05 Special itsa (Leseprobe)

Special NIS-2: Risiko- und Incident-Manage- ment meistern S. 10 Notfall- übungen: Unverhofft kommt oft ... S.18 Verlagsbeilage, Oktober 2023 Die Zeitschrift für Informations-Sicherheit m i t L e s e p r o b e a u s d e m S p e c i a l H a u p t h e f t it-sa 2023 Trends, Produkte und Lösungen

Mehr Wert. Mehr Vertrauen. NIS2 – Die IT-Aufrüstung der KRITIS-Betreiber Die Europäischen Institutionen haben mit der NIS2-Richtlinie die EU-weite Gesetzgebung für die IT-Sicherheit aktualisiert. Bis Oktober 2024 muss sie in nationales Recht überführt werden, hierzu gibt es bereits Entwürfe. Der Referenten-Entwurf zur Umsetzung der NIS2-Richtlinie macht deutlich, dass sich KRITIS-Betreiber frühzeitig mit NIS2 auseinandersetzen und die derzeit noch freiwilligen Audits als Chance begreifen sollten, um ihre eigenen IT-Defensivmaßnahmen bereits vor Fristende im Oktober 2024 von unabhängiger Experten-Seite prüfen und zertifizieren zu lassen. Mit Zertifizierungen sind KRITIS-Betreiber auf der sicheren Seite. Wir prüfen Ihre IT-Infrastruktur und sorgen gemeinsam mit Ihnen dafür, Ihre IT-Sicherheit zu verbessern. Sprechen Sie uns an! tuvsud.com/ms-kritis Mehr Info TÜV SÜD Management Service GmbH Ridlerstr. 57, 80339 München, Deutschland Tel. +49 89 5791-2500, ms-anfragen@tuvsud.com, tuvsud.com/tms

Inhalt Zero Trust – zentrale Antwort auf Bedrohungsszenarien Seite 14 G DATA CyberDefense setzt auf Managed EDR Seite 16 Unverhofft kommt öfter als erwartet … Seite 18 Schritt für Schritt zu einem höheren Sicherheitsniveau Seite 21 Die größten Vorteile verhaltens- psychologischer Elemente in Security- Awareness-Trainings Seite 24 Der „Stand der Technik“ befeuert die Renaissance des Patchmanage- ments Warum Unternehmen No-Code IAM brauchen Seite 26 Seite 4 Schwachstelle „Zertiﬁ kate“ endlich schließen Seite 9 NIS-2: Das nötige Update der KRITIS- Sicherheit Seite 29 Risikomanagement und Incident- Management efﬁ zient meistern Seite 10 Wire integriert Federation Seite 32 Ganzheitliches Risikomanagement: Herausforderungen integriert managen und Kosten senken Seite 12 In AI we Trust – secure it anyway we must News und Produkte Seite 35 Seite 37 Impressum Bankverbindung: UniCredit Bank AG, München, IBAN: DE34 7002 0270 0015 7644 54 Media-Daten: Unsere Media-Daten ﬁ nden Sie online auf www.kes.info/media/. GmbH Augustinusstraße 11 A, 50226 Frechen (DE) Tel.: +49 2234 98949-30, Fax: +49 2234 98949-32 redaktion@datakontext.com, www.datakontext.com Geschäftsführer: Dr. Karl Ulrich Handelsregister: Amtsgericht Köln, HRB 82299 Alle Rechte vorbehalten, auch die des aus- zugsweisen Nachdrucks, der Reproduktion durch Fotokopie, Mikroﬁ lm und andere Ver- fahren, der Speicherung und Auswertung für Datenbanken und ähnliche Einrichtungen. Zurzeit gültige Anzeigenpreisliste: Nr. 41 vom 01. Januar 2023 Anzeigenleitung: Birgit Eckert (verantwortlich für den Anzeigenteil) Tel.: +49 6728 289003, anzeigen@kes.de Herstellungsleitung und Vertrieb: Dieter Schulz, dieter.schulz@datakontext.com, Tel.: +49 2334 98949-99 Satz: BLACK ART Werbestudio Stromberger Straße 43a, 55413 Weiler Druck: QUBUS media GmbH, Beckstraße 10, 30457 Hannover Titelbild: NürnbergMesse / Thomas Geiger © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023 3

<kes> Special zur it-sa 2023 Der „Stand der Technik“ befeuert die Renaissance des Patchmanagements Wer dem Stand der Technik in der sensiblen IT-Sicherheits- branche entsprechen möchte, darf sich nicht nur auf die „großen“ Themen wie Ransomware, DDoS-Attacken und EDR konzentrieren. In einer umfassenden Security-Architektur spielen auch vermeintlich „kleine“ Themen eine große Rolle. Von Michael Schröder, ESET Deutschland GmbH Organisationen weltweit in- vestieren so viel Geld in IT-Sicherheit wie noch nie. Die internationalen Ausgaben für Cybersicherheit sollen sich im laufenden Jahr auf rund 223,8 Milliarden US-Dollar sum- mieren, prognostiziert das Marktfor- schungsunternehmen Canalys. Neue Sicherheitslösungen, moderne Secu- rity-Information-and-Event-Ma- nagement-(SIEM)-Systeme oder professionelle Security-Opera- tions-Center (SOC): Die Wunschliste der IT-Verantwortlichen ist lang und teuer. Wer seine Security auf den aktuellen Stand der Technik bringen möchte, denkt fast automatisch in diese Richtung. Doch sinkt dadurch das Risiko, Opfer eines Angriffs zu werden? Oftmals sind es nämlich die vermeintlich kleinen, aber unter- schätzten Gefahren, die Kriminellen Tür und Tor öffnen. Dazu zählen in allererster Linie auch Schwachstellen in Betriebssystemen und Software. Sicherheitsvorfälle als Mahnung Neu ist diese Erkenntnis beileibe nicht. In der Vergangenheit erfreute sich das Thema Vulnera- Abbildung 1: Bekannt gewordene Schwachstellen nach CVSS Score Anzahl (Bilder: ESET) bility- und Patchmanagement im- mer wieder großer Beliebtheit, um dann aus dem Rampenlicht zu verschwinden. Erst durch vermeid- bare Sicherheitsverletzungen, als Unternehmen nicht oder zu spät auf bekannte Schwachstellen reagiert hatten, horchten Verantwortliche er- neut auf. Log4Shell, ProxyShell oder der berühmt-berüchtigte Wanna- Cry-Ransomware-Angriff von 2017 sind nur einige Beispiele. Bei Wan- naCry wurden Systeme durch die Ausnutzung einer Microsoft-Sicher- heitslücke infiziert, für die bereits ein Patch verfügbar war. Die Schadsoft- ware legte Tausende von Systemen weltweit lahm – auch noch viele Jahre später. Und die betroffenen Unternehmen erlitten massive fi- nanzielle Verluste und Reputations- schäden. Aktuell vermelden nicht nur die Telemetriedaten von Secu- rity-Spezialisten wie ESET eine stark steigende Zunahme von Angriffen auf unzureichend gesicherte Syste- me. Internationale Sicherheitsbehör- den bestätigen den Eindruck mit der Veröffentlichung einer Liste der am häufigsten ausgenutzten Schwach- stellen. Überraschenderweise zeigte 4 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023

sich, dass Hacker gar nicht auf kürz- lich bekannt gewordene Sicherheits- lücken setzen. Stattdessen nahmen sie lieber ungepatchte und über das Internet erreichbare Systeme ins Vi- sier. Grund dafür seien nicht zuletzt die für alte Schwachstellen längst verfügbaren Proof-of-Concept-Ex- ploits, mit denen böswillige Akteure fremde Systeme leicht infiltrieren können. Zahlen des Bundesamts für Sicherheit in der Informationstech- nologie (BSI) unterstreichen den unschönen Trend: Die Anzahl der Schwachstellen wächst insgesamt und vor allem mit hohem oder sogar kritischem Level. Ins gleiche Horn stößt die amerikanische Organisati- on MITRE ATT&CK. Sie beziffert die Anzahl der sogenannten Common Vulnerabilities and Exposures (CVE) für das erste Quartal 2023 mit 7015: absoluter, jemals verzeichneter Re- kord und vor allem um 15 Prozent höher als im Vorjahresquartal. Gründe für verzögertes Patchen Warum zögern Unterneh- men oft, Patches zeitnah zu ins- tallieren? Ein Hauptgrund ist die Komplexität der IT-Infrastrukturen. Unternehmen verfügen über eine Vielzahl von Systemen, Anwen- dungen und Geräten, die alle aktu- alisiert werden müssen. Dies kann zeitaufwendig sein und den nor- malen Betrieb stören. Die Angst vor unerwünschten Nebenwirkungen oder Systemausfällen kann ebenfalls dazu führen, dass Unternehmen zögern, Patches einzuspielen. Dar- über hinaus kann es schwierig und zeitaufwendig sein, Schwachstellen zu identifizieren und nach ihrem Schweregrad zu priorisieren, was zu einer ineffizienten Zuweisung von Ressourcen und einem erhöhten Risiko führt. Ressourcenknapp- heit und die Notwendigkeit, Patches vor der Implementierung gründlich zu testen, sind weitere Faktoren. Vorteile eines effektiven Vulnerability- und Patch- managements Dabei liegen die Vorteile eines durchdachten Vulnerability- und Patchmanagements klar auf der Hand: ––——— Minimierung von Angriffs- vektoren: Durch regelmäßige Aktua- lisierungen und die Schließung von Sicherheitslücken wird die Angriffs- ﬂäche für Cyberkriminelle erheblich reduziert. ––——— Einhaltung von Vorschrif- ten: Viele Branchen unterliegen strengen Compliance-Anforderun- gen. Ein gutes Patchmanagement hilft, diese Vorschriften einzuhalten und hohe Geldstrafen zu vermeiden. ––——— Vermeidung von Datenver- lust: Patches helfen dabei, Datenver- luste und Datenschutzverletzungen zu verhindern, indem sie potenzielle Eintrittspunkte für Angreifer blockie- ren. ––——— Sicherung von Reputati- on: Efﬁzientes Patchmanagement verhindert Sicherheitsverletzungen, die das Vertrauen der Kunden beein- trächtigen könnten. Der Schutz des Unternehmensrufs ist von unschätz- barem Wert. ––——— Kostenersparnis: Die fi- nanziellen Auswirkungen von Si- cherheitsverletzungen, die durch Patchen hätten verhindert werden können, sind oft deutlich höher als die Kosten und die Zeit, die für regelmäßiges Patchen aufgewendet werden. NIS-2 patcht die Organi- sations-Security Vielleicht muss man IT-Ver- antwortliche manchmal „zu ihrem Glück zwingen“, sagen immer mehr Sicherheitsexperten. Denn die Europäische Union hat mit der NIS-2-Richtlinie das Security-Level von KRITIS-Unternehmen deutlich angehoben. Spätestens am 17. Ok- tober 2024 müssen Organisationen das aus NIS-2 abgeleitete nationale Recht umgesetzt haben. Zentraler Abbildung 2: Schritte des Vulnerability- und Patchmanagement- Prozesses Inhalt ist die Aufforderung, die Resilienz der Systeme im Hinblick auf die Cybersicherheit zu stärken. Konkret müssen KRITIS-Betreiber die Verfügbarkeit, Integrität, Au- thentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse sicher- stellen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Und genau dazu gehört auch das Vul- nerability- und Patchmanagement. Mit der NIS-2-Richtlinie werden über die bislang regulierten wesentlichen Organisationen hinaus demnächst weitere wichtige (ab einer Größe von 50 Mitarbeitern) als Adressaten des Gesetzes in den Fokus geraten. Der Anwendungsbereich der gesetz- lichen Pflichten steigert sich damit um eine enorme Anzahl von Orga- nisationen. Auf dem Markt gibt es eine Vielzahl von Softwarelösungen, mit denen Organisationen das Problem in den Griff bekommen © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023 5

<kes> Special zur it-sa 2023 Abbildung 3: Mit der ESET PROTECT Cloud- Konsole lassen sich Sicherheitslücken bewerten und Patches für das gesamte Netzwerk steuern. können. Manche Hersteller wie ESET verzahnen sie direkt mit an- deren Techniken. IT-Sicherheitsver- antwortliche können so über eine zentrale Managementkonsole die Informationen aus dem Vulnera- bility- und Patchmanagement als eine von mehreren Datenquellen nutzen, um mögliche Bedrohungen zu verstehen. ESET Vulnerability & Patch Management ESET Vulnerability & Patch Management unterstützt Organi- sationen dabei, Sicherheitslücken in ihren Systemen zuverlässig zu erkennen und zu beheben. Hat die Software Schwachstellen in Betriebssystemen oder gängigen Anwendungen identifiziert, können Administratoren automatisch benö- tigte Patches installieren lassen oder manuell agieren. Die mitgelieferten Richtlinien vereinfachen den Ver- antwortlichen die Arbeit und lassen sich individuell anpassen. Mithilfe zahlreicher Filteroptionen können Schwachstellen entsprechend ihres Schweregrads priorisiert werden. Die Lösung scannt Tausende gängiger Anwendungen wie Adobe Acrobat, Mozilla Firefox oder Zoom auf über 35.000 Sicherheitslücken und Gefährdungen (CVEs). Diese automatischen Überprüfungen sind in den Einstellungen flexibel konfi- gurierbar und erlauben auch Ausnah- meregeln. Schwachstellen können gefiltert und nach Gefährdungsgrad und zeitlichem Verlauf priorisiert werden. Über die cloudbasierte Konsole ESET PROTECT können Or- ganisationen beispielsweise Reports über die am stärksten gefährdeten Anwendungen und betroffenen Geräte erstellen. Sie bietet mehr- sprachige Unterstützung und stellt nur geringe Anforderungen an die IT-Infrastruktur. Mit der zentralen Verwal- tung über die ESET PROTECT Cloud-Konsole können Unterneh- men auf einfache Weise Sicherheits- lücken bewerten und Patches für das gesamte Netzwerk steuern, um die schnelle Erkennung und Behebung der neuesten Zero Day-Schwach- stellen sicherzustellen. Darüber hinaus können Unternehmen mit automatischen und manuellen Patching-Optionen dafür sorgen, dass ihre Endpoints rechtzeitig mit den aktuellen Sicherheitsupdates versorgt werden. Zudem lässt sich der gesamte Prozess weiter vereinfachen, indem kritische Ressourcen vorge- zogen und die restlichen Vorgänge auf Zeiten außerhalb der Geschäfts- zeiten gelegt werden. Das vermeidet Unterbrechungen im Arbeitsalltag. Organisationen können auch auf die Vorteile des mandantenfähigen Schwachstellen- und Patchmanage- ments zurückgreifen, um die volle Transparenz über ihr Netzwerk zu erhalten und sich dennoch auf be- stimmte Bereiche zu konzentrieren. ESET Vulnerability & Patch Management ist elementarer Be- standteil folgender ESET Business Bundles: ––——— ESET PROTECT Complete beinhaltet neben Sicherheitslö- sungen für Endpoints, Mailserver und Cloud-Anwendungen auch Festplattenverschlüsselung sowie Cloud-Sandboxing. ––——— ESET PROTECT Elite bie- tet neben den Komponenten des Complete-Bundles natives Extended Detection and Response (XDR) sowie Multi-Faktor-Authentiﬁzierung. ––——— ESET PROTECT MDR ist eine Lösung für Unternehmen, die ein umfassendes Cyber-Risikoma- nagement, Threat Hunting und ESET Expertise auf Abruf bietet. ESET PRO- TECT MDR kombiniert die Lösungen von ESET PROTECT Elite mit ESET Managed Detection and Response Services (MDR-Services). Fazit Vulnerability- und Patchma- nagement ist ein Schlüsselfaktor für eine robuste IT-Sicherheitsstrategie und zählt zu den wichtigsten Maß- nahmen im Hinblick auf den Stand der Technik in der Security. Indem Unternehmen kontinuierlich ihre Systeme und Anwendungen auf Schwachstellen überprüfen, können sie potenzielle Risiken minimieren und Angriffsvektoren einschränken. Die Investition in diese Prozesse ist unverzichtbar, um die Integrität, Vertraulichkeit und Verfügbarkeit von Unternehmensressourcen zu gewährleisten und den Anforderun- gen einer sich ständig verändernden Sicherheitslandschaft gerecht zu werden. n Messestand ESET Halle 7, Stand 531 Kostenlose Tickets unter www.eset.com/de/itsa-2023 6 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023

Sicheres und datenschutzkonformes Messaging Sie wollen mehr wissen? Sprechen Sie mit uns auf der IT-SA. Termin buchen: wire.com/de/it-sa • Höchster Sicherheitsstandard unter Business-Messengern für individuelles und Gruppen- Messaging, Video- und Sprachkonferenzen • IMMER Ende-zu-Ende verschlüsselt • Selbstlöschende Nachrichten und viele weitere sicherheitsrelevante Funktionalitäten • Management Konsole – Benutzermanagement und rollenbasierte Rechteverwaltung • Federation ermöglicht datensouveräne Zusammenschaltung von Wire-Instanzen • Gerüstet für NIS-2 • Operator- und Administrator-Shielding © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023 wire.com/de/it-sa 7

