Cybersicherheit betrifft alle Bereiche der Informations- und Kommunikationstechnik und es ist Sache der Geschäftsleitung, das Sicherheitsmanagement effizient zu gestalten. Wichtig sind dabei nicht nur technische Maßnahmen, sondern auch die Auswahl und Anleitung der Mitarbeitenden. Informieren kann man sich bei verschiedenen Organisationen.


Hack Back? Verfassungsschutz fordert Präventivschlagsrecht gegen Hackerangriffe
News 17.05.2018 Cyberattacken

Nach Meltdown und Spectre neue Prozessoren-Schwachstellen
News 03.05.2018 IT-Sicherheitslücken

Was ist Cybersicherheit: Definition

Das Bundesamt für Sicherheit in der Informationstechnik definiert Cybersicherheit folgendermaßen: „Cyber-Sicherheit befasst sich mit allen Aspekten der Sicherheit in der Informations- und Kommunikationstechnik. Das Aktionsfeld der klassischen IT-Sicherheit wird dabei auf den gesamten Cyber-Raum ausgeweitet. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein.“

Andere Experten gehen noch weiter, wie z.B. Für Sven Janssen, Regional Director Central Europe bei Sonicwall. Für ihn gehören auch der physische Schutz von Gebäuden und Serverräumen dazu, sowie Schutzmaßnahmen gegen Malware, Netzwerksicherheit sowie die Sicherung von Cloud-Infrastrukturen, mobilen Szenarien und dem Internet der Dinge.

Cyber Sicherheit in Deutschland

  • Deutsche Gesellschaft für Cybersicherheit
  • Cyber-Sicherheitsrat Deutschland e.V.
  • Allianz für Cyber-Sicherheit:
  • IT-Lage- und Analysezentrum des BSI
  • Computernotfallteam der Bundesverwaltung CERT-Bund
  • UP KRITIS: ISO 27000

Cyber Risiken

Am Cyber-Sicherheits-Tag 01.09.2017 in der IHK Darmstadt, veranstaltet von der Allianz für Cyber-Sicherheit, wurde von Andreas Schütz, Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt (FHWS)  das Thema Sicherheit mobiler Endgeräte behandelt. Er nannte in seinem Beitrag folgende Risiken:

  • Überwachung
  • Identitätsdiebstahl
  • Abfangen von Informationen
  • Ausspionieren von Geschäftsgeheimnissen
  • Diebstahl von Know-How
  • Zugriff auf das Online-Banking
  • Vorbereitung für weitere Angriffe
  • Botnet-Aktivitäten bzw. Missbrauch

Um diese Risiken zu bekämpfen, sei bei den Angestellten ein Sensibilisierungsprozess notwendig, d.h. Aufklärung und Analyse der Risiken und der möglichen Gegenmaßnahmen und spätere Kontrolle, ob diese wirksam sind.

Cybersicherheitsgesetz

Seit Juli 2015 gilt das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, BSIG). Dieses schreibt vor, dass ein Bundesamt für Sicherheit in der Informationstechnik eingesetzt wird. Laut diesem sollen durch das Gesetz die Deutschen IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit werden.

Betreiber von sogenannten Kritischen Infrastrukturen sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind (§ 8a BSIG). Das Gesetz ist nicht anwendbar auf Kleinstunternehmen (§ 8d BSIG).

Cyber Sicherheitsstrategie in Unternehmen

Der Kampf gegen Industriespionage ist Chefsache, wobei die Vorgesetzten natürlich ein Vorbild sein müssen. Die Firmenleitung hat ein Konzept und Richtlinien zu erarbeiten, und zwar mit einem ganzheitlichen Ansatz für alle Bereiche. Eine Risiko- und Schwachstellenanalyse ist dafür eine nützliche Grundlage. Darüber sollten die Angestellten von Anfang an informiert und an der Ausarbeitung des Konzepts beteiligt werden. Wenn es um Vorschriften für die Mitarbeitenden geht, ist gemäß § 87 Abs.1 Nr.1 BetrVG auch der Betriebsrat einzubeziehen.

