Schlagwort: Informationssicherheit

Sketchnote zum NIS2UmsuCG

25. Juli 2023 /

Der Referentenentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes wurde im Frühjahr 2023 veröffentlicht. Ich habe die wesentlichen Punkte in einer Sketchnote zusammengefasst:

EU NIS2 – was ist neu, was ist zu beachten?

15. März 2023 /

Mit der Richtlinie EU NIS2 hat die Europäische Union am 14. Dezember 2022 ein Rahmenwerk zur Schaffung eines Mindestmaßes an Cybersicherheitsstandards in der EU. Mit NIS2 erweitert sich die Menge der betroffenen Einrichtungen ebenso wie die Pflichten dieser.

NIS2 legt fest, dass Einrichtungen mit mindestens 50 Mitarbeitern bzw. Mitarbeiterinnen und/oder mit einem Umsatz von mindestens 10 Mio. EUR ab 2024 Maßnahmen zur Erhöhung der Cybersicherheit umsetzen, die zu folgenden, in der Richtlinie definierten 11 Sektoren mit insgesamt 18 Untersektoren gehören:

  • Energie,
  • Verkehr,
  • Bankwesen,
  • Finanzmarktinfrastrukturen,
  • Gesundheitswesen,
  • Trinkwasser,
  • Abwasser,
  • Digitale Infrastruktur,
  • Verwaltung von IKT-Diensten (Business-to-Business)
  • öffentliche Verwaltung,
  • Weltraum.

Die EU-Mitgliedsstaaten müssen bis Oktober 2024 die Festlegungen von NIS2 in nationales Recht umsetzen. Die NIS-Richtlinie von 2017 wurde in Deutschland durch das IT-Sicherheitsgesetz umgesetzt. Für die Umsetzung von NIS2 wird das NIS2-Umsetzungsgesetz (NIS2UmsuCG) erwartet, das im Entwurf seit April 2023 vorliegt und im Laufe des Jahres 2023 verabschiedet werden soll. Mit diesem Gesetz wird die bisherige KRITIS-Gesetzgebung in hohem Maße erweitert. Neben den bisherigen KRITIS-Sektoren und definierten Schwellwerten für Unternehmen der kritischen Infrastrukturen werden sogenannte wesentliche und wichtige Einrichtungen nach Art. 21 NIS2-Richtlinie ebenfalls folgende Pflichtmaßnahmen zur Erhöhung der Cybersicherheit durchführen müssen:

  • Erstellung von Konzepten zur Risikoanalyse und zur Informationssicherheit,
  • Etablierung von Prozessen zur Behandlung von Sicherheitsvorfällen,
  • Umsetzung von Maßnahmen zum Business Continuity Management, zum Backup-Management und zur Wiederherstellung nach IT-Notfällen sowie zum Krisenmanagement,
  • Etablierung von Maßnahmen, die die Sicherheit in Lieferketten beinhalten,
  • Einführung von Prozessen zur sicheren Anschaffung und Entwicklung von Informationssystemen und zum Schwachstellenmanagement,
  • Durchführung von Informationssicherheits-Schulungsmaßnahmen und zur Cyberhygiene,
  • Einsatz kryptografischer Maßnahmen,
  • Anwendung von Lösungen zur Multifaktor-Authentifizierung, zur sicheren Video-, Sprach- und Textkommunikation sowie zur sicheren Notfallkommunikation.

Die Erfüllung der zu erwartenden neuen bzw. erweiterten Vorgaben des IT-Sicherheitsgesetzes bzw. des NIS2-Umsetzungsgesetzes sollten für alle Unternehmen und Einrichtungen im Geltungsbereich als Anlass dienen, die eigenen Maßnahmen zum Schutz vor Cyberangriffen auf den Prüfstand zu stellen und an die aktuelle Bedrohungslage anzupassen.

IT-Sicherheit 2017 – auch in diesem Jahr sind die digitalen Einfallstore einladend offen

11. März 2018 /

2017 stand im Zeichen des IT-Sicherheitsgesetztes, das sicherstellen soll, dass die primären Schutzziele der IT-Sicherheit (Verfügbarkeit, Integrität und Vertraulichkeit) der sogenannten kritischen Infrastrukturen (KRITIS) sichergestellt sind, und dies insbesondere vor dem Hintergrund zunehmender Häufigkeit von Cyberattacken verschiedenen Ursprungs.

Den hohen Handlungsbedarf illustrieren zahlreiche Sicherheitsvorfälle und erfolgreiche Attacken:

 

Manipulierbare Baustellenampeln & Wasserwerke*

Sachverhalt

Im August 2016 erhielt das BSI einen Hinweis auf den möglichen Missbrauch einer bekannten Schwachstelle in einer Software, die unter anderem in Baustellenampeln genutzt werden kann. Die betroffenen Ampeln sind direkt aus dem Internet erreichbar und damit potenziell manipulierbar. Außerdem wurde das BSI auf mehrere offene, aus dem Internet einsehbare Steuerungssysteme von Wasserwerken in Deutschland aufmerksam gemacht.

