Der Referentenentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes wurde im Frühjahr 2023 veröffentlicht. Ich habe die wesentlichen Punkte in einer Sketchnote zusammengefasst:
Schlagwort: IT-Sicherheit
Sketchnote „Erstellung eines IT-Notfallhandbuches“
Visuelle Darstellungen nutze ich sehr gern, um meinen Kunden mein Vorgehen nachvollziehbar zu erklären. Ein Schwerpunkt meiner beruflichen Tätigkeit ist die Unterstützung meiner Kunden beim Erstellen von Dokumentationen im Rahmen der IT-Notfallvorsorge. In diesem Rahmen entstand im August 2020 eine Sketchnote zur Illustration des Vorgehens beim Erstellen und Pflegen eines IT-Notfallhandbuches.
IT-Sicherheit 2017 – auch in diesem Jahr sind die digitalen Einfallstore einladend offen
2017 stand im Zeichen des IT-Sicherheitsgesetztes, das sicherstellen soll, dass die primären Schutzziele der IT-Sicherheit (Verfügbarkeit, Integrität und Vertraulichkeit) der sogenannten kritischen Infrastrukturen (KRITIS) sichergestellt sind, und dies insbesondere vor dem Hintergrund zunehmender Häufigkeit von Cyberattacken verschiedenen Ursprungs.
Den hohen Handlungsbedarf illustrieren zahlreiche Sicherheitsvorfälle und erfolgreiche Attacken:
Manipulierbare Baustellenampeln & Wasserwerke*
Sachverhalt
Im August 2016 erhielt das BSI einen Hinweis auf den möglichen Missbrauch einer bekannten Schwachstelle in einer Software, die unter anderem in Baustellenampeln genutzt werden kann. Die betroffenen Ampeln sind direkt aus dem Internet erreichbar und damit potenziell manipulierbar. Außerdem wurde das BSI auf mehrere offene, aus dem Internet einsehbare Steuerungssysteme von Wasserwerken in Deutschland aufmerksam gemacht.
Ursache und Schadenswirkung
In den Ampeln wird eine veraltete Fernwartungssoftware (RealVNC) eingesetzt, die
Das Hackerjahr 2016
Das Jahr 2016 war ein äußerst erfolgreiches Jahr für die professionelle Hacker, denen es gelang, eine Reihe von Angriffen bisher kaum gekannten Ausmaßes durchzuführen.
So wurden im Oktober mit einem Angriff auf den DNS-Dienst Dyn gleich drei Datencenter lahmgelegt, was dazu führte, dass prominente Portale wie Amazon, Twitter oder die New York Times über Stunden nicht erreichbar waren. Hilfestellung bei diesem Hackerangriff leistete ein IoT-Botnetzwerk, bestehend aus tausenden ungesicherten IoT-Geräten, die permanent Anfragen an die Server des DNS-Dienstes sendeten.
IT-Notfällen wirkungsvoll vorbeugen
Mit der IT-Notfallplanung und deren Umsetzung ist es wie mit einer privaten Haftpflichtversicherung: Jeder sollte sie haben und doch wartet man genau bis zum ersten Unfall bzw. Störfall, um zu entscheiden, endlich mit der Vorsorge zu starten.
Auch das BSI hat in seinem Bericht zur Lage der IT-Sicherheit in Deutschland für das Jahr 2016 wieder mit einigen prominenten Beispielen mangelhafter IT-Notfallvorsorge aus dem öffentlichen Leben gewürzt:
Serverausfall in Krankenhaus-Rechenzentrum
So kam es zu einem 19-stündigen Serverausfall in einem Krankenhaus-Rechenzentrum, das 3 Kliniken mit IT-Services versorgt. Ursache war eine defekte Festplatte im Server, die vorgesehene Redundanz funktionierte nicht ordnungsgemäß.
Smart-TVs nun ebenfalls Opfer von Erpressungstrojanern
Nachdem die Schöpfer von Ransomware es in vielen Fällen erfolgreich bewerkstelligt haben, Android-Smartphones zu sperren und diese Sperre nur gegen Zahlung eines „Lösegeldes“ wieder aufzuheben, haben sie es nun auf mit dem Internet verbundene Smart-TVs abgesehen.
Erfolgsstory Erpressungstrojaner als Folge unzureichend geschulten Personals
Erpressungstrojaner schreiben zurzeit eine beeindruckende Erfolgsstory.
Laut einer Pressemitteilung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) (https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Ransomware_Umfrage_27042016.html?nn=6655768) werden immer mehr Unternehmen und Institutionen Opfer von Cyberattacken, bei denen Schadcode meist als E-Mail-Anhang verschickt wird. Dessen Ausführung bewirkt zum Beispiel eine Verschlüsselung der Inhalte des infizierten Gerätes, die vonseiten der Kriminellen nur gegen Zahlung eines Lösegeldes wieder rückgängig gemacht wird.
Prominentes Beispiel ist der Verfassungsschutz des Landes Sachsen-Anhalt, der im April 2016 Opfer eines Erpressungstrojaners wurde, der den Inhalt mehrerer Arbeitsplatz-PCs verschlüsselt hat.
Phishing-E-Mails immer raffinierter
Zwei Jahre nach dem Datenklau bei ebay, bei dem eine große Anzahl Benutzernamen inklusive der zugehörigen Adressdaten und Telefonnummern entwendet wurden, verschicken nun offenbar die derzeitigen Besitzer der geklauten Daten vermehrt Phishing-E-Mails, in denen die Empfänger aufgefordert werden, eine offene Rechnung zu bezahlen.
Gefährdung durch Sicherheitslücken in industriellen Steuerungen
Aus dem Bericht des BSI zur Lage der IT-Sicherheit in Deutschland 2015:
Die zunehmende IT-Durchdringung industrieller Anlagen fordert die wachsende Fokussierung auf die wirkungsvolle Behandlung von IT-Sicherheitsrisiken durch die Hersteller. Aber auch im privaten Bereich gefährden unzureichend abgesicherte IT-Systeme zum Beispiel die Insassen moderner, mit IT-Systemen hochgerüsteter Automobile.
Social Engineering war auch im Jahr 2015 beliebtes Cyberangriffsmittel
Der Faktor Mensch entwickelt sich zum Dauerbrenner der Sicherheitsrisiken. Auch im Sicherheitsbericht für das Jahr 2015 stellte das Bundesamt für Sicherheit in der Informationstechnik (BSI) fest, dass sich Cyberkriminelle im letzten Jahr intensiv menschlicher Unterstützung bedienten, um technisch sehr stark abgesicherte Systeme zu umgehen oder sich auf einfache Art und Weise Zugang zu IT-Systemen zu verschaffen.