Kategorie: IT-Sicherheit

In dieser Kategorie lesen Sie alle Blog-Beiträge rund um das Thema IT-Sicherheit.

NIS2 für den Luftfahrtbereich

Luftfahrt-spezifische Regulatorik für Cyber-Sicherheit a la NIS2

Über die NIS2 Richtlinie haben wir bereits einige Blogs geschrieben und auch unser Whitepaper zum Thema ist seit Monaten stark nachgefragt. Als Ingenieur, der lange in der Luftfahrt unterwegs war, habe ich mich mit den spezifischen Pendants bzw. Erweiterungen für diese Branche beschäftigt und fasse die Erkenntnisse hier als Ergänzung zu den NIS 2-Informationen für Interessierte mit Luftfahrtbezug zusammen.

Geltungsbereich und Anforderungen – wer ist betroffen?

Die EU-Richtlinie 2023/203 und die EU-Richtlinie 2022/1645 stellen spezifische Anforderungen insbesondere in Bezug auf das Management von Informationssicherheitsrisiken an Unternehmen, die im Bereich der zivilen Luftfahrt tätig sind. Unternehmen, die unter diese Richtlinien fallen, müssen ein Managementsystem für IT-Sicherheitsrisiken einführen und betreiben, das sowohl strukturierte Bedrohungen der Informationssicherheit von außen als auch zufällige, ungeplante Ereignisse abdeckt.

Die Hauptunterschiede zwischen der EU-Richtlinie 2023/203 und der EU-Richtlinie 2022/1645 liegen in ihrem Anwendungsbereich und den spezifischen Anforderungen, die sie an Organisationen stellen. Sie beziehen sich insgesamt auf Organisationen, die unter verschiedene EU-Verordnungen fallen, einschließlich Entwicklungs- und Herstellerbetrieben, Unternehmen zur Instandhaltung von Luftfahrzeugen, Flughafenbetrieb und Vorfeldkontrolldiensten aber auch Unternehmen aus dem luftfahrtbezogenen Ausbildungsbereich.

Welche Anforderungen werden gestellt?

Die detaillierten Anforderungen im Anhang bzw. Anhang II sind weitestgehend identisch, so ergeben sich z. B. für Unternehmen, die sowohl Part 145 als auch Part 21 Betriebe sind, starke Synergien bei der Umsetzung im Management Tool.

Letztendlich kann man aus meiner Sicht die Anforderungen auf die wesentlichen Punkte reduzieren:

  1. Es muss ein Informationssicherheits-Managementsystem implementiert werden
  2. Es muss ein Business Continuity Management implementiert werden
  3. Es muss ein internes Meldesystem analog eines Hinweisgebersystems implementiert werden
  4. Es muss ein Lieferantenmanagement mit entsprechender Risikoanalyse und -behandlung implementiert werden
  5. Die oben genannten Aufgaben können auch extern vergeben werden
  6. Das Verantwortliche Personal muss mit den nötigen Kenntnissen, Ressourcen und Befugnissen ausgestattet werden, um die Anforderungen zu erfüllen
  7. Die oben genannten Punkte müssen adäquat dokumentiert sein, die Aufbewahrungsfristen müssen beachtet und der Behörde muss ein entsprechendes Informationssicherheits-Handbuch zur Verfügung gestellt werden.
  8. Der gesamte Prozess muss einer kontinuierlichen Verbesserung unterliegen (das ist ein wenig überflüssig, da dies im ISMS und BCM gem. der einschlägigen Normen, z.B. IT-Grundschutz oder ISO 27001 ohnehin der Fall ist)

Gegenüberstellung der Anforderungen

Wann müssen die Anforderungen umgesetzt sein?

Für die Umsetzung der Anforderungen aus der EU-Richtlinie 2023/203 müssen die Mitgliedstaaten die notwendigen Rechts- und Verwaltungsvorschriften bis spätestens 24. Dezember 2024 in Kraft setzen.

Die EU-Richtlinie 2022/1645 enthält keine explizit genannt Fristen, in den Erwägungsgründen steht lediglich: „Damit die Organisationen ausreichend Zeit haben, um die Einhaltung der mit dieser Verordnung eingeführten neuen Vorschriften und Verfahren sicherzustellen, sollte die Geltung dieser Verordnung erst nach einem Zeitraum von drei Jahren ab ihrem Inkrafttreten beginnen.“

Welche Sanktionen drohen?

Unternehmen, die die Anforderungen der EU-Richtlinien 2023/203 und 2022/1645 nicht einhalten, können mit einer Reihe von Sanktionen konfrontiert werden, die von Geldbußen bis hin zu strafrechtlichen Konsequenzen reichen können. Die spezifischen Sanktionen hängen von den nationalen Gesetzen der Mitgliedstaaten ab, die die EU-Richtlinien in nationales Recht umsetzen. Schaut man sich die neuere Regulatorik in der EU und in Deutschland an, beziehen sich die Sanktionen in der Regel auf Prozente des weltweiten Unternehmensumsatzes (oft zwischen 2 und 4 %) und beginnen häufig mit Mindestsummen im Millionenbereich, je nach Schwere des Versäumnisses.

In einigen Fällen können auch individuelle Verantwortliche innerhalb des Unternehmens strafrechtlich verfolgt werden, insbesondere wenn nachgewiesen wird, dass sie vorsätzlich oder grob fahrlässig gehandelt haben. Darüber hinaus können Unternehmen, die die Richtlinien nicht einhalten, von der Teilnahme an öffentlichen Ausschreibungen und Förderprogrammen ausgeschlossen werden, was langfristige finanzielle Auswirkungen haben kann. Im schlimmsten Fall können Unternehmen, die gegen die Richtlinien verstoßen, ihre Betriebslizenzen oder Zertifizierungen verlieren, was den Unternehmen letztendlich teilweise oder gänzlich die Geschäftsgrundlage entzieht.

Fazit:

Die Übereinstimmungen zwischen den beiden Richtlinien liegen vor allem in den grundlegenden Anforderungen an das Risikomanagement und die Informationssicherheit, die für alle relevanten Organisationen innerhalb der zivilen Luftfahrtindustrie gelten. Es ist wichtig, dass Unternehmen, die von diesen Richtlinien betroffen sind, die spezifischen Anforderungen verstehen und umsetzen, um die Sicherheit und Integrität der Zivilluftfahrt zu gewährleisten.

Die Implementierung eines robusten Risikomanagementsystems ist zunehmend von großer Bedeutung, das zeigen auch andere Regulierungen (Lieferkettengesetz, Geldwäschegesetz, etc.). Unternehmen müssen proaktiv handeln, um diese Risiken zu identifizieren, zu bewerten und zu behandeln. Die Einrichtung interner Kontrollmechanismen und die Durchführung regelmäßiger Audits können ebenfalls dazu beitragen, die Einhaltung der Richtlinien zu gewährleisten. Die Einbindung von Stakeholdern, einschließlich Lieferanten und Partnern, ist empfehlenswert, um sicherzustellen, dass die gesamte Lieferkette den Richtlinien entspricht.

Technologische Lösungen wie die Automatisierung von Compliance-Prozessen können erheblich dazu beitragen, entsprechende Prozesse schlank umzusetzen, die Einhaltung der Vorschriften zu überwachen und zu verbessern. Unser SAVISCON GRC-COCKPIT ist genau dafür ausgelegt. Als Compliance-Management-, Risikomanagement- und ISMS-Plattform schafft es die Grundlage, alle Anforderungen synergetisch in einem System zu managen und damit Mehraufwand und Datensilos zu vermeiden.

Über den Autor

Foto Ingo Simon

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: ingo.simon@saviscon.de oder vernetzen Sie sich mit mir:

XING Profil Ingo Simon LinkedIn Profil Ingo Simon

Risk-Update 2024: IT-Risiken

Das ist 2024 wichtig: NIS2, DORA, BCM und KI

In 2023 nannte der Allianz Risk-Report 2023 Cybervorfälle zusammen mit Betriebsunterbrechungen als Top-Risiko. Die Studien für 2024 sind noch nicht geschrieben oder veröffentlicht, aber man darf davon ausgehen, dass sich IT-getriebene Risiken im Jahr 2024 weiter in Spitzenpositionen halten werden. Wir werden uns in diesem Artikel auf diese IT-Risiken beschränken.

Cyberangriffe

Es gibt eine erhöhte Bedrohungslage durch Cyberangriffe mit möglichen massiven Auswirkungen –nicht nur auf Unternehmen, sondern in der Folge auch auf die Bevölkerung. Der Ernst der Lage wird daran sichtbar, dass die Gesetzgebung mit regulatorischen Maßnahmen diesbezüglich nicht spart:

  • Die neue NIS2 Direktive (EU 2022/2555) „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ ersetzt die NIS-Richtlinie aus 2016. Betroffen sind hier Unternehmen aus den sogenannten „Essential Entities“, aufgeteilt in elf Sektoren, z. B. Bankwesen, Trinkwasser und Digitale Infrastruktur, sowie aus „Important Entities“ mit sieben Sektoren, z. B. Post und Kurier, Lebensmittel und Digitale Dienste. Für alle diese Entities und Sektoren werden Mindestanforderungen definiert, die einzuhalten sind. Non-Compliance ist mit hohen Sanktionen belegt. Die Direktive wird in Deutschland in ein neues IT-Sicherheitsgesetz münden: das NIS2 Umsetzungsgesetz. Das Inkrafttreten ist für Oktober 2024 angesetzt.

  • Für die Finanzindustrie wird noch eines obendrauf gesetzt: DORA (Digital Operational Resilience Act) ist die Verordnung (EU 2022/2554) über die digitale, operationale Resilienz im Finanzsektor. Auch hier werden hohe Anforderungen an IT-Sicherheit, aber auch an Testverfahren und operative IT-Prozesse normiert und Non-Compliance empfindlich sanktioniert. Die BaFin ist als Aufsichtsbehörde involviert und die Richtlinie soll ab 17.01.2025 Anwendung finden.

In beiden Normen steht auch das IT-bezogene Risiko-Management im Fokus. Es gilt, seine IT-Risiken zu kennen und zu managen. Das gilt sowohl für Angriffsvektoren in Bezug auf Infrastruktur mit Exposition ins Internet als auch für Partner und IKT-Dienstleister, die Dienste für das Unternehmen übernehmen, sowie auch für interne Risiken durch menschliche Schwachstellen.

