News

Auf dieser Seite lesen Sie News zu den Themen Risiko-Management, Compliance-Management, IT-Sicherheit und Datenschutz.

BSI Lagebericht 2021: 22 Prozent mehr Schadprogramm-Varianten

Das ist die aktuelle Lage der IT-Sicherheit in Deutschland

Am Donnerstag, 21. Oktober 2021, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den aktuellen Lagebericht zur IT-Sicherheit in Deutschland veröffentlicht. Arne Schönbohm (BSI-Präsident) und Horst Seehofer (Bundesminister des Innern, für Bau und Heimat) haben in der Bundespressekonferenz die wichtigsten Erkenntnisse vorgestellt:

22 Prozent mehr Schadprogrammvarianten

Die Cyberangriffe haben im Jahr 2021 deutlich zugenommen. So gab es beispielsweise 22 Prozent mehr Schadprogramm-Varianten als noch 2020. Außerdem werden die Cyberangriffe immer ausgefeilter und betreffen Bereiche, die für die Gesellschaft elementar sind, so Seehofer. Damit meint er vor allem die Energieversorger und das Gesundheitswesen. So habe im Berichtszeitraum ein Angriff auf die EMA stattgefunden, bei dem Daten gestohlen und danach manipuliert veröffentlicht wurden. Es handelte sich dabei um Informationen zu den COVID-19 Impfstoffen von Biontech und Pfizer. „Cybersicherheit betrifft uns alle, wir alle können Schaden davontragen“, sagte Seehofer.

Professionalisierung der Cyberkriminalität

Ein weiteres Problem stelle die zunehmende Professionalisierung von Cyber-Kriminellen dar. Die Akteure spezialisieren sich auf eine Angriffsmethode und bieten sie im Darknet an. Die Zahl der monatlichen Daten-Leak-Seiten, den Seiten, auf denen die geklauten Daten veröffentlicht werden, ist laut BSI-Lagebericht um 360 Prozent gestiegen. Jede einzelne dieser Daten-Leak-Seiten enthalte Millionen gestohlener Datensätze. Im Februar 2021 haben die Angreifer die höchste, bisher gemessene Anzahl an neuen Schadprogramm-Varianten erstellt: 553.000 neue Varianten pro Tag. Insgesamt wurden im Berichtszeitraum rund 114 Millionen neue Schadprogramm-Varianten festgestellt.

Lieferketten absichern

Im weiteren Verlauf der Pressekonferenz betonte Schönbohm, dass die Absicherung entlang der Lieferkette wichtig ist. Die steigende Vernetzung stelle eine Schwachstelle dar. Er führte den Fall einer schwedischen Supermarktkette an, dessen IT-Dienstleister von einem Ransomware-Angriff betroffen war. Dieser Angriff führte dazu, dass die Kassensysteme des Supermarktes nicht mehr funktionierten, die 800 Filialen vorübergehend schließen mussten und mehrere Millionen Euro Umsatz verloren gingen.

Wir als SAVISCON GmbH wollen mit unserem GRC-COCKPIT Unternehmen und Organisationen dabei unterstützen, unter anderem die Sicherheit entlang der Lieferkette zu dokumentieren. Dazu können die GRC-COCKPIT-Nutzer ihre Partner und Dienstleister im GRC-COCKPIT hinterlegen und mit Risiken und Maßnahmen verknüpfen.

