Autor, Coach, Consultant, CISO

Schlagwort: ISO27001 (Seite 1 von 2)

Globaler IT-Ausfall – Lessons Learned

„Rien ne va plus“ („Nichts geht mehr“) – Ein Update kann alle Rechner lahmlegen. Was lernen wir als Unternehmen daraus?

Am 19.07.2024 legte ein fehlerhaftes Update der Firma CrowdStrike über 8,5 Millionen Windows Rechner lahm. Die Reaktivierung der Rechner brauchte Zeit, da ein händisches Eingreifen nötig war. Auch wenn das eigene Unternehmen nicht betroffen war lohnt es sich zu prüfen, ob etwas ähnliches die eigene Infrastruktur beeinflussen könnte.

Lessons Learned – Für alle Organisationen mit zertifiziertem ISMS gilt: Nicht nur gedanklich durchspielen, sondern als Risiko im Risikoverzeichnis festhalten, um dem Auditor zeigen zu können, dass man die Bedrohungslage im Blick hat und auf dieser Basis Bewertungen der eigenen Umgebung durchführt.

Nachfolgende Schritte sollten zuerst für Windows und dann für alle anderen Betriebssysteme gedanklich durchgespielt werden. Sind die Konsequenzen tragbar, kann das Restrisiko durch die Geschäftsführung akzeptiert werden. Ansonsten sollten mitigierende Maßnahmen etabliert werden, um das Risiko auf ein tragbares Niveau zu senken.

  1. Risikobetrachtung: Alle Windows-Systeme fallen zeitgleich aus.
  2. Potenzielle Maßnahmen zur Mitigation (z.B. Updates zeitlich verteilen, Redundanzen)
  3. Restrisiko: Bewusst tragen oder weitere Maßnahmen umsetzen

Wiederholen für alle im Einsatz befindlichen Betriebssysteme

Umweltschutz in ISO27001 durch „Londoner Erklärung“

Die Internationale Organisation für Normung (ISO) hat den Klimawandel als zentrales Thema in ihre Managementsystem-Normen integriert.

Dies geschieht durch Änderungen (Amendments) an gängigen Normen wie ISO 9001, ISO 14001, ISO/IEC 27001, ISO 45001 und ISO 50001. Diese Ergänzungen betreffen vor allem die Kapitel 4.1 und 4.2, die nun verlangen, dass Unternehmen den Einfluss des Klimawandels auf ihre Organisation bewerten, Risiken systematisch adressieren und Chancen erkennen.

Der Hauptfokus liegt darauf, das Bewusstsein für den Klimawandel zu schärfen und Organisationen zu verpflichten, Maßnahmen zur Erhöhung ihrer Resilienz zu ergreifen. Die Änderungen beinhalten keine komplette Neuausrichtung der Normen, sondern eine Ergänzung, die Unternehmen anleitet, den Klimawandel in ihren Kontextanalysen und bei der Bewertung der Bedürfnisse und Erwartungen interessierter Parteien zu berücksichtigen.

Zu den praktischen Auswirkungen zählen Anpassungen in internen Audits und Managementbewertungen, wobei die spezifischen Effekte je nach Art des Managementsystems variieren können. Unternehmen müssen künftig systematisch untersuchen, wie sich Klimaveränderungen auf ihre Prozesse, Ressourcenverfügbarkeit und regulatorischen Anforderungen auswirken. Dies kann etwa Unterbrechungen in Lieferketten, Produktionsausfälle oder erhöhte Energiebedarfe zur Folge haben.

Für die Auditierung bedeutet dies, dass Auditoren nun prüfen, inwieweit Unternehmen die neuen Klimaanforderungen implementiert haben. Obwohl dies eine Ergänzung und keine Revision der Normen darstellt, wird von den Unternehmen erwartet, dass sie die neuen Anforderungen umgehend umsetzen, um ihre Zertifikate aufrechtzuerhalten und den Anforderungen der ISO gerecht zu werden.

Wie informiert man juristisch korrekt über Schwachstellen?

Kunden sind beim Kauf von Produkten über potenzielle Sicherheitslücken zu informieren.

Im August 2022 veröffentlichte das BSI eine Warnung bezüglich Schwachstellen in einem Funk-Türschlossantrieb von ABUS. ABUS selbst hat daraufhin in der Produktbeschreibung auf seiner Website eine Stellungnahme veröffentlicht. Aus Sicht des Verbraucherzentrale Bundesverband reichte dies nicht aus, woraufhin er gegen ABUS klagte. Das Landgericht Bochum gab dem Verbraucherzentrale Bundesverband recht, ohne jedoch festzulegen, wie ABUS seine Kunden korrekt hätte informieren sollen.

