:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Trust-Ratings in der Security Wie man die Zuverlässigkeit eines Anbieters beurteilt
Sicherheitsmängel bei Zulieferern und Dienstleistern dürfen Unternehmen nicht hinnehmen. Zum einen können sich die Mängel auf die eigene Datensicherheit auswirken. Zum anderen sieht der Datenschutz vor, dass ein Unternehmen Verantwortung für Datenschutzverletzungen der Auftragsverarbeiter übernehmen muss. Benötigt werden Trust Ratings für die Sicherheit bei Geschäftspartnern.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Stellen Sie sich vor, Ihr Einkauf beschafft neue Hardware, die für ein wichtiges Kundenprojekt eingesetzt werden soll. Diese Hardware erweist sich später als mangelhaft, die Firmware hat Sicherheitslücken, die unerlaubte Zugriffe auf die Kundendaten ermöglichen könnten. Wenn die neue Hardware genutzt wird und Daten des Kunden missbraucht werden können, wird dies Ihrem Projekt und dem Ruf Ihres Unternehmens schaden können, womöglich auch Ihnen, wenn Sie für die Sicherheit im Projekt verantwortlich sind. Hätte die Stelle, die für Einkauf und Beschaffung zuständig ist, besser aufpassen müssen? Eigentlich schon, doch wie sollen Einkauf und Beschaffung wissen, ob eine Hardware sicher ist oder nicht?
Auch wenn jedes Qualitätsmanagementsystem (QMS) vorschreibt, dass Lieferanten auditiert werden müssen und Zulieferungen einen Eingangstest bestehen müssen, fehlen in vielen Unternehmen das Know-how und die Werkzeuge, um die IT-Sicherheit von eingekauften Produkten und Services zu beurteilen.
:quality(80)/images.vogel.de/vogelonline/bdb/1298800/1298895/original.jpg "Security-Ratings, also Übersichten, Bewertungen und Kennzahlen zur IT-Sicherheit verschiedener Lösungen, sind für Anwender und Anbieter von Vorteil. (pixelfreund - stock.adobe.com)")
Security-Ratings
Sicherheit als als Einkaufsbedingung
Der Datenschutz macht es vor
Die möglichen Folgen von IT-Sicherheitsmängeln, die bei Lieferanten und Dienstleister bestehen, sind wahrlich keine Unbekannten. Trotzdem werden weiterhin Bestellungen getätigt und Aufträge vergeben, ohne einen Nachweis über die IT-Sicherheit der Geschäftspartner, Produkte und Services zu haben.
Im Datenschutz begegnet man diesem Problem bereits seit langem durch die Klärung der Verantwortung im Fall einer Auftragsverarbeitung. Nicht erst seit der Datenschutz-Grundverordnung (DSGVO / GDPR) bleibt der Auftraggeber in der Verantwortung, wenn der beauftragte Dienstleister eine Datenschutzverletzung im Rahmen des Auftrags begeht. Die DSGVO fordert deshalb, dass Unternehmen nur dann einen Auftrag zur Verarbeitung personenbezogener Daten vergeben, wenn der Datenschutz bei dem Auftragnehmer sichergestellt ist.
Da es auch im Datenschutz nicht einfach ist, die Eigenschaften eines Dienstleisters zuverlässig und im Vorfeld zu beurteilen, sind Datenschutz-Zertifikate heiß begehrt, bei den Auftraggebern und bei den Auftragnehmern. Unabhängig davon, wie es gegenwärtig um die Datenschutzzertifizierung nach DSGVO und die Akkreditierung der Zertifizierungsstellen steht, das Konzept der Verantwortung für den Datenschutz und die Zertifizierung als möglicher Nachweis sind gesetzliche Vorgaben, sprich: eines Tages werden diese Instrumente vollständig greifen.