Weitere Informationen:

Aufzeichnung der Pressekonferenz vom 21.10.2021

BSI Lagebericht 2021

Hinweisgeberschutzsystem: Vertraulichkeit wahren und geschützte Kommunikationswege bereitstellen

Digital und DSGVO-konform

Von Uwe Straßberger, Director Marketing & Sales bei der SAVISCON GmbH

Am 16. Dezember dieses Jahres läuft für die Bundesrepublik die Frist zur Umsetzung der EU-Whistleblower-Richtline 2019/1937 ab. Diese Richtlinie, die den besseren Schutz von Whistleblowern vorschreibt, ist bereits seit dem 16. Dezember 2019 in Kraft getreten. Da der Referentenentwurf des Bundesministeriums der Justiz über die Vorgaben der EU-Richtlinie hinausgeht, konnten sich die Koalitionspartner bisher noch nicht auf ein entsprechendes Gesetz verständigen. Doch auch wenn das Gesetzgebungsverfahren derzeit stillsteht, ist zu erwarten, dass das Gesetz Mitte Dezember 2021 in Kraft treten wird. Unternehmen mit mehr als 249 Mitarbeitern sind somit ab dem Stichtag 17. Dezember 2021 verpflichtet, ein entsprechendes Hinweisgebersystem zur Verfügung zu stellen. Gleiches gilt auch für Kommunen mit mehr als 10.000 Einwohnern.

Mehr Details und weitere Fakten hierzu finden Sie auch in unserem Blog-Beitrag Hinweisgeberschutzgesetz vom 6. Mai 2021.

Welche Anforderungen sind zu erfüllen?

Der Referentenentwurf für das nationale, deutsche Gesetz definiert unter anderem diese wesentlichen Anforderungen:

  • Betreuung durch unabhängige und qualifizierte Personen
  • Uneingeschränkter Zugang für alle Beschäftigten
  • Dokumentation der eingehenden Meldungen
  • Schutz der Vertraulichkeit und Anonymität sowie Beachtung des Datenschutzes
  • Eingangsbestätigung innerhalb von sieben Tagen
  • Innerhalb von drei Monaten: Mitteilung der ergriffenen (Folge-)Maßnahmen

Mit E-Mail, Telefon und Post sollten dem Whistleblower/Hinweisgeber auch weiterhin die herkömmlichen Medien für seinen Hinweis zur Verfügung stehen. Auch eine von der Organisation bestellte (externe) Ombudsperson oder die vorgesetzte Person im Unternehmen, die für ein persönliches Gespräch zur Verfügung stehen, können Teil des Hinweisgebersystems sein. Im Hinblick auf die anonyme Kommunikation, die das Gesetz zum Schutz des Whistleblowers fordert, sind diese Wege jedoch nahezu ungeeignet, bzw. erschweren die geforderte anonyme Kommunikation erheblich. Wie soll die zuständige Person einer Organisation eine Person erreichen, von der sie weder eine E-Mail-Adresse, eine Telefonnummer oder sogar eine Anschrift hat?

Um also die gesetzlich vorgeschriebenen Punkte, wie durchgängige Betreuung oder termingerechte Mitteilungen dennoch zu erfüllen, bliebe lediglich die Veröffentlichung des Vorgangs im Intranet, auf der Homepage der Organisation oder, wie in derzeit gängigen Systemen beschrieben, die Veröffentlichung in einer Zeitung. Damit würde jedoch die Anonymität und insbesondere die Vertraulichkeit nicht mehr komplett gewährleistet werden können, da sich unbeteiligte Dritte, aufgrund der veröffentlichten Details ein Bild von dem Vorgang machen könnten.

Und wohlgemerkt, es geht hier nicht darum, ein mögliches Ergebnis oder getroffene Maßnahmen bekanntzugeben. Erforderlich ist darüber hinaus, siehe oben, während des gesamten Prozesses die anonyme Kommunikation, um unter anderen sowohl die Eingangsbestätigung innerhalb der gesetzlichen Frist zu gewährleisten als auch die Betreuung der hinweisgebenden Person während des gesamten Prozesses sicherzustellen.

Anonyme Kommunikation – digital und DSGVO-konform

Die Lösung ist in diesen Tagen, wie so häufig, das Hinweisgebersystem digital aufzusetzen und im besten Fall in das Compliance-Management-System der Organisation zu integrieren.
Dabei sollte ein separater Kanal die uneingeschränkte, anonyme Kommunikation vom Eingang bis zur abschließenden Mitteilung an die hinweisgebende Person sicherstellen.

