Schlagwortarchiv für: Cyberangriffe

Cybersicherheit nach NIS2: Umfassende Handlungsstrategien für betroffene Unternehmen

Mit dem Inkrafttreten der NIS2-Richtlinie im Oktober 2024 stehen Unternehmen vor der Herausforderung, ihre Cybersicherheitsmaßnahmen zu verstärken. Die Richtlinie verpflichtet zu umfassenden Sicherheitsvorkehrungen und Meldepflichten, um sensible Daten vor Cyberangriffen zu schützen. Im Folgenden zeigen wir detaillierte Handlungsmaßnahmen auf, die Unternehmen ergreifen können, um den Anforderungen der NIS2-Richtlinie gerecht zu werden und ihre Cybersicherheit zu verbessern. 

1. Umfassende Risikoanalyse und Identifikation kritischer Bereiche:

Eine eingehende Risikoanalyse ist der Schlüssel zur Identifizierung potenzieller Schwachstellen. Unternehmen sollten nicht nur ihre IT-Infrastruktur, sondern auch ihre OT-Bereiche sorgfältig überprüfen. Dies umfasst die Identifizierung von kritischen Assets, bestehenden Sicherheitslücken und potenziellen Angriffspunkten.

2. Investition in technologische Sicherheitslösungen:

Die Implementierung moderner Sicherheitstechnologien ist entscheidend. Unternehmen sollten in fortschrittliche Firewall-Systeme, Intrusion Detection und Prevention Systems (IDPS) sowie Verschlüsselungstechnologien investieren. Regelmäßige Software-Updates und Patch-Management sind unerlässlich, um aktuelle Sicherheitslücken zu schließen.

3. Mitarbeiterschulungen und Sensibilisierung:

Die menschliche Komponente ist oft eine Schwachstelle in der Cybersicherheit. Schulungen für Mitarbeiter sind jedoch leicht umsetzbar und tragen maßgeblich dazu bei, das Bewusstsein für Cyberrisiken zu schärfen. Schulungen sollten nicht nur Best Practices für den Umgang mit sensiblen Daten, sondern auch für die Identifizierung von Phishing-Angriffen und verdächtigen Aktivitäten umfassen.

4. Strikte Einhaltung von Meldepflichten:

Die NIS2-Richtlinie legt klare Meldepflichten fest. Unternehmen müssen sicherstellen, dass sie effektive Incident-Response-Teams haben, die im Falle eines Angriffs sofort handeln können. Klare Kommunikationswege und vordefinierte Prozesse sind entscheidend, um die vorgeschriebenen Meldepflichten zeitnah zu erfüllen.

5. Optimierung der OT-Sicherheit:

Besonders für Unternehmen mit Operational Technology (OT) ist eine verstärkte Sicherheit von großer Bedeutung. Die Segmentierung von Netzwerken, die Implementierung von Sicherheitsrichtlinien und die Kontrolle des Datenverkehrs in OT-Bereichen sind umsetzbare Maßnahmen. Hierbei spielt auch die Priorisierung von Maßnahmen gegen USB-basierte Bedrohungen eine entscheidende Rolle. In diesem Kontext ist die Verwendung spezieller Sicherheitslösungen ratsam, die autorisierte USB-Sticks identifizieren, die automatische Ausführung von Skripten unterbinden und vorhandene Schadprogramme auf USB-Sticks oder Maschinen automatisch entfernen. Damit wird nicht nur die allgemeine OT-Sicherheit gestärkt, sondern auch gezielt auf eine der potenziellen Schwachstellen eingegangen.

6. Integration von Cybersecurity as a Service:

Die Herausforderung, qualifiziertes Sicherheitspersonal zu finden, kann durch den Einsatz von Cybersecurity as a Service überwunden werden. MDR (Managed Detection and Response)-Services bieten eine 24/7-Abdeckung durch ein Team von Sicherheitsexperten, um auf Angriffe effektiv zu reagieren. Die Zusammenarbeit mit externen Dienstleistern kann eine kosteneffiziente Lösung für den Fachkräftemangel darstellen.

7. Regelmäßige Überprüfung und Aktualisierung von Sicherheitsrichtlinien:

Cybersicherheitsrichtlinien sollten dynamisch sein und regelmäßig überprüft werden. Unternehmen sollten ihre Sicherheitsrichtlinien an aktuelle Bedrohungen anpassen und sicherstellen, dass sie den Anforderungen der NIS2-Richtlinie entsprechen. Regelmäßige Audits sind notwendig, um die Einhaltung sicherzustellen.

8. Zusammenarbeit mit externen Experten:

Die Kooperation mit externen Unternehmen, wie den Cybersicherheitsexperten von iAP, bietet wertvolle Unterstützung. Durch unsere Beratung unterstützen wir Sie bei der Implementierung von Best Practices, führen Risikoanalysen durch und stellen sicher, dass ihre Sicherheitsmaßnahmen den neuesten Standards entsprechen.

Fazit:

Die NIS2-Richtlinie stellt Unternehmen vor neue Herausforderungen im Bereich der Cybersicherheit. Die proaktive Umsetzung leicht umsetzbarer Handlungsmaßnahmen ist entscheidend, um nicht nur die Einhaltung der Richtlinie sicherzustellen, sondern auch die Gesamtcybersicherheit zu verbessern. Der Schutz vor finanziellen Strafen und die Minimierung potenzieller geschäftlicher Auswirkungen von Cyberangriffen sind essenzielle Ziele.

