Category Archives: cybersecurity

Blog zu Cybersecurity

Attack-Surface-Management

CYBERSECURITY: Attack Surface Management – Modebegriff oder sinnvolle Ergänzung zum klassischen Vulnerability Scanning?

Die Sicherheit von IT-Systemen ist heutzutage von entscheidender Bedeutung, da immer mehr Informationen digitalisiert und online geteilt werden. Cyberkriminelle sind ständig auf der Suche nach Schwachstellen in diesen Systemen und nutzen diese aus, um Daten zu stehlen, Systeme zu manipulieren oder zu zerstören.

Traditionelle Sicherheitsmaßnahmen wie Firewalls und Antiviren-Software sind zwar hilfreich, um die Sicherheit von IT-Systemen zu erhöhen, jedoch nicht ausreichend, um ein IT-System vollständig zu schützen. Im Rahmen der meisten Angriffe werden entweder menschliche Schwachstellen oder technische Schwachstellen ausgenutzt. Sowohl Vulnerability Scanning als auch Attack Surface Management (ASM) sind Lösungen, um bei der Suche und Behebung technischer Schwachstellen oder gravierender Fehlkonfigurationen zu unterstützen.

Vulnerability Scanning als klassischer Ansatz

Vulnerability Scanning ist ein bewährter Ansatz, um Schwachstellen in einem IT-System zu identifizieren und zu beheben. Dabei wird eine automatisierte Software eingesetzt, um Schwachstellen in einem IT-System zu erkennen, die von Cyberkriminellen ausgenutzt werden können. Solche Schwachstellen können zum Beispiel sein: Portscans, Banner Grabbing oder Agent-basiert entsprechende Endpoints. Die Software führt regelmäßig Scans durch und identifiziert potenzielle Schwachstellen, die dann von einem Sicherheitsteam untersucht und behoben werden können.

Attack Surface Management als moderne Ergänzung

ASM hingegen ist ein relativ neuer Ansatz zur Sicherheitsverwaltung, der sich auf die Identifizierung und Verwaltung der Attack Surface eines IT-Systems konzentriert. Die Attack Surface bezeichnet dabei alle öffentlich zugänglichen Dienste, Schnittstellen und Protokolle, über die ein potenzieller Angreifer Zugriff auf ein System erhalten kann. Die Idee dahinter ist, dass je größer die Attack Surface eines Systems oder eines Unternehmens ist, desto größer ist auch das Risiko eines Angriffs.

ASM bezieht sich also nicht nur auf technische Schwachstellen, sondern explizit auch auf Schwachstellen, die durch falsch konfigurierte Systeme oder ungeschützte Benutzerzugänge verursacht werden können. Durch die Analyse der Attack Surface können potenzielle Angriffspunkte identifiziert und reduziert werden, was das Risiko von Angriffen und die potenziellen Auswirkungen von Sicherheitsverletzungen verringert. Der Blick auf die Angriffsoberfläche (Attack Surface) findet dabei meist von außen (aus dem Internet) statt – wie es üblicherweise durch Angreifende geschieht. Im Rahmen des Vulnerability Scanning wird häufig ein Blick von innen eingenommen.

Gemeinsamkeiten und Integration der Lösungen

Obwohl Vulnerability Scanning und ASM unterschiedliche Schwerpunkte haben, ergänzen sie sich gegenseitig und lassen sich in einer effektiven Sicherheitsstrategie kombinieren. Sowohl ein Blick von innen als auch ein Blick von außen auf die Angriffsoberfläche kann helfen, Risiken aufgrund technischer Sicherheitslücken zu senken. Vulnerability Scanning ermöglicht es, Schwachstellen in einem IT-System zu identifizieren und zu beheben, während ASM dazu beiträgt, die Attack Surface des Systems zu reduzieren und das Risiko von Angriffen zu minimieren. ASM ist jedoch kein Ersatz für Vulnerability Scanning. Vielmehr ist ASM eine sinnvolle Ergänzung zu traditionellen Sicherheitsmaßnahmen wie Vulnerability Scanning, Firewall-Systemen und Antiviren-Software. ASM erweitert die Sicherheitsmaßnahmen um die Identifizierung und Verwaltung der Attack Surface. Dadurch werden potenzielle Angriffspunkte minimiert. Vulnerability Scanning bleibt jedoch weiterhin ein wichtiger Bestandteil der Sicherheitsverwaltung, um Schwachstellen in einem IT-System zu identifizieren und zu beheben.

Haben Sie Interesse an Schwachstellen Scanning oder Attack Surface Management? Sprechen Sie uns an – wir unterstützen Sie!

Kontakt: security-experts@oediv.de

Schwachstellenmanagement

CYBERSECURITY: Schwachstellenmanagement – Der richtige Umgang mit Sicherheitslücken in der IT-Infrastruktur

Ein gutes Schwachstellenmanagement ist heutzutage ein wichtiger Bestandteil der Unternehmensstrategie. Es sorgt dafür, dass die Sicherheit von IT-Systemen, Netzwerken und IT-Infrastrukturkomponenten durch die zeitnahe Feststellung und Behebung von Schwachstellen erhöht wird.

Was versteht man unter einer Schwachstelle?

Eine Schwachstelle ist eine Unvollständigkeit oder ein Fehler in einer Software, einem Betriebssystem oder einem Prozess. Sie ermöglicht es Angreifenden, Zugriff auf sensible, schützenswerte Daten zu erlangen oder die Kontrolle über Systeme zu gewinnen und sich auf diese Weise – häufig unbemerkt – im Netzwerk zu bewegen. Schwachstellen können in Hardwarekomponenten, Software oder auch in der Softwarearchitektur liegen. Beispiele hierfür sind nicht gepatchte Hardwarekomponenten, nicht gepatchte Software, unzureichende Zugriffsrechte und schwache Passwörter. Der Trojaner Emotet zum Beispiel macht sich eine fehlerhafte Active Directory Architektur zu Nutze und kann hierdurch die komplette Windows Domäne kompromittieren.

Das Erkennen und Beseitigen von Schwachstellen ist entscheidend, da jedes System und jedes Netzwerk zunächst einmal ein potenzielles Ziel für Angreifende darstellt. Durch die gezielte Identifizierung und Behebung von Schwachstellen wird das Risiko eines Angriffs minimiert und die Verfügbarkeit und Integrität sensibler Daten geschützt.
Das Schwachstellenmanagement inkludiert die Identifizierung, die Bewertung nach Kritikalität und die Priorisierung von Maßnahmen zur Behebung. Das Tracken des Fortschritts bei der Realisierung ist hierbei entscheidend.

