Cybersicherheit betrifft alle Bereiche der Informations- und Kommunikationstechnik und es ist Sache der Geschäftsleitung, das Sicherheitsmanagement effizient zu gestalten. Wichtig sind dabei nicht nur technische Maßnahmen, sondern auch die Auswahl und Anleitung der Mitarbeitenden. Informieren kann man sich bei verschiedenen Organisationen.


News 10.09.2018 Cybersecurity

Was ist Cybersicherheit: Definition

Das Bundesamt für Sicherheit in der Informationstechnik definiert Cybersicherheit folgendermaßen: „Cyber-Sicherheit befasst sich mit allen Aspekten der Sicherheit in der Informations- und Kommunikationstechnik. Das Aktionsfeld der klassischen IT-Sicherheit wird dabei auf den gesamten Cyber-Raum ausgeweitet. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein.“

Andere Experten gehen noch weiter, wie z.B. Für Sven Janssen, Regional Director Central Europe bei Sonicwall. Für ihn gehören auch der physische Schutz von Gebäuden und Serverräumen dazu, sowie Schutzmaßnahmen gegen Malware, Netzwerksicherheit sowie die Sicherung von Cloud-Infrastrukturen, mobilen Szenarien und dem Internet der Dinge.

Cyber Sicherheit in Deutschland

  • Deutsche Gesellschaft für Cybersicherheit
  • Cyber-Sicherheitsrat Deutschland e.V.
  • Allianz für Cyber-Sicherheit:
  • IT-Lage- und Analysezentrum des BSI
  • Computernotfallteam der Bundesverwaltung CERT-Bund
  • UP KRITIS: ISO 27000

Cyber Risiken

Am Cyber-Sicherheits-Tag 01.09.2017 in der IHK Darmstadt, veranstaltet von der Allianz für Cyber-Sicherheit, wurde von Andreas Schütz, Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt (FHWS)  das Thema Sicherheit mobiler Endgeräte behandelt. Er nannte in seinem Beitrag folgende Risiken:

  • Überwachung
  • Identitätsdiebstahl
  • Abfangen von Informationen
  • Ausspionieren von Geschäftsgeheimnissen
  • Diebstahl von Know-How
  • Zugriff auf das Online-Banking
  • Vorbereitung für weitere Angriffe
  • Botnet-Aktivitäten bzw. Missbrauch

Um diese Risiken zu bekämpfen, sei bei den Angestellten ein Sensibilisierungsprozess notwendig, d.h. Aufklärung und Analyse der Risiken und der möglichen Gegenmaßnahmen und spätere Kontrolle, ob diese wirksam sind.

Cybersicherheitsgesetz

Seit Juli 2015 gilt das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, BSIG). Dieses schreibt vor, dass ein Bundesamt für Sicherheit in der Informationstechnik eingesetzt wird. Laut diesem sollen durch das Gesetz die Deutschen IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit werden.

Betreiber von sogenannten Kritischen Infrastrukturen sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind (§ 8a BSIG). Das Gesetz ist nicht anwendbar auf Kleinstunternehmen (§ 8d BSIG).

Cyber Sicherheitsstrategie in Unternehmen

Der Kampf gegen Industriespionage ist Chefsache, wobei die Vorgesetzten natürlich ein Vorbild sein müssen. Die Firmenleitung hat ein Konzept und Richtlinien zu erarbeiten, und zwar mit einem ganzheitlichen Ansatz für alle Bereiche. Eine Risiko- und Schwachstellenanalyse ist dafür eine nützliche Grundlage. Darüber sollten die Angestellten von Anfang an informiert und an der Ausarbeitung des Konzepts beteiligt werden. Wenn es um Vorschriften für die Mitarbeitenden geht, ist gemäß § 87 Abs.1 Nr.1 BetrVG auch der Betriebsrat einzubeziehen.