Wichtig für Cybersicherheit ist eine hohe Verbundenheit und Loyalität gegenüber den Mitarbeitenden und Interesse für ihre Arbeit. Diese wird gefördert durch gute Entlohnung, und auch Anerkennung der Leitungen der Mitarbeiter. Diese ist vor allem bei den Computer- und IT-Fachleuten wichtig, denn diese könnten die größten Schäden anrichten. Also muss man gerade in dem Bereich die Mitarbeitenden und allfällige Vertragspartner, z.B. Cloudanbieter, sorgfältig auswählen.

Die Mitarbeitenden müssen über mögliche Gefahren und Risiken im IT-Bereich und die Maßnahmen dagegen informiert werden. Sie müssen davon überzeugt werden, dass sie auch im sozialen Verhalten in Bezug auf das Unternehmen diskret sind. Industriespionage, die auch Folgen für die Cybersicherheit hat, wird oft durch soziale Kontakte begangen, das kommt keineswegs nur in Romanen vor.

Die Geschäftsleitung muss dafür sorgen, dass das Datenschutzrecht in der Firma befolgt wird. Zum Beispiel entsprechen, nach Auffassung des sächsischen Datenschutzbeauftragten, unverschlüsselte E-Mails von Berufsgeheimnisträgern nicht mehr dem technischen Stand, vor allem nicht bei Ärzten, Apothekern, Rechtsanwälten und Sozialarbeitern.

Wichtig: Nach Strafgesetzbuch gibt es einige Straftatbestände, die als IT-Delikte zu betrachten sind, z.B. Ausspähen von Daten § 202a StGB, Datenhehlerei, § 202d StGB, Verwertung fremder Geheimnisse § 204 StGB. Gemäss § 14 StGB können Angestellte strafbar werden, auch wenn sie die Tat nicht selber begangen haben, sondern eines der Organe des Unternehmens oder ein Gesellschafter. Wenn ein Inhaber eines Betriebes eine Straftat begeht, kann auch ein Geschäftsleiter haften.

Auch in der Hinsicht müssen die Personen überprüft werden, mit denen man zusammenarbeitet. Das höchste Risiko In der Informatik ist der Mensch, das zeigt sich immer wieder.

Informationssicherheitsmanagementsystem aufbauen

  1. Besonders wichtig für das Sicherheitsmanagement ist, dass der Informationsfluss richtig gesteuert wird, so dass bestimmte Informationen so direkt wie möglich an die berechtigten Personen gelangen und vor allem nur an diese. Zum Beispiel sollten für wichtige Anordnungen, vor allem im finanziellen Bereich, eine analoge Rückfrage gestellt werden müssen, ob sie wirklich von demjenigen stammt, der in der betreffenden Nachricht genannt wird. Der Befragte beantwortet diese am besten mit einem Sicherheitscodewort, das nur die Betroffenen kennen. So werden sogenannte "Fake President Angriffe" vermieden, bei denen Mitarbeitende, die zu Finanztransaktionen bevollmächtigt sind, von Personen kontaktiert werden, die sich als hochrangige Manager ihrer Firma ausgeben.
  2. Die von den Herstellern bereitgestellten Sicherheitsupdates sollten grundsätzlich so schnell wie möglich heruntergeladen werden.
  3. Auch Verschlüsselung schützt vor Informationsabfluss. Sie ist auch zum Schutz der Kundendaten wichtig.
  4. Geheimhaltungsklauseln mit Angestellten, Geschäftspartnern, Lieferanten, allenfalls auch Kunden, sind unerlässlich, wenn Wissen oder sonstige sensible Informationen ausgetauscht werden. Diese müssen auch nach Beendigung der Zusammenarbeit gelten.
  5. Laufende Kontrolle, ob das Sicherheitsmanagement funktioniert, ist die Aufgabe der sogenannten „Security policy“ – der Ausdruck stammt aus den ISO 27000-Normen.  Auch Selbstkontrolle ist wichtig.
  6. Geheime (Kunden-)Daten und alle Daten die Forschung und Entwicklung betreffen sollten von Clouds und Internet getrennt sein. Ausschließlich berechtigte Personen sollten auf diese Bereiche Zugriff bekommen. Computerfachleute empfehlen dafür firmeneigene Terminals, auf denen es keine USB-Anschlüsse oder andere externe Anschlussmöglichkeiten gibt.
US-Sicherheitsbehörden u.a. warnen vor Hacker-Angriff über IT-Schwachstellen
Computertaste mit der Aufschrift Cyberattacke
News   18.04.2018   US-Cert-Liste möglicher IT-Angriffpunkte

