ‘Schatten-IT – Fluch (und Segen) für Unternehmen’ 6 Minuten

Im Zeitalter voranschreitender Digitalisierung und der damit einhergehenden technologischen Entwicklung stehen Firmen vor einer Flut neuer Herausforderungen. Eine äußerst tückische, häufig unentdeckte Gefahr bedroht dabei die IT-Sicherheit und den Datenschutz in hohem Maße: die sogenannte ‘Schatten-IT’. Was sich hinter diesem Begriff versteckt und warum Unternehmen diese Bedrohung ernst nehmen müssen, erfahren Sie im folgenden Blogartikel.

Wo Schatten-IT herkommt

Automatisierung, Cloud-Computing, Big Data, künstliche Intelligenz, Internet der Dinge … technologischer Fortschritt hat die Geschäftswelt nachhaltig geändert und Unternehmen in die Lage versetzt, ihre Geschäftsstrukturen zu verbessern, datengetriebene Geschäftsmodelle zu erstellen und innovative Produkte oder Services zu schaffen. Ob es um Resilienz, Agilität, Effizienzsteigerung, innovative Wachstumsmöglichkeiten, Nachhaltigkeit oder auch Kostenvorteile geht – die Potenziale, die sich aus der fortschreitenden Evolution bahnbrechender Technologien herausbilden, sind quasi unendlich und eröffnen Unternehmen bisher unerwartete Chancen.

Laut einer aktuellen Studie des Capgemini Research Institutes passen sich etliche Firmen dieser Dynamik an und setzen den Fokus auf intelligente Produkte sowie Services, die auf digitalen Technologien und künstlicher Intelligenz aufbauen. Knapp sieben von zehn Unternehmen sind der Meinung, dass sie ohne Investitionen in intelligente Produkte und Services Marktanteile verlieren plus Wettbewerbsvorteile riskieren. Es wird erwartet, dass in den kommenden drei Jahren durchschnittlich 28 Prozent des Unternehmensumsatzes aus intelligenten Services kommen werden – aktuell sind es nur 12 Prozent.

Ungeachtet dieser Vorteile führt die Implementierung innovativer Technologien auch zu unerwarteten Nebenwirkungen.

Schatten-IT – eine Definition

Der Begriff ‘Schatten-IT’ bezeichnet den Einsatz von IT-Instanzen in der Infrastruktur eines Unternehmens, ohne das diese durch die IT-Abteilung autorisiert wurden. Dies geschieht häufig in Eigeninitiative der MitarbeiterInnen mit dem Hintergedanken, Zeit zu sparen und Arbeitsabläufe zu vereinfachen, um so die Produktivität zu potenzieren. Mögliche Risiken in Bezug auf IT-Sicherheit, Compliance oder Datenschutz werden dabei leider außer Acht gelassen – sei es durch Unwissenheit oder Fahrlässigkeit. Der Begriff definiert dabei sowohl Hardware- (private Mobiltelefone, Router, Drucker etc.) als auch Software-Komponenten (Cloud-Dienste, Apps, eigenentwickelte Anwendungen, Skripte usw.).

Schatten-IT – die Risiken auf einen Blick

Die unkontrollierte Nutzung solcher IT-Komponenten stellt eine große Bedrohung für Firmen dar und birgt immense Risiken. Ein paar der potenziellen Bedrohungen und Risiken von Schatten-IT sind:

Sicherheitsrisiken

Wenn Mitarbeiter Schatten-IT in Form von Hard- oder Software ohne die Befugnis oder das Wissen der IT-Abteilung nutzen, entstehen unweigerlich Sicherheitslücken. Und da der IT-Abteilung die Übersicht über diese Systeme fehlt, bleiben diese Sicherheitslücken zudem unentdeckt, was das Schadenspotenzial nochmals erhöht.