Zero Trust Cyberbedrohungen, Homeoffice und technologische Strategien wie SASE, Single Sign-On, SD-WAN oder Zero Trust stellen IT-Abteilungen vor Herausforderungen. Schützen Sie Ihr Unternehmen mit der NCP Secure Enterprise Lösung und sichern Sie auch moderne Cloud-Technologien wie SD-WAN, SASE, SAML/SSO und Zero Trust durch zukunftssichere VPN-Technik ab. Vertrauen Sie der richtigen Technologie? Besuchen Sie uns: Halle 7A-412 8 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023

<kes> Special zur it-sa 2023 Automatisiertes Zertiﬁ kats- management erhöht Schutz und Verfügbarkeit Schwachstelle „Zertiﬁ kate“ endlich schließen Greifen Cyberkriminelle IT-Infrastrukturen an, haben sie es immer auf den „heiligen Gral“ abgesehen: die PKI, Zertifikate und die wich- tigsten „Schlüssel“. Die Hardware Security App (HSA) der niederösterreichischen iQSol GmbH verhindert diese Angriffe durch die hochsi- chere, zentrale Speicherung sowie die auto- matisierte Erneuerung von Zertifikaten mit dem neuen ACME-Feature. Kunden sollten ein Update ins Auge fassen, um unvermeidliche Überraschungen durch Ausfälle vorzubeugen. Von Jürgen Kolb, iQSol GmbH Mit der iQSol HSA, im Einsatz als physischer Mini-Server mit integriertem YubiHSM, können bis zu 16 PKI-Server angebunden werden. Sie benötigen lediglich eine Netzwerkverbindung und den Treiber. Dann wird das YubiHSM in Domänen unterteilt, wobei jeder Server nur Zugriff auf die eigenen Private-Keys hat. Statt einfacher Passwörter kommen hier also Smartcards zum Einsatz, die eine starke Authentifi zierung zum Beispiel in Micro- soft-Umgebungen oder im Active Directory ermöglichen. Die iQSol HSA erlaubt zudem das einfache, menügeführte Erstellen von Backups und stellt durch zwei Nodes die Hochverfügbarkeit sicher. Hochsichere Technologie und damit einhergehend die sicheren Abläufe erleichtern die Administration ebenso wie die übersichtliche Benutzer- oberfl äche. Höchstes Sicherheitslevel sorgt für Einsparungen Ein geordnetes Zertifi katsmanagement ist Grund- stein dafür, dass keine unnötigen Ausfälle auftreten oder Die Komponenten der Hardware Security App (HSA) von iQSol. (Bild: iQSol GmbH) sich häufen. Da allerdings mit der manuellen Abarbeitung der Zertifi kate-Deadlines oder der Beseitigung der Stillstän- de immense Arbeitsaufwände einhergehen, sollte diese rein administrative Aufgabe in einem Tool abgebildet und automatisiert sein. Andernfalls besteht neben der Gefahr der Kostenexplosion auch die hohe Wahrscheinlichkeit, dass besonders global tätige Unternehmen mit einer unübersichtlichen Internet-of-Things-Umgebung (Ma- schinen, Geräte, Anlagen) rasch den Überblick verlieren. Leichter ausrollen und automatisch erneuern Um Unternehmen das Zertifi katsmanagement weiter zu vereinfachen, verfügt die iQSol HSA daher neu- erdings zudem über das „Automatic Certifi cate Manage- ment Environment“-(ACME)-Protokoll. Es ermöglicht das Zusammenspiel der Zertifi zierungsstellen sowie der Server und damit die Bereitstellung einer kostengünstigen und sicheren Public-Key-Infrastruktur. Die dazu notwendigen Dienste laufen auf der iQSol HSA. Die ACME-Clients kommunizieren mit der HSA, die dann die Anfragen über den sogenannten Certifi cate-Authority-(CA)-Server abar- beitet. Zertifi kate werden so über die Domänenvalidierung ausgerollt und automatisch erneuert. Das reduziert den Aufwand für die manuelle Verwaltung und gewährleistet jederzeitige Sicherheit. Das Rundum-PKI-Sorglos-Paket Natürlich kann man das Management auch ausgelagert und als Managed-Security-Service betreiben. Das macht vor allem dann Sinn, wenn die gesamte PKI erst aufgesetzt werden muss. Als eine der technisch anspruchsvollsten und höchstsensiblen Königsdiszi- plinen in der IT-Security gilt es auch hierbei, auf eine europäische Lösung und vertrauenswürdige Experten zu setzen. n Messestand iQSol Halle 7, Stand 505 (Mitaussteller bei sysob IT-Distribution GmbH & Co. KG) www.itsa365.de/de-de/companies/s/sysob-it- distribution-gmbh-co-kg/iqsol © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023 9

<kes> Special zur it-sa 2023 NIS-2-Umsetzung Risikomanagement und Incident- Management efﬁzient meistern Die NIS-2-Richtlinie macht Cyberrisikomanagement und Incident-Management für Betreiber wesentlicher und wichtiger Einrichtungen zur Pflicht. Aber auch für alle anderen Unterneh- men ist beides unverzichtbar, um die Geschäftskontinuität zu sichern. Wie gelingt die Umset- zung am besten – trotz Fachkräftemangel und immer komplexerer IT-Umgebungen? Von Richard Werner, Trend Micro Um sich vor der wachsenden Bedrohung durch Cyberkriminelle zu schützen, müssen Unterneh- men in der Lage sein, sowohl die Eintrittswahrscheinlichkeit eines Cyberangriffs als auch das mögliche Schadensausmaß zu minimieren. Für Betreiber kritischer Infrastrukturen ist das besonders wichtig, denn wenn sie ausfallen, hat das gravierende Auswirkungen auf die gesamte Ge- sellschaft. Die NIS-2-Richtlinie der EU schreibt daher Risikomanage- ment und Incident-Management verpflichtend vor. Während das deut- sche Umsetzungsgesetz noch in der Abstimmungsphase ist, sollten Un- ternehmen jetzt schon aktiv werden. Betroffene Unternehmen müssen prüfen, wie sie die neuen Security-Pflichten am besten er- füllen können. Eine der größten Herausforderungen ist und bleibt der Fachkräftemangel. Viele IT- und IT-Security-Teams arbeiten ohnehin schon an ihrer Belastungsgrenze und sind mit immer komplexeren IT-Umgebungen konfrontiert. Doch auch ohne die gesetzliche Pflicht sind Cyberrisikomanagement und Incident-Management heute Secu- rity-Themen, an denen kein Unter- nehmen mehr vorbeikommt. Beide sind unverzichtbar, um alle drei Phasen im Lebenszyklus eines Cyber- angriffs abzudecken: vor, während und nach der Attacke. Dabei gibt es einiges zu tun. Vorbereitung In der ersten Phase geht es darum, die eigene IT-Umgebung so gut zu schützen, dass Cyberkriminel- le gar nicht erst angreifen. Dafür ist es wichtig, die Perspektive der Hacker einzunehmen. Welche Akteure gibt Die Bestandteile der Vision-One- Plattform von Trend Micro (Bild: Trend Micro) es gerade, wie gehen diese vor und welche Schwachstellen nutzen sie bevorzugt aus? Dies gilt es, in Relati- on mit der individuellen Exposition des Unternehmens zu betrachten: Wo sind wir verwundbar? Wo würde bei einem Angriff der größte Schaden entstehen? Zählen wir zur Zielgruppe aktueller Angriffskampagnen? So gelingt es, Risiken zu identifizieren und zu priorisieren. Unternehmen können ihre Security-Ressourcen dann gezielt dort einsetzen, wo sie sie am dringendsten benötigen. Eine individuelle Risikobewertung schafft die Voraussetzung, um die Angriffsfläche zu reduzieren und die Eintrittswahrscheinlichkeit für eine Cyberattacke zu minimieren. Das erfordert eine gründliche Ana- lyse von sowohl internen als auch externen Sicherheitsinformationen. Es reicht nicht, Risikomanagement nur sporadisch zu betreiben. Da sich IT-Umgebungen und Angriffs- parameter schnell ändern, müssen Unternehmen ihre Cyberrisiken kontinuierlich im Blick behalten und neu bewerten. Während des Angriffs: Detection und Response Da es nie möglich sein wird, alle Risiken zu beseitigen, müssen Unternehmen immer damit rechnen, dass es einmal zu einem Cyberangriff kommt. Deshalb schreibt auch schon 10 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023

das IT-Sicherheitsgesetz 2.0 sowie demnächst NIS-2 vor, dass sogenann- te „Systeme zur Angriffserkennung“ für KRITIS-Betreiber Pflicht sind. Hier kommt es darauf an, einen Vorfall möglichst früh aufzudecken und zu stoppen, bevor größerer Schaden ent- steht. Damit das gelingt, brauchen Security-Teams schnell die richtigen Daten. Während eines Cyberangriffs müssen Unternehmen unter hohem Zeitdruck agieren und schwierige Entscheidungen treffen. Sollen wir ein verwundbares System vom Netz nehmen, weil die Hacker sich darauf zubewegen? Was verursacht höhere Kosten: das System abzuschalten oder eine Verschlüsselung? Laut NIS-2 müssen Unternehmen außerdem in der Lage sein, einen erheblichen Cy- bervorfall voraussichtlich innerhalb von 24 Stunden beim Bundesamt für Sicherheit in der Informations- technik (BSI) zu melden. Auch dafür ist eine belastbare Datengrundlage unverzichtbar. Nach dem Angriff: Incident-Response und Root-Cause-Analyse Ist der Cyberangriff unter Kontrolle, stehen Unternehmen vor der Herausforderung, ihre Systeme schnell wieder – sicher – zum Laufen zu bringen. Immerhin verursacht jede Stunde, die ein Ausfall andauert, enorme Kosten. Dafür ist es wichtig, den Cybervorfall genau zu analysie- ren. Denn sonst besteht die Gefahr, dass man einen Backup-Stand ein- spielt, der bereits kompromittiert ist. Mit einer detaillierten Root-Cau- se-Analyse können Unternehmen nachvollziehen, wo die Eintritts- pforte war und was passiert ist. Das schafft die Basis, um aus dem Vorfall zu lernen, die Sicherheitslücken zu schließen und erneute Angriffe zu vermeiden. Aufwand und Komplexi- tät reduzieren Am besten lassen sich die Herausforderungen im Risiko- und Incident-Management mit einem Plattform-Ansatz meistern. Genau dafür wurde Trend Vision One ent- wickelt: Die Lösung vereint Attack Surface Risk Management (ASRM) für ein effizientes Risikomanage- ment und Extended Detection and Response (XDR) für eine schnelle Bedrohungserkennung unter einer Plattform. Hier laufen die Daten aller angeschlossenen Security-Sensoren zusammen. Beide Technologien greifen darauf zu, kommunizieren und interagieren miteinander: ASRM errechnet aus internen und externen Security-Informationen kontinuier- lich den aktuellen Risiko-Status der IT-Umgebung. XDR analysiert und korreliert Bedrohungsdaten, redu- ziert False Positives und zeigt auf einen Blick, was passiert ist. Beide Technologien arbeiten KI-gestützt und bieten einen hohen Automatisierungsgrad, sodass Se- curity-Teams entlastet werden. In einer zentralen Konsole gewinnen Unternehmen umfassende Transpa- renz sowohl über die Cyberrisiken als auch die Angriffssituation in der gesamten IT-Umgebung – von den Endpunkten über Server, E-Mail, Cloud-Dienste, Netzwerke bis hin zu 5G und Operational Technology (OT). Im Fall eines Cyberangriffs un- terstützen die Erkenntnisse aus der Vision-One-Plattform auch bei der Root-Cause-Analyse. Incident-Res- ponse-Teams sparen dann viel Zeit, weil sie sofort auf wichtige Daten zugreifen können. Generative KI optimiert die Gefahrenabwehr Zusätzliche Entlastung bietet der in Trend Vision One integrierte KI-gestützte Cybersecurity-Assistent Companion. Beispielsweise verbes- sert das Tool die Effizienz, indem es Suchanfragen in Klartext ermöglicht und schnell relevante Informationen zur proaktiven Bekämpfung von Bedrohungen bereitstellt. Außerdem liefert Companion Erklärungen zu ebenenübergreifenden Ereigniswar- nungen, Angreifer-Skripten und Befehlen in einfacher Sprache. Security-Teams erhalten mit Trend Vision One Zugriff auf tiefgrei- fende Analysen und kontextbezoge- ne, KI-gesteuerte Empfehlungen zur Schadensbegrenzung. Die Automa- tisierung von E-Mail-Benachrich- tigungen, Support-Ticketvergabe und Berichterstattung über Vorfälle optimiert Prozesse und steigert die Effizienz. Je früher, desto besser Viele Unternehmen, die unter dem Fachkräftemangel leiden, entscheiden sich dafür, die Secu- rity-Plattform zusätzlich mit den Managed Services von Trend Service One Complete zu kombinieren. Spezialisierte Security-Analysten übernehmen dann das 24/7-Monito- ring der XDR-Warnungen und unter- stützen dabei, schnell die richtigen Gegenmaßnahmen zu ergreifen. Au- ßerdem steht im Ernstfall garantiert ein Incident-Response-Team bereit. In der Kombination aus einem Platt- form-Ansatz und Managed-Security- Services gelingt es mit überschauba- rem Aufwand, alle drei Phasen im Lebenszyklus eines Cyberangriffs abzudecken und zentrale NIS-2-An- forderungen zu erfüllen. Dabei gilt: Je früher man ansetzt, desto besser. ASRM hilft, die IT-Umgebung so zu härten, dass Angreifer vorbeiziehen oder nur schwer vorwärtskommen. Security-Teams können den Vorfall dann XDR-unterstützt eher stoppen und das Schadensausmaß minimie- ren. Incident-Response-Teams haben dank der Security-Plattform sofort Zugriff auf wichtige Daten, Unter- nehmen können ihrer Meldepflicht nachkommen, und Systeme sind schneller wieder betriebsbereit. All das erhöht die Resilienz erheblich und spart am Ende Aufwand sowie Kosten. n Messestand Trend Micro Halle 7, Stand 235 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023 11

<kes> Special zur it-sa 2023 Ganzheitliches Risikomanagement: Herausforderungen integriert managen und Kosten senken Unternehmen, die ihr Risikomanagement über alle Ebenen hinweg durchgängig betreiben und transparente und effiziente Geschäftsprozesse etablieren wollen, sollten sich von ineffizi- enten Insellösungen mit mangelnder Transparenz, unzuverlässigen Daten, redundanter Daten- haltung, hoher Fehleranfälligkeit und Schnittstellenproblemen verabschieden. Von Ellen und Werner Wüpper, WMC GmbH In der Praxis stellt ein Risi- komanagement, das ein optimales Chancen-Risiko-Verhältnis zur Er- tragsgenerierung sicherstellt, nach wie vor eine große Herausforderung für Unternehmen dar. Bei einem solchen Projekt sind verschiedene Aspekte zu berücksichtigen und zu managen. Wichtige Teilbereiche sind hier das strategische, das finanzwirt- schaftliche und das operative Risiko- management. In vielen Unternehmen ist es jedoch noch üblich, dass Risiken mit unterschiedlichen Vorgehensweisen in verschiedenen Anwendungen ermittelt und über Schnittstellen zusammengeführt werden. Zum einen werden dadurch viele Tätig- keiten doppelt durchgeführt und redundante Daten vorgehalten, zum anderen gehen viele Informationen bei der Übertragung über Schnittstel- len verloren oder lassen sich nicht direkt für die Gesamtbewertung nutzen. Ein eher unbefriedigender Zustand. Dazu kommt noch, dass der Betrieb von mehreren Insellösungen im Bereich von Software auch häufig vermeidbare Kosten produziert. Integriertes Manage- mentsystem Mit QSEC bietet das Unter- nehmen WMC bereits seit vielen Jahren ein am Markt erfolgreich eta- bliertes integriertes Managementsys- tem an. In QSEC kann komfortabel und effizient nach den unterschied- lichsten Anforderungen und Vorga- ben verschiedenster nationaler und internationaler Standards gearbeitet werden. Besonders wichtig ist WMC dabei die Investition in die stetige Weiterentwicklung des Produkts, um Anwendern immer die bestmögliche Usability und Aktualität für ihre jeweiligen Ansprüche zu bieten. Ne- ben der Produktentwicklung, die sich an den aktuellen und zukünftigen Anforderungen orientiert, versteht sich WMC als Lösungspartner, der alle QSEC-Kunden bei Bedarf mit langjähriger Expertise aus der Um- setzung weltweiter Projekte unter- stützt. Mit QSEC V8.0 erwei- tert das Unternehmen nun die QSEC-Produktfamilie um das Zu- satzmodul „Unternehmensrisikoma- nagement“. Dieses Modul bietet zu- künftig die Möglichkeit, die gesamte Prozesskette des Risikomanagements in einer Organisation methodisch, durchgängig und effizient zu be- treiben. Damit wird es möglich, alle Teilbereiche des Risikomanagements in einer Lösung bis ins Detail zu betrachten. Die aus dieser Durchgän- gigkeit resultierenden Synergien und optimierten Prozesse sparen Kosten und ermöglichen eine übergreifende Betrachtung von Chancen und Risi- ken bei gleichzeitiger Reduzierung des Dokumentationsaufwandes. Im Modul Unternehmensri- sikomanagement werden neben den bisher in QSEC etablierten IT-Risiko- managementfunktionen die Risiken der Geschäftseinheiten, Geschäfts- prozesse und Dienstleister ermittelt. Die in dieser QSEC-Ergänzung festge- legte Methodik der Risikobewertung berücksichtigt die unterschiedlichen Anforderungen aus den für das Un- ternehmensrisikomanagement rele- vanten Normen der ISO/IEC 31000, der BaFin, der MaRisk und weiterer normativer Vorgaben. Alle Risiken von den sehr detaillierten IT-Risiken über die Geschäftsprozessrisiken (operatio- nelle Risiken) und die Risiken der Organisationseinheiten bis hin zu denen der Gesellschaft (Legal Entity) können im QSEC-Unternehmens- risikomanagement erfasst, bewertet und aggregiert werden. Innerhalb des Bewertungsprozesses können ergänzend auch Dienstleister- und Projektrisiken identifiziert werden. Damit stehen alle Risiken in einem System zur Verfügung. Die auf der obersten Ebene der Gesellschaft bewerteten Enterpri- se-Risiken (Unternehmens-, Markt-, Währungsrisiken etc.) können durch die Anzeige der zur Gesellschaft 12 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023