Wichtig für Cybersicherheit ist eine hohe Verbundenheit und Loyalität gegenüber den Mitarbeitenden und Interesse für ihre Arbeit. Diese wird gefördert durch gute Entlohnung, und auch Anerkennung der Leitungen der Mitarbeiter. Diese ist vor allem bei den Computer- und IT-Fachleuten wichtig, denn diese könnten die größten Schäden anrichten. Also muss man gerade in dem Bereich die Mitarbeitenden und allfällige Vertragspartner, z.B. Cloudanbieter, sorgfältig auswählen.

Die Mitarbeitenden müssen über mögliche Gefahren und Risiken im IT-Bereich und die Maßnahmen dagegen informiert werden. Sie müssen davon überzeugt werden, dass sie auch im sozialen Verhalten in Bezug auf das Unternehmen diskret sind. Industriespionage, die auch Folgen für die Cybersicherheit hat, wird oft durch soziale Kontakte begangen, das kommt keineswegs nur in Romanen vor.

Die Geschäftsleitung muss dafür sorgen, dass das Datenschutzrecht in der Firma befolgt wird. Zum Beispiel entsprechen, nach Auffassung des sächsischen Datenschutzbeauftragten, unverschlüsselte E-Mails von Berufsgeheimnisträgern nicht mehr dem technischen Stand, vor allem nicht bei Ärzten, Apothekern, Rechtsanwälten und Sozialarbeitern.

Wichtig: Nach Strafgesetzbuch gibt es einige Straftatbestände, die als IT-Delikte zu betrachten sind, z.B. Ausspähen von Daten § 202a StGB, Datenhehlerei, § 202d StGB, Verwertung fremder Geheimnisse § 204 StGB. Gemäss § 14 StGB können Angestellte strafbar werden, auch wenn sie die Tat nicht selber begangen haben, sondern eines der Organe des Unternehmens oder ein Gesellschafter. Wenn ein Inhaber eines Betriebes eine Straftat begeht, kann auch ein Geschäftsleiter haften.

Auch in der Hinsicht müssen die Personen überprüft werden, mit denen man zusammenarbeitet. Das höchste Risiko In der Informatik ist der Mensch, das zeigt sich immer wieder.

Informationssicherheitsmanagementsystem aufbauen

  1. Besonders wichtig für das Sicherheitsmanagement ist, dass der Informationsfluss richtig gesteuert wird, so dass bestimmte Informationen so direkt wie möglich an die berechtigten Personen gelangen und vor allem nur an diese. Zum Beispiel sollten für wichtige Anordnungen, vor allem im finanziellen Bereich, eine analoge Rückfrage gestellt werden müssen, ob sie wirklich von demjenigen stammt, der in der betreffenden Nachricht genannt wird. Der Befragte beantwortet diese am besten mit einem Sicherheitscodewort, das nur die Betroffenen kennen. So werden sogenannte "Fake President Angriffe" vermieden, bei denen Mitarbeitende, die zu Finanztransaktionen bevollmächtigt sind, von Personen kontaktiert werden, die sich als hochrangige Manager ihrer Firma ausgeben.
  2. Die von den Herstellern bereitgestellten Sicherheitsupdates sollten grundsätzlich so schnell wie möglich heruntergeladen werden.
  3. Auch Verschlüsselung schützt vor Informationsabfluss. Sie ist auch zum Schutz der Kundendaten wichtig.
  4. Geheimhaltungsklauseln mit Angestellten, Geschäftspartnern, Lieferanten, allenfalls auch Kunden, sind unerlässlich, wenn Wissen oder sonstige sensible Informationen ausgetauscht werden. Diese müssen auch nach Beendigung der Zusammenarbeit gelten.
  5. Laufende Kontrolle, ob das Sicherheitsmanagement funktioniert, ist die Aufgabe der sogenannten „Security policy“ – der Ausdruck stammt aus den ISO 27000-Normen.  Auch Selbstkontrolle ist wichtig.
  6. Geheime (Kunden-)Daten und alle Daten die Forschung und Entwicklung betreffen sollten von Clouds und Internet getrennt sein. Ausschließlich berechtigte Personen sollten auf diese Bereiche Zugriff bekommen. Computerfachleute empfehlen dafür firmeneigene Terminals, auf denen es keine USB-Anschlüsse oder andere externe Anschlussmöglichkeiten gibt.
News 17.05.2018 Cyberattacken

