Schlagwortarchiv für: sicherheit

Lesedauer ‘EU-Cybersicherheitsstrategie: Maßnahmen gegen Internetangriffe und Internetkriminalität’ 7 Minuten

Ein Unternehmen führen ohne Internet und digitale Technologien – undenkbar. Das breite Wissensspektrum sowie die Möglichkeiten der Digitalisierung inspirieren unser tägliches Handeln, unterstützen den Fortschritt in der Geschäftswelt und gestatten globale Vernetzung. Allerdings sind mit all diesen Vorteilen auch Gefahren verbunden. Internetkriminalität, Desinformationskampagnen und digitale Spionage haben sich zu übergreifenden Bedrohungen entwickelt. In Anbetracht dieser Gefahrenlage hat die Europäische Union eine Cybersicherheitsstrategie formuliert. Welche speziellen Regelungen diese Vorgehensweise umfasst und wie sie Unternehmen und Einzelpersonen in der EU prägt, erörtern wir Ihnen im folgenden Artikel.

Den digitalen Alltag sicher gestalten

Remote Work statt Büroarbeit, virtuelle Meetings statt Konferenzraum, Online Shopping statt Einkaufsbummel: In den letzten Jahren gestaltet sich unser tägliches Leben, sowohl privat als auch im beruflich, zunehmend ‘digitalisiert’. Das überrascht kaum: Im Gegensatz zu traditionellen Lebens- und Arbeitsweisen bieten digitale Technologien diverse ökonomische wie ökologische Vorteile.

Doch wo Licht ist, ist auch Schatten: Die wachsende Online-Präsenz ruft Kriminelle auf den Plan, welche von der Anonymität des Internets profitieren. Egal ob es um Datendiebstahl, digitale Erpressung oder virtuelles Stalking geht – die Spanne möglicher Straftaten ist hoch und betrifft Einzelpersonen ebenso wie Wirtschaftsunternehmen und Behörden. Dieser Trend steigt in Zukunft noch an – bis 2025 sind weltweit ca. 41 Milliarden Geräte mit dem ‘Internet der Dinge’ verbunden.

Die so entstehenden Schäden liegen bereits jetzt in Billionenhöhe! Allein die deutsche Wirtschaft erleidet durch Internetangriffe einen jährlichen finanziellen Verlust von ca. 206 Milliarden Euro. Und wir reden hier noch nicht von etwaigen Reputationsschäden oder – im schlimmsten Fall – dem Verlust der Geschäftsfähigkeit.

Um den vielfältigen und fortlaufend wechselnden Bedrohungslagen effizient zu begegnen, hat die Europäische Union bereits im Dezember 2020 eine innovative Cybersicherheitsstrategie verabschiedet.

Sicherheit und Transparenz als Kernpunkte

Die EU-Cybersicherheitsstrategie ist weit mehr als nur ein politisches Statement. Sie ist ein umfassender Plan für die Zukunft der digitalen Sicherheit in Europa und über europäische Grenzen hinaus. Sie hat das Ziel, einen digitalen Raum zu erzeugen, der nicht bloß sicher ist, sondern zudem die Grundwerte und Grundrechte der europäischen Bevölkerung, Wirtschaft und Gesellschaft beschützt.

Die Strategie ist in drei wesentliche Aktionsbereiche gegliedert:

  1. Stärkung der Widerstandsfähigkeit und der technologischen Souveränität: Dieser Aktionsbereich konzentriert sich auf die Stärkung der Resistenz kritischer Infrastrukturen, beispielsweise dem Gesundheitswesen, der Energieinfrastruktur sowie dem Verkehrssektor. Unterschiedliche Regelungen, etwa das Programm zur Cyber-Sicherheitszusammenarbeit (CSC) und die NIS2-Richtlinie, garantieren die Absicherung der EU sowie ihrer Mitgliedstaaten gegen Cyberbedrohungen. Des Weiteren ist die Einrichtung eines KI-gestützten Netzwerks von Sicherheitszentren vorgesehen, welches als ‘EU-Cyber-Schutzschild’ dienen soll.
  2. Entwicklung operativer Fähigkeiten für Prävention, Abschreckung und Reaktion: Die EU richtet eine zentrale Cyberkoordinierungsstelle ein, die die Zusammenarbeit zwischen den diversen EU-Organen und den nationalen Behörden optimiert. Zudem erweitert sie den Handlungsspielraum der EU im Bereich der Cyberdiplomatie und treibt die Entwicklung von Kenntnissen zur Cyberabwehr voran.
  3. Förderung eines weltweit offenen und sicheren Cyberraums: Mit diesem Aktionsbereich etabliert die EU einheitliche Regeln für hohe digitale Sicherheit. Durch die Intensivierung internationaler Kooperationen erarbeitet sie Normen und Standards, welche im Einklang mit den Werten der Europäischen Union stehen. Darüber hinaus ist der Aufbau von Cyberkapazitäten in Drittstaaten ein zentraler Baustein dieses Bereichs.