Compliance-Risiken

Unternehmen unterliegen oftmals branchenspezifischen Regeln, Normen und Gesetzen in Bezug auf IT-Sicherheitsanforderungen. Die Nutzung von Schatten-IT erhöht das Risiko der Nichteinhaltung dieser Vorschriften um ein Vielfaches. Rechtliche Konsequenzen, Strafen und Reputationsverlust sind die logische Folge.

Datenverlust

Im Rahmen der unautorisierten Nutzung von Schatten-IT erfolgt oftmals eine Speicherung sensibler Unternehmensdaten auf u.U. unzureichend gesicherten IT-Systemen (z.B. lokale Sicherung auf einem Tablet, Sicherung bei einem Cloud-Dienstleister). So entsteht ein hohes Risiko, dass diese Daten abhandenkommen (Geräteklau, Hackerangriffe usw.).

Mangelnder Support

Ohne die Unterstützung der IT-Abteilung, dedizierte Serviceverträge oder ähnliche Supportmodelle sorgt jede Störung an Schatten-IT-Komponenten für unnötige, langwierige Verzögerungen im Geschäftsablauf – dies führt den Initialgedanken, der überhaupt zum Einsatz solcher IT-Komponenten geführt hat, ad absurdum!

Ineffizienz

Ein weiterer ‘Ad Absurdum-Faktor’ – beschaffen einzelne Teammitglieder voneinander unabhängig Schatten-IT in Form von Hard- oder Software, kann es zu Kompatibilitätsproblemen kommen, was die Zusammenarbeit ineffizient macht (als Beispiel: unterschiedliche Dateiformate).

Unerwartete Folgekosten

Alle aus den vorangegangenen Punkten entstandenen Probleme sind mit Folgekosten in Form von Serviceeinsätzen verbunden. Die Behebung solcher Probleme ist nicht oder nur schwer kalkulierbar, wird so gut wie nie im Budget für IT-Ausgaben berücksichtigt und kommt in den meisten Fällen zum ungünstigsten Zeitpunkt.

Wie Sie Schatten-IT im Unternehmen identifizieren und verhindern

Um die Verbreitung von Schatten-IT in Unternehmen zu vermeiden oder zumindest einzudämmen, können Unternehmen verschiedene Ansätze verfolgen und sowohl präventive als auch reaktive Strategien in die IT-Sicherheitsstrategie integrieren. Ein elementarer erster Schritt liegt darin, die Erwartungen wie auch Ansprüche der Mitarbeiter zu ermitteln und passende Hard- und Software ganz offiziell bereitzustellen. Weitere Maßnahmen sind:

Richtlinien und Prozesse

Entwickeln Sie klare und informative Richtlinien für die Verwendung sämtlicher IT-Ressourcen und aktualisieren Sie diese in regelmäßigen Abständen. Im Rahmen dieser Richtlinien sollten Sie die Gefahren der Benutzung von Schatten-IT explizit ansprechen (und entsprechende Sanktionen für Verstöße festlegen).

Mitarbeitersensibilisierung und Schulung

Durch kontinuierliche Sensibilisierungsmaßnahmen und Schulungen machen Sie Ihre Mitarbeiter fit für die Gefahren von Schatten-IT. Effizienztipp: Die generelle Bedeutung der Einhaltung von IT-Sicherheitsrichtlinien und -Vorschriften (s.o.) in diesem Zusammenhang direkt mit aufzeigen!

Audits und Kontrollinstanzen

Die Durchführung regelmäßiger IT-Audits und die Einführung effizienter Kontrollinstanzen (Wartung o.ä.) identifiziert Schatten-IT und ermöglicht passende Gegenmaßnahmen.

Zugangskontrollen und Identitätsmanagement

Die Implementierung robuster Zugangskontrollen und eines funktionierenden Identitätsmanagements garantiert, dass ausschließlich autorisierte Benutzer Zugriff auf sensible Informationen oder Systeme haben.

Offene Kommunikation und Feedback-Kultur

Die Förderung einer geöffneten Kommunikations- und Feedback-Kultur sorgt für die proaktive Identifikation genutzter Schatten-IT. Motivieren Sie alle MitarbeiterInnen dazu, Zweifel bezüglich der internen IT-Sicherheit auszudrücken und Vorschläge für Optimierungen zu unterbreiten. Zudem kann das Team so gemeinsam Lösungen erarbeiten, die den Einsatz von Schatten-IT in Form von Hard- und Software grundlegend überflüssig machen.

Incident Response und Notfallplanung

Firmen sollten Incident Response-Pläne erstellen, welche klare Verantwortlichkeiten sowie Verfahren für die Interaktion mit Sicherheitsvorfällen im Kontext mit Schatten-IT definieren. Achtung: Dies Pläne müssen regelmäßig geprüft und ergänzt werden, um sicherzustellen, dass sie auf dem neuesten Stand der Technik sind und wechselnden Bedrohungen und Gefahren gerecht werden.

Schatten-IT: Eine Chance für Innovation und Kreativität im Unternehmen

Ungeachtet der Risiken, die mit dem Gebrauch von Schatten-IT verknüpft sind, gibt es auch einige Vorteile. Wenn Mitarbeiter selbstständig Programme aussuchen und implementieren, trägt dies zur Aufwertung ihrer Laune und Bindung an das Unternehmen bei. Sie sind motiviert, ihre Produktivität zu erhöhen und die Arbeit effizienter zu gestalten. Zudem sorgt die Integration der Teammitglieder bei der Auswahl Lösungen für hohe Akzeptanz – ein Garant für deren Nutzung.

Ein weiterer Vorteil von Schatten-IT ist die Workload-Reduzierung für die IT-Abteilung. Wie der Artikel zeigt, sind Schatten-IT-Komponenten alles andere als sicher oder sinnvoll, können jedoch als offizieller Bestandteil der IT-Infrastruktur den Aufwand der IT-Abteilung mindern. Zum Beispiel dann, wenn einzelne Teammitglieder sich um die Administration bestimmter Komponenten (auf Anwenderebene) selbst kümmern können und so die IT-Abteilung entlasten.

Zu guter Letzt kann tatsächlich eintreffen, was initialer Gedanke hinter autarkem Mitarbeiterhandeln war – Anstatt Anträge für ein neue Hard- oder Software-Komponente einzureichen und dann auf die Implementierung durch die IT-Abteilung warten zu müssen, nimmt Ihr Team die Sache in die eigenen Hände.

Fazit: Chancen nutzen, Risiken minimieren!

Fakt ist: Für Unternehmen ist Schatten-IT ein zweischneidiges Schwert. Einerseits kann sie die Arbeit beschleunigen und die Mitarbeiterzufriedenheit verbessern. Auf der anderen Seite birgt sie teils enorme Risiken in Bezug auf IT-Infrastruktursicherheit, Compliance sowie Datenschutz. Um die komplexen Herausforderungen mit Erfolg zu bewältigen, ist eine gesamtheitliche und präzise IT-Sicherheitsstrategie unabdingbar. Erstellen Sie hierfür einen Katalog aus pro- und reaktiven Maßnahmen. Durch die gründliche Implementierung solcher Konzepte sind Unternehmen in der Lage, die Gefahren von Schatten-IT effektiv zu reduzieren und eine sichere, effiziente und produktive Arbeitsumgebung für das Team zu schaffen.

Wollen auch Sie sich mit einer ganzheitlichen und umfangreichen IT-Sicherheitsstrategie vor den Risiken von Schatten-IT schützen? Haben Sie weiterführende Fragen zum Thema oder zu anderen Aspekten der IT-Sicherheit? Sprechen Sie uns an – unter 0800 4883 338 (innerdeutsch kostenfrei) sind wir für Sie da!

 

Weiterführende Infos: Audits und IT-Infrastrukturanalysen | IT-Sicherheitsanalysen aus Angreifersicht

 

Foto © Mue Ervive @ Pexels

 

/von