Gemeinsam in die digitale Zukunft: SAVISCON GmbH ist neuer Partner der d.velop AG

Die SAVISCON GmbH ist seit September 2021 neuer Partner der d.velop AG. Sie starten als Authorized Partner und werden zunächst als Sales & Consulting Partner sowie als App Builder agieren. „Mit unserem langjährigen Dokumenten-Management Knowhow sehen wir sehr gute Entwicklungsmöglichkeiten, wenn wir als Vertriebs- und Projektpartner der d.velop in den Markt gehen“, sagt Ingo Simon, Geschäftsführer der SAVISCON GmbH. „Die Einbindung der starken Dokumenten-Management-Plattform d.velop documents von d.velop ist außerdem ein logischer Schritt, um mit unserem Software-Produkt, dem SAVISCON GRC-COCKPIT, die Digitalisierung unserer Kunden weiter voranzubringen“.

BSI Lagebericht 2021: 22 Prozent mehr Schadprogramm-Varianten

Das ist die aktuelle Lage der IT-Sicherheit in Deutschland

Am Donnerstag, 21. Oktober 2021, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den aktuellen Lagebericht zur IT-Sicherheit in Deutschland veröffentlicht. Arne Schönbohm (BSI-Präsident) und Horst Seehofer (Bundesminister des Innern, für Bau und Heimat) haben in der Bundespressekonferenz die wichtigsten Erkenntnisse vorgestellt:

22 Prozent mehr Schadprogrammvarianten

Die Cyberangriffe haben im Jahr 2021 deutlich zugenommen. So gab es beispielsweise 22 Prozent mehr Schadprogramm-Varianten als noch 2020. Außerdem werden die Cyberangriffe immer ausgefeilter und betreffen Bereiche, die für die Gesellschaft elementar sind, so Seehofer. Damit meint er vor allem die Energieversorger und das Gesundheitswesen. So habe im Berichtszeitraum ein Angriff auf die EMA stattgefunden, bei dem Daten gestohlen und danach manipuliert veröffentlicht wurden. Es handelte sich dabei um Informationen zu den COVID-19 Impfstoffen von Biontech und Pfizer. „Cybersicherheit betrifft uns alle, wir alle können Schaden davontragen“, sagte Seehofer.

Professionalisierung der Cyberkriminalität

Ein weiteres Problem stelle die zunehmende Professionalisierung von Cyber-Kriminellen dar. Die Akteure spezialisieren sich auf eine Angriffsmethode und bieten sie im Darknet an. Die Zahl der monatlichen Daten-Leak-Seiten, den Seiten, auf denen die geklauten Daten veröffentlicht werden, ist laut BSI-Lagebericht um 360 Prozent gestiegen. Jede einzelne dieser Daten-Leak-Seiten enthalte Millionen gestohlener Datensätze. Im Februar 2021 haben die Angreifer die höchste, bisher gemessene Anzahl an neuen Schadprogramm-Varianten erstellt: 553.000 neue Varianten pro Tag. Insgesamt wurden im Berichtszeitraum rund 114 Millionen neue Schadprogramm-Varianten festgestellt.

Lieferketten absichern

Im weiteren Verlauf der Pressekonferenz betonte Schönbohm, dass die Absicherung entlang der Lieferkette wichtig ist. Die steigende Vernetzung stelle eine Schwachstelle dar. Er führte den Fall einer schwedischen Supermarktkette an, dessen IT-Dienstleister von einem Ransomware-Angriff betroffen war. Dieser Angriff führte dazu, dass die Kassensysteme des Supermarktes nicht mehr funktionierten, die 800 Filialen vorübergehend schließen mussten und mehrere Millionen Euro Umsatz verloren gingen.

Wir als SAVISCON GmbH wollen mit unserem GRC-COCKPIT Unternehmen und Organisationen dabei unterstützen, unter anderem die Sicherheit entlang der Lieferkette zu dokumentieren. Dazu können die GRC-COCKPIT-Nutzer ihre Partner und Dienstleister im GRC-COCKPIT hinterlegen und mit Risiken und Maßnahmen verknüpfen.

