- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Geschäftsbetrieb möglichst effektiv zu stören


Erneut KRITIS-Betreiber im Visier von Hackern: Nehmen Verantwortliche die Gefahr ernst genug?
Um zukünftig gegen Gefahren für die IT-Sicherheit gewappnet zu sein, sollten Betreiber von Organisationen aus dem Bereich der kritischen Infrastrukturen ihr Schutzniveau konstant hochhalten und die Bedrohung zu keinem Zeitpunkt unterschätzen

- Anzeigen -





Ein Kommentar von Marc Schieder, CIO von Dracoon

Laut Recherchen der "Welt am Sonntag" beobachteten Sicherheitsbehörden im Vergleich zum letzten Jahr einen eindeutigen Anstieg von Angriffen auf die IT-Infrastruktur von Organisationen. Die Attacken, hinter denen oftmals ausländische Geheimdienste vermutet werden, zielen neuerdings weniger darauf ab, Geld zu erpressen – vielmehr ist das Ziel, den Geschäftsbetrieb möglichst effektiv zu stören. Beispielsweise werde die Wasser- und Stromversorgung manipuliert. Laut dem Bundesamt für Sicherheit in der Informationstechnik haben die Angriffe eine neue Qualität erreicht. Auch wenn selbstverständlich nicht jeder Störfall mit einem Hack gleichzusetzen sei, wie das BSI betont, sei die Zahl der Vorfälle doch deutlich gestiegen – von 145 im Berichtszeitraum Juni 2017 bis Ende Mai 2018 auf ganze 157 Meldungen in der zweiten Hälfte des Jahres 2018. Hiervon haben 19 dieser Vorfälle den Energiesektor betroffen.

Der Anstieg in diesem Bereich ist erschreckend im Hinblick auf die besondere Sensibilität der betroffenen Branchen – schließlich bringt hier ein möglicher Ausfall die Sicherheit und Gesundheit sowie das soziale Wohlergehen der Bevölkerung in Gefahr. Doch wie schätzen die Betreiber selbst die Situation ein? Mitte letzten Jahres veröffentlichte das Projekt VeSiKi (Vernetzte IT-Sicherheit Kritischer Infrastrukturen), einem Begleitprojekt im Forschungsschwerpunkt ITS/KRITIS des Bundesministeriums für Bildung und Forschung den Bericht "Monitor 2.0 – IT-Sicherheit Kritischer Infrastrukturen." Befragt wurden hier CISOs, CIOs, weitere Mitglieder des Managements und IT-Sicherheitsbeauftragte, u.a. aus KRITIS-Branchen wie Wasserversorgung, Informations- und Kommunikationstechnik, Energie und Gesundheit – aber auch KMU und Betriebe mit über 250 Mitarbeitern. Die Publikation macht deutlich, dass die KRITIS-Betreiber die eigene Sicherheit oftmals optimistisch einschätzen und sich gut abgesichert fühlen.

Dabei wird allerdings deutlich, dass die Teilnehmer die Gefahr insgesamt durchaus ernst nehmen. Gefragt nach der Einschätzung der Bedrohungslage im Bereich Cybersicherheit, differenziert nach dem Wirtschaftsraum Deutschland, der eigenen Branche, und der eigenen Organisation wurde die Bedrohung konstant als "hoch", bzw. "sehr hoch" eingeschätzt. Allerdings wird die Gefährdungslage für die eigene Organisation als geringer wahrgenommen als diese für die jeweilige Branche oder für den Standort Deutschland insgesamt. Die Einschätzung der Gefahr für Gesamtdeutschland wird zu 35 Prozent als sehr hoch eingeschätzt, 65 Prozent schätzen diese als hoch ein – bezogen auf die einzelne Branche sind es 15 Prozent (sehr hoch), 70 Prozent (hoch) und weitere 15 Prozent (gering). Am Positivsten fällt die Einschätzung der eigenen Organisation aus: 10 Prozent sehen hier zwar eine sehr hohe Gefahr, etwas mehr als 70 Prozent sehen ein hohes Bedrohungspotenzial, aber knapp unter 20 Prozent geben an, nur eine geringe Gefahr wahrzunehmen.

Um zukünftig gegen Gefahren für die IT-Sicherheit gewappnet zu sein, sollten Betreiber von Organisationen aus dem Bereich der kritischen Infrastrukturen ihr Schutzniveau konstant hochhalten und die Bedrohung zu keinem Zeitpunkt unterschätzen. Aber auch Softwarehersteller, die den Bereich KRITIS bedienen, sollten ihre Verantwortung ernst nehmen und die hohe Datensensibilität in ihre Produkte mit einfließen lassen. Hierzu gehört beispielsweise, sein Produkt durch Sicherheitszertifizierungen unabhängig prüfen zu lassen, hier seinen etwa die ISO 27001 oder das European Privacy Seal (EuroPriSe) erwähnt. Aber auch Features wie eine clientseitige Verschlüsselung und ein durchdachtes Berechtigungssystem, bei dem bestimmten Personen der Zugriff auf Daten erteilt, bzw. verwehrt werden kann, sorgen schon von Vornherein für maximal mögliche Datensicherheit.