zugeordneten Organisationsrisiken ergänzt werden (drill down). Auch die Geschäftsprozessrisiken der Or- ganisationseinheiten lassen sich ein- sehen. Weiterhin auch die mit den Geschäftseinheiten verbundenen IT-Systemrisiken sowie die eventuell vorhandenen Dienstleister- und/ oder Projektrisiken. Alle Risiken werden nach individuellen Risikokatalogen mit den Bedrohungs- und Schwachstel- lenkriterien bewertet. Somit können einheitliche Risikostufen (z. B. A – D / rot bis grün) für eine übersichtliche Aggregation beziehungsweise Simu- lation verwendet werden. Die Quantifizierung der Risiken erfolgt hinsichtlich ihrer Eintrittswahrscheinlichkeit und ihrer Auswirkungen. Ziel der Bewer- tung ist es, die identifizierten Risiken qualitativ durch geeignete Vertei- lungsfunktionen zu beschreiben. Die Risikoquantifizierung erfolgt über Risikokataloge mit den bereits angegebenen Bedrohungs- und Schwachstelleneinstufungen. Die Risikoermittlung erfolgt nach der Risikoberechnung „Risiko = Eintrittswahrscheinlichkeit x Scha- denshöhe“. Usability und Akzeptanz Die beschriebenen fachli- chen Features und Methoden sind in QSEC die inhaltliche Basis des Enterprise-Risikomanagements. Ein weiterer wesentlicher Erfolgsfaktor für den Erfolg einer ganzheitlichen Riskmanagement-Lösung ist auch die Usability und Akzeptanz aller Anwendergruppen des Systems. In QSEC wird dieser Herausforderung große Bedeutung beigemessen. WMC bietet den Anwendern – vom IT-Administrator über den Pro- zessverantwortlichen, der Bereichs- leitung bis zur Geschäftsführung – individuelle Ansichten für spezielle Anwendergruppen, Wizards und In QSEC werden alle Risikogruppen be- wertet. (Bild: WMC GmbH) Workflows. Jede Anwendergruppe erhält genau die Sichtweise, die sie erwartet. So stehen zum Beispiel für die umfangreiche und detaillierte IT-Risikobewertung übersichtliche Bewertungsformulare mit Vorlagen zur Verfügung. Der Akzeptanz der Be- reichsleitung und Geschäftsführung wird mit selbsterklärenden Wizards (geführte Workflows, analog bei- spielsweise einer Flugbuchung) für eine einfache Bewertung Rechnung getragen. Die verantwortlichen Ri- sikomanager können die Erkennt- nisse, die während der Risiko- analyse (besonders während der Risikoidentifikation und -bewer- tung) über alle Ebenen gewonnen wurden, im QSEC-Risikoinventar bearbeiten. Das Risikoinventar bezie- hungsweise der Risikobehandlungs- plan enthält Informationen über die einzelnen Risiken, die Bewertung der Risiken, die Beurteilung der risikore- duzierenden Maßnahmen, Vorschlä- ge zu Verbesserung des Status und eine Priorisierung der Maßnahmen. Zweck eines Risikoinventars ist es, besonders den Entscheidungsträ- gern einen komprimierten Über- blick über die Risikosituation des Unternehmens zu geben. Neben der quantitativen Beurteilung kann auch eine qualitative Bewertung (z. B. potenzielle Schäden als Folge von Industriespionage, gesetzlichen Änderungen, Währungsschwankun- gen, Pandemie etc.) vorgenommen werden. Dabei werden nicht nur die Risiken mit internen Auswirkungen betrachtet, sondern auch die Auswir- kungen zum Beispiel auf die Kunden. Gerade Prozessrisiken können bei der internen Betrachtung geringere Folgen haben als bei der Kundenrisi- kobetrachtung. Fazit Mit QSEC und dem neuen Modul Unternehmensrisikomanage- ment bietet WMC als einer der ersten Anbieter eine komplett durchgän- gige Risikomanagementlösung für Unternehmen aller Branchen und Größenordnungen. Die fortschreitende Digi- talisierung und die damit einher- gehende Cyberkriminalität sowie die Notwendigkeit, Risiken, die die Vermögens-, Finanz- und Ertragslage gefährden, frühzeitig zu erkennen, sind wesentliche Gründe, das The- ma Risikomanagement systematisch zu bearbeiten. Auch können die Verantwortlichen den Mangel an Fachkräften und Spezialisten in diesem Bereich entschärfen und die Unterstützung und Vorteile ei- ner effizienten Software wie QSEC nutzen. n Messestand WMC Wüpper Halle 7, Stand 309 it-sa Termin mit QSEC-Experten: wmc-direkt.de/veranstaltungen/ it-sa-kontaktformular © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023 13

<kes> Special zur it-sa 2023 Zero Trust – zentrale Antwort auf Bedrohungsszenarien Durch die aktuellen Rahmenbedingungen wie Fachkräftemangel, politische und wirtschaft- liche Krisen oder die Disruptionen in den globalen Lieferketten bieten sich immer mehr An- satzpunkte für Cybercrime. Nach der Corona-Pandemie haben sich neue Arbeitsmethoden etabliert, und die Netzwerke von Unternehmen, Banken und Verwaltungen sind stärker in den Fokus von Cyberkriminellen gerückt. Von Heiko Fleschen, macmon secure Umfassende Netzwerksicherheit ist unabdingbar, um Risikofaktoren zu reduzieren und den finanziellen Schaden und Reputationsverlust bei einer erfolgten Atta- cke gering zu halten. Dieser Aufgabe müssen sich CIOs, IT- und Rechenzentrumsleiter, IT-Sicherheitsverantwortliche und das Management bundesweit stellen. Übergeordnetes Thema auf der it-sa ist Zero Trust. Zero Trust Network Ac- cess (ZTNA) fußt auf der Philosophie, weder einem Gerät noch einem Benutzer bei der Anmeldung ins Netzwerk einen Vertrauensvorschuss zu geben, bevor es keine völ- lig sichere Authentifizierung gab. Mit macmon NAC für lokale Netzwerke und macmon SDP für Cloud-Lösungen bietet der deutsche Sicherheitsexperte macmon secure ein zentrales Angebot für die Abwehr von Cyberattacken. 20 Jahre macmon secure macmon secure hat seine Kompetenz in mehr als 1500 Installationen bewiesen und verfügt über umfassen- de Erfahrung in unterschiedlichen Branchen. So vertrauen zahlreiche Behörden auf den Netzwerkschutz, denn die öffentlichen Verwaltungen beherbergen eine Fülle an sensiblen Daten – gleichzeitig müssen diese Daten flexibel für die verschiedenen Fachverfahren nutzbar sein – auf diversen Geräten und an unterschiedlichen Standorten. Banken, Kreditinstitute, Finanzdienstleister und Versiche- rungsunternehmen sind ebenfalls wichtige Kunden, denn sie arbeiten seit jeher mit Daten, die durch Missbrauch erheblichen finanziellen Schaden verursachen können. Gleichzeitig steigen gerade dort die Anforderungen an mobile Systeme. Zugriffsmöglichkeiten von überall und größtmögliche Flexibilität sind gefragt. Sicherheit für IT- und OT-Netzwerke Die zunehmende Vernetzung der Produktions- systeme steigert ihre Komplexität und Anfälligkeit. Im Gegensatz zur Office-Welt können sensible Komponenten in Produktionsnetzen, wie Roboter, Maschinen und Steu- erungen, nicht mit üblichen Mitteln geschützt werden. Mit der Software-Plattform Belden Horizon bietet macmon eine einfache und praxiserprobte Verbindung zu OT-Netz- werken. Die Edge-Orchestrierungsfunktionen ermögli- chen es, Anwendungen auf einem oder mehreren Geräten gleichzeitig zu implementieren und zu verwalten – lokal oder remote. Die Secure-Remote-Access-(SRA)-Technologie sorgt für sichere Verbindungen über Mobilfunk oder Kabel. Zahlreiche Neuigkeiten auf der it-sa Christian Bücker, Business Director bei macmon se- cure: „Auf der it-sa können sich interessierte Anwender über innovative Features informieren. Die Version macmon NAC 5.36.1 ist ab sofort verfügbar, und macmon SDP 2.0 stellt das nächste Level der Secure Perimeter Lösung dar. Interessenten zeigen wir gern die vielfältigen Anwendungsmöglichkeiten anhand von Kundenszenarios. Ich freue mich schon auf den regen Austausch mit den Besuchern.“ n Messestand macmon secure, Halle 7, Stand 223 Vorträge: Di: 10:30 Uhr (International Forum) Patrick Deruytter, Security con- siderations with IT/OT Convergence Di: 14:45 Uhr (Forum D, Halle 7) Jochen Füllgraf, NAC: Ein kom- pakter Überblick über Ansätze und Lösungen Mi: 12:30 Uhr (Forum C, Halle 7) Michael Reinholz, Intelligent Factory 4.0 – macmon NAC supports the Industry Do: 11:45 Uhr (Forum C, Halle 7) Professor Tobias Heer, Keine Panik auf der Titanic – Wie man der Security-Havarie eines Industrie-Netz- werks mit NAC vorbeugen kann 14 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023

Wir sichern Ihre digitale Welt  Cyber Security Consulting Reifegradunabhängige Beratung rund um Informationssicherheitsmanagement (ISMS), Sicherheitskonzepte, Security Trainings und Awareness sowie rund um das Security Operations Center (SOC)  Cyber Security Integration Network Security und Security Architecture Ihrer IT/OT Von der Konzeption bis zur Umsetzung rund um Cloud Security, Identity Access Management,  SOC Services Die eigene Sicherheit permanent im Blick mit SOC as a Service, Incident Response/ Forensik und Pentesting und Endpoint Security für Endgeräte-Hosts  Cyber Security Products Eigenbetrieb eines Security Operations Centers mit bewährter RADAR-Kerntechnologie zur Erkennung und Reaktion auf Sicherheitsvorfälle und damit verbundene Prozesse (RADAR Solutions), ultramobiles, flexibles Arbeiten bei maximaler Sicherheit (Secure PIM) sowie umfassende SAP Security für mehr Resilienz it-sa: Besuchen Sie uns auch bei unserer Roadshow: Screenshot Beispiel-Report Firewall Orchestrator Stand 516 (Halle 7A) https://materna-radar-cyber-security.de/xcsday

<kes> Special zur it-sa 2023 Ganzheitliche Abwehrstrategien: G DATA CyberDefense setzt auf Managed EDR Der Schutz vor Cyberangriffen ist für Unternehmen von essenzieller Bedeutung und stellt sie gleichzeitig vor die große Herausforderung, IT-Sicherheit effektiv zu gestalten. Daher ist es für IT-Verantwortliche wichtig, sowohl auf die passende Lösung zu setzen, als auch einen verlässlichen Anbieter zu wählen. Dieser sollte verstehen, was genau gebraucht wird und Unternehmen dabei individuell unterstützen. Genau das bietet G DATA CyberDefense mit seinem leistungsstarken Portfolio aus Security-Lösungen wie Managed-Endpoint-Detection- and-Response, Security-Awareness-Trainings, Penetrationstests und Incident-Response. Von Kathrin Beckert-Plewka, G DATA CyberDefense AG Es reicht nicht aus, Bedro- hungen im Unternehmensnetzwerk nur zu erkennen (detect). Entschei- dend ist eine umgehende Reaktion (respond) auf schädliche Vorgänge im Fall eines erfolgreichen Angriffs. Viele IT-Teams sind damit überfor- dert, da sie einfach nicht genügend Zeit haben oder es an speziellem Fachwissen fehlt. Effektive IT-Sicher- heit ist sehr aufwendig und erfordert Fachpersonal, Know-how und Er- fahrung. Der anhaltende Fachkräf- temangel macht es Unternehmen schwer, dabei kann man sich auch extern professionelle Hilfe holen, auf die IT-Verantwortliche zurück- greifen können. Eine gute Lösung ist G DATA 365 Managed Endpoint De- tection and Response (kurz Managed EDR). Cyberangriffe entdecken und sofort reagieren Cyberkriminelle nutzen Feiertage, Wochenenden und Näch- te, um Unternehmen anzugreifen. IT-Sicherheit ist daher eine Rund- um-die-Uhr-Aufgabe. IT-Teams müs- sen die IT-Systeme immer im Auge behalten, und vor allem muss im Fall einer Attacke eine sofortige Reaktion erfolgen, um große Schä- den abzuwenden. Dies können Unternehmen häufig kaum leisten. Bei Managed EDR von G DATA CyberDefense überwachen gut aus- gebildete IT-Security-Fachleute alle Aktivitäten auf den IT-Systemen und stoppen Cyberangriffe – egal zu welcher Uhrzeit. Alle Informationen laufen in einer Webkonsole zusammen, in der IT-Teams in Echtzeit eine Übersicht erhalten, ob und welche Security-Vorfälle es gab und welche Maßnahmen die Fachleute von G DATA ergriffen haben. Zudem finden sie hier Handlungsempfeh- lungen, wenn diese nötig sind. 24/7-Expertenschutz Das Monitoring übernimmt bei G DATA 365 Managed Endpoint Detection and Response ein Team von erfahrenen Fachleuten. Sie sind 24 Stunden täglich, an sieben Tagen in der Woche im Einsatz und wer- ten die Ergebnisse der Sensorik aus. Dabei verifizieren sie zunächst, ob es sich um eine Attacke handelt. Ist dies der Fall, wird der Angriff genau- estens analysiert. Danach erfolgen eine umgehende Reaktion und eine Einleitung von Gegenmaßnahmen, wie zum Beispiel das Separieren eines betroffenen Endpoints oder Dienstes vom Netzwerk. Unternehmen wer- den zudem über den Vorfall infor- miert. Sollte eine Mitwirkung durch die eigene IT-Abteilung nötig sein, geben die Experten von G DATA klare Handlungsempfehlungen. Unternehmen profitie- ren beim Einsatz der gemanagten EDR-Lösung von der langjährigen Erfahrung und dem Know-how des deutschen Cyber-Defense-Spezialis- ten. Mitarbeitende in Unternehmen können sich ihren Aufgaben widmen, während G DATA die IT-Systeme über- wacht und Angriffsversuche stoppt. Der deutschsprachige und kostenfreie 24/7-Support unterstützt bei Fragen und Problemen. Ein weiterer Vorzug der Dienstleistung: Die verarbeiteten Daten verbleiben ausschließlich in Deutschland auf den Servern des stra- tegischen Partners IONOS in Frank- furt am Main und Berlin sowie auf den unternehmenseigenen Servern von G DATA am Bochumer Unter- nehmensstandort. Damit unterliegen die Informationen den strengen deut- schen Datenschutzgesetzen und der EU-Datenschutzgrundversorgung. 16 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023