Weitere Informationen:

Aufzeichnung der Pressekonferenz vom 21.10.2021

BSI Lagebericht 2021

BSI IT-Grundschutz: In 4 Schritten zur Basis-Absicherung

So starten Sie mit Ihrem ISMS

Von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH

Im heutigen Blogeintrag zum Thema Informationssicherheit wollen wir uns den BSI IT-Grundschutz etwas näher anschauen, spezifisch die Basis-Absicherung. Die Basis-Absicherung ist als Einstieg in den IT-Grundschutz gedacht oder für Unternehmen, die aus finanziellen oder personellen Gründen kein vollständiges Informationssicherheitsmanagementsystem (ISMS) nach der ISO 27001 etablieren können oder wollen. Dennoch kann die Basis-Absicherung, abhängig von der Größe und Art der Organisation, ein sehr umfangreiches Unterfangen sein. Lohnenswert ist dieser Aufwand aber auf jeden Fall, auch für kleinere Unternehmen, denn es gilt: Selbst ein bisschen Informationssicherheit ist besser als gar keine und die IT-Grundschutz Basis-Absicherung ist, meiner Meinung nach, ein guter Ansatz. Das Verfahren des IT-Grundschutzes wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entworfen, um deutschen Organisationen ein Verfahren zur Etablierung eines Informationssicherheitsmanagementsystem (ISMS) nach der ISO 27001-Norm bereitzustellen. Der Nachteil der ISO-Norm ist, dass sie sehr vage formuliert ist, um ein Rahmenwerk für internationale Organisationen aller Art zu schaffen. Der IT-Grundschutz dagegen bietet einen klar definierten Handlungsfaden und entschlackt den Prozess mit dem IT-Grundschutz-Check bei dem einer der aufwendigsten Bereiche zunächst entfällt: das Risiko-Management. Außerdem bietet das BSI mit den Bausteinen des IT-Grundschutz-Kompendiums und dem Gefährdungskatalog eine tolle Einstiegshilfe in ein ISMS.

Schritt 1: Die Vorbereitung

Screenshot aus dem GRC-COCKPIT zum Informationsverbund

Ein Informationsverbund, hier am Beispiel der RECPLAST GmbH im SAVISCON GRC-COCKPIT.

Bevor die eigentliche Basis-Absicherung beginnt, muss sich die Unternehmensleitung zur Informationssicherheit bekennen und den Sicherheitsprozess initiieren: Dies geschieht mit dem Verfassen und Bekanntgeben einer IS-Leitlinie. Dazu empfehle ich Ihnen meinem Blogeintrag „3 Tipps für Ihre Informationssicherheits-Leitlinie“.
Vorrausgehend dazu müssen Sie sich Ihren Geltungsbereich abstecken. Um den Aufwand gering zu halten, sollten Sie sich zunächst auf ihre wichtigsten Geschäftsbereiche konzentrieren („Kronjuwelen“). Anschließend müssen Sie die Assets in dem Geltungsbereich identifizieren und auflisten, dies nennt das BSI den „Informationsverbund“. Dazu gehören Geschäftszweige und -prozesse, IT-Geräte und -Anwendungen, sowie die Räume und Standorte. Wenn Sie bereits im Zuge eines Compliance– oder Risiko-Managements eine ähnliche Auflistung gemacht haben, ist dies eine gute Basis. Denken Sie auch an den Kontext Ihrer Organisation und inwiefern externe Parteien wie Zulieferer und Kunden von ihrem ISMS betroffen sein könnten. Außerdem müssen Sie Rollen festlegen und einen Informationssicherheitsbeauftragten (ISB) bestimmen, der ihr ISMS leitet und verwaltet. Vergessen Sie auch die Sicherheitsziele nicht, für eine Basis-Absicherung wird die CIA-Triade aus Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit) erstmal ausreichen.

Schritt 2: Die Modellierung

Screenshot der Basisanforderung im GRC-COCKPIT

Die Basisanforderungen des Bausteins SYS.2.1. Im GRC-COCKPIT kann direkt eine Anforderung abgeleitet werden.