5 Aspekte des Schwachstellenmanagements im Detail

  1. Techniken zur Identifizierung von Schwachstellen
    • Penetrationstests
    • Schwachstellenscans
    • Manuelle Checks

    Die regelmäßige Suche nach Schwachstellen ist entscheidend, da sich diese im Laufe der Zeit erweitern bzw. verändern können.

  2. Risikobewertung

    3. Nachdem Schwachstellen aufgedeckt wurden, bedarf es einer Bewertung. Diese Bewertung kann Tool-gesteuert (z. B. durch einen Schwachstellenscanner) oder manuell erfolgen. Dabei fließen folgende Aspekte in die Bewertung ein:

    • Kritikalität nach CVE
    • Kritikalität nach manueller Evaluierung der Schwachstelle
    • Kritikalität nach Asset (Welche Systeme sind betroffen? Sind es produktive Systeme?)
    • Sind Exploits bereits vorhanden und sind diese ggf. sogar leicht auszunutzen
    • Schadensausmaß bei Ausnutzung der Schwachstelle

    Bei einer Risikobewertung müssen alle Faktoren betrachtet werden, um die richtige Priorität zur Beseitigung der Schwachstellen festzulegen.

  3. Priorisierung von Maßnahmen

    4. Basierend auf der Risikobewertung werden die Maßnahmen zur Auflösung der Schwachstellen sowie die notwendige Priorisierung dieser Maßnahmen definiert. Bei der Festlegung der Bearbeitungsreihenfolge ist die Höhe des Risikos auschlaggebend.

  1. Umsetzung der Maßnahmen

    2. Die Behebung von Schwachstellen muss je nach Priorität und Kritikalität in einem angemessenen Zeitrahmen erfolgen. Eine zeitnahe Beseitigung von Schwachstellen, die eine hohe Bedrohung für das Unternehmen darstellen, kann das Risiko eines erfolgreichen Angriffs stark minimieren.

  2. Überwachung des Fortschritts

    3. Wichtig ist auch, den Fortschritt der Behebung zu tracken, um eine Abarbeitung zeitnah zu realisieren und keine Schwachstellen zu übersehen. Das Schwachstellenmanagement ist ein kontinuierlicher Prozess, da sich Schwachstellen im Laufe der Zeit verändern können. Zudem tauchen immer neue Schwachstellen auf, die ausgenutzt werden können. Daher ist eine Überwachung essenziell – sei es manuell oder durch einen Schwachstellenscanner.

Workarounds anstelle von Patches

In manchen Fällen kann es passieren, dass Herstellende auf das Bekanntwerden einer Schwachstelle zu langsam reagieren. Um hier Abhilfe zu schaffen, bietet es sich an, Workarounds zu implementieren. Über die Wirksamkeit und Qualität dieser Workarounds lässt sich jedoch streiten, wie es in dem Artikel „Exchange Zero-Day: Microsoft bessert Workaround erneut nach“ thematisiert wird.

Was tun mit Infrastrukturkomponenten, die nicht gewartet werden dürfen?

Um Infrastrukturkomponenten zu schützen, die nicht gewartet werden dürfen, können folgende Maßnahmen ergriffen werden:

  1. Sicherheit am Endpunkt

    2. Verwenden Sie integrierte Sicherheitsfunktionen wie Firewalls, Endpoint Protection EDR/XDR und aktivieren Sie die Verschlüsselung der Datenträger.

  2. Netzwerksicherheit

    3. Separieren Sie das Netzwerksegment der Systeme, die nicht gewartet werden dürfen, durch den Einsatz von Firewalls, VLANs und ggf. VPN-Zugriffen.

  3. Benutzerzugriffskontrolle

    4. Beschränken Sie den Zugriff auf die Komponenten und geben Sie nur kleinen Gruppen von autorisierten Benutzer/-innen Zugriff.

  4. Überwachung und Protokollierung

    5. Tracken und protokollieren Sie alle Aktivitäten, die auf den Komponenten passieren, die von den Komponenten ausgehen oder auf die Komponenten zugreifen wollen. Hierbei kann der Einsatz eines
    SIEM von Nutzen sein.

  5. Regelmäßige Überprüfungen

    6. Überprüfen Sie die Maßnahmen zur Absicherung der Komponenten regelmäßig und bessern Sie diese unter Umständen nach.

Im Schwachstellenmanagement ist ein ganzheitlicher Ansatz zur Absicherung aller IT-Infrastrukturkomponenten erforderlich, damit alle Schichten von Hardware, Software und IT-Prozessen geschützt sind.

Sie möchten mehr über das Thema Schwachstellenmanagement erfahren oder sehen konkreten Bedarf in Ihrem Unternehmen? Wir beraten Sie!

Kontakt: security-experts@oediv.de

Cyber Security – Rückblick 2022, Ausblick 2023

CYBER SECURITY: Rückblick 2022 und Ausblick 2023

In 2022 stieg die Zahl der Angriffe auf deutsche IT-Infrastrukturen stark an. Das Resultat ist ein enormer Kostenanstieg für deutsche Unternehmen und Organisationen – verursacht durch Cyberangriffe sowie entstandene Datenschutzverletzungen. Bislang zeigt dieser Trend keine Anzeichen einer Stagnation. Dennoch bietet dieser risikobehaftete Zustand die Chance, Muster zu identifizieren, um anhand dieser schwerwiegende Cyberangriffe in 2023 mit einer gewissen Wahrscheinlichkeit vorhersagen zu können.

IBM hat in seinem Cost of Data Breaches Report 2022 durchschnittliche Gesamtkosten von 4,5 Millionen US-Dollar angegeben. (Entstandene Kosten durch Ransomware wurden nicht gesondert erfasst.) Diese Kosten beziehen sich auf die Beseitigung und den Wiederaufbau nach Cyberangriffen. Dabei ist der Diebstahl von Anmeldeinformationen immer noch der häufigste Angriffsvektor (19 %), gefolgt von Phishing (16 %), falsch konfigurierten Clouds (15 %) und Schwachstellen in der Software von Drittanbietern (13 %).

Im gleichen Report wird die zur Identifikation und Eindämmung jeglicher Kompromittierungen benötigte Zeit im Mittel mit 327 Tagen angegeben.

Die Angriffsserie der Lapsus$-Gruppe

Die Gruppe Lapsus$ begann das Jahr 2022 mit einer Reihe hochkarätiger Angriffsziele, darunter Nvidia, Ubisoft, Samsung und Microsoft. In jedem einzelnen Fall wurden Daten gestohlen und in vielen Fällen online zur Verfügung gestellt. Das Betriebsmodell beruht auf der Erpressung der Unternehmen, die zuvor angegriffen wurden. Der Zugriff auf die Infrastruktur erfolgt meistens durch Phishing. Ransomware ist in der Regel kein Teil des Angriffs.