EU-Cybersicherheitsstrategie: Die wichtigsten Regelungen

Die Europäische Union hat mit der Cybersicherheitsstrategie etliche Schlüsselinitiativen angestoßen und diverse Regularien fixiert, welche für die Stärkung der digitalen Resilienz der Mitgliedstaaten sorgen. Im Folgenden erörtern wir einige der wichtigsten Regelungen im Detail:

Initiative zur Kollaboration in der Cybersicherheit: Als integraler Bestandteil der EU-Cybersicherheitsstrategie setzt die Initiative zur Kollaboration in der Cybersicherheit (CSC) den Fokus auf die Verstärkung der kollaborativen Bemühungen zwischen den Mitgliedstaaten der EU sowie Drittländern. Der Anreiz besteht darin, kollektive Probleme im Bereich der Cybersicherheit wirkungsvoll zu bewältigen. Angestrebt ist ein überlegenes Cybersicherheitsniveau. Erreicht wird dies durch den Austausch bewährter Verfahren sowie die Publikation von Fakten.

NIS2: Die NIS2-Richtlinie definiert strenge Sicherheitsvorschriften für kritische Infrastrukturen, IT-Landschaften und -Dienste. Davon ausgehend müssen Unternehmen und Organisationen zwingend adäquate Strategien zur Verteidigung ihrer IT-Systeme und -Netzwerke implementieren. Bei Zuwiderhandlungen ist mit schweren Sanktionen zu rechnen.

Gesetz zur Cyber-Resilienz: Die Vorschrift zur Cyber-Resilienz (kurz CRA) verfolgt das Ziel, die betriebliche Widerstandsfähigkeit gegen Internetkriminalität zu steigern. Wirtschaftsunternehmen und staatliche Einrichtungen sind dazu aufgefordert, präventive Schritte zur effektiven Sicherung ihrer Informations- und Kommunikationssysteme einzuleiten.

Regelung der Integration von künstlicher Intelligenz im Gesundheitswesen: Diese Vorschrift klärt die gesetzeskonforme Integration von KI im Bereich des Gesundheitswesens. Ihr Ziel ist die Minimierung möglicher Datenschutzrisiken, ohne jedoch die Vorteile der Nutzung von künstlicher Intelligenz im Gesundheitswesen einzuschränken.

Die Vorteile eines koordinierten Ansatzes für die Internetsicherheit

In einer digitalisierten Welt, in der die Internetkriminalität stetig steigt und Bedrohungen zunehmend raffinierter und komplexer werden, ist koordiniertes Vorgehen in Bezug auf Internetsicherheit nicht bloß erwünscht, sondern angebrachte Notwendigkeit. Dieser koordinierte Ansatz ermöglicht die Schaffung eines homogenen Handlungsrahmens, welcher die Vereinheitlichung und Verbesserung der Cybersicherheitspraktiken in den einzelnen Mitgliedstaaten erleichtert. Diese Rahmenbedingungen stellen sicher, dass alle Mitgliedstaaten die gleichen, hohen Standards in Sachen Internetsicherheits-Management erfüllen.

Darüber hinaus hat eine koordinierte Cybersicherheitsstrategie weitreichende Vorzüge: Sie erschafft eine einheitliche Front gegen Internetrisiken und unterstützt die Teamarbeit und den Informationsaustausch zwischen den Mitgliedstaaten. Dadurch entsteht ein starker und vor allem sicherer digitaler Raum, und diese Sicherheit sorgt letzten Endes für das allgemeine Wohlbefinden aller Einwohner der EU.

EU-Cybersicherheitsstrategie: Gesetzgebung für Unternehmen

Die Europäische Union hat in den vergangenen Jahren signifikante Anstrengungen unternommen, um die Cybersicherheitslandschaft in der EU zu stärken. Zu diesem Zweck wurden eigens entwickelte Richtlinien, Verordnungen und Gesetze erlassen. Diese Regelwerke schützen digitale Infrastrukturen, private Daten der Bürger sowie sämtliche, im digitalen Raum agierende, Unternehmen. Letztere sind durch dedizierte Regelungen zusätzlich abgesichert:

Deutsches BSI-Gesetz: In der BRD dient das Bundesamt für Sicherheit in der Informationstechnik (BSI) als regulierende Institution für Cybersicherheit. Das BSI-Gesetz erklärt deren Zuständigkeiten sowie Befugnisse und leistet einen unverzichtbaren Teil zum Schutz der Informationssicherheit innerhalb Deutschlands.