Nach den Vorbereitungen geht es an die eigentliche Basis-Absicherung nach IT-Grundschutz. Zunächst müssen Sie Ihren Informationsverbund mit den Bausteinen aus dem Grundschutzkompendium modellieren. Dazu gehen Sie alle Bausteine durch und wählen die aus, die zu Ihrem Informationsverbund passen. Dabei müssen Sie natürlich nur die auswählen, die Sie auch wirklich brauchen. Wenn ihre Organisation beispielsweise keine Maschinen mit SPS betreibt, können Sie den Baustein IND ignorieren, haben Sie keinen Windows2012-Server brauchen Sie den Abschnitt SYS.1.2.2 nicht bearbeiten. Das BSI stellt Ihnen in dem Kompendium zudem eine Tabelle mit einer Priorisierung absteigend von R1 bis R3 bereit. Dies ist allerdings nur eine Empfehlung, Sie können die Bausteine in beliebiger Reihenfolge zuordnen. Achtung: Die Priorisierung bezieht sich nur auf die Reihenfolge der Umsetzung. Sie müssen alle Bausteine anwenden, die zu Ihrem Informationsverbund passen. Dies ist, abhängig von Ihrer Organisation und dem Geltungsbereich, eine Menge Arbeit und Sie sollten gewissenhaft arbeiten: Die Modellierung ist das Grundgerüst Ihrer Informationssicherheit, denn was Sie hier nicht abbilden, werden Sie später im Rahmen des IT-Grundschutz-Checks auch nicht untersuchen und somit wahrscheinlich auch nicht absichern.

Laut dem Grundschutz sollen Sie dann eine Tabelle verfassen in denen:

  • der Baustein
  • das zugehörige Asset
  • eine verantwortliche Person
  • die Reihenfolge (R1, R2, R3)
  • und zusätzliche Informationen oder Kommentare zur Modellierung

für Ihren gesamten Informationsverbund aufgelistet sind.

Wie Sie die Modellierung dokumentieren, bleibt aber Ihnen überlassen, solange die geforderten Informationen enthalten sind. Ich bilde die Bausteine mit unserem GRC-COCKPIT ab, sodass ich jederzeit darauf zugreifen kann. Gerade während der Arbeit im Home-Office erleichtert es auch den Austausch mit Kollegen.

Schritt 3: Der IT-Grundschutz-Check

Screenshot abgeleitete Maßnahme im GRC-COCKPIT

Eine Maßnahme zu Virenprogrammen, abgeleitet aus der Anforderung SYS.2.1.A6 im GRC-COCKPIT.

Anschließend findet der IT-Grundschutz-Check statt, dabei handelt es sich um einen Soll-Ist-Vergleich zwischen den Anforderungen aus den Bausteinen und dem tatsächlichen Zustand in Ihrer Organisation. Diesen Vergleich müssen Sie als ISB nicht allein vornehmen, stattdessen vereinbaren Sie einen Termin mit der für das Asset verantwortlichen Person (Asset-Eigentümer), beachten Sie, dass es sich auch um externe Personen handeln kann. Bereiten Sie Ihren Gesprächspartner vor, erläutern Sie im Vorfeld die Vorgehensweise und veranlassen Sie, dass Dokumente oder ähnliches zur Überprüfung zum Termin mitgebracht werden.

Beim Termin gehen Sie dann systematisch alle Anforderungen aus dem Baustein durch. Für die Basis-Absicherung müssen Sie nur die Anforderungen die mit einem (B) und dem Schlagwort MÜSSEN gekennzeichnet sind bearbeiten. Dokumentieren Sie den Umsetzungsgrad, zum Beispiel mit „ja“, „nein“ oder „teilweise“. Sollten Anforderungen nicht auf das Asset zutreffen, weil zum Beispiel eine Anwendung oder Konfigurationsart bei Ihnen nicht genutzt wird, können Sie die Anforderung mit „entbehrlich“ abhaken. Wichtig ist, dass die Dokumentation gewissenhaft und vollständig ist, außerdem müssen Sie die Dokumente aufbewahren. Wenn Sie beispielsweise eine Anforderung mit „teilweise“ bewerten, schreiben Sie auf inwiefern die Umsetzung erfolgt ist und was genau noch zu erledigen ist. Halten Sie am Ende auch nochmal Rücksprache mit Ihrem Interviewpartner, um Missverständnisse oder Fehler zu vermeiden.
Anschließend müssen Sie die Ergebnisse Ihres IT-Grundschutz-Checks auswerten und Maßnahmen ausarbeiten, um die Defizite zu beheben. Die Auswahl und Umsetzung der Maßnahmen erfolgen meistens durch die Verantwortlichen Mitarbeiter. Der ISB leitet die Ergebnisse der Auswertung an die entsprechenden Stellen weiter und koordiniert unter Umständen mit den Fachbereichsverantwortlichen die Umsetzung. Außerdem liegt es nahe, eine Priorisierung vorzunehmen. Diese kann auf Basis von Dringlichkeit, Kosten oder Umsetzungsaufwand erfolgen. Wichtig: Schmeißen Sie nicht einfach Geld auf ein Problem! Oftmals ist es effektiver organisatorische Maßnahmen einzuleiten, diese sind oftmals auch deutlich günstiger. Denken Sie auch an die Verhältnismäßigkeit Ihrer Maßnahmen, Sie wollen Ihre Mitarbeiter nicht überlasten und selbstverständlich auch nicht Ihr Budget sprengen. Recherchieren Sie in der Fachliteratur oder tauschen Sie sich mit anderen ISBs oder IT-Security Fachleuten aus, um Anreize und Ideen zu erhalten.

