:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Carmao Business Information Risk Index Die wichtigsten Branchen spielen Vogel Strauß bei der Informationssicherheit
Im Rahmen der Veranstaltung „Risikodarstellung und Bewertung von Rechenzentren und IT-Unternehmen“ des Eco – Verband der Internet-Wirtschaft stellte Carmao seinen jüngsten „Business Information Risk Index“ vor. Die Sensibilität für Informationssicherheit und Datenschutz steige zwar leicht, die DSVGO zeige Wirkung, und trotzdem lasse die Resilienz mehr als zu wünschen übrig.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
„Unverändert schwächelndes Risikobewusstsein“, „verschlechterte Situation bei den Sicherheitsvorfällen“, die Hälfte der bewerteten Parameter auf kritischen Niveau“, „negative Entwicklung beim internen Risikobewusstsein“, „bedenkliches Sicherheitsniveau“, tief in der critical zone“ und „digitale Risiken werden nicht ernst genommen“ – die Carmao-Experten geizen nicht mit Kritik.
Für die Untersuchung hat das Unternehmen Digital Intelligence Institute (DII) im Auftrag von Carmao 2051 Business Manager befragt. Sie stammen aus Firmen der zehn wichtigsten Branchen - Automotive, Chemie/Pharma, Elektronik, Finance, Lebensmittelindustrie, Energieversorger, Handel, Healthcare, Logistik und Maschinenbau - und mit einem Jahresumsatz von mehr als 10 Millionen Euro. Trotz der Menge an Befragten handelt es sich um eine jeweils subjektive Einschätzung und um kein externes Audit.
Der Business Information Risk-Index (BIR-I) wurde 2017 das erste Mal ermittelt. Er basiert auf 10 Aspekten, die die Befragten auf einer Skala von 1 bis 10 zu bewerten hatten. Die addierten Einzelwerte ergeben ein Gesamtniveau und damit den Index-Wert. Als „kritische Bereiche gelten Einzelbewertungen von unter 7,7 und Gesamtergebnisse von unter 75 Punkten.
Erst die Androhung von Bußgeldern hilft
Im Allgemeinen stellen die Macher einen „deutlichen Anstieg der Unternehmens-Resilienz“ fest, also eine gestiegene Sensibilität für Sicherheit und Datenschutz. Verantwortlich dafür sind, so führt Robert Hellwig, Geschäftsführer der Carmao GmbH, aus die „immer sichtbareren Cyber-Gefahren“, weil in den Unternehmen mit dem Nachdenken über die Digitalisierung auch das Verständnis dafür steigt. Dazu komme aber auch die neue europäischen Datenschutzgrundverordnung (DSVGO), „jetzt, da mit dieser Bußgelder drohen“, setzt er hinzu.
:quality(80)/images.vogel.de/vogelonline/bdb/1518700/1518788/original.jpg "Abbildung 1: Das weltweite Ranking der Bedrohungen im „Allianz Risk Barometer 2019“")
:quality(80)/images.vogel.de/vogelonline/bdb/1518700/1518789/original.jpg "Abbildung 2: Das „Allianz Risk Barometer 2019“ für Europa")
:quality(80)/images.vogel.de/vogelonline/bdb/1518700/1518790/original.jpg "Abbildung 3: Das „Allianz Ris Barometer 2019“ heruntergebrochen auf Deutschland. Hier spielt stärker als in den Vorjahren die Angst vor Handelskriegen, Zöllen, Wirtschaftssanktionen eine Rolle: Auch das Hüh und Hot der Brexit-Verhandlungen machen sich bereits bemerkbar.")
Die gestiegene Aufmerksamkeit auf Security-Belange zeigt auch das „Allianz Risk Barometer“ (siehe: Bildergalerie). Das aktuelle zeigt auf der weltweiten und EU-Skala (Abbildung 1 und 2) der größten Geschäftsrisiken für Unternehmen, dass Cyber-Vorfälle erstmals mit Betriebs- und Lieferkettenunterbrechungen gleichauf liegen, bei jeweils je 37 Prozent der Antworten. In Deutschland liegt mit 48 Prozent letzteres nach wie vor vorne.
Hellwig greift einige Branchen heraus, die generell als risiko-sensibel oder -scheu gelten, etwa die Finanzindustrie. Sein Gesamturteil über diese lautet „ganz gut, aber angesichts der vielen Regularien, die tief in das Geschäft der Finanzhäuser eingreifen, müssten sie besser sein. Die machen Vieles, weil sie müssen, aber nicht, weil sie es verstanden hätten.“
Die Finanzbranche und die chemische/pharmazeutische Industrie
Die schriftlichen Formulierungen im Report falls nicht weniger deutlich aus: „Mal sind Informationen von über 400.000 Unicredit-Kunden in Hacker-Händen gelandet, mal wurde durch eine Sicherheitslücke im Mobilfunknetz Geld von Bankkunden auf fremde Konten umgeleitet, mal werden bei eine Hacker-Angriff auf den US-Finanzdienstleister Equifax Daten von 143 Millionen Kunden gestohlen“, so fängt das Kapitel über die Finanzbranche an. Die Aufsichtsbehörde Bafin habe bereits im Frühjahr 2017 „sehr deutlich“ darauf hingewiesen, dass die IT-Systeme der Kreditinstitute oftmals schlichtweg veraltet und dadurch anfällig für Angriffen von Innen und außen seien.
Auch der Versicherungswirtschaft habe sie nahegelegt, ihre Sicherheitsbemühungen oberhalb des Niveaus gesetzliches Anforderungen zu halten. „Gemeint ist damit, dass für sie die Assekuranz nicht das im BSI-Gesetz definierte Mindestmaß an Informationssicherheit gelten solle“, so der Carmao-Bericht.
Die Chemie- und Pharma-Branche indes bekommt durch die Digitalisierung und neue Technik – von Cloud, Big Data, IoT bis zu Smart Medical Devices- sowie damit einhergehend neue Themen wie der Austausch mit Patienten und einer Individualisierung der Medikamentenfertigung bis hin zur Losgröße 1 riesige Chancen und die Branchenprognosen stehen gut. Doch der intensiven Datennutzung und einer zunehmenden Vernetzung von Wertschöpfungskette folgte die Investition in Sicherheitsvorkehrungen nicht in gleichem Maße. „das ist“, so Hellwig, „gelinde gesagt, ein wenig erschreckend“.
Er erklärt die Entwicklung mit einem zu hohen Kostendruck, was einen Personalabbau zur Folge hatte, so dass nun die eigentlich eingeschliffenen Unternehmensprozesse nicht mehr funktionierten. Dabei registrierten die chemisch-pharmazeutischen Betriebe mehr Patent- und Markenrechtsverletzungen.
Das Hähnchen im Rechenzentrum
Der Lebensmittelbranche bescheinigt der Business Information Risk Index gar ein „bedenkliches Sicherheitsniveau“, obwohl mehr denn je über die Digitalisierung, sich selbst organisierende Produktion und Verpackungsprozesse und IP-gesteuerte Robotersysteme diskutiert werde. Immerhin ist eine wesentliche Voraussetzung dafür die Vernetzung von Menschen, Maschinen und Produkten mit der Informations- und Kommunikationstechnik.
Das Carmao-Angebot
Die Ausführungen zum Index dienen Hellwig jedoch nicht zur Ermahnung. Carmao hat mit „Charisma“ ein Framework entwickelt, das ein integriertes Management zur Resilienzoptimierung ermöglichen soll. Wesentliche Bestandteile sind eine zentrale Anforderungsdatenbank sowie eine zentrales Information Risk Repository. Auf dieser Basis sollen Silo-Strukturen mit unterschiedlichen Organisations- und Zuständigkeitsbereichen überwunden werden können.
Bis jetzt könnten gegenseitige Bedingungsverhältnisse einschließlich der Überschneidungsbereiche zu Nachbardisziplinen nur begrenzt wahrgenommen werden. Immerhin besitzt jeder Teilbereich eigene Werkzeuge und ein Zusammenspiel findet nur selten statt. So entstünden an den Schnittstellen ungewollte Sicherheitslücken, außerdem steige der Aufwand und Kosten. Laut Hellwig gehören aber zur Unternehmensresilienz Business Continuity durch ein IT-Notfall-Management, IT-Service-Continuity, Compliance- und Quality-Management, Datenschutz, Cybersecurity und Informationssicherheit.
Wer sich schon einmal mit dem blauen Engel für Rechenzentren beschäftigt hat, kennt auch Marc Wilkens, der wesentlich an den Bewertungskriterien und an der Erprobung in der Praxis mitgearbeitet hat. Er arbeitet ebenfalls bei der Carmao GmbH, so dass potenzielle Kunden sichergehen können, dass auch physische, organisatorische und prozessorale Aspekte in das Konzept einer 360-Grad-Betrachtung der IT-Risiken einfließen können.
(ID:45729308)
:quality(80)/images.vogel.de/vogelonline/bdb/1933800/1933897/original.jpg "Cybersecurity ist kein Add-On, sondern der Schlüssel für eine erfolgreiche Digitalisierung. (photon_photo - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930890/original.jpg "Die digitale Infrastruktur in der EU soll belastbar und ausfallsicher sein, gerade im Krisenfall. (video4all - stock.adobe.com)")