Human Centered Security Eine weitere wichtige Kom- ponente im Kampf gegen Cyber- kriminelle ist die Belegschaft eines Unternehmens. Eine Studie des Po- nemon Instituts aus den USA zeigt, dass 54 Prozent aller Cyberangriffe auf menschlichen Fehlern basieren. Die Angreifergruppen setzen auf Phishingmails, um Angestellte zur Herausgabe von Zugangsdaten für bestimmte Dienste zu bewegen. Die Security-Awareness-Trai- nings von G DATA zielen darauf ab, das Bewusstsein für Cyberrisiken und den Umgang damit bei der Belegschaft zu steigern und sie mit dem nötigen Wissen auszustatten. Hierzu lernen sie in Online-Kur- sen zu verschiedenen Themen der IT-Sicherheit, wie sie sich vor digi- talen Gefahren schützen können. Das E-Learning ermöglicht dabei flexibles Lernen an jedem Ort. Die Trainings lassen sich leicht in den Arbeitsalltag integrieren, und durch regelmäßige Wiederholungen festigt sich das Wissen langfristig. Die Se- curity-Awareness-Trainings werden dabei in drei aufeinander aufbauen- den Leveln absolviert: In Level eins werden zunächst die Grundlagen vermittelt. Auf der nächsten Stufe bauen Lernende spezielleres Wissen auf, und in Level drei geht es um tiefgreifendes Wissen rund um IT-Si- cherheit. Ein zentraler Baustein der G DATA Security Awareness Trainings ist die Phishing-Trainingsreihe. Durch charakterbasiertes Storytel- ling und spielerische Interaktion ist maximaler Lerntransfer garantiert, weil ein besonders praxisnaher und nachhaltiger Weg der Wissensver- mittlung geschaffen wird. Virenscan in der Cloud Sinnvoll ist außerdem auch die Absicherung von Diensten, auf denen Daten geteilt werden. Viele Informationen liegen in Unterneh- Besuchen Sie unsere hybriden Workshops. Jetzt anmelden und Gratis-Ticket sichern! men in gemeinsam genutzten Ver- zeichnissen. Dadurch entsteht ein größeres Risiko, dass darunter auch Schadprogramme sein könnten, die weiterverbreitet und hohen Scha- den anrichten können. Mit G DATA Verdict-as-a-Service (kurz VaaS), einem cloudbasierten Virenschutz, können Unternehmen alle Daten auf Schadhaftigkeit prüfen. Der Scan erfolgt dazu nicht auf dem Endpoint, sondern in der Cloud. VaaS ist schnell und leicht skalierbar – von einer einzelnen Datei bis zu einer Vielzahl. Der Dienst lässt sich dabei individuell anpassen und ist einfach in Anwendungen, Webseiten oder Dienste integrierbar. G DATA veranstaltet auf der it-sa neben seiner Standpräsenz und Vorträgen auch drei kostenlose Workshops zu aktuellen Cyberge- fahren und Abwehrmaßnahmen: Im Workshop „IT-Security über die Cloud: Was bringen 'mana- ged‘ und ‘as-a-Service‘-Produkte?“ zeigen Stefan Hausotte (Head of Threat Intelligence & Infrastruc- ture, G DATA CyberDefense), Florian Kuckelkorn (Head of OEM Solutions, G DATA CyberDefense) und Tobias Becker (Senior Partner Cloud Solutions Architect, IONOS) am 10. Oktober 2023 von 14:30 bis 16:00 Uhr im Live-Hacking, wie Angreifer in IT-Systeme einbrechen und wie ein gesamtheitliches Ver- teidigungskonzept schützen kann. Für Unternehmen bietet die Lösung dabei mehrere Vorteile: Der Datenbestand ist frei von Malware. Es müssen keine Investitionen in Hardware erfolgen, der Betrieb eines zusätzlichen Servers ist beispielswei- se nicht nötig. Zudem sind für die Implementierung keine spezifischen Kenntnisse in IT-Sicherheit erforder- lich. G DATA Verdict-as-a-Service wird wahlweise in DSGVO-konfor- men Rechenzentren von IONOS betrieben oder in der Firma selbst gehostet. n Messestand G DATA Halle 7, Stand 210 Wie unkompliziert G DATA VaaS integriert werden kann, wird am 10. Oktober 2023 von 16:00 bis 17:30 Uhr im Workshop „Live Co- ding: AntiMalware SDK nutzen & eigenes Plugin für MS Teams bauen“ demonstriert. „Vor & nach dem Cyberan- griff: Worauf es ankommt“ heißt es in einem Workshop am 11. Oktober 2023 von 9:30 bis 12:30 Uhr mit dem Fokus Security Awareness Trai- nings und Incident Response. Alle Workshops finden auf dem it-sa Kongress in NCC Ost, Raum Singapur statt. Mehr Informa- tionen und die Möglichkeit, sich für die Workshops anzumelden, finden Sie unter www.gdata.de/it-sa. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023 17

<kes> Special zur it-sa 2023 Notfallübungen als Rückversicherung für den Ernstfall Unverhofft kommt öfter als erwartet … m o c . e b o d a . k c o t s / m o c . s e g a m e p o e p l i / l d n e P e n e r e m a C Betriebsunterbrechungen treten zu jeder Tages- und Nachtzeit, meist unerwartet und immer häufiger in nicht vorhersehbarem Ausmaß auf. Lässt sich Ihr Unternehmen von möglichen Störungen, Notfällen und Krisen überraschen – getreu dem Motto „wird schon nicht passie- ren“? Oder setzen Sie sich schon im Vorfeld mit dem „Undenkbaren“ auseinander, um auf derartige Situationen optimal und vor allem strukturiert mit einer guten Krisenführung zu reagieren? Und drittens die Kernfrage: Bewährt sich das Notfall- und Krisenmanagement im Ernstfall? Von Silke Menzel, HiScout GmbH Allein im Jahr 2022 wurden 81 deutsche Unternehmen Opfer einer Cyberattacke, wobei die Dun- kelziffer garantiert um einiges höher ist. Dabei sind Cyberangriffe nur eine Form aller Notfälle. Im Allianz Risk Barometer 2023 rangieren Betriebs- unterbrechungen mit 46 Prozent noch vor den Cybervorfällen mit 40 Prozent. Vor diesen Ereignissen ist kein Unternehmen gefeit – das gilt für große Konzerne ebenso wie für Kleinbetriebe, Mittelständler, aber auch für die öffentliche Verwaltung. Inzwischen werden viele der Aussage des Technikvorstands des deutschen Energieversorgers EWE vom Mai 2022 zustimmen: „Wir haben kein Erkenntnisproblem, sondern ein Umsetzungsproblem.“ Ein Beispiel hierfür ist eine Notfallübung für einen Stromausfall in einem Kran- kenhaus. Während der Übung trat tatsächlich ein Stromausfall ein, und es stellte sich heraus, dass die Backup-Stromversorgung des Kran- kenhauses nicht ordnungsgemäß funktionierte. Dadurch konnten lebenswichtige medizinische Geräte nicht betrieben werden, was die Sicherheit der Patienten gefährdete und zudem das Vertrauen in das Krankenhaus erschütterte. Dieses Beispiel verdeutlicht: In den meisten Unternehmen sind zwar Notfallkonzepte und -pläne vorhanden, nur die Umsetzung ist oftmals nicht erprobt, geschweige denn optimiert. Um den Prozess der Notfallabarbeitung hinsichtlich seiner Wirksamkeit und Zweckmä- ßigkeit zu überprüfen und nach Möglichkeit auch zu verbessern, ist die Durchführung regelmäßiger Not- fallübungen erforderlich. Das ist die Königsdisziplin des Business-Con- tinuity-Managements (BCM). Die Notfallplanung kann nur die grund- sätzlichen Abläufe festlegen. Daher ist es für eine Organisation überle- benswichtig, dass jedes Ausfallsze- nario im Idealfall jährlich geübt wird und die Notfallmaßnahmen sowie das Bewusstsein der Mitarbeiter dafür trainiert werden, damit im Ernstfall die Abläufe effizient funktionieren. Hierin zeigt sich die wahre Qualität der Notfallvorsorge. Die Vorbereitung einer Not- fallübung im Unternehmen erfor- dert eine sorgfältige Planung und Durchführung. Ein Tool kann die Vorbereitung einer Notfallübung erleichtern und mit einem sinn- vollen Vorgangsmanagement beim Durchführen der einzelnen Schritte unterstützen. Folgendes Vorgehen hat sich hierbei bewährt: 1. Identifizieren Sie potenziel- le Notfallszenarien: Erstellen Sie eine Liste der möglichen Notfallsituationen, die in Ih- rem Unternehmen auftreten könnten. 2. Prüfen Sie, welche Übungsarten Ihr Unternehmen aus regulato- rischen Vorgaben oder aufgrund einer Zertiﬁzierung durchführen muss. 3. Wählen Sie basierend auf der Re- levanz und Wahrscheinlichkeit der verschiedenen Notfallszena- rien diejenigen aus, die in einer Übung simuliert werden sollen, und überlegen Sie, mit welcher Übungsart das jeweilige Szenario geübt werden soll. Berücksich- tigen Sie dabei die speziﬁschen Risiken und Anforderungen Ihres Unternehmens. 4. Erstellen Sie eine Jahresplanung für alle im laufenden Jahr durch- zuführenden Übungen. Damit erfüllen Sie gleichzeitig eine 18 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023

Vorgabe aus Sicht einer Revision oder eines Audits. 5. Deﬁnieren Sie klare Ziele für die Notfallübung: Mögliche Ziele könnten zum Beispiel sein, ei- nen IT-Hot-Stand-by oder die Evakuierung des Gebäudes zu testen, die Kommunikation zwischen den Mitarbeitenden zu verbessern oder deren Reak- tionszeit auf einen Notfall zu verkürzen. 6. Ein notwendiger Schritt, der die Durchführung und Auswertung der Übung erleichtert, ist die Erstellung eines Übungskonzep- tes, das alle Informationen der Übung detailliert beschreibt und mögliche Abhängigkeiten und Auswirkungen berücksichtigt. Dieses Konzept verschafft Ihnen nicht nur eine Übersicht und erleichtert die Vorbereitung. Damit werden auch die orga- nisatorischen, materiellen und finanziellen Aufwände trans- parent, und betroffene Fachbe- reiche und Ressourcen können besser informiert und gesteuert werden. 7. Erstellen Sie einen Aktionsplan oder auch ein Übungsdrehbuch. Diese sollten jeden geplanten Übungsschritt mit Informa- tionen wie Datum, Uhrzeit, beteiligte Mitarbeitende, Rol- len und Verantwortlichkeiten, Kommunikationsmittel und übungsbezogene Anweisungen sowie das zu erwartende Ergeb- nis enthalten. 8. Die leider oft aufwendige Vorbe- reitung der Übung sichert deren erfolgreiche Durchführung und deren Realitätsnähe. Klären und überprüfen Sie die Sicherheits- vorkehrungen in Ihrem Unter- nehmen, um sicherzustellen, dass diese den aktuellen Stan- dards entsprechen. Stellen Sie sicher, dass alle Notausgänge gut zugänglich und gekennzeichnet und dass die Feuerlöscher und andere Notfallausrüstungen in gutem Zustand sind. Informie- ren Sie je nach geübtem Szenario auch externe Beteiligte. Dies können sowohl Ihre Dienstleis- ter wie auch die örtliche Polizei oder Feuerwehr sein (Es könnte Sie eine Menge Bier für das nächste Feuerwehrfest kosten, sollten diese durch eine Übung unnötig alarmiert werden). 9. Die Ankündigung und Durch- führung der Notfallübung ge- mäß dem Aktionsplan ist der entscheidende Schritt. Bereiten Sie Ihre Mitarbeitenden auf die bevorstehende Notfallübung vor, und geben Sie ihnen kla- re Anweisungen, wie sie sich während der Übung verhalten sollen. Stellen Sie sicher, dass alle Beteiligten das Vorgehen verste- hen, die Handlungsanweisun- gen, Geschäftsfortführungsplä- ne oder Notfallhandbücher in der aktuellen Version vorliegen haben und wissen, wie sie im Notfall handeln sollten. Stellen Sie sicher, dass alle relevanten Aspekte des Übungsszenarios berücksichtigt werden, und protokollieren Sie die Beobach- tungen und Ergebnisse der im Aktionsplan beziehungsweise im Übungsdrehbuch beschrie- benen Schritte. Nur eine doku- mentierte Übung ist auch eine durchgeführte Übung. 10. Keine Erkenntnis ohne Aus- wertung und Feedback: Im Anschluss an die Übung sollte eine Bewertung durchgeführt werden, um zu sehen, wie gut die Beteiligten reagiert haben und ob die gesteckten Ziele erreicht wurden. Nicht nur die Auswer- tung der Beobachtungen, auch das Feedback der Teilnehmen- den ist ein wertvoller Beitrag, um mögliche Verbesserungen zu identifizieren. Basierend auf diesen Erkenntnissen ist es sinnvoll, die Notfallpläne ent- sprechend zu aktualisieren und anzupassen. Es sind viele Punkte und As- pekte zu berücksichtigen, wenn eine Notfallübung nicht an mangelnder Vorbereitung, Kommunikation, Koordination oder technischen Pro- blemen scheitern soll. Damit man jederzeit den Überblick hat, kann der Einsatz eines BCM-Tools wie das von HiScout hilfreich sein. Zu jedem Planungsschritt gibt es eine entspre- chende Dokumentation – und ein integriertes Vorgangsmanagement unterstützt bei der Vorbereitung und Durchführung der Notfallübung. Er- kenntnisse, Handlungsempfehlun- gen und Maßnahmen können eben- so darin festgehalten werden wie deren Umsetzungspflege und -nach- weise. Die erreichten und durch die Übung verifizierten Wiederherstel- lungszeiten von zum Beispiel IT-Ser- vices werden in den Soll-Ist-Vergleich zurückgespiegelt, sodass der entspre- chende Handlungsbedarf im Sinn einer kontinuierlichen Verbesserung sofort deutlich wird. Am Ende erhält man ein Ergebnis, dass das Unternehmen resi- lienter macht und die eigene Position innerhalb des Unternehmens stärkt. Nur so können Verantwortliche si- cherstellen, dass im Ernstfall optimal gehandelt wird. n Messestand HiScout GmbH Halle 7A, Stand 619 Silke Menzel hält am 10. Oktober um 15:00 Uhr auf der it-sa einen Vortrag zum Thema „Im Ernstfall optimal handeln – Wie Sie toolgestützt Ihre Notfallübungen effektiv vorbereiten, durchführen und auswerten“ © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023 19

<kes> Special zur it-sa 2023 Welche Maßnahmen bei der Abwehr von Cyber-Attacken helfen Schritt für Schritt zu einem höheren Sicherheitsniveau Unternehmen und Behörden müssen sich darauf einstel- len, dass Cyber-Angriffe wei- ter zunehmen. Jede Organi- sation könnte Opfer einer Attacke werden. Unsere Au- torin beschreibt, worauf sich IT-Sicherheitsexpert:inn:en einstellen müssen und wie sie im Wettlauf mit Angrei- fern die Nase vorn behalten. Von Heike Abels, Materna Bild: puhhha/stock.adobe.com Laut Angaben des Bundes- kriminalamtes zur Lage der Cyber-Si- cherheit wurden im vergangenen Jahr knapp 137 000 Unternehmen in Deutschland Opfer von Cyber-An- griffen. Eine Umfrage des Bran- chenverbands Bitkom zeigt, dass 63 Prozent der Unternehmen mit einem Angriff innerhalb eines Jahres rechnen. Davon wiederum glauben nur 43 Prozent, eine Cyber-Attacke erfolgreich abwehren zu können. Und was ist mit dem Rest? Wie schätzen Sie Ihre Chan- cen ein, sich erfolgreich zu ver- teidigen? Gehören Sie zu den 57 Prozent, die nicht wissen, ob das eigene Unternehmen gut genug vor- bereitet ist, oder glauben Sie, dass es nicht im Fokus von Hackern steht? Potenziell alle Unternehmen und auch Behörden können Ziele von Cyber-Attacken werden. Die Angriffe nehmen zu, und die Angreifer entwi- ckeln ihre Methoden kontinuierlich weiter. Es wird also höchste Zeit, den Kriminellen mit professionellen Schutzmaßnahmen zu begegnen. Schwachstellen ﬁnden und schließen Irgendwann ist er plötzlich da – der Anruf, den kein IT-Sicher- heitsverantwortlicher jemals be- kommen möchte: Die Organisation wurde gehackt. An der Stelle ist noch nicht klar, ob Daten verschlüsselt wurden oder abgeflossen sind und wie hoch der Schaden sein wird. Es wird nur deutlich, dass die Schwach- stelle sofort geschlossen werden muss. Jetzt sollten die Verantwort- lichen einen Notfallplan mit allen erforderlichen Maßnahmen in der Tasche haben. Das setzt voraus, dass sie sich über den Notfall bereits Ge- danken gemacht und bestenfalls ein Business-Continuity-Management für den Erhalt der Geschäftsfähigkeit miteinbezogen haben. Ist die Schwachstelle erst einmal gefunden und geschlossen, beginnt die forensische Arbeit, in der aufgearbeitet wird, an welcher Stelle das Leck entstanden ist. Schwach- stellen können verschiedene Fak- toren sein, wie zum Beispiel eine unzureichende Security-Software. Der größte Risikofaktor ist jedoch der Mensch – der Mitarbeitende, der einmal in einer harmlos wirkenden E-Mail auf den falschen Button ge- klickt hat. Jeden Tag erreichen rund 3,4 Milliarden betrügerische E-Mails Postfächer weltweit. Diese E-Mails, die per unbedachtem Knopfdruck Schadsoftware installieren oder ver- trauliche Daten abfangen, sind für Laien oft schwer zu identifizieren. Mit regelmäßigen Security-Trainings und Awareness-Schulungen erlan- gen Mitarbeitende einen sichereren Umgang mit E-Mails und lernen, wo- ran sie verdächtige Mails erkennen. Ebenso können die Infrastruktur und Anwendungen mittels Schwachstel- © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023 21

