CYBERSECURITY: Fünf Tipps für ein erfolgreiches Cybersecurity Managment

Knapp neun von zehn deutschen Unternehmen wurden im vergangenen Jahr Opfer gezielter Cyberangriffe. Der Ende April erschienene Cyber Risk Index zählt insbesondere geschäftskritische Daten aus den Bereichen Finanzen, Forschung und Entwicklung, online zugängliche Firmenkorrespondenzen und vertrauliche Informationen zu den am stärksten betroffenen Zielen professioneller Cyberattacken. Sieben von zehn Befragten erwarten in den nächsten zwölf Monaten eine oder sogar mehrere Cyberattacken auf ihr geistiges Eigentum. Laut Cyber Risk Index sollten Unternehmen daher schnellstmöglich aktiv werden, ihre Erkenntnisfähigkeiten verbessern und die aktuelle Cybersecurity-Strategie überdenken.

Ende April veröffentlichte Trend Micro seinen aktuellen „Kroker´s Look @ IT“. Die Zahlen im halbjährig erscheinenden Cyber Risk Index sprechen dabei für sich: 87 % der deutschen Befragten gaben an, in den letzten zwölf Monaten von einem oder sogar mehreren erfolgreichen Cyberangriffen betroffen gewesen zu sein. Drei Viertel der in Deutschland Befragten mussten dabei den Verlust oder Diebstahl ihrer Kundendaten verzeichnen. Hinzu kamen teilweise gravierende Folgekosten durch entstehende Strafzahlungen, Gerichtsprozesse, IT-Infrastruktur- und Reputationsschäden. Zu den Top 5-Cyberbedrohungen gehörten weltweit Ransomware-Attacken, Phishing und Social Engineering, Denial of Service, Botnets und Man-in-the-Middle-Vorfälle. Deutsche Unternehmen fürchten besonders zielgerichtete Angriffe – seien sie nun staatlich gesteuert oder von international hochprofessionell organisierten Tätergruppen ausgeführt. Laut Bitkom e.V. entsteht der deutschen Wirtschaft jährlich durch Diebstahl, Spionage und Sabotage ein Gesamtschaden von 223 Mrd. EUR. Das ist bereits das Doppelte der Schadenssumme aus 2018/2019 – Tendenz steigend.

Nach dem Cyber Risk Index erwarten über sieben von zehn Befragten den Verlust sensibler Daten innerhalb der nächsten zwölf Monate. Zugleich bewerten europäische IT-Manager das Cybersicherheitsniveau ihrer Unternehmen auf einer Skala von 1 bis 10 nur mit 4,99 und sehen sich entsprechend schlecht auf orchestrierte Cyberangriffe vorbereitet.

Es ist also höchste Zeit, aktiv zu werden. Hier sind fünf praktische Tipps für ein erfolgreiches Cybersecurity Management:

1. IT-Sicherheitsmanagement als kontinuierlichen Verbesserungsprozess verstehen

Einzelne Sicherheitslücken oder Angriffe müssen noch keine ernstzunehmende Sicherheitsbedrohung darstellen. Sehr gefährlich wird es allerdings, wenn großflächig strukturelle Sicherheitslücken ausgenutzt werden, die Reaktionsfähigkeit der Systeme nicht mehr gewährleistet ist oder mit breit konzertierten Cyberattacken zu viele Softwarekomponenten angegriffen werden. Ein Flächenbrand dieses Ausmaßes kann nur durch ein kontinuierliches IT-Sicherheitsmanagement eingedämmt werden.

Unternehmen der Kommunal-, Energie- und Wasserwirtschaft sind also gut beraten, IT-Sicherheit als einen kontinuierlichen Verbesserungsprozess zu verstehen. Dafür lohnt es sich, ganzheitliche Cybersecurity-Strategien zu entwickeln und das eigene IT-Krisenmanagement immer wieder selbstkritisch zu hinterfragen – bei Bedarf auch mit externen Beratern und Kompetenzpartnern.