In diesem Kontext sollten Unternehmen zusätzliche Maßnahmen ergreifen. Dazu gehören kontinuierliche Schulungen, um das Bewusstsein für Cybersicherheit zu fördern. Das Incident-Response-Team sollte regelmäßig geschult und durch Cyberangriffssimulationen auf dem neuesten Stand gehalten werden. Die Evaluierung neuer Technologien wie KI und maschinelles Lernen ist entscheidend für eine verbesserte Cyberabwehr.

Transparenz in der Kommunikation, regelmäßige externe Audits zur Überprüfung von Sicherheitsstandards und die Einführung einer Cybersecurity-Kultur tragen ebenfalls zur Stärkung der Cybersicherheit bei.

Die NIS2-Richtlinie bietet eine Chance zur umfassenden Stärkung der Cybersicherheit. Durch die konsequente Umsetzung dieser Maßnahmen können Unternehmen nicht nur gesetzlichen Anforderungen gerecht werden, sondern auch eine robuste Cybersicherheitsstrategie etablieren.

 

Foto: istockphoto/mixmagic

/von

Was bedeutet die NIS2-Richtlinie für mein Unternehmen?

Die Network and Information Security Directive (NIS) ist eine EU-Richtlinie, die darauf abzielt, die Cybersicherheit in gesellschaftlich bedeutsamen Sektoren zu stärken. Die aktuelle Version dieser Richtlinie, NIS2, bringt einige wichtige Veränderungen mit sich, die Unternehmen in diesen Sektoren betreffen. In diesem Artikel werden wir einen genaueren Blick darauf werfen, was die NIS2-Richtlinie für Ihr Unternehmen bedeutet und wie Sie sich darauf vorbereiten können.

Verpflichtende Umsetzung ab dem 17. Oktober 2024

Eine der wichtigsten Informationen, die Unternehmen beachten müssen, ist, dass die Umsetzung der geforderten IT-Sicherheitsmaßnahmen gemäß der NIS2-Richtlinie ab dem 17. Oktober 2024 verpflichtend wird. Dies bedeutet, dass Unternehmen, die in den betroffenen Sektoren tätig sind, die erforderlichen Schritte unternehmen müssen, um die Cybersicherheit zu stärken und sicherzustellen, dass ihre wertschöpfenden Prozesse bei IT-Sicherheitsvorfällen und Cyberangriffen weiterhin verfügbar sind.

Start der NIS2 und nationale Umsetzung

Die NIS2-Richtlinie wurde am 16. Januar 2023 offiziell freigegeben. Sie muss bis zum 17. Oktober 2024 von allen EU-Mitgliedsstaaten in nationales Recht übertragen werden. Dies bedeutet, dass jedes Land in der EU die Richtlinie in seine Gesetzgebung aufnehmen und die darin enthaltenen Anforderungen umsetzen muss.

In Deutschland gibt es bereits einen Entwurf für die Umsetzung der NIS2-Richtlinie, der über die NIS2-Anforderungen hinausgeht. Die Anforderungen aus der NIS1 von 2016 werden durch das IT-Sicherheitsgesetz 2.0 und das KRITIS-Gesetz 2.0 erweitert.

Betroffene Unternehmen und Sektoren

Die NIS2-Richtlinie gilt grundsätzlich für Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz von mindestens 10 Millionen Euro, die in gesellschaftlich relevanten und kritischen Sektoren tätig sind. Diese Sektoren sind in Anhang I & II der NIS2-Richtlinie aufgeführt und umfassen folgende Bereiche:

  • Energie mit Elektrizität, Erdöl, Erdgas, Wasserstoff, Fernwärme und -kälte
  • Verkehr mit Straßenverkehr, Schienenverkehr, Luftverkehr, Schifffahrt
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung IKT-Dienste
  • Öffentliche Verwaltung: Behörden und Ämter auf nationaler und regionaler Ebene
  • Weltraum: Betreiber von Bodeninfrastrukturen
  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Medizinprodukten, Diagnostika, Datenverarbeitungsgeräten, elektronische und optische Erzeugnisse, elektrischen Ausrüstungen, Maschinenbau, Kraftwagen und Kraftwagenteilen sowie sonstiger Fahrzeugbau
  • Anbieter digitaler Dienste
  • Forschung

(siehe hierzu https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L2555&qid=1687268912734#d1e32-143-1)

Anforderungen an Unternehmen

Die Umsetzung der NIS2-Sicherheitsanforderungen auf Basis eines Risikomanagements mit Betrachtung der Wahrscheinlichkeit und Auswirkung muss nachgewiesen werden. Das bedeutet, dass Unternehmen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen müssen, um die Risiken für die Sicherheit ihrer Netz- und Informationssysteme vollständig zu beherrschen und die Auswirkungen von Sicherheitsvorfällen abzuwenden und so gering wie möglich zu halten.

Alle Sicherheitsmaßnahmen müssen sich dabei am Stand der Technik und der aktuellen individuellen Gefährdungslage orientieren. Die Schutzmaßnahmen müssen somit gefahrenübergreifend die gesamte IT und Cybersicherheit berücksichtigen, um alle Arten von IT-Vorfällen in der eigenen Umgebung zu kontrollieren und die Verfügbarkeit wesentlicher Dienstleistungsprozesse sicherzustellen. Die Wirksamkeit dieser Sicherheitsmaßnahmen muss regelmäßig geprüft und bewertet werden.