Übrigens: Der Mensch ist eine der größten Schwachstellen. Eine der häufigsten Formen von Cyberangriffen ist Ransomware, mit denen Unternehmensdaten verschlüsselt und die Wiederfreigabe der Daten mittels Zahlungen erpresst werden. Solche Fälle legen Organisationen über Wochen lahm und sind in den letzten Monaten gehäuft in den Nachrichten. Rund zwei Drittel der Ransomware-Angriffe haben als Ursache, dass E-Mail-Anhänge oder Links zu Webseiten durch unachtsame Mitarbeitende in eingehenden Mails angeklickt werden. Eine geringe Investition in die Sensibilisierung der Mitarbeitenden hat daher eine hohe positive Auswirkung auf das Risikoportfolio. Es muss also nicht immer nur eine technische Lösung sein, die hilft.

NIS2 Whitepaper herunterladen

Betriebsunterbrechungen und Ausfälle durch IT-Fehler

Aber nicht nur Cyberbedrohungen von außen führen zu IT-bezogenen Risiken. Selbst wenn keine Bedrohung vorherrschen würde, bringt die zunehmende Digitalisierung über alle Geschäftsprozesse von Unternehmen weitere Risiken ins Spiel. Der Ausfall zentraler Infrastruktur oder Anwendungen durch Fehlbedienung, nachlässiges oder fehlerhaftes Change-Management in den IT-Betriebsabteilungen kann erhebliches Gefährdungspotenzial für das Überleben der Unternehmen mit sich bringen. Umso wichtiger ist es, bei einem eingetretenen Risiko einen Notfallplan an der Hand zu haben. Das Bundesamt für Sicherheit in der Informationstechnik lieferte dazu in diesem Jahr den neuen Standard 200-4 für das Business Continuity Management, kurz BCM. Dies ist (außer für KRITIS Unternehmen) zwar keine Norm im Sinne einer notwendigen Einhaltung zur Vermeidung von Sanktionen, aber dennoch sollten Unternehmen und Organisationen schon aus Selbstschutz eine gesteigerte Motivation haben, in diese Richtung aktiv zu werden.

Künstliche Intelligenz

Das dritte und vielleicht aktuellste Thema kommt aus dem kometenhaften Aufstieg der künstlichen Intelligenz (KI), der sich aus dem ChatGPT Hype als Katalysator ergeben hat. Auch im Bereich KI-Compliance ist der Gesetzgeber, in diesem Falle das Europäische Parlament, im Aufbruch, eine KI-Gesetzgebung zu schaffen, die sicherstellt, „dass die in der EU eingesetzten KI-Systeme sicher, transparent, nachvollziehbar, nicht diskriminierend und umweltfreundlich sind.“

Daraus ergeben sich wiederum neue Risiken. Zum einen die Risiken durch den Einsatz von KI generell, also z. B. durch fehlerhafte KI-Ergebnisse falsche Entscheidungen zu treffen. Aber für die Unternehmen, die KI schon sehr früh einsetzen, ergibt sich auch ein Risiko, dass die kommende Gesetzgebung den schon implementierten Einsatz einschränkt und die Unternehmen zwingt, die bereits getätigten Investitionen durch weitere, nun notwendig werdende Modifikationen compliant zu machen. Hier empfiehlt es sich, den Gesetzgebungsverlauf genau zu beobachten und frühzeitig derartige Entwicklungen zu antizipieren.

Fazit:

Bei den IT-Risiken ist es nicht ausreichend, nur mögliche Cyberbedrohungen zu betrachten. Sondern es muss genauso auf die internen IT-Prozesse und die sich daraus ergebenden Risiken geschaut werden. Das neue KI-Feld wird ebenfalls im Jahr 2024 eine zunehmend große Rolle in der Risikobetrachtung der Unternehmen spielen, die diese einsetzen wollen.

Mit der aktuellen und kommenden Gesetzgebung wird IT-Sicherheit immer mehr auch ein Compliance-Themenfeld, womit sich eben auch Compliance-Risiken ergeben. Unternehmen und Organisationen sollten sich daher mit dem Thema IT-Sicherheit, Business Continuity und den dafür relevanten Gesetzestexten auseinandersetzen. Die Einführung eines Informationssicherheits-Management-Systems ist auf jeden Fall ein Schritt in die richtige Richtung. Auch wenn eine Zertifizierung nach gängigen Standards wie ISO 27001 oder IT-Grundschutz nicht Ziel einer Organisation ist, so geben diese Standards doch sehr viel Informationen an die Hand, wie man hier die Abläufe verbessern kann, um compliant zu werden.

Mit unserer Software, dem SAVISCON GRC-COCKPIT, bieten wir Organisationen jeglicher Größe ein effizientes Handwerkszeug, um ihr ISMS strukturiert abzubilden und effizient zu betreiben.

Über den Autor

Foto Ingo Simon

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: ingo.simon@saviscon.de oder vernetzen Sie sich mit mir:

XING Profil Ingo Simon LinkedIn Profil Ingo Simon

NIS2: ISMS umsetzen, Vorsprung sichern.

Wie Sie die EU-Richtlinie als Wettbewerbsvorteil nutzen können

von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Die Bedrohungslage im digitalen Raum hat sich in den letzten Jahren erheblich verschärft. Cyber-Angriffe werden immer häufiger und raffinierter. Die Schäden, die sie anrichten, können die wirtschaftliche Existenz von Unternehmen nachhaltig gefährden.

NIS2: die neue EU-Richtlinie

Hier kommt NIS2 ins Spiel, die neue EU-Richtlinie, die wir schon in meinem letzten Blog „NIS2: Die neue EU-Richtlinie für Cybersicherheit“ beleuchtet haben. Sie verpflichtet Unternehmen und Organisationen aus verschiedensten Branchen dazu, angemessene Sicherheitsmaßnahmen zu ergreifen, um die Netzwerk- und Informationssicherheit zu gewährleisten. Ein wichtiger Bestandteil von NIS2 ist die Forderung nach einem wirksamen Informationssicherheitsmanagementsystem (ISMS). Lesen Sie für weitere Hintergrundinformationen zur EU-Richtlinie NIS2 gerne den oben genannten Blog-Beitrag.

In diesem Artikel möchten ich Ihren Blick auf die generellen Wettbewerbsvorteile eines wirksamen ISMS lenken und, so hoffe ich, Sie für die essentielle Bedeutung dieses Themas in Ihrem Unternehmen sensibilisieren.

Was ist das Ziel eines Informationssicherheitsmanagementsystem und inwiefern profitiert Ihre Organisation von der Implementierung?

Ein ISMS unterstützt Sie dabei, die IT-Risiken Ihrer Organisation klar zu identifizieren, zu bewerten und angemessene Maßnahmen zur Risiko-Minderung zu ergreifen. Die Risiken und Maßnahmen werden mithilfe entsprechender Umsetzungshilfen, wie der ISO 27001, dem IT-Grundschutz oder branchenrelevanten Normen (z. B. B3S), kontextabhängig erarbeitet. So sind die von Ihnen ergriffenen Informationssicherheitsmaßnahmen stets auf Ihre Geschäftsabläufe und -ziele abgestimmt. Die IT-Sicherheits-Prozesse und Verfahren zur Gewährleistung der Informationssicherheit entfalten so ihr gesamtes Potenzial. Um Ihr ISMS von Beginn an strukturiert und effizient aufzusetzen, ist die Nutzung einer dafür ausgelegten Software, wie z. B. dem SAVISCON GRC-COCKPIT, empfehlenswert.

Warum stellt ein ISMS einen Wettbewerbsvorteil dar?

Die Digitalisierung deutscher Unternehmen nimmt (wenn auch verzögert) weiter an Fahrt auf. Ein höherer Digitalisierungsgrad Ihrer Organisation verlangt zwangsläufig einen höheren Grad an IT-Sicherheit. Digitalisierung und IT-Sicherheit bilden eine untrennbare Einheit und müssen im Gleichschritt aufgebaut werden. Ein ISMS sichert als grundlegendes Fundament Ihre zukünftige Geschäftsfähigkeit ab. Es stellt somit tatsächlich einen Wettbewerbsvorteil für die Organisationen dar, die es umgesetzt haben oder in der Umsetzung sind, und zwar aus folgenden Gründen:

  1. Kundenvertrauen: Unternehmen, die ein ISMS implementieren, zeigen ihren Kunden und Partnern, dass sie die Sicherheit ihrer Informationen ernst nehmen. Kunden legen zunehmend Wert auf die Sicherheit ihrer persönlichen Daten und Geschäftsinformationen. Ein robustes ISMS kann dazu beitragen, das Vertrauen der Kunden zu gewinnen und sie dazu ermutigen, mit dem Unternehmen zusammenzuarbeiten.
  2. Reduzierung von Sicherheitsvorfällen: Ein gut durchdachtes ISMS kann dazu beitragen, das Risiko von Sicherheitsvorfällen wie Datenlecks, Cyberangriffen und anderen Sicherheitsverletzungen zu minimieren. Durch die Vermeidung von Sicherheitsvorfällen können Unternehmen kostspielige Ausfallzeiten, Reputationsschäden und finanzielle Verluste verhindern.
  3. Schutz von Innovationen und geistigem Eigentum: Ein ISMS kann dazu beitragen, wertvolle Informationen und geistiges Eigentum vor unbefugtem Zugriff oder Diebstahl zu schützen. Unternehmen, die in der Lage sind, ihre innovativen Ideen und geistigen Eigentumsrechte zu schützen, können einen Wettbewerbsvorteil gegenüber Unternehmen haben, die dies nicht tun.
  4. Business Continuity und Resilienz: Ein ISMS hilft Organisationen, sich auf Sicherheitsvorfälle vorzubereiten. Dies umfasst z. B. die Implementierung von Notfallplänen, Backup-Systemen, Redundanzmaßnahmen und Wiederherstellungsstrategien. Durch die Gewährleistung der Geschäftskontinuität und Resilienz können Organisationen besser auf Sicherheitsvorfälle reagieren und den Betrieb besser aufrechterhalten oder bei Eintritt eines Vorfalls schneller wieder herstellen.
  5. Erfüllung von Compliance-Anforderungen: Viele Branchen und Länder haben strenge Vorschriften und Compliance-Anforderungen im Hinblick auf Informationssicherheit. Ein ISMS hilft Unternehmen, diese Anforderungen zu erfüllen und Risiken von Strafen und rechtlichen Konsequenzen zu minimieren. Unternehmen, die in der Lage sind, ihre Informationssicherheit nachzuweisen und Compliance-Anforderungen zu erfüllen, können im Wettbewerb mit anderen Unternehmen einen Vorteil haben.
  6. Risikomanagement: Ein ISMS unterstützt Organisationen bei der Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken. Durch proaktives Risikomanagement können Organisationen Bedrohungen frühzeitig erkennen und geeignete Maßnahmen ergreifen, um Risiken zu minimieren oder zu eliminieren.
  7. Effiziente Geschäftsprozesse: Ein ISMS umfasst die Identifikation und Bewertung von Risiken sowie die Implementierung von Sicherheitsmaßnahmen, um diese Risiken zu minimieren. Durch eine effektive Risikobewertung und -bewältigung können Unternehmen ihre Geschäftsprozesse optimieren und unnötige Risiken in den Prozessen reduzieren. Effiziente Geschäftsprozesse können zu Kosteneinsparungen führen, die in einem wettbewerbsintensiven Marktumfeld einen Vorteil verschaffen können.