Hackerattacken auf Unternehmen, staatliche Institutionen oder kritische Infrastrukturen werden häufiger. Es steht zu befürchten, dass aus dem kalten Krieg bald ein heißer Cyberwar werden kann. Angesichts der zunehmenden Bedrohung äußern Verfassungsschützer und auch Politiker den Wunsch, durch gezielte Gegenangriffe die Pläne potenzielle Saboteure zu vereiteln. Doch dieses "Hack Back" ist umstritten, zumal eine Gesetzesgrundlage fehlt.mehr

no-content
News 03.05.2018 IT-Sicherheitslücken

Anfang des Jahres erschütterte das Bekanntwerden der Prozessor-Schwachstellen Meltdown und Spectre die IT-Welt. In der Folge bemühten sich Hardware- und Betriebssystem-Hersteller um Schadensbegrenzung und stellten mehr oder weniger schnell Sicherheitsupdates zur Verfügung. Doch Experten wiesen darauf hin, dass die Lücken in den Prozessoren für weitere Schwachstellen ausgenutzt werden können. Dieses Szenario ist jetzt eingetreten.mehr

no-content
News 18.04.2018 US-Cert-Liste möglicher IT-Angriffpunkte

Das FBI, die US-Heimatschutzbehörde und das britische NCSC sind mit einer Warnung vor einem Großangriff russischer Hacker an die Öffentlichkeit gegangen. Angreifer sollen weltweit Infrastrukturen von Netzwerken infiltriert haben, um damit Spionage- und Sabotage-Aktionen durchführen zu können. US-Cert listet die möglichen IT-Schwachstellen auf. Was steckt dahinter?mehr

no-content
News 18.04.2018 Cybersicherheit

In den letzten Jahren entwickelte sich eine zunehmende IT-Durchdringung und Vernetzung praktisch aller Lebensbereiche. Fast jedes Unternehmen ist heutzutage von dem Funktionieren der digitalen Infrastruktur abhängig.mehr

no-content
News 12.03.2018 Bitcoins& Co.

Vielen Unternehmen stellen sich angesichts des jüngsten Hypes um Kryptowährungen die Frage, ob sie diese als Zahlungsmöglichkeit für ihre Dienstleistungen oder Produkte akzeptieren sollten. Welche Vorteile kann dies haben und welchen Gefahren können diesen u.U. gegenüberstehen? Sicher ist, dass sich neue Rechtsfragen stellen und gute vertragliche Absicherung für Widerrufe Sinn macht. Rechtsanwalt Konstantin Filbinger gibt einen Überblick.mehr

no-content
News 24.01.2018 Meltdown und Spectre

Im Sommer entdeckt und seit Jahresbeginn als IT-Security-Supergau bekannt sind Sicherheitslücken in fast allen verbreiteten Prozessortypen. Nahezu jeder Computerbesitzer ist von den Angriffsmöglichkeiten Meltdown bzw. Spectre betroffen, denn anfällige CPUs sind in Rechnertypen von Servern, PCs, Notebooks, Tablets und Smartphones eingebaut. Es drohen erhebliche Risiken und Patches der Hersteller können das Problem teilweise verschärfen.mehr

no-content
News 22.01.2018 Datenschutz

Bei einem BYOD-System benutzen Angestellte für die Arbeit ihre eigenen Geräte. Das erscheint praktisch und kostengünstig. Der zweite Blick erläutert allerdings die Gefahren für Sicherheit und Datenschutz. Es ist Chefsache, für Regelungen in Arbeitsverträgen und im Betrieb zu sorgen, wobei gegebenfalls der Betriebsrat einzubeziehen ist.mehr

