Schlagwortarchiv für: Cyber-Sicherheit

KI – „Künstliche Intelligenz“ ist die Bezeichnung für die Fähigkeit von Maschinen, mit Hilfe von Algorithmen Aufgaben selbständig zu lösen und in der Lage zu sein, flexibel auf sich ändernde Situationen zu reagieren. Sie kann aus der Lösung der Aufgaben lernen und ihr Verhalten anpassen. Somit kann sie menschliche Fähigkeiten wie logisches Denken, Planen, Lernen und Kreativität nachahmen.

KI lässt sich hinsichtlich ihrer Anwendung in verschiedene Teilbereiche unterteilen:

  • Natural Language Processing (NLP): Große Sprachmodelle wie ChatGPT
  • Künstliche neuronale Netz: Virtuelle Assistenten und Chatbots, wie Siri, Alexa oder Google Assistant
  • Maschine Learning: Empfehlungsdienste
  • Deep Learning: Betrugserkennung, wie BIG Data Auswertungen
  • Wissensrepräsentation: Content-Moderation, genutzt z.B. zur Auswertung medizinischer Daten

Was ist im Rahmen des Datenschutzes zu beachten?

Das Unternehmen, das ein KI-basiertes System in eigene Prozesse integriert, wird in der Regel als “verantwortlich” einzustufen sein, denn es entscheidet über Zweck und Mittel der Datenverarbeitung.
Der KI-System-Anbieter erfüllt die Rolle des Auftragsverarbeiters, da die Datenverarbeitung zumeist auf seinen Servern erfolgt. Die Daten werden im Auftrag und auf Weisung des Unternehmens, welches das System einsetzt, verarbeitet. Hier ist ein Auftragsverarbeitungsvertrag abzuschließen. Dieser ist inhaltlich auf seine Vollständigkeit zu prüfen.

Viele KI-Anbieter nutzen die erhobenen Daten ebenfalls für die Weiterentwicklung ihrer KI-Modelle, hierfür ist das Einverständnis des Auftraggebers notwendig. Unternehmen sollten diese Zustimmung nicht erteilen bzw. von einer etwaigen Opt-out-Möglichkeit Gebrauch machen und somit ihre Betroffenenrechte schützen.

Die Datenverarbeitung mittels KI kann nur auf der Rechtsgrundlage der Einwilligung der betroffenen Person gemäß DSGVO Artikel 6 (1)a erfolgen. Betroffene müssen gem. Art 13 DSGVO über die Verarbeitung ihrer Daten informiert werden und haben gem. Art. 22 DSGVO das Recht der freien Entscheidung, einer automatisierter Verarbeitung zuzustimmen oder diese abzulehnen.

Das Unternehmen hat außerdem geeignete Prozesse für die Umsetzung der Betroffenenrechte zu etablieren. Die Umsetzung der Betroffenenrechte im Rahmen von Löschung und Berichtigung dürfte schwierig umzusetzen sein, da damit das Modell beeinträchtig werden kann. In jedem Fall besteht die Pflicht zur DSFA (Datenschutzfolgenabschätzung), die durch die Blacklist der deutschen Datenschutzkonferenz festgelegt ist.

Aktueller Rechtsrahmen

Neben der EU DSGVO ist ein EU-Gesetz mit Pioniercharakter in der Entwicklung (EU AI Act). Mit dieser KI-Verordnung will die EU erstmals einen gesetzlichen Rahmen für die Entwicklung und Nutzung von KI schaffen.

Die Entscheidungsvorlage sieht vor, die KI nach den Risiken ihrer Anwendungszwecke zu klassifizieren. Dabei geht es um die Einstufung in

  • risikoarme KI,
  • begrenzt riskante KI,
  • zu riskante KI und
  • verbotene KI.

KI, die imstande ist, Menschen zu unterdrücken, soll ganz verbannt werden. Darunter fallen unter anderem

  • “Social Scoring”-Systeme, die das Verhalten von Menschen bewerten,
  • die automatisierte Erkennung von Emotionen, etwa bei der Vernehmung von Verdächtigen und
  • eine flächendeckende Überwachung mit biometrischen Echtzeitdaten in der Öffentlichkeit.