Mehr Datendiebstahl bei Gesundheitsdienstleistern

Im März wurde die Shields Health Care Group angegriffen, wobei rund 2 Millionen Patientendaten offengelegt wurden. Dabei wird angenommen, dass 53 verschiedene Einrichtungen und ihre Patient/-innen betroffen waren.
Im August erlitt ein Managed Service Provider (MSP) des UK National Health Service einen Ransomware-Angriff. Dabei wurde ein größerer Ausfall der Notdienste in ganz Großbritannien verursacht. Zur schnellen Beseitigung wurden Microsoft selbst als auch Mandiant zur Hilfe geholt. In der Vergangenheit war die Gruppe REvil dafür bekannt, solche MSP ins Visier zu nehmen und anzugreifen.

Kryptowährungen sind sicher, oder?

Der Boom und damit das Marktwachstum im Kryptobereich hat in den vergangenen Jahren einen großen Fokus auf diesen Bereich gelegt. Dieses schnelle Wachstum führt in der Regel zu unsicherer Software. So hat die Lazarus Gruppe 540 Millionen Dollar in Ethereum und USDC-Stablecoins von der Ronin-Blockchain-Bridge gestohlen (eine Blockchain Bridge ist ein Tool, das es Nutzenden ermöglicht, Krypto von einer Blockchain in eine andere zu verschieben.)
Im Februar wurden 321 Millionen Dollar der Wormhole Ethereum-Variante gestohlen und im April konnten Angreifende das Stablecoin-Protokoll „Beanstalk“ ausnutzen und so Krypto im Wert von 182 Millionen Dollar ergaunern.

Drohnenbasierte Angriffe

Der Einsatz von Drohnen zur Ausführung von Cyberangriffen ist seit einiger Zeit ein Gesprächsthema. Im Oktober hat der Sicherheitsforscher Greg Linares solch einen Angriff selbst miterlebt. Das betroffene Unternehmen bemerkte ungewöhnliche Aktivitäten im internen Confluence (eine Unternehmenssoftware, die zur Dokumentation genutzt wird). Sie stellten fest, dass sich in ihrem WLAN-Netzwerk ein Rogue-Gerät befand. Mit Hilfe von Signaltrackern wurden sie auf das Dach des Gebäudes geführt und entdeckten zwei Drohnen. Eine trug ein Pineapple Wifi und die andere trug ein RaspberryPi, ein 4G Modem, einen WLAN-Router und Batterien. Hiermit wurden dann mittels WLAN-Spoofing-Angriffen interne Anmeldeinformationen gesammelt, die den Zugriff auf das interne Netzwerk ermöglichten.

Ransomware: Gute Nachrichten

In der Regel handelt es sich in Berichten über Ransomware-Angriffe um Unternehmen oder Einzelpersonen, die zur Zahlung von Geldforderungen erpresst werden. Doch der niederländischen Polizei gelang es, die Ransomware-Gang DeadBolt dazu zu bringen, 155 Schlüssel zu übergeben. Diese Schlüssel dienten dann den Opfern von Ransomware der DeadBolt Gruppe. Sie konnten ihre Daten entschlüsseln und so Zeit und Geld sparen.

Das erwartet uns in 2023

Aufgrund der sich in diesem Jahr wiederholt geänderten Bedrohungen lässt sich nur bedingt eine Tendenz für 2023 prognostizieren. Allerdings sehen Expert/-innen folgende Entwicklungen als realistisch:

  • Phishing-Angriffe werden weiterhin als eine der häufigsten Sicherheitsrisiken erwartet. Hierbei zielen die Angreifenden darauf ab, dass die Opfer sensible Informationen bekanntgeben. Es ist davon auszugehen, dass die Tätergruppen in Zukunft neue Tricks und Taktiken entwickeln, um erfolgreiche Phishing-Angriffe durchzuführen.
  • Ransomware gilt ebenfalls weiterhin als eine der größten Bedrohungen. Hier werden wiederum neu entwickelte Herangehensweisen erwartet, mit denen die Security-Vorrichtungen von Unternehmen und auch Organisationen überlistet werden sollen.
  • Es wird eine Steigerung der Bedeutung von Cloud-Sicherheit erwartet. Die steigende Datenhaltung in Clouds hat die Sicherheit von Cloud-Umgebunden bereits in den letzten Jahren wachsen lassen. Der Trend der sogenannten Cloudifizierung setzt sich fort und zieht entsprechend auch das Interesse von Hackern auf sich. Somit werden sich Unternehmen und Organisationen mit dem Ausbau der Sicherheit von Cloud-Umgebungen beschäftigen müssen, während Angreifendende an der Durchdringung dieser Sicherheitsmaßnahmen feilen werden.
  • Künstliche Intelligenz (KI) sorgt für eine wachsende Bedrohung. Es wird angenommen, dass Tätergruppen sich diese bei ihren Angriffen vermehrt zunutze machen, um Sicherheitsmaßnahmen auszutricksen.

Unternehmen und Organisationen stehen diesen künftigen Bedrohungen allerdings nicht hilflos gegenüber. Es gibt diverse Maßnahmen – auch präventiv –, um die eigene Sicherheit zu erhöhen, Angriffe zu verhindern oder wenn es bereits zu einem Sicherheitsvorfall gekommen ist, diese frühzeitig zu identifizieren und zu beheben.

Kontakt: security-experts@oediv.de

Cyber Security – Security Orchestration, Automation and Response (SOAR)

CYBER SECURITY: Case Management und Automation durch ein Security Orchestration, Automation and Response Tool (SOAR)

Das Security Operation Center (SOC) ist die Basis der Cyber Security eines Unternehmens. Mittels eines SOAR-Tools kann das SOC Security-Vorfälle effizienter und schneller abarbeiten. Ein bedeutender Faktor, da Schnelligkeit in einem Security-Vorfall ein wichtiges Mittel der Abwehr ist.

Ein SOAR kann eine Kombination aus kompatiblen Programmen sein, die einem Unternehmen ermöglichen, aus unterschiedlichen Quellen Daten über Security Events einzusammeln. Diese Events können ohne menschliche Interaktion automatisch behandelt werden. Ein SOAR unterstützt bei der Verbesserung der Effizienz aller Sicherheitsoperationen. Das schafft die Software, indem sie dabei hilft, Vorfallsreaktionen zu priorisieren, zu standardisieren und zu automatisieren.