In der Urteilsbegründung hieß es, dass das Produkt im Einzelhandel oder auf Online-Plattformen gekauft werde und Verbraucher beim Erwerb der Produkte durch die Händler nicht über die Sicherheitslücke informiert wurden.

Auch wenn das Landgericht nicht klar beschreiben hat, welche Vorgehensweise es als ausreichend erachtet hätte, lässt sich hieraus ableiten, dass Hersteller Ihre Vertriebskanäle kennen und Käufer über potenzielle Sicherheitslücken beim Kauf informieren müssen. Interessant ist auch, was das für die Informationspflicht produzierender Unternehmen bedeutet, die auf Grund der Lieferkette Teile mit Sicherheitslücken in ihre Produkte einbauen.

Das könnte eine interessante Frage für Auditoren im nächsten ISO27001-Audit sein.

Quelle: heise online, „Urteil: Schwachstellen-Hinweis auf Produkt-Webseite reicht nicht“
Quelle Bild: KI-generiert

Neue BSI-Sicherheitscheckliste für Kommunen

Das BSI veröffentlichte eine Checkliste zur einfachen Absicherung von Kommunen.

Die veröffentlichte Checkliste „Weg in die Basis-Absicherung (WiBA)“ bietet einen einfachen Einstieg in den IT-Grundschutz. Sie soll es Kommunen erleichtern, ihre IT-Sicherheit auf den IT-Grundschutz vorzubereiten.

Durch themenspezifische Prüffragen soll die Möglichkeit geschaffen werden, Sachstände zur Informationssicherheit zu erheben und umzusetzende Anforderungen zu identifizieren. Hierzu werden keine tiefere Kenntnis der Methodik des IT-Grundschutzes benötigt. Es werden technische und organisatorische Aspekte sowie die Awareness berücksichtigt. Zu den einzelnen Fragen gibt es Erläuterungen und eine Einschätzung des Umsetzungsaufwandes (falls noch nicht umgesetzt). Die Fragen können mit „Ja“, „Nein“ oder „Nicht relevant“ beantwortet werden und bieten Platz für Notizen.

Auf diese Weise können sich die Verantwortlichen einen Überblick über den Stand der Informationssicherheit verschaffen. Außerdem kann die Checkliste als Basis für Berater dienen, welche den Umsetzungsaufwand in Beratertagen abschätzen sollen. Somit bringen die Checklisten grundsätzlich einen Mehrwert bei der Standortbestimmung, auch wenn der Einstieg in den IT-Grundschutz nicht geplant ist.

ChatGPT: Awareness und Risikobetrachtung

Mitarbeiter von Unternehmen setzen KI ein, ohne sich der Konsequenzen bewusst zu sein. Sensibilisierung zwingend erforderlich.

Jeder vierte Mensch in Deutschland im Alter zwischen 18 und 60 Jahren hat bereits eine Künstliche-Intelligenz-Anwendung, wie den KI-Chatbot ChatGPT ausprobiert (Quelle: Meinungsforschungsinstituts Kantar). Diverse Anleitungen im Internet beschreiben, wie ChatGPT im Büroalltag eingesetzt werden kann. Das geht von E-Mails formulieren, Texte übersetzen, programmieren, ja sogar Projektberichte oder Strategien entwerfen. Mit den Vorstößen von Google und Meta sowie durch die Ankündigung, dass Microsoft-Copilot KI in den Alltag bringen soll, dürften sich die Einsatzmöglichkeiten und die Integration in Office-Tools noch intensivieren.

Eine KI kann keinen Projektbericht entwerfen, ohne Details zum Projekt zu erfahren. Einem Großteil der Anwender ist jedoch nicht bewusst, dass die bereitgestellten Informationen durch die KI weiterverwendet werden. Der Vorstandsvorsitzende eines mittelständischen Unternehmens hat mir gegenüber vor kurzem erklärt, dass er jeden Morgen ChatGPT nach internen Kennzahlen fragt und sich jeden Mal über eine falsche Antwort freut. Doch wie lange dauert es, bis jemand auf die Idee kommt, über eine KI den neuen internen Quartalsbericht erstellen zu lassen?

Daher ist es für Beauftragte zur Informationssicherheit wichtig das Thema im Rahmen des Risikomanagements zu betrachten, klare Regelungen vom Management einzufordern und die Anwender:innen zu sensibilisieren. Für einen schnellen ersten Schritt, ist unten im grauen Kasten eine Textvorlage zu finden, welche ohne Quellenangabe allgemein verwendet werden darf.

Textvorlage zur Sensibilisierung von Mitarbeitenden in Unternehmen

ChatGPT und andere Text-Roboter sollen uns künftig die tägliche Arbeit massiv erleichtern. Zahlreiche Artikel beschreiben, wie sie für uns E-Mails formulieren, Texte übersetzen, programmieren, ja sogar Projektberichte oder Strategien entwerfen.