Auf Grund eines aktuellen richterlichen Beschlusses darf nachträglich auf Daten zugegriffen werden, falls es um schwere Straftaten geht.
Risikoarme Anwendungszwecken, wie z.B. KI-betriebene Spielzeuge, sollen grundsätzlich erlaubt sein. Das gilt auch für sogenannte generative KI, wie den Chatbot ChatGPT, der mithilfe im Internet gesammelter Informationen eigenständig Artikel verfassen kann.

Gefahren durch KI-gestützte Cyber-Attacken

Hacker sind in der Lage, ihre Angriffe durch die Nutzung von KI zu personalisieren und zu optimieren. Damit erhöhen sie die Wahrscheinlichkeit, dass Nutzer auf Phishing-Mails hereinfallen oder dass sie mittels Ransomware in das Unternehmens IT- Netzwerk eindringen können.

Ein aktuelles IKS-System schützt jedes Unternehmen vor weitreichenden Folgen eines Cyber-Angriffs. Ein Basissockel stellt dabei die Schulung und Sensibilisierung der Mitarbeiter, die Aktualität der Sicherheitssysteme, Notfallpläne und Datensicherung dar.

Fazit

KI-gestützte Cyber-Attacken sind eine ernste Bedrohung für Unternehmen und Einzelpersonen. Unter Einhaltung aller datenschutzrechtlichen Anforderungen bietet Künstliche Intelligenz aber auch zahlreiche Vorteile und Möglichkeiten, die unser Leben, unsere Gesellschaft und unsere Geschäftswelt beeinflussen. Die Technologie kann uns dabei helfen, komplexe Probleme schneller und effizienter zu lösen. Sie reduziert Fehler, automatisiert sich wiederholende Aufgaben, unterstützt bei wichtigen Business-Entscheidungen und sorgt für Entlastung, so dass Sie Zeit haben, sich um die wirklich wichtigen Dinge zu kümmern.

Als externe Datenschutzbeauftragte unterstützt iAP Ihr Unternehmen bei der Umsetzung der DSGVO und berät Sie zu datenschutzrechtlichen Themen.

 

Foto: istockphoto.com/ipopba

Die zunehmende Größe und Komplexität des Marktes für Cloud-Lösungen stellt Kunden vor die Frage, welcher Anbieter bzw. welche Cloudlösung die eigenen Anforderungen zur Informationssicherheit am besten abdeckt. Mit der Einführung des BSI C5-Standards hat das BSI einen anspruchsvollen Sicherheitsstandard für Cloud-Dienstleistungen geschaffen, der dieses Problem adressiert. Mit einem auf dem BSI C5-Standard basierenden BSI C5-Testat und dem zugrundeliegenden Prüfbericht können Cloudanbieter ihren Kunden die Sicherheit ihrer Clouddienste transparent darstellen und nachweisen.

Was ist BSI C5?

Die Abkürzung C5 steht für die 5 Anfangsbuchstaben des Cloud Computing Compliance Criteria Catalogue des BSI (kurz: BSI C5). Der  ist ein Katalog, der Mindestanforderungen (Kriterien) zur Informationssicherheit eines Cloud-Dienstes beschreibt und ist in Europa der führende Standard für Informationssicherheit im Cloud Computing.

Die darin definierten Mindestanforderungen können von Clouddienst-Anbietern als Orientierung genutzt werden, um die richtigen Maßnahmen zur Gewährleistung der Informationssicherheit der angebotenen Cloudlösungen zu implementieren. Darüber dient der C5-Kriterienkatalog auch als Grundlage für eine standardisierte Prüfung durch externe Auditoren. Mit einem C5 Testat und dem Ergebnisbericht können Clouddienst-Anbieter ihren Kunden die Einhaltung der im C5-Katalog enthaltenen Kriterien zur Informationssicherheit belegen.

Wer hat BSI C5 entwickelt?