2. Ein sicherheitsbedachtes Lieferantenmanagement verhindert kostenintensive Folgen gezielter Software-Supply-Chain-Angriffe

Ein IT-Sicherheitssystem ist immer nur so stark wie das am wenigsten abgesicherte Glied der Lieferkette. Da zunehmend auch gezielt IT-Dienstleister, Servicepartner, Beratungshäuser und Softwareanbieter angegriffen werden, zahlt es sich aus, mit einem effektiven, sicherheitsbedachten Lieferantenmanagement für mehr Sicherheit, Transparenz und Produktivität zu sorgen. Jedes Asset von Wert sollte also über seinen gesamten Lebenszyklus hinweg sorgfältig dokumentiert, bereitgestellt, gewartet, aktualisiert und bei Bedarf stillgelegt werden können.

3. IT-Sicherheit muss Chefsache sein

Viel zu oft führt das Cybersecurity Management noch ein Nischendasein als „Privatangelegenheit“ interessierter Techies in der IT-Abteilung. Dabei ist es dringend erforderlich, die Erarbeitung einer einheitlichen, konsolidierten IT- und IT-Sicherheits- sowie Informationssicherheitsstrategie direkt in der Unternehmensführung zu verankern. Das garantiert eine ganzheitliche Sichtweise und bindet alle Verantwortlichen systematisch bereichsübergreifend ein – von der erfolgreichen Implementierung bis zur regelmäßigen Kontrolle der Umsetzung. Zugleich werden die Mitarbeitenden sensibilisiert, eigene Nachlässigkeiten zu vermeiden und sich für ein professionelles Release-, Patch- und Berechtigungsmanagement auf allen Ebenen einzusetzen. Allzu oft machen es Unternehmen Hackern hier noch zu leicht – z. B. mit unsicheren Passwörtern, der fehlenden Trennung kaufmännischer und technischer Systeme oder der Vermischung privater und beruflicher Mailaccounts.

4. Ein krisensicheres Business Continuity Management aufbauen

Leider reicht es nicht, im Bereich der Prävention (z. B. beim Aufbau von Firewalls und der Nutzung von Antivirusprogrammen) vorbildlich dazustehen. Ein effektives Business Continuity Management ermöglicht eine adäquate Reaktion auf bereits erfolgte Cyberangriffe und die schnellstmögliche Wiederaufnahme des regulären Betriebs nach einer störungsbedingten Unterbrechung. So lassen sich Schäden reduzieren und existentielle Bedrohungen (z. B. durch unterbrochene Lieferketten) verhindern.

5. Bei Bedarf externe Kompetenz einbinden

Und wenn sich gerade kleinere Unternehmen den „Luxus“ eines ganzheitlichen Cybersecurity Managements nicht leisten können? Dann lohnt es sich, analog zum Datenschutz und unter klarer Definition der Verantwortlichkeiten einen externen IT-Informationssicherheits-
beauftragten (ISB) hinzuzuziehen. In der Zusammenarbeit mit anderen Unternehmen spart das auch eigene Personal-, Anschaffungs- und Administrationskosten. Erfahrene Kompetenzpartner unterstützen ebenfalls bei einer unabhängigen, objektiven Bestandsaufnahme und GAP-Analyse, um mögliche Lücken zwischen dem Ist- und dem Soll-Zustand detailliert zu erfassen und zu bewerten.

Lesen Sie hierzu auch unseren kürzlich in der ew (Magazin für Energiewirtschaft) erschienenen Fachbeitrag oder verschaffen Sie sich einen Überblick über mögliche Ansätze, mit denen Sie die IT-Sicherheit in Ihrem Unternehmen erhöhen können.

Kontakt: security-experts@oediv.de

CYBERSECURITY: BSI-KritisV 1.5

CYBERSECURITY: BSI-KritisV 1.5 – Zeit, jetzt aktiv zu werden

Deutliche Herabsetzung der Schwellenwerte und erheblich höhere Anforderungen an IT-Sicherheit – die Novellen des IT-Sicherheitsgesetzes und der KRITIS-Verordnung erfordern ein schnelles Handeln. Wir unterstützen Unternehmen der Kritischen Infrastrukturen (KRITIS) und Unternehmen im besonderen öffentlichen Interesse (UBI) sowie deren Zulieferer bei der Bestandsaufnahme, Positionsbestimmung und KRITIS-konformen Umsetzung.

