:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Meldepflicht bei IT-Sicherheitsvorfällen KRITIS in öffentlichen Verwaltungen
Seit Juli 2015 ist das IT-Sicherheitsgesetz in Kraft. Es trägt der Tatsache Rechnung, dass die zunehmende Digitalisierung und Vernetzung auf der einen Seite große Wachstums- und Entwicklungspotenziale mit sich bringen, auf der anderen Seite jedoch die Verwundbarkeit von Kritischen Infrastrukturen (KRITIS) erhöhen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
Die deutsche Legislative hat quasi mit einem Federstrich dafür gesorgt, dass Unternehmen und Organisationen unterschiedlichster Größe und aus den verschiedensten Branchen, hierzu zählt auch die Verwaltung, ihre komplette Strategie zur Abwehr von Cyberangriffen und zur Gewährleistung von Ausfällen anpassen, wenn nicht gar neu denken müssen. Organisationen, deren Leistung für das Allgemeinwohl und den Fortbestand der Wirtschaft und Verwaltung in Deutschland unabdingbar ist, bekommen mit dem IT-Sicherheitsgesetz Auflagen, ihre IT-Sicherheit und Ausfallsicherheit nach dem aktuellen Stand der Technik auszurichten.
:quality(80)/images.vogel.de/vogelonline/bdb/884400/884450/original.jpg "(Bildcollage: Fotolia.com)")
Hacker-Angriffe und IT-Sicherheitsgesetz
Mehr Schutz für die Behörden-IT
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die überwachende Behörde, die diese in der Vergangenheit unter Umständen als „Nice to Have“-eingestufte Fragestellungen konsequent überwacht. So besteht eine Meldeverpflichtung für betroffene Organisationen bei IT-Sicherheitsvorfällen und auch die mangelhafte oder nicht erfolgte Umsetzung der technischen Vorgaben ist mit Geldstrafen belegt.
Was jetzt zu tun ist
Was die von KRITIS betroffenen Organisationen konkret tun müssen, ist bislang noch nicht im Detail geklärt. Fest steht, dass gravierende IT-Sicherheitsvorfälle dem BSI gemeldet werden müssen und dass ein Ansprechpartner für IT-Sicherheitsfragen ernannt werden muss. Zwei sehr entscheidende Aspekte des IT-Sicherheitsgesetzes sind leider immer noch sehr schwammig ausgelegt.
Zum einen geht es um die Frage, welche Teile der eigenen IT-Infrastruktur konkret kritisch einzustufen sind und wie der geforderte Stand der Technik in Bezug auf IT-Sicherheit und Ausfallsicherheit erlangt werden kann. Hierzu geben weder die Vorschriften noch die Verordnung oder auch das Gesetz Auskunft.
Kritisch oder nicht?
Als ersten Schritt muss die von KRITIS betroffene Verwaltungseinheit für sich identifizieren, welche ihrer IT-Systeme von zentraler Bedeutung und Kritikalität für die Erbringung ihrer Kernleistungen sind und ob sie im Sinne des Gesetzes dann als kritisch einzustufen sind. IT-Verantwortliche müssen an dieser Stelle die teilweise unübersichtliche IT nach Kritikalität einstufen und gleichzeitig gegebenenfalls auch Wechselwirkungen zwischen unterschiedlichen Systemen mitberücksichtigen.
Hier geht es darum, sich einen Überblick zu verschaffen. Die Etablierung eines funktionsfähigen Informationsicherheits-Managementsystems nach ISO 27001 ist hier der richtige Schritt. Im Allgemeinen bietet ISO 27001 die optimale Grundlage für gesetzeskonformes Handeln in diesem Kontext und ist der Goldstandard für alle in diesem Zusammenhang genutzten externen Services. In einer zweiten Runde sollte dann der vor einigen Jahren vom BSI erstellte Beschaffungsleitfaden für die Öffentliche Verwaltung studiert werden.
Schutzklassen
Das BSI empfiehlt im Rahmen dieses Dokuments, die IT-Infrastruktur und die genutzten Systeme in unterschiedliche Schutzklassen einzuordnen. Je höher die definierte Schutzklasse ist, desto höher ist auch der zu erwartende Schaden, wenn das System letztendlich ausfällt. An dieser Stelle muss der Verantwortliche auch einschätzen, wie hoch generell das Risiko eines Angriffs ist. In dem Moment, in dem sowohl die Schutzklasse als auch das Angriffsrisiko als hoch klassifiziert worden ist, muss die Qualitätsklasse der eingesetzten Technologie entsprechend ebenfalls hoch sein.
Stand der Technik
Wenn es in Gesetzen und Verordnungen um technologische Inhalte geht, dann wird sehr oft mit schwammigen Formulierungen wie „nach dem allgemeinen Stand der Technik“ gearbeitet. Dieser wenig eindeutige Begriff beschreibt einen Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der es ermöglicht, die gesetzlichen Vorgaben in der Praxis zu erfüllen. Oder juristisch gesprochen: „Verfahren, Einrichtungen und Betriebsweisen müssen sich in der Praxis bewährt haben oder sollten – wenn dies noch nicht der Fall ist – möglichst im Betrieb mit Erfolg erprobt worden sein.“
Wer sich dies einmal auf der Zunge zergehen lässt, der erkennt, dass die Anforderungen an IT-Sicherheit und Ausfallsicherheit von Infrastrukturen grundsätzlich hoch angelegt werden. Bleibt trotzdem immer noch die Frage zu klären, wie der allgemeine Stand der Technik für den Einzelfall erreicht und letztlich auch dokumentiert nachgewiesen werden kann. Auch das BSI gibt zu diesem Sachverhalt wenig Auskünfte.
Bitte lesen Sie auf der nächsten Seite weiter.
(ID:44673283)
:quality(80)/p7i.vogel.de/wcms/9f/ac/9faca201431447da5e7b91ef47fc677b/0110984493.jpeg "Welche harten finanziellen und strafrechtlichen Folgen die Missachtung der DSGVO, der NIS2-Richtlinie oder des Cyber Resilience Act haben kann, ist vor allem KMU oft nicht bewusst. (Bild: DOC RABE Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5a5e8d40948aa3f1709b9c4ac3aedb/0108994514.jpeg "Wolfgang Huber von Cohesity erläutert vier Schlüsseltrends für die IT 2023. (Bild: frei lizenziert)")