Der C5-Katalog wurde von der staatlichen Behörde Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2016 entwickelt. Das BSI ist eine deutsche Bundesoberbehörde, die zum Geschäftsbereich des Bundesministeriums des Innern und für Heimat mit Sitz in Bonn gehört, und für alle Themen rund um Informationssicherheit und Cybersecurity zuständig ist. Seit der Erstveröffentlichung wurde der BSI C5-Katalog weiterentwickelt und die überarbeitete zweite Fassung im Jahr 2020 veröffentlicht (C5: 2020).

Was ist der konkrete Nutzen von BSI C5?

Der Nutzen des C5-Katalogs resultiert maßgeblich aus dessen Testierfähigkeit. Mit einem C5-Testat können Anbieter von Clouddienstleistungen ihren Kunden transparent nachweisen, dass die im C5 definierten Kriterien zur Informationssicherheit eingehalten werden.

Der Nutzen einer C5-Testierung liegt in zwei grundlegenden Bereichen:

  1. Differenzierung und Wettbewerbsvorteil im Markt für Clouddienstleistungen
    Ob SaaS, PaaS oder IaaS – im stetig wachsenden Markt für Clouddienstleistungen aller Art mit einer weiter zunehmenden Zahl an international agierenden Anbietern ist es schwer, sich von der Konkurrenz abzuheben und den eigenen Mehrwert herauszustellen. Mit einem C5-Testat können sich Clouddienst-Anbieter jedoch wirkungsvoll im Wettbewerb profilieren, denn der Standard ist international bekannt, die zugrundliegende Thematik der Informationssicherheit maßgeblich entscheidungsrelevant für Kunden, und die Einhaltung der C5-Kriterien durchaus anspruchsvoll.
    Darüber hinaus kann ein Clouddienst-Anbieter mit einer einmaligen Prüfung und Testierung einer Vielzahl von Kunden und Interessenten die Einhaltung der C5-Kriterien nachweisen. Damit wird vermieden, dass jeder Kunde oder Interessent individuell Auskünfte beim Anbieter einholen, oder eigene Auditoren mit der Prüfung der Sicherheit seiner Daten beim Clouddienstleister beauftragen muss.
    Ein weitere wichtiger Punkt ist die Tatsache, dass im öffentlichen Sektor bzw. von Bundesbehörden Aufträge, bei denen Clouddienstleistungen erforderlich sind, nur unter der Voraussetzung vergeben werden, dass vom Bieter ein aktuelles C5-Testat vorgelegt wird, welches die Erfüllung der C5-Kriterien nachweist.
  2. Orientierungshilfe für Kunden bei der Auswahl von Clouddienstleistern und Clouddiensten
    Die Größe und Komplexität des Markts für Clouddienstleistungen ist aber nicht nur für die Anbieter eine Herausforderung, sondern insbesondere für Kunden ist es nicht einfach festzustellen, welcher Anbieter und welches Produkt die eigenen Anforderungen zur Informationssicherheit abdeckt. Mit der Vorlage eines C5-Testats und des dazu gehörenden Prüfberichts kann ein Clouddienst-Anbieter den potenziellen Kunden helfen, hierbei die richtige Entscheidung zu treffen.

Was ist der Unterschied zwischen BSI C5 und DIN ISO 27001?

Eine C5-Testierung orientiert sich methodisch am Vorgehen in der Wirtschaftsprüfung, bei der unter Einhaltung der vorgegebenen Prüfungsstandards initial die Angemessenheit der Kontrollen des internen Kontrollsystems (IKS) mit Einhaltung der zugrunde liegenden Anforderungen (C5-Kriterien), und dann in regelmäßigen Abständen (z.B. alle 6 Monate oder jährlich) deren Wirksamkeit über die gesamte Berichtsperiode geprüft, und von einem Wirtschaftsprüfer bescheinigt wird.

