Anselm Rohrer

Autor, Coach, Consultant, CISO

Schlagwort: Risikomanagement (Seite 2 von 2)

45 Prozent der Unternehmen sehen durch Cyberattacken ihre geschäftliche Existenz bedroht

1. September 2022 /

Eine Untersuchung des Digitalverbandes BITKOM zu den Themen Datendiebstahl, Spionage und Sabotage liefert detaillierte Insights zum Thema Cyberkriminalität – und zeigt deutlich, wie groß die Bedrohung durch Hackerangriffe im Jahr 2022 in Deutschland ist. Zwar ist der jährliche Schaden, der durch Diebstahl von IT-Ausrüstung, Daten etc. entstanden ist, mit rund 203 Mio. Euro etwas niedriger als im Vorjahr. Langfristig aber steigt die Schadenshöhe an.

Klar wird ebenso: Cyberkriminalität entwickelt sich immer mehr in Richtung Organisierte Kriminalität. Bei 51 Prozent der betroffenen Unternehmen kamen laut Studie Attacken aus diesem Umfeld. Angreifer gehen immer professioneller vor, vernetzten sich und tauschen sich miteinander aus. Eine weitere Erkenntnis: Staatliche Akteure werden immer relevanter, so sind die Angriffe aus Russland und China deutlich angestiegen. Damit nimmt auch die Gefahr von Angriffen mit gesellschaftsrelevanten Folgen zu, etwa Cyberattacken auf Unternehmen der kritischen Infrastruktur wie Energiedienstleister, Wasserwerke etc.

Was die Untersuchung ebenso zeigt, ist, dass Cyberkriminalität heute für nahezu jedes Unternehmen eine Herausforderung darstellt. Wenn 84 Prozent der Unternehmen im vergangenen Jahr Opfer einer Hackerattacke waren, lautet die Frage nicht mehr „ob“, sondern „wann“ die nächste Cyberattacke erfolgt. Besonders bedrohlich: 45 Prozent der befragten Unternehmen gaben an, dass Cyberattacken ihre geschäftliche Existenz bedrohen würden.

Hier heißt es klar und deutlich: Es ist Zeit, zu handeln! Cybersicherheit muss in jeder Digitalstrategie, in jedem Digitalisierungsprojekt einen festen Platz haben! Erfreulicherweise merken wir, wie Politik und Wirtschaft die Digitalisierung insbesondere seit Beginn der Corona-Pandemie vorantreiben, allerdings bieten sich Hackern hierdurch immer neue Angriffsflächen. Um sich gegen Hackerangriffe zu wappnen müssen Unternehmen den Schutz von IT und OT ausbauen. Hierfür von Nöten sind aufeinander abgestimmte Maßnahmen, die Daten, Kommunikationswege und Netzwerke schützen und das Sicherheitsbewusstsein von Mitarbeitenden steigern.

Log4J – Angreifern wird es leicht gemacht

9. August 2022 /

Die Hälfte der deutschen Unternehmen haben ihre Software nicht auf die Log4J Sicherheitslücke überprüft.

Für viele CISO im Lande war es ein anstrengendes Wochenende, als das BSI die Warnstufe zu Log4J aufgrund einer „extrem kritischen Bedrohungslage“, schrittweise auf Rot setze. Mal wieder schaffte es eine Sicherheitslücke in die Tagesschau.

Doch leider zeigt eine Umfrage des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV), dass nur 40 Prozent der mittelständischen Unternehmen ihre Software auf die Lücke überprüft haben. Die Zahl derer, die untersuchten ob bereits Schadsoftware eingedrungen sei, liegt bei 28 Prozent. Jedes zweite Unternehmen gab an, weder Software auf die Lücke, noch Systeme auf eingedrungene Schadsoftware überprüft zu haben.

Dies lässt darauf schließen, dass die Hälfte der deutschen mittelständischen Unternehmen zu wenig Know-how und/oder eine zu hohe Sorglosigkeit in der Informationssicherheit an den Tag legt. Laut GDV kann dies dazu führen, dass im Schadensfall ein Unternehmen seinen Versicherungsschutz, auf Grund grober Fahrlässigkeit verliert.