Insgesamt deutet vieles darauf hin, dass die Verantwortlichen im Bereich KRITIS zwar über ein hohes Sicherheitsbewusstsein verfügen, allerdings müssen angesichts der immer wieder neu auftretenden Sicherheitsvorfälle innerhalb der letzten Monate die Schutzmaßnahmen angepasst und erhöht werden. Dazu gehört neben der Schaffung einer Kultur der Sicherheit innerhalb des Betriebs durch Aufklärung und Schulungen auch die Implementierung von Lösungen, deren Hersteller das hohe Bedrohungspotenzial bereits bei der Entwicklung in ihr Produkt haben einfließen lassen. (Dracoon: ra)

eingetragen: 10.03.19
Newsletterlauf: 11.04.19

Dracoon: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Niedersachsen: Datenschutzfreie Regierung?

    Die Deutsche Vereinigung für Datenschutz e. V. (DVD) hat mit größtem Befremden einen Bundesrats-Antrag der Niedersächsischen Landesregierung zur Kenntnis genommen, in dem diese fordert, im Interesse der "Entlastung von kleinen und mittleren Unternehmen von zusätzlichen Bürokratiekosten" die Pflicht zur Benennung von Datenschutzbeauftragten aufzuweichen und eingetragene Vereine mit überwiegend ehrenamtlich Tätigen von dieser Pflicht möglicherweise völlig auszunehmen. Außerdem sollen die Fristen zur Benachrichtigung von Datenschutzverletzungen verlängert, die Abmahnmöglichkeit von Datenschutzverstößen ausgeschlossen sowie die Nutzung von Echtdaten für "Erprobungs- und Testzwecke" generell erlaubt werden (BR-Drucksache. 144/19 vom 03.04.2019).

  • Entscheidung des Rates zum Urheberrecht

    "Nach zähem Ringen um die nötigen Anpassungen des Urheberrechts an die digitalen Rahmenbedingungen ist die Verabschiedung der Urheberrechtsrichtlinie ein hart erkämpfter und wichtiger Erfolg. Ein zeitgemäßes Urheberrecht für einen digitalen Binnenmarkt ist wichtig für Künstlerinnen und Künstler, für Journalistinnen und Journalisten, für Verlage, für Kultur- und Gedächtniseinrichtungen und auch für die Nutzerinnen und Nutzer. Es stärkt die kulturelle und journalistische Vielfalt und eine lebendige Kultur- und Kreativwirtschaft in Europa", erklärte die Staatsministerin für Kultur und Medien, Monika Grütters.

  • Bitkom zu den vorgelegten Ethikleitlinien für KI

    Die von der EU-Kommission eingesetzte High-Level-Gruppe für Künstliche Intelligenz hat ihre Ethikleitlinien veröffentlicht. Hierzu erklärt Bitkom-Präsident Achim Berg: "Mit den vorgelegten Ethikleitlinien sendet Europa ein klares Signal: Ethische Fragen müssen bei Entwicklung und Einsatz Künstlicher Intelligenz von Beginn an mitgedacht werden. Europa wählt damit einen eigenen, eben europäischen Weg. KI muss ethischen Leitlinien folgen, darf sie nicht ignorieren und ihnen schon gar nicht widersprechen. Die Leitlinien sollten Grundlage für alle Unternehmen sein, die Künstliche Intelligenz in Europa entwickeln und anwenden, und können zudem den Anstoß für einen internationalen Dialog über ethische Regeln für KI geben.

  • Vielfalt des freien Internets geht zurück

    Die umstrittene EU-Urheberrechtsreform wird tatsächlich realisiert. Das Europaparlament stimmte der Reform zu - ein erster Schritt zur Umsetzung der kontroversen Richtlinie. Mit Sicherheit ist die Absicht der Initiative, das Urheberrecht von Künstlern, Musikern und Autoren im digitalen Zeitalter zu stärken und ihre Leistungen fair zu vergüten, gut gemeint. Die Umsetzung in dieser Form wird den einzelnen Kunstschaffenden jedoch kaum zugute kommen. Und auch der Gedanke, Riesen-Konzerne wie Google oder Facebook für die Verbreitung und Bereitstellung sämtlicher Inhalte zur Kasse zu beten, wird kaum funktionieren. Stattdessen wird die Macht der amerikanischen Unternehmen noch weiter gestärkt, wenn etwa komplexe Uploadfilter zum Einsatz kommen sollen, um Inhalte auf Urheberschaft zu prüfen. Heute existieren lediglich diejenigen Uploadfilter, die von den US-amerikanischen Techgiganten entwickelt wurden (u.a. "Content ID" von Google/Youtube).

  • Thema digitale Ethik vorantreiben

    Zu den von der EU-Kommission vorgestellten neuen Leitlinien für den ethischen Einsatz von Künstlicher Intelligenz, sagt eco-Vorstandvorsitzender Oliver J. Süme: "Wir begrüßen die Botschaft, die heute von der EU mit den neuen Ethik-Leitlinien für das Zukunftsthema KI gesendet wurde: Vertrauenswürdige KI-Anwendungen sollen so entwickelt und eingesetzt werden, dass sie menschliche Autonomie respektieren, dennoch sicher, fair und nachvollziehbar funktionieren. Digitalunternehmen treiben mit ihren Entwicklungen, Produkten und Diensten den digitalen Wandel an und sind mitverantwortlich für die Beantwortung der damit entstehenden gesellschaftlichen Fragen. Wir nehmen diese Fragestellungen als Verband der Internetwirtschaft sehr ernst und sind der Überzeugung, dass ethische Normen, Handlungsleitlinien und damit Rahmenbedingungen für die Entwicklung und den Einsatz digitaler Technologien im engen Schulterschluss zwischen Unternehmen, Politik und Zivilgesellschaft entwickelt werden müssen. eco will den gesellschaftlichen Diskurs zur Verantwortung Künstlicher Intelligenz effektiv vorantreiben!"