Screenshot Hinweisgeberoption aus dem SAVISCON GRC-COCKPIT

Im SAVISCON GRC-COCKPIT erhält die hinweisgebende Person direkt nach dem Absetzten des Hinweises einen QR-Code mit einer persönlichen PIN. Hierüber wird eine absolut anonyme Kommunikation mit den Verantwortlichen der Organisation sichergestellt.

Durch eine leichte Erreichbarkeit der Meldeplattform, etwa im Intranet oder auf der Homepage, sowie eine einfache Handhabung des Systems für die Hinweisgebenden sollten Hemmschwellen abgebaut und während des gesamten Prozesses eine vertrauliche Basis zum Austausch notwendiger Informationen geschaffen werden. Das Daten verschlüsselt übermittelt werden müssen, versteht sich dabei schon fast von selbst.

Eine entsprechende Software sollte eine effiziente und direkte Fallbearbeitung vom Eingang des Hinweises über die Würdigung bis zur Einleitung entsprechender Maßnahmen im angeschlossenen Compliance-Management-System ermöglichen.

Mittels einer geeigneten Software, in die Unternehmen idealerweise weitere Managementsysteme, wie das Qualitäts- oder Umwelt-Management integrieren oder anbinden können, werden die bearbeitenden Personen automatisch an einzuhaltende Fristen erinnert und können Termine für Wiedervorlagen setzten.

Hinweisgebersystem als Teil einer Compliance-Management-Software

Mit unserer Compliance-Management-Software, dem SAVISCON GRC-COCKPIT, halten Unternehmen zusammen, was zusammengehört und integrieren ihr Hinweisgebersystem in das

Ihrer Organisation oder Kommune. Die oben genannten Anforderungen erfüllt das GRC-COCKPIT in vollem Umfang. Dabei integriert sich der digitale Kanal nahtlos in die bereits etablierten anderen Kanäle, soweit vorhanden, wie das folgende Bild zeigt:

Grafik GRC-COCKPIT als Hinweisgebersystem

GRC-COCKPIT als Hinweisgebersystem

Sofern sich ein Hinweis nach einer Würdigung als relevant herausstellt, sind innerhalb einer Organisation zumeist mehrere Abteilungen (Organisationseinheiten) an den daraus resultierenden Maßnahmen und deren Überwachungen beteiligt. Auch hier bietet unsere Software erhebliche Vorteile durch Funktionen zur digitalen Zusammenarbeit. So werden nicht nur Medienbrüche vermieden, sondern die digitale Bearbeitung in einem System erzeugt maximale Transparenz und ermöglicht darüber hinaus eine deutliche Zeitersparnis.

Mit der Abbildung der oben genannten Managementsysteme zusammen mit dem Hinweisgebersystem in einer Anwendung verbessern Unternehmen nicht nur die Transparenz, sondern sie vermeiden auch eine unkoordinierte Anhäufung von IT-Anwendungen, in dem pro Managementsystem eine Spezialanwendung implementiert oder installiert wird und minimieren somit den Aufwand für die IT-Sicherheit und den Datenschutz.

Ganz am Schluss noch ein Hinweis aus der Praxis. Sollte es einmal zu einer gerichtlichen oder behördlichen Auseinandersetzung kommen, wirkt sich das Vorhandensein eines strukturierten und revisionssicheren CMS, in der die Abläufe zum konkreten Fall durchgängig dokumentiert sind, in der Regel positiv auf die Urteilsfindung in Bezug auf die Organisation aus.