Das FBI, die US-Heimatschutzbehörde und das britische NCSC sind mit einer Warnung vor einem Großangriff russischer Hacker an die Öffentlichkeit gegangen. Angreifer sollen weltweit Infrastrukturen von Netzwerken infiltriert haben, um damit Spionage- und Sabotage-Aktionen durchführen zu können. US-Cert listet die möglichen IT-Schwachstellen auf. Was steckt dahinter?mehr

IT-Sicherheitsbeauftragter
Schloss mit Schlüssel auf Tastatur, Symbol Computersicherheit
News   18.04.2018   Cybersicherheit

In den letzten Jahren entwickelte sich eine zunehmende IT-Durchdringung und Vernetzung praktisch aller Lebensbereiche. Fast jedes Unternehmen ist heutzutage von dem Funktionieren der digitalen Infrastruktur abhängig.mehr

Chancen und Risiken für Unternehmen, die Kryptowährungen für Zahlungen akzeptieren
Bitcoin
News   12.03.2018   Bitcoins& Co.

Vielen Unternehmen stellen sich angesichts des jüngsten Hypes um Kryptowährungen die Frage, ob sie diese als Zahlungsmöglichkeit für ihre Dienstleistungen oder Produkte akzeptieren sollten. Welche Vorteile kann dies haben und welchen Gefahren können diesen u.U. gegenüberstehen? Sicher ist, dass sich neue Rechtsfragen stellen und gute vertragliche Absicherung für Widerrufe Sinn macht. Rechtsanwalt Konstantin Filbinger gibt einen Überblick.mehr

Gravierende, schwer behebbare Schwachstelle bei den meisten Prozessoren
Circuit board Nahaufnahme Microprocessor chip
News   24.01.2018   Meltdown und Spectre

Im Sommer entdeckt und seit Jahresbeginn als IT-Security-Supergau bekannt sind Sicherheitslücken in fast allen verbreiteten Prozessortypen. Nahezu jeder Computerbesitzer ist von den Angriffsmöglichkeiten Meltdown bzw. Spectre betroffen, denn anfällige CPUs sind in Rechnertypen von Servern, PCs, Notebooks, Tablets und Smartphones eingebaut. Es drohen erhebliche Risiken und Patches der Hersteller können das Problem teilweise verschärfen.mehr

Bring Your Own Device: Vorteile, Nachteile, Rechtsrahmen
Tablet Laptop Smartphone digitale Medien
News   22.01.2018   Datenschutz

Bei einem BYOD-System benutzen Angestellte für die Arbeit ihre eigenen Geräte. Das erscheint praktisch und kostengünstig. Der zweite Blick erläutert allerdings die Gefahren für Sicherheit und Datenschutz. Es ist Chefsache, für Regelungen in Arbeitsverträgen und im Betrieb zu sorgen, wobei gegebenfalls der Betriebsrat einzubeziehen ist.mehr

Cyber-Crime - eine von Unternehmen immer noch unterschätzte Gefahr
Cyberkriminalität (1)
News   01.12.2017   IT-Sicherheit

Jedes dritte größere Unternehmen war bereits einmal Opfer von Cyber-Crime. Das Ausspähen von Passwörtern und Firmeninterna oder der Klau von Kundendaten, die Manipulation von Finanz- und Kontodaten - diesen Risiken hat neben dem BSI nun auch die BaFin den Kampf angesagt.mehr

Warnung vor dem neuen Verschlüsselungstrojaner Bad Rabbit
Feldhase sitzt in Wiese
News   06.11.2017   Cyberattacken