Fazit

Die Argumente zeigen es aus meiner Sicht eindeutig: ein ISMS zu implementieren stellt in der heutigen digitalen Welt zunehmend einem wichtigen Wettbewerbsvorteil dar. Unternehmen, die noch kein ISMS haben, sollten sich ernsthaft mit dem Thema auseinandersetzen und die Vorteile, die die Implementierung bietet, nutzen. Wie sieht es in Ihrem Unternehmen aus? Lassen Sie uns gerne in den Austausch gehen.

NIS2 Whitepaper

Sie möchten alle Hintergrundinformationen zu NIS2 in einem PDF-Dokument nachlesen? Dann laden Sie sich jetzt unser NIS2 Whitepaper herunter:

 

NIS2 Whitepaper herunterladen

 

Über den Autor

Foto Ingo Simon

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: ingo.simon@saviscon.de oder vernetzen Sie sich mit mir:

XING Profil Ingo Simon LinkedIn Profil Ingo Simon

EU NIS 2 Cyber Security

Die neue EU-Richtlinie für Cybersicherheit

von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Die NIS-Richtlinie für Netz- und Informationssicherheit von 2016 wird abgelöst. Seit dem 10. November 2022 ist die EU NIS2-Direktive auf europäischer Ebene beschlossene Sache. Bis spätestens zum 17. Oktober 2024 werden alle 27 Mitgliedstaaten der Union nun Umsetzungskompetenz beweisen und die neue Richtlinie für Cybersecurity mit einer Übergangsfrist von 21 Monaten in nationales Recht umwandeln müssen. Die Entscheider in Unternehmen werden im NIS2-Gesetz als sogenannte „management bodies“ haftbar gemacht und sollten sich daher bereits jetzt mit diesem Thema auseinandersetzen und die entsprechende Umsetzung in ihrer Organisation proaktiv vorantreiben.

Welche Kernanforderungen NIS2 beinhaltet und an welchen Betroffenenkreis sie adressiert ist, lesen Sie im folgenden Blogbeitrag:

NIS und IT-Sicherheitsgesetz

Wie bereits die Vorgängerdirektive NIS, die in Deutschland im ersten IT-Sicherheitsgesetz von 2017 Anwendung fand, wird in Zukunft NIS2 den regulatorischen Rahmen zur Sicherstellung der Cybersicherheit bei Betreibern Kritischer Infrastrukturen (KRITIS) bilden.

Um den stetig wachsenden IT-Sicherheitsanforderungen der besonders durch die COVID-19-Pandemie immer rascher fortschreitenden Digitalisierung gerecht zu werden und so weiterhin ein hohes Cybersicherheit-Niveau in der gesamten EU zu gewährleisten, sieht die neue Richtline NIS2 einige notwendige Updates gegenüber der bisherigen Cybersecurity Gesetzeslage vor.

Wer ist von NIS2 betroffen?

Zentraler Bestandteil der NIS2-Direktive ist die Erweiterung des Geltungsbereiches für diejenigen Unternehmen (auch Betreiber oder „Entities“ genannt), die aufgrund ihrer wirtschaftlichen Tätigkeit in Branchen kritischer Infrastrukturen einer besonders hohen Bedrohungslage durch Cyberangriffe ausgesetzt sind. Die NIS2-Richtlinie reguliert daher insgesamt 18, in 11 „Essential“ (dt. kritische) und 7 „Important“ (dt. wichtige) unterteilte, Sektoren.

Essential Sektoren:

  • Energie, Transport
  • Banken
  • Finanzmärkte
  • Gesundheit
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Öffentliche Verwaltung
  • Raumfahrt

Important Sektoren:

  • Post und Kurier
  • Abfallwirtschaft
  • Chemikalien
  • Ernährung
  • Industrie
  • Digitale Dienste
  • Forschung

Innerhalb dieser Sektoren werden zum einen alle mittelständischen Betreiber mit einer Größe von 50 bis 250 Mitarbeitern und einem jährlichen Umsatz von 10 bis 50 Mio. EUR bzw. einer Bilanzsumme von bis zu 43 Mio. EUR in die Pflicht genommen. Zum anderen richtet sich NIS2 an Großkonzerne ab einer Größe von 250 Mitarbeitern mit einem Umsatz ≥ 50 Mio. EUR / einer Bilanzsumme ab 43 Mio. EUR.

Klein- und Kleinstunternehmen bleiben vorerst von NIS2 unberührt, jedoch gilt das Gesetz unabhängig der oben aufgeführten Größenwerte zusätzlich und ausnahmslos für alle Betreiber aus den Sektoren „Digitale Infrastruktur“, „Öffentliche Verwaltung“ und weitere Spezialfälle, deren IT und Netzwerke aufgrund Ihrer wichtigen gesellschaftlichen Funktion im Katastrophenfall besonders schützenswert sind.

Welche Anforderungen bringt NIS2?

Die umzusetzenden Mindestanforderungen an die Cybersecurity sind in Artikel 21 der NIS2-Richtlinie geregelt. Diese umfassen z. B. die initiale Durchführung einer umfangreichen Risikoanalyse und somit die Einrichtung eines aktiven Risikomanagements im Hinblick auf die potentiellen Informationssicherheits-Risiken eines Unternehmens. Dieser erste und wichtigste Schritt ist die Basis eines erfolgreichen Cybersecurity-Managements. Auch die IT-Sicherheit entlang der Supply-Chain („Sicherheit in der Lieferkette“) und ein intaktes Business Continuity Management im Krisenfall (BCM) zählen zu den obligatorischen Cybersecurity-Maßnahmen.

Welcher Behörde wird in Deutschland berichtet?

Weitergehend ist im Gesetz ein Meldewesen verankert, das von Cyberangriffen betroffene Betreiber dazu auffordert, erhebliche Störungsfälle unverzüglich den Behörden mitzuteilen. (Artikel 23) In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dieser Aufgabe betraut, das als nationale „Competent Authority“ für IT-Sicherheit zudem dafür verantwortlich ist, die regelkonforme Umsetzung der strengen Anforderungen und Pflichten der NIS2-Richtlinie zu beaufsichtigen. Zu den dafür notwendigen Governance-Maßnahmen des BSI zählen unter anderem die Anforderungen regelmäßiger Berichterstattung, Audits oder auch sogenannte Random Checks.

Welche Sanktionen drohen bei „Non-Compliance“?

Wo eine neue Gesetzgebung, da auch Sanktionen, die gegenüber betroffenen Organisationen verhängt werden können. Auch die NIS2-Direktive beruft sich hier in den Artikeln 34 bis 36 vor allem auf Strafen in Form von hohen Geldbußen in Millionenhöhe, die Unternehmen bei “Non-Compliance” erwartet. Je nach Zugehörigkeit zum Bereich der „Important“ bzw. „Essential“ Sektoren variiert dieser Betrag zwischen maximal 7 bis 10 Mio. EUR oder 1,4 % bzw. 2 % des weltweiten Umsatzes.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: ingo.simon@saviscon.de oder vernetzen Sie sich mit mir:
XING Profil Ingo Simon LinkedIn Profil Ingo Simon

BSI Lagebericht 2021: 22 Prozent mehr Schadprogramm-Varianten

Das ist die aktuelle Lage der IT-Sicherheit in Deutschland

Am Donnerstag, 21. Oktober 2021, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den aktuellen Lagebericht zur IT-Sicherheit in Deutschland veröffentlicht. Arne Schönbohm (BSI-Präsident) und Horst Seehofer (Bundesminister des Innern, für Bau und Heimat) haben in der Bundespressekonferenz die wichtigsten Erkenntnisse vorgestellt:

22 Prozent mehr Schadprogrammvarianten

Die Cyberangriffe haben im Jahr 2021 deutlich zugenommen. So gab es beispielsweise 22 Prozent mehr Schadprogramm-Varianten als noch 2020. Außerdem werden die Cyberangriffe immer ausgefeilter und betreffen Bereiche, die für die Gesellschaft elementar sind, so Seehofer. Damit meint er vor allem die Energieversorger und das Gesundheitswesen. So habe im Berichtszeitraum ein Angriff auf die EMA stattgefunden, bei dem Daten gestohlen und danach manipuliert veröffentlicht wurden. Es handelte sich dabei um Informationen zu den COVID-19 Impfstoffen von Biontech und Pfizer. „Cybersicherheit betrifft uns alle, wir alle können Schaden davontragen“, sagte Seehofer.

Professionalisierung der Cyberkriminalität

Ein weiteres Problem stelle die zunehmende Professionalisierung von Cyber-Kriminellen dar. Die Akteure spezialisieren sich auf eine Angriffsmethode und bieten sie im Darknet an. Die Zahl der monatlichen Daten-Leak-Seiten, den Seiten, auf denen die geklauten Daten veröffentlicht werden, ist laut BSI-Lagebericht um 360 Prozent gestiegen. Jede einzelne dieser Daten-Leak-Seiten enthalte Millionen gestohlener Datensätze. Im Februar 2021 haben die Angreifer die höchste, bisher gemessene Anzahl an neuen Schadprogramm-Varianten erstellt: 553.000 neue Varianten pro Tag. Insgesamt wurden im Berichtszeitraum rund 114 Millionen neue Schadprogramm-Varianten festgestellt.

Lieferketten absichern

Im weiteren Verlauf der Pressekonferenz betonte Schönbohm, dass die Absicherung entlang der Lieferkette wichtig ist. Die steigende Vernetzung stelle eine Schwachstelle dar. Er führte den Fall einer schwedischen Supermarktkette an, dessen IT-Dienstleister von einem Ransomware-Angriff betroffen war. Dieser Angriff führte dazu, dass die Kassensysteme des Supermarktes nicht mehr funktionierten, die 800 Filialen vorübergehend schließen mussten und mehrere Millionen Euro Umsatz verloren gingen.

