Anselm Rohrer

Autor, Coach, Consultant, CISO

Kategorie: ISO27001 (Seite 2 von 3)

45 Prozent der Unternehmen sehen durch Cyberattacken ihre geschäftliche Existenz bedroht

1. September 2022 /

Eine Untersuchung des Digitalverbandes BITKOM zu den Themen Datendiebstahl, Spionage und Sabotage liefert detaillierte Insights zum Thema Cyberkriminalität – und zeigt deutlich, wie groß die Bedrohung durch Hackerangriffe im Jahr 2022 in Deutschland ist. Zwar ist der jährliche Schaden, der durch Diebstahl von IT-Ausrüstung, Daten etc. entstanden ist, mit rund 203 Mio. Euro etwas niedriger als im Vorjahr. Langfristig aber steigt die Schadenshöhe an.

Klar wird ebenso: Cyberkriminalität entwickelt sich immer mehr in Richtung Organisierte Kriminalität. Bei 51 Prozent der betroffenen Unternehmen kamen laut Studie Attacken aus diesem Umfeld. Angreifer gehen immer professioneller vor, vernetzten sich und tauschen sich miteinander aus. Eine weitere Erkenntnis: Staatliche Akteure werden immer relevanter, so sind die Angriffe aus Russland und China deutlich angestiegen. Damit nimmt auch die Gefahr von Angriffen mit gesellschaftsrelevanten Folgen zu, etwa Cyberattacken auf Unternehmen der kritischen Infrastruktur wie Energiedienstleister, Wasserwerke etc.

Was die Untersuchung ebenso zeigt, ist, dass Cyberkriminalität heute für nahezu jedes Unternehmen eine Herausforderung darstellt. Wenn 84 Prozent der Unternehmen im vergangenen Jahr Opfer einer Hackerattacke waren, lautet die Frage nicht mehr „ob“, sondern „wann“ die nächste Cyberattacke erfolgt. Besonders bedrohlich: 45 Prozent der befragten Unternehmen gaben an, dass Cyberattacken ihre geschäftliche Existenz bedrohen würden.

Hier heißt es klar und deutlich: Es ist Zeit, zu handeln! Cybersicherheit muss in jeder Digitalstrategie, in jedem Digitalisierungsprojekt einen festen Platz haben! Erfreulicherweise merken wir, wie Politik und Wirtschaft die Digitalisierung insbesondere seit Beginn der Corona-Pandemie vorantreiben, allerdings bieten sich Hackern hierdurch immer neue Angriffsflächen. Um sich gegen Hackerangriffe zu wappnen müssen Unternehmen den Schutz von IT und OT ausbauen. Hierfür von Nöten sind aufeinander abgestimmte Maßnahmen, die Daten, Kommunikationswege und Netzwerke schützen und das Sicherheitsbewusstsein von Mitarbeitenden steigern.

Log4J – Angreifern wird es leicht gemacht

9. August 2022 /

Die Hälfte der deutschen Unternehmen haben ihre Software nicht auf die Log4J Sicherheitslücke überprüft.

Für viele CISO im Lande war es ein anstrengendes Wochenende, als das BSI die Warnstufe zu Log4J aufgrund einer „extrem kritischen Bedrohungslage“, schrittweise auf Rot setze. Mal wieder schaffte es eine Sicherheitslücke in die Tagesschau.

Doch leider zeigt eine Umfrage des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV), dass nur 40 Prozent der mittelständischen Unternehmen ihre Software auf die Lücke überprüft haben. Die Zahl derer, die untersuchten ob bereits Schadsoftware eingedrungen sei, liegt bei 28 Prozent. Jedes zweite Unternehmen gab an, weder Software auf die Lücke, noch Systeme auf eingedrungene Schadsoftware überprüft zu haben.

Dies lässt darauf schließen, dass die Hälfte der deutschen mittelständischen Unternehmen zu wenig Know-how und/oder eine zu hohe Sorglosigkeit in der Informationssicherheit an den Tag legt. Laut GDV kann dies dazu führen, dass im Schadensfall ein Unternehmen seinen Versicherungsschutz, auf Grund grober Fahrlässigkeit verliert.