NIS-Direktive: Diese Richtlinie konkretisiert die Verantwortungsbereiche von Wirtschaftsakteuren und Organisationen im Gebiet der Internetsicherheit auf EU-Ebene und fördert Kollaborationen zwischen den Mitgliedstaaten zur Abwehr von Cybergefahren.

eIDAS-Regulierung: Diese Regelung lenkt die Anwendung elektronischer Identifizierungs- und Vertrauensdienste innerhalb der EU und sichert sowohl die Interoperabilität als auch die Integrität.

Nationale Gesetze zur IT-Sicherheit: Innerhalb der verschiedenen Mitgliedsländer der EU gibt es weitere Gesetzgebungen für die IT-Sicherheit, welche Unternehmen und Institutionen dazu anhalten, die informationstechnologischen Systeme vor Internetgefahren zu schützen.

EU-DSGVO: Diese Vorschrift etabliert strenge Richtlinien für den Umgang mit personenbezogenen Daten und setzt bei Verstößen drastische Sanktionen fest. Unternehmen, welche die derzeitigen Cybersicherheitsvorschriften nicht erfüllen, müssen mit hohen Geldbußen rechnen. Deshalb ist eine regelmäßige Kontrolle der Informations- und Kommunikationssysteme unentbehrlich, um die Einhaltung der geltenden Cybersicherheitsvorschriften zu garantieren.

EU-Cybersicherheitsbehörden auf einen Blick!

In der Europäischen Union gibt es mehrere professionelle Behörden und Organisationen, welche sich der Cybersicherheit verschreiben.

An vorderster Front steht die European Union Agency for Cybersecurity, kurz ENISA. Diese ist die zentrale Anlaufstelle für Anliegen rund um die Internetsicherheit in der EU. Die Dienststelle bietet eine Reihe von Dienstleistungen an, darunter Risikobewertungen, Tipps sowie die Förderung von Kooperationen und Netzwerken zwischen den Mitgliedstaaten.

Neben der ENISA gibt es die Computer Emergency Response Teams (CERTs). Diese Teams reagieren in Echtzeit auf Internetbedrohungen sowie Internetangriffe. Die Teams agieren sowohl auf nationaler als auch auf lokaler Ebene und bieten schnelle Unterstützung bei der Identifizierung und Bekämpfung von Internetbedrohungen.

Eine weitere Organisation, welche bei der Cybersicherheitsabwehr eine entscheidende Rolle spielt, ist das European Cybercrime Centre (EC3) von Europol. Das EC3 fungiert als koordinierende Einheit für die Abwehr von Internetkriminalität in der EU und begünstigt den Informationsaustausch und die Zusammenarbeit zwischen den Strafverfolgungsbehörden der Mitgliedstaaten.

Sämtliche dieser Behörden arbeiten Hand in Hand und gewährleisten so eine koordinierte und wirkungsvolle Reaktion auf sämtliche Bedrohungen für die Internetsicherheit. Die Aktivitäten dieser Behörden und Organisationen sind wesentlicher Bestandteil der EU-Cybersicherheitsstrategie.

Ein Meilenstein für die digitale Souveränität Europas

Fakt ist: Das Internet und digitale Technologien haben grundlegende Auswirkungen auf unseren Geschäftsalltag. In diesem Kontext stellt die EU-Cybersicherheitsstrategie einen entscheidenden Baustein für die Instandhaltung der digitalen Integrität sowie Absicherung in Europa dar. Durch eine Kombination aus koordinierten Strategien, spezialisierten Behörden und umfangreichen rechtlichen Rahmenbedingungen bietet die Strategie einen robusten Schutzschild gegen die vielfältigen Internetbedrohungen unserer Zeit.

Alle Fragen zum Thema sowie weitere Details zur ‘EU-Cybersicherheitsstrategie’ erörtern wir Ihnen gerne persönlich! Kontaktieren Sie uns unter der kostenfreien Nummer 0800 4883 338.

 

Weiterführende Infos: Infrastruktursicherheit mit Lösungen von ITQ | Microsoft Azure Security | IT-Sicherheitskonzepte

 

Foto © JESHOOTS.com @ Pexels

 

Lesedauer: ca. 3 Min

Dass Kriminelle oft schneller und weiter sind als die Kriminalisten, ist bekannt. Das gilt auch und umso mehr für die Cyber-Kriminalität. Deshalb schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in dem auf seiner Webseite veröffentlichtem Bericht „Die Lage der IT-Sicherheit in Deutschland 2020“:

„Wie wichtig Flexibilität und Praxisorientierung im Bereich der Cyber-Sicherheit sind, wird auch am Beispiel der Corona-Krise deutlich. Denn diese hat gezeigt, wie adaptionsfähig auch Cyber-Kriminelle sind und welche Bedrohungslage daraus entstehen kann. Das BSI beobachtete eine Zunahme von Cyber-Angriffen mit Bezug zur Corona-Thematik auf Unternehmen ebenso wie auf Bürgerinnen und Bürger.“

Quelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2020.pdf?__blob=publicationFile&v=2 (Seite 80)

Und auf Focus Online stand im Dezember zu lesen:

„Mittwoch, 23.12.2020 | 12:43
Ein Hackerangriff legt die Produktion des deutschen Aromaherstellers und Dax-Kandidaten Symrise lahm. Es ist das nächste Beispiel dafür, dass eine bestmögliche Cyber-Sicherheit im Zeitalter der Digitalisierung für Unternehmen essenziell ist. …
Der Hersteller von Duft- und Aromastoffen aus dem niedersächsischen Holzminden ist unter der Woche das nächste, prominente Opfer von Cyber-Kriminalität in Deutschland geworden. Unbekannte Täter sollen ein Virus installiert haben. Die Behörden ermitteln. Bis der Sachverhalt geklärt ist, steht ein Konzern mit einem Jahresumsatz von 3,4 Milliarden Euro und über 10.000 Mitarbeitern quasi still. In einem eng getakteten Wertschöpfungs- und Lieferkettensystem eine wirtschaftliche Katastrophe. Für das Unternehmen selbst, wie auch für Zulieferer und Abnehmer.“

Quelle: https://www.focus.de/finanzen/boerse/aktien/s-s_id_12783995.html

Was das für Unternehmen bedeutet

IT-Security ist nicht nur essenziell, sie ist auch weder statisch noch eine einmalige Angelegenheit. Vielmehr fordert sie Unternehmen und Mitarbeiter – vor allem auch diejenigen, die seit Corona im Home-Office arbeiten – immer wieder heraus.

Das betrifft die Bereiche:

  • IT-Sicherheit
  • Computersicherheit
  • Datensicherheit
  • Datensicherung
  • Datenschutz

Auch wenn sich diese Bereiche teilweise überschneiden, so erfordern Sie doch unterschiedliche Sicherheitsinstrumente und Sicherheitsmaßnahmen. Beides möglichst aufeinander abgestimmt und in regelmäßigen Abständen angewendet. Am besten noch durch externe Sicherheitsexperten, denn die haben eine gewisse Distanz zu den ansonsten eingefahrenen Abläufen und Prozessen in den Unternehmen und damit eher die Chance, Schwachstellen, die immer wieder neu und anders entstehen können, aufzudecken.

Was können IT- bzw. Management-Verantwortliche tun?

Beginnen Sie damit, Informationssicherheit als einen dynamischen Zyklus zu verstehen. Nach einem Penetrationstest und der Ermittlung des Sicherheitsstandes werden die erforderlichen Sicherheitsmaßnahmen implementiert und umgesetzt. Dann folgen regelmäßig wiederkehrende Prüfungen, ob die ermittelten Risiken weiterhin erfolgreich beseitigt oder neue hinzugekommen sind. Dabei werden die technischen wie auch organisatorischen sowie infrastrukturellen Voraussetzungen geprüft und entsprechende Maßnahmen besprochen, die die Sicherheit optimieren.

Fragen Sie einfach unsere Sicherheitsexperten nach der Basisprüfung ITQ. Sie beraten Sie gerne und besprechen mit Ihnen die relevanten Sicherheitsbereiche hinsichtlich Ihrer Geschäftsprozesse, IT-Anwendungen, IT-Systeme und betriebsrelevanten Räumlichkeiten des Unternehmens. Einen Termin dazu können Sie gerne auch online vereinbaren. Zur online Terminvereinbarung geht es hier.

Lesedauer: ca. 4 Min

ITQ, diesen Begriff haben Sie sicherlich schon einmal im Schneider + Wulf Universum gehört. ITQ ist ein Prüfsystem, mit dem Unternehmen gesetzliche Anforderungen erfüllen und sich auf Herz und Nieren prüfen lassen können. ITQ gehört zum Schneider + Wulf Portfolio und unsere Kunden zeigen sich regelmäßig begeistert davon! Aber warum?

https://schneider-wulf.de/wp-content/uploads/2021/03/Schneider-Wulf-Referenz-ITQ-Bastian-Tambe-Jaeger-Direkt.jpg

„Wir haben Schneider + Wulf kennengelernt als einen Partner auf Augenhöhe. Die ITQ Basisprüfung durchzuführen war eine sehr gute Entscheidung. Jetzt haben wir Klarheit, wo wir mit der IT Sicherheit stehen. Auf dieser Basis können wir jetzt gemeinsam Entscheidungen treffen, um mit einem guten Gefühl die IT Sicherheit proaktiv weiterzuentwickeln. Auch bei diesen nächsten Schritten hat uns Schneider + Wulf zielorientiert beraten und pragmatische Lösungen erarbeitet, die ins gesteckte Budget passen.