no-content
News 01.12.2017 IT-Sicherheit

Jedes dritte größere Unternehmen war bereits einmal Opfer von Cyber-Crime. Das Ausspähen von Passwörtern und Firmeninterna oder der Klau von Kundendaten, die Manipulation von Finanz- und Kontodaten - diesen Risiken hat neben dem BSI nun auch die BaFin den Kampf angesagt.mehr

no-content
News 06.11.2017 Cyberattacken

Vor allem in Osteuropa, insbesondere in Russland und der Ukraine, hat ein neuartiger Verschlüsselungstrojaner für erhebliches Aufsehen gesorgt und u. a. den Nachrichtendienst Interfax weitgehend lahmgelegt. Der auf den Namen Bad Rabbit getaufte Schädling richtete dabei beträchtliche Schäden an, breitet sich weiter aus und könnte auch hierzulande zur Gefahr werden, weshalb besondere Wachsamkeit angeraten ist.mehr

no-content
Serie 25.09.2017 Kryptowährungen und unser Geldsystem

Bitcoin, Ripple, Ether oder andere Kryptowährungen sind eine technologische Innovation, welche in 2017 gigantische Rekordzuwächse verzeichnen. Sie erfreuen sich steigender globaler Beliebtheit. Ein juristisches Neuland, welches unsere bisherige Finanzwelt zu revolutionieren beginnt?mehr

no-content
News 16.05.2017 Malware-Angriff

Weltweit hat die Ransomware WannaCry Hunderttausende von Windows-PCs befallen können und dabei enorme Schäden angerichtet. Die immensen Auswirkungen hätten bei etwas mehr Vorsicht und Sorgfalt verhindert werden können. Derweil streiten Experten bereits darüber, wer an diesem Vorfall in welchem Ausmaß eine Mitschuld trägt.mehr

no-content
News 02.05.2016 IT-Sicherheit

Smartphones und Tablets gehören immer häufiger zur Grundausstattung von Mitarbeitern. Viele nutzen die mobilen Geräte auch privat oder setzen ihre eigenen Geräte für die Arbeit ein. Doch für Unternehmen sind mobile Geräte eine große Herausforderung, wenn es darum geht, ihr IT-System zu schützen.mehr

no-content
News 07.03.2016 IT-Sicherheit

Cyberangriffe werden immer raffinierter. Mehrere öffentliche Einrichtungen, wie Behörden oder Krankenhäuser, waren in letzter Zeit Opfer von Cyberattacken geworden. Das Problem: die Tarnung der Schadsoftware wird immer besser.mehr

no-content
News 16.02.2016 Pro und Contra Obergrenze

Die Bundesregierung will eine Obergrenze für Bargeldzahlungen einführen. Damit sollen Geldwäsche und andere kriminelle Machenschaften eingedämmt werden. Doch wie wäre es ganz ohne Bargeld? Wer würde davon profitieren?mehr

no-content
News 05.02.2016 Infografik

Cyberkriminalität ist schon lange kein Phänomen mehr, dass nur einzelne Unternehmen betrifft. 40 % der Unternehmen in Deutschland waren 2013 und 2014 betroffen. Der finanzielle Schaden lag im Schnitt bei ca. 370.000 EUR.mehr

no-content
News 01.02.2016 Kritische Infrastrukturen

Auf viele Unternehmen kommen zusätzliche Sicherungspflichten zu: Nachdem im letzten Sommer das neue nationale IT-Sicherheitsgesetz in Kraft getreten ist, gibt es nun mit einer europäischen Richtlinie zur gemeinsamen Netz- und Informationssicherheit eine weitere Vorgabe, mit der vor allem die IT-Sicherheit im Bereich kritischer Infrastrukturen verbessert werden soll.mehr

no-content