Wir als SAVISCON GmbH wollen mit unserem GRC-COCKPIT Unternehmen und Organisationen dabei unterstützen, unter anderem die Sicherheit entlang der Lieferkette zu dokumentieren. Dazu können die GRC-COCKPIT-Nutzer ihre Partner und Dienstleister im GRC-COCKPIT hinterlegen und mit Risiken und Maßnahmen verknüpfen.

Weitere Informationen:

Aufzeichnung der Pressekonferenz vom 21.10.2021

BSI Lagebericht 2021

5 Tipps gegen Ransomware-Angriffe

Wie Sie Ihr Unternehmen vor den Angriffen schützen können

Von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH

Die Nachrichten in den Medien über Ransomware-Angriffe auf Unternehmen und auch Einrichtungen im Gesundheitswesen häufen sich. Gerade während der Corona-Pandemie haben diese Angriffe zugenommen. Vielleicht auch begünstigt durch die vielen Mitarbeiter im Homeoffice. Doch was ist Ransomware eigentlich und wie kann man sich dagegen schützen? Wir haben Ihnen 5 Tipps gegen Ransomware-Angriffe zusammengestellt.

Was ist Ransomware?

Sinnbild für Ransomware

Der Begriff Ransomware setzt sich aus dem englischen Wort ransom (Lösegeld) und Software zusammen. Dabei handelt es sich um eine Schadsoftware, die dem Eindringling erlaubt Daten zu verschlüsseln, sodass der Inhaber nicht mehr darauf zugreifen kann. Die Daten werden sozusagen entführt und für die Entschlüsselung wird dann Lösegeld gefordert.

Wie infiziert man sich mit Ransomware?

Häufig wird Ransomware durch gefälschte Webseiten oder Links bzw. Anhänge in E-Mails verbreitet. Dabei nutzen die Angreifer häufig bekannte Absender mit einem großen Kundenstamm, das könnten beispielsweise ein Hostinganbieter oder eine Bank sein. Sobald der Link oder der Anhang geöffnet werden, sind die Computer infiziert und häufig bemerkt der Betroffene die Schadsoftware gar nicht.

Welche Varianten von Ransomware gibt es?

  1. Filecoder: verschlüsselt die Dateien auf dem Computer
  2. Lockscreen: sperrt den Computer und verhindert die Nutzung

In beiden Fällen werden auch psychologische Tricks eingesetzt, beispielsweise wird die Kamera aktiviert, um das Gefühl der Überwachung zu vermitteln. Ein anderer Trick ist der Lockscreen im Design einer offiziellen Behörde. Beispielsweise wird dann im Namen der Bundespolizei behauptet, dass sich illegal heruntergeladene Musik, Filme oder sogar pornografische Inhalte auf dem Computer befinden. Die Daten werden, sowohl beim Filecoder als auch beim Lockscreen, erst wieder freigegeben, sobald das Lösegeld gezahlt wurde.

Aktueller Fall: Stadtwerke Wismar

Anfang Oktober 2021 ging der Fall der Stadtwerke Wismar durch die Medien. Laut eigenen Angaben wurde die Stadtwerke Opfer eines Hacker-Angriffs. Nach Bekanntwerden des Angriffs haben die Stadtwerke die Netzverbindungen nach Außen und zu den technischen Anlagen getrennt. Die betroffenen Systeme wurden abgeschaltet und isoliert. Der Service der Stadtwerke war daher nur im Notbetrieb arbeitsfähig. Der Ransomware-Angriff sei dann der Polizei sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet worden. Außerdem zog die Stadtwerke einen externen Cybersicherheitsexperten zur Aufklärung und Unterstützung hinzu.

Wie verhalte ich mich beim Ransomware-Angriff?

Wenn es passiert ist: Soll ich zahlen? Nein, denn niemand weiß, ob die Erpresser nach der ersten Zahlung nicht noch mehr Geld verlangen. Am besten ist die richtige Vorsorge. Deshalb haben wir Ihnen 5 Tipps gegen Ransomware-Angriffe zusammengestellt:

1. Tipp: Halten Sie Ihre Geräte aktuell

Windows-Updates kommen während der Arbeitszeit meist ungelegen, dennoch sollten Sie diese regelmäßig und zeitnah nach dem Release durchführen. So verhindern Sie, dass Sicherheitslücken entstehen. Oder sie regeln die Updates der einzelnen Mitarbeiter-Computer gebündelt über die IT-Abteilung.

2. Tipp: Schulen, schulen, schulen!

Ja, in der Theorie wissen die meisten Mitarbeiter, dass sie auf keine E-Mail-Links und Anhänge von fremden Absendern klicken sollen. Aber was, denn die Ransomware oberflächlich gut getarnt als Absender mit der Rechnung des Kooperationspartners im Posteingang eintrudelt? Dann muss man schon zweimal hingucken, um eventuell die fragwürdige Absendemailadresse zu identifizieren. Also: Schulen und sensibilisieren Sie ihre Mitarbeiter regelmäßig.

3. Tipp: Regelmäßige Back-Ups

Wenn Sie regelmäßige Back-Ups der internen Server bzw. von wichtigen Mitarbeiter-Computern durchführen, dann klingt auch eine Drohung von Ransomware-Angreifern nicht mehr so einschüchternd. Dennoch: Bitte beachten Sie, dass sie regelmäßig überprüfen sollten, ob Sie die durchgeführten Back-Ups auch problemlos wiederherstellen können.

4. Tipp: Redundante IT-Systeme

Bauen Sie Ihre IT-Systeme so auf, dass geschäftskritische Prozesse auch weiterlaufen können, wenn eines Ihrer Systeme mit einer Ransomware infiziert ist.

5. Tipp: Zugriffsrechte kritisch prüfen

Eine technische und organisatorische Maßnahme (TOM) kann sein, die Zugriffsrechte auf geschäftskritische Anwendungen, Daten und Services stark zu reglementieren. Je weniger Personen Zugriff auf diese wichtigen Unternehmens-Assets haben, desto unwahrscheinlicher ist es, dass sie infiziert werden.

Wir hoffen, dass wir Ihnen mit den 5 Tipps ein paar Anregungen geben konnten und Sie so vor solchen Attacken verschont bleiben. Wenn Sie Ihr Informationssicherheits-Management (ISM) samt IT-Sicherheits-Management und Asset-Management digitalisieren wollen, dann unterstützen wir Sie gerne dabei. Beispielsweise mit unserem browserbasierten GRC-COCKPIT. Mit dieser Software können Sie Ihr ISM nach BSI IT-Grundschutz digital aufbauen.

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheitsmanagementsystems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit:  daniel.strassberger@saviscon.de

 

3 Tipps für Ihre Informationssicherheits-Leitlinie

Was muss rein in die IS-Leitlinie?

von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH

Die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) erfordert vor allem eines: viele Dokumente. Prozesse müssen ausgearbeitet und Verfahrensregeln sowie Richtlinien müssen erstellt werden. Der Satz „Die Organisation muss dokumentierte Informationen […] aufbewahren“ ist auf jeder Seite der DIN ISO 27001 Norm mehrfach zu finden. Das mit Abstand wichtigste Dokument ist dabei die Informationssicherheits-Leitlinie, in der ISO etwas befremdlich mit Informationssicherheits-Politik definiert. Im Folgenden möchte ich den Prozess zum Erstellen unserer SAVISCON IS-Leitlinie erläutern. Was muss in einer solchen Leitlinie enthalten sein und welche Besonderheiten sind zu beachten?

Die Informationssicherheits-Leitlinie

Eine Anforderung der ISO-Norm 27001 und somit auch des BSI IT-Grundschutzes, ist die Erstellung und Herausgabe einer Informationssicherheits-Leitlinie. Explizit wird dabei gefordert, dass die Herausgabe durch die oberste Leitung erfolgt. Natürlich muss letztendlich alles im Zuge der Informationssicherheit durch die oberste Leitung legitimiert werden, der Informationssicherheitsbeauftragte (ISB) hat nach dem Verständnis der ISO-Norm keine Entscheidungsgewalt. Anders als bei den meisten Dokumenten, sollte die oberste Leitung bei der Erstellung der IS-Leitlinie aber aktiv mitwirken. Die Leitlinie ist als Grundstein der Informationssicherheit der Organisation zu verstehen. Sie stellt ein Rahmenwerk dar und umreißt die strategischen Ziele, die eine Organisation mit Hilfe von Informationssicherheit erreichen möchte.

Was gehört in die IS-Leitlinie?

Die Anforderungen zur IS-Leitlinie sind im Normenkapitel 5.2 „Politik“ der ISO 27001 festgelegt:

Unter Punkt a) wird verlangt, dass die Leitlinie „de[m] Zweck der Organisation angemessen ist“. Hier sind die Überlegungen zum Kontext der Organisation gefragt, insbesondere der Geltungsbereich sollte explizit beschrieben werden. Des Weiteren sollte die oberste Leitung klarstellen, welchen Stellenwert Informationssicherheit in der Organisation haben soll. Wichtig ist auch, dass sich die gesamte Organisation, einschließlich der obersten Leitung und aller Mitarbeiter, zur Informationssicherheit bekennt und diese als gelebten Prozess in die Unternehmenskultur integriert. Hier soll der obersten Leitung eine Vorbildrolle zugesprochen werden, denn Informationssicherheit bedarf möglicherweise einiger Umstrukturierungen und Anpassungen. Angestellte werden zum Beispiel möglicherweise ihr Passwort besser auswählen und häufiger ändern, wenn sie wissen, dass der Chef dies auch umsetzt.

Punkt b) betrifft die Sicherheitsziele, also normalerweise Vertraulichkeit, Verfügbarkeit und Integrität. Diese Sicherheitsziele müssen in der Leitlinie explizit dargestellt werden. Sollte Ihre Organisation sich entscheiden weitere Sicherheitsziele zu formulieren, müssen diese ebenfalls in die Leitlinie aufgenommen werden.

Screenshot Sicherheitsziele der SAVISCON IS-Richtlinie.

So sieht der Abschnitt in der SAVISCON IS-Leitlinie aus.