Bedrohungs- und Schwachstellenmanagement

Für einen groben und speziellen Überblick über die generelle Sicherheitslage in einem Unternehmen hat das SOC u. a. die Aufgabe, das Schwachstellenmanagement zu übernehmen. Ein SOAR unterstützt das SOC in diesem Zusammehang bei der Abarbeitung der Schwachstellen sowie bei der Priorisierung. Mittels standardisierter Workflow-, Berichts- und Kollaborationsfunktionen können alle relevanten Stellen auf dem Laufenden gehalten werden.

Reaktion auf Sicherheitsvorfälle

Eine SOAR-Lösung bietet den Analyst/-innen genau festgelegte Workflows (Playbooks), die in einem Sicherheitsvorfall ein mögliches Vorgehen definieren. Ein Beispiel hierfür ist die Infektion mit Malware. Das Playbook gibt hierbei Entscheidungsbäume vor. Sobald die Malware erfolgreich bereinigt worden ist, kann der Vorfall geschlossen werden. Wenn keine Bereinigung stattfinden kann, muss das System eventuell in Quarantäne verschoben und ein vollständiger AV-Scan vollzogen werden. Auf diese Weise geht es mit den Entscheidungsbäumen weiter, bis der Vorfall bereinigt wurde. Die Analyst/-innen können diesen definierten Workflows entweder folgen oder den standardisierten Pfad verlassen.

Gerade bei größeren Sicherheitsvorfällen gibt es keinen genau definierten Weg, um den Vorfall zu bearbeiten und im Anschluss zu beseitigen. Die SOAR-Lösung bietet durch die bidirektionale Anbindung an alle Security-Lösungen die Möglichkeit, mittels weniger Klicks, Clients in Quarantäne zu verschieben, um so das Netzwerk vor einer weiteren Ausbreitung zu bewahren.

Kundenunternehmen sowie Fachabteilungen können in die oben genannten Playbooks aufgenommen werden, um bei ihnen Freigaben für bestimmte Aktionen anzufordern. Erst mit der Freigabe werden die Aktionen weiter automatisiert umgesetzt. Im Fall der Infektion mit Malware würde eine entsprechende Rückfrage lauten, ob der Client dauerhaft vom Netz genommen werden solle und in die Forensik müsse, um eine Analyse der Malware vorzunehmen.

Automatisierung und Sicherheitsoperationen

Die definierten Workflows können mittels der bereits angesprochenen Verbindung zu den Sicherheitslösungen Automatisierungen vollziehen. Ein Beispiel: Ein Client meldet einen Virenfund. Daraufhin startet der Workflow und die AV- oder die EDR-Lösung beauftragen einen Fullscan auf diesem Client. Gleichzeitig wird der Client automatisiert in Quarantäne verschoben und erst wieder entlassen, wenn das Ergebnis des Fullscans negativ ausfällt. All das kann automatisiert und ohne Zutun von Analyst/-innen erfolgen. Erst, wenn die Wenn-Dann-Bedingung einen positiven Fund auf dem Client zurückmeldet, wird ein/-e Analyst/-in informiert.

Sowohl eine SOAR- als auch eine SIEM-Lösung aggregieren hierbei Daten aus den angeschlossenen Security-Lösungen. Erfolgen zum Beispiel mehrere Sicherheitsvorfälle mit der gleichen Person oder dem gleichen Hostname, dann werden diese Sicherheitsvorfälle in einem Case zusammengefügt und dem Team zur Verfügung gestellt. Im besten Fall sind dann bereits alle relevanten Daten wie z. B. aus Threat Intel Plattformen im Case aggregiert.

Kontakt: security-experts@oediv.de

Security Operation Center (SOC)

CYBERSECURITY: Bedrohungsbewältigung durch ein Security Operation Center

Das Security Operation Center (SOC) oder auch die Line of Defense eines Unternehmens ist das Herzstück der Cyber Security. Ein SOC bedient sich dabei der drei Schutzziele (Verfügbarkeit, Vertraulichkeit und Integrität), um die Sicherheit in Unternehmen zu erhöhen und relevante Bedrohungen zu verringern oder zu lösen.

Das SOC ist die Sicherheitsleitstelle der IT-Infrastruktur von Unternehmen und Organisationen. Um die Aufgabe der Sicherheit gewährleisten zu können, integriert, überwacht und analysiert das SOC alle angeschlossenen Security-Lösungen, die ein Unternehmen in seiner Line of Defense aufgebaut hat. Im ersten Schritt erreichen Alarmmeldungen das SOC, die anschließend von zuständigen Analysten/innen untersucht werden. Falls notwendig folgen im Anschluss weitere Untersuchungen im Quellsystem der Alarmmeldung.

Aufbau und Prozesse

Ein etabliertes SOC besteht in der Regel aus Prozessen, die eine klar definierte Struktur umfassen und somit genaue Abläufe im Krisenfall ermöglichen. Das baut auf die technische Umsetzung von vorhandenen Security-Lösungen auf. Ohne ein SIEM kann ein SOC nicht funktionieren. Unternehmen setzen hierbei aber nicht nur auf SIEM, sondern auch auf andere Security-Lösungen, die in das SOC etabliert werden müssen. Die Analysten/innen benötigen Zugriff auf diese Lösungen, damit die etablierten Prozesse funktionieren. Die Königsklasse besteht darin, dass das SOC als Grundlage eine SOAR-Lösung besitzt. Dazu mehr im SOAR-Artikel (Erscheinungstermin: November 2022).

Automation in einem SOC

Mittlerweile werden alle Security-Lösungen bidirektional angebunden. Das bedeutet, dass SOC-Analysten/innen einen Client, der über eine Antivirenlösung einen Virenbefund meldet, mit nur einem Knopfdruck direkt vom Netzwerk in eine Quarantänezone verschieben können. Hierzu ist keine Anmeldung auf verschiedene Portale der einzelnen Security-Lösungen notwendig.

Den Analysten/innen stehen mit dem Alarm weitere Informationen aus einer Threat Intelligence Platform zur Verfügung, die den Alarm mit zusätzlichen Informationen anreichern. Zum Beispiel kann die gemeldete Malware eine Verbindung zu einem Server aufgebaut haben, um so Informationen aus dem gesicherten Netzwerk schleusen zu können. Solche Server sind in der Regel schnell bekannt und können mit Automationen vom internen Netz durch Firewall-Regeln abgeschottet werden.