<kes> Special zur it-sa 2023 lenanalyse und Pentests gezielt auf Schwachstellen geprüft werden. Überwachung mit Argusaugen Alle Schwachstellen im Blick zu behalten, ist bei der Vielzahl der Anwendungen innerhalb einer Or- ganisation und der Schnelligkeit der Angreifer nicht einfach. Hier kann ein Security-Operations-Center (SOC) Abhilfe schaffen. Ein SOC ist vor allem ein Überwachungs- und Meldesystem: Auf Basis eines Security-Information- and Event-Managements erfasst und analysiert es sämtliche Aktivitäten im Netz einer Organisation. Anhand vor- definierter Regeln erkennt und meldet es Ereignisse, die auf einen möglichen Sicherheitsvorfall hindeuten, an das Cyber-Security-Incident-Respon- se-Team. Hier laufen dann weitere Analysen und gegebenenfalls Maß- nahmen zur Gefahrenabwehr. Der Erfolg des SOC-Konzepts beruht vor allem auf zwei Aspekten. Zum einen bündelt es zentral sämtliche sicher- heitsrelevanten Informationen aus den unterschiedlichen Tools zur Über- wachung von Clients, Servern, Netzen und Anwendungen. Das ermöglicht es, gefährliche Zusammenhänge zwi- schen verteilt auftauchenden Events zu erkennen, die ansonsten unent- deckt blieben – wenn zum Beispiel ein Benutzer an mehreren Orten auf verschiedenen Kontinenten gleichzei- tig eingeloggt ist. Zum anderen doku- mentiert es lückenlos alle sicherheits- relevanten Daten. Das ermöglicht die Rückverfolgung von Angriffen und deren Urhebern. Außerdem können Unternehmen mit Reportings auf Basis der Informationen aus dem SOC den Status ihrer Sicherheitsvorkeh- rungen belegen und damit wichtige Compliance-Vorgaben erfüllen. Sensibilisierung für Risiken Die Einfallstore für Schad- software hat das SOC oder SOC-as- a-Service rund um die Uhr im Blick. Auch die schützenswerten Daten selbst benötigen einen Schutzwall in Form von Cloud-Security-Maßnah- men wie etwa eine Public-Key-Infra- structure oder eine Multi-Faktor-Au- thentifizierung, um die digitale Identität eines Users nachzuweisen. Was einfach klingt, erfordert jedoch ebenfalls eine gewisse Vorarbeit. Beispielsweise wissen viele Unter- nehmen nicht, welche ihrer Infor- mationen und Daten besonders schützenswert sind. Mit einem Informations- sicherheits-Management-System (ISMS) lässt sich das beheben. In- formationssicherheit befasst sich nicht nur mit Daten, sondern mit gänzlich allen Informationen eines Unternehmens oder einer Behörde. Bei der Implementierung eines ISMS werden vorhandene Richtlinien beim Aufbau von Prozessen oder der Anpassung bestehender Prozesse berücksichtigt. Auf dieser Basis kön- nen regelmäßige Audits erfolgen, um Zertifizierungen wie IT-Grundschutz oder ISO 27001 zu erhalten. Ebenso können Organisa- tionen sich mit einem ISMS selbst überprüfen oder extern überprü- fen lassen. Mittels GAP-Analysen lassen sich Risiken feststellen und bewerten, um daraus ein fundiertes Sicherheitskonzept abzuleiten bezie- hungsweise weiterzuentwickeln. Im Ernstfall arbeitsfähig bleiben Selbst mit allen Sicherheits- maßnahmen sind Organisationen nicht unverwundbar. Wichtig ist, im Vorfeld einen Plan für den Notfall entwickelt zu haben, in dem Abläufe klar geregelt sind und mithilfe eines Business-Continuity-Managements genauestens vorgegeben ist, wie die Geschäftsprozesse weiter laufen. Denn ein Stillstand verursacht häufig Schäden in Millionenhöhe. Mit Blick auf die aktuelle Lage zur Cyber-Security lässt sich feststellen, dass noch großer Nach- holbedarf herrscht. IT-Sicherheit darf kein isoliertes Thema der IT-Abtei- lung bleiben, sondern muss sich auf die gesamte Organisationstruktur beziehen. Im Jahr 2023 sollen in Deutschland rund 8,5 Milliarden Euro für IT-Sicherheit ausgegeben werden. Der IT-Branchenverband Bitkom empfiehlt, etwa 20 Prozent der gesamten IT-Ausgaben in das Thema Cyber-Sicherheit zu investie- ren. Denn eines ist klar: ohne Inves- titionen gelingt kein umfassendes zukunftsfähiges IT- und Informa- tions-Sicherheitssystem. Wirtschaftsunternehmen ebenso wie die öffentliche Verwal- tung sind gut beraten, sich mit ersten Maßnahmen dem Thema zu nähern: beispielsweise mit regelmä- ßigen Awareness-Schulungen für alle Mitarbeitenden und der Erarbeitung des Notfallplans, um im Ernstfall den Schaden gering zu halten. Dar- über hinaus bringt eine IST-Analyse Klarheit über den aktuellen Stand der Sicherheit und stellt weitere Maßnahmen in einem absehbaren Zeitraum in Aussicht. So lassen sich Schritt für Schritt Security-Maßnah- men ergänzen, damit Unternehmen und Behörden sich bestmöglich gegen Angreifer schützen können. n Messestand Materna Radar Cyber Security Halle 7A, Stand 516 Vorträge 10. Oktober 2023, 15:45 Uhr, Forum E, Halle 7A „Cyber-Resilienz ganzheitlich und euro- päisch gedacht“ Dr. Christian Polster, Geschäftsführer, RADAR Cyber Security 11. Oktober 2023, 16:00 Uhr, Forum E, Halle 7A „Der Einsatz von Smartphones und Tablets im sicherheitssensiblen Umfeld“ Christian Severin, Senior Account Ma- nager, Materna Virtual Solution 22 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023

Unsere Kunden vergessen gerne, dass wir für sie da sind. Ihre Cyberangreifer nicht. HALLE 7 STAND 109 Besuchen Sie Retarus am noris-Stand auf der diesjährigen it-sa in Nürnberg. Lassen Sie Cyberangreifer einfach gegen eine unsicht- bare Wand laufen! Wehren Sie hochentwickelte und persistente Malware- und Phishing-Angriffe effektiv ab und verhindern Sie, dass Cyberkriminelle sensible Daten stehlen, Systeme lahmlegen, Konten plündern oder Lösegeld erpressen. Mit der patentierten Email Security von Retarus sichern Sie Ihr Unternehmen, Ihre Anwender und Daten zuverläs- sig gegen alle bekannten Cybergefahren und deren Fol- gen ab. Als Cloud-Gateway nahtlos integrierbar in jedes E-Mail-System. Egal, ob Cloud, Hybrid oder On-Premises. retarus.de MAKING A VISIBLE DIFFERENCE IN COMMUNICATION.

<kes> Special zur it-sa 2023 Die größten Vorteile verhaltens- psychologischer Elemente in Security-Awareness-Trainings Verhaltenspsychologie trifft Cybersecurity: Unser Autor beschreibt, warum das Verständnis menschlicher Verhaltensmuster für ein erfolgreiches Security-Awareness-Training unerlässlich ist und wie sich Mitarbeiterengagement und Lernerfolg optimieren lassen. Von Dr. Christian Reinhardt, SoSafe GmbH Verhaltenspsychologische Elemente haben wich- tige Vorteile für die Cybersecurity-Awareness-Schulungen. So können Unternehmen durch das Verständnis mensch- licher Verhaltensmuster im Bereich der Cybersicherheit die Motivation ihrer Mitarbeiterinnen und Mitarbeiter zur Teilnahme an Sicherheitsschulungen nachhaltig steigern. Ein wichtiges Element aller verhaltenspsychologischer Ansätze ist Gamification. Der Wechsel von traditionellen Modellen hin zu einer interaktiven Lernerfahrung steigert nicht nur den Lernerfolg, sondern auch die Motivation und den Spaßfaktor. In einer von der Trainingsplattform Talent LMS durchgeführten Umfrage gaben mehr als 80 Prozent der Teilnehmenden an, dass Gamification-Ele- mente das Lernen erleichtern und sie eine stärkere Ver- bindung zu den Inhalten herstellen. Ein weiteres verhaltenspsychologisches Prinzip, das das Engagement der Mitarbeitenden steigert, ist das so- genannte Nudging. So wird laut Human Risk Review 2022 „durch Nudging […] die Engagement-Rate kontinuierlich um 30 Prozent, in der Einführungsphase sogar um bis zu 90 Prozent, erhöht.“ Nudging in Form von regelmäßigen, automatisierten System-Mails steigert die Interaktion der Nutzenden und sorgt dafür, dass das Thema Informati- onssicherheit immer präsent ist. Nudges können kleine Anstupser zur Motivation, zur Erinnerung oder ein Up- date zum Lernfortschritt sein, die dafür sorgen, dass die Benutzer beim Awareness-Training auf der Spur bleiben. Kombiniert man Gamification und Nudging, sieht man deutlich, welchen Einfluss Verhaltenspsycho- logie auf den Erfolg von Security-Awareness-Programmen haben kann. Indem sie das Engagement steigern und eine interaktive Lernumgebung schaffen, verwandeln diese Methoden Security-Trainings von einer lästigen Aufgabe zu einer dynamischen Lernerfahrung, bei der der Mensch im Mittelpunkt steht. Akzeptanz steigern und Lernerfolg fördern Psychologisch fundierte Ansätze wie Nudging ver- bessern aber nicht nur das Engagement, sondern auch den Lernerfolg. In der Vergangenheit wurde Wissen häufig sehr linear und in „hoher Dosis“ vermittelt. Wir wissen jedoch alle nur zu gut, dass langatmige Workshops und eintönige Schulungen längst nicht mehr zeitgemäß sind und nicht die gewünschten Resultate liefern, nämlich Kenntnisse, die wirklich im Gedächtnis bleibt. Das liegt daran, dass das angeeignete Wissen mit der Zeit von Natur aus exponentiell schwindet – eine der größten Herausforderungen im Bereich Learning und De- velopment. Nach der Vergessenskurve von Dr. Ebbinghaus vergessen Lernende bereits in den ersten sieben Tagen 90 Prozent des Gelernten (https://blog.neuronation.com/ de/die-vergessenskurve-nach-dr-ebbinghaus/). Das gilt besonders dann, wenn User ihre Lernroutine und -häu- figkeit unterbrechen. Es gibt jedoch Möglichkeiten, die Mitarbeitenden dazu zu motivieren, beim Lernen am Ball zu bleiben und sich Wissen so nachhaltiger einzuprägen. Beim „Spaced Learning“ wird Wissen kontinuierlich in kleinen Portio- nen über verschiedene Kanäle vermittelt und so immer wieder aktiv wiederholt. Kombiniert mit interaktiven und motivierenden Elementen, wie kurzen Quizzes, lässt sich so die Vergessenskurve abflachen. Das „beiläufige“ Lernen (auch Incidental Lear- ning) ist ein weiteres Element verhaltensbasierter Securi- ty-Trainings, das – ähnlich wie das Nudging – das Lernen in alltäglichen Situationen fördert. In einer Zeit, in der wir von Informationen überflutet werden und Zeit Mangel- ware ist, macht das Bereitstellen von Inhalten in kleinen 24 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023

Bei der Sensibilisie- rung für Cyber- sicherheit haben verhaltenspsycho- logische Elemente große Vorteile. (Bild: SoSafe) Einheiten und genau im richtigen Moment den entschei- denden Unterschied. Das perfekte Beispiel ist eine Lernsei- te, die direkt nach dem Klick auf eine Phishing-Simulati- onsmail angezeigt wird. Ein Security-Awareness-Training, das in leicht verdaulichen 5-Minuten-Einheiten vermittelt wird, lässt sich problemlos in den hektischen Arbeitsalltag integrieren und gewährleistet einen stetigen Lernfort- schritt, ohne die Lernenden zu überfordern. Angriffe erkennen und korrekt reagieren Ein bedeutender Aspekt einer starken Sicherheits- kultur ist, die Mitarbeitenden aktiv in die Verteidigung gegen Cyberbedrohungen einzubinden. Dazu ist es wich- tig, ein Umfeld zu schaffen, das sicheres Verhalten fördert und Mitarbeitenden die richtigen Tools an die Hand gibt, die es ihnen erlauben, ihre Organisation selbstbewusst vor möglichen Angriffen zu schützen. Dabei hilft eine psycho- logisch fundierte Awareness-Plattform mit Features, die das Erkennen und Melden verdächtiger Online-Aktivitä- ten ermöglicht. Zum Beispiel weisen Mitarbeitende, die Zugriff auf den SoSafe Phishing-Meldebutton haben, eine 30 Prozent niedrigere Interaktionsrate mit Phishingmails auf als andere Mitarbeitende, denen dieses Feature nicht zur Verfügung steht. Solche Tools erfüllen zwei Aufgaben: Sie befähigen Mitarbeitende, Bedrohungen zu erkennen und korrekt zu handeln, und zeigen ihnen außerdem auf, welchen Ein- fluss ihr Verhalten auf die gesamte Sicherheitskultur der Organisation hat. Das kontextbasierte Feedback bestärkt sie in ihrem Verantwortungsgefühl und sie sind eher ge- willt, zu einem sicheren Umfeld beizutragen. Das Ergebnis: Mitarbeitende stehen nicht länger am Spielfeldrand, son- dern werden aktiv in die Verteidigung ihrer Organisation gegen Cyberangriffe eingebunden. Aussagekräftige verhaltens- basierte Daten Wenn Organisationen das Verhalten von An- greifenden und Nutzenden verstehen, können sie An- griffe frühzeitig erkennen und abwehren. Dabei helfen aussagekräftige verhaltensbasierte Daten: Sie zeigen den Verantwortlichen auf, wie Mitarbeitende auf verschiede- ne Bedrohungen reagieren und welche Lernmethoden besonders effektiv sind. Ein Blick auf die richtigen verhaltensbasierten Kennzahlen ermöglicht ihnen zudem, ihre Aware- ness-Maßnahmen entsprechend zu optimieren. Weist ein bestimmtes Team zum Beispiel eine geringere Phishing-Meldequote als andere Teams auf, kann den Mit- arbeitenden durch zusätzliche gezielte E-Learning-Einhei- ten vermittelt werden, wie sie verdächtige E-Mails erken- nen und melden können. Zu guter Letzt veranschaulichen verhaltensbasierte Kennzahlen eindrucksvoll, welchen Einfluss Lernprogramme auf die gesamte Sicherheitskultur der Organisation haben. Sie sind somit handfeste Argumente, um Entschei- dungsträgern von der Führungsebene bis hin zu den Mit- arbeitenden die Relevanz der Maßnahmen zu vermitteln. Langfristige Verhaltensänderungen Der Schutz des Unternehmens steht und fällt mit den sicheren Gewohnheiten der Mitarbeitenden; sei es, dass sie ihren Bildschirm sperren, wenn sie den Schreib- tisch verlassen, ihre E-Mails auf verdächtige Aktivitäten scannen oder die IT-Abteilung zeitnah über Risiken und Zwischenfälle informieren. Durch Security-Awareness-Trainings mit verhal- tenspsychologischen Elementen können Unternehmen und Behörden die täglichen digitalen Gewohnheiten am Arbeitsplatz gezielt optimieren. Es sensibilisiert Mitar- beitende für das Thema der Informationssicherheit und motiviert sie, sichere Verhaltensweisen zu verinnerlichen – im Büro und im Privatleben. Weiter gestärkt wird ihre Motivation durch die richtigen Tools, ein unterstützendes Umfeld und ein Verantwortungsgefühl für die Sicherheit ihrer Organisation. Sei es der gesteigerte Wissenserhalt durch „Spaced Learning“, der Einfluss von Motivation auf die Engage- ment-Rate oder die Phishing-Meldequote, die ansteigt, in- dem wir Mitarbeitende zu sicherem Verhalten befähigen: All diese Kennzahlen veranschaulichen, dass eine starke Sicherheitskultur einen ganzheitlichen Ansatz erfordert. Denn nur durch tief verwurzelte Verhaltensänderungen erzielen Organisationen eine nachhaltige Sicherheits- kultur. n Messestand SoSafe Halle 7, Stand 324 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023 25