Punkt c) ist der umfangreichste Punkt. Hier wird „eine Verpflichtung zur Erfüllung zutreffender Anforderungen mit Bezug zur Informationssicherheit“ gefordert. Die vorher definierten Sicherheitsziele müssen durch entsprechende Maßnahmen fortwährend eingehalten werden. Letztendlich handelt es sich dabei um das zu implementierende Informationssicherheits-managementsystem. Umreißen Sie daher wie das ISMS in Ihrer Organisation aussehen soll, zum Bespiel welche Befugnisse und Aufgaben der ISB bekommt und wie der Prozess der Informationssicherheit in Ihr Unternehmen integriert wird. Stellen Sie klar, dass Ihre Mitarbeiter ein elementarer Bestandteil der Informationssicherheit sind und sie daher sowohl Verantwortung übernehmen müssen, als auch von der obersten Leitung, zum Beispiel durch Schulungen, unterstützt werden. Wenn Sie schon ein Risiko- bzw. Compliance-Management oder ein Konzept dafür haben, könnte die Leitlinie beschreiben, wie diese Prozesse mit der Informationssicherheit verbunden werden.

Zum Schluss fordert Punkt d) „eine Verpflichtung zur fortlaufenden Verbesserung“. Informationssicherheit wird heutzutage zum großen Teil durch die IT-Sicherheit geprägt (siehe Blogpost Informationssicherheit vs. IT-Sicherheit). Durch die sich rasch verändernden Technologien und damit auch neue Arten von Schwachstellen und Angriffen müssen Sie ihr Informationssicherheitsmanagementsystem ständig auf dem neuesten Stand halten. So werden Sie auch Ihr ISMS selbst untersuchen und gegebenenfalls verbessern, falls die von Ihnen gewählten Maßnahmen nicht wirken oder nicht richtig umgesetzt werden. In der Leitlinie müssen Sie sich also zu einem kontinuierlichen Verbesserungsprozess bekennen und kurz beschreiben, wie sie diesen Prozess umsetzen wollen.

Zum Schluss folgt die Legitimation durch die oberste Leitung, mit der die Leitlinie in Kraft tritt. Zudem können Sie hier darauf hinweisen, dass die Leitlinie allen relevanten Parteien bekannt zu geben ist, dies ist eine weitere Anforderung der ISO-Norm.

Erstellen der Leitlinie

Nachdem wir nun einen guten Überblick erhalten haben, was in der Leitlinie stehen soll, geht es darum eine für Ihre Organisation geeignete Leitlinie zu erstellen.

Mein erster Tipp: Erfinden Sie das Rad nicht neu. Viele Unternehmen veröffentlichen Ihre Leitlinie im Zuge der Bekanntmachung und es gibt eine Menge Schulungsmaterialien frei erhältlich im Internet. Lassen Sie sich inspirieren und identifizieren sie die Aspekte, die zu Ihrem Unternehmen passen. Sehr wichtig ist auch die Kommunikation mit Ihrer Geschäftsführung, wie bereits gesagt, ist die Leitlinie vorrangig auch ein Bekenntnis der obersten Leitung zur Informationssicherheit. Ich habe mehrmals mit unserem Geschäftsführer gesprochen, um die Prioritäten zu erfassen. Daraufhin habe ich einen Entwurf erstellt und diesen dann meinem Chef vorgestellt. Im weiteren Austausch habe ich die Leitlinie mehrmals angepasst, bis wir schließlich zu einem Ergebnis gekommen sind.

Daher mein zweiter Tipp: Scheuen Sie sich nicht, erstmal etwas zu schreiben und es dann später zu verändern. Die Leitlinie, die Sie letztendlich veröffentlichen, werden Sie wahrscheinlich irgendwann anpassen müssen, wenn sich Ihr Unternehmen weiterentwickelt. Genau wie das ISMS an sich, unterliegt auch die Leitlinie einem Veränderungszyklus. Gerade vor der ersten Veröffentlichung wird das Dokument daher mehrere Iterationen durchlaufen.

Mein letzter Tipp: Halten Sie Ihre Leitlinie so kurz und prägnant wie möglich. Sie soll nur ein Rahmenwerk bzw. Fundament darstellen. Versteifen Sie sich nicht zu sehr auf Details. Insbesondere können Sie zu diesem Zeitpunkt noch nicht exakt abschätzen, wie das ISMS nachher aussehen wird. Bleiben Sie daher bei generellen Vorgaben. Außerdem ist die Leitlinie ein Dokument, das von Ihren Mitarbeitern und möglicherweise externen Parteien gelesen und idealerweise verinnerlicht werden soll. Dies erreichen Sie möglicherweis eher, wenn die Leitlinie nicht zu lang ist.

Fazit

Mir persönlich hat das Erstellen unserer Informationssicherheitsleitlinie viel Spaß gemacht, immerhin stellt die Veröffentlich einen ersten richtigen Schritt auf dem langen Weg zur Einführung unseres ISMS dar. Ich hoffe meine Erfahrungen können Ihnen bei der Erstellung Ihrer eigenen Leitlinie helfen. Ziehen Sie auch immer wieder die ISO 27001 zu Rate und vergleichen Sie den Inhalt Ihrer Leitlinie mit den Vorgaben. Dann werden Sie sicher zu einem zufriedenstellenden Ergebnis kommen.

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheitsmanagementsystems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit:  daniel.strassberger@saviscon.de

Informationssicherheit vs. IT-Sicherheit:

Wo liegt der Unterschied?

von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH

Im Zuge der fortschreitenden Vernetzung und Digitalisierung nimmt die Informationssicherheit (IS) eine immer bedeutendere Rolle ein. Grade jetzt, während der Corona-Pandemie, haben viele Unternehmen, zumindest teilweise, auf Arbeit aus dem Homeoffice umgestellt. Das hat zur Folge, dass viele Geschäftsdaten nicht nur intern vor Ort, sondern auch über das Internet übertragen werden. Zudem haben mehrere medial viel diskutierte Ransomware-Angriffe in letzter Zeit gezeigt, welche gravierenden Auswirkungen der Verlust von Informationen haben kann.

Um die eigenen Geschäftsprozesse, aber auch die personenbezogenen Daten der Mitarbeiter und Kunden zu schützen, bietet es sich also an entsprechende Maßnahmen zu implementieren. Dabei tauchen vorrangig zwei Begriffe auf: Informationssicherheit und IT-Sicherheit. Da mag man sich fragen: Wo liegt der Unterschied?

Definition Informationssicherheit

Um einen Vergleich vornehmen zu können, schauen wir uns zunächst die beiden Begriffe etwas näher an. Das Bundesamt für Sicherheit in der Informationstechnik definiert im IT-Grundschutz Standard 200-1 die Informationssicherheit wie folgt:

„Informationssicherheit hat das Ziel, Informationen jeglicher Art und Herkunft zu schützen.“

Der klassische Ansatz dabei ist die Definition von Sicherheitszielen (auch Schutzzielen), üblicherweise sind das zunächst Vertraulichkeit, Integrität und Verfügbarkeit. Man möchte also verhindern, dass unberechtigte Personen auf Informationen zugreifen, sie verändern oder entwenden. Wichtig bei dem Zitat ist das Wort „jeglicher“. Informationen liegen nicht nur auf Servern oder Festplatten, sondern auch in Aktenordnern und besonders in den Köpfen von Menschen. Außerdem sind Informationen nicht nur Rezepte, Quellcode oder Steuernummern, auch das (Fach-) Wissen der Mitarbeiter sind wertvolle Informationen.

Definition IT-Sicherheit

Das BSI definiert IT-Sicherheit wie folgt:

„IT-Sicherheit als Teilmenge der Informationssicherheit konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.“

Da haben wir es also: IT-Sicherheit ist ein Teilbereich der Informationssicherheit. Da heutzutage die meisten Informationen in elektronischer Form gespeichert sind, ist das Absichern von Servern, Netzwerken und Computern ein sehr wichtiger Aspekt. Daher wird oft generell von IT-Sicherheit gesprochen, das macht sich auch bei der Bezeichnung IT-Grundschutz bemerkbar, obwohl es sich dabei um ein Informationssicherheitsmanagementsystem (ISMS) handelt. Außerdem hat IT-Sicherheit zwei Silben weniger, wohl auch ein Grund, weshalb dieser Begriff gerne synonym zur Informationssicherheit verwendet wird.

IT-Sicherheit in der Praxis

Wir wissen nun, dass Informationssicherheit und IT-Sicherheit unterschiedliche Bedeutungen haben, aber wie wirken sich die beiden Konzepte in der Praxis aus? Wenn ein Unternehmen daran interessiert ist, seine Informationen zu schützen, bietet es sich natürlich zunächst an zur IT-Abteilung zu gehen und sie damit zu beauftragen Passwörter einzurichten, Datenbanken zu verschlüsseln und die Zugriffe zu überwachen. Hier sieht man, dass IT-Sicherheit vorrangig technische Kenntnisse benötigt. Das Unternehmen hat so zwar einige Maßnahmen umgesetzt, aber zum ersten ist nur ein kleiner Teilbereich der IT abgesichert und zum zweiten fehlt der systematische Aufbau. Wie kann das Unternehmen sicher sein, nichts vergessen zu haben? Sind diese Maßnahmen in sechs Monaten noch gut genug?

Informationssicherheit in der Praxis

Bei der Informationssicherheit muss das Unternehmen als Ganzes betrachtet werden – oder zumindest ein klar definierter Teilbereich. Das wird dann als Geltungsbereich oder Informationsverbund bezeichnet. Außerdem sind Informationen nicht nur Bits und Bytes, sondern, wie wir weiter oben bereits festgestellt haben: „Informationen jeglicher Art und Herkunft“. Jedes Unternehmen muss erst einmal feststellen, welche Informationen wichtig sind, wo werden sie gespeichert, über welche Kanäle werden sie kommuniziert? Dazu muss die eigene Organisation abgebildet werden. Dazu wird üblicherweise mit dem Top-Down-Ansatz gearbeitet: Was sind die Hauptgeschäftsfelder, welche IT-Systeme werden genutzt, welche Programme laufen darauf? Werden die Dienste von Cloud-Anbietern genutzt, sind diese vielleicht sogar außerhalb der EU ansässig? Unterliegen Sie aufgrund Ihrer Geschäftstätigkeit bestimmten rechtlichen Anforderungen? Diese Überlegungen sind der Grundstein für erfolgreiches Arbeiten in der Informationssicherheit. Denn nur wenn Unternehmen ihre Organisation kennen, können Sie sie überhaupt erst richtig absichern.

Screenshot GRC-COCKPIT Asset Übersicht

Übersichtliche, grafische Darstellung aller Assets eines Unternehmens in unserem GRC-COCKPIT.