Über den Autor:

Foto Uwe Straßberger
Uwe Straßberger ist Director Sales & Marketing bei der SAVISCON GmbH. Seit 2019 steht er unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder uwe.strassberger@saviscon.de

BSI veröffentlicht Community Draft zum Standard 200-4

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Aus Notfallmanagement wird Business Continuity Managemet

Am 19. Januar 2021 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Community Draft (CD) des Standards 200-4 vorgestellt. Die Projektleiter Cäcilia Jung und Daniel Gilles haben in Zusammenarbeit mit Marcel Lehmann (HiSolutions AG) den „Standard 100-4 Notfallmanagement“ weiterentwickelt zum CD „Standard 200-4 Business Continuity Management“ (BCM). Während des 1. IT-Grundschutz-Tags 2021 gaben sie Einblicke in die Modernisierung des Standards und warben um Feedback der Teilnehmer.

Was ist neu?

  • Stufenmodell (ähnlich Standard 200-2 IT-Grundschutz-Methodik)
  • Darstellung möglicher Synergien (ISMS, BCMS, Krisenmanagement)
  • vereinfachte Methodik
  • Hilfsmittel werden kontinuierlich bereitgestellt

Muss ich von vorne anfangen?

Wenn Sie bisher den Standard 100-4 Notfallmanagement umgesetzt haben, müssen Sie nicht von vorne starten. Laut Jung nimmt der neue Standard 200-4 den Faden auf und spinnt ihn weiter, sodass Sie auf Ihrem bisherigen Notfallmanagement aufbauen können.

Reicht mein ISMS aus?

Ein Informationssicherheits-Management-System (ISMS) reicht laut Gilles nicht aus. Business Continuity Management-System (BCMS) gehe tiefer, da es beschreibt, wie der Geschäftsbetrieb, wenn er ausgefallen ist, so schnell wie möglich wieder ans Laufen gebracht werden kann. Daher müsse ein weiteres Management-System eingeführt werden. Der weiterentwickelte Standard beschreibt, wie die Synergien zwischen ISMS und BCMS sowie Krisenmanagement optimal genutzt und wo Schnittstellen sinnvoll eingebaut werden können.

Wie gehe ich jetzt vor?

Ähnlich dem „Standard 200-2 IT-Grundschutz-Methodik“ bietet der CD Standard 200-4 ein Stufenmodell mit unterschiedlichen Vorgehensweisen. So kann jede Institution, je nach Art, Größe und Branche, den passenden Einstieg wählen:

  • Reaktiv-BCMS

    • dient als vereinfachter Einstieg
    • Notfallbewältigung wird ermöglicht
    • Fokus liegt auf den „überlebensnotwendigen“, zeitkritischen Geschäftsprozessen
  • Aufbau-BCMS

    • erleichtert den Übergang zum Standard-BCMS
    • Formalisierung der Methodik
    • zusätzliche Geschäftsprozesse werden betrachtet
  • Standard-BCMS (mit ISO 22301:2019 kompatibel)

    • Empfehlung vom BSI für alle Institutionen
    • vollständiges BCM
    • ISO 22301 kompatibel
    • Untersuchung aller Geschäftsprozesse

Gibt es Hilfsmittel?

Ja, es gibt bereits ein Hilfsmittel: Hilfsmittel zum BSI-Standard 200-4 | Weiterführende Aspekte zur Bewältigung. Es sind noch weitere geplant, die während der CD-Laufzeit veröffentlicht werden sollen:

  • Dokumentenvorlagen mit Beispieltexten
  • Business Impact Analysis: Auswertung
  • Business Impact Analysis: Workshop-Präsentation
  • BC-Strategien und Beispiellösungen
  • Dokumentenvergleich zur ISO 22301:2019

Wo kann ich den CD kommentieren?

Die Kommentierungsphase lief bis zum 30. Juni 2021. Die Veröffentlichung des final Drafts ist für die zweite Jahreshälfte geplant, das hängt, laut den Projektleitern, auch ganz vom Anwender-Feedback ab.

Wir als SAVISCON GmbH verfolgen die Weiterentwicklung gespannt und generieren schon neue Ideen, wie wir das BCM in unser SAVISCON GRC-COCKPIT integrieren können.

Quellen:
Presseinformation vom BSI
CD BSI Standard 200-4 Business Continuity Management
Hilfsmittel zum BSI-Standard 200-4