Nun ist richtiges Handeln gefragt. Die am 1. Januar 2022 in Kraft getretene Zweite Änderungsverordnung der BSI-KritisV erweitert das IT-Sicherheitsgesetz und definiert neue Schwellenwerte, Ergänzungen und Anpassungen für KRITIS-Anlagen in den bestehenden Sektoren. Mit der deutlichen Herabsetzung der Schwellenwerte erhöht sich die Gesamtzahl der Betreiber Kritischer Infrastrukturen von ca. 1.600 auf ca. 1.870 Unternehmen. Dazu gehören Stromerzeuger und Betreiber intelligenter Verkehrssysteme ebenso wie IT- und Telekommunikationsanbieter. Beispielsweise werden jetzt auch Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind, als Anlagen im Sinne der Verordnung klassifiziert.

Ausgangspunkt IT-Security Assessment: Objektive Bestandsaufnahme und GAP-Analyse

Ausgangspunkt ist meist eine objektive Bestandsaufnahme und GAP-Analyse, um mögliche Lücken zwischen dem Ist- und dem Soll-Zustand detailliert zu erfassen und zu bewerten. Dabei sollten von Anfang an alle Unternehmensbereiche einbezogen werden. Das reicht vom Aufzeigen und Dokumentieren bestehender Risiken bis hin zur Umsetzung entsprechender Sicherheitsmaßnahmen und einer zielgerichteten Kommunikation mit allen Stakeholdern – sowohl intern als auch extern.
Abhängig von Branche, Unternehmensgröße und Tätigkeitsgebiet sind die Anforderungen an IT-Sicherheitsmaßnahmen ebenso vielfältig wie die verschiedenen Unternehmen auf dem Markt.

Individuelle Bedarfe durch individuelle Ausgangssituationen

  • Unternehmen, die mit großen Datenmengen jonglieren und die eingesetzten Server an die Kapazitätsgrenzen bringen, sehen sich nicht selten mit der Suche nach einer geeigneten Cloudlösung konfrontiert.
  • Steht die IT-Administration vor der Herausforderung, tausende von internen und externen Identitäten verwalten zu müssen, die jede für ihre Tätigkeit Zugriff auf Unternehmensdaten benötigen, kann eine Identity & Access Management Lösung die Aufwände und das Fehlerrisiko in der Unternehmensadministration erheblich reduzieren.
  • Der Einsatz vielfältiger Hardware rund um Laptop, Tablet, Smartphone und Co. stellt einige Unternehmen vor die Herausforderung, die unterschiedlichen Endgeräte adäquat zu verwalten und trotz des mobilen Einsatzes vor unerwünschten Fremdzugriffen zu schützen. Dies ermöglichen Mobile Device Management Lösungen.

So lässt sich die Kette der verschiedenen IT-Sicher­heits­heraus­forderungen in Unternehmen beliebig fortführen. Cybersecurity Consultants helfen den Unternehmen dabei, die für sie relevanten Herausforderungen zu identifizieren und adäquate Lösungen zu finden.

Sie möchten mehr erfahren?

Dann lesen Sie unseren im ew-Magazin erschienenen Fachartikel zur Entwicklung der Cyberkriminalität oder unsere Pressemitteilung zur Zweiten Änderungsverordnung der BSI-KritisV.

Kontakt: security-experts@oediv.de

Schulung "Certified User"

Softwareschulung zum SecuIAM „Certified User“ – April 2022

In 3 Tagen zum Zertifikat – Von der Einführung in die Software bis zur Userverwaltung

Vom 26.04. bis 28.04.2022 bieten wir erneut eine dreitägige Schulung mit abschließender Zertifizierung für die Anwender/innen unserer Produktsuite SecuIAM an. Die Schulung „Certified User“ richtet sich an die Applikationsverantwortlichen unserer Kundenunternehmen, die Berechtigungen für Mitarbeitende verwalten, sowie an Teilnehmende von Einführungsprojekten zu SecuIAM.