Ursache und Schadenswirkung

In den Ampeln wird eine veraltete Fernwartungssoftware (RealVNC) eingesetzt, die

Weiterlesen

Kein Mausklick schützt vor Malware nicht

20. Juni 2017 /

Den Mouseover-Effekt von Powerpoint nutzt der Trojaner-Downloader  TROJ_POWHOV.A, der aktiviert wird, sobald ein Benutzer mit der Maus über ein infiziertes Element (Text, Bild, …) fährt. Derart präparierte Powerpoint-Dateien im PPS- bzw. PPSX-Format werden derzeit per Mail versandt. Im Unterschied zu herkömmlichen PPT- oder PPTX-Dateien handelt es sich um nicht editierbare, fertige Präsentationen, die nur im Präsentationsmodus geöffnet werden können. Nach dem Öffnen der Datei genügt es, einmal die Maus über ein infiziertes Element zu bewegen, um die Installation des Trojaners im Hintergrund zu starten.

Wie können Sie sich und Ihre Mitarbeiter vor dieser Bedrohung schützen?

 

IT-Notfällen wirkungsvoll vorbeugen

30. September 2016 /

IT-Notfaelllen_wirksam_vorbeugenMit der IT-Notfallplanung und deren Umsetzung ist es wie mit einer privaten Haftpflichtversicherung: Jeder sollte sie haben und doch wartet man genau bis zum ersten Unfall bzw. Störfall, um zu entscheiden, endlich mit der Vorsorge zu starten.

Auch das BSI hat in seinem Bericht zur Lage der IT-Sicherheit in Deutschland für das Jahr 2016 wieder mit einigen prominenten Beispielen mangelhafter IT-Notfallvorsorge aus dem öffentlichen Leben gewürzt:

Serverausfall in Krankenhaus-Rechenzentrum

So kam es zu einem 19-stündigen Serverausfall in einem Krankenhaus-Rechenzentrum, das 3 Kliniken mit IT-Services versorgt. Ursache war eine defekte Festplatte im Server, die vorgesehene Redundanz funktionierte nicht ordnungsgemäß.

Weiterlesen

Erfolgsstory Erpressungstrojaner als Folge unzureichend geschulten Personals

4. Mai 2016 /

trojanErpressungstrojaner schreiben zurzeit eine beeindruckende Erfolgsstory.

Laut einer Pressemitteilung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) (https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Ransomware_Umfrage_27042016.html?nn=6655768) werden immer mehr Unternehmen und Institutionen Opfer von Cyberattacken, bei denen Schadcode meist als E-Mail-Anhang verschickt wird. Dessen Ausführung bewirkt zum Beispiel eine Verschlüsselung der Inhalte des infizierten Gerätes, die vonseiten der Kriminellen nur gegen Zahlung eines Lösegeldes wieder rückgängig gemacht wird.

Prominentes Beispiel ist der Verfassungsschutz des Landes Sachsen-Anhalt, der im April 2016 Opfer eines Erpressungstrojaners wurde, der den Inhalt mehrerer Arbeitsplatz-PCs verschlüsselt hat.

Weiterlesen

Phishing-E-Mails immer raffinierter

29. April 2016 /

PhisingZwei Jahre nach dem Datenklau bei ebay, bei dem eine große Anzahl Benutzernamen inklusive der zugehörigen Adressdaten und Telefonnummern entwendet wurden, verschicken nun offenbar die derzeitigen Besitzer der geklauten Daten vermehrt Phishing-E-Mails, in denen die Empfänger aufgefordert werden, eine offene Rechnung zu bezahlen.

Weiterlesen

Gefährdung durch Sicherheitslücken in industriellen Steuerungen

18. Februar 2016 /

Car-IT-security03 

Aus dem Bericht des BSI zur Lage der IT-Sicherheit in Deutschland 2015:

Die zunehmende IT-Durchdringung industrieller Anlagen fordert die wachsende Fokussierung auf die wirkungsvolle Behandlung von IT-Sicherheitsrisiken durch die Hersteller. Aber auch im privaten Bereich gefährden unzureichend abgesicherte IT-Systeme zum Beispiel die Insassen moderner, mit IT-Systemen hochgerüsteter Automobile.

Weiterlesen

Social Engineering war auch im Jahr 2015 beliebtes Cyberangriffsmittel

30. Januar 2016 /

Social-engineering01

Der Faktor Mensch entwickelt sich zum Dauerbrenner der Sicherheitsrisiken. Auch im Sicherheitsbericht für das Jahr 2015 stellte das Bundesamt für Sicherheit in der Informationstechnik (BSI) fest, dass sich Cyberkriminelle im letzten Jahr intensiv menschlicher Unterstützung bedienten, um technisch sehr stark abgesicherte Systeme zu umgehen oder sich auf einfache Art und Weise Zugang zu IT-Systemen zu verschaffen.

Weiterlesen