Vorteile eines Security Operation Centers

Cyberangriffe werden laut Statistiken innerhalb von 315 bis 350 Tagen in einem Unternehmen bekannt. Ein SOC hat die Aufgabe, diese Dauer zu verringern und wenn möglich, auf null zu reduzieren. Erkennungsmaßnahmen werden dynamisch auf die Bedrohungslage angepasst. Die Bedrohungsszenarien werden somit im Vorfeld wirksam verhindert.

Da alle sicherheitsrelevanten Security-Lösungen im SOC zentral verwaltet werden, lässt sich das notwendige Budget einfach bestimmen. Gleichzeitig hat das Management zentrale Kontaktepersonen für Security-relevante Fragen. Hierbei werden kontinuierliche Informationen wie KPIs transparent dargestellt.

Ein weiterer Vorteil ergibt sich bei eventuell geforderten Compliance-Nachweisen. Ist ein Unternehmen zum Beispiel KRITIS-relevant, so hat dieses Unternehmen dafür zu sorgen, dass Bedrohungen überwacht und abgemildert werden.

Kontakt: security-experts@oediv.de

Security Information and Event Management

CYBERSECURITY: Die vielfältigen Möglichkeiten eines SIEM

Es werden immer wieder Informationen von angegriffenen Unternehmen veröffentlicht. Leider wurden diese Unternehmen nicht durch ein SIEM auf mögliche Gefahren aufmerksam gemacht.

Ein Security Incident und Event Management System (SIEM) ist hauptsächlich dazu da, um mögliche Einfallstore zu überwachen. Hierzu werden Quellen in das SIEM eingebunden, um so eine Sichtbarkeit herzustellen. Die Regeln, die dann im SIEM konfiguriert werden, können Angriffe nahezu in Echtzeit entdecken und stehen einem Security Team (einem Security Operation Center, kurz SOC) zur Verfügung.

Viele SIEM bieten hier eine Bandbreite an vordefinierten Regeln an, die die Detektion von möglichen Angriffen aufzeigen. Oft basieren diese Regeln auf der Mitre Att&ck Matrix und decken somit die verschiedenen Angriffsphasen eines Security Incident ab.

Cloud oder On-Premise?

Die Cloud-Anbietenden stellen ihre SIEM-Lösung als SaaS Modell (Software as a Service) bereit. Mit diesem Modell können die Anbietenden schneller neue Funktionen hinzufügen. Zusätzlich kommt hier die nahezu unendliche Kapazität der Cloud zum Tragen. Da Maschine-Learning viel Computer Power und sehr viele Referenzdaten benötigt, ist dies in der Cloud einfacher als in einer lokalen Infrastruktur.

Dennoch haben auch SIEM-Infrastrukturen in der On-Premise Welt ihre Daseinsberechtigung. Allein um die Hoheit über die Daten zu behalten, ist eine On-Premise Variante konkurrenzlos. Zusätzlich verlangen die typischen Anbietenden für die Cloud SIEM-Lizenzkosten oder Integrationskosten, wenn Daten aus der lokalen Infrastruktur in ein Cloud-SIEM geladen werden sollen.

Die Quelldaten sind der Schlüssel

Eine SIEM-Lösung ist nur so gut wie die Informationen, die sie ausgibt und die darauf basierenden Quellen. Es reicht nicht, einfach nur alle Daten in ein SIEM zu laden. Vielmehr gilt es, die Probleme zu identifizieren und fundierte Lösungsansätze zu finden.

Zum Beispiel können die Daten von SAP-Systemen und -Applikationen zwar in ein Standard-SIEM geladen werden, aber bis auf zwei SIEM-Lösungen können diese Daten nicht verarbeitet werden. Hier sind die Hersteller SAP im engeren und Microsoft im weiteren Sinne die Nischenplayer im Bereich Applikation Security Monitoring SAP-Applikationen. Einfache Quellen wie die von Microsoft Systemen kann jedes SIEM verarbeiten.

Analysefähigkeit und Automation

Ein Security-Produkt ist nur so gut wie die Menschen, die es konfigurieren und benutzen. Ist ein SIEM unnötig kompliziert, kann das in der Bearbeitung von Security Alerts zu Problemen und zu hochgradig kritischen Situationen führen. Daher sollte ein SIEM folgende Voraussetzungen erfüllen:

  • Einfache Dashboards
  • Einfach zu konfigurierende Reports
  • Die Möglichkeit, schnell und einfach neue Alarmregeln zu definieren
  • Intuitive Nutzungsoberfläche

Einfache Automatismen, die zum Beispiel via API an weitere Security-Produkte gesendet werden können, sind hierbei die Königsklasse und werden oft nur mit einem SOAR-Modul oder einer eigenen SOAR-Lösung implementiert.

Cloud oder On-Premise – Der Schutz muss stimmen

Egal ob es nun die Cloud oder eine On-Premise Variante wird. Das SIEM sollte zu Ihnen und zu Ihrem Unternehmen passen. Am besten mit einem Angeschlossenen SOC, auf das wir in unserem nächsten Blogartikel näher eingehen werden.

Kontakt: security-experts@oediv.de

Phishing

CYBERSECURITY: Die unterschätzte Gefahr von Phishing Angriffen

93% aller Hackerangriffe starten mit Phishing. Das gezielte Versenden von Phishing E-Mails ist die beste Methode für Cyberkriminelle, sich Zutritt zu den Systemen der Angegriffenen zu verschaffen. Hier setzen Hacker auf die Schwachstelle Mensch.

Wie Sie einen Phishing Angriff erkennen und worauf zu achten ist

Phishing E-Mails sind allgegenwärtig. Sowohl im privaten Umfeld als auch im beruflichen stellen sie ein tägliches Risiko dar.

Diese Mails sollen ihre Adressaten dazu bringen, auf einen enthaltenen Link zu klicken, über den sie auf eine von den Angreifenden erstellte Webseite gelangen. Auf der Ziel-Webseite sollen dann z. B. Dateien heruntergeladen oder Passwortdaten eingeben werden.

Phishing Angriffe sind zu 93 Prozent der erste Weg für Angreifende, um netzwerktechnisch in Unternehmen einzudringen. Die nächsten Schritte bestehen beispielsweise im Infizieren eines Clients und im Eindringen in Server und AD Controller.

Phishing E-Mails im Endverbraucherbereich

Im privaten Umfeld werden den Adressaten häufig hohe Rabatte oder Geschenke für Onlineshops wie Amazon versprochen, sodass der geforderte Klick auf einen Link oder Anhang sehr verlockend ist. Es gibt allerdings Merkmale, anhand derer sich Phishing Mails gut erkennen lassen. Die Angreifenden zielen in der Regel auf einen möglichst großen Empfängerkreis ab und nutzen daher eine automatisierte E-Mail-Generierung. In diese automatisierten Massenmails schleichen sich häufig Rechtschreibfehler oder leichte Veränderungen im Firmennamen ein (z. B. Markt Media, Amason uvm.). Diese Fehler in Verbindung mit der Aufforderung, einen Link anzuklicken, einen Anhang zu öffnen oder ähnliches sollten beim Lesen einer Mail bereits die Alarmglocken klingeln lassen.