Wer seine Hausaufgaben gemacht hat und ein Verzeichnis eingesetzter Software und Geräte besitzt, kann diese schnell mit einer Liste des BSI gegen checken und so prüfen, ob Aktualisierungen notwendig wären. Wer keinen Überblick über die eingesetzte IT besitzt, zum Beispiel auf Grund einer umfassenden Schatten-IT, spielt mit dem Feuer. Hier stellt sich nicht die Frage ob, sondern wann das Unternehmen Opfer eines Cyber-Security-Vorfalls wird.

Quantenkryptographie

Postquantenkryptographie

26. Juli 2022 /

Angreifer sammeln bereits Daten, um diese mit Quantencomputern entschlüsseln zu lassen, sobald diese zur Verfügung stehen. Doch in der Auswahlentscheidung für Business-Anwendungen spielt dies aktuell kaum eine Rolle.

Niemand kann verlässlich sagen, wann Quantencomputer in der Lage sein werden, die derzeit genutzten Verschlüsselungsalgorithmen zu brechen. Das BSI rechnet als Arbeitshypothese damit, dass es 2032 so weit sein wird. Da dürften viele Business-Anwendungen, die aktuell eingeführt werden noch in Betrieb sein.
Außerdem speichern Angreifer bereits sensible Informationen, welche sie entschlüsseln können, sobald die Technik zur Verfügung steht (Store now, decrypt later).

Dies sind zwei Gründe, die Postquantenkryptographie als Risiko zu betrachten. Noch gibt es keine standardisierten post-quantensichere Algorithmen, jedoch hat das amerikanische National Institute of Standards and Technology (NIST) gerade erst vier post-quantensichere Kandidaten für Verschlüsselungsalgorithmen verkündet (Crystals-Kyber, Crystals-Dilithium, Falcon und Sphincs+). Dies weckt Hoffnung, für eine baldige Lösung. Für die Auswahl neuer Business-Anwendungen ist essenziell, dass diese über aktualisierbare Algorithmen verfügen und somit die Verschlüsselung ohne Austausch der kompletten Software an aktuelle Entwicklungen angepasst werden kann. Darüber hinaus sollte in die Entscheidung einfließen, ob Hersteller/Provider einer Software oder Cloud-Lösung ein Konzept haben, falls die Zeit der Postquantenkryptographie bereits nächstes Jahr beginnt.

Hochwasser spült Einträge ins ISO27001-Risikoverzeichnis

13. November 2021 /

Die Bilder aus dem Aartal führen vor Augen, was Wasser alles anrichten kann. Viele kleine und mittelständische Unternehmen bangen um ihre Existenz. Da kann von Glück reden, wer das Risiko Hochwasser von vorneherein ausschließen kann.

Können Sie das Risiko ausschließen? An allen Standorten? Haben Sie das überprüft?

Auch wenn Sie noch nie von einem Hochwasser betroffen waren, kann sich dies bspw. durch die Blockade einer Brücke bei Starkregen schnell ändern. Mit Hilfe von Hochwassergefahrenkarten ist die Prüfung nicht schwer. Für das gesamte Bundesgebiet stellt die Bundesanstalt für Gewässerkunde (BfG) einen Web-Kartendienst zur Verfügung.

Baden-Württemberg bietet darüber hinaus UDO (Umweltdaten und -Karten Online), wo noch detailliertere Karten bereitgestellt werden. Zu finden sind diese unter >Wasser >Hochwasser >Hochwasserrisikokarten >Hochwasserrisikobewertungskarte.

Das Bundesamt für Kartographie und Geodäsie (BKG) möchte bis 2024 einen „digitalen Zwilling“ Deutschlands in 3D erstellen, um Umweltgefahren noch genauer vorhersagen zu können.

Zu beachten sind bei der Prüfung auch Zufahrtswege sowie die Versorgung (Wasser, Strom). Gerade in ländlichen Lagen entstehen durch Hochwasser oft Inseln. Hier ist zwar das Gebäude selbst nicht betroffen, aber die Lieferkette ist unterbrochen und Mitarbeiter kommen nicht mehr zur Arbeit. Sie können somit auch nicht das für Homeoffice vorbereitete Notebook mitnehmen.

Wer eine ISO 27001 Zertifizierung sein Eigen nennt, sollte für alle Standorte einen Eintrag „Hochwasser“ ins Risikoverzeichnis aufnehmen und bewerten. Dies zeigt dem Auditor, dass der Managementprozess funktioniert. Und was den Auditor freut, macht dem CISO das Leben leichter.

Neuere Beiträge »

Impressum

© 2025 Anselm Rohrer

Theme von Anders NorénHoch ↑