Unser Expertenteam rund um Dr. Jörn Vorwald wird schwerpunktmäßig auf folgende Inhalte eingehen:

  • Einführung in SecuIAM
  • Objektverwaltung
  • Userverwaltung
  • Prozesse in der Userverwaltung
  • Compliance-Funktionen von SecuIAM

Der „Certified User“ ist die Basisschulung für SecuIAM. Durch erfolgreichen Abschluss dieser und Erlangen des Zertifikats „Certified User“ sind die Anwender/innen grundsätzlich in der Lage, die Identitäts- und Berechtigungsverwaltung in ihrem Unternehmen über SecuIAM zu steuern und erhalten Anspruch auf die Nutzung der herstellerseitigen Ticketverwaltung. Außerdem berechtigt das Zertifikat dazu, an den Aufbauschulungen „Certified Administrator“ und „Certified Engineer“ teilzunehmen.

Die Anmeldung zur Schulung „Certified User“ ist bis zum 19.04.2022 über folgende Wege möglich:

Zertifikat
Anbindung Active Directory an SecuIAM

Active Directory Anbindung an SecuIAM

Drei Administrationsmöglichkeiten des Active Directory in SecuIAM

SecuIAM übernimmt die Provisionierung von Accounts diverser Zielsysteme. Neben der Anbindung von SAP S/4HANA und weiteren Systemen nimmt das Microsoft Active Directory (AD) den wohl größten Part der täglichen Administrations- und Provisionierungsaufgaben von SecuIAM ein. Durch eine stetige Weiterentwicklung sind in den letzten Jahren die folgenden drei Administrationsvarianten für das AD entstanden, die mithilfe von SecuIAM weitestgehend automatisiert provisioniert werden können.

  • Anbindung des lokalen AD (on-premises)
  • Anbindung eines lokalen AD und eines Azure AD im Hybridbetrieb
  • Anbindung des Azure AD an SecuIAM

Anbindung des lokalen AD

Anbindung des lokalen AD Active Directory Die klassische AD-Administration erfolgt in der Regel über eine Domänenstruktur im unter­nehmens­eigenen Netzwerk. Auch bei einer Organisation über diverse Domänen mit uni- und/oder bidirektionalen Trusts untereinander automatisiert SecuIAM die Anlage, Änderung, Berechtigung, Sperrung und Löschung sämtlicher AD-Accounts. Accounts und deren Berechtigungen werden durch die SecuIAM Reconciliation regelmäßig geprüft und Differenzen zur Auflösung angezeigt. Darüber hinaus kann automatisiert Filespace (wie Benutzer­verzeichnisse oder Abteilungs­laufwerke) angelegt und die User daran berechtigt werden. Durch die Option, Ressourcen für sich selbst oder andere Nutzende zu beantragen, ist es auch ohne Eingriff durch die Administration möglich, notwendige Zugriffe zu erhalten. Auch die Versorgung von Accounts mit Postfächern, Verteilergruppen und Shared Mailboxes via Microsoft Exchange ist realisierbar.

Anbindung eines lokalen AD und
Azure AD im Hybridbetrieb

Anbindung eines lokalen AD und Azure AD im Hybridbetrieb Der Vorteil des Einsatzes eines hybriden Betriebs, also einer Kombination aus der Verwaltung im lokalen sowie im Azure AD, besteht im Wesentlichen in der Bereitstellung von Diensten aus beiden „Welten“. So können nicht nur Filespace im firmen­eigenen Netzwerk angelegt und Berechtigungen vergeben, sondern auch Cloud-Dienste für Microsoft 365 genutzt werden. Postfachanlagen könnten z. B. direkt in Exchange Online erfolgen.

Grundsätzlich sind drei verschiedene Szenarien der Nutzung eines hybriden Modells denkbar, wobei eine Synchronisation zwischen dem Azure AD und dem lokalen AD über die Microsoft Azure AD Connect-Dienste erfolgt.

  1. Unidirektionale Synchronisation des lokalen AD nach Azure AD
  2. Unidirektionale Synchronisation des Azure AD in das lokale AD
  3. Bidirektionale Synchronisation zwischen Azure AD und dem lokalen AD

Die Provisionierung der Accountdaten und Verwaltung von AD-Objekten ist hier vom jeweiligen Nutzungsmodell abhängig und kann den Anforderungen des Kundenunternehmens entsprechend in SecuIAM modelliert und konfiguriert werden, um ein Höchstmaß an Automatisierung und Nachvollziehbarkeit zu erreichen. Natürlich können auch das lokale AD und Azure AD parallel und unabhängig voneinander verwendet werden.