Bastian També
Geschäftsführer Jäger Direkt

Warum ist ITQ das richtige für Ihr Unternehmen?

Das ITQ-Prüfsystem ist optimal angepasst für KMU und hat sich über die Jahre immer weiter entwickelt. Mit unserem Fragebogen und unserer regelmäßigen Abfrage haben Sie die Sicherheit, gesetzliche Anforderungen zu erfüllen und können Ihre unternehmerische Sorgfaltspflicht nachweisen. Außerdem schaffen Sie perfekte Bedingungen für ISO- und DIN-Zertifizierungen, als deren Vorbereitung eine ITQ-Prüfung angesehen werden kann.

Hand aufs Herz: eine interne Prüfung hat häufig ein anderes Ergebnis, als wenn unabhängig geprüft wird. Allein die eigene „Unternehmensbrille“ verschleiert den Blick auf viele Themen. Darüber hinaus schonen Sie intern wichtige Ressourcen – und bezahlbar ist ITQ auch!

Wie läuft eine ITQ-Prüfung ab?

Am Anfang jeder ITQ-Prüfung steht ein Kick-off Webinar. Hier sind zuerst Sie am Zug: wie ist Ihre IT aufgestellt, was ist vorhanden? Wir sehen uns gemeinsam Dokumentationen, Netzwerkpläne und Vereinbarungen an. Parallel bearbeiten wir den ITQ-Fragebogen, aus deren Beantwortung sich erste Rückschlüsse auf die Qualität Ihrer Unternehmenssicherheit ziehen lassen.

Im Anschluss erfolgt eine Prüfung vor Ort. Wir sprechen mit den Machern, also Ihren ITlern, Sicherheitsbeauftragten, etc. Wir besichtigen Ihre IT-Räume und prüfen Aushänge, Ordner, etc.

Im Anschluss erhalten Sie einen maßgeschneiderten Maßnahmenkatalog, aus dem schnell klar wird, wo Sie Nachholbedarf haben, aber auch, wo Sie bereits gut oder sehr gut aufgestellt sind.

Im Anschluss machen wir auf monatlicher Basis weiter: was hat sich getan, wo sehen Sie und wir Fortschritte, welche Themen gehen wir als nächstes an? Unsere Berater unterstützten Sie kompetent und zeigen Ihnen mögliche Szenarien auf.

Warum ist der ITQ-Check mehr als nur eine reine „Sicherheitsdienstleistung“?

Wir meinen: mit keinem anderen Sicherheitscheck beurteilen Sie diverse Sicherheitsaspekte in Ihrem Unternehmen ganzheitlicher als mit ITQ. Neben Abfragen zu Firewalls, Passwortsicherheit und mehr, sind auch auf den ersten Blick unübliche Themen, wie Sicherheit in Form von Brandschutz und erster Hilfe Teil der Befragung. Aufgrund diesen ganzheitlichen Blickes empfehlen wir ITQ sehr gerne!

Neugierig geworden?

Lassen Sie sich gerne von uns unverbindlich beraten. Die Erstberatung ist dabei sogar kostenlos. Einfach hier einen Termin vereinbaren.

Autor: Sebastian Gottschalk

Lesedauer: ca. 10 Min

Gespräch zwischen Sven Wulf und Stephan Bail (Geschäftsführer der AzureCore 365 GmbH) zum Thema ‘Microsoft 365 – Chancen und (rechtliche) Risiken’.

Sven Wulf: Was macht ihr da jetzt ganz genau, wenn ihr Unternehmen dabei unterstützt, Microsoft 365 einzuführen?

Stephan Bail: Zunächst lassen wir einen Scan über alle Microsoft 365-Einstellungen laufen und bewerten diese sehr granular. Das bedeutet, wir gehen wirklich jede relevante Einstellung durch, die einen Einfluss auf die Sicherheit der Daten oder auf den Datenschutz haben kann. Aber auch auf den Schutz ihrer Identitäten, welche mit Microsoft 365 arbeiten. Am Ende erhält die Organisation eine pragmatische Risikobewertung, welche dabei unterstützt, etwa auch nach dem Microsoft 365 schon eingeführt wurde, wirklich wichtige Einstellungen schnell und sicher so umzusetzen, dass Microsoft 365 bedenkenfrei eingesetzt wird.

Wulf: Was sind denn typischerweise Ergebnisse, welche Organisation da in der Auswertung bekommen?

