Anselm Rohrer

Autor, Coach, Consultant, CISO

Schlagwort: IT-Grundschutz

Flüge gestrichen

Globaler IT-Ausfall – Lessons Learned

21. Juli 2024 /

„Rien ne va plus“ („Nichts geht mehr“) – Ein Update kann alle Rechner lahmlegen. Was lernen wir als Unternehmen daraus?

Am 19.07.2024 legte ein fehlerhaftes Update der Firma CrowdStrike über 8,5 Millionen Windows Rechner lahm. Die Reaktivierung der Rechner brauchte Zeit, da ein händisches Eingreifen nötig war. Auch wenn das eigene Unternehmen nicht betroffen war lohnt es sich zu prüfen, ob etwas ähnliches die eigene Infrastruktur beeinflussen könnte.

Lessons Learned – Für alle Organisationen mit zertifiziertem ISMS gilt: Nicht nur gedanklich durchspielen, sondern als Risiko im Risikoverzeichnis festhalten, um dem Auditor zeigen zu können, dass man die Bedrohungslage im Blick hat und auf dieser Basis Bewertungen der eigenen Umgebung durchführt.

Nachfolgende Schritte sollten zuerst für Windows und dann für alle anderen Betriebssysteme gedanklich durchgespielt werden. Sind die Konsequenzen tragbar, kann das Restrisiko durch die Geschäftsführung akzeptiert werden. Ansonsten sollten mitigierende Maßnahmen etabliert werden, um das Risiko auf ein tragbares Niveau zu senken.

  1. Risikobetrachtung: Alle Windows-Systeme fallen zeitgleich aus.
  2. Potenzielle Maßnahmen zur Mitigation (z.B. Updates zeitlich verteilen, Redundanzen)
  3. Restrisiko: Bewusst tragen oder weitere Maßnahmen umsetzen

Wiederholen für alle im Einsatz befindlichen Betriebssysteme

Mensch mit Megaphon.

Wie informiert man juristisch korrekt über Schwachstellen?

19. April 2024 /

Kunden sind beim Kauf von Produkten über potenzielle Sicherheitslücken zu informieren.

Im August 2022 veröffentlichte das BSI eine Warnung bezüglich Schwachstellen in einem Funk-Türschlossantrieb von ABUS. ABUS selbst hat daraufhin in der Produktbeschreibung auf seiner Website eine Stellungnahme veröffentlicht. Aus Sicht des Verbraucherzentrale Bundesverband reichte dies nicht aus, woraufhin er gegen ABUS klagte. Das Landgericht Bochum gab dem Verbraucherzentrale Bundesverband recht, ohne jedoch festzulegen, wie ABUS seine Kunden korrekt hätte informieren sollen.

In der Urteilsbegründung hieß es, dass das Produkt im Einzelhandel oder auf Online-Plattformen gekauft werde und Verbraucher beim Erwerb der Produkte durch die Händler nicht über die Sicherheitslücke informiert wurden.

Auch wenn das Landgericht nicht klar beschreiben hat, welche Vorgehensweise es als ausreichend erachtet hätte, lässt sich hieraus ableiten, dass Hersteller Ihre Vertriebskanäle kennen und Käufer über potenzielle Sicherheitslücken beim Kauf informieren müssen. Interessant ist auch, was das für die Informationspflicht produzierender Unternehmen bedeutet, die auf Grund der Lieferkette Teile mit Sicherheitslücken in ihre Produkte einbauen.

Das könnte eine interessante Frage für Auditoren im nächsten ISO27001-Audit sein.

Quelle: heise online, „Urteil: Schwachstellen-Hinweis auf Produkt-Webseite reicht nicht“
Quelle Bild: KI-generiert

Checkliste

Neue BSI-Sicherheitscheckliste für Kommunen

22. November 2023 /

Das BSI veröffentlichte eine Checkliste zur einfachen Absicherung von Kommunen.

Die veröffentlichte Checkliste „Weg in die Basis-Absicherung (WiBA)“ bietet einen einfachen Einstieg in den IT-Grundschutz. Sie soll es Kommunen erleichtern, ihre IT-Sicherheit auf den IT-Grundschutz vorzubereiten.

Durch themenspezifische Prüffragen soll die Möglichkeit geschaffen werden, Sachstände zur Informationssicherheit zu erheben und umzusetzende Anforderungen zu identifizieren. Hierzu werden keine tiefere Kenntnis der Methodik des IT-Grundschutzes benötigt. Es werden technische und organisatorische Aspekte sowie die Awareness berücksichtigt. Zu den einzelnen Fragen gibt es Erläuterungen und eine Einschätzung des Umsetzungsaufwandes (falls noch nicht umgesetzt). Die Fragen können mit „Ja“, „Nein“ oder „Nicht relevant“ beantwortet werden und bieten Platz für Notizen.

Auf diese Weise können sich die Verantwortlichen einen Überblick über den Stand der Informationssicherheit verschaffen. Außerdem kann die Checkliste als Basis für Berater dienen, welche den Umsetzungsaufwand in Beratertagen abschätzen sollen. Somit bringen die Checklisten grundsätzlich einen Mehrwert bei der Standortbestimmung, auch wenn der Einstieg in den IT-Grundschutz nicht geplant ist.

Impressum

© 2025 Anselm Rohrer

Theme von Anders NorénHoch ↑