Eine Zertifizierung nach ISO 27001 hingegen weist zu einem bestimmten Zeitpunkt und (unter Berücksichtigung der jährlichen Überwachungsaudits) danach alle 3 Jahre das Vorhandensein eines Informationssicherheits-Managementsystems (ISMS) mit Abdeckung der Normanforderungen nach, berücksichtigt aber nicht den Nachweis für die dauerhafte Wirksamkeit der implementierten Kontrollen. Das ISO-Zertifikat wird dabei von einer für ISO 27001 akkreditierten Zertifizierungsstelle und nicht von einem Wirtschaftsprüfer ausgestellt.

Für wen kommt eine BSI C5-Testierung in Frage?

Eine Testierung nach dem C5-Katalog kommt grundsätzlich für alle Anbieter in Frage, die ihren Kunden eine Cloud-Dienstleistung anbieten. Dies umfasst z.B. auch Cloud-Lösungen, die aus den Leistungen von Unterauftragnehmer des Cloud-Dienstleister zusammengesetzt sind oder nicht im eigenen Rechenzentrum betrieben werden.

  • SaaS (z.B. ERP-Systeme, Finanz-Dienstleistungen, CRM-Lösungen, Collaboration-Lösungen, Design & Visualization, etc.) 
  • PaaS (Entwicklungsplattformen) 
  • IaaS (virtualisierte Computing-Ressourcen, Netzwerke, Speicherlösungen) 

Interessant ist eine C5-Testierung insbesondere für Cloudanbieter, die ihre Leistungen für eine Vielzahl von Kunden anbieten und bereits einen Großteil der C5-Kriterien erfüllen, oder mit absehbarem zeitlichem Aufwand erfüllen können. 

Was beinhaltet BSI C5?

Der Kriterienkatalog C5: 2020 beinhaltet neben den Anforderungen der allgemeinen Rahmenbedingungen 125 Kriterien, die sich auf 17 Themengebiete aufteilen:

1 Organisation der Informationssicherheit (OIS)
2 Sicherheitsrichtlinien und Arbeitsanweisungen (SP)
3 Personal (HR)
4 Asset Management (AM)
5 Physische Sicherheit (PS)
6 Regelbetrieb (OPS)
7 Identitäts- und Berechtigungsmanagement (IDM)
8 Kryptographie und Schlüsselmanagement (CRY)
9 Kommunikationssicherheit (COS)
10 Portabilität und Interoperabilität (PI)
11 Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV)
12 Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO)
13 Umgang mit Sicherheitsvorfällen (SIM)
14 Kontinuität des Geschäftsbetriebs und Notfallmanagement (BCM)
15 Compliance (COM)
16 Umgang mit Ermittlungsanfragen staatlicher Stellen (INQ)
17 Produktsicherheit (PSS)

Die 125 Kriterien gliedern sich dabei in sog. Basiskriterien sowie Zusatzkriterien. Die Basiskriterien beinhalten dabei Anforderungen, die ein Clouddienst erfüllen muss, um den Anforderungen einer sicheren Verarbeitung von Daten mit normalem Schutzbedarf zu gewährleisten.

Sofern Kunden sensible Informationen mit erhöhtem Schutzbedarf in der Cloud verarbeiten wollen, sollte der betreffenden Cloudanbieter darüber hinaus auch die sog. Zusatzkriterien erfüllen, die weiterführenden Maßnahmen zur Gewährleistung der Informationssicherheit seitens des Cloudanbieters erfordern.

Darüber hinaus enthält der Kriterienkatalog umfassende Informationen für den Konformitätsnachweis durch eine unabhängige Prüfung, die idealerweise zu einem C5-Testat führt.

Wer darf eine BSI C5-Testierung durchführen?

Die Prüfungen werden typischerweise von externen IT-Prüfern aus dem Umfeld der Wirtschaftsprüfung durchgeführt. Die eigentliche Ausstellung des Testats erfolgt durch einen Wirtschaftsprüfer.

Wie läuft eine BSI C5-Testierung ab?