<kes> Special zur it-sa 2023 Schnell und einfach Berechtigungen managen Warum Unternehmen No-Code IAM brauchen Von der NIS-2-Compliance bis zur Abwehr von Cyberangrif- fen: Für Unternehmen ist Identity- und -Access-Management längst ein Muss. Leider stellt die komplexe Implementierung der Software oft eine große Hürde dar. Mit dem No-Code- Ansatz lassen sich Verwaltungsaufgaben schnell und einfach automatisieren. Von Helmut Semmelmayer, tenfold Software Für ihre Arbeit brauchen Benutzer Zugriff: Zugriff auf File- server, Business-Software, Fachan- wendungen, Kollaborationstools, Clouddienste und vieles mehr. Das stellt Organisationen vor die He- rausforderung, den reibungslosen Zugang zu benötigten Ressourcen zu gewährleisten, ohne Sicherheits- lücken durch weitreichende, nicht notwendige oder veraltete Berechti- gungen entstehen zu lassen. Das Problem der sicheren Berechtigungsvergabe können nur automatisierte Systeme lösen. Ers- tens lässt sich der Aufwand bei der Verwaltung hunderter Konten in dutzenden Systemen nur so zeitspa- rend bewältigen. Zweitens verhin- dert Automatisierung Fehler bei der Vergabe und dem Entzug von Rech- ten, zum Beispiel, dass die Konten ehemaliger Mitarbeiter nach deren Austritt bestehen bleiben und zum möglichen Einfallstor für Angreifer werden. Das Identity- und -Access- Management (IAM) hilft Unterneh- men, Zugriffsrechte schnell, sicher und zentral zu steuern. Doch bis die automatische Verwaltung ein- mal läuft, ist es ein steiniger Weg: Da IAM-Lösungen als Framework ausgeliefert werden, ist viel Pro- grammierarbeit erforderlich, um ihre Bestandteile in die eigene IT tenfold kann voll- ständig über seine No-Code-Oberﬂ äche konﬁ guriert werden. (Bild: tenfold Soft- ware GmbH) zu integrieren. Es müssen Prozesse defi niert, Workfl ows entwickelt und Anbindungen geschrieben werden. Ein Mehraufwand, der überlastete IT-Abteilungen oft an ihr Limit bringt. Die Folge sind Verzögerungen sowie schlecht oder gar nicht imple- mentierte Funktionen. Schneller ans Ziel Welche Möglichkeiten blei- ben Unternehmen also? Monate oder Jahre in den Aufbau eines IAM-Systems zu investieren? Für die Entwicklung eigene Fachkräfte von wichtigen Projekten abzuziehen oder sich durch teure Consultants von externer Expertise abhängig zu machen? Es gibt einen einfacheren Weg: No-Code IAM von tenfold. Die Lösung zeichnet sich durch sofort nutzbare Workfl ows und Schnittstel- len aus, welche über ein grafi sches Interface mit wenigen Handgriffen konfi guriert werden. Kein Coding, keine Programmierung – so sind Un- ternehmen in kürzester Zeit startklar und profi tieren unmittelbar vom vollen Umfang eines IAM-Systems: automatische Benutzerverwaltung, zentrales Reporting und die laufende Rezertifi zierung von Rechten. Fazit Wer Cyberangriffe verhin- dern, Sicherheitsstandards einhal- ten und Admins entlasten möchte, kann es sich nicht leisten, ewig auf eine einsatzbereite IAM-Lösung zu warten. No-Code IAM erlaubt es, die Verwaltung von Konten und Rechten mit minimalem Aufwand zu automatisieren. Das trägt nicht nur zum Schutz sensitiver Daten und der Erfüllung gesetzlicher Vorgaben bei, sondern schafft auch Freiräume für IT-Fachkräfte. n Messestand tenfold Software: Halle 7, Stand 328 26 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023

<kes> Special zur it-sa 2023 NIS-2: Das nötige Update der KRITIS-Sicherheit Die weltweit steigende Anzahl von Cyber-Angriffen, besonders auf kritische Infrastrukturen, hat zur Einführung der NIS-2-Richtlinie durch die EU geführt. Sie soll ein einheitliches IT- Sicherheitsniveau für KRITIS-Betreiber in den Mitgliedsstaaten etablieren und erweitert unter anderem den Geltungsbereich. Wir geben einen Überblick, was auf Unternehmen zukommt. Von Thomas Janz und Alexander Häußler, TÜV SÜD Management Service GmbH Die Zahl der Cyber-Attacken nimmt weltweit kontinuierlich zu. Ein besonderer Fokus liegt dabei auf kritischen Infrastrukturen (KRITIS). Um ein gemeinsames IT-Sicher- heitsniveau für KRITIS unter den Mitgliedstaaten zu etablieren, hat die Europäische Union (EU) im Jahr 2016 die NIS-Richtlinie verabschie- det, auf deren Basis in Deutschland das IT-Sicherheitsgesetz 2.0 gebaut wurde. Mit der NIS-2-Richtlinie werden KRITIS-Betreiber jetzt auf den aktuellen Stand gebracht. Sie wurde im Dezember 2022 vom Europäischen Parlament und vom Europarat erlassen und muss in den EU-Mitgliedstaaten bis 17. Oktober 2024 umgesetzt werden. Ein Refe- renten-Entwurf zur Umsetzung der NIS-2-Richtlinie in nationales Recht macht deutlich, welche zusätzlichen Anforderungen auf KRITIS-Betreiber zukommen. Auch KMU können nun als KRITIS-Betreiber zählen Im Vergleich zur Vorgänger- richtlinie wurde der Geltungsradius von NIS-2 erweitert. Dabei sind zwei Eigenschaften entscheidend für die Einstufung einer Organisation oder eines Unternehmens: die Sektor-Zu- gehörigkeit und die Unternehmens- größe. Definiert sind 18 Sektoren, die zweigeteilt sind in elf Sektoren hoher Kritikalität und sieben sonstige kriti- sche Sektoren (siehe Tabelle). In diesen Sektoren werden von NIS-2 auch kleine und mittlere Unternehmen (KMU) adressiert. Mittlere Unternehmen beschäftigen 50 bis 250 Mitarbeiter und haben entweder einen Jahresumsatz von 10 bis 50 Millionen Euro oder eine Bilanzsumme von höchstens 43 Mil- lionen Euro. Kleine Unternehmen beschäftigen weniger als 50 Personen und haben einen Jahresumsatz be- ziehungsweise eine Jahresbilanz von höchstens 10 Millionen Euro. Auf Grundlage der Sek- tor-Zugehörigkeit und der Unterneh- mensgröße wird ermittelt, ob eine Organisation oder ein Unternehmen zu den wesentlichen (englisch: „es- sential“) oder zu den wichtigen (eng- lisch: „important“) Betreibern zählt. Sektoren mit hoher Kritikalität Digitale Infrastruktur Energie Trinkwasser Verkehr Mit dem Wissen um die Sektor-Kate- gorie und Kenngröße lässt sich ein- fach ermitteln, wie eine Organisation einzuordnen ist: Wer zum Sektor hoher Kritikalität gehört und in die Schwellenwerte mittlerer Unterneh- men fällt oder diese überschreitet, gilt als wesentlicher KRITIS-Betrei- ber. Als wichtig gelten alle Betreiber aus Sektoren hoher Kritikalität, die kleiner als mittlere Unternehmen sind – und zusätzlich alle Einrichtun- gen, die zu den sonstigen kritischen Sektoren gehören. Es gibt jedoch Ausnahmen: Die NIS2-Richtlinie gilt auch für Einrichtungen, die zum Bei- spiel wegen ihrer Monopol-Stellung oder einer speziellen Tätigkeit den wesentlichen Sektoren zugeordnet werden können. In diesem Fall spielt die Unternehmensgröße keine Rolle. Verwaltung von IKT-Diensten (Business-to-Business) Finanzmarkt-Infrastrukturen Abwasser Bankwesen Öffentliche Verwaltung Gesundheitswesen Weltraum Sonstige kritische Sektoren Anbieter digitaler Dienste Post- und Kurierdienste Produktion, Herstellung und Han- del mit chemischen Stoffen Produktion, Verarbeitung und Vertrieb von Lebensmitteln Verarbeitendes Gewerbe/Herstel- lung von Waren Forschung Abfallbewirtschaftung © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023 29

<kes> Special zur it-sa 2023 Neue Technologie und EU-weite Zusammen- arbeit Um die EU-Mitgliedstaaten widerstandsfähiger zu machen, listet NIS-2 zehn Maßnahmen, die aktu- elle Standards in der Informations- technologie abbilden. Dazu gehört Technologie für Disaster-Recovery und Business-Continuity. Damit ha- ben Unternehmen die Möglichkeit, Daten aus Backups wiederherzustel- len und so den Arbeitsbetrieb nach einem Zwischenfall zügig wieder- aufzunehmen. Weitere Maßnahmen betreffen die Implementierung von Systemen zur Prävention und Erken- nung von Zwischenfällen, regelmä- ßige Schulungen von Mitarbeitern zur Schärfung des Sicherheitsbe- wusstseins, oder die Einführung einer Multi-Faktor-Authentifizie- rung bei System-Anmeldungen. Die NIS-2-Richtlinie schreibt zudem Konzepte und Verfahren zur Bewer- tung der Wirksamkeit des Risiko-Ma- nagements in der IT-Sicherheit vor. Das bedeutet: KRITIS-Betreiber sollen regelmäßig evaluieren, ob die von ihnen gewählten Maßnahmen noch zeitgemäß sind und angemessen funktionieren. Meldepﬂ ichtige Sicher- heitsvorfälle KRITIS haben einen direkten Einfl uss auf das öffentliche Leben. Wenn das Stromnetz ausfällt oder das Leitungswasser verunreinigt wurde, müssen die Behörden und die Bevölkerung so schnell wie möglich informiert werden. Sicherheitsvor- fälle sind meldepfl ichtig, wenn Be- triebsstörungen, fi nanzielle Verluste oder schwerwiegende Schäden für juristische oder natürliche Personen drohen. Wenn Einrichtungen von solchen Vorfällen betroffen sind, müssen sie das Bundesamt für Si- cherheit in der Informationstechnik (BSI) innerhalb von 24 Stunden informieren und innerhalb von 72 Stunden eine erste Bewertung mit- samt einer Einschätzung des Schwe- um „Störungen … zu vermeiden und Auswirkungen … zu verhindern oder möglichst gering zu halten.“ (§ 30 (1)). Diese Maßnahmen sollen dem Stand der Technik entsprechen und die „einschlägigen europäischen und internationalen Normen“ be- rücksichtigen (§ 30 (2)). Die Umsetzung der Maßnah- men nachzuweisen, dazu sollen nach dem Entwurf zumindest besonders wichtige Einrichtungen verpfl ichtet werden. Dies soll gegenüber dem BSI alle zwei Jahre in Form von Sicherheitaudits, Prüfungen oder Zertifi zierungen geschehen. Mit Zertiﬁ zierungen sind KRITIS-Betreiber auf der sicheren Seite Der Referenten-Entwurf zur Umsetzung der NIS-2-Richtlinie macht deutlich, dass sich KRITIS-Be- treiber frühzeitig mit NIS-2 auseinan- dersetzen müssen. Ihnen drohen bei Nachlässigkeiten in der Umsetzung empfi ndliche Strafen. Zudem scheint es wahrscheinlich, dass die Bundes- regierung mit der Überführung der Richtlinie in nationales Recht eine dritte Fassung des IT-Sicherheitsge- setzes verabschieden wird und dieses mögliche IT-Sicherheitsgesetz 3.0 auch eine Verpfl ichtung zu Sicher- heit-Audits, Prüfungen oder Zerti- fi zierungen enthalten wird. Daher sollten KRITIS-Betreiber diese derzeit noch freiwilligen Audits als Chance begreifen, um ihre eigenen IT-Defen- sivmaßnahmen von unabhängigen Experten prüfen und zertifi zieren zu lassen. Dann können sie diese einfa- cher an aktuelle Sicherheitsstandards und kommende gesetzliche Anforde- rungen anpassen, sogar bequem vor dem Ablauf der Frist am 17. Oktober 2024, wodurch ein nützlicher Puffer entstünde. n regrads abgeben. Zudem muss dem BSI spätestens einen Monat nach dem Vorfall ein Abschlussbericht vorgelegt werden. Die Sicherheit von Un- ternehmen hängt auch von der Sicherheit ihrer Zulieferer und ihrer Lieferketten ab. Daher verpfl ichtet NIS-2 die wesentlichen und wich- tigen Einrichtungen dazu, ihre Lieferketten zu prüfen. Allerdings sind die Ausführungen zu diesem Punkt grob. Das bedeutet, dass die Einrichtungen die Angemessenheit der getroffenen Maßnahmen selbst bewerten können und müssen. Als Anhaltspunkte nennt die Richtlinie, dass auch die Beziehungen zwischen den Einrichtungen betrachtet wer- den sollen und die Gesamtqualität in Bezug auf die IT-Sicherheit ebenso zu bemessen ist wie ein möglicher Entwicklungsprozess. Umsetzung in nationale Gesetzgebung Inzwischen liegt ein Refe- renten-Entwurf zur Umsetzung der NIS-2-Richtlinie in nationales Recht vor. Im Rahmen des NIS-2-Um- setzungs- und Cyber-Sicherheits- stärkungsgesetz (NIS2UmsuCG) sollen die Vorgaben der Richtlinie in die deutsche Gesetzes- und Ver- ordnungslandschaft eingebunden werden. Obwohl es sich noch um einen Entwurf handelt, ist abzu- sehen, dass sich durch das Gesetz die Anforderungen an Betreiber und Einrichtungen ändern werden. Dazu wird das BSI-Gesetz durch das NIS2UmsuCG neu strukturiert und um NIS-2-Aspekte ergänzt. Die bisherigen Anforderungen werden in diesem Zusammenhang teilweise präziser formuliert und geschärft. Einen spezifi schen Ausblick gibt der Entwurf auf das Risiko- management für besonders wich- tige Einrichtungen: Sie müssen „geeignete, verhältnismäßige und wirksame technische und organi- satorische Maßnahmen“ ergreifen, 30 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023

<kes> Special zur it-sa 2023 Datensouveränität bei voller Konnektivität: Wire integriert Federation Wer sicher kommunizieren will, muss oft Kompromisse zwischen Nutzbarkeit und Sicherheit eingehen. Mit der Integration von Federation in das eigene Produkt schafft Wire diese Kom- promisse ab. Von Hauke Gierow, Wire Im vergangenen Jahrzehnt hat sich der Einsatz von Cloud-Com- puting auch im Enterprise- und Re- gierungsumfeld in vielen Bereichen durchgesetzt – aus gutem Grund. Einfache Bereitstellung, weniger Wartungsaufwand im eigenen IT- Team und vereinfachte Haftungs- regelungen. Wer aber volle Daten- souveränität will, setzt in kritischen Bereichen weiterhin auf On-Premi- ses-Installationen, zum Beispiel im Kommunikationsbereich. Aus diesem Grund bie- tet Wire seit vielen Jahren neben dem Cloud-Dienst auch skalierbare On-Premises-Lösungen an. Diese können Unternehmen auf Wunsch selbst betreiben oder von Wire war- ten lassen (Private-Cloud). So kann jeder Kunde das für seine Organi- sation richtige Sicherheitsniveau bestimmen und umsetzen. Dabei kann das benötigte Sicherheitsniveau innerhalb einer Organisation durchaus verschie- den sein – je nach Abteilung oder Funktion. Möglicherweise unterlie- gen bestimmte Bereiche speziellen Compliance-Anforderungen oder wollen sich besonders gegen Angriffe absichern, ohne die entsprechenden Sicherheitsstandards überall anwen- den zu wollen oder können. Eine weitere Herausforde- rung: Wer seinen eigenen Kommuni- kationsserver für Instant-Messaging, Audio- und Videokommunikation betreibt, kann erst einmal nur mit Menschen innerhalb der eigenen Or- ganisation kommunizieren — oder muss externe Nutzer in der eigenen Infrastruktur anlegen. Beides ist für viele keine gangbare Lösung. Federation verbindet Backends Aus diesem Grund bietet Wire mit seinem sicheren Messen- ger seinen On-Premises-Kunden die Möglichkeit an, verschiedene Wi- re-Backends mittels Federation mit- einander zu verschalten, um gestufte Sicherheitsanforderungen innerhalb eines Unternehmens oder zwischen Behörden umsetzen zu können und um Kommunikation auch außer- halb des eigenen Rechenzentrums zu ermöglichen. Die Verschaltung kann dabei sowohl zwischen zwei On-Premises-Backends als auch zum Cloud-Dienst von Wire erfolgen. „Mit Federation ermögli- chen wir unseren Kunden sichere Kommunikation mit maximaler Datensouveränität bei gleichzeitiger Anbindung an unsere Cloud oder zu anderen wichtigen Partnern mit eigenem On-Premises-Backend“, sagt Sascha Haase, Vice President Product Management bei Wire. „Be- sonders interessant ist dabei unsere Umsetzung, denn wir ermöglichen es, verschiedene Abteilungen oder Nutzergruppen mit hoher Granu- larität und nach klaren Regeln zu verschalten. So können wir unser Sicherheitsversprechen einhalten, auch wenn die Kommunikations- partner unterschiedliche Sicherheits- niveaus haben.“ Non-Fully Connected Graphs Die granulare Verschaltung wird im englischen mit dem Fachbe- griff „Non-Fully Connected Graphs“ bezeichnet. Gemeint ist, dass nicht alle Nutzerinnen und Nutzer der bei- den Backends einfach miteinander kommunizieren können, sondern bei Bedarf Regeln für die Zusammen- schaltung umgesetzt werden. Ein Beispiel: Stellen Sie sich vor, Sie werden von einem Be- kannten in einen Chat eingeladen, kennen aber die anderen Teilnehmer nicht und sind sich nicht sicher, über welche Themen sie sprechen kön- nen. Auf der Ebene von hochsicherer Kommunikation ist das nicht akzep- tabel. Wir ermöglichen die partielle Verschaltung, das heißt, Sie können nur dann in eine solche Gruppe eingeladen werden, wenn diese be- stimmten Standards entspricht. Ist das nicht der Fall, kann ihr Bekannter sie auch nicht hinzufügen. Die möglichen Anwen- dungsfälle sind vielfältig. In einem großen Unternehmen könnten zum Beispiel die Vorstandsetage und der Aufsichtsrat in einer eigenen Wire-Instanz kommunizieren, der Rest des Unternehmens nutzt den 32 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023