Die Sicherheitsanforderungen bedingen Maßnahmen vor, während und nach einem IT-Sicherheitsvorfall, einschließlich grundlegender Praktiken der Cyberhygiene.

Ein besonderes Augenmerk liegt auf der Absicherung der Lieferkette, einschließlich Partnerunternehmen, Lieferanten, Dienstanbietern und Kunden, insbesondere deren Netzzugänge.

Unternehmen müssen sich bei der zuständigen Behörde registrieren und Kontaktdaten hinterlegen. Sicherheitsvorfälle, die zu schweren Betriebsstörungen führen, sind meldepflichtig.

Die betroffenen Sektoren unterliegen behördlicher Aufsicht, was bedeutet, dass externe Kontrollen und Prüfungen regelmäßig und ad-hoc durchgeführt werden. Für wesentliche Einrichtungen gilt zusätzlich die EU RCE-Richtlinie zur Ausfallsicherheit.

Die Erfüllung dieser Anforderungen ist entscheidend, um die Cybersicherheit zu stärken und die Risiken von Cyberangriffen zu minimieren. Unternehmen sollten sich daher intensiv mit den NIS2-Sicherheitsanforderungen auseinandersetzen und sich rechtzeitig darauf vorbereiten, um die Verfügbarkeit ihrer Dienstleistungsprozesse sicherzustellen. (siehe hierzu https://eur-lex.europa.eu/eli/dir/2022/2557/oj)

Fazit: Vorbereitung auf die NIS2-Richtlinie

Die NIS2-Richtlinie ist ein bedeutender Schritt zur Stärkung der Cybersicherheit in der EU. Unternehmen in den betroffenen Sektoren sollten die verbleibende Zeit nutzen, um sich auf die Umsetzung der erforderlichen Sicherheitsmaßnahmen vorzubereiten. Dies ist entscheidend, um die Verfügbarkeit kritischer Dienstleistungen zu gewährleisten und die Risiken von Cyberangriffen zu minimieren. Stellen Sie sicher, dass Ihr Unternehmen die Vorschriften der NIS2-Richtlinie erfüllt, um sicher und geschützt in die digitale Zukunft zu gehen.

Wir empfehlen die Anforderungen mit unserem iAP-IKS umzusetzen. Dies schließt das Management der externen Dienstleister im Bereich Sicherheitsmanagement mit ein. Gemeinsam mit Ihnen bauen wir ein umfassendes Risikomanagement über alle Unternehmensbereiche auf.

 

Weitere Informationen:

RICHTLINIE (EU) 2022/2555 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie)

 

Bild: istockphoto.com/BirgitKorber

/von

KI – Eine Bedrohung für den Datenschutz? 

KI – „Künstliche Intelligenz“ ist die Bezeichnung für die Fähigkeit von Maschinen, mit Hilfe von Algorithmen Aufgaben selbständig zu lösen und in der Lage zu sein, flexibel auf sich ändernde Situationen zu reagieren. Sie kann aus der Lösung der Aufgaben lernen und ihr Verhalten anpassen. Somit kann sie menschliche Fähigkeiten wie logisches Denken, Planen, Lernen und Kreativität nachahmen.

KI lässt sich hinsichtlich ihrer Anwendung in verschiedene Teilbereiche unterteilen:

  • Natural Language Processing (NLP): Große Sprachmodelle wie ChatGPT
  • Künstliche neuronale Netz: Virtuelle Assistenten und Chatbots, wie Siri, Alexa oder Google Assistant
  • Maschine Learning: Empfehlungsdienste
  • Deep Learning: Betrugserkennung, wie BIG Data Auswertungen
  • Wissensrepräsentation: Content-Moderation, genutzt z.B. zur Auswertung medizinischer Daten

Was ist im Rahmen des Datenschutzes zu beachten?

Das Unternehmen, das ein KI-basiertes System in eigene Prozesse integriert, wird in der Regel als „verantwortlich“ einzustufen sein, denn es entscheidet über Zweck und Mittel der Datenverarbeitung.
Der KI-System-Anbieter erfüllt die Rolle des Auftragsverarbeiters, da die Datenverarbeitung zumeist auf seinen Servern erfolgt. Die Daten werden im Auftrag und auf Weisung des Unternehmens, welches das System einsetzt, verarbeitet. Hier ist ein Auftragsverarbeitungsvertrag abzuschließen. Dieser ist inhaltlich auf seine Vollständigkeit zu prüfen.

Viele KI-Anbieter nutzen die erhobenen Daten ebenfalls für die Weiterentwicklung ihrer KI-Modelle, hierfür ist das Einverständnis des Auftraggebers notwendig. Unternehmen sollten diese Zustimmung nicht erteilen bzw. von einer etwaigen Opt-out-Möglichkeit Gebrauch machen und somit ihre Betroffenenrechte schützen.