Persönliche Erfahrung als Informationssicherheitsbeauftragter

Anschließend brauchen Sie ein System, um die verschiedenen Abteilungen und möglicherweise die einzelnen Standorte Ihres Unternehmens zu koordinieren. Dabei wird auch schnell klar: Informationssicherheit kann nicht einfach als Glaskugel über eine Organisation gesetzt werden. Vielmehr muss sie ein Teil Ihrer Unternehmenskultur werden. Der Informationssicherheitsbeauftragte braucht die Unterstützung aller Mitarbeiter, eine gute Zusammenarbeit mit den Fachbereichsleitungen und nicht zuletzt auch Ressourcen und Bestärkung durch die Geschäftsführung.

Ein solches Informationssicherheitsmanagementsystem kann sehr umfangreich sein und erfordert besonders am Anfang eine Menge Dokumentations- und Vorbereitungsaufwand auf strategischer Ebene. Auch im laufenden Betrieb kann es sehr schnell unübersichtlich werden. Uns hilft das GRC-COCKPIT dabei den Überblick über alle Informationen und Abhängigkeiten zu behalten.

Screenshot GRC-COCKPIT Detailansicht Assets

Alles auf einen Blick: Risiken, Maßnahmen & Verknüpfungen in unserem GRC-COCKPIT.

Fazit

Informationssicherheit wird in der heutigen digitalen Landschaft nicht ohne IT-Sicherheit auskommen. Trotzdem ist es meiner Meinung nach wichtig die beiden Konzepte strikt voneinander zu trennen, denn sie brauchen ganz unterschiedliche Kenntnisse und stellen einen vor unterschiedliche Herausforderungen. Natürlich hilft es als Informationssicherheitsbeauftragter zumindest oberflächliche Erfahrung mit den technischen Aspekten der IT-Sicherheit zu haben, allein um die Kommunikation mit der IT zu erleichtern. Aber wenn Sie mich fragen, ob ich Informationssicherheit oder IT-Sicherheit mache, dann kann ich Ihnen eine klare Antwort geben: Bei IT-Sicherheit sammle ich weiter Erfahrungen, meine Umsetzung des ISMS bei der SAVISCON GmbH dagegen macht sehr gute Fortschritte. Dazu mehr in einem unserer nächsten Blog-Beiträge aus dem Projekt GRC@SAVISCON.

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheitsmanagementsystems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit:  daniel.strassberger@saviscon.de

GRC@SAVISCON: IT-Sicherheit

Schutzbedarfsfeststellung – und jetzt?

von Ingo Simon, Geschäftsführer bei der SAVISCON GmbH

Im letzten Beitrag aus unserer Reihe GRC@SAVISCON hat Uwe Straßberger über Risikobewertungen geschrieben. Jetzt geht‘s wieder um die IT-Sicherheit. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance– und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: IT-Sicherheit.

IT-Sicherheit: Sprint oder Marathon?

In unserem letzten Beitrag zum Thema IT-Sicherheit haben wir bereits beschrieben, wie wir unsere Assets gesammelt und in eine grobe Struktur gebracht haben. Inzwischen konnten wir unsere IT-Landschaft inklusive aller gehosteten Systeme ins GRC-COCKPIT aufnehmen und dokumentieren. Bis wir eine für uns handhabbare Struktur gefunden und die einzelnen Assets in diese Struktur einsortiert haben, hat es allerdings ein wenig gedauert. Die Diskussionen dazu waren nicht immer einfach – jeder hat seine individuelle Sicht auf die Dinge und sortiert bzw. verknüpft die Assets im Kopf anders. Wir haben nun eine Asset-Sicht, mit der wir erst einmal arbeiten wollen und die gut in unserem GRC-COCKPIT zu visualisieren ist. Wieder einmal haben wir festgestellt: IT-Sicherheit ist ein Prozess, der sich auf dem Weg weiterentwickelt. Also definitiv ein Marathon und kein Sprint.

Schutzbedarfsanalyse nach BSI

Auf der Basis unserer Asset-Struktur haben wir dann den Schutzbedarf der einzelnen Assets analysiert und dokumentiert. Dazu orientierten wir uns an den drei Standard-Grundwerten des Bundesamts für Sicherheit in der Informationstechnik (BSI): Vertraulichkeit, Integrität und Verfügbarkeit. Im GRC-COCKPIT können noch weitere Grundwerte selbst konfiguriert werden, aber wir haben uns erst einmal auf diese drei beschränkt. Eine Herausforderung liegt darin, den Schutzbedarf nicht nur aus dem Bauch heraus mit „normal“, „hoch“ oder „sehr hoch“ zu kategorisieren, sondern auch eine sinnvolle Begründung zu ergänzen, die die Auswahl der eingetragenen Kategorie rechtfertigt bzw. erläutert.

Beispiel Schutzbedarfsfeststellung

Am Beispiel der Fritz!Box im Büro kann man das gut erläutern: Für den Grundwert Verfügbarkeit trugen wir zu Beginn ein „sehr hoch“ ein. Schließlich braucht man ja im Office ein funktionierendes LAN/WLAN. Aber dann fiel uns auf, dass bei einem Ausfall eigentlich immer mit einem mobilen Gerät, also Handy oder Tablet, ein Backup zur Verfügung steht, mit dem ich in LTE-Geschwindigkeit auch mobil die Verbindung nach außen habe. Damit reicht für die Fritz!Box auch eine Verfügbarkeit „hoch“ oder sogar „normal“, weil die MitarbeiterInnen ohnehin derzeit im Homeoffice arbeiten. Zumindest hier im Hamburger Stadtgebiet. Auf dem Land sieht das möglicherweise ganz anders aus und die Standleitung ist da tatsächlich der heiße Draht zur Außenwelt.

Screenshot aus dem GRC-COCKPIT

Blick ins GRC-COCKPIT: So haben wir die Schutzbedarfsfeststellung für unseren FRITZ!Box Router im Büro umgesetzt.

Ach ja, Stichwort Homeoffice: Das muss natürlich bei der Schutzbedarfsanalyse mit einbezogen werden. Wir haben das unter den Standorten miterfasst und die Ausrüstung ist auch jeweils abgebildet, da bei uns jeder seinen eigenen Laptop hat, mit dem er oder sie auch im Homeoffice arbeitet.

Schutzbedarf festgestellt – und jetzt?

Was passiert als nächstes? Wir weichen da in der Reihenfolge ein wenig von der Vorgehensweise des BSI ab. In der aus unserer Sicht großartigen Arbeitshilfe des BSI, in dem am Beispiel der virtuellen RECPLAST GmbH die IT-Grundschutz Methodik von Anfang bis Ende durchgeführt wird, folgt nach der Schutzbedarfsfeststellung die sogenannte Modellierung des Unternehmens. Dort wird auf Basis der dokumentierten Assets geschaut, welche Anforderungen, aus welchen der zehn IT-Grundschutzbausteinen für das Unternehmen überhaupt zutreffen. Das ist notwendig, um dann schlank weiter in die Risikoanalyse zu gehen.

Wir haben uns entschieden, einen anderen Schritt vorzuziehen: Für alle Assets mit der Kategorie „sehr hoch“ in einem oder mehreren Grundwerten, dokumentieren wir erst einmal die Maßnahmen, die wir sowieso schon durchführen oder geplant haben, um entsprechend sicher unterwegs zu sein. So haben wir selbstverständlich das Standardpasswort der Fritz!Box bei Inbetriebnahme geändert. Die Durchführung der Maßnahme wollen wir im GRC-COCKPIT entsprechend dokumentieren. Denn in der Regel ist es ja so, dass schon eine Menge Maßnahmen etabliert sind, die man erst einmal einsammeln und aufschreiben muss. Das spart am Ende dann Arbeit.

…to be continued:

Hier die Zusammenfassung unserer Erkenntnisse:

  • Diskussionen sind wichtig: geben Sie ihnen Zeit und Raum, um eine zufriedenstellende Asset-Sicht auszuarbeiten
  • IT-Sicherheit ist ein Marathon und kein Sprint
  • Nicht immer ist der Schutzbedarf so hoch, wie man ihn im ersten Moment einschätzt
  • Die Arbeitshilfen des BSI sind großartig, jedoch nicht in Stein gemeißelt – man kann die Schritte flexibel den eigenen Bedürfnissen anpassen
  • Es kann sinnvoll sein die bereits bestehenden und geplanten Maßnahmen vorab zu sammeln

Im nächsten Blog-Beitrag schauen wir gemeinsam in das Projekt Compliance-Management: GoBD – was hat sich geändert?

Über den Autor:

Foto Ingo Simon

Ingo Simon (Geschäftsführer SAVISCON GmbH)

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de

IT-Sicherheit im krisenbedingten Homeoffice

Mit dem BSI IT-Grundschutz gut gerüstet

von Ingo Simon, Geschäftsführer bei der SAVISCON GmbH

Durch die Corona-Krise ist die Zahl der Arbeitnehmer im Homeoffice signifikant angestiegen. Eine aktuelle Studie des ifo Instituts hat herausgefunden, dass im Februar 2021 rund 30 Prozent der deutschen Arbeitnehmer zumindest zeitweise im Homeoffice gearbeitet haben. Und noch ist kein Ende in Sicht: Am 3. März haben sich Bund und Länder auf eine Verlängerung des Homeofficegebots bis zunächst Ende April 2021 geeinigt. Doch wie ist es um die IT-Sicherheit im Homeoffice bestellt? Der oftmals dürftige IT-Wissensstand der Homeoffice-Neulinge und die massenhafte plötzliche Umstellung auf das Arbeiten von zu Hause stellen Geschäftsführer und Chief Information Security Officer (CISO) vor besondere Herausforderungen bei der IT-Sicherheit. Denn auch und gerade in Krisenzeiten muss diese den Schutzzielen Vertraulichkeit, Verfügbarkeit und Integrität gerecht werden.

In diesem Beitrag zeigen wir einige Beispiele aus dem IT-Grundschutz auf, die zur IT-Sicherheit im Homeoffice beitragen.

Als erstes schauen wir auf den Baustein des Informations-Management Systems: ISMS.1.A7 Festlegung von Sicherheitsmaßnahmen sagt aus: Im Rahmen des Sicherheitsprozesses MÜSSEN für die gesamte Informationsverarbeitung ausführliche und angemessene Sicherheitsmaßnahmen festgelegt werden. Das gilt natürlich auch für das Homeoffice. Und das umso mehr für die Unternehmen, die Homeoffice bzw. Telearbeitsplätze bisher nicht im Repertoire hatten. Die nächste wichtige Anforderung kommt gleich danach: ISMS.1.A8 Integration der Mitarbeiter in den Sicherheitsprozess besagt: Alle Mitarbeiter MÜSSEN in den Sicherheitsprozess integriert sein, das heißt, sie müssen über Hintergründe und Gefährdungen informiert sein und Sicherheitsmaßnahmen kennen und umsetzen, die ihren Arbeitsplatz betreffen. Das kann in Form eines Homeoffice-Leitfadens geschehen, auf den wir noch genauer eingehen werden.