Vor allem in Osteuropa, insbesondere in Russland und der Ukraine, hat ein neuartiger Verschlüsselungstrojaner für erhebliches Aufsehen gesorgt und u. a. den Nachrichtendienst Interfax weitgehend lahmgelegt. Der auf den Namen Bad Rabbit getaufte Schädling richtete dabei beträchtliche Schäden an, breitet sich weiter aus und könnte auch hierzulande zur Gefahr werden, weshalb besondere Wachsamkeit angeraten ist.mehr

Kryptowährungen - Was steckt hinter dem derzeitigen rasanten Aufstieg?
Bitcoin
Serie   25.09.2017   Kryptowährungen und unser Geldsystem

Bitcoin, Ripple, Ether oder andere Kryptowährungen sind eine technologische Innovation, welche in 2017 gigantische Rekordzuwächse verzeichnen. Sie erfreuen sich steigender globaler Beliebtheit. Ein juristisches Neuland, welches unsere bisherige Finanzwelt zu revolutionieren beginnt?mehr

Attacke mit dem Krypto-Trojaner WannaCry - Taktik und Folgen
Wellenlinie mit Zahlencode, elektronische Daten
News   16.05.2017   Malware-Angriff

Weltweit hat die Ransomware WannaCry Hunderttausende von Windows-PCs befallen können und dabei enorme Schäden angerichtet. Die immensen Auswirkungen hätten bei etwas mehr Vorsicht und Sorgfalt verhindert werden können. Derweil streiten Experten bereits darüber, wer an diesem Vorfall in welchem Ausmaß eine Mitschuld trägt.mehr

Mobile Geräte machen Unternehmen besonders verwundbar
Modern workplace with digital tablet and mobile phone, pen and papers with numbers.
News   02.05.2016   IT-Sicherheit

Smartphones und Tablets gehören immer häufiger zur Grundausstattung von Mitarbeitern. Viele nutzen die mobilen Geräte auch privat oder setzen ihre eigenen Geräte für die Arbeit ein. Doch für Unternehmen sind mobile Geräte eine große Herausforderung, wenn es darum geht, ihr IT-System zu schützen.mehr

Immer besser getarnte Cyberangriffe
Cyberkriminalität (1)
News   07.03.2016   IT-Sicherheit

Cyberangriffe werden immer raffinierter. Mehrere öffentliche Einrichtungen, wie Behörden oder Krankenhäuser, waren in letzter Zeit Opfer von Cyberattacken geworden. Das Problem: die Tarnung der Schadsoftware wird immer besser.mehr

Ohne Bargeld keine Schattenwirtschaft?
Korruption Geldübergabe
News   16.02.2016   Pro und Contra Obergrenze

Die Bundesregierung will eine Obergrenze für Bargeldzahlungen einführen. Damit sollen Geldwäsche und andere kriminelle Machenschaften eingedämmt werden. Doch wie wäre es ganz ohne Bargeld? Wer würde davon profitieren?mehr

Cyberkriminalität - fast jedes zweite Unternehmen ist betroffen
Infografik: Cybercrime
News   05.02.2016   Infografik

Cyberkriminalität ist schon lange kein Phänomen mehr, dass nur einzelne Unternehmen betrifft. 40 % der Unternehmen in Deutschland waren 2013 und 2014 betroffen. Der finanzielle Schaden lag im Schnitt bei ca. 370.000 EUR.mehr

Pflichten aus IT-Sicherheitsgesetz und EU-Richtlinie zur Cybersicherheit
Satellit
News   01.02.2016   Kritische Infrastrukturen

Auf viele Unternehmen kommen zusätzliche Sicherungspflichten zu: Nachdem im letzten Sommer das neue nationale IT-Sicherheitsgesetz in Kraft getreten ist, gibt es nun mit einer europäischen Richtlinie zur gemeinsamen Netz- und Informationssicherheit eine weitere Vorgabe, mit der vor allem die IT-Sicherheit im Bereich kritischer Infrastrukturen verbessert werden soll.mehr