Die Datenverarbeitung mittels KI kann nur auf der Rechtsgrundlage der Einwilligung der betroffenen Person gemäß DSGVO Artikel 6 (1)a erfolgen. Betroffene müssen gem. Art 13 DSGVO über die Verarbeitung ihrer Daten informiert werden und haben gem. Art. 22 DSGVO das Recht der freien Entscheidung, einer automatisierter Verarbeitung zuzustimmen oder diese abzulehnen.

Das Unternehmen hat außerdem geeignete Prozesse für die Umsetzung der Betroffenenrechte zu etablieren. Die Umsetzung der Betroffenenrechte im Rahmen von Löschung und Berichtigung dürfte schwierig umzusetzen sein, da damit das Modell beeinträchtig werden kann. In jedem Fall besteht die Pflicht zur DSFA (Datenschutzfolgenabschätzung), die durch die Blacklist der deutschen Datenschutzkonferenz festgelegt ist.

Aktueller Rechtsrahmen

Neben der EU DSGVO ist ein EU-Gesetz mit Pioniercharakter in der Entwicklung (EU AI Act). Mit dieser KI-Verordnung will die EU erstmals einen gesetzlichen Rahmen für die Entwicklung und Nutzung von KI schaffen.

Die Entscheidungsvorlage sieht vor, die KI nach den Risiken ihrer Anwendungszwecke zu klassifizieren. Dabei geht es um die Einstufung in

  • risikoarme KI,
  • begrenzt riskante KI,
  • zu riskante KI und
  • verbotene KI.

KI, die imstande ist, Menschen zu unterdrücken, soll ganz verbannt werden. Darunter fallen unter anderem

  • „Social Scoring“-Systeme, die das Verhalten von Menschen bewerten,
  • die automatisierte Erkennung von Emotionen, etwa bei der Vernehmung von Verdächtigen und
  • eine flächendeckende Überwachung mit biometrischen Echtzeitdaten in der Öffentlichkeit.

Auf Grund eines aktuellen richterlichen Beschlusses darf nachträglich auf Daten zugegriffen werden, falls es um schwere Straftaten geht.
Risikoarme Anwendungszwecken, wie z.B. KI-betriebene Spielzeuge, sollen grundsätzlich erlaubt sein. Das gilt auch für sogenannte generative KI, wie den Chatbot ChatGPT, der mithilfe im Internet gesammelter Informationen eigenständig Artikel verfassen kann.

Gefahren durch KI-gestützte Cyber-Attacken

Hacker sind in der Lage, ihre Angriffe durch die Nutzung von KI zu personalisieren und zu optimieren. Damit erhöhen sie die Wahrscheinlichkeit, dass Nutzer auf Phishing-Mails hereinfallen oder dass sie mittels Ransomware in das Unternehmens IT- Netzwerk eindringen können.

Ein aktuelles IKS-System schützt jedes Unternehmen vor weitreichenden Folgen eines Cyber-Angriffs. Ein Basissockel stellt dabei die Schulung und Sensibilisierung der Mitarbeiter, die Aktualität der Sicherheitssysteme, Notfallpläne und Datensicherung dar.

Fazit

KI-gestützte Cyber-Attacken sind eine ernste Bedrohung für Unternehmen und Einzelpersonen. Unter Einhaltung aller datenschutzrechtlichen Anforderungen bietet Künstliche Intelligenz aber auch zahlreiche Vorteile und Möglichkeiten, die unser Leben, unsere Gesellschaft und unsere Geschäftswelt beeinflussen. Die Technologie kann uns dabei helfen, komplexe Probleme schneller und effizienter zu lösen. Sie reduziert Fehler, automatisiert sich wiederholende Aufgaben, unterstützt bei wichtigen Business-Entscheidungen und sorgt für Entlastung, so dass Sie Zeit haben, sich um die wirklich wichtigen Dinge zu kümmern.

Als externe Datenschutzbeauftragte unterstützt iAP Ihr Unternehmen bei der Umsetzung der DSGVO und berät Sie zu datenschutzrechtlichen Themen.

 

Foto: istockphoto.com/ipopba

/von

Cyber-Security im Hotel ist Chefsache!

Um die Relevanz für Cyber-Security in Hotels zu verdeutlichen, erfolgt zunächst eine grundsätzliche Betrachtung. Hotels gibt es in unterschiedlichen Größen und Ausstattungen. Oft bieten sie Beherbergung für über tausend Gäste und ein umfangreiches Serviceangebot. Eine große Anzahl von Mitarbeitern ist verantwortlich für die entsprechende Dienstleistungserbringung. Die jährlichen Umsätze liegen schnell im zwei- bzw. dreistelligen Millionenbereich, wodurch viele Hotels zu den Großbetrieben gehören.

Die Digitalisierung hat auch in Hotels Einzug gehalten. Dabei werden Prozesse effizienter gestaltet und Personal eingespart. Grundsätzlich ist ein Hotel aufgebaut wie jedes andere Unternehmen. Es besteht aus operativen Systemen, welche die Wertschöpfungskette abbilden. Diese werden durch Planungs- und Kontrollsysteme gesteuert. Für den reibungslosen Betrieb tauschen alle Systeme ihre Informationen in digitaler Form vertikal sowie horizontal über die Hoteldateninfrastruktur, deren Schnittstellen und gemeinsam genutzten Datenbanken aus.