Alle Kommunikationslösungen von Wire arbeiten mit ständig aktivierter Ende-zu-Ende-Verschlüsselung nach dem Zero-Knowledge Prinzip. Das Unternehmen kann daher unter keinen Umständen auf Kommu- nikationsinhalte von Kunden zu- greifen und minimiert zugleich die Sammlung von Metadaten auf das absolut notwendige Minimum. Bei selbst-gemanagten On-Premises-In- stanzen hat Wire nicht einmal auf diese Metadaten Zugriff. Wire ist aktiver Teil der Open-Source-Community und stellt den Quellcode aller Apps und der Wire-Backends auf Github unter der GPL v3 zur Verfügung. So können die Sicherheitsversprechen des Un- ternehmens unabhängig überprüft werden. n Cloud-Dienst. Mittels der granularen Verschaltung könnte beispielsweise festgelegt werden, dass der Aufsichts- rat keinen direkten Kontakt zu den Mitarbeiterinnen und Mitarbeiter auf der Arbeitsebene aufnehmen kann, aber zur Überprüfung wichti- ger Kennzahlen mit der Finanzabtei- lung sprechen kann. Warum es sinnvoll ist, kla- re Regeln für die Kommunikation einzuziehen, zeigt das Beispiel E-Mail. Grundsätzlich können alle E-Mail-Server, die die Standards einhalten, ohne Beschränkung miteinander kommunizieren. Für Nutzerinnen und Nutzer ist aber in der Regel nicht erkennbar, ob eine E-Mail von einem vertrauten oder nicht vertrauten Server kommt. Mit der partiellen Verschaltung im Mes- saging-Bereich kann dieses Risiko ausgeblendet werden. Auch im Behördenumfeld ist Federation von hoher Bedeu- tung, denn so wird Kommunikation zwischen verschiedenen Backends ohne technische Hürden möglich – es können aber, klare Regeln für die Kommunikation umgesetzt werden. So könnten Behörden und Ministerien aus dem Sicherheits- umfeld mit einem höheren Si- cherheitslevel konfiguriert werden als andere Ministerien. Und eine dritte Sicherheitsebene würde dann geschaffen, um die Kommunikati- on von Ministerien mit externen Unternehmen wie IT-Dienstleistern oder PR-Agenturen zu ermöglichen. So können alle relevanten Akteure untereinander im Austausch bleiben, ohne Sicherheitsrisiken einzugehen. Visuelle Indikatoren zeigen das Sicherheits- niveau an Damit Nutzerinnen und Nutzer auch in verschalteten Kom- munikationsumgebungen stets den Überblick behalten, auf welchem Sicherheitsniveau sie sich befinden, werden oberhalb des Textfeldes im Messenger entsprechende Status- balken angezeigt. Dort kann etwa abgelesen werden, ob der aktuelle Chat Vorgaben wie etwa die für Verschlusssachen(VS NfD) erfüllt, oder nicht. Das trägt dazu bei, das versehentliche Versenden vertrauli- cher Dokumente an unberechtigte Personen zu verhindern. „Mit der Umsetzung von Federation stellen wir dem Markt ein oft nachgefragtes Feature zur Verfü- gung“, sagt Juan Perea Rodriguez, Ge- neral Manager und Chief Commerci- al Officer von Wire. „Nachdem in der Corona-Zeit viele Prozesse in kurzer Zeit und ohne klares Sicherheits- konzept digitalisiert wurden, sehen wir jetzt, dass die Themen Digitale Souveränität und Cybersecurity auch in der Führungsebene einen hohen Stellenwert einnimmt. Gründe dafür sind die unruhige geopolitische Lage, aber auch steigende regulatorische Anforderungen.” Tatsächlich sollten sich Un- ternehmen in regulierten Berei- chen verstärkt mit dem eigenen Sicherheitskonzept auseinander- setzen. Denn die zweite Auflage der EU-Richtlinie über Netzwerk- und Informationssicherheit (NIS-2) schreibt Unternehmen in Bereichen wie Strom- und Wasserversorgung, im Gesundheitssektor oder der Ab- fallwirtschaft vor, dass gesicherte Kommunikationsdienste genutzt werden müssen. Zudem sollten Un- ternehmen in diesen und weiteren Bereichen geeignete Systeme zur Notfallkommunikation bereithal- ten, um auch in Katastrophenfällen kommunikationsfähig zu bleiben. Über Wire Wire ist ein deutscher Her- steller von Messaging-Lösungen mit Hauptsitz in Berlin. Die Forschung und Entwicklung des Unterneh- mens findet fast ausschließlich in Deutschland statt und unterliegt deutschen Datenschutzgesetzen. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023 33

+ SPECIAL Die perfekte Kombination für CISO & Co ✓ Verlagsbeilage mit wechselnden Mitherausgebern ✓ ✓ auf ein Thema fokussierte Beiträge der Mitherausgeber ✓ ✓ Printausgabe liegt <kes> bei ✓ ✓ digitales eMagazine kostenfrei verfügbar ✓ weitere Specials hier kostenfrei downloaden: weitere Specials hier kostenfrei downloaden: kes.info/archiv/specials/ kes.info/archiv/specials/ ✓ führende Fachzeitschrift in der IT-Sicherheit ✓ ✓ hohes technisches Niveau und redaktionell unabhängig ✓ ✓ offizielles Organ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ✓ ✓ nur im Abonnement erhältlich unter: datakontext.com/kes <kes> genauer kennenlernen? <kes> genauer kennenlernen? Einfach kostenfreies Probeheft anfordern unter: Einfach kostenfreies Probeheft anfordern unter: kes.info/service/probeheft/ kes.info/service/probeheft/ Leseproben <kes> unter: kes.info/archiv/leseproben/

<kes> Special zur it-sa 2023 In AI we Trust – secure it anyway we must Generative künstliche Intelligenz ist eine wichtige Technologie für die Cybersicherheit, da sie beispielsweise die Automatisierung von Aufgaben und die Erkennung von Bedrohungen verbessert. Sie kann jedoch auch von Cyberkriminellen genutzt werden, um neue und schnellere Angriffsmethoden zu entwickeln. Ist KI die Antwort auf alle unsere Fragen? Von Bastian Hallbauer, Kafka Kommunikation GmbH Generative künstliche Intelligenz (KI) und die KI-getriebenen Projekte ermöglichen, was der Securi- ty-Community von der Sicherheitsindustrie schon seit Langem angepriesen wurde: Security-Automatisierung. Nach den Marktanalysen von Vantage Market & Research wird die Sicherheitsindustrie bis 2030 mit KI mehr als 22 Milliarden US-Dollar umsetzen. Fachkräftemangel, Skills Gap, Alarmfatigue, Technology Sprawl – alle diese Heraus- forderungen werden dann ein für alle Mal gelöst. Doch die gleichen Chancen stehen auch den Cyberkriminellen zur Verfügung. Die Möglichkeiten, Prozesse zu optimieren, die Geschwindigkeit und die Performance zu erhöhen, muten für beide, Angreifer wie Verteidiger schier unbegrenzt an. Kurz ausgedrückt, KI erscheint wie die „42“, die Antwort auf alle Fragen. Doch genau hier liegt das Problem, die über KI generierten „Antworten“ müssen interpretiert, oftmals noch geschliffen und auf jeden Fall bis auf Weiteres regelmäßig nach bestimmten Qualitätsmerkmalen über- prüft werden. Ist KI daher wirklich schon die „42“ für die Security-Community oder ist sie eine weitere Technologie, die genauso abgesichert werden muss wie alle bisherigen? Diese Fragen und viele andere werden am Mittwoch, dem 11. Oktober auf der it-sa im International Forum B von 15:30 bis 16:15 Uhr, diskutiert. Der aktuelle Stand der KI in der Cybersicherheit Geschäftsführender Gesellschafter von Pinnow & Partner, Carsten Pinnow, stellt zunächst fest, dass KI in der Cybersicherheit, sowohl für Angreifer als auch für Verteidiger, immer wichtiger wird. „Durch sie lassen sich zum Beispiel bei Massendatenanalysen, Erstellung von Prognosen und bei Vorbereitungen und Durchführung von Angriffen Geschwindigkeits- und Effi zienzgewinne realisieren. Darauf müssen die Verteidiger sich zwingend einstellen.“ Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4 meint, dass KI aktuell vor allem erfolgreich zur Erkennung und Analyse von Netzwerkdatenverkehr, Spam und Phishing-E-Mails sowie Schadsoftware wie zum Beispiel Malware eingesetzt wird. „Neuartige und verbesserte Verfahren können vor allem auch für Penetra- tion-Testing eingesetzt werden – Schwachstellen in Hard- ware und Software sowie beim Co-Design von Hardware und Software können schneller erkannt werden, wie zum Beispiel für den KRITIS-Bereich.“ Nathan Howe, VP Emerging Technologies bei Zscaler, sieht hingegen, dass viele Sicherheitsansätze die künstliche Intelligenz bereits sehr gut integriert haben. Er sagt: „Bisher diente der Einsatz allerdings vor allem als Mechanismus, um sich gegen den Mitbewerber abzugren- zen nach dem Motto: Mein Produkt basiert bereits auf KI und ist dadurch besser aufgestellt als Lösungen, die noch keine künstliche Intelligenz nutzen. Generative KI spielt dabei eine untergeordnete Rolle. Der nächste evolutionäre Schritt wird durch die vorhandenen Data-Lakes gesteuert werden. Unternehmen werden darauf schauen, wie sie diese Datensätze einsetzen können, um Sicherheitsansätze generell zu verbessern.“ Rik Ferguson, Vice President Security Intelligence bei Forescout Technologies, sieht den Hype um KI in den jüngsten Fortschritten bei LLMs. Er hält dagegen, indem er sagt: „Diese Entwicklungen hätten vielleicht den Eindruck erweckt, dass KI etwas Neues im Cyberbereich ist, aber das ist nicht der Fall. KI ist seit fast zwanzig Jahren ein Aspekt der Cybersicherheit, und es gibt keine Anzeichen dafür, dass sich das ändert. Die Fortschritte in diesem Bereich bedeuten lediglich, dass sie zu verschiedenen Zeiten auf unterschiedliche Weise zum Einsatz kommt.“ Einﬂ uss der KI auf die Cybersicherheit von Unternehmen „Allgemein führt die Effi zienzsteigerung durch Automatisierung und Massendatenverarbeitung zur Verbesserung von Threat Intelligence, insbesondere der © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023 35

<kes> Special zur it-sa 2023 Open Source Intelligence“, meint Dr. Krämer. Ein Beispiel dafür seien Datenlecks, die schneller erkannt, identifiziert und eingedämmt wer- den können, wenn Überwachungs- systeme mittels KI effizienter gestal- tet werden. Carsten Pinnow empfiehlt den Blick auf beide Seiten der Me- daille: „Software-Werkzeuge oder auch Tools, wie sie im Fachjargon genannt werden, haben immer Dual-Use-Eigenschaften. Sie können somit sowohl von Angreifern wie auch von Verteidigern eingesetzt werden. Unternehmen müssen auf KI-gestützte Bedrohungen selbst- verständlich reagieren. Notwendige Voraussetzungen sind ausreichende Zeit- und Finanzbudgets und ausrei- chendes Know-how.“ Nathan Howe erinnert da- ran, dass eine KI nur so gut ist wie seine Daten. Entscheidend ist für ihn, dass die vorhandenen Daten bereits heute genutzt werden, um aus den Analyseergebnissen Hand- lungen abzuleiten. Er stellt die Frage, wie IT-Sicherheit effizienter gestaltet oder der Datenverkehr besser fließen kann. „Die eigentliche Revolution liegt darin, wie Mechanismen und Prozesse effektiver und effizienter gestaltet werden können.“ Rik Fer- guson schließt hier an, wenn er sagt, dass „die Fortschritte bei den LLMs sich dadurch auszeichnen, dass sie das Komplexe einfach machen.“ Er sieht erhebliche Verbesserungen bei der Entschlüsselung komplexer bösartiger Aktivitäten, bei der Aus- wertung großer Datenmengen und bei der Unterstützung von Securi- ty-Analysten bei deren Suche nach Bedrohungen. Cybersicherheit mit KI verbessern Dr. Krämer schätzt, dass die Komplexität der KI wohlbekannte Herausforderungen an Entwickler, Anwender und Aufsichtsbehörden stellen wird. Für ihn müsste bereits während der Entwicklung mehr auf die Möglichkeiten der KI geachtet werden. Er mahnt den verant- wortungsbewussten Umgang mit Trainingsdaten (Vermeidung von Bias und Data Poisoning) sowie die Gefahren des Reverse-Model-En- gineering an. Carsten Pinnow sieht hier die gleichen Regeln wie bei der Cybersicherheit ohnehin: „Es ist im Wesentlichen eine Frage der Softwaresicherheit, ebenso wie bei herkömmlicher IT- und OT-Soft- ware. Ausbildung von Mitarbeitern und die stringente Definition und Implementierung von Prozessen ist essenziell, um die Cybersicherheit von Software-Werkzeugen, wie KI eines ist, zu verbessern und damit das Niveau der Cybersicherheit all- gemein zu heben.“ Drei Ebenen zur Verbesse- rung sind für Nathan Howe ent- scheidend „Daten, Prozesse und der Mensch“. Der schwierigste Punkt liegt seiner Meinung nach darin, Grenzen zu ziehen für den ethischen Einsatz von KI. Eine zweite Ebene würde sich auf den Umgang mit Da- tenquellen zum Training von KI-Mo- dellen beziehen. Rik Ferguson warnt vor KI-„Halluzinationen“, die es zu reduzieren gelte, um Verzerrungen in den Trainingsdaten und den da- raus resultierenden Algorithmen zu beseitigen. Seine Forderung besteht darin, dass die Algorithmen trans- parenter werden müssen, damit der Mensch nicht nur verstehen kann, welche Entscheidungen eine KI trifft, sondern auch warum. Fazit Dr. Krämer gibt zu bedenken, dass KI kein Hype ist, der in wenigen Jahren abebbt. Er erkennt schon jetzt eine größere Wahrnehmung nicht zuletzt dadurch, dass es bereits auf Managementebene diskutiert wird, also auf Leitungsebene angekommen ist. Seine Schlussfolgerung daraus ist, dass „Cybersicherheit weiterhin un- bedingt notwendig sein wird, gerade in einer zunehmend destabilisieren geopolitischen Landschaft, in der auch die Gesellschaft vor immer neuen Herausforderungen steht.“ Nathan Howe sieht es ebenso, auch er schätzt, dass sich KI als Teil der Sicherheitsdiskussionen etablieren wird. Carsten Pinnow denkt dage- gen an ein Abflachen der Aufmerk- samkeitskurve: „Möglicherweise wird sich der Hype um das Thema bis dahin ein wenig gelegt haben, aber die Bedrohungslage durch KI-gestützte Angriffe wird sicherlich nicht einfach verschwinden.“ Rik Ferguson sieht darin sogar eine Ge- fahr, wenn er sagt, dass: „Wenn wir aufhören, über KI zu sprechen, sei es im Bereich der Sicherheit oder in an- deren Bereichen, dann riskieren wir, dass die aktuellen Probleme einfach Teil des Status quo werden und wir uns in eine Welt begeben, in der wir ‘der Maschine vertrauen‘ und dabei ignorieren, dass wir sie anfangs mit all unseren eigenen Vorurteilen und Annahmen gefüttert haben.“ n Messestand KnowBe4 Halle 6, Stand 114 Messestand Zscaler Halle 7A, Stand 304 Messestand Forescout Halle 7, Stand 343a 11. Oktober, 15:30 Uhr, International Forum B Diskussionsrunde it-sa insights In AI we Trust – secure it anyway we must Moderation: Norbert Luckhardt, Chefredakteur <kes> 36 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023