Um nicht erst während der C5-Prüfung festzustellen, dass das gewünschte Ergebnis in Form eines positiven C5-Testats nicht realistisch ist, bedarf es beim Cloud-Dienstleister einer sorgfältigen Vorbereitung mit entsprechendem zeitlichem Vorlauf und der Einplanung der Ressourcen für Systemanpassungen sowie dem Aufbau des internen Kontrollsystems.
Grundlegende Voraussetzungen sollten möglichst vorab bereits vor Beauftragung der Prüforganisation gelegt werden, u.a.:

  • Festlegung des Produkt-/DL-Scopes für das Testat
  • Systembeschreibung des Cloudanbieters
  • Interne Vorab-Prüfung bzgl. der Erfüllung der C5-Kriterien
  • Festlegung der anzuwendenden Kriterien (Basiskriterien, Zusatzkriterien, nichtanwendbare Kriterien)
  • Implementierung des internen Kontrollsystems (IKS) mit Zuordnung der Kontrollen zu C5-Kriterien
  • Bestimmung der erforderlichen korrespondierende Kontrollen auf Kundenseite
  • Festlegung der einzubeziehenden Sub-Dienstleister (inklusive oder Carve out-Methode)
  • Aufbau und Beschreibung der C5-relevanten Kontrollen des IKS

Nach der Beauftragung einer geeigneten Prüforganisation (meist in Form eines Wirtschaftsprüfers) beginnt die Phase der intensiven Prüfungstätigkeiten, für die auf Seite des Clouddienstleisters die Verfügbarkeit und die zeitlichen Kapazitäten der erforderlichen Experten eingeplant werden sollte. Im Rahmen der Erstprüfung wird zunächst eine Prüfung nach Typ 1 durchgeführt, bei der der Wirtschaftsprüfer das interne Kontrollsystem bzw. die zur Erfüllung des C5 -Kriterien erforderlichen Kontrollen auf Angemessenheit des Kontrolldesigns bewertet. Die wesentlichen Aufgaben hierbei sind:

  • Prüfung der Erfüllung aller C5-Rahmenbedingungen durch den Clouddienst
  • Prüfung der Abdeckung der C5-Kriterien durch Systemeigenschaften und interne Kontrollen
  • Prüfung des Mappings Kriterien / Kontrollen
  • Prüfung der Angemessenheit der den C5-Kriterien zugeordneten Kontrollen
  • Erstellung Bericht und Testat Typ 1 (z.B. auf Basis IDW PS 951, ISAE 3402)

Nach Festlegung des avisierten Berichtszeitraum kann die Prüfung und Testierung des internen Kontrollsystems für die C5-Kriterien nach Typ 2 avisiert werden. Dies setzt voraus, dass der Clouddienstleister sein internes Kontrollsystem über den gesamten für den Bericht bzw. die Testierung relevanten Berichtszeitraum erfolgreich betrieben hat und die durchgängige Durchführung der internen Kontrollen belegt werden kann. Die Aktivitäten zu Erstellung des -Typ 2-Berichts sind identisch zum Typ 1-Bericht, allerdings wird hier nicht nur das Design bzw. die Angemessenheit der internen, für C5 relevanten Kontrollen geprüft, sondern deren Wirksamkeit über den gesamten Berichtszeitraum.

Fazit

BSI C5 ist der führende Standard für die Umsetzung und Prüfung der Sicherheit von Cloud-Diensten in Deutschland. Der Standard deckt alle wichtigen Aspekte der Cloud-Sicherheit ab und stellt sicher, dass Cloud-Provider angemessene Sicherheitsmaßnahmen umsetzen, um die Daten ihrer Kunden zu schützen. Die Testierung nach BSI C5 bietet Kunden zusätzliche Sicherheit und Vertrauen in den Cloud-Provider und ist daher ein wertvolles Instrument für Cloud-Provider, um ihre Wettbewerbsfähigkeit auf dem deutschen Markt zu erhöhen und neue Kunden zu gewinnen.