CYBER-SECURITY IM HOTEL IST CHEFSACHE!, IT Sicherheit, iAP

Cyber-physische Systeme und Cyber-Attacken​

Designer und Architekten haben seit jeher versucht der Hotelkundschaft besonderen Komfort unter Zuhilfenahme von neuen Technologien zu bereiten. Dazu zählt heutzutage, neben anderen, die zunehmende automatisierte Ausstattung der Hotelgebäudetechnik mit smarten Cyber-Physischen Systemen, auch, um z.B. Zugänge zu Stockwerken, Garagen, Zimmern und Aufzügen, Tagungsräumen, Restaurants sowie Wellness-Bereichen zu kontrollieren bzw. berührungslos freizugeben oder zu sperren.

Das hoteleigene Netzwerk muss neben internen zusätzlich unterschiedliche Arten externer Schnittstellen vorhalten, z.B. für die Kommunikation und den Datenaustausch mit Lieferanten, Logistikpartnern, Reisebüros und Privatkunden. Der Grad der Digitalisierung und Vernetzung schreitet also auch in Hotels unaufhaltsam voran. Allerdings wächst damit ebenfalls die Bedrohungslandschaft, welche vermehrte Angriffsfläche für Cyber-Attacken bietet, und somit neue Herausforderungen für die Gewährleistung der Sicherheit des Hotels und seiner Gäste entstehen.

Sensible Daten und Info-Displays

Jedes Hotel hält nicht nur eigene, sondern auch vertrauliche sowie sensible Daten seiner Gäste, Mitarbeiter und Geschäftspartner vor. Dazu gehören z.B. persönliche Informationen (Name, Anschrift, Nationalität, Geburtsdatum, KFZ-Kennzeichen), Kreditkarteninformationen, Firmennamen und Zahlungskonditionen. Die Gäste können umfangreiche Dienstleistungen über das WLAN, die hoteleigene App, oder interaktive Terminals bzw. Info-Displays buchen sowie bezahlen. Hotels waren für gewisse Kriminelle schon immer ein Tummelplatz, um sich durch verschiedenste Art und Weise am Hotel und seinen Gästen zu bereichern.

Die Schwerpunkte und der Umfang von Sicherheitsmaßnahmen verschieben sich im Zeitalter der Digitalisierung enorm, denn durch sie ergeben sich auch neue Möglichkeiten für kriminelle Handlungen. Ransomware-Angriffe auf Hoteldatenbanken und IT-Anwendungen, DDOS und Bot-Net-Angriffe auf die IT-Infrastruktur, Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware z.B. durch Gäste und interne oder externe Mitarbeiter, Infektionen mit Schadsoftware über das Internet oder Intranet, Einbruch über Fernwartungszugänge der Gebäudeautomatisierung, menschliches Fehlverhalten oder Sabotage, Identitäts- und Kreditkartendatendiebstahl sind nur einige der neuen immateriellen Szenarien.

CYBER-SECURITY IM HOTEL IST CHEFSACHE!,, Internet-Security, iAP

Die Schadensfolgen von Cyber-Attacken können für jedes Hotel schnell existenzgefährdend werden und sind deshalb unbedingt unter Kontrolle zu halten.

  • Der Verlust von Performance und Verfügbarkeit der Dienstleistungsprozesse,
  • der Verlust von Vertraulichkeit durch Abfluss sensibler Gästedaten,
  • mangelhafte Integrität durch Datenverlust oder Manipulation,
  • das Fehlen von Authentizität durch gefälschte Quellnachweise,
  • physische Schäden bzw. Zerstörung der Hotelanlagen,
  • das Auslösen von Safety-Prozeduren,
  • die Bereinigung und Systemwiederherstellung nach Attacken und
  • der Verlust der Hotelreputation

sind nur wenige Beispiele möglicher Auswirkungen von Primär- und Folgeangriffen. Zum Schutz vor Sicherheitsvorfällen empfiehlt sich eine strukturierte und organisierte Herangehensweise z.B. durch den Aufbau eines Informationssicherheitsmanagementsystems. Mit entsprechenden technischen und organisatorischen, als auch rechtlichen Konzepten wird die Hotelsicherheit analysiert, proaktiv gefestigt und damit Resilienz erzeugt.

Digitalisierung und Herausforderungen

Wie andere Unternehmen, haben auch Hotels im Zuge der Digitalisierung mit den Herausforderungen zu kämpfen ihre sicherheitsstrategischen Ziele sowie Sicherheitsprozesse praktisch anwendbar zu definieren bzw. zu gestalten, um Cyber-Angriffe von innen und außen zu vermeiden. Es besteht bei den verantwortlichen Mitarbeitern ein unzureichendes Bewusstsein über die möglichen Angreifer, ihre Angriffsarten, Ziele und damit verbundene Risiken. Meistens mangelt es an Klarheit für die gewünschte Baseline durch insuffizientes Verständnis über den Reifegrad der Ist- und Soll-Zustände. Die Strukturanalyse inklusive der Aufnahme und Beschreibung der IT-Assets ist oft bereits unzureichend.