Doch hier ist Vorsicht geboten. Damit ein KI-Chatbot unterstützen kann, muss er zielgerichtet mit Informationen gefüttert werden. Diese Informationen nutzt er, um Anfragen anderer Personen besser beantworten zu können. So kann es passieren, dass vertrauliche Informationen durch einen KI-Chatbot bereitwillig weiterverbreitet werden.

Aus diesem Grund dürfen keine internen Informationen an eine KI, wie z.B. ChatGPT weitergeben werden. Dies betrifft nicht nur vertrauliche Projektinformationen, personenbezogene Daten oder eine interne Strategie, sondern alles, was nicht direkt im Internet veröffentlicht werden soll.

Wer plant, einen KI-Chatbot im Arbeitsalltag einzusetzen, sollte unbedingt mit der zuständigen Führungskraft vor der ersten Nutzung abklären, inwieweit dies erlaubt ist.

Suche freiberuflichen Trainer zur ISO27001

Ich suche kurzfristig einen freiberuflichen #Trainer (kein Schulungsunternehmen), der flexibel und individuell folgendes vermitteln kann:

  • ISO27001 und #ISO27002
  • Neuerungen der #ISO27001:2022

Es geht mir nicht um standardisierte Schulungen, sondern um das individuelle Auffüllen von Lücken bei einzelnen Teilnehmenden. Den Level würde ich mal als praxisbezogenes Fundation-Niveau bezeichnen.

Wer Interesse hat kann mich gerne über LinkedIn oder XING anschreiben. Bitte auch gleich Preis und 2 Sätze zur Erfahrung dazu. (2 Sätze, keine Romane oder Lebensläufe).

Grüße
Anselm Rohrer

Kostenloser Phishing-Test

Die Allgeier CyRis GmbH aus Bremen stellt einen kostenlosen Test zur Erkennung von Phishing E-Mails zur Verfügung.

Auf E-Mails zum unbekannten Telefonvertrag oder von Königshäusern wird schon lange nicht mehr reingefallen. Oder doch? Sind alle E-Mails mit Schadenpotential so einfach zu erkennen? Phishing ist noch immer eine alltägliche Bedrohung der Informationssicherheit. Durch die Unterstützung von KI, wie bspw. ChatGPT, intensiviert sich das Problem noch. Umso wichtiger ist es, das Wissen der Mitarbeitenden hierzu aktuell zu halten. Allgeier CyRis bietet nun mit einem neuen, kostenlosen Online-Test die Möglichkeit, sein Wissen zum Thema Phishing zu prüfen. Zur Schaffung der Awareness, kann dieser Link auch an Kollegen frei verteilt werden.

Das Allgeier CyRis Quiz kann online, ohne die Angabe persönlicher Daten wahrgenommen werden. Ziel ist es, anhand konkreter Beispiele Phishing-Mails zu identifizieren. Die Absenderadresse, der Betreff oder auch der konkrete Inhalt lassen Rückschlüsse zu, ob es sich bei der Mail um den Versuch handelt, Daten zu entwenden.

Bei dem Online-Test handelt es sich um eine von zahlreichen Lösungen der Allgeier CyRis GmbH, mit denen Unternehmen das Wissen ihrer Mitarbeitenden vor Cyberangriffen aufbauen bzw. aktuell halten können. Über die Awareness-Plattform Layer8 finden sich unterschiedlichste Schulungen zu den Themen Phishing, sichere Passwörter als auch Verhalten im Social Web. Darüber hinaus lassen sich Phishing-Simulationen planen, durchführen und auswerten. Nach Corona bietet das Unternehmen nun auch wieder Live-Hacking-Events für unterschiedliche Zielgruppen an.

Weiterführende Informationen bietet das Unternehmen unter folgenden Kontaktdaten:
Allgeier CyRis GmbH
Hans-Bredow-Strasse 60, D-28307 Bremen
Tel.: +49 (0) 421 438 41 875, Mail: info@allgeier-cyris.de

Katzenfutterautomat filmt Privatsphäre

Videoaufnahmen einer 23 jährige Frau auf Instagram veröffentlicht.

Am 19.11.2022 erstattete eine junge Frau Strafanzeige. Ein Unbekannter hat über Ihren Katzenfutterautomat Video- und Tonaufnahmen angefertigt und diese in sozialen Netzwerken veröffentlicht.

In Anbetracht schlecht geschützter IoT-Geräte* ist es verwunderlich, dass sich derzeit die Anzahl derartiger Angriffe noch in Grenzen hält. Doch dies wird sich Experten zufolge, in den nächsten Jahren ändern.