Vorbereitung und Ausrüsten des Homeoffice:

Wenden wir den Blick nun auf den Infrastruktur-Baustein des IT-Grundschutz. In INF.8: Häuslicher Arbeitsplatz sind die Bedingungen dafür definiert, wie der häusliche Arbeitsplatz aus Sicht der Infrastruktur aussehen soll. Im derzeitigen Krisenszenario ist das für die ad-hoc Homeoffice-Nutzer sicher kaum voraussetzbar, da es sich ja in der Regel nicht um einen sogenannten Telearbeitsplatz handelt, also die geplante Version des Homeoffice. Trotzdem sollten diese Anforderungen als Empfehlung Teil eines Homeoffice-Leitfadens sein.

Absicherung von Remote-Zugängen

Werden wir konkret: Es beginnt damit, dass sich ein Mitarbeiter in das heimische WLAN einloggt. Die Anforderung aus dem Baustein Netzwerke und Kommunikation sagt im Kapitel NET.4.1: TK-Anlagen in der Anforderung NET.4.1.A3, dass Standardpasswörter von WLAN Routern geändert werden MÜSSEN. Sollten Mitarbeiter im Homeoffice dies nicht berücksichtigen, stellt das ein wesentliches Sicherheitsrisiko dar und öffnet Türen für den Zugriff auf Unternehmensdaten und -ressourcen. Erst im Januar 2020 berichtet das amerikanische Tech-Portal ZDNet darüber, dass eine Liste mit über 500.000 Anmeldedaten von Geräten in einem Hackerforum veröffentlicht wurde. Helfen kann da auch die Umsetzung der Anforderung. NET.4.1.A4 Absicherung von Remote-Zugängen. Sie weist aus, dass die Zugriffe auf die Router geregelt werden sollten. Eine Anleitung, wie die heimische FRITZ!Box oder entsprechende Geräte dazu eingestellt werden sollten, passt auch gut in den Homeoffice-Leitfaden.

Datensicherhung im Homeoffice

In OPS.1.2.4.A4 Datensicherung bei der Telearbeit, wird die Notwendigkeit der Datensicherung bei der Telearbeit betont. Das ist umso wichtiger, falls der Arbeitgeber keine internen Geräte aufgrund von Lieferengpässen oder verfügbaren IT-Ressourcen bereitstellen konnte. Das dürfte bei vielen Kleinst- und Kleinunternehmen der Fall sein. Aber selbst im Umfeld unserer großen Kunden haben wir erlebt, dass durch Lieferengpässe keine Laptops in ausreichenden Mengen bereitgestellt werden konnten. Die Folge ist, dass die Mitarbeiter an ihren privaten PCs arbeiten müssen, wenn denn die Firma nicht betreten werden darf. Da ist die Datensicherung umso wichtiger.

Schutz vor Schadprogrammen

Außerdem wichtig ist dann auch der Schutz vor Schadprogrammen. Hier sieht der Baustein Betrieb in OPS.1.1.4.A3 die Auswahl eines Viren-Schutzprogrammes für Endgeräte vor. Sicher, in den allermeisten Firmen ist das auf den Firmenrechnern bereits umgesetzt, alles andere wäre grob fahrlässig. Aber wenn der Mitarbeiter mit dem privaten PC arbeiten muss, der ggf. auch noch in der Familie von mehreren Anwendern genutzt wird (Stichwort Homeschooling), ist der Firmenstandard nicht vorhanden. Wie auf dem Privatrechner agiert werden sollte, muss daher ebenfalls Teil des Homeoffice-Leitfadens sein.

Übrigens: Laut Umfrage des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) sichern gerade einmal 65 Prozent der Mitarbeiter im Homeoffice ihren Laptop mit einem Passwort ab und sogar nur 63 Prozent gaben an, einen geeigneten WLAN-Passwortschutz zu haben.

Risikofaktor Mitarbeiter

Bei Risikoszenarien spielt der „Faktor Mensch“ eine Rolle. Was für viele IT-Mitarbeiter trivial erscheinen mag, kann für einen IT-Neuling eine große Herausforderung darstellen. Deshalb ist es wichtig, dass Mitarbeiter bei IT-Themen auf Ihrem Kenntnisstand abgeholt und unterstützt werden. Das Ganze sollte in einem umfassenden Homeoffice-Leitfaden münden. Hier können neben den schon genannten Informationen weitere Anweisungen mitgegeben werden, z. B. wie darf der eigene Drucker genutzt werden? Wie entsorge ich Ausdrucke richtig – Stichwort Datenschutz? Auch eine Liste mit Rufnummern von Zuständigen, die bei IT-Problemen kontaktiert werden können, ist eine gute Idee.

Einen solchen Leitfaden für Mitarbeiter zu erstellen ist notwendig. Auch das kann aus dem IT-Grundschutz an mehreren Stellen ableiten: Im Baustein Organisation und Personal, Kapitel ORP.3: Sensibilisierung und Schulung gibt es die Anforderung für Einweisung des Personals in den sicheren Umgang mit IT (ORP.3.A3), ebenso wie die Installation eines Ansprechpartners zu Sicherheitsfragen (ORP.3.A2). Also zwei weitere wichtige Informationen für den besagten Leitfaden. Das sieht auch der Baustein Betrieb vor: OPS.1.2.4.A1 Regelungen für Telearbeit sagt u. a. aus: Alle relevanten Aspekte der Telearbeit MÜSSEN geregelt werden. Zu Informationszwecken MÜSSEN den Telearbeitern die geltenden Regelungen oder ein dafür vorgesehenes Merkblatt ausgehändigt werden, das die zu beachtenden Sicherheitsmaßnahmen erläutert […].

Auf der anderen Seite – die Firmen-IT:

Vielfach mussten in der Firmen-IT Lösungen aus dem Boden gestampft werden, um überhaupt den Zugang auf die Anwendungen und Systeme aus dem Homeoffice zu ermöglichen. Auch hier kann man aus dem IT-Grundschutz viele Anforderungen mitnehmen, z.B.: SYS.1.5.A2 Sicherer Einsatz virtueller IT-Systeme besagt: […] Weiterhin MÜSSEN die eingesetzten virtuellen IT-Systeme den Anforderungen an die Verfügbarkeit und den Datendurchsatz genügen. Im laufenden Betrieb MUSS die Performance der virtuellen IT-Systeme überwacht werden. Ein Großteil der leidgeprüften Anwender zu Hause wird hier sicher bereits die Erfahrung gemacht haben, dass das, vor allem am Anfang des Lockdowns, nicht eben gut funktioniert hat. Und das ist nur ein Beispiel, was Homeoffice für die Firmen-IT bedeutet.

Fazit

Im früheren normalen Unternehmensalltag haben Geschäftsführer und CISOs mehr Kontrollmöglichkeiten über die IT-Sicherheit gehabt, als das derzeit mit vermehrtem Homeoffice der Fall ist. In der Krise waren zu Beginn schnelle und pragmatische Lösungen gefragt. Aber Unternehmen müssen das Compliance-Management weiterhin im Blick behalten, da dieser Trend sicher noch Bestand haben wird: Es muss sichergestellt werden, dass Vertraulichkeit, Verfügbarkeit und Integrität von Informationen weiterhin gewährleistet sind und der Datenschutz berücksichtigt ist. Und wenn die Übergangslösungen bekannte Schwachstellen enthalten, müssen diese transparent sein und auch allen Mitarbeitern bewusst gemacht werden, um ein entsprechend umsichtiges Verhalten zu gewährleisten.

Weiterhin ist es ratsam, nachdem die Lösungen unter Druck geschaffen wurden, im Anschluss die Hausaufgaben zu machen. Es ist zu überprüfen, ob die Lösungen in das IT-Sicherheitskonzept passen, oder ob nachgebessert werden muss. Der Blick in die Anforderungen des IT-Grundschutz und den dazu passenden Maßnahmenkatalog aus den Umsetzungshinweisen sowie eine entsprechende Risikoabwägung hilft dabei. Wenn dann alles vernünftig, zusammenhängend und am besten in einem geeigneten System wie unserem SAVISCON GRC-COCKPIT dokumentiert ist, kann der CISO wieder ruhiger schlafen.

Das BSI hat dazu auch einen Leitfaden veröffentlicht: Zum BSI-Leitfaden

Über den Autor

Geschäftsführer Ingo Simon und Team im SAVISCON BüroIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Customer Communication Management und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de 

Step by step: GRC@SAVISCON

Wie wir unser IT-Sicherheits-Management aufsetzen

von Ingo SimonGeschäftsführer bei der SAVISCON GmbH 

Nachdem wir in unserem letzten Blog-Beitrag „No Risk – more fun!“ der Reihe GRC@SAVISCON über den Start unseres Risiko-Managements berichtet haben, soll es heute um die IT-Sicherheit gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-ManagementIT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: IT-Sicherheit. 

IT-Sicherheit: Wo fangen wir an? 

Wie auch beim Risiko-Management brauchen wir bei SAVISCON uns nicht extra der Unterstützung der Geschäftsleitung zu versichern. Das ist ja qua Persona schon gegeben. Aber klar ist: In anderen Unternehmen muss man die Rückendeckung der Unternehmensleitung haben, um die benötigten Ressourcen für die Durchführung des Projekts einfordern zu können. Bei uns kann es also losgehen. 

Noch eine Anmerkung: Im IT-Grundschutz Baustein ISMS Sicherheitsmanagement wird in der Anforderung ISMS.1.A3 eine Leitlinie zur Informationssicherheit und nach ISMS.1.A10 ein Sicherheitskonzept eingefordert, die anfangs erstellt und kommuniziert werden müssen. Das werden wir auch nicht vernachlässigen. Wir haben allerdings entschieden, die Fleißarbeit, wie in den nächsten Absätzen beschrieben, bereits zeitgleich anzugehen. In unserem Fall gehen wir davon aus, dass die Erkenntnisse aus der Strukturanalyse und Schutzbedarfsfeststellung eine gute Indikation darüber geben, was in den Leitlinien zu berücksichtigen ist. Für „unfertige“ Organisationsstrukturen, wie es in den bei uns vorherrschenden Umbruchzeiten gerade der Fall ist, halten wir das für ein sehr vorteilhaftes Vorgehen. Wir werden über die Erstellung der Leitlinien und Sicherheitskonzepte in zukünftigen Blog-Beiträgen berichten.