Unternehmens- und Bedrohungsdaten werden dürftig prozess- und risikobezogen erfasst sowie bewertet, mit der Folge, das organisatorische sowie technische Sicherheitsmaßnahmen nicht an die tatsächlichen Bedürfnisse des Hotels angepasst werden können und damit niemals ein angemessenes Schutzniveau besteht. Budget sowie fähiges bzw. erfahrenes Personal wird in allen Ebenen benötigt, auch um die Auswahl, Integration und Anwendung passender Sicherheitswerkzeuge effizient zu realisieren und somit unnötige Kosten zu vermeiden.

iAP – Independent Consulting + Audit Professionals GmbH bietet externe IT-Prüfungen und Zertifizierungen sowie Beratung mit umfassender Expertise an. Das Portfolio der iAP deckt die Bereiche des Governance Risk & Compliance Management, der IT-Security & Resilienz, IT-Beratung & Data  , Nachhaltigkeit & ESG sowie Datenschutz nach der DSGVO vollumfänglich ab.

 

 

Fotos: iStock.com/da-vooda,  iStock.com/anyaberkut, iStock.com/Tijana Simic

/von

Security Operation Center (SOC) – Maßgeschneiderte Cybersecurity-Lösungen für den Mittelstand

Die stetig wachsende Bedrohung durch Cyberangriffe erfordert eine gezielte und gut durchdachte Herangehensweise an die Informationssicherheit in Unternehmen. In diesem Kontext stehen Organisationen und Geschäftsführer vor folgenden wichtigen Fragen:

  1. Ist unsere Organisation hinreichend gegen die zunehmende Bedrohung von Cyberangriffen abgesichert?

    Angesichts der sich ständig weiterentwickelnden Angriffsmethoden müssen Unternehmen sicherstellen, dass sie über wirksame Abwehrmaßnahmen und Sicherheitsvorkehrungen verfügen, um sich vor Cyberangriffen zu schützen.

  2. Sind uns unbekannte Schwachstellen in unserer IT-Infrastruktur bewusst, die unsere Geschäftsprozesse gefährden könnten oder ein erhebliches Risiko für unser Unternehmen darstellen?

    Oftmals sind Unternehmen sich nicht bewusst, dass ihre IT-Systeme Schwachstellen aufweisen, die von Angreifern ausgenutzt werden könnten. Identifikation und Behebung dieser Schwachstellen sind entscheidend.

  3. Wie können wir die Informationssicherheit in unserer Organisation auf den aktuellen Stand der Technik bringen, ohne zusätzliche Kosten zu verursachen?

    Die Aktualisierung und Verbesserung der Informationssicherheit erfordert Ressourcen, aber Unternehmen sind bestrebt, dies kosteneffizient zu tun, um ihr Budget nicht zu überdehnen.

Herausforderungen für KMU und mittelständische Unternehmen (KMU)

Kleinere und mittelständische Unternehmen stehen bei der Informationssicherheit oft vor besonderen Herausforderungen. Diese Unternehmen haben in der Regel nicht die personellen Kapazitäten, um die erforderlichen Sicherheitsmaßnahmen intern durchzuführen, und verfügen möglicherweise nicht über die notwendige Expertise im Bereich IT-Sicherheit. Darüber hinaus sind ihre Budgets häufig begrenzt.

Die Lösung: Security Operation Center (SOC) und Cyber Defense Center (CDC)

Ein erfolgversprechender Lösungsansatz besteht in der Auslagerung von Aufgaben im Bereich Informationssicherheit an spezialisierte externe Dienstleister. Hier kommen Security Operation Center (SOC) und Cyber Defense Center (CDC) ins Spiel.

Ein SOC/CDC ist ein auf Informationssicherheit spezialisierter Dienstleister, der in die IT-Infrastruktur des Unternehmens integriert ist und eine Art Sicherheitsleitstelle darstellt. Es bietet eine breite Palette von Sicherheitsdiensten, die normalerweise von der internen IT-Abteilung wahrgenommen würden:

  • Überwachung der IT-Sicherheit: Ein SOC/CDC überwacht kontinuierlich die IT-Infrastruktur des Unternehmens auf Anzeichen von Bedrohungen.
  • Proaktive Bedrohungsbewertung durch Threat Intelligence: Mithilfe von Bedrohungsdaten und -analysen bewertet ein SOC/CDC proaktiv potenzielle Risiken.
  • Identifizierung und Beseitigung von Schwachstellen: Schwachstellen in IT-Systemen und -Prozessen werden identifiziert und behoben.
  • Erkennung und Meldung von Cyberangriffen: Ein SOC/CDC erkennt und meldet Cyberangriffe und unterstützt bei der Einleitung von Gegenmaßnahmen.
  • Abwehrmaßnahmen und Schadensbegrenzung: Im Falle eines Angriffs werden sofortige Abwehrmaßnahmen ergriffen, um den Schaden zu minimieren.
  • Kundenspezifische Unterstützung und Sicherheitsberichterstattung: Der Dienstleister bietet maßgeschneiderte Unterstützung und erstellt Sicherheitsberichte für das Unternehmen.

In einem SOC/CDC arbeiten rund um die Uhr hochspezialisierte Cybersecurity-Experten, darunter Security-Architekten, Analysten und Forensiker. Diese Experten überwachen in Echtzeit sicherheitsrelevante Informationen und reagieren unverzüglich auf Anomalien. Die Arbeitsweise zeichnet sich durch den Einsatz von optimierten Tools, eine hohe Automatisierung der Analysen und eine effiziente Teamstruktur aus.

