User Awareness in Cyber Security: Training Ihrer Mitarbeiter

Abgelegt in: Antworten

Beinahe täglich sind Cyber-Attacken auf Unternehmen, Behörden und Kliniken in der Presse. Ein großer Anteil erfolgreicher Attacken geht auf den fahrlässigen Klick eines Mitarbeiters zum Aufruf eines Links oder Anhangs zurück. Ein falscher Klick kann eine Organisation für Tage lahmlegen und Schäden in Millionenhöhe verursachen. Ein Security-Experte hat Organisationen treffend mit einem Ballon verglichen, dessen gesamte Oberfläche geschützt werden muss, während dem Angreifer eine kleine feine Nadel genügt. Die Awareness der Mitarbeiter für die Gefährdungen spielt für den Schutz eine extrem große Rolle. Im nachfolgenden Gastbeitrag erläutert der auf Awareness-Maßnahmen spezialisierte Anbieter MainDefense worauf es dabei ankommt. Weiterlesen…

„Tear down the wall“ – integrierte Umsetzung des Sicherheitsmanagements

Abgelegt in: 1 Antwort

Auf dem Online-Drehkreuz 3GRC für Governance Risk & Compliance ist heute mein Artikel “Tear down the wall” – integrierte Umsetzung des Sicherheitsmanagements erschienen. An einem praktischen Beispiel wird die Notwendigkeit der Integration der verschiedenen Disziplinen des Sicherheitsmanagements eines Unternehmens beschrieben. Noch arbeiten oftmals die Disziplinen Business Continuity Management, Informationssicherheit, physische und personelle Sicherheit, Datenschutz und Risikomanagement eher neben- als miteinander. Hierdurch werden wichtige Synergieeffekte verschenkt und ein einheitliches übergreifendes Sicherheitsniveau kann nicht geschaffen werden. Ich freue mich über Ihre Rückmeldungen und Meinungen.

Hacker follow the money – to Swift

Abgelegt in: 1 Antwort

Hacker follow the money, diesem betriebswirtschaftlichem Gesetz folgend, mussten Hacker eines Tages bei Swift landen. Dies scheint nun geschehen zu sein. Im Zuge der Ermittlungen über die erfolgreiche Cyber-Attacke auf die Zentralbank von Bangladesch bei der 81 Millionen US-Dollar illegal transferiert wurden, kamen die Softwaremanipulationen in der Client-Software von Swift ans Licht. Die Täter hatten versucht, ihre betrügerischen Finanztransfers durch die Manipulation der Swift-Software zu tarnen. Am Montag hatte Swift in einem Statement die angeschlossen Finanzdienstleister gewarnt und ein Update der Client-Software angekündigt. Das Update hat den Status “mandatory” und muss bis 12. Mai 2016 installiert sein. Rund 11.000 Finanzdienstleister wickeln täglich Finanzgeschäfte in Milliardenhöhe über Swift ab. Swift ist eine Genossenschaft, die 3.000 Finanzdienstleistern gehört. Die britische Unternehmensberatung BAE Systems hat die Cyber-Attacke auf Swift untersucht und kam zu dem Ergebnis, dass die Hacker die Alliance Access Server von Swift manipuliert haben. Swift geht davon aus, dass die Hacker über zahlreiche gültige Zugangskennwörter verfügen, über die sie Zugang zu dem Nachrichtensystem erhalten und Swift-Mitteilungen autorisieren können.

Vom schwierigen Verhältnis zwischen Business Continuity Management und Organizational Resilience

Abgelegt in: 2 Antworten

Vor einigen Jahren tauchte der Begriff “Resilience” in der klassischen Business Continuity Welt auf und Nichts war mehr so wie es vorher war. BCM war out und altmodisch, Resilience in und hip. Keine Konferenz, kein Artikelbeitrag ohne das magische Wort “Resilience”. Weiterlesen…

Aktuelles zum IT-Sicherheitsgesetz

Abgelegt in: 1 Antwort

Am 25.07.2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Bereits die ersten Entwürfe des Gesetzes wurden heftigst diskutiert. Die Spannungskurve ist nach der Verabschiedung allerdings nicht abgesunken, da viele Fragen erst durch Rechtsverordnungen geklärt und festgelegt werden müssen. Hierzu gehören die betroffenen Unternehmen und Dienstleistungen wie auch die konkreten Anforderungen aus dem Gesetz. Dass das IT-Sicherheitsgesetz keine langweilige und trockene Angelegenheit wird, zeigte die Veranstaltung der Gesellschaft für Informatik zu diesem Thema am vergangenen Freitag in Frankfurt. Trotz Streiks bei der Lufthansa war die Veranstaltung sehr gut besucht. Den Gastgeber Bahn hat dies natürlich auch sehr gefreut ;-). Weiterlesen…

Ransomware befällt das britische Parlament

Abgelegt in: Antworten

Nach dem deutschen Bundestag war jetzt auch eine Cyberattacke auf das britische Parlament erfolgreich. Bereits im Mai wurden nach einem Bericht von Security affairs Computer des Parlaments erfolgreich mit Ransomware angegriffen. Die Hacker verlangten Lösegeld für die Freigabe der Daten des Computers eines Abgeordneten. Größerer Schaden durch die Attacke auf streng geheime Daten konnte noch verhindert werden.

Nicht “ob”, sondern “wann” ist die Frage

Abgelegt in: 1 Antwort

Schaut man sich die Liste der erfolgreichen Hacks der jüngsten Vergangenheit an, wird schnell klar, dass es jedes Unternehmen irgendwann treffen kann. Eine hundertprozentige Sicherheit kann kein Unternehmen auch nicht mit immensem personellem und finanziellem Aufwand sicherstellen. Der normale Geschäftsbetrieb muss ja noch gewährleistet bleiben und die Unternehmen werden weiter Menschen beschäftigen, die das schwächste Glied in der Abwehrkette darstellen. Wie schnell ist auf einen Link in einer Mail geklickt …

Auf der anderen Seite ist der Business Case für Cyber-Kriminelle hochattraktiv. Mit der Verschlüsselungssoftware Cryptowall Ransomware hat eine Hackergruppe alleine in diesem Jahr rund 325 Millionen US-Dollar an Erpressungsgeldern eingenommen, das sind nahezu eine Million US-Dollar täglich. Neben der Erpressung des Unternehmens winken mit dem Verkauf der erbeuteten Daten weitere lukrative Einnahmen. Für einen Kreditkartendatensatz aus der EU sind dies immerhin 25 bis 45 US Dollar, wie McAfee Labs in seiner Analyse “The Hidden Data Economy” ermittelte. Wenn das kein attraktives Geschäftsmodell ist! Wir müssen daher davon ausgehen, dass dieses Geschäftsmodell der Cyber-Erpressung weiter wachsen wird, denn auch Cyber-Kriminelle denken und handeln streng ökonomisch. Betroffen von diesem “Geschäftsmodell” sind gerade auch kleine und mittelständische Unternehmen.  Die eingeforderten Beträge sind für die Betroffenen verkraftbar kalkuliert und so ist es auch für viele Unternehmen betriebswirtschaftlich sinnvoller der Erpressung nachzugeben und das Geld zu bezahlen. Das ökonomische Kalkül der Erpresser geht also auf. Sogar das FBI kapituliert vor diesen Methoden und empfiehlt, das Lösegeld an die Erpresser zu bezahlen.

Das objektive Risiko Opfer einer solchen Cyber-Erpressung zu werden ist hoch. Nicht “ob” ist die Frage, sondern “wann”. Doch was können Unternehmen tun, um auf den “Tag X” vorbereitet zu sein. Sich auf die IT-Security zu verlassen ist zu wenig. Die Kollegen machen einen tollen Job, doch einen Rundum-Schutz für ein sorgloses Leben und Arbeiten können sie nicht gewähren. Im Zweifel sind die kriminellen besser ausgestattet und technisch überlegen.

Daher müssen die Verteidigungslinien im Unternehmen mehrfach gestaffelt werden:

  • 1. Verteidigungslinie: Awareness bei den Mitarbeitern
  • 2. Verteidigungslinie: Technische Maßnahmen durch die IT-Security
  • 3. Verteidigungslinie: Business Continuity Pläne für diese Szenarien (Bsp. Nicht-Verfügbarkeit kritischer Daten und Anwendungen)
  • 4. Verteidigungslinie: IT Service Continuity Management für die Wiederherstellung kritischer Daten und Systeme
  • 5. Verteidigungslinie: Krisenmanagement für die planvolle Steuerung durch die Krise.

Dies zeigt, Cyber-Kriminalität mit seinen potentiellen Auswirkungen auf kritische Geschäftsprozesse ist nicht nur ein Thema der IT-Security. Mitarbeiter, IT-Security, BCM, ITSCM und Krisenmanagement müssen “Hand in Hand” funktionieren, um ein solches herausforderndes Szenario bewältigen zu können.

Die Angriffe sind mittlerweile so ausgeklügelt, dass eine Verteidigungslinie bei weitem nicht ausreichend ist. So sind Mails mit Links zu Malware mittlerweile täuschend echt gebaut. Die Adressaten der Mails werden namentlich angesprochen und der Inhalt der Mails passt perfekt in den Arbeitskontext der Adressaten. Die technischen Möglichkeiten der Cyber-Kriminellen sind durch den Business Case nahezu unerschöpflich. Damit im Fall der Fälle das Business weiter läuft benötigt es die Verteidigungslinien BCM, ITSCM und Krisenmanagement. Allerdings sind gerade für diese Szenarien Pläne nicht ausreichend. Gerade hier gilt üben, üben, üben. Denn die Bedrohungsszenarien ändern sich laufend genauso wie sich elektronische Vertriebskanäle und schützenswerte Daten ändern. Wofür die IT-Security Penetrations-Tests einsetzt, nutzen BCM, ITSCM und Krisenmanagement Tests und Übungen. Schnelles und richtiges Handeln in diesen Bedrohungsszenarien muss ständig geübt werden, so wie Piloten im Simulator regelmäßig die Notfallverfahren üben bis sie tief im Gehirn verankert sind und im Notfall automatisiert abgespult werden können.

be prepared

Ihr Matthias Hämmerle

IT-Sicherheitsgesetz ist verabschiedet

Abgelegt in: Antworten

Am vergangenen Freitag, den 12. Juni 2015 wurde das IT-Sicherheitsgesetz im Bundestag verabschiedet. Unter dem Eindruck der erfolgreichen Cyber-Attacken auf das IT-System wurden noch Änderungen am Gesetz vorgenommen.

So gilt das Gesetz jetzt auch für Bundesbehörden:

“(1) Das Bundesamt erarbeitet Mindeststandards für die Sicherheit der Informationstechnik des Bundes. Das Bundesministerium des Innern kann im Benehmen mit dem IT-Rat diese Mindeststandards ganz oder teilweise als allgemeine Verwaltungsvorschriften für alle Stellen des Bundes erlassen. Das Bundesamt berät die Stellen des Bundes auf Ersuchen bei der Umsetzung und Einhaltung der Mindeststandards. Für die in § 2 Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane haben die Vorschriften nach diesem Absatz empfehlenden Charakter.”

Zudem sind Verstöße gegen das IT-Sicherheitsgesetz jetzt strafbewehrt mit einem Maximalbetrag von 100.000 Euro. Dies betrifft die Vorkehrungen für die IT-Sicherheit, aber auch die Benennung der Kontaktstelle sowie die Meldepflichten.

Der Gesetzgeber geht nach wie vor davon aus, dass maximal 2.000 Unternehmen als Betreiber kritischer Infrastrukturen vom IT-Sicherheitsgesetz betroffen sein werden:

“Nach aktuellen Schätzungen wird die Zahl der meldepflichtigen Betreiber Kritischer Infrastrukturen bei maximal 2.000 Betreibern liegen. Weiterhin wird geschätzt, dass pro Betreiber maximal sieben Meldungen von IT-Sicherheitsvorfällen pro Jahr erfolgen.”

Die Betreiber kritischer Infrastrukturen sorgen in Erfüllung des Gesetzes für

“- die Einhaltung eines Mindestniveaus an IT-Sicherheit,

 

– den Nachweis der Erfüllung durch Sicherheitsaudits,

 

– die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT-Sicherheitsvorfälle an das BSI sowie

 

– das Betreiben einer Kontaktstelle.”

Die Meldepflicht beinhaltet:

„Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen 1. führen können oder 2. geführt haben, über die Kontaktstelle unverzüglich an das Bundesamt zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers enthalten.“

Dass ich das IT-Sicherheitsgesetz nicht ausschließlich auf IT-Sicherheitsvorfälle bezieht, wird aus der Meldepflicht deutlich. Störungen in der Verfügbarkeit von IT, Komponenten oder Prozessen, die zu einer Beeinträchtigung der Funktionsfähigkeit von Organisationen führen gehören eindeutig in das Aufgabengebiet des Business Continuity Management.

Dies trifft vor allem Unternehmen, die als Betreiber kritischer Infrastrukturen den Anforderungen des IT-Sicherheitsgesetzes entsprechen müssen und die bislang noch keinen vergleichbaren regulatorischen Anforderungen genügen müssen.

“Die Verpflichtung zur Einhaltung eines Mindestniveaus an IT-Sicherheit wird dort zu Mehrkosten führen, wo kein hinreichendes IT-Sicherheitsniveau vorhanden ist. Der entstehende Aufwand hängt einerseits vom erforderlichen Sicherheitsniveau und andererseits vom jeweiligen Status quo des Normadressaten ab.

Mit Spannung blicken wir auf die Inhalte der Rechtsverordnung, die den Adressatenkreis der Betreiber kritischer Infrastrukturen regeln wird.

Quellen:

Gesetzesentwurf IT-Sicherheitsgesetz (pdf)

Beschlussempfehlung IT-Sicherheitsgesetz (pdf)

Kritik am IT-Sicherheitsgesetz in der ersten Lesung im Bundestag

Abgelegt in: Antworten

Am Freitag, den 20. März 2015 fand im Bundestag die erste Lesung des Entwurf für das IT-Sicherheitsgesetz statt. Der Entwurf wurde im Bundestag kontrovers diskutiert. Die Bundesregierung sieht sich mit dem Gesetz als als “Vorbild und Vorreiter der IT-Sicherheit”, so Bundesinnenminister Dr. Thomas de Maizière. Die Opposition bemängelte an dem Entwurf, dass nicht geklärt ist, welche Unternehmen zu den Kritischen Infrastrukturen gehören. Dies soll im Rahmen von Rechtsverordnungen nach Verabschiedung des Gesetzes geregelt werden. In einer ersten Zahl wurden 2.000 betroffene Unternehmen genannt. Wie viel Substanz diese Größenordnung hat, wird sich noch zeigen. Nimmt man zum Beispiel alleine die Energie- und Wasserversorger hinzu, wird diese Zahl kaum zu halten sein. Mit dem IT-Sicherheitsgesetz kommt auch eine Meldepflicht für Sicherheitsvorfälle bei Unternehmen der Kritischen Infrastrukturen. Welche Vorfälle gemeldet werden müssen und was mit den gesammelten Daten passiert, ist im Gesetzesentwurf ebenfalls nicht genau geregelt. Der Cyber-Sicherheitsrat hat zudem gar verfassungsrechtliche Bedenken gegenüber dem Gesetzesentwurf: Behörden des Bundes werden von den Pflichten der Kritischen Infrastrukturen nicht erfasst und müssen demzufolge keine vergleichbare Pflichten zum Schutz vor Cyberattacken leisten. Einig sind sich zumindest alle Parteien, dass Aktivitäten zum Schutz vor Cyber-Attacken dringend nötig sind.

Aus meiner bescheidenen Sicht ist die Definition der Kritischen Infrastrukturen tatsächlich ein kritischer Erfolgsfaktor für die Wirksamkeit des Gesetzes. Die Verlagerung der Definition des Scopes der gesetzlichen Regelungen auf die nachgelagerten Rechtsverordnungen hat zumindest Unsicherheit und Diskussionen erzeugt, die die Verabschiedung des Gesetzes verzögern können. Zur Zeit laufen branchenbezogene Studien zur Definition der kritischen Prozesse für die Kritischen Infrastrukturen. Zudem finden Gespräche mit den Branchenvertretern statt. Es gilt auch je Branche die Standards festzulegen, die von den betroffenen Unternehmen einzuhalten sind. Die Lobbyarbeit läuft sicherlich hinter den Kulissen auf Hochtouren. Die bereits stark regulierten Branchen wie Finanzdienstleister werden mit den Konsequenzen dieses Gesetzes wesentlich leichter umgehen können als Unternehmen, die sich diesen Anforderungen erst neu stellen müssen. Gerade für mittelständische Unternehmen kann dies zu einer Herausforderung werden, aber gerade diese Unternehmen sind auch besonders stark gefährdet, ohne dass das Bewusstsein – und Budget – hierfür immer vorhanden ist. Es besteht Handlungsbedarf und ein erster Schritt muss getan werden. Der Gesetzgeber wäre gut beraten, gerade den mittelständischen Unternehmen auch bessere Hilfsmittel zur Umsetzung an die Hand zu geben. Das Umsetzungsrahmenwerk für den BSI 100-4 Standard Notfallmanagement ist ein guter Ansatz in diese Richtung. Mehr davon, kann ich da nur appellieren. Auch der BSI 100-4 hat mittlerweile eine dicke Staubschicht angesammelt. Vorschriften sind das eine, doch darf man gerade kleine und mittelständische Unternehmen bei der Umsetzung nicht alleine lassen – auch wenn wir als Berater den Bedarf natürlich gerne ganz uneigennützig aufgreifen 😉

Spendabler Geldautomat führt zum größten Cyber-Bankraub der Geschichte

Abgelegt in: Antworten

Computerbetrug

Ende 2013 spuckte in Kiew ein Bankomat zeitweise ohne irgendeinen Benutzereingriff Geld aus. Zufällig vorbeikommende Passanten wurden mit Bargeld reich beschenkt. Als Kaspersky Lab damit beauftragt wurde, diesen Vorfall zu untersuchen, kam einer der größten Cyber-Attacken auf Banken ans Tageslicht. Über 100 Banken in mehr als 30 Staaten wurden mittels einer Malware angegriffen. Mit Kamera- und Videoaufnahmen wurden die Bankmitarbeiter bei ihren Tätigkeiten überwacht. Mit diesem Wissen konnten über 300 Millionen Dollar auf fremde Konten transferiert werden.

In der New York Times wird dieser Cyber-Bankraub jetzt ausführlich beschrieben.

Bundeskabinett beschließt IT-Sicherheitsgesetz

Abgelegt in: Antworten

Das Bundeskabinett hat heute den Entwurf des Sicherheitsgesetzes verabschiedet. Damit kommt die Meldepflicht für IT-Sicherheitsvorfälle und das Bundesamt für Sicherheit in der Informationstechnik BSI erhält umfassende Kompetenzen und Kapazitäten als Zentralstelle für die IT-Sicherheit. Welche Unternehmen und Organisationen als Betreiber kritischer Infrastrukturen dem neuen IT-Sicherheitsgesetz unterliegen, wird eine spannende Frage sein, die Anfang des neuen Jahres in konkreten Verordnungen ausgestaltet werden wird. Die Bundesregierung geht aktuell von rund 2.000 Betreibern der kritischen Infrastruktur aus. Auch die Hersteller von IT-Systemen unterliegen zukünftig der Aufsichtspflicht des BSI. Der Gesetzesenturf war heftig umstritten. Der Industrie ging er mit den Meldepflichten zu weit, während Sicherheitsfachleute befürchten, durch die anonymisierten Meldungen kein vollständiges Lagebild zu erhalten. Die Praxis wird bald zeigen, ob sich der Aufwand für die Unternehmen in einem konkreten Sicherheitsgewinn auszahlt.

Was das neue IT-Sicherheitsgesetz für das Business Continuity Management bedeutet

Abgelegt in: 2 Antworten

Das Bundesministerium des Innern hat vor kurzem den Referentenentwurf zum IT-Sicherheitsgesetz („Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“) vorgelegt. Ziel des Gesetzes ist „eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland“. Besondere Bedeutung misst der Entwurf des IT-Sicherheitsgesetzes dem Schutz der IT-Systeme Kritischer Infrastrukturen zu. Weiterlesen…