Phishing E-Mails im Berufsumfeld

Im Arbeitsumfeld gehen die Angreifenden meist noch genauer vor.

In Unternehmen folgen die E-Mail-Adressen der Mitarbeitenden für gewöhnlich demselben Schema wie z. B. „Vorname.Nachname@Firmennamen.de“. Das macht es den Angreifenden leicht, denn sobald Vor- und Nachnamen bekannt sind, können sie sich direkt weitere Zieladressen erschließen. Über Soziale Medien wie LinkedIn und XING können Angreifende eben diese Vor- und Nachnamen schnell herausfinden, um die Listen der Adressaten für ihre Phishing Mails kontinuierlich zu erweitern.

Richtiges Verhalten im Verdachtsfall

Falls Ihnen eine E-Mail merkwürdig vorkommt, können Sie diese leicht auf deren Seriosität prüfen.

  1. Hovern Sie über den Absender und prüfen die Plausibilität der E-Mail-Adresse. Stehen dort kryptische Zeichen oder eine ungewöhnliche Endung, sollten Sie keinesfalls auf angefügte Links klicken oder E-Mail-Bestandteile herunterladen.
  2. Hovern Sie über die angefügten Links und prüfen Sie, ob der angezeigte Link tatsächlich zum angeblichen Zielort führt. Links können eine andere Zieladresse haben als angezeigt wird. So kann zum Beispiel der Button „Artikel lesen“ nicht zu weiterführenden Informationen eines gerade gelesenen Textes weiterleiten, sondern zu einer schadhaften Seite.
  3. Lassen Sie sich durch aufgebauten Zeitdruck in E-Mails nicht stressen. Die Sicherheit geht immer vor. Kein Termin kann so wichtig sein, dass Sie einen Hackerangriff riskieren sollten.

So finden Sie die für Ihr Unternehmen richtige Sicherheitsmaßnahme

Durch eine Phishing-Simulation können Unternehmen den Ernstfall in einem kontrollierten Umfeld testen, um aus den gewonnenen Erkenntnissen geeignete Maßnahmen abzuleiten.

Security Consultants unterstützen Unternehmen bei der Durchführung sogenannter Phishing-Kampagnen. Gemeinsam mit ihnen werten die Consultants die Resultate der Simulation aus und definieren, welche Cyber Security Maßnahmen (LINK: https://www.secusys.de/it-sicherheit/) die richtigen sind, um das Unternehmen sicher aufzustellen. Neben der Phishing-Simulation gibt es diverse weitere Ansätze, die in die IT-Sicherheitsstrategie von Unternehmen einfließen können. Bei der Erstellung einer individuellen IT-Sicherheitsstrategie und der Entscheidung, welche Maßnahmen geeignet sind, stehen die Security Consultants wiederum unterstützend zur Seite.

Kontakt: security-experts@oediv.de

CYBERSECURITY: Angriffserkennung als Bestandteil einer wirksamen IT-Sicherheitsstrategie

Mitte Juni 2022 veröffentlichte das BSI den Entwurf einer neuen Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (SzA). Bis 19. August 2022 hat die Öffentlichkeit nun Zeit, Kommentare und Anpassungswünsche einzubringen.

Der Community Draft konkretisiert die bereits mit dem IT-Sicherheitsgesetz 2.0 im Mai 2021 vorgegebene Pflicht zu Planung, Einführung und Betrieb wirksamer SzA für die drei Bereiche Protokollierung, Detektion und Reaktion. Die Mindestanforderungen für diese drei Bereiche werden im Folgenden kurz dargestellt.

Laut der Orientierungshilfe sind Betreiber Kritischer Infrastrukturen, Betreiber von Energieanlagen und Energieversorgungsnetzen sowie prüfende Stellen zum 1. Mai 2023 verpflichtet, angemessene organisatorische und technische Sicherheitsvorkehrungen zu treffen und ihre informationstechnischen Systeme, Komponenten und Prozesse integer, authentisch und vertraulich zu betreiben. Die Beurteilung der Qualität der eingesetzten Systeme orientiert sich an einem mehrstufigen Reifegradmodell.

Dabei ist vorgesehen, dass die individuelle Umsetzung der gesetzlichen Anforderungen alle zwei Jahre erneut anhand standardisierter Compliance-Dokumentationen (z. B. mittels Formulare für den Nachweis zu § 8a (1a) BSIG und § 11 (1d) EnWG) nachgewiesen werden muss.

Zur konkreten Umsetzung empfiehlt sich laut BSI die Etablierung eines nach DIN EN ISO 27001 zertifizierten Informationssicherheits-Management-Systems (ISMS) – bei Bedarf in Zusammenarbeit mit branchenerfahrenen Sicherheitsspezialisten.

1. Protokollierung

Als Mindestanforderung sind in der Orientierungshilfe der Aufbau einer zentralen Protokollierungsinfrastruktur sowie die Bereitstellung von Protokollierungsdaten für die Auswertung angegeben. In größeren Informationsverbunden müssen außerdem alle gesammelten sicherheitsrelevanten Protokollierungsdaten an zentralen Stellen gespeichert werden. Dafür muss die Protokollierungsinfrastruktur ausreichend dimensioniert und mit genügend technischen, finanziellen und personellen Ressourcen ausgerüstet sein. Zudem sind die gesammelten Protokollierungsdaten zu filtern, zu normalisieren, zu aggregieren und zu korrelieren, damit sie geeignet verfügbar gemacht und ausgewertet werden können.

2. Detektion

Folgende Mindestanforderung stellt das BSI:

  • die kontinuierliche Überwachung und Auswertung von Protokolldaten
  • den Einsatz zusätzlicher Detektionssysteme
  • die Nutzung einer zentralen Protokollierungsinfrastruktur für die Auswertung sicherheitsrelevanter Ereignisse
  • die Auswertung von Informationen aus externen Quellen
  • die Auswertung der Protokolldaten durch spezialisiertes Personal
  • zentrale Detektion und Echtzeitprüfungen von Ereignismeldungen
  • die automatische Reaktion auf sicherheitsrelevante Ereignisse

3. Reaktion

Die Orientierungshilfe sieht mindestens vor, dass alle Basisanforderungen zur Behandlung von Sicherheitsvorfällen erfüllt werden. Die Systeme zur Angriffserkennung sollten automatisiert Maßnahmen zur Vermeidung und Beseitigung angriffsbedingter Störungen ergreifen können – ohne Beeinträchtigung der kritischen Dienstleistung.