Schritt 4: Dran bleiben

Nach der ganzen Arbeit haben Sie ein ISMS nach der Basis-Absicherung des BSI IT-Grundschutz geschaffen. Leider können Sie sich nicht auf Ihrer Arbeit ausruhen, denn die Welt steht nicht still. Nicht nur die IT entwickelt sich ständig weiter und stellt Sie vor neue Herausforderungen und Angriffe, auch Ihre Organisation entwickelt sich ständig weiter, wird wachsen und möglicherweise neue Mitarbeiter und Aufgabenfelder bekommen. Sie müssen Ihr ISMS somit als gelebten Prozess verstehen, der ständig überprüft und angepasst werden muss. Neue Mitarbeiter müssen geschult werden, alte Schulungen aufgefrischt oder ergänzt werden. Neue Technologien am Markt werden neue Umsetzungsmöglichkeiten oder Gefährdungen mit sich bringen. Denken Sie auch daran Ihren Informationsverbund aktuell zu halten und gegebenenfalls die Modellierung mit neuen oder veränderten Bausteinen zu überarbeiten.
Des Weiteren stellt die Basis-Absicherung aus der Sicht des BSIs nur eine Übergangslösung dar, Sie müssen aber selbst entscheiden, ob die Basis-Absicherung für Sie ausreicht oder Sie darauf aufbauend die Kern- bzw. Standardabsicherung angehen möchten. Diesen Schritt werden Sie gehen müssen, wenn Sie eine Zertifizierung Ihres ISMS anstreben. Aber dazu lesen Sie demnächst mehr in unserem Blog.

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Über den Autor

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheitsmanagementsystems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit: daniel.strassberger@saviscon.de

5 Tipps gegen Ransomware-Angriffe

Wie Sie Ihr Unternehmen vor den Angriffen schützen können

Von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH

Die Nachrichten in den Medien über Ransomware-Angriffe auf Unternehmen und auch Einrichtungen im Gesundheitswesen häufen sich. Gerade während der Corona-Pandemie haben diese Angriffe zugenommen. Vielleicht auch begünstigt durch die vielen Mitarbeiter im Homeoffice. Doch was ist Ransomware eigentlich und wie kann man sich dagegen schützen? Wir haben Ihnen 5 Tipps gegen Ransomware-Angriffe zusammengestellt.

Was ist Ransomware?

Sinnbild für Ransomware

Der Begriff Ransomware setzt sich aus dem englischen Wort ransom (Lösegeld) und Software zusammen. Dabei handelt es sich um eine Schadsoftware, die dem Eindringling erlaubt Daten zu verschlüsseln, sodass der Inhaber nicht mehr darauf zugreifen kann. Die Daten werden sozusagen entführt und für die Entschlüsselung wird dann Lösegeld gefordert.

Wie infiziert man sich mit Ransomware?

Häufig wird Ransomware durch gefälschte Webseiten oder Links bzw. Anhänge in E-Mails verbreitet. Dabei nutzen die Angreifer häufig bekannte Absender mit einem großen Kundenstamm, das könnten beispielsweise ein Hostinganbieter oder eine Bank sein. Sobald der Link oder der Anhang geöffnet werden, sind die Computer infiziert und häufig bemerkt der Betroffene die Schadsoftware gar nicht.

Welche Varianten von Ransomware gibt es?