Anbindung des Azure AD (cloud only) an SecuIAM

Anbindung des Azure AD (cloud only) an SecuIAM Bei Anbindung des Azure AD unterstützt SecuIAM die Administration durch die manuelle und vor allem automatisierte Anlage, Sperrung und Löschung von Azure AD-Usern. Aufgrund der zukünftig immer weiter ausgebauten Integration der M365-Services bietet SecuIAM neben der Basisprovisionierung von Azure AD-Usern zudem die Möglichkeit, Lizenzvergaben im M365-Umfeld über eine direkte Vergabe oder aber durch Sicherheitsgruppen zu steuern, die auch automatisiert über das Businessrollen-Modell zugeordnet werden können.

IT-Sicherheitslösungen

IT-Sicherheitslösungen auf einen Blick

Aktuell führen verschiedene Anlässe zu einem gesteigerten Bedarf an IT-Sicherheitsmaßnahmen:

Durch die im Mai 2021 beschlossene und zum 01.01.2022 in Kraft getretene Zweite Verordnung zur Änderung der BSI-Kritisverordnung wurden die Schwellenwerte, die definieren, wann Unternehmen in den Bereich Kritischer Infrastrukturen (KRITIS) zählen, herabgesetzt. Seit Januar 2022 zählen somit mehr als 250 weitere Unternehmen aus verschiedenen Sektoren zu KRITIS und unterliegen infolgedessen besonderen Compliance-Vorgaben durch das IT-Sicherheitsgesetz 2.0.

Hinzu kommen die seit langer Zeit wachsende Digitalisierung in Wirtschaftsbetrieben und die sich u. a. durch die Corona-Pandemie und den New Work Trend wandelnde Arbeitswelt hin zu Remote Arbeit oder auch Telearbeit.

Es wird deutlich, dass die Bedeutung von IT-Sicherheit in wirtschaftlichen Betrieben aktuell einen neuen Höhepunkt erlangt hat. Wir haben uns daher entschieden, unser Lösungsangebot rund um IT-Sicherheit auf einer themenspezifischen Seite zusammenzutragen. Dort finden Sie auf einen Blick Ansätze und konkrete Maßnahmen, mithilfe derer Sie das Sicherheitslevel in Ihrem Unternehmen erhöhen können.

Weitere Informationen über die Zweite Verordnung zur Änderung der BSI-Kritisverordnung finden Sie in unserer Pressemitteilung.

Round Table

Round Table für Versorger – Auswirkungen und Konsequenzen durch das „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“

Gemeinsam mit unserem Mutterunternehmen OEDIV Oetker Daten- und Informationsverarbeitung KG und unserem gemeinsamen Partner PwC Deutschland laden wir am 03.02.2022, 10:00 – 11:00 Uhr zu dem Round Table „Auswirkungen und Konsequenzen für Versorger durch das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“ ein.

In unserem exklusiven Austauschformat mit begrenzter Teilnehmeranzahl bieten wir Interessierten die Gelegenheit, sich mit IT-Security-Experten über Risiken und Regulatorien auszutauschen. Am Round Table können gegenwärtige sowie kommende Compliance-Vorgaben diskutiert und Fragen geklärt werden, um Ansätze und Möglichkeiten für ein einwandfreies Sicherheitslevel bei Versorgern zu finden.

Auf Wunsch können die gewonnen Erkenntnisse in einem Folgetermin mit individueller Beratung weiter vertieft werden. In diesem Termin arbeiten wir gemeinsam mit Ihnen eine an Ihrem Ziel ausgerichtete Handlungsempfehlung heraus, um das Datenhandling in Ihrem Betrieb noch sicherer zu machen.

Save the Date – 03.02.2022, 10:00 – 11:00 Uhr

Sie möchten an dem exklusiven Round Table (max. 5 Teilnehmer) teilnehmen? Dann wenden Sie sich gern an vertrieb@secusys.de.

Stadtwerke Velbert

Stadtwerke Velbert starten Zusammenarbeit mit OEDIV SecuSys

Wir freuen uns, heute die Zusammenarbeit mit der Stadtwerke Velbert GmbH bekanntgeben zu dürfen.
Die Stadtwerke Velbert versorgen die Haushalte in Velbert mit Strom, Wasser, Gas und Internet. Sie schauen auf eine 130-jährige Geschichte zurück und haben sich dazu entschieden, unser langjähriges Knowhow im Bereich IT-Security in ihre Abläufe einzubeziehen, um diese zukunftsgerichtet weiterzuentwickeln.