In Privathaushalten befinden sich immer mehr Geräte mit Kamera und Mikrofon. Doch auch in Unternehmen sind sie installiert. Häufig von Haustechnikern, welche mit Aspekten der Informationssicherheit nicht vertraut sind. Manche Hersteller verbauen in ihrer Technik Mikrofone, ohne dass dies den Käufern bewusst ist. So passiert, bei einer schaltbaren Steckdose des Herstellers AVM. Dieser ermöglichte sich, zukünftig durch ein Update in den Steckdosen eine Sprachsteuerung zu aktivieren.

Bei IoT-Geräten in Privathaushalten werden meist keine Sicherheitsupdates eingespielt, aber auch in Unternehmen sieht es häufig nicht besser aus. Entweder hat man es schlicht nicht im Blick oder der Hersteller stellt erst gar keine Updates zur Verfügung.

Die EU debattiert bereits seit Jahren über Herstellervorgaben. Leider bisher ohne Konsequenzen. Es ist dringend geboten Hersteller zu verpflichten Sicherheitslücken in ihren Geräten zu identifizieren, Updates zur Verfügung zu stellen und eine Standardfunktion zur automatischen Aktualisierung ihrer Geräte zu etablieren. Die Updatestrategie muss die komplette typische Lebensdauer der Geräte abdecken. Denn wer möchte schon WLAN-fähige Waschmaschinen und Kühlschränke nach drei Jahren austauschen, weil es keine Sicherheitsupdates mehr gibt?

Fazit:

  • Privatpersonen sollten beim Kauf internetfähiger Geräte den Verkäufer nach der Updatestrategie des Herstellers fragen.
  • Unternehmen sollten darauf achten, ihre IoT in das Managementsystem der Informationssicherheit einzubinden und die Haustechniker zu sensibilisieren.
  • Grundsätzlich gilt: Risiko minimieren. Unnötige Funktionen ausschalten. Geräte so platzieren, dass im Falle einer Übernahme durch Dritte ein potenzieller Schaden möglichst gering bleibt.

*IoT – Internet of Things

Are you ready for audit?

Webinar: Compliance Management mit DocSetMinder ONE
Do, 10. Nov. 2022, 15:30 bis 16:30
kostenlos

Der Druck auf Organisationen, Anforderungen aus Gesetzen und Standard zu erfüllen, nimmt stetig zu. Entsprechend groß sind die Anforderungen an Informationssicherheit und Compliance Management.

Viele DocSetMinder Kunden haben lange auf die Migration des GRC-Tools von der On-Premise Variante in die Cloud gewartet. Nun ist es soweit. Piotr W. Nürnberg (Bereichsleiter GRC), stellt die gezielt überarbeitete Compliance Management Software von Allgeier CyRis in einem kostenlosen Webinar vor.

Neben den bereits bekannten Features zur Herstellung und Überwachung der Erfüllung diverser Normen, Standards und gesetzlichen Vorgaben, entwickelt sich die neue Version in wesentlichen Punkten weiter.

Eine Anmeldung ist über den Event-Link möglich.

Viele Unternehmen bekommen keine Cyberversicherung

Cyberversicherer machen Verluste, was sich auf die Anforderungen an Unternehmen auswirkt.

Bereits im Jahr 2020 hat sich der Versicherungsmarkt von einem Anbieter- zu einem Nachfragemarkt gewandelt. Nun hat der Branchenverband der deutschen Versicherer GDV gemeldet, dass die Branche mit Cyberversicherungen in 2021 zum ersten Mal rote Zahlen geschrieben hat.

Was bedeutet das für die Unternehmen?

Ein Unternehmen muss gewisse Anforderungen erfüllen, um von einem Versicherer eine Cyberpolice zu erhalten. Diese Voraussetzungen haben sich in den letzten beiden Jahren massiv erhöht. So gibt es eine Vielzahl an Unternehmen, welche noch nicht einmal ein Angebot einer Versicherung erhalten haben, weil sie kein funktionierendes ISMS nachweisen konnten. Die Tatsachen, dass die Cyberversicherungen in 2021 nicht rentabel waren lässt vermuten, dass sich nicht nur die Preise erhöhen werden, sondern auch die Anforderungen weiter steigern.

Was heißt das konkret?

Wer als Unternehmen derzeit keine Cyberversicherung abgeschlossen hat, spielt mit einem immensen Risiko. Um eine Cyberversicherung abzuschließen, ist ein ISMS nötig. Dies muss nicht gleich eine ISO27001 Zertifizierung sein. Je nach Versicherer kann bereits ein einfaches Management realer Risiken und abgeleiteter Maßnahmen ausreichen.

Fazit

Nach Ansicht des Autors wird zumindest ein rudimentäres ISMS bis Ende 2023 zum Standard für Unternehmen werden.

« Ältere Beiträge

© 2024 Anselm Rohrer

Theme von Anders NorénHoch ↑