Bail: Wir haben mehr als 40 Themenbereiche, welche uns regelmäßig begegnen. Das beginnt beim Schutz der Identitäten, welche in der Regel über Azure Active Directory eingeführt werden müssen. Azure Active Directory ist die Identitätsmanagement-Lösung, welche zum Einsatz kommt, wenn Organisation Microsoft 365 einführen. Viele wissen das erst mal gar nicht. Das Azure Active Directory bietet wirklich zahlreiche Möglichkeiten, Benutzer und Zugriffe zu schützen. Diese sind aber eben bei der Einführung erst einmal zu bedenken. Organisationen müssen Prozesse und Technologien hierfür zunächst einmal etablieren. Uns begegnen erschreckend häufig Konfigurationen, welche nicht einmal ansatzweise den heute gängigen Sicherheitsstandards genügen. Damit fällt es Angreifern gleichzeitig denkbar einfach, Identitäten – welche Microsoft 365 einsetzt – zu attackieren. Beispielsweise über schwach gesetzte Kennwörter Ihrer Anwender – und wenn kein zweiter Faktor bei der Authentifizierung zum Einsatz kommt. Damit entstehen erhebliche Sicherheitslücken, welche zunächst oftmals bei der Einführung gar nicht so sehr im Vordergrund stehen.

Wulf: Spielt denn der Schutz von Identitäten wirklich so eine große Rolle?

Bail: Man darf einfach nicht vergessen, dass Anwender von Microsoft 365 heute mit Onlinelösungen arbeiten. Das bedeutet, dass die Lösungen von Microsoft 365 einerseits zwar wirklich komfortabel und von überall auf der Welt zu nutzen sind, aber die Identitäten nun mal damit ebenfalls auch online. Das ist ein prädestiniertes Ziel für Angreifer und wenn man so möchte regelrecht ein Paradies für kriminelle Hacker da draußen.

Wulf: Wir beobachten seit einiger Zeit mit Sorge bei der Einführung von Microsoft 365 durch Unternehmen in Deutschland, dass automatisch davon ausgegangen wird, dass diese Lösungen schon sehr sicher sind. Unterliegen diese Unternehmen denn da alle einem Trugschluss?

Bail: Microsoft bietet zahlreiche Möglichkeiten, Informationen, Dokumente und Identitäten zu schützen, keine Frage. Aber das geht nun mal nicht automatisch, hier müssen Organisationen einfach Hand anlegen. Niemals wurde behauptet, übrigens auch von Microsoft nicht, dass Dokumente, Informationen und Identitäten einfach automatisch und fast schon magisch geschützt sind – ohne dass ohne Zutun durch die Organisation selbst. Bei lokal gespeicherten Daten (On Premises) haben das Unternehmen das oftmals schon sehr granular gemacht. Wenn das im Kontext Microsoft 365 nicht gemacht wird, entsteht dann schnell eine ‘Schatten-IT’. Das geht so lange gut, bis etwas passiert und die ersten Angreifer ihre Daten abgezogen haben. Nur dann ist es oftmals zu spät. Zwar unterstützen wir Unternehmen auch in diesem Fall nachträglich, hier die Informationen zu schützen und Mechanismen zu implementieren, aber eine Attacke rückgängig zu machen ist defacto nicht möglich, dann liegen wichtige Dokumente und Daten bereits im Darknet bei Angreifen und werden womöglich für eine Erpressung gegen Organisationen verwendet.

Wulf: Bist du denn der Auffassung, dass deutsche bzw. europäische Organisationen hier in Summe zu blauäugig vorgehen?

Bail: Nein keineswegs, der Lockdown hat natürlich die Notwendigkeit verstärkt, Microsoft 365 schnell und zügig einzuführen, schon weil mit Microsoft Teams die Zusammenarbeit von Mitarbeitern auch im Homeoffice deutlich vereinfacht wird. Ich begrüße diesen Trend wirklich sehr! denn Microsoft 365 ist eine Möglichkeit, die Produktivität erheblich zu steigern und zugleich enthält die Produktpalette Lösungen, welche die Digitalisierung in vielen Organisationen wirklich drastisch vorantreibt kann und wird. Aber man darf einfach nicht vergessen, dass wir alleine im Jahr 2020 117,4 Millionen neue Schadprogrammvarianten hatten, das sind 322.000 Schadprogrammvarianten am Tag! Wenn man allein an die Patientendatensätze denkt, die im 2020 frei im Internet zugänglich waren, dann sprechen wir hier von 24,3 Millionen Patientendatensätzen die allein aufgrund nicht sicherer IT an Angreifer abgeflossen sind. Der Schaden daraus ist noch gar nicht abzuschätzen. All diese Kennzahlen lassen sich übrigens einfach aus der ‘Lage der IT-Sicherheit in Deutschland 2020’ vom BSI in Erfahrung bringen. Wenn wir also daran denken, dass die Bedrohung der IT-Sicherheit durch Cyberattacken jährlich steigt, dann bedeutet das implizit, dass gerade Lösungen, welche ‘online’ verwendet werden, einer genauen Überprüfung und Absicherung bedürfen.