Um die Relevanz für Cyber-Security in Hotels zu verdeutlichen, erfolgt zunächst eine grundsätzliche Betrachtung. Hotels gibt es in unterschiedlichen Größen und Ausstattungen. Oft bieten sie Beherbergung für über tausend Gäste und ein umfangreiches Serviceangebot. Eine große Anzahl von Mitarbeitern ist verantwortlich für die entsprechende Dienstleistungserbringung. Die jährlichen Umsätze liegen schnell im zwei- bzw. dreistelligen Millionenbereich, wodurch viele Hotels zu den Großbetrieben gehören.

Die Digitalisierung hat auch in Hotels Einzug gehalten. Dabei werden Prozesse effizienter gestaltet und Personal eingespart. Grundsätzlich ist ein Hotel aufgebaut wie jedes andere Unternehmen. Es besteht aus operativen Systemen, welche die Wertschöpfungskette abbilden. Diese werden durch Planungs- und Kontrollsysteme gesteuert. Für den reibungslosen Betrieb tauschen alle Systeme ihre Informationen in digitaler Form vertikal sowie horizontal über die Hoteldateninfrastruktur, deren Schnittstellen und gemeinsam genutzten Datenbanken aus.

CYBER-SECURITY IM HOTEL IST CHEFSACHE!, IT Sicherheit, iAP

Cyber-physische Systeme und Cyber-Attacken​

Designer und Architekten haben seit jeher versucht der Hotelkundschaft besonderen Komfort unter Zuhilfenahme von neuen Technologien zu bereiten. Dazu zählt heutzutage, neben anderen, die zunehmende automatisierte Ausstattung der Hotelgebäudetechnik mit smarten Cyber-Physischen Systemen, auch, um z.B. Zugänge zu Stockwerken, Garagen, Zimmern und Aufzügen, Tagungsräumen, Restaurants sowie Wellness-Bereichen zu kontrollieren bzw. berührungslos freizugeben oder zu sperren.

Das hoteleigene Netzwerk muss neben internen zusätzlich unterschiedliche Arten externer Schnittstellen vorhalten, z.B. für die Kommunikation und den Datenaustausch mit Lieferanten, Logistikpartnern, Reisebüros und Privatkunden. Der Grad der Digitalisierung und Vernetzung schreitet also auch in Hotels unaufhaltsam voran. Allerdings wächst damit ebenfalls die Bedrohungslandschaft, welche vermehrte Angriffsfläche für Cyber-Attacken bietet, und somit neue Herausforderungen für die Gewährleistung der Sicherheit des Hotels und seiner Gäste entstehen.

Sensible Daten und Info-Displays

Jedes Hotel hält nicht nur eigene, sondern auch vertrauliche sowie sensible Daten seiner Gäste, Mitarbeiter und Geschäftspartner vor. Dazu gehören z.B. persönliche Informationen (Name, Anschrift, Nationalität, Geburtsdatum, KFZ-Kennzeichen), Kreditkarteninformationen, Firmennamen und Zahlungskonditionen. Die Gäste können umfangreiche Dienstleistungen über das WLAN, die hoteleigene App, oder interaktive Terminals bzw. Info-Displays buchen sowie bezahlen. Hotels waren für gewisse Kriminelle schon immer ein Tummelplatz, um sich durch verschiedenste Art und Weise am Hotel und seinen Gästen zu bereichern.

Die Schwerpunkte und der Umfang von Sicherheitsmaßnahmen verschieben sich im Zeitalter der Digitalisierung enorm, denn durch sie ergeben sich auch neue Möglichkeiten für kriminelle Handlungen. Ransomware-Angriffe auf Hoteldatenbanken und IT-Anwendungen, DDOS und Bot-Net-Angriffe auf die IT-Infrastruktur, Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware z.B. durch Gäste und interne oder externe Mitarbeiter, Infektionen mit Schadsoftware über das Internet oder Intranet, Einbruch über Fernwartungszugänge der Gebäudeautomatisierung, menschliches Fehlverhalten oder Sabotage, Identitäts- und Kreditkartendatendiebstahl sind nur einige der neuen immateriellen Szenarien.

CYBER-SECURITY IM HOTEL IST CHEFSACHE!,, Internet-Security, iAP

Die Schadensfolgen von Cyber-Attacken können für jedes Hotel schnell existenzgefährdend werden und sind deshalb unbedingt unter Kontrolle zu halten.