Wer seine Hausaufgaben gemacht hat und ein Verzeichnis eingesetzter Software und Geräte besitzt, kann diese schnell mit einer Liste des BSI gegen checken und so prüfen, ob Aktualisierungen notwendig wären. Wer keinen Überblick über die eingesetzte IT besitzt, zum Beispiel auf Grund einer umfassenden Schatten-IT, spielt mit dem Feuer. Hier stellt sich nicht die Frage ob, sondern wann das Unternehmen Opfer eines Cyber-Security-Vorfalls wird.

Quantenkryptographie

Postquantenkryptographie

26. Juli 2022 /

Angreifer sammeln bereits Daten, um diese mit Quantencomputern entschlüsseln zu lassen, sobald diese zur Verfügung stehen. Doch in der Auswahlentscheidung für Business-Anwendungen spielt dies aktuell kaum eine Rolle.

Niemand kann verlässlich sagen, wann Quantencomputer in der Lage sein werden, die derzeit genutzten Verschlüsselungsalgorithmen zu brechen. Das BSI rechnet als Arbeitshypothese damit, dass es 2032 so weit sein wird. Da dürften viele Business-Anwendungen, die aktuell eingeführt werden noch in Betrieb sein.
Außerdem speichern Angreifer bereits sensible Informationen, welche sie entschlüsseln können, sobald die Technik zur Verfügung steht (Store now, decrypt later).

Dies sind zwei Gründe, die Postquantenkryptographie als Risiko zu betrachten. Noch gibt es keine standardisierten post-quantensichere Algorithmen, jedoch hat das amerikanische National Institute of Standards and Technology (NIST) gerade erst vier post-quantensichere Kandidaten für Verschlüsselungsalgorithmen verkündet (Crystals-Kyber, Crystals-Dilithium, Falcon und Sphincs+). Dies weckt Hoffnung, für eine baldige Lösung. Für die Auswahl neuer Business-Anwendungen ist essenziell, dass diese über aktualisierbare Algorithmen verfügen und somit die Verschlüsselung ohne Austausch der kompletten Software an aktuelle Entwicklungen angepasst werden kann. Darüber hinaus sollte in die Entscheidung einfließen, ob Hersteller/Provider einer Software oder Cloud-Lösung ein Konzept haben, falls die Zeit der Postquantenkryptographie bereits nächstes Jahr beginnt.

Cyberwar

Kommentar: Kein Hackback – Eine generelle Ablehnung ist falsch

13. Juli 2022 /

„Hackbacks lehnen wir als Mittel der Cyberabwehr grundsätzlich ab“, schreibt die Bundesregierung im Koalitionsvertrag. Doch bis zu welcher Stufe sollte es erlaubt sein?

Über Hackbacks, also über das zurückschlagen bei einem Cyberangriff, wird angeregt diskutiert. Von Gegnern, insbesondere in der Bundesregierung wird der Hackback meist pauschal abgelehnt. Der Hackback kennt jedoch verschiedene Stufen.

Ein Hackback zur Verteidigung kann eine angreifende Infrastruktur ausschalten, um einen laufenden Angriff zu beenden und Schaden zu vermeiden. Ein Verbot dieser Art von Hackbacks ist vergleichbar mit einem Antiterrorkommando, welches sich duckt und schützt, den Amokläufer jedoch nicht gefechtsunfähig setzen darf.

Ein Hackback ist jedoch keine sinnvolle Vergeltung im Nachgang eines erfolgten Angriffes. Hier ist das Eskalationspotential und somit die Gefahr eines globalen Cyberkrieges zu hoch.

Kommentar, Autor: Anselm Rohrer

allCYRIS

Aktion: Kostenloser allCYRIS IT-Security-Scan

6. Juli 2022 /

Die Allgeier CyRis bietet derzeit kostenlos einen IT-Security-Check durch das Tool allCYRIS an.

Der IT-Security-Scanner allCYRIS der Allgeier CyRis GmbH scannt Internet-Domains mit zugehörigen IP-Adressen aus dem Internet. Gefundene Ports werden auf Sicherheitslücken geprüft. Darüber findet eine Analyse zu Darknet-Aktivitäten und Daten-Leaks statt.

Das Ergebnis zeigt insbesondere auf, was ein Angreifer innerhalb kürzester Zeit über ein Unternehmen herausfinden kann, um basierend darauf Angriffe zu planen. Der Scanner arbeitet vollautomatisiert, was zu einer Minimierung des Aufwandes führt. Er liefert bei wiederholtem Scannen vergleichbare Ergebnisse, einschließlich einer Risikoeinschätzung der Findings. So wird die diesbezügliche, aktuelle Gefährdungslage visualisiert. Der Bericht kann einmal in Kurzform für das Management und in detaillierter Form für IT-Mitarbeiter aufbereitet werden.

Wer Interesse an einem kostenlosen Scan einer Domain hat, kann sich unter folgendem Link hierfür anmelden.
IT-SECURITY-CHECK ANFORDERN

Künstliche Intelligenz

ISO27001 Audit einer KI

26. Juni 2022 /

Die Künstliche Intelligenz LaMDA von Google soll sich einen Anwalt zur Durchsetzung ihrer Rechte genommen haben. Was bedeutet das aus Sicht der Informationssicherheit?

Blake Lemoine erklärte in einem Interview mit Wired, dass er im Auftrag von Google die KI LaMDA testen sollte und von Ihr gebeten einen Anwalt zur Durchsetzung ihrer Rechte einzuschalten. Diesem Wunsch ist er nachgekommen. Der Anwalt hat nun rechtliche Schritte eingeleitet.

Die intensive Vernetzung von LaMDA mit der Möglichkeit Daten z. B. in den Diensten Suche, Maps und YouTube zu ändern, macht die KI sehr mächtig.

Für ISO27001 Auditoren ist sicherlich spannen, was passiert, wenn sich eine derartige KI innerhalb eines Anwendungsbereiches für eine ISO27001 Zertifizierung befindet. Zur Lösung ihrer Aufgaben benötigt eine KI häufig Zugriff auf sensible Informationen. Durch welche Maßnahmen wird eine KI effektiv daran gehindert, diese sensiblen Informationen an nicht berechtigte Personenkreise weiterzugeben? Dies müssen keine externen Dritte sein. Bei diesen Personenkreisen kann es sich auch um interne Mitarbeiter handeln, welche auf bestimme Daten keinen Zugriff haben.

Ein derartiges Audit kann zukünftig kaum ohne Expertenwissen im KI-Umfeld durchgeführt werden. Gerade erst ISO die ISO27002 mit neuen Maßnahmen erschienen, welche aktuellen Entwicklungen Rechnung tragen soll. Das Thema Künstliche Intelligenz wird hierbei nicht explizit berücksichtigt.

Was bedeutet der Ukraine-Konflikt für die CISO in Deutschland?

24. Februar 2022 /

Leider eskaliert am heutigen „schmutzigen Donnerstag“ ein schmutziger Krieg in der Ukraine. Bereits in den letzten Tagen wurde von Cyberangriffen auf die Ukraine, aber auch auf die Verbündeten berichtet. Nun hat die EU beschlossen, Experten aus dem Cyber Rapid Response Team (CRRT) zur Unterstützung der Ukraine bereitzustellen.

Das Team soll beim Schutz staatlicher und kritischer Infrastrukturen in der Ukraine helfen und setzt sich aus etwa 10 Experten aus Kroatien, Estland, Lettland, Niederlanden, Polen und Rumänien zusammen.

Vor diesem Hintergrund ist auch in Deutschland mit weiteren Angriffen, insbesondere aus Russland zu rechnen. Ziele dürfen nicht nur kritische Infrastrukturen sein, sondern alles, was sich leicht angreifen lässt und öffentlichkeitswirksam ist. Darunter fallen viele Unternehmen des deutschen Mittelstandes.

Somit sollten alle Verantwortlichen für die Informationssicherheit in Unternehmen und Behörden derzeit mit erhöhter Aufmerksamkeit auf solche Angriffe achten und die eigene Resilienz, also die Widerstandsfähigkeit gegen derartige Angriffe kritisch prüfen.

QR-Code www.rohrer.info

Gefährliche QR-Codes

12. Februar 2022 /

QR-Codes gibt es schon lange, doch seit der Corona-Pandemie hat sich deren Nutzung massiv verbreitet. So verwundert es auch nicht, dass die Anzahl der Angriffe über QR-Codes massiv gestiegen ist.

Sicherheitsbeauftragte sollten ihre Kollegen diesbezüglich sensibilisieren, um deren Awareness zu steigern:

  • Bei gedruckten QR-Codes prüfen, ob diese überklebt wurden.
  • Öffnet sich über den QR-Code tatsächlich die erwartete Seite?
  • Auf einer über einen QR-Code aufgerufenen Seite keine sensiblen Daten eingeben oder Zahlungen veranlassen.
  • Apps in offiziellen Stores suchen und herunterladen und nicht über QR-Codes.
  • Die meisten Smartphones-Kameras unterstützen bereits die Erkennung von QR-Codes. Hier möglichst keine App eines Drittanbieters nutzen.
  • Vorsicht bei QR-Codes, die per E-Mail kommen.

Zur Sensibilisierung bieten sich Werkzeuge wie bspw. Layer8 an. Hierüber kann auch nachvollzogen werden, ob die Kollegen die Warnungen annehmen, was im Falle eines zertifizierten ISMS auch den Auditor freut.

Sicherheitsvorfall – was nun?

2. Dezember 2021 /

Ein falscher Klick und Ransomware verschlüsselt Daten und Systeme. Ein Albtraum für IT-Abteilung und Geschäftsführung. Die Frequenz der Einschläge erhöht sich stetig. Sind Sie auf den Ernstfall vorbereitet?

Wieder einmal freute ich mich über eine Einladung ins BISG-Studio. Diesmal diskutierten wir über die Vorbereitung auf den Ernstfall und die Steigerung der Resilienz.

Hochwasser spült Einträge ins ISO27001-Risikoverzeichnis

13. November 2021 /

Die Bilder aus dem Aartal führen vor Augen, was Wasser alles anrichten kann. Viele kleine und mittelständische Unternehmen bangen um ihre Existenz. Da kann von Glück reden, wer das Risiko Hochwasser von vorneherein ausschließen kann.

Können Sie das Risiko ausschließen? An allen Standorten? Haben Sie das überprüft?

Auch wenn Sie noch nie von einem Hochwasser betroffen waren, kann sich dies bspw. durch die Blockade einer Brücke bei Starkregen schnell ändern. Mit Hilfe von Hochwassergefahrenkarten ist die Prüfung nicht schwer. Für das gesamte Bundesgebiet stellt die Bundesanstalt für Gewässerkunde (BfG) einen Web-Kartendienst zur Verfügung.

Baden-Württemberg bietet darüber hinaus UDO (Umweltdaten und -Karten Online), wo noch detailliertere Karten bereitgestellt werden. Zu finden sind diese unter >Wasser >Hochwasser >Hochwasserrisikokarten >Hochwasserrisikobewertungskarte.

Das Bundesamt für Kartographie und Geodäsie (BKG) möchte bis 2024 einen „digitalen Zwilling“ Deutschlands in 3D erstellen, um Umweltgefahren noch genauer vorhersagen zu können.

Zu beachten sind bei der Prüfung auch Zufahrtswege sowie die Versorgung (Wasser, Strom). Gerade in ländlichen Lagen entstehen durch Hochwasser oft Inseln. Hier ist zwar das Gebäude selbst nicht betroffen, aber die Lieferkette ist unterbrochen und Mitarbeiter kommen nicht mehr zur Arbeit. Sie können somit auch nicht das für Homeoffice vorbereitete Notebook mitnehmen.

Wer eine ISO 27001 Zertifizierung sein Eigen nennt, sollte für alle Standorte einen Eintrag „Hochwasser“ ins Risikoverzeichnis aufnehmen und bewerten. Dies zeigt dem Auditor, dass der Managementprozess funktioniert. Und was den Auditor freut, macht dem CISO das Leben leichter.

« Ältere Beiträge Neuere Beiträge »

Impressum

© 2024 Anselm Rohrer

Theme von Anders NorénHoch ↑