Home / Aktuelles & Termine / it.sec blog

Wie ist die heutige Risikolage?

Die Risikolage bezüglich der im Unternehmen verarbeiteten Daten wird heute immer noch unterschätzt! Denn Informationen sind das heutige „Gold“ mit dem man schnell viel Geld machen kann. Sie finden sich überall wieder, auf unseren Tablets, auf unseren Smartphones und natürlich auf den Rechnern und anderen technischen Geräten, die in Unternehmen eingesetzt werden. Professionelle Hacker wissen wonach sie suchen müssen und sie wissen auch dieses „Gold“ zu verwerten.
Dadurch können hohe finanzielle Schäden für das Unternehmen entstehen und auch ein nicht zu unterschätzender Imageverlust kann für ein betroffenes Unternehmen die Folge sein.
Doch auch auf anderen Wegen, wie über Bußgelder können Unternehmen heutzutage sehr viel Geld verlieren. So gibt es seit dem 25. Mai 2018 Sanktionen, die durch die EU-DSGVO empfindlich geahndet werden. Sanktionen werden bei einem Sicherheitsvorfall nicht nur einmal erhoben, denn sollten mehrere Verstöße gegen die Vorgaben des Datenschutzes (persönliche Daten/Kundendaten) nachgewiesen werden, so wird jeder Verstoß einzeln geahndet.

Was investieren Unternehmen in den Schutz ihrer Daten?

Trotz der Bedrohung durch Hackerangriffe und der Selbstverständlichkeit, das eigene Unternehmen u.a. gemäß den Vorgaben der EU-DSGVO auszurichten, d.h. auch entsprechende Sicherheitsvorkehrungen zu treffen, sind viele Unternehmen eher bereit, einen Sicherheitsvorfall zu riskieren, als vorab in die IT-Sicherheit zu investieren. Dabei halten mehr als die Hälfte der Unternehmen ihre Unternehmensdaten für nicht sicher. Grund hierfür sind unter anderem die weiter sinkenden Investitionen in die IT-Sicherheit, welche in Deutschland und Österreich bei gerade einmal 13 Prozent liegen.
Daher gehen viele Unternehmen dazu über, Lösegeld für ihre Daten zu bezahlen oder auch die von der EU-DSGVO verhängten Sanktionen, welche mit 2 % bzw. 4% des globalen Umsatzes oder bis zu 10 oder 20 Mio. Euro pro Verstoß immense Kosten in einem Unternehmen verursachen.Dazu kommen natürlich noch die Kosten, um nach einem Angriff die betroffenen IT-Systeme und Infrastrukturen wiederherzustellen. Von dem Imageverlust des Unternehmens ganz zu schweigen, welcher sich nur schwer in Euros beziffern lässt. Auch das Vertrauen der Kunden zurückzugewinnen, ist natürlich ebenfalls nicht umsonst.
Nur wird noch häufig vernachlässigt, wenn das Opfer das Lösegeld bezahlt, wird auch nicht in allen Fällen die Daten wieder freigegeben und entschlüsselt. Und sollte ein Unternehmen attraktiv für Hacker sein, wird es auch nicht nur einem (erfolgreichen) Angriff standhalten müssen.

Muss das so sein?

Kurze Antwort: Nein. Lange Antwort: Es muss natürlich eine Abwägung zwischen den betriebenen Aufwänden und der Wahrscheinlichkeit eines Sicherheitsvorfalls geben. Aber mit rund 13 Prozent mehr oder weniger auf IT-Sicherheit zu verzichten, ist für ein wirtschaftlich handelndes Unternehmen keine akzeptable Lösung.
Denn wenn auch einigen Betroffenen die Sicherheitslücken in ihrer konfigurierten Verschlüsselung eher „esoterisch“ vorkommen und glauben, dass diese nicht wirklich ausnutzbar sind, der ist zumindest derzeit noch nicht ganz verkehrt, aber es wird hier mit einem offenen Einfallstor zu unbedacht umgegangen.Es ist zwar derzeit nur sehr schwer und nicht ohne hohen Aufwand möglich Verschlüsselungen zu brechen,vieles ist bisher „nur“ in Labor-Umgebungen erfolgreich gewesen, aber in der heutigen Zeit, wo die Entwicklung der Supercomputer immer mehr Auftrieb nimmt, sollten diese Schwachstellen auch nicht auf die „leichte Schulter“ genommen werden. Selbst heute sind Supercomputer in der Lage 93 PetaFlops (das entspricht Billiarden Gleitkommaoperationen in der Sekunde) auszuführen. Diese Leistung und der Fortschritt in der Entwicklung könnte dazu führen, dass derzeitige noch als sicher geltende Verschlüsselungsverfahren, wie RSA und ECC, ab 2031 geknackt werden könnten. Neben Supercomputern gibt es aber auch heute schon die Möglichkeiten der Nutzung von Bot-Netzen (Mirai & Co.), um die nötige Rechenleistung für solche Kollisionsverfahren oder das Faktorisieren von Schlüsseln zu erzielen.
Kennt man die Vorgehensweise und die Methoden von Hackern, kann ein Unternehmen dies bei der Planung der IT-Sicherheit durch Sicherheitsexperten einfließen lassen, aber es darf nicht die alleinige Bewertungsgrundlage sein.So sollten neben dem Fixen der kritischen und hoch eingestuften Schwachstellen auch auf das Fixen der eher „fiktiv erscheinenden“ Schwachstellen (wie bei der Verschlüsselung oder den SSL-Zertifikaten) Rücksicht genommen werden, da diese mit jedem Tag besser und schneller ausnutzbar sind.

Fazit

Unternehmen sollten ihre Investitionen in eine funktionierende IT-Sicherheit überdenken und den Stellenwert der Daten und Informationen, die sie schützen müssen. Sie sollten sich die Frage stellen, ob der Aufwand und die Investitionen dem Level der schützenswerten Daten auch entsprechen. Denn es ist die Grundlage all ihrer Arbeit. Ein professioneller Rennfahrer würde seinen Rennwagen schließlich auch nicht unverschlossen mit steckendem Schlüssel im Zündschloss auf der Straße stehen lassen.Für allen Planungen zur IT-Sicherheit sollte also neben dem Stellenwert der schutzbedürftigen Daten/Informationen auch immer die Frage berücksichtigt sein, wie geht ein Hacker vor, was für Hürden müssen wir ihm stellen, wie ist die Entwicklung der Technologie (Stichwort: Supercomputer) und wie verhalte ich mich datenschutzkonform?
Die Investitionen zur Umsetzung der vorab genannten Überlegungen und die Überprüfung durch IT-Sicherheitsexperten, die präventiv das Sicherheitslevel untersuchen, bewerten und Empfehlungen zur Verbesserung der IT-Sicherheit geben können, ist vergleichsweise für ein Unternehmen daher deutlich lukrativer, indem sie je nach Umfang und Tiefe einer Sicherheitsprüfung, einen vier- bis fünfstelligen Betrag zahlen, als mit sieben- bis achtstelligen Kosten- und Sanktionsbeträgen zu spekulieren und obendrein noch ihren „guten Ruf“ zu riskieren.

Chr. Schöndube
Senior IT-Security Consultant / Penetrationstester

In diesem Beitrag werden fünf in der Praxis oft anzutreffende Fallstricke benannt, die bei einem Aufbau eines Informations-Sicherheits-Management-Systems (ISMS) einer kritischen Infrastruktur besser vermieden werden sollten.

Fehler Nr. 1: Das ISMS falsch ausrichten

Noch vor Inkrafttreten des IT-Sicherheitsgesetzes wurden insbesondere im Energiesektor zahlreiche Projekte ausgeschrieben, die faktisch zu einem ISMS führen, das nur bedingt mit dem IT-Sicherheitskatalog der Bundesnetzagentur im Einklang steht.

Hier ist der Fehler, zu Beginn eines ISMS-Projekts nicht präzise erhoben zu haben, welche Anforderungen tatsächlich zu erfüllen sind. Das ISMS ist jedoch nur so passgenau, wie in seiner Spezifikation angelegt. Eine fehlerhafte Spezifikation verschlingt unnötig viele Ressourcen. Ein ISMS ist ein fortlaufender Prozess und kein irgendwann mal abgeschlossenes Projekt.

Fehler Nr. 2: Das ISMS falsch steuern

Die Zielgenauigkeit und Wirksamkeit eines ISMS hängt maßgeblich davon ab, ob im Rahmen der Risikoanalyse die richtigen Risiken erkannt und anschließend verantwortungsgerecht behandelt werden. In der Praxis ist jedoch ausgerechnet die Risikoanalyse oft das ungeliebte Stiefkind:

  • Hier werden entweder solche Methoden verwendet, die ein bereits vorhandenes oder billig erwerbbares Tool unterstützt, unabhängig davon, ob das wirklich zu dem Kontext der kritischen Infrastruktur passt.
  • Oder es werden ausschließlich vordefinierte Gefährdungskataloge eingesetzt, ohne zu prüfen, ob kontextbezogen ggf. eine andere Gefährdung zusätzlich bzw. vorrangig betrachtet werden sollte.

Hier ist der Fehler, dass eine Risikoanalyse als lästige Übung angesehen wird. Ein ISMS wird aber tatsächlich im Wesentlichen über eine adäquate Betrachtung der Risiken gesteuert.

Fehler Nr. 3: Den falschen IT-Sicherheitsbeauftragten einsetzen

Die Güte eines ISMS steht und fällt in der Praxis mit dem IT-Sicherheitsbeauftragten bzw. Informations-Sicherheitsbeauftragten (SiBe). Doch gerade bei der Besetzung dieser Funktion werden besonders viele Zugeständnisse zugunsten des operativen Geschäfts gemacht oder Funktionsträger faktisch in operative Interessenskonflikte gebracht.

Hier ist der Fehler, die Aufgaben des SiBe zu unterschätzen. Die tatsächlich geforderte Aufgabenvielfalt erfordert erfahrene und für Informationssicherheit ausdrücklich ausgewiesene Spezialisten. Und die findet man oft nur bei externen Beratungshäusern.

Fehler Nr. 4: Die falschen Dinge regeln

Wohlklingende Regelungen in Sicherheitskonzepten oder Organisationsrichtlinien sind nutzlos, wenn diese nicht der Praxis entsprechen und/oder nicht effizient überprüfbar sind. Bei einem ISMS werden Schutzvorkehrungen im Rahmen der Risikobehandlung festgelegt. Simplifizierte Musterpolicies oder Dokumentationen „von der Stange“ helfen daher ebenso wenig, wie Regelungen, die für den Anwender nicht klar verständlich sind oder in der Praxis nicht umgesetzt werden.

Hier ist der Fehler, die organisatorischen Vorgaben als Zielsetzung und nicht als Beschreibung der Umsetzung anzusehen. Solche Inkonsistenzen führen in der Praxis dazu, dass vorgesehene Maßnahmen wirkungslos sind und der Eindruck entsteht, dass ja schon das Wesentliche mit der Festlegung des Ziels bei einem ISMS gemacht sei.

Fehler Nr. 5: Sicherheitsvorfälle falsch adressieren

Der Schutz kritischer Infrastrukturen hängt oft empfindlich vom Aufbau eines wirksamen Security Incident Response Managements ab. Dabei ist sowohl wichtig, wie man entsprechende Vorfälle einstufen und dementsprechend behandeln sollte als auch wie man aufgestellt sein muss, um mit Vorfällen adäquat umgehen zu können (Incident Response Readiness).

Hier ist der Fehler, das Vorfallmanagement erst damit beginnen zu lassen, wenn und wie ein Vorfall gemeldet wird. Im Zuge eines konsequenten Incident Response Managements ist dafür zu sorgen, dass nach einer Ausnahmeregelung wieder geordnet in den Regelbetrieb übergegangen wird.

Bernhard C. Witt

Dipl.-Inf., Senior Consultant für Datenschutz und Informationssicherheit

bcwitt@it-sec.de

Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu BEAST Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Browser Bund Bundesarbeitsgericht Bußgeld Bußgelder BVG Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsche Bahn Dienstleister Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb Gesundheitsdaten Google Google Analytics hacken Hacker Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Home Office Immobilienmakler Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme ITSECX Jin-hyok Joint Control Kanada Keynote Klagebefugnis Klingelschilder Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Lazarus Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Löschungsrecht Lösegeld Malware Markennamen Markenrecht Marktortprinzip MD5 Meldepflicht Meldescheine Meldung Meltdown Messenger Microsoft Mieter Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Netzwerklabor NIST Nordkorea Nutzungsbedingungen Öffnungsklauseln One Stop Shop Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente POODLE Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung SamSam Sanktionen Schaden Schadprogramm Seitenbetreiber SHA1 sicher Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Sponsoren Standardvertragsklauseln Strafe Strafverfolgung Studenten Supercomputer Risikolage Support Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telemediendienst Telemediengesetz Telstra Security Report TKG TLS TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31