  • Der Verlust von Performance und Verfügbarkeit der Dienstleistungsprozesse,
  • der Verlust von Vertraulichkeit durch Abfluss sensibler Gästedaten,
  • mangelhafte Integrität durch Datenverlust oder Manipulation,
  • das Fehlen von Authentizität durch gefälschte Quellnachweise,
  • physische Schäden bzw. Zerstörung der Hotelanlagen,
  • das Auslösen von Safety-Prozeduren,
  • die Bereinigung und Systemwiederherstellung nach Attacken und
  • der Verlust der Hotelreputation

sind nur wenige Beispiele möglicher Auswirkungen von Primär- und Folgeangriffen. Zum Schutz vor Sicherheitsvorfällen empfiehlt sich eine strukturierte und organisierte Herangehensweise z.B. durch den Aufbau eines Informationssicherheitsmanagementsystems. Mit entsprechenden technischen und organisatorischen, als auch rechtlichen Konzepten wird die Hotelsicherheit analysiert, proaktiv gefestigt und damit Resilienz erzeugt.

Digitalisierung und Herausforderungen

Wie andere Unternehmen, haben auch Hotels im Zuge der Digitalisierung mit den Herausforderungen zu kämpfen ihre sicherheitsstrategischen Ziele sowie Sicherheitsprozesse praktisch anwendbar zu definieren bzw. zu gestalten, um Cyber-Angriffe von innen und außen zu vermeiden. Es besteht bei den verantwortlichen Mitarbeitern ein unzureichendes Bewusstsein über die möglichen Angreifer, ihre Angriffsarten, Ziele und damit verbundene Risiken. Meistens mangelt es an Klarheit für die gewünschte Baseline durch insuffizientes Verständnis über den Reifegrad der Ist- und Soll-Zustände. Die Strukturanalyse inklusive der Aufnahme und Beschreibung der IT-Assets ist oft bereits unzureichend.

Unternehmens- und Bedrohungsdaten werden dürftig prozess- und risikobezogen erfasst sowie bewertet, mit der Folge, das organisatorische sowie technische Sicherheitsmaßnahmen nicht an die tatsächlichen Bedürfnisse des Hotels angepasst werden können und damit niemals ein angemessenes Schutzniveau besteht. Budget sowie fähiges bzw. erfahrenes Personal wird in allen Ebenen benötigt, auch um die Auswahl, Integration und Anwendung passender Sicherheitswerkzeuge effizient zu realisieren und somit unnötige Kosten zu vermeiden.

iAP – Independent Consulting + Audit Professionals GmbH bietet externe IT-Prüfungen und Zertifizierungen sowie Beratung mit umfassender Expertise an. Das Portfolio der iAP deckt die Bereiche des Governance Risk & Compliance Management, der IT-Security & Resilienz, IT-Beratung & Data  , Nachhaltigkeit & ESG sowie Datenschutz nach der DSGVO vollumfänglich ab.

 

 

Fotos: iStock.com/da-vooda,  iStock.com/anyaberkut, iStock.com/Tijana Simic

Cyber-Risiken stellen KMU (Kleine Mittelständische Unternehmen) vor eine große Herausforderung. Die Auswirkungen nehmen zu. Für die Geschäftsführung muss diese Tatsache als ein Risiko mit höchster Priorität angesehen werden.

Ransomware-Angriffe, bei denen Unternehmen von ihren Computersystemen „lahmgelegt“ werden, haben dramatisch zugenommen und sich im ersten Halbjahr 2021 fast verdoppelt, während das durchschnittliche Lösegeld, um aus dem Dilemma zu entkommen, um 82 % gestiegen ist.  Weltweit werden Unternehmen jeder Größe und Art von kriminellen Ransomware angegriffen. Diese Angriffe führen oft zum Stillstand des Geschäftsbetriebs. Die Wiederherstellung braucht Zeit, wird teuer, führt zu Imageverlust und kann den Geschäftsbetrieb stören oder gar aufhalten.

