Anselm Rohrer

Autor, Coach, Consultant, CISO

Schlagwort: ISIS12

Checkliste

Neue BSI-Sicherheitscheckliste für Kommunen

22. November 2023 /

Das BSI veröffentlichte eine Checkliste zur einfachen Absicherung von Kommunen.

Die veröffentlichte Checkliste „Weg in die Basis-Absicherung (WiBA)“ bietet einen einfachen Einstieg in den IT-Grundschutz. Sie soll es Kommunen erleichtern, ihre IT-Sicherheit auf den IT-Grundschutz vorzubereiten.

Durch themenspezifische Prüffragen soll die Möglichkeit geschaffen werden, Sachstände zur Informationssicherheit zu erheben und umzusetzende Anforderungen zu identifizieren. Hierzu werden keine tiefere Kenntnis der Methodik des IT-Grundschutzes benötigt. Es werden technische und organisatorische Aspekte sowie die Awareness berücksichtigt. Zu den einzelnen Fragen gibt es Erläuterungen und eine Einschätzung des Umsetzungsaufwandes (falls noch nicht umgesetzt). Die Fragen können mit „Ja“, „Nein“ oder „Nicht relevant“ beantwortet werden und bieten Platz für Notizen.

Auf diese Weise können sich die Verantwortlichen einen Überblick über den Stand der Informationssicherheit verschaffen. Außerdem kann die Checkliste als Basis für Berater dienen, welche den Umsetzungsaufwand in Beratertagen abschätzen sollen. Somit bringen die Checklisten grundsätzlich einen Mehrwert bei der Standortbestimmung, auch wenn der Einstieg in den IT-Grundschutz nicht geplant ist.

AI

ChatGPT: Awareness und Risikobetrachtung

25. Mai 2023 /

Mitarbeiter von Unternehmen setzen KI ein, ohne sich der Konsequenzen bewusst zu sein. Sensibilisierung zwingend erforderlich.

Jeder vierte Mensch in Deutschland im Alter zwischen 18 und 60 Jahren hat bereits eine Künstliche-Intelligenz-Anwendung, wie den KI-Chatbot ChatGPT ausprobiert (Quelle: Meinungsforschungsinstituts Kantar). Diverse Anleitungen im Internet beschreiben, wie ChatGPT im Büroalltag eingesetzt werden kann. Das geht von E-Mails formulieren, Texte übersetzen, programmieren, ja sogar Projektberichte oder Strategien entwerfen. Mit den Vorstößen von Google und Meta sowie durch die Ankündigung, dass Microsoft-Copilot KI in den Alltag bringen soll, dürften sich die Einsatzmöglichkeiten und die Integration in Office-Tools noch intensivieren.

Eine KI kann keinen Projektbericht entwerfen, ohne Details zum Projekt zu erfahren. Einem Großteil der Anwender ist jedoch nicht bewusst, dass die bereitgestellten Informationen durch die KI weiterverwendet werden. Der Vorstandsvorsitzende eines mittelständischen Unternehmens hat mir gegenüber vor kurzem erklärt, dass er jeden Morgen ChatGPT nach internen Kennzahlen fragt und sich jeden Mal über eine falsche Antwort freut. Doch wie lange dauert es, bis jemand auf die Idee kommt, über eine KI den neuen internen Quartalsbericht erstellen zu lassen?

Daher ist es für Beauftragte zur Informationssicherheit wichtig das Thema im Rahmen des Risikomanagements zu betrachten, klare Regelungen vom Management einzufordern und die Anwender:innen zu sensibilisieren. Für einen schnellen ersten Schritt, ist unten im grauen Kasten eine Textvorlage zu finden, welche ohne Quellenangabe allgemein verwendet werden darf.