Mehr über die Zusammenarbeit erfahren Sie in unserer Pressemitteilung:

Zur Pressemitteilung.

Versorger

OEDIV und OEDIV SecuSys verstärken Engagement für die Kommunal-, Energie- und Wasserwirtschaft

Gemeinsam mit unserem Mutterunternehmen OEDIV Oetker Daten- und Informations­verarbeitung KG verstärken wir unser Engagement für Versorgungs­unternehmen der Kommunal-, Energie- und Wasser­wirtschaft. Auch Unternehmen aus den kritischen Infrastrukturen helfen wir dabei, die hohen IT-Sicherheitsvorgaben zu erfüllen, die durch den Staat, von Behörden oder aus dem eigenen Unternehmen auferlegt werden.

In der Pressemitteilung finden Sie mehr über das Hosting-Angebot von OEDIV und unsere IAM-Produktsuite SecuIAM. Lesen Sie, was die Geschäftsführung zu sagen hat und wie wir Versorger auf dem Weg zu mehr Datensicherheit unterstützen.

Zur Pressemitteilung.

Mitarbeiterstammdaten

Erweiterung des SecuIAM Funktionsumfangs – Neues Zusatzpaket „INSIGHTS“

Wir freuen uns, die Aufnahme eines weiteren Produktpakets in dem Produktportfolio von SecuIAM bekanntgeben zu können: Das Zusatzpaket „INSIGHTS“ ermöglicht auf Grundlage des HTTP-basierten Open Data Protocol den Zugriff auf relevante Daten aus der SecuIAM Datenbank.

Mithilfe von Datenvisualisierungstools wie beispielsweise Power BI oder Power Query ist es in der Folge möglich, die dedizierten Daten z. B. aus den Bereichen „Mitarbeiter“, „Rollen und Berechtigungen“ sowie „Prozess- und Systeminformationen“ durch visuelle Aufbereitung in leicht verständliche Geschäftsinformationen zu übersetzen.

Für die gängigen Tools Power Query und Power BI stehen vorkonfigurierte Vorlagen zur Verfügung. Diese mitausgelieferten Vorlagen beinhalten unter anderem Mitarbeiterdaten, Rolleninformationen oder Meta-Informationen zum IAM-System selbst. Die Erstellung weiterer Vorlagen ist im Rahmen von Consulting möglich.

Wenn Sie herausfinden möchten, wie auch Sie mithilfe von „INSIGHTS“ Daten einfach aufbereiten können, beraten wir Sie gerne: https://www.secusys.de/kontakt/.

bi-Cube wird zu SecuIAM

IAM-Software unter neuem Namen – bi-Cube wird zu SecuIAM

Um eindeutig auszudrücken, wofür unsere Softwarelösung steht, haben wir uns für die Umbenennung von bi-Cube in SecuIAM entschieden. Unser Ziel war es, einen Namen zu finden, der sinnbildlich für den Mehrwert steht, den der Einsatz unserer Software schafft und diese zugleich von anderen Sparten aus dem IT-Bereich abgrenzt.

Wir freuen uns, die Umbenennung unserer IAM-Lösung für IT-Security nun bekanntgeben zu können. Noch in diesem Jahr werden wir unseren Außenauftritt rund um Website, Produktinformationen & Co. umstellen, sodass Sie unsere Software bald nicht mehr unter bi-Cube, sondern unter dem neuen Namen SecuIAM finden werden.

Die Umbenennung unserer IAM-Software hat keine Auswirkung auf den Funktionsumfang. Unsere Kundenunternehmen können SecuIAM auch in Zukunft wie bisher anwenden. Natürlich werden wir die Software weiterhin regelmäßig nach unseren Qualitätsstandards optimieren und im Umfang erweitern, damit wir Ihnen auch in Zukunft bei der Erhöhung des Sicherheitslevels in Ihrem Unternehmen und der Automatisierung Ihrer Prozesse helfen können.

Mehr Informationen zur Umbenennung finden Sie in der Pressemitteilung.