Beispielsweise musste JBS, das weltweit größte Fleischverarbeitungsunternehmen, ein Lösegeld in Höhe von 11 Millionen US-Dollar zahlen, um wieder Zugriff auf seine Daten und Systeme zu erhalten. Ransomware führte beim norwegischen Energietechnologieunternehmen Volue zu Stilllegungen von Wasser- und Wasseraufbereitungsanlagen, von denen 85 % der norwegischen Bevölkerung betroffen waren. Transnet, ein südafrikanische Hafenbetreiber, war ebenfalls von Ransomware betroffen, was zu Störungen und Verzögerungen in einem der wichtigsten Häfen Südafrikas führte. In Deutschland führten Angriffe auf Krankenhäuser zu Netzwerkproblemen und tagelangen Ausfällen an der Uni-Klinik Düsseldorf oder im Klinikum Neuss. In Krankenhäuser der USA sollen in den ersten sechs Monaten 2021 Netzwerke aufgrund von Ransomware getrennt worden sein – entweder durch eigene Maßnahmen, um eine Sicherheitsverletzung zu vermeiden, oder weil sie durch eine schwere Malware-Infektion dazu gezwungen wurden.

Das Problem bei KMU ist, im Gegensatz zu großen Unternehmen, dass sie keine Abteilungen für Cybersicherheit verfügen. Demnach reagieren sie oftmals erst nach einem Angriff, was für viele mittelständische Unternehmen das Geschäft einfach lahmlegen kann.

Ein besonders besorgniserregender Trend ist, dass Kriminelle Cyberangriffe derart Gestalt annehmen, was früher staatlichen Akteuren vorbehalten war. Dies kommt vor allem bei sogenannten „Supply Chain Angriffen“ vor, welche die Lieferkette betreffen. Dabei werden unbekannten Fehler in der Technologie von Unternehmen ausgenutzt, die Kunden des Unternehmens infizieren und traditionelle Abwehrmaßnahmen wie Antivirensoftware dabei umgehen.

Cyber Technologien werden von Staaten ausgenutzt, um hauptsächlich Wirtschaftsspionage und Diebstahl von geistigem Eigentum zu betreiben. Die Cyberoperationen der Staaten hat sich seit 2017 verdoppelt, wobei ein Drittel dieser Angriffe offenbar auf Unternehmen abzielen. Eines der bekanntesten Beispiele aus jüngster Zeit war der russische Angriff auf das US-amerikanische Technologieunternehmen SolarWinds, das Sicherheitslücken in vertrauenswürdigen Technologieprodukten ausgenutzt hat.

Der Mittelstand ist der Motor unserer Gesellschaft und leider auch der wunde Punkt. Umso wichtiger ist, dass die Geschäftsführung das Risiko erkennt und ein gutes Verständnis dafür entwickelt, was er schützen muss und wie viel Risiko er eingehen möchte.

Wichtig für die Einschätzung ist eine unabhängige Bewertung des Cyber-Risikoprofils und der Wirksamkeit der aktuellen Cyber-Sicherheitsvorkehrungen im Unternehmen. Auf dieser Grundlage sollten KMU in ein Cyber-Verbesserungsprogramm investieren und sicherstellen, dass sie Zugang zu den benötigten Cyber-Kompetenzen haben, einschließlich unabhängiger Expertenberatung durch Dritte.

Wie sieht die Zukunft für Cyber-​​Sicherheit im Mittelstand aus? Der Mittelstand, insbesondere Wachstumsunternehmen, werden bei ihrer Expansion potenziell reale Angriffsziele. KMU müssen in Sachen Cyber-Sicherheit mehr Engagement zeigen, um die Herausforderungen effektiv und zeitnah zu bewältigen. Das Risiko Management System (RMS) mit all seinen Prozessen muss neu überdacht und implementiert werden. Die Verankerung einer Sicherheitskultur im Unternehmen ist der beste Schutz vor Cyberbedrohungen und diese muss von oben, Top-Down vorgelebt werden.