Klar ist außerdem, dass wir uns über die Tool-Auswahl keine Gedanken machen müssen, das GRC-COCKPIT ist als System für unser ISMS ja prädestiniert. Wir wollen das IT-Sicherheitsmanagement als Teil unseres GRC-Managements durchführen und haben so in einem System den Überblick über die gesamten Unternehmensrisiken und den Compliance-Status inklusive der IT-Sicherheit.

 Nun krempeln wir also die Ärmel hoch und fangen an. Als erstes gibt es drei Kernaufgaben, die erledigt werden müssen: Assets erfassen, diese gruppieren und Abhängigkeiten dokumentieren, sowie deren Schutzbedarf analysieren. 

Assets erfassen 

Was sind überhaupt Assets? Ins Deutsche übersetzt bedeutet das „Vermögenswerte im Unternehmen“. Diese Assets müssen nicht unbedingt reale Güter darstellen, sondern können auch nicht-reale Güter wie Wissen, Patente oder Lizenzen sein. Bei uns ist das zum Beispiel der Source Code unserer Produkte, die wir auch als Assets betrachten. Die sind schließlich eine Basis für unser Geschäftsmodell und somit besonders schützenswert, der ITGrundschutz spricht hier von den Kronjuwelen. Diese Betrachtung geht genau genommen über das Thema IT-Sicherheit hinaus, und fällt unter den Begriff Informationssicherheit. Es ist für uns jedoch eine bewusste Entscheidung, diese Assets in die Gesamtmethodik des IT-Grundschutz mit einzubinden. Ein weiteres, griffigeres Beispiel für Assets aus der IT-Sicherheit: Es gibt vermutlich in so ziemlich jedem Unternehmen mindestens einen Arbeitsplatz-PC oder Server, der Daten beinhaltet, die für das Unternehmen sehr wichtig sindDas können beispielsweise Kundeninformationen sein. Somit ist dieser PC oder Server ein Unternehmens-Asset, das für die IT-Sicherheit des Unternehmens relevant ist. 

Wo fängt man anwo hört man auf? 

Was sind Assets bei der SAVISCON GmbH, die unsere IT-Sicherheit betreffen? Das ist genau die Frage, die wir uns zu Beginn gestellt haben. Theoretisch muss man jedes IT-Gerät mit in die Assets aufnehmen und dort abbilden. Doch hier gilt es ein gesundes Maß zu finden, welche Geräte einzeln aufgenommen werden sollen und welche z. B. als Gruppe abstrahiert werden können. Führe ich jeden Laptop einzeln auf? Oder führe ich nur einen Laptop auf, der in der Schutzbedarfsanalyse als Prototyp für alle anderen steht. Diese Fragen lassen sich leider nicht pauschal für jedes Unternehmen beantworten. Daher kann man beliebig viel Zeit darauf verwenden ein Konzept zu entwickeln, welche Assets wie erstellt und gruppiert werden sollen und welche nicht. Oder:

Einfach loslegensammeln, strukturieren(aus)sortieren  

Man fängt einfach an! Unsere Erfahrung hat gezeigt, dass es wichtig ist einfach zu starten und die Assets festzuhalten, die uns gleich in den Sinn gekommen sindWir haben uns zum Beispiel entschieden alle Laptops einzeln zu erfassen, nicht „den Laptop“ als solches. Warum? Weil jeder Laptop in unserer übersichtlichen Organisation einem bestimmten Rolleninhaber gehört, der wiederum unterschiedliche Informationen mit dem Laptop bearbeitet. Fällt einer der Entwicklungs-Laptops aus, so dauert es eine längere Zeit, die gesamte Entwicklungsumgebung auf einem Ersatzgerät wieder einzurichten. Ein Consulting Laptop, der im Wesentlichen über Remote Zugriff die relevanten Informationen in den Kundenwelten verarbeitet, kann ich im Prinzip mit jedem Gerät ersetzen, auf dem ein Citrix Receiver installiert werden kann. Damit unterscheidet sich die Anforderung an die notwendige Verfügbarkeit für diese Laptops. Deswegen erfassen wir alle Laptops einzeln. 

Screenshot der Asset Übersicht aus dem GRC-COCKPIT

Hier sehen Sie die Übersicht unserer Assets im GRC-COCKPIT.

Die erfassten Assets haben wir dann in eine grobe Struktur gebracht. Keine Sorge, wenn die zu Beginn etwas verwirrend aussieht. Das ist ganz normal und sie wird sich im Prozess vermutlich noch viele Male ändern. In unserem Prozess haben wir sogar nach und nach Assets wieder entfernt, verschoben oder sogar ihre gesamte Gruppierung verworfen, weil sie obsolet geworden sind. Das ist aber in unserem GRC-COCKPIT gar kein Problem. Wenn man das auf verteilten Excel-Listen versuchen würde, an denen mehrere MitarbeiterInnen arbeiten, wäre die Koordination der Änderungen sehr viel aufwändiger und fehleranfällig. 

Für uns als Software-Unternehmen sind die folgenden Assets relevant: Gebäude und Räume, IT-Geräte, Lizenzen, gemietete Server, Produktions- oder auch Testinstanzen, die wir unseren Kunden zur Verfügung stellen. Beim Erstellen mehrerer Assets haben wir diese nach Typen aufgeteilt und gruppiertZur Ableitung der Schutzbedarfe haben wir dann die Abhängigkeiten von Assets zu anderen Assets hergestellt, indem wir sie im GRC-COCKPIT miteinander verknüpft haben. Die Abhängigkeiten sind nach IT-Grundschutz Methodik: „Nötig für“ bzw. „Benötigt“ oder „Befindet sich in“ bzw. „Beinhaltet“

Screenshot der Abhängigkeiten aus dem GRC-COCKPIT

Blick ins GRC-COCKPIT: So werden die Abhängigkeiten für Assets dargestellt.

An dieser Stelle merkt man bereits, ob man sich mit der Struktur wohl fühlt und ob sich Assets bzw. Gruppierungen noch nicht so rund anfühlen. In diesem Fall kann man versuchen ein Asset aufzusplitten oder mehrere zusammenzufassen. Wir haben festgestellt, dass die Identifizierung von Assets sehr gut in einer Gruppe funktioniert, da jeder eine andere Sicht auf die Dinge hat und man diskutieren kann, welche Assets aufgenommen werden sollten und warum. Aus den unterschiedlichen Perspektiven konnten wir häufig weitere Assets ableiten, die wir direkt in unser GRC-COCKPIT aufgenommen haben.  

Schutzbedarf feststellen 

Für alle Assets muss dann der Schutzbedarf festgestellt werden. In der Diskussion darüber kommt man meist zwangsläufig zu Ideenwelche geeigneten Maßnahmen sich für das Asset ableiten lassenHierbei wird jeder eine etwas andere Meinung haben, welche Assets besonders schützenswert sind und warum. Auch hier keine Scheu zeigeneinfach starten und die Assets bewerten. Zu Beginn haben wir eher „vorsichtiger bewertet, sprich den Schutzbedarf höher angesetzt. Denn wir können die Bewertung im Laufe der Zeit noch etwas abschwächen, wenn wir neue Erkenntnisse gewonnen haben. Während der Schutzbedarfsfeststellung haben wir uns schon gleich die Fragen gestellt: Welche Assets sind besonders schützenswert? Warum? Was können wir tun, um dem Schutzbedarf gerecht zu werden? 

Screenshot der GRC-COCKPIT-Funktion Schutzbedarfsfeststellung

Auf dieser Abbildung ist die GRC-COCKPIT-Funktion Schutzbedarfsfeststellung zu sehen.

Maßnahmen ableiten 

Mit den Antworten auf die Fragen aus der Schutzbedarfsanalyse fällt es uns leicht mögliche Maßnahmen abzuleiten. Wenn beispielsweise ein Arbeits-Laptop besonders schützenswert ist, da er wichtige Daten enthält, so könnten sich bezüglich des Schutzbedarfes für die Vertraulichkeit die Maßnahme Festplatten verschlüsseln anbieten, sowie für die Verfügbarkeit die Maßnahme regelmäßige Backups erstellen. Wir werden darüber in den folgenden Blog-Beiträgen noch ausführlicher berichten.

Denn auch hier ist es wichtig, einen Schritt nach dem anderen zu gehen. Solange die Assets nicht erfasst und die Schutzbedarfe nicht fertig analysiert sind, sollte man sich davor hüten, schon in die Dokumentation der Maßnahmen abzudriften. Sonst läuft man Gefahr, sich zu verrennen. Deswegen erst die Strukturanalyse und Schutzbedarfsfeststellung beenden, dann erst die Risikobetrachtung und die Maßnahmen angehen. Oft ergeben sich Ideen zu Risiken und Maßnahmen in der gemeinsamen Diskussion. Dann muss man sich aber disziplinieren und den Schritt zurück machen, um, wie oben beschrieben, die ersten Schritte erst einmal vollständig abzuarbeiten. 

 to be continued: 

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse aus dem Projekt IT-Sicherheit:  

  • Einfach erst einmal anfangen alle Assets zu sammeln, (aus)sortieren kann man in einem späteren Schritt noch immer 
  • Die gesammelten Assets typisieren und gruppieren 
  • Danach die Abhängigkeiten der Assets voneinander dokumentieren 
  • Der nächste Schritt ist die Festlegung des Schutzbedarfs  
  • Wichtig: Sparringspartner suchen! in der Diskussion in Gruppen ergeben sich wichtige Erkenntnisse und differenziertere Sichten über relevante Assetspotenzielle Gruppierungen und Schutzbedarfe 
  • Bei der Schutzbedarfsfeststellung zu Beginn den „Worst Case“ annehmen – abschwächen geht immer noch 
  • Nicht scheuen auch mal einen Schritt zurück zu gehen, um zwei voran zu kommen! 

Im nächsten Blog-Beitrag der Reihe schauen wir gemeinsam mit unserer internen Datenschutzbeauftragten Karin Selzer in das Projekt Datenschutz: Los geht‘s: Wie wir den Datenschutz intern umsetzen.

Über den Autor: 

Foto Ingo Simon

Ingo Simon (Geschäftsführer SAVISCON GmbH)

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de