Wulf: Genügt es denn, wenn man diesen Scan nun einmal durchführt, alle sicherheits- und datenschutzrelevanten Einstellungen korrekt gemäß eurer Handlungsempfehlungen setzt, und dann in die Nutzung von Microsoft 365 geht?

Bail: Das wäre zu schön um wahr zu sein. Aber dann müsste Microsoft sofort aufhören, jede Woche neue Funktionen in seine Microsoft 365-Produktpalette zu implementieren. Aber im Grunde wollen wir das ja gar nicht – es ist ja toll, dass diese Produkte so lebendig sind. Aber weil Microsoft permanent neue Funktionen implementiert, entstehen natürlich immer wieder Rechtsrisiken bzw. Sicherheitsrisiken in diesem Kontext. Aber auch die Tatsache, dass sich Konfigurationen natürlich wieder verändern können – Stichwort ‘wenn neue Mitarbeiter als Identität hinzugefügt werden’ – sollte eine erneute Überprüfung möglichst regelmäßig stattfinden. Ansonsten hat man initial zwar irgendwann einen sehr sicheren Stand, welcher aber nach wenigen Monaten, spätestens einem Jahr schon wieder etliche Risiken mit sich bringen kann.

Wulf: Nehmen wir einmal kurz an, es gäbe aus den Handlungsempfehlungen nun technische Einstellungen, welche die betreffende Organisation gar nicht so einfach umstellen kann oder will. Wie geht ihr denn dann vor? Oder mal eine ketzerische Frage, habt ihr denn bei euch in der Organisation alles perfekt eingestellt?

Bail: Das ist gar nicht der primäre Ansatz. Selbstverständlich beraten wir Unternehmen im Detail, wirklich kritische Einstellungen zu überdenken. Aber nein, um auf deine Frage zu antworten – auch bei uns ist nicht jede Einstellung so gesetzt, dass wir auf die 100% kommen. Aber wir haben organisatorische Maßnahmen ergriffen, um gewisse bedenkliche technische Einstellungen trotzdem organisatorisch zu regeln. Und das ist eben das Wichtige: Manchmal gibt es organisatorische Maßnahmen, mit denen man technische Einstellungen, welche eben nicht verändert werden können oder nicht verändert werden sollen, besser in den Griff bekommt.

Wulf: Hast du da ein Beispiel?

/von

Lesedauer: ca. 3 Min

Gerät ein Passwort in die falschen Hände, kann das für ein Unternehmen sehr unangenehm werden. Mögliche Folgen reichen vom Image-Verlust über finanzielle Schäden bis zur Gefährdung der Existenz der Firma. Wie Sie das Unternehmen und Ihre Mitarbeiter vor Passwortdiebstahl schützen, verrät Ihnen unser aktuellster Blog-Beitrag.

Mitarbeiter sensibilisieren und sichere Passwörter verwenden

Der Mensch ist ein wichtiger Faktor, um den Diebstahl von Passwörtern zu verhindern. Es ist daher entscheidend, die Mitarbeiter hinsichtlich möglicher Gefahren und eines verantwortungsvollen Umgangs mit Passwörtern zu sensibilisieren. Die typischen Methoden der Cyber-Kriminellen wie Phishing, Brute-Force-Angriffe, Keylogger oder Malware müssen den Mitarbeitern bekannt sein.

Selbstverständlich sollte es sein, dass im Unternehmen keine leicht zu erratenden, sondern sichere Passwörter verwendet werden. Typische Standardpasswörter wie “12345678”, “qwertzu” oder “passwort” sind tabu. Die Zeichenkombinationen sollten eine Mindestkomplexität aufweisen und für jeden Service unterschiedlich sein. Damit Sie den Mitarbeitern den Umgang mit komplexen Passwörtern erleichtern und kein unnötiger Frust entsteht, empfiehlt sich der Einsatz eines Passwort-Managers beziehungsweise eines unternehmensweiten Passwort-Managements. Solche Lösungen generieren auf Knopfdruck sichere Passwörter und reduzieren den Aufwand der Passwortverwaltung.

Multi-Faktor-Authentifizierung einsetzen

Mit dem Einsatz der Multi-Faktor-Authentifizierung heben Sie die Passwortsicherheit in Ihrem Unternehmen auf ein deutlich höheres Niveau. Selbst wenn ein Passwort in die Hände eines Cyber-Kriminellen gerät, ist es ihm noch nicht möglich, sich unter fremder Identität anzumelden. Er benötigt zur Authentifizierung einen weiteren vom Passwort unabhängigen Faktor wie eine per SMS versandte PIN, eine Identity-Card oder ein biometrisches Merkmal wie einen Fingerabdruck. Aus diesem Grund sollte die Multi-Faktor-Authentifizierung dort, wo sie unterstützt wird, die bevorzugte Authentifizierungsmethode sein.

Weitere IT-Sicherheitslösungen zur Verhinderung des Passwortdiebstahls

Technische Sicherheitslösungen wie Firewalls, Intrusion Detection und Intrusion Prevention Systeme (IDS und IPS), mobiles Geräte-Management (MDM), Viren-Scanner oder Mail-Filter schützen nicht nur die IT-Umgebung Ihres Unternehmens, sondern tragen auch zum Schutz Ihrer Passwörter bei. Sie verhindern, dass Unbefugte in Ihre Systeme oder Netzwerke eindringen, schädliche Software installieren, Server, Client-Rechner oder mobile Endgeräte kompromittieren und Passwörter stehlen. Darüber hinaus ist stets darauf zu achten, dass sämtliche im Unternehmen eingesetzte Software auf dem aktuellsten Stand ist. Verfügbare Updates oder Sicherheits-Patches sind zeitnah einzuspielen.

Möchten Sie Ihr Unternehmen zuverlässig vor Passwortdiebstahl schützen und sich über verfügbare Lösungen informieren, stehen Ihnen die Sicherheitsexperten von Schneider + Wulf mit Rat und Tat zur Seite. Gerne übernehmen wir die Implementierung einer optimalen Lösung und weisen Ihre Mitarbeiter ein. Melden Sie sich jetzt direkt bei Schneider + Wulf und buchen Sie eine kostenlose Erstberatung.

Autor: Sebastian Gottschalk

Lesedauer: ca. 3 Min

Was haben Schauspielerin Jennifer Lawrence, Sängerin Nicole Scherzinger, Wrestler Hulk Hogan und Rockstar Mick Jagger gemeinsam? Sie alle wurden Opfer eines “erfolgreichen” Hacking-Angriffes. Dabei lagen sämtliche Daten in einer Cloud.

Viele Unternehmen verweigern den Schritt in die digitale Datenablage, oftmals aus Gründen der Datensicherheit. Aber was ist dran?

Cloud-Anbieter haben längst selbst die Gefahren von Hacker-Angriffen und Datenmissbrauch erkannt. Kein Wunder also, dass jedes Jahr unendlich viele Ressourcen in das Thema “Sicherheit” fließen. Was Cloud-Anbieter allerdings nicht kontrollieren können: ihre Nutzer. Bei vielen Hacker-Angriff zeigt sich im Nachhinein: Passwörter wurden zu lasch gewählt, Endgeräte kaum oder gar nicht gesichert, die “Schuld”, wenn man sie so nennen will, liegt also eigentlich beim User. Und der schläft oftmals.

So haben wir in unseren physischen Unternehmen Zutrittskontrollen, Kamera-Überwachung, Schranken-Systeme, aber oftmals kein Sicherheitskonzept für die IT! Welche Daten müssen wie geschützt werden, wer erhält welche Zugriffe, wie sieht ein gutes Passwort aus und wie verschlüssle ich sensible Daten? Fragen, die oftmals ungeklärt bleiben.

Zur Beruhigung vorneweg: ein gutes Sicherheitskonzept muss nicht umfangreich oder aufwendig sein! Denn wenn Mitarbeiter*innen ausschließlich die von der IT autorisierten Cloud-Dienste nutzen, sind Risiken kalkulierbar. Außerdem kann Implementierung und Betrieb an einen externen Dienstleister ausgelagert werden. Dieser weiß oftmals ganz genau um Sicherheitsrisiken und kann diese Ihnen bereits beim Beratungsgespräch benennen.

Als Schneider + Wulf haben wir übrigens den “ITQ”-Sicherheitscheck in unserem Portfolio. In einem 360 Grad Audit prüfen wir dabei Ihre IT auf Herz und Nieren. Dieser Test wäre von einem einzigen internen ITler so kaum durchführbar! Denn oftmals versperren Workload und die “interne Brille” den Blick auf die wirklichen Gefahren. Wir zeigen Ihnen auf, wo Sicherheitsrisiken liegen, noch bevor es zum Hacker-Angriff oder Datenverlust kommt. Dank unseres umfangreichen Sicherheitskatalogs und unserer langjährigen Erfahrung sparen Sie so wertvolle Ressourcen, die Sie intern sicherlich besser einteilen können.

Lassen Sie sich von uns beraten und buchen Sie gleich hier ein kostenfreies Erstgespräch!

Autor: Sebastian Gottschalk

Schlagwortarchiv für: sicherheit

Es konnte leider nichts gefunden werden

Entschuldigung, aber kein Eintrag erfüllt Ihre Suchkriterien