Maßgeschneiderte Sicherheitslösungen

Je nach den spezifischen Anforderungen eines Unternehmens können verschiedene Service-Modelle für die Zusammenarbeit mit einem SOC/CDC definiert werden. Dies ermöglicht eine flexible Auslagerung von Sicherheitsaufgaben, die auf die individuellen Anforderungen des Unternehmens zugeschnitten sind. Die Vorteile der Nutzung eines SOC/CDC liegen auf der Hand:

  • Schnelle und effektive Reaktion: Automatisierung und Fachexperten ermöglichen eine schnelle Reaktion auf Bedrohungen.
  • Schutz vor aktuellen Bedrohungen: Durch den Zugang zu Threat Intelligence sind Unternehmen immer auf dem neuesten Stand.
  • Kontinuierliche Dokumentation und Nachverfolgbarkeit: Alle Sicherheitsmaßnahmen und Ereignisse werden dokumentiert und können nachverfolgt werden.
  • Kein Aufbau interner IT-Sicherheitskapazitäten erforderlich: Die Auslagerung an einen SOC/CDC eliminiert den Bedarf an zusätzlichen internen Ressourcen.
  • Ganzheitliche Sicherheitslösungen: Ein SOC/CDC kann maßgeschneiderte Sicherheitslösungen anbieten, die auf die spezifischen Anforderungen eines Unternehmens zugeschnitten sind.
  • Nachweis der Einhaltung gesetzlicher Vorgaben und Compliance: Die Zusammenarbeit mit einem SOC/CDC stellt sicher, dass alle gesetzlichen Anforderungen und Compliance-Vorschriften erfüllt sind.

Eine optimale Lösung für KMU und mittelständische Unternehmen (KMU)

Die Auslagerung von IT-Sicherheitsaufgaben an einen externen Dienstleister bietet kleinen Unternehmen und KMU die Möglichkeit, ein hohes Sicherheitsniveau auf dem aktuellen Stand der Technik zu erreichen, ohne zusätzliches Personal oder Expertise intern aufbauen zu müssen. Dies ermöglicht diesen Unternehmen, sich auf ihr Kerngeschäft zu konzentrieren, während ihre IT-Sicherheit in den kompetenten Händen eines SOC/CDC liegt.

/von

Cybersicherheit und Unternehmenskomplexität

Für manche Unternehmen sind höhere Investitionen in die Cybersicherheit möglicherweise nur ein Tropfen auf den heißen Stein. Das liegt oft daran, dass die Strukturen der Organisation zu komplex sind, um sie adäquat absichern zu können. Diese Komplexität der Strukturen entsteht oftmals erst im Laufe der Zeit. Gründe dafür sind z.B. Wachstum, Fusionen, Übernahmen und vor allem aber die Einführung neuer Technologien. Damit einhergehend kommt die Verzahnung von Compliance und Governance oft zu kurz.

Ein weiterer Punkt ist das Risikoniveau im Unternehmen, das durch Komplexität entsteht, z.B. durch komplexe Multi-Vendor-Umgebungen wie Cloud, neuartige technologische Lösungen oder Interoperabilität und Dateninfrastruktur.

Eine Vereinfachung oder Verschlankung von Datenstrukturen und Prozessen sind allein schon eine große Herausforderung. Komplexität führt zu Trägheit, da Entscheidungsträger eine Transformation aufschieben oder Schwierigkeiten haben, eine Dringlichkeit zu erkennen und Priorisierung vorzunehmen, obwohl den Unternehmen bewusst ist, dass Komplexität in den Prozessen auch Schwachstellen schafft. Diese Schwachstellen können von Ransomware und anderen Bedrohungstools ausgenutzt werden.

Die Folgen betrieblicher Komplexität sind neben finanziellen Verlusten, Datenschutzverletzungen und erfolgreiche Cyber-Angriffe (die auch wiederum Reputationsverluste bedeuten können). Es besteht das Risiko einer fehlenden Cyber-Resilienz (also einer mangelnden betriebliche Belastbarkeit), sich nach einem Cyberangriff oder einem Technologiefehler zu erholen. Unternehmen sind dann unfähig, schnell und angemessen zu agieren, um am Markt weiterhin bestehen zu können.

Komplexität wird also gerne ausgenutzt und sind bevorzugte Ziele von Cyber-Angriffen. Die Kunst besteht darin, die Risiken zu identifizieren, zu priorisieren und entsprechend mit wirksamen Maßnahmen zu begegnen. Insbesondere auch, wenn die diese Cybersicherheitsrisiken durch verbundene Unternehmen (Dienstleister und Lieferanten) entstehen. Hier muss man besonders auf die Schnittstellen schauen, welche Angriffsziele darstellen können. Drittanbieter (Third-Parties) sind alle Organisationen oder Personen, zu denen eine Geschäftsbeziehung besteht. Hier besteht sowohl ein Informations- als auch Datenabtausch und damit auch Risiken bei Schnittstellen die gezielt angegriffen werden können. Hier sollte auch auf eine Harmonisierung der Betrachtung von Third-Parties im Unternehmen erfolgen, damit nicht jede Abteilung eine eigene Vorgehensweise hat. Eine Synchronisierung der Sicherheitsmaßnahmen und damit eine ganzheitliche Betrachtung der Lieferkette und Third-Party Management sind unumgänglich, um eine höhere Cybersicherheit zu erreichen.

Komplexität von Strukturen und Prozessen können somit für die Cybersicherheit eine Falle sein. Monitoring cybersicherheitsrelevanter Events sind ein wichtiger Bestandteil, um das Cybersicheitsrisiko zu minimieren, Angriffe frühzeitig zu erkennen und mit erprobten Krisenplänen entgegenzutreten.

/von

Cyberangriffe beim Mittelstand

Cyber-Risiken stellen KMU (Kleine Mittelständische Unternehmen) vor eine große Herausforderung. Die Auswirkungen nehmen zu. Für die Geschäftsführung muss diese Tatsache als ein Risiko mit höchster Priorität angesehen werden.

Ransomware-Angriffe, bei denen Unternehmen von ihren Computersystemen „lahmgelegt“ werden, haben dramatisch zugenommen und sich im ersten Halbjahr 2021 fast verdoppelt, während das durchschnittliche Lösegeld, um aus dem Dilemma zu entkommen, um 82 % gestiegen ist.  Weltweit werden Unternehmen jeder Größe und Art von kriminellen Ransomware angegriffen. Diese Angriffe führen oft zum Stillstand des Geschäftsbetriebs. Die Wiederherstellung braucht Zeit, wird teuer, führt zu Imageverlust und kann den Geschäftsbetrieb stören oder gar aufhalten.

Beispielsweise musste JBS, das weltweit größte Fleischverarbeitungsunternehmen, ein Lösegeld in Höhe von 11 Millionen US-Dollar zahlen, um wieder Zugriff auf seine Daten und Systeme zu erhalten. Ransomware führte beim norwegischen Energietechnologieunternehmen Volue zu Stilllegungen von Wasser- und Wasseraufbereitungsanlagen, von denen 85 % der norwegischen Bevölkerung betroffen waren. Transnet, ein südafrikanische Hafenbetreiber, war ebenfalls von Ransomware betroffen, was zu Störungen und Verzögerungen in einem der wichtigsten Häfen Südafrikas führte. In Deutschland führten Angriffe auf Krankenhäuser zu Netzwerkproblemen und tagelangen Ausfällen an der Uni-Klinik Düsseldorf oder im Klinikum Neuss. In Krankenhäuser der USA sollen in den ersten sechs Monaten 2021 Netzwerke aufgrund von Ransomware getrennt worden sein – entweder durch eigene Maßnahmen, um eine Sicherheitsverletzung zu vermeiden, oder weil sie durch eine schwere Malware-Infektion dazu gezwungen wurden.

Das Problem bei KMU ist, im Gegensatz zu großen Unternehmen, dass sie keine Abteilungen für Cybersicherheit verfügen. Demnach reagieren sie oftmals erst nach einem Angriff, was für viele mittelständische Unternehmen das Geschäft einfach lahmlegen kann.

Ein besonders besorgniserregender Trend ist, dass Kriminelle Cyberangriffe derart Gestalt annehmen, was früher staatlichen Akteuren vorbehalten war. Dies kommt vor allem bei sogenannten „Supply Chain Angriffen“ vor, welche die Lieferkette betreffen. Dabei werden unbekannten Fehler in der Technologie von Unternehmen ausgenutzt, die Kunden des Unternehmens infizieren und traditionelle Abwehrmaßnahmen wie Antivirensoftware dabei umgehen.

Cyber Technologien werden von Staaten ausgenutzt, um hauptsächlich Wirtschaftsspionage und Diebstahl von geistigem Eigentum zu betreiben. Die Cyberoperationen der Staaten hat sich seit 2017 verdoppelt, wobei ein Drittel dieser Angriffe offenbar auf Unternehmen abzielen. Eines der bekanntesten Beispiele aus jüngster Zeit war der russische Angriff auf das US-amerikanische Technologieunternehmen SolarWinds, das Sicherheitslücken in vertrauenswürdigen Technologieprodukten ausgenutzt hat.

Der Mittelstand ist der Motor unserer Gesellschaft und leider auch der wunde Punkt. Umso wichtiger ist, dass die Geschäftsführung das Risiko erkennt und ein gutes Verständnis dafür entwickelt, was er schützen muss und wie viel Risiko er eingehen möchte.

Wichtig für die Einschätzung ist eine unabhängige Bewertung des Cyber-Risikoprofils und der Wirksamkeit der aktuellen Cyber-Sicherheitsvorkehrungen im Unternehmen. Auf dieser Grundlage sollten KMU in ein Cyber-Verbesserungsprogramm investieren und sicherstellen, dass sie Zugang zu den benötigten Cyber-Kompetenzen haben, einschließlich unabhängiger Expertenberatung durch Dritte.

Wie sieht die Zukunft für Cyber-​​Sicherheit im Mittelstand aus? Der Mittelstand, insbesondere Wachstumsunternehmen, werden bei ihrer Expansion potenziell reale Angriffsziele. KMU müssen in Sachen Cyber-Sicherheit mehr Engagement zeigen, um die Herausforderungen effektiv und zeitnah zu bewältigen. Das Risiko Management System (RMS) mit all seinen Prozessen muss neu überdacht und implementiert werden. Die Verankerung einer Sicherheitskultur im Unternehmen ist der beste Schutz vor Cyberbedrohungen und diese muss von oben, Top-Down vorgelebt werden.

/von