Was jetzt zu tun ist

Für Kritische Infrastrukturen empfiehlt es sich, in drei Schritten vorzugehen:

  • Inventarisierung und Datenflussprüfung
  • Erarbeitung eines Protokollierungskonzeptes
  • Einführung einer Protokollierungsinfrastruktur

Hier hat sich eine zweistufige Umsetzung mit einem unmittelbar auf Angriffe reagierenden SOC (Security Operations Center) sowie einem SIEM (Security Information and Event Management) bewährt. Letzteres kann ggf. um ein zusätzliches IPS (Intrusion Prevention System) erweitert werden.

Informationen und Unterstützung finden Sie unter: https://www.secusys.de/it-sicherheit/

Kontakt: security-experts@oediv.de

Modern Workplace

CYBERSECURITY: Wie man auch remote erfolgreich zusammenarbeiten kann!

Möchten Sie wieder täglich ins Büro? In der aktuellen, Ende Mai 2022 veröffentlichten weltweiten Arbeitsmarktstudie „Hopes and Fears 2022“ hat die internationale Beratungsgesellschaft PwC 52.000 Arbeitnehmer/innen aus 44 Ländern genau diese Frage gestellt. Das Ergebnis hätte deutlicher nicht ausfallen können: 19 von 20 Beschäftigten sagten klar „nein“. In Deutschland etwa wollen 35 % auch weiterhin vollständig remote oder von Zuhause aus arbeiten, 51 % streben dies überwiegend an. Die Arbeitswelt der Zukunft ist hybrid, gerade Jüngere legen großen Wert auf ein flexibles und motivierendes Arbeitsumfeld, das ihnen ausreichend Freiraum für private Interessen bietet. Die OEDIV SecuSys GmbH unterstützt Unternehmen bei der Schaffung sicherer Rahmenbedingungen.

Die PwC-Studie hat auch Defizite deutlich gemacht: Deutschland liegt beim Megatrend Remote Work / Working from Home weit hinter dem internationalen Durchschnitt. Während weltweit 54 % der Beschäftigten diese Möglichkeit nutzen können, sind es in Deutschland gerade einmal 44 %. Auch bei der Förderung von Diversität sowie Inklusion und beim Einsatz innovativer Zukunftstechnologien gibt es dringenden Nachholbedarf. Für Petra Justenhoven, Managerin bei PwC Deutschland, liegt die Lösung in einer verantwortungs- und vertrauensvollen Führung: „Dazu gehören Verständnis für die Bedürfnisse des Teams, die Bereitschaft, kontinuierlich weiterzulernen – und vor allem, offen für neue Situationen zu bleiben.“

Fakt ist: Nach zwei Jahren Corona-Pandemie ist unser berufliches Miteinander nicht mehr das gleiche. Die sichere und effektive Zusammenarbeit am Modern Workplace hat viele Aspekte – von der Integration in die bestehende IT-Landschaft über die Bereitstellung von Applikationen, Datenablage und -zugriff bis hin zu Lizenzierung, Betrieb, Support und Wartung.

IT Security Assessment zur ersten Orientierung

Neben den technisch-organisatorischen Anforderungen eines jeden Unternehmens sind bei der Einrichtung externer Zugänge auf die Unternehmensserver auch sicherheitstechnische Aspekte zu beachten. Es empfiehlt sich daher, zum Einstieg eine unabhängige, objektive Sicherheitsanalyse im Rahmen eines IT Security Assessments im Unternehmen vorzunehmen, um Risiken zu prüfen und mögliche Lücken zwischen dem Ist- und dem Soll-Zustand detailliert erfassen und bewerten zu können.

Dass ein sicherer und bedarfsgenauer Remote-Zugriff auf alle relevanten Arbeits- und Unternehmensdaten noch keine Selbstverständlichkeit ist, zeigt eine Studie des BSI zur „IT-Sicherheit im Home-Office im Jahr 2020“. Als technische Sicherheitsmaßnahmen mit besonderer Relevanz für den modernen, digitalen Arbeitsplatz der Zukunft erachtet die Cyber-Sicherheitsbehörde des Bundes dabei VPN (Virtual Private Network), die Verschlüsselung von Datenträgern, die Mehr-Faktor-Authentisierung, die Segmentierung und Absicherung von Netzen sowie das Mobile Device Management. Eine große Sicherheitslücke ist immer noch das Handy: Nur 38 % aller befragten Unternehmen managen die Sicherheit von Handys, Laptops, Tablets und weiteren mobilen Endgeräten mit Verbindung zum Firmennetzwerk.

IT-Sicherheit braucht einen 360-Grad-Blick

Mehr denn je erfordert die neue hybride Arbeitswelt eine ganzheitliche, bereichsübergreifende Sicherheitsstrategie. IT-Security bedarf eines 360-Grad-Blicks auf Mensch, Organisation und Technik.
Detektion - Reaktion - Prävention

Die Anforderungen an geeignete Lösungen für eine ganzheitliche IT-Sicherheitsstrategie sind dabei so vielfältig wie die Unternehmen, in denen sie zum Einsatz kommen. Finden Sie heraus, welche Bestandteile in Ihrem Unternehmen für mehr Sicherheit und eine Prozessoptimierung sorgen: https://www.secusys.de/it-sicherheit/
Kontakt: security-experts@oediv.de

CYBERSECURITY: Fünf Tipps für ein erfolgreiches Cybersecurity Managment

Knapp neun von zehn deutschen Unternehmen wurden im vergangenen Jahr Opfer gezielter Cyberangriffe. Der Ende April erschienene Cyber Risk Index zählt insbesondere geschäftskritische Daten aus den Bereichen Finanzen, Forschung und Entwicklung, online zugängliche Firmenkorrespondenzen und vertrauliche Informationen zu den am stärksten betroffenen Zielen professioneller Cyberattacken. Sieben von zehn Befragten erwarten in den nächsten zwölf Monaten eine oder sogar mehrere Cyberattacken auf ihr geistiges Eigentum. Laut Cyber Risk Index sollten Unternehmen daher schnellstmöglich aktiv werden, ihre Erkenntnisfähigkeiten verbessern und die aktuelle Cybersecurity-Strategie überdenken.

Ende April veröffentlichte Trend Micro seinen aktuellen „Kroker´s Look @ IT“. Die Zahlen im halbjährig erscheinenden Cyber Risk Index sprechen dabei für sich: 87 % der deutschen Befragten gaben an, in den letzten zwölf Monaten von einem oder sogar mehreren erfolgreichen Cyberangriffen betroffen gewesen zu sein. Drei Viertel der in Deutschland Befragten mussten dabei den Verlust oder Diebstahl ihrer Kundendaten verzeichnen. Hinzu kamen teilweise gravierende Folgekosten durch entstehende Strafzahlungen, Gerichtsprozesse, IT-Infrastruktur- und Reputationsschäden. Zu den Top 5-Cyberbedrohungen gehörten weltweit Ransomware-Attacken, Phishing und Social Engineering, Denial of Service, Botnets und Man-in-the-Middle-Vorfälle. Deutsche Unternehmen fürchten besonders zielgerichtete Angriffe – seien sie nun staatlich gesteuert oder von international hochprofessionell organisierten Tätergruppen ausgeführt. Laut Bitkom e.V. entsteht der deutschen Wirtschaft jährlich durch Diebstahl, Spionage und Sabotage ein Gesamtschaden von 223 Mrd. EUR. Das ist bereits das Doppelte der Schadenssumme aus 2018/2019 – Tendenz steigend.

Nach dem Cyber Risk Index erwarten über sieben von zehn Befragten den Verlust sensibler Daten innerhalb der nächsten zwölf Monate. Zugleich bewerten europäische IT-Manager das Cybersicherheitsniveau ihrer Unternehmen auf einer Skala von 1 bis 10 nur mit 4,99 und sehen sich entsprechend schlecht auf orchestrierte Cyberangriffe vorbereitet.

Es ist also höchste Zeit, aktiv zu werden. Hier sind fünf praktische Tipps für ein erfolgreiches Cybersecurity Management:

1. IT-Sicherheitsmanagement als kontinuierlichen Verbesserungsprozess verstehen

Einzelne Sicherheitslücken oder Angriffe müssen noch keine ernstzunehmende Sicherheitsbedrohung darstellen. Sehr gefährlich wird es allerdings, wenn großflächig strukturelle Sicherheitslücken ausgenutzt werden, die Reaktionsfähigkeit der Systeme nicht mehr gewährleistet ist oder mit breit konzertierten Cyberattacken zu viele Softwarekomponenten angegriffen werden. Ein Flächenbrand dieses Ausmaßes kann nur durch ein kontinuierliches IT-Sicherheitsmanagement eingedämmt werden.

Unternehmen der Kommunal-, Energie- und Wasserwirtschaft sind also gut beraten, IT-Sicherheit als einen kontinuierlichen Verbesserungsprozess zu verstehen. Dafür lohnt es sich, ganzheitliche Cybersecurity-Strategien zu entwickeln und das eigene IT-Krisenmanagement immer wieder selbstkritisch zu hinterfragen – bei Bedarf auch mit externen Beratern und Kompetenzpartnern.

2. Ein sicherheitsbedachtes Lieferantenmanagement verhindert kostenintensive Folgen gezielter Software-Supply-Chain-Angriffe

Ein IT-Sicherheitssystem ist immer nur so stark wie das am wenigsten abgesicherte Glied der Lieferkette. Da zunehmend auch gezielt IT-Dienstleister, Servicepartner, Beratungshäuser und Softwareanbieter angegriffen werden, zahlt es sich aus, mit einem effektiven, sicherheitsbedachten Lieferantenmanagement für mehr Sicherheit, Transparenz und Produktivität zu sorgen. Jedes Asset von Wert sollte also über seinen gesamten Lebenszyklus hinweg sorgfältig dokumentiert, bereitgestellt, gewartet, aktualisiert und bei Bedarf stillgelegt werden können.

3. IT-Sicherheit muss Chefsache sein

Viel zu oft führt das Cybersecurity Management noch ein Nischendasein als „Privatangelegenheit“ interessierter Techies in der IT-Abteilung. Dabei ist es dringend erforderlich, die Erarbeitung einer einheitlichen, konsolidierten IT- und IT-Sicherheits- sowie Informationssicherheitsstrategie direkt in der Unternehmensführung zu verankern. Das garantiert eine ganzheitliche Sichtweise und bindet alle Verantwortlichen systematisch bereichsübergreifend ein – von der erfolgreichen Implementierung bis zur regelmäßigen Kontrolle der Umsetzung. Zugleich werden die Mitarbeitenden sensibilisiert, eigene Nachlässigkeiten zu vermeiden und sich für ein professionelles Release-, Patch- und Berechtigungsmanagement auf allen Ebenen einzusetzen. Allzu oft machen es Unternehmen Hackern hier noch zu leicht – z. B. mit unsicheren Passwörtern, der fehlenden Trennung kaufmännischer und technischer Systeme oder der Vermischung privater und beruflicher Mailaccounts.

4. Ein krisensicheres Business Continuity Management aufbauen

Leider reicht es nicht, im Bereich der Prävention (z. B. beim Aufbau von Firewalls und der Nutzung von Antivirusprogrammen) vorbildlich dazustehen. Ein effektives Business Continuity Management ermöglicht eine adäquate Reaktion auf bereits erfolgte Cyberangriffe und die schnellstmögliche Wiederaufnahme des regulären Betriebs nach einer störungsbedingten Unterbrechung. So lassen sich Schäden reduzieren und existentielle Bedrohungen (z. B. durch unterbrochene Lieferketten) verhindern.

5. Bei Bedarf externe Kompetenz einbinden

Und wenn sich gerade kleinere Unternehmen den „Luxus“ eines ganzheitlichen Cybersecurity Managements nicht leisten können? Dann lohnt es sich, analog zum Datenschutz und unter klarer Definition der Verantwortlichkeiten einen externen IT-Informationssicherheits-
beauftragten (ISB) hinzuzuziehen. In der Zusammenarbeit mit anderen Unternehmen spart das auch eigene Personal-, Anschaffungs- und Administrationskosten. Erfahrene Kompetenzpartner unterstützen ebenfalls bei einer unabhängigen, objektiven Bestandsaufnahme und GAP-Analyse, um mögliche Lücken zwischen dem Ist- und dem Soll-Zustand detailliert zu erfassen und zu bewerten.

Lesen Sie hierzu auch unseren kürzlich in der ew (Magazin für Energiewirtschaft) erschienenen Fachbeitrag oder verschaffen Sie sich einen Überblick über mögliche Ansätze, mit denen Sie die IT-Sicherheit in Ihrem Unternehmen erhöhen können.

Kontakt: security-experts@oediv.de