News und Produkte News und Produkte it-sa 2023: Highlights im Rahmenprogramm Vom 10. bis 12. Oktober bietet Europas größte Fachmesse für IT-Sicherheit den Verantwortlichen neben dem umfangreichen Angebot der bereits über 700 angemeldeten Aussteller ein vielfältiges Rahmen- programm: In fünf offenen Foren informieren IT-Sicherheitsanbieter über aktuelle Angriffsvektoren und Abwehrmaßnahmen sowie Produkte und Lösungen. Zu den Highlights des Foren- programms zählen die it-sa insights. Dabei handelt es sich um produkt- neutrale Beiträge und Diskussions- runden mit aktuellen Informationen beispielsweise zur IT-Sicherheitslage, der europäischen KI-Verordnung und dem Data Act, dem IT-Sicher- heitsgesetz oder den Spuren von Ha- ckern im Unternehmensnetzwerk. Mehrere it-sa insights widmen sich zudem dem drängenden Thema Fachkräftemangel: Panels unter dem Motto „Women in Cybersecurity“ mit Vertreterinnen aus IT-Sicher- heitsunternehmen, Behörden und Forschung diskutieren, welche Aus- bildungsformate und Strategien es für mehr Frauen in der IT-Sicherheit braucht, wie moderne Unternehmen Diversity als Teil der Unternehmens- strategie verankern und wie Frauen der Einstieg in eine IT-Sicherheits- karriere gelingt. Ein besonderes Highlight der diesjährigen Messe ist die Special Keynote von Mark T. Hofmann. Der Kriminal- und Geheimdienstanalyst gibt Einblicke in das Cyber-Profiling und spricht über die Zukunft des Social-Engineering und darüber, wie Unternehmen eine menschliche Firewall aufbauen können. Die Speci- al-Keynote findet am dritten Messe- tag im Internationalen Forum statt. Alle Informationen zum Rahmenprogramm gibt es unter www.itsa365.de/de-de/it-sa-expo- congress/rahmenprogramm. www.itsa365.de Fünf Startups im Fina- le des ATHENE Startup Awards UP23@it-sa Im Rennen um den ATHENE Startup Award UP23@it-sa sind fünf Unternehmen: Enclaive, Quantum Optics Jena, KeeQuant, Mondoo und ZenAdmin wurden von der Fachjury für das finale Pitch-Event nominiert. Der Pitch um den Preis als bestes Cybersecurity-Startup findet am 11. Oktober auf der it-sa in Nürnberg statt. Diese Startups sind im Finale: ––——— Enclaive: Confidenti- al-Computing schützt Daten auch während der Verarbeitung in jeder Cloud-Umgebung. Durch hard- waregestützte Kryptograﬁe werden containerisierte Anwendungen von der Ausführung auf derselben physi- schen Plattform isoliert. Die Enclava- tion-Technologie von Enclaive sorgt so für ein Höchstmaß an Anwen- dungssicherheit und Datenschutz. ––——— Quantum Optics Jena: Quantencomputer werden einige aktuelle, mathematisch basierte Verschlüsselungstechniken infrage stellen. Quantum Optics Jena stellt dieser Herausforderung Quanten- technologie entgegen: Das Unter- nehmen entwickelt Systeme zum Quantenschlüsselaustausch (Quan- tum Key Distribution, QKD), die auf verschränkten Photonen basieren. ––——— KeeQuant: Produkte von KeeQuant ermöglichen es Anwen- dern, kryptograﬁsche Schlüsselpaare innerhalb eines Glasfasernetzes zu erzeugen und die Kontrolle über die Schlüssel in die Hände des Netzbe- treibers zu legen. Dafür nutzt Kee- Quant das Potenzial photonischer ICs. QKD soll so den breiten Markt erreichen. ––——— Mondoo: Das Unterneh- men automatisiert die Suche nach Schwachstellen und Richtlinienver- stößen – in Cloud-Umgebungen, VMs, Kubernetes-Workloads und Containern. Alle Schichten der Anwendungsinfrastruktur werden so geschützt und Exploits effektiv verhindert. ––——— ZenAdmin: Compliance- Vorgaben einzuhalten erfordert Wissen, Strukturen und Prozesse. ZenAdmin unterstützt bei der Im- plementierung wichtiger Compli- ance-Standards für die gängigen Regelwerke und hilft so, das Risiko von Sicherheitsvorfällen zu redu- zieren und Organisationen für die entsprechende Zertiﬁzierung ﬁt zu machen. Der ATHENE Startup Award UP@it-sa ist eine Initiative des Na- tionalen Forschungszentrums für angewandte Cybersicherheit ATHE- NE beziehungsweise von seinem Projekt Digital Hub Cybersecurity, des IT-Sicherheitscluster e.V. und der it-sa. Mit dem Preis wolle man erfolgreiche Neugründungen und aussichtsreiche junge Unternehmen © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special it-sa, Oktober 2023 37

News und Produkte im Bereich IT-Sicherheit und Daten- schutz würdigen. www.itsa365.de/up-award Hacking-Challenge: „Deutschlands bester Hacker“ Deutschlands bester Hacker 2023 wird im Rahmenprogramm der it-sa vorgestellt. Die Initiative um Marco di Filippo hat es sich zum Ziel gesetzt, „die nächste Generation dafür zu begeistern, sich mit IT und IT-Security auseinanderzusetzen“ und die positive Wahrnehmung ethischer Hacker zu fördern. In meh- reren Online-Challenges und einem abschließenden Finale in Dortmund wird klar, wer den Sieg nach Hause trägt und in Nürnberg auf der Bühne steht. Bei der Hacking-Challenge kann jeder mitmachen: Erfahrene IT-Sicherheitsfachkräfte, Schüler:in- nen, Student:innen oder Querein- steiger:innen, die ihre Skills unter Beweis stellen möchten. Durch die Teilnahme an der Challenge soll dauerhaft eine Community von legalen und ethischen Sicherheits- hackern, auch „White Hat Hacker“ genannt, entstehen, die sich den Machenschaften der Cyberkriminel- len entgegenstellt.Die zukünftigen IT-Sicherheitsspezialisten sollen ver- stehen lernen, wie kriminelle Hacker vorgehen. Darüber hinaus sollen sie das Rüstzeug erhalten, IT-Schwach- stellen zu erkennen, bevor sie von Kriminellen ausgenutzt werden. Aus- und Weiterbildungsangebote sowie der Erfahrungsaustausch innerhalb der Community sollen dazu beitragen, dass die digitale In- frastruktur von Unternehmen und Institutionen in Deutschland und Europa so sicher wie möglich bleibt. Dazu sollen Interessierte aller Alters- gruppen über „Deutschlands Bester Hacker“ durch Schulungen und Fortbildungen an die Schutzziele der Informationssicherheit wie Vertrau- lichkeit, Verfügbarkeit und Integrität herangeführt beziehungsweise wei- tergebildet werden. www.itsa365.de / https://deutschlands-bester-hacker.de Wir sind IT-Sicherheit! Besuchen Sie uns auf der it-sa 2023. Halle 7 Stand 503

Mitheraugeber

+ SPECIAL Die perfekte Kombination für CISO & Co ✓ Verlagsbeilage mit wechselnden Mitherausgebern ✓ auf ein Thema fokussierte Beiträge der Mitherausgeber ✓ Printausgabe liegt <kes> bei ✓ digitales eMagazine kostenfrei verfügbar weitere Specials hier kostenfrei downloaden: kes.info/archiv/specials/ ✓ führende Fachzeitschrift in der IT-Sicherheit ✓ hohes technisches Niveau und redaktionell unabhängig ✓ offizielles Organ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ✓ nur im Abonnement erhältlich unter: datakontext.com/kes <kes> genauer kennenlernen? Einfach kostenfreies Probeheft anfordern unter: kes.info/service/probeheft/ LESEPROBE <kes> AUF DEN FOLGESEITEN weitere Leseproben unter: kes.info/archiv/leseproben/

Bedrohung Innentäter Kenne deinen Feind Bösartige Innentäter – eine Differenzierung nach Bedrohungstypen Forscherinnen und Forscher der Universität der Bundes- wehr haben im Rahmen des Projekts LIONS böswillige Innentäter untersucht und elf Bedrohungstypen abgeleitet. In unserem Artikel stellen sie diese Typologie vor und beschreiben geeignete Gegenmaßnahmen. Von Manfred Hofmeier und Ulrike Lechner, Neubiberg Spiels identiﬁzierten sie 40 Bedro- hungsszenarien. In einer parallel durchgeführten Interviewstudie mit Sicherheitsverantwortlichen aus der Praxis wurden weitere 21 Instanzen beziehungsweise Gruppen von Angriffsszenarien erhoben. Diese Bedrohungsszenarien werteten die Forscher in qualitativen Analysen aus und entwickelten so eine Typolo- gie mit elf Bedrohungstypen. Zudem identiﬁzierten sie Risikofaktoren und mögliche Gegenmaßnahmen. Bedrohungstypen Im Folgenden beschreiben die Autoren die abgeleiteten Bedro- hungstypen näher: Verärgerter Mitarbeiter Das Bundesamt für Sicher- heit in der Informationstechnik (BSI) deﬁniert potenzielle Innentäter als „sämtliche Personen mit (privile- giertem) Zugriff auf bzw. Zutritt zu IT-Komponenten, IT-Diensten, In- stallationen, Dokumenten oder son- stigen ggf. kritischen Informationen und Geräten“. Dabei sind besonders Sicherheitsvorfälle durch vorsätzlich handelnde, böswillige Innentäter (Malicious Insider-Threats) eine große Herausforderung. Allerdings ist das empirische Wissen über die- se Tätergruppe begrenzt, da es nur wenige öffentlich zugängliche Fälle gibt – was vor allem daran liegt, dass Organisationen solche Ereignisse aus Angst vor Reputationsverlusten bei Kunden und Partnern ungern offenlegen. Um die Gruppe der böswil- ligen Innentäter dennoch unter- suchen zu können, haben Wissen- schaftler von der Universität der Bundeswehr im Rahmen des Projekts LIONS das Lernspiel „Operation Digital Butterfly“ entwickelt, das ﬁktive, aber plausible und realitäts- nahe Rollen und Angriffsszenarien erzeugt, um eine Grundlage für wei- tere Forschung zu schaffen. Mithilfe dieses wissenschaftlich validierten leitung, mangelnde Anerkennung, ungleiche Gehaltsstrukturen oder verpasste Gehaltserhöhungen, die ein (subjektives) Gefühl der Unge- rechtigkeit hervorrufen. In diese Kategorie gehört als Unterform auch der sogenannte „disgruntled leaver“, der die gleichen Merkmale aufweist, außer dass der Vorfall im Zusam- menhang mit einer Beendigung des Arbeitsverhältnisses steht – entweder durch den Arbeitgeber oder durch den Arbeitnehmer aufgrund eines Ungerechtigkeitsempﬁndens. Der Typ „Verärgerter Mit- arbeiter“ versucht üblicherweise, das Unternehmen zu schädigen, oft durch Sabotage oder Rufschädigung mittels physischer Sabotage (z. B. von Produkten oder Maschinen) oder Datenmanipulation. Er ist ein reiner Insider, der einen Vertrag mit dem Unternehmen hat und eine beliebige Position in einer belie- bigen Abteilung innehaben kann. Ein solcher Vorfall ist in der Regel ein einmaliges Ereignis zu einem willkürlichen Zeitpunkt während des Beschäftigungsverhältnisses („disgruntled employee“) oder nach Beendigung des Arbeitsverhältnisses („disgruntled leaver“). Datenmitnahme zur Konkurrenz Der verärgerte Mitarbeiter („disgruntled employee“) ist in erster Linie durch Rache und das Streben nach „Gerechtigkeit“ motiviert. Die- ser Typus wird in vielen Studien über Insider-Threats diskutiert und taucht auch im analysierten Material häuﬁg auf. Der Wunsch nach Rache kann verschiedene Ursachen haben, bei- spielsweise Entlassung, Streitigkeiten mit Vorgesetzten oder der Geschäfts- Bei dieser Art von Bedrohung nimmt ein Insider Daten wie geistiges Eigentum (z. B. Quellcode, Konstruk- tionspläne) oder andere wertvolle Informationen (z. B. Kundendaten, Preisgestaltung) mit, wenn er oder sie zur Konkurrenz wechselt. Die Tat ist naturgemäß ein einmaliges Ereignis, das mit der Beendigung des Arbeitsverhält- 6 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2023#5

nisses zusammenhängt, und zielt meistens auf einen persönlichen Vorteil ab. Sie kann jedoch auch zusätzlich durch Rache oder Neugierde motiviert sein. Täter oder Täterinnen dieser Art können reine Insider oder externe Vertragspartner sein, beschränken sich aber auf Personen mit Zugang zu wertvollen Daten, zum Beispiel Dateien, Anwendungen, Datenbanken. Industriespionage Insider, die Industriespionage betreiben, nutzen bestehende Privilegien aus, um wertvolle Informationen wie geistiges Eigentum zu stehlen, während sie eine belie- bige (interne oder externe) Position mit Zugang zu Daten innehaben. Sie werden in der Regel von externen Akteuren angeworben, üblicherweise durch Bestechung. Die Be- reitschaft, Bestechungsgelder anzunehmen, kann durch Faktoren wie Arbeitszufriedenheit oder die ﬁnanzielle Situation beeinﬂusst sein. Die Tat ist oft ein einmaliges Ereignis zu einem beliebigen Zeitpunkt während der Zu- sammenarbeit mit der Organisation. Staatliche Spionage Ähnlich wie bei der Industriespionage nutzen Insider, die sich an staatlicher Spionage beteiligen, gege- bene Privilegien, um wichtige Informationen zu stehlen, während sie eine beliebige Position mit Zugang zu Daten innehaben. Sie werden von externen Agenten angeworben, bestochen oder erpresst, zum Beispiel nachdem sie privat kompromittiert wurden. Die Bereitschaft, Bestechungs- gelder anzunehmen oder sich erpressen zu lassen, kann durch zusätzliche Faktoren wie Arbeitszufriedenheit, die ﬁnanzielle Situation oder familiäre Umstände beeinﬂusst werden. Wie bei der Industriespionage ist die Tat meistens ein einmaliges Ereignis zu einem beliebigen Zeitpunkt. Ausnutzen von Privilegien zum persönlichen Vorteil Wenn Insider Privilegien ausnutzen, um sich per- sönlich zu bereichern, sind die Motive vielfältig: In eini- gen Fällen gibt es ﬁnanzielle Probleme, zum Beispiel durch einen zu hohen Lebensstandard oder Schulden, andere sind subjektiv der Meinung, dass ihnen der Proﬁt zusteht, der ihnen von der Organisation nicht gewährt wird, und wieder andere sind neidisch, zum Beispiel auf Kunden, wenn es um teure Produkte oder Dienstleistungen geht. Um sich persönlich zu bereichern, stehlen diese Innentäter entweder Eigentum (z. B. IT-Ausstattung) oder nutzen ihren Zugang zu IT-Systemen, um Betrug zu bege- hen. Die Taten fangen oft klein an und werden dann im Erfolgsfall immer größer, bis sie auffallen. Es handelt sich also typischerweise um eine Reihe von Ereignissen. Serious Game „Operation Digital Butterﬂy“ „Operation Digital Butterﬂy“ ist ein Tabletop- Spiel, in dem drei bis vier Teams mit zwei bis fünf Spielern pro Team im Wettbewerb stehen. Jedes Team entwickelt mithilfe eines Kartendecks eine Rolle und einen Angriff sowie eine Sicherheitsmaß- nahme. Die Teams werden angewiesen, vier Fragen auf der Rollenkarte zu beantworten, um die kreative Entwicklung von Angriffsmaßnahmen anzuleiten: Wer ist der Innentäter bzw. die Innentäterin (Position in der Organisation)? Was möchte er oder sie erreichen (Intention)? Warum möchte er oder sie das (Motivation)? Wie rechtfertig er oder sie das vor sich selbst (Neutralisierung)? Diese Rollencharakteristika helfen dabei, eine plausible Rolle zu entwickeln, die Hinweise auf Risikofak- toren geben kann. Auf diese Weise ermöglichen sie eine detaillierte Analyse der Spielergebnisse im Hinblick auf mögliche Gegenmaßnahmen. Besonders Rechtfertigun- gen von Angriffen (Neutralisierungen) haben sich dabei als nützlich erwiesen. Der Angriff wird anhand von Szenenkarten ent- wickelt. Die Film-Metapher wird verwendet, um Beschrei- bungen von Angriffen einfach zu gestalten – auch für Spieler, die nicht mit formalen Notationen vertraut sind. Ein Angriff ist eine Abfolge von Szenen. So ist jedes Team in der Lage, seinen ﬁktiven Angriff anhand einer Abfolge von Szenen zu beschreiben. Das Siegerteam wird durch ein Bewertungssystem ermittelt, bei dem sich die Teams gegenseitig in drei vor- gegebenen Kategorien bewerten: (1) Plausibilität der Rolle, (2) Plausibilität der Angriffsstory und (3) Schadenspotenzi- al. Jedes Team kann bis zu zehn Punkte für jede Kategorie an die anderen Teams vergeben. Die Bewertungskriterien motivieren im Spiel dazu, realitätsnahe, relevante An- griffsszenarien mit Schadenspotenzial zu entwickeln. Das Spiel wird mit einer Diskussion zu Sicherheitsmaßnahmen gegen Innentäter abgeschlossen. „Operation Digital Butterﬂy“ steht unter einer offenen Lizenz (CC-BY) und ist verfügbar auf GitHub: https://github. com/LIONS-DLT/operation-digital-butterﬂy. © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2023#5 7

Bedrohung Innentäter Unautorisierte Inspektion von persönlichen Daten geschädigte Organisation den Schaden verdient hat und dass sie zum Wohle der Allgemeinheit handeln. Personen, die unbefugt Einsicht in personenbezo- gene Daten nehmen, sind Nutzer oder Administratoren – in der Regel reine Insider – mit Einblicken in Datenbanken, auf die sie entweder direkt oder über Anwendungen zugreifen können. Die Handlung ist kurzfristig und entweder durch persönliche Gründe oder politisch motiviert. Persönliche Gründe können Neugier oder Zuneigung zu einer Person sein, die sich in der Datenbank beﬁndet. Ein politisches Ziel kann beispielsweise das Ausspähen von vermeint- lichen Feinden sein. Verkauf von geistigem Eigentum Wenn geistiges Eigentum auf Schwarzmärkten (z. B. im Darknet) verkauft wird, handelt es sich bei den Tätern oder Täterinnen oft um Personen mit technischen Kenntnissen wie Administratoren oder Entwickler und damit typischerweise um reine Insider. In diesem Fall kann es sich bei dem geistigen Eigentum um Entwürfe von Produkten oder um den Quellcode von Softwarepro- dukten handeln. Wenn es geleakter Quellcode ist, erhöht sich unter Umständen auch das Risiko weiterer Cybersi- cherheitsvorfälle. Die Motivation liegt hier im persönlichen (ﬁnan- ziellen) