:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Fit für die EU-DSGVO Fahrplan zur Datenschutz-Grundverordnung
Bis Mai 2018 haben Unternehmen noch Zeit, dann sind sie der EU-Datenschutz-Grundverordnung verpflichtet, die europaweit für viele neue Auflagen und Sanktionen verantwortlich ist. Unternehmen sind gut beraten, sich ab sofort um die Aufstellung ihrer IT-Sicherheit und ihrer Information-Management-Prozesse zu kümmern, um sich auf die neuen Regelungen vorzubereiten. Tim Grieveson, Chief Cyber and Security Strategist bei Hewlett Packard Enterprise hat einen Fahrplan zusammengestellt, wie Unternehmen sich im Jahr 2017 für die neuen Regeln fitmachen können.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Für Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, archivieren oder nutzen sind mit der Datenschutz-Grundverordnung, die Datenschutz-Regularien der 28 EU-Staaten modernisiert und vereinheitlicht, zahlreiche Auflagen und auch Sanktionen verknüpft. Unternehmen müssen dann beispielsweise Datendiebstahl innerhalb von 72 Stunden den Behörden melden. Außerdem können Datenschutzverstöße mit Geldstrafen von bis zu vier Prozent des Jahresumsatzes des Mutterunternehmens geahndet werden.
Unternehmen sind gut beraten, sich ab sofort um die Aufstellung ihrer IT-Sicherheit und ihrer Information-Management-Prozesse zu kümmern, um sich auf die neuen Regelungen vorzubereiten. Die neue EU-Datenschutz-Grundverordnung sollte als Chance begriffen werden, den Umgang des Unternehmens mit geschäftskritischen Unternehmens- und Nutzerdaten auf den Prüfstand zu stellen. Damit schaffen Firmen ein Bewusstsein für den Wert und die Wichtigkeit der vorhandenen und genutzten Daten und können Wege entwickeln, die existierenden Daten anders zu nutzen, um Wettbewerbsvorteile zu generieren – und gleichzeitig die Vorschriften einzuhalten. 2017 sollte das Jahr sein, in dem sich Unternehmen in Sachen IT-Sicherheit neu positionieren. Security treibt Geschäft und ist keine „Policy-Polizei“, die immer nein sagt!
Schritt 1: Definieren Sie einen umfangreichen Rahmen und eine Strategie für digitale Sicherheit
Unternehmen sollten die Daten priorisieren, die sie sichern müssen, und sie sollten Informationssicherheit an die Geschäftsziele knüpfen.
Schritt 2: Stellen Sie Ihre Daten in den Fokus – Registrierung, Klassifizierung, Verschlüsselung, Speicherung
Ein wichtiger Schritt zur Erfüllung der neuen EU-Datenschutz-Grundverordnung ist die Identifizierung, Klassifizierung und der Umgang mit Kundendaten. Ein Nebenaspekt dieser genauen Einordnung ist, dass auch Daten, die gegebenenfalls gemäß der neuen Regelung des „Rechts auf Vergessenwerden“ gelöscht werden müssen, schneller identifiziert werden können.
Nur Unternehmen, die den Wert der Daten verstehen, können angemessene Schutzmaßnahmen ergreifen, um diese zu schützen. Versuchen Sie nicht, alles zu schützen, sondern konzentrieren Sie sich auf die kritischen Daten. Das reduziert nicht nur deutlich den Zeitaufwand für die Implementierung der richtigen Technologie und die Personalschulung, sondern ermöglicht außerdem eine zusätzliche Wertschöpfung. Denn je mehr Sie über Ihre Daten wissen, beispielsweise wo sie liegen, umso eher lassen sich neue Nutzungsszenarien überlegen und daraus neue Umsatzmodelle entwickeln.
Schritt 3: Führen Sie ein komplettes Audit der gegenwärtigen und wahrscheinlichen Risiken durch, um Risiken zu reduzieren
Unternehmen sollten zunächst identifizieren, welche Daten geschäftskritisch sind, wo diese liegen und wer darauf Zugriff hat. Die detaillierte Klassifizierung der Daten nach Typ, Inhalt und Nutzung bestimmt dann die passenden Technologien, Systeme und Prozesse, die für den wirkungsvollen Schutz und die Verwaltung der jeweiligen Daten angewendet werden müssen. Wichtig ist, dass Unternehmen einen zentralen Regelsatz für Sicherheit, Compliance und Verhaltensregeln etablieren, der über den gesamten Lebenszyklus der Information hinweg angewendet wird. Darüber hinaus sollten Unternehmen dafür sorgen, dass Informationen regelmäßig durch ein Backup gesichert werden.
Schritt 4: Bauen Sie Security von Beginn an in alle Prozesse ein (Security by Design)
IT-Sicherheit sollte ein integraler Bestandteil eines jeden Unternehmens sein, ebenso wie Gesundheit und Arbeitssicherheit. Mitarbeiter sollten im Bereich Security und Datenschutz umfassend geschult werden, denn eines der größten Risiken für die Sicherheit der Daten geht von innen aus. Dabei handelt es sich meistens nicht um eine mutwillige Gefährdung oder Entwendung der Daten, sondern um fahrlässige Handlungsweisen, die die Unternehmenssicherheit in Gefahr bringen. Unternehmen, die diese Punkte nachhaltig erfolgreich umsetzen und sich auf ihre Daten konzentrieren, sind bestens gerüstet für die neuen Regelungen, die ab Mai 2018 gelten werden. Wichtig ist, dass sie mit diesen Maßnahmen frühzeitig beginnen und sie kontinuierlich umsetzen. Sicherheit und Schutz der Daten sind kein einmaliges Projekt, sondern ein fortlaufender Prozess, um Unternehmenswerte zu schützen.
Schritt 5: Bereiten Sie sich auf den unvermeidlichen Ernstfall vor
Auch wenn alle Sicherheitsmaßnahmen vorbildlich umgesetzt werden, empfiehlt es sich, den Ernstfall zu proben und sich auch gegebenenfalls auf gerichtliche Anweisungen vorzubereiten. Dazu gehören beispielsweise auch Lösungen zur eDiscovery, um im Rechtsstreit Informationen schnell beschaffen zu können. Kein Unternehmen ist heute hundertprozentig sicher, und wenn ein Angriff Erfolg hat, ist es wichtig, darauf vorbereitet zu sein. Dazu gehören Maßnahmen zur
- Reaktion – um den Schaden einzudämmen
- Kommunikation – Kunden und die Öffentlichkeit müssen über Datenvorfälle informiert werden. Hier kommt es auf eine akkurate und schnelle Kommunikation an. Wenn ein Datenvorfall stattgefunden hat, sollten Informationen zu dem Ausmaß des Vorfalls, den Daten, die es betrifft und welche Schutzmaßnahmen implementiert wurden (z.B. waren die Daten möglicherweise verschlüsselt und sind so weniger wert für den Angreifer?) während und nach dem Vorfall in Echtzeit kommuniziert werden.
- Wiederherstellung – wie können verlorengegangene Daten wiederhergestellt werden, und wie kann während und nach dem Vorfall der Betrieb aufrechterhalten werden, um widerstandsfähig gegen Cyberattacken zu bleiben.
* Tim Grieveson ist Chief Cyber and Security Strategist bei Hewlett Packard Enterprise.
(ID:44673243)
:quality(80)/p7i.vogel.de/wcms/e8/c4/e8c407172baa5ec1d481ba19798a1558/0112706442.jpeg "Die Unternehmen der EU, insbesondere die Finanzinstitute, sollen dem Ansturm der Cyber-Bedrohungen Widerstand bieten können - jedenfalls ist das die DORA-Intention. (Bild: Eduardo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/89/4f8908e1dd85667270a529608a4dd970/0107729660.jpeg "Der Datenschutz hat ein Nachweis-Problem. Darum ist eine DSGVO-Zertifizierung so wichtig und begehrt. (Bild: mixmagic - stock.adobe.com)")