Die IT-Sicherheit braucht neue Formen des Nachweises
Natürlich gibt es eine ganze Reihe an Zertifizierungen für die IT-Sicherheit, für Unternehmensprozesse, für Produkte, für Services und für Personen und deren Qualifikation. Trotzdem fließt die IT-Sicherheit und der Nachweis darüber noch deutlich zu wenig in die Einkaufsbedingungen und Lieferantenkriterien von Unternehmen ein. Einzelne Branchen wie Automobil und Banken sowie Bereiche wie Kritische Infrastrukturen (KRITIS) haben bereits bestimmte Anforderungen in Branchenstandards geschaffen, die die Zulieferer und Dienstleister einhalten müssen.
Entscheidend ist es aber, dass IT-Sicherheitsvorgaben als Einkaufsbedingung und Lieferantenkriterium branchenübergreifend und auf ganzer Breite eingeführt werden. Datenschutz und Sicherheit können nur über die ganze Lieferkette gewährleistet werden. Dabei muss auch an einzelne Komponenten gedacht werden, wie an Router, die in einem Projekt eingesetzt werden sollen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Technischen Richtlinie „Secure Broadband Router“ (TR-03148) veröffentlicht. Die Technische Richtlinie richtet sich vor allem an die Hersteller von Breitband-Routern und definiert ein Mindestmaß an IT-Sicherheitsmaßnahmen, die für Router im Endkundenbereich umgesetzt sein sollten.
Ziel der TR ist es damit auch, die Sicherheitseigenschaften für Verbraucherinnen und Verbraucher transparent zu machen. Dies können Hersteller durch eine geeignete Kennzeichnung am Gerät unterstützen. Das BSI wird auch für weitere Geräte des Internets der Dinge und des Smart Homes Mindestanforderungen an deren IT-Sicherheit formulieren.
Zweifellos müssen auch Produkte und Services für den B2B-Bereich entsprechende IT-Sicherheitskennzeichungen bekommen, die den Einkauf bei der Auswahl von Produkten und Diensten unterstützen.
Trust Ratings für Security müssen und werden kommen
Security-Anbieter wie Forcepoint sehen in Trust Ratings bereits einen Trend für 2019: Branchenweite Security Trust Ratings seien notwendig, wenn Unternehmen nach Zusicherungen suchen, dass Partner und Wertschöpfungsketten vertrauenswürdig und ausreichend gesichert sind. So suchten schon jetzt 58 Prozent der befragten Forcepoint-Kunden aktiv nach vertrauenswürdigen Cloud-Anbietern mit einem guten Ruf für Sicherheit.
Es wäre erfreulich, wenn es in 2019 mit solchen Trust Ratings für die Security von Lieferanten und Dienstleistern klappen würde. Ganz gleich, wie man die Security-Nachweise nennt: Es müssen Kriterien für Produkte und Services definiert werden, es müssen Zertifizierungsstellen gefunden und akkreditiert werden, nach anerkannten Richtlinien. Die Nachweise müssen als Forderungen in die Einkaufsbedingungen Eingang finden.
All dies wird Zeit brauchen. Doch der Datenschutz kann hier zeigen, wie der Weg aussieht: Über sogenannten Verhaltensregeln, wie es die DSGVO nennt, lassen sich Branchenstandards entwickeln. Akkreditierungsregeln für Zertifizierer werden verabschiedet, Zertifikate werden vergeben und die Einhaltung kontrolliert.
Die Rolle der Datenschutzaufsichtsbehörden wird das BSI übernehmen und die IT-Sicherheitskennzeichnung vorantreiben. Diese Kennzeichnungen jedoch müssen auch bei der Beschaffung eingefordert werden, bei den Lieferanten und Dienstleistern, über die Einkaufsbedingungen. Im Datenschutz wird genau das geschehen.
(ID:45761635)
:quality(80)/images.vogel.de/vogelonline/bdb/1942400/1942474/original.jpg "Immerhin ein knappes Drittel der Deutschen wäre bereit, persönliche Daten für einen Preisnachlass herauszugeben. (Maksim Kabakou - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1944700/1944703/original.jpg "Auch im Zusammenhang mit der Supply-Chain-Security gilt nach wie vor das Sprichwort: Jede Kette ist nur so stark wie ihr schwächstes Glied. (Romolo Tavani - stock.adobe.com)")