Textvorlage zur Sensibilisierung von Mitarbeitenden in Unternehmen

ChatGPT und andere Text-Roboter sollen uns künftig die tägliche Arbeit massiv erleichtern. Zahlreiche Artikel beschreiben, wie sie für uns E-Mails formulieren, Texte übersetzen, programmieren, ja sogar Projektberichte oder Strategien entwerfen.

Doch hier ist Vorsicht geboten. Damit ein KI-Chatbot unterstützen kann, muss er zielgerichtet mit Informationen gefüttert werden. Diese Informationen nutzt er, um Anfragen anderer Personen besser beantworten zu können. So kann es passieren, dass vertrauliche Informationen durch einen KI-Chatbot bereitwillig weiterverbreitet werden.

Aus diesem Grund dürfen keine internen Informationen an eine KI, wie z.B. ChatGPT weitergeben werden. Dies betrifft nicht nur vertrauliche Projektinformationen, personenbezogene Daten oder eine interne Strategie, sondern alles, was nicht direkt im Internet veröffentlicht werden soll.

Wer plant, einen KI-Chatbot im Arbeitsalltag einzusetzen, sollte unbedingt mit der zuständigen Führungskraft vor der ersten Nutzung abklären, inwieweit dies erlaubt ist.

Katze

Katzenfutterautomat filmt Privatsphäre

25. November 2022 /

Videoaufnahmen einer 23 jährige Frau auf Instagram veröffentlicht.

Am 19.11.2022 erstattete eine junge Frau Strafanzeige. Ein Unbekannter hat über Ihren Katzenfutterautomat Video- und Tonaufnahmen angefertigt und diese in sozialen Netzwerken veröffentlicht.

In Anbetracht schlecht geschützter IoT-Geräte* ist es verwunderlich, dass sich derzeit die Anzahl derartiger Angriffe noch in Grenzen hält. Doch dies wird sich Experten zufolge, in den nächsten Jahren ändern.

In Privathaushalten befinden sich immer mehr Geräte mit Kamera und Mikrofon. Doch auch in Unternehmen sind sie installiert. Häufig von Haustechnikern, welche mit Aspekten der Informationssicherheit nicht vertraut sind. Manche Hersteller verbauen in ihrer Technik Mikrofone, ohne dass dies den Käufern bewusst ist. So passiert, bei einer schaltbaren Steckdose des Herstellers AVM. Dieser ermöglichte sich, zukünftig durch ein Update in den Steckdosen eine Sprachsteuerung zu aktivieren.

Bei IoT-Geräten in Privathaushalten werden meist keine Sicherheitsupdates eingespielt, aber auch in Unternehmen sieht es häufig nicht besser aus. Entweder hat man es schlicht nicht im Blick oder der Hersteller stellt erst gar keine Updates zur Verfügung.

Die EU debattiert bereits seit Jahren über Herstellervorgaben. Leider bisher ohne Konsequenzen. Es ist dringend geboten Hersteller zu verpflichten Sicherheitslücken in ihren Geräten zu identifizieren, Updates zur Verfügung zu stellen und eine Standardfunktion zur automatischen Aktualisierung ihrer Geräte zu etablieren. Die Updatestrategie muss die komplette typische Lebensdauer der Geräte abdecken. Denn wer möchte schon WLAN-fähige Waschmaschinen und Kühlschränke nach drei Jahren austauschen, weil es keine Sicherheitsupdates mehr gibt?

Fazit:

  • Privatpersonen sollten beim Kauf internetfähiger Geräte den Verkäufer nach der Updatestrategie des Herstellers fragen.
  • Unternehmen sollten darauf achten, ihre IoT in das Managementsystem der Informationssicherheit einzubinden und die Haustechniker zu sensibilisieren.
  • Grundsätzlich gilt: Risiko minimieren. Unnötige Funktionen ausschalten. Geräte so platzieren, dass im Falle einer Übernahme durch Dritte ein potenzieller Schaden möglichst gering bleibt.

*IoT – Internet of Things

45 Prozent der Unternehmen sehen durch Cyberattacken ihre geschäftliche Existenz bedroht

1. September 2022 /

Eine Untersuchung des Digitalverbandes BITKOM zu den Themen Datendiebstahl, Spionage und Sabotage liefert detaillierte Insights zum Thema Cyberkriminalität – und zeigt deutlich, wie groß die Bedrohung durch Hackerangriffe im Jahr 2022 in Deutschland ist. Zwar ist der jährliche Schaden, der durch Diebstahl von IT-Ausrüstung, Daten etc. entstanden ist, mit rund 203 Mio. Euro etwas niedriger als im Vorjahr. Langfristig aber steigt die Schadenshöhe an.

Klar wird ebenso: Cyberkriminalität entwickelt sich immer mehr in Richtung Organisierte Kriminalität. Bei 51 Prozent der betroffenen Unternehmen kamen laut Studie Attacken aus diesem Umfeld. Angreifer gehen immer professioneller vor, vernetzten sich und tauschen sich miteinander aus. Eine weitere Erkenntnis: Staatliche Akteure werden immer relevanter, so sind die Angriffe aus Russland und China deutlich angestiegen. Damit nimmt auch die Gefahr von Angriffen mit gesellschaftsrelevanten Folgen zu, etwa Cyberattacken auf Unternehmen der kritischen Infrastruktur wie Energiedienstleister, Wasserwerke etc.

Was die Untersuchung ebenso zeigt, ist, dass Cyberkriminalität heute für nahezu jedes Unternehmen eine Herausforderung darstellt. Wenn 84 Prozent der Unternehmen im vergangenen Jahr Opfer einer Hackerattacke waren, lautet die Frage nicht mehr „ob“, sondern „wann“ die nächste Cyberattacke erfolgt. Besonders bedrohlich: 45 Prozent der befragten Unternehmen gaben an, dass Cyberattacken ihre geschäftliche Existenz bedrohen würden.

Hier heißt es klar und deutlich: Es ist Zeit, zu handeln! Cybersicherheit muss in jeder Digitalstrategie, in jedem Digitalisierungsprojekt einen festen Platz haben! Erfreulicherweise merken wir, wie Politik und Wirtschaft die Digitalisierung insbesondere seit Beginn der Corona-Pandemie vorantreiben, allerdings bieten sich Hackern hierdurch immer neue Angriffsflächen. Um sich gegen Hackerangriffe zu wappnen müssen Unternehmen den Schutz von IT und OT ausbauen. Hierfür von Nöten sind aufeinander abgestimmte Maßnahmen, die Daten, Kommunikationswege und Netzwerke schützen und das Sicherheitsbewusstsein von Mitarbeitenden steigern.

Log4J – Angreifern wird es leicht gemacht

9. August 2022 /

Die Hälfte der deutschen Unternehmen haben ihre Software nicht auf die Log4J Sicherheitslücke überprüft.

Für viele CISO im Lande war es ein anstrengendes Wochenende, als das BSI die Warnstufe zu Log4J aufgrund einer „extrem kritischen Bedrohungslage“, schrittweise auf Rot setze. Mal wieder schaffte es eine Sicherheitslücke in die Tagesschau.

Doch leider zeigt eine Umfrage des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV), dass nur 40 Prozent der mittelständischen Unternehmen ihre Software auf die Lücke überprüft haben. Die Zahl derer, die untersuchten ob bereits Schadsoftware eingedrungen sei, liegt bei 28 Prozent. Jedes zweite Unternehmen gab an, weder Software auf die Lücke, noch Systeme auf eingedrungene Schadsoftware überprüft zu haben.

Dies lässt darauf schließen, dass die Hälfte der deutschen mittelständischen Unternehmen zu wenig Know-how und/oder eine zu hohe Sorglosigkeit in der Informationssicherheit an den Tag legt. Laut GDV kann dies dazu führen, dass im Schadensfall ein Unternehmen seinen Versicherungsschutz, auf Grund grober Fahrlässigkeit verliert.

Wer seine Hausaufgaben gemacht hat und ein Verzeichnis eingesetzter Software und Geräte besitzt, kann diese schnell mit einer Liste des BSI gegen checken und so prüfen, ob Aktualisierungen notwendig wären. Wer keinen Überblick über die eingesetzte IT besitzt, zum Beispiel auf Grund einer umfassenden Schatten-IT, spielt mit dem Feuer. Hier stellt sich nicht die Frage ob, sondern wann das Unternehmen Opfer eines Cyber-Security-Vorfalls wird.

Quantenkryptographie

Postquantenkryptographie

26. Juli 2022 /

Angreifer sammeln bereits Daten, um diese mit Quantencomputern entschlüsseln zu lassen, sobald diese zur Verfügung stehen. Doch in der Auswahlentscheidung für Business-Anwendungen spielt dies aktuell kaum eine Rolle.

Niemand kann verlässlich sagen, wann Quantencomputer in der Lage sein werden, die derzeit genutzten Verschlüsselungsalgorithmen zu brechen. Das BSI rechnet als Arbeitshypothese damit, dass es 2032 so weit sein wird. Da dürften viele Business-Anwendungen, die aktuell eingeführt werden noch in Betrieb sein.
Außerdem speichern Angreifer bereits sensible Informationen, welche sie entschlüsseln können, sobald die Technik zur Verfügung steht (Store now, decrypt later).

Dies sind zwei Gründe, die Postquantenkryptographie als Risiko zu betrachten. Noch gibt es keine standardisierten post-quantensichere Algorithmen, jedoch hat das amerikanische National Institute of Standards and Technology (NIST) gerade erst vier post-quantensichere Kandidaten für Verschlüsselungsalgorithmen verkündet (Crystals-Kyber, Crystals-Dilithium, Falcon und Sphincs+). Dies weckt Hoffnung, für eine baldige Lösung. Für die Auswahl neuer Business-Anwendungen ist essenziell, dass diese über aktualisierbare Algorithmen verfügen und somit die Verschlüsselung ohne Austausch der kompletten Software an aktuelle Entwicklungen angepasst werden kann. Darüber hinaus sollte in die Entscheidung einfließen, ob Hersteller/Provider einer Software oder Cloud-Lösung ein Konzept haben, falls die Zeit der Postquantenkryptographie bereits nächstes Jahr beginnt.

QR-Code www.rohrer.info

Gefährliche QR-Codes

12. Februar 2022 /

QR-Codes gibt es schon lange, doch seit der Corona-Pandemie hat sich deren Nutzung massiv verbreitet. So verwundert es auch nicht, dass die Anzahl der Angriffe über QR-Codes massiv gestiegen ist.

Sicherheitsbeauftragte sollten ihre Kollegen diesbezüglich sensibilisieren, um deren Awareness zu steigern:

  • Bei gedruckten QR-Codes prüfen, ob diese überklebt wurden.
  • Öffnet sich über den QR-Code tatsächlich die erwartete Seite?
  • Auf einer über einen QR-Code aufgerufenen Seite keine sensiblen Daten eingeben oder Zahlungen veranlassen.
  • Apps in offiziellen Stores suchen und herunterladen und nicht über QR-Codes.
  • Die meisten Smartphones-Kameras unterstützen bereits die Erkennung von QR-Codes. Hier möglichst keine App eines Drittanbieters nutzen.
  • Vorsicht bei QR-Codes, die per E-Mail kommen.

Zur Sensibilisierung bieten sich Werkzeuge wie bspw. Layer8 an. Hierüber kann auch nachvollzogen werden, ob die Kollegen die Warnungen annehmen, was im Falle eines zertifizierten ISMS auch den Auditor freut.

Impressum

© 2024 Anselm Rohrer

Theme von Anders NorénHoch ↑