  1. Filecoder: verschlüsselt die Dateien auf dem Computer
  2. Lockscreen: sperrt den Computer und verhindert die Nutzung

In beiden Fällen werden auch psychologische Tricks eingesetzt, beispielsweise wird die Kamera aktiviert, um das Gefühl der Überwachung zu vermitteln. Ein anderer Trick ist der Lockscreen im Design einer offiziellen Behörde. Beispielsweise wird dann im Namen der Bundespolizei behauptet, dass sich illegal heruntergeladene Musik, Filme oder sogar pornografische Inhalte auf dem Computer befinden. Die Daten werden, sowohl beim Filecoder als auch beim Lockscreen, erst wieder freigegeben, sobald das Lösegeld gezahlt wurde.

Aktueller Fall: Stadtwerke Wismar

Anfang Oktober 2021 ging der Fall der Stadtwerke Wismar durch die Medien. Laut eigenen Angaben wurde die Stadtwerke Opfer eines Hacker-Angriffs. Nach Bekanntwerden des Angriffs haben die Stadtwerke die Netzverbindungen nach Außen und zu den technischen Anlagen getrennt. Die betroffenen Systeme wurden abgeschaltet und isoliert. Der Service der Stadtwerke war daher nur im Notbetrieb arbeitsfähig. Der Ransomware-Angriff sei dann der Polizei sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet worden. Außerdem zog die Stadtwerke einen externen Cybersicherheitsexperten zur Aufklärung und Unterstützung hinzu.

Wie verhalte ich mich beim Ransomware-Angriff?

Wenn es passiert ist: Soll ich zahlen? Nein, denn niemand weiß, ob die Erpresser nach der ersten Zahlung nicht noch mehr Geld verlangen. Am besten ist die richtige Vorsorge. Deshalb haben wir Ihnen 5 Tipps gegen Ransomware-Angriffe zusammengestellt:

1. Tipp: Halten Sie Ihre Geräte aktuell

Windows-Updates kommen während der Arbeitszeit meist ungelegen, dennoch sollten Sie diese regelmäßig und zeitnah nach dem Release durchführen. So verhindern Sie, dass Sicherheitslücken entstehen. Oder sie regeln die Updates der einzelnen Mitarbeiter-Computer gebündelt über die IT-Abteilung.

2. Tipp: Schulen, schulen, schulen!

Ja, in der Theorie wissen die meisten Mitarbeiter, dass sie auf keine E-Mail-Links und Anhänge von fremden Absendern klicken sollen. Aber was, denn die Ransomware oberflächlich gut getarnt als Absender mit der Rechnung des Kooperationspartners im Posteingang eintrudelt? Dann muss man schon zweimal hingucken, um eventuell die fragwürdige Absendemailadresse zu identifizieren. Also: Schulen und sensibilisieren Sie ihre Mitarbeiter regelmäßig.

3. Tipp: Regelmäßige Back-Ups

Wenn Sie regelmäßige Back-Ups der internen Server bzw. von wichtigen Mitarbeiter-Computern durchführen, dann klingt auch eine Drohung von Ransomware-Angreifern nicht mehr so einschüchternd. Dennoch: Bitte beachten Sie, dass sie regelmäßig überprüfen sollten, ob Sie die durchgeführten Back-Ups auch problemlos wiederherstellen können.

4. Tipp: Redundante IT-Systeme

Bauen Sie Ihre IT-Systeme so auf, dass geschäftskritische Prozesse auch weiterlaufen können, wenn eines Ihrer Systeme mit einer Ransomware infiziert ist.

5. Tipp: Zugriffsrechte kritisch prüfen

Eine technische und organisatorische Maßnahme (TOM) kann sein, die Zugriffsrechte auf geschäftskritische Anwendungen, Daten und Services stark zu reglementieren. Je weniger Personen Zugriff auf diese wichtigen Unternehmens-Assets haben, desto unwahrscheinlicher ist es, dass sie infiziert werden.

Wir hoffen, dass wir Ihnen mit den 5 Tipps ein paar Anregungen geben konnten und Sie so vor solchen Attacken verschont bleiben. Wenn Sie Ihr Informationssicherheits-Management (ISM) samt IT-Sicherheits-Management und Asset-Management digitalisieren wollen, dann unterstützen wir Sie gerne dabei. Beispielsweise mit unserem browserbasierten GRC-COCKPIT. Mit dieser Software können Sie Ihr ISM nach BSI IT-Grundschutz digital aufbauen.

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheitsmanagementsystems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit:  daniel.strassberger@saviscon.de

 

SAVISCON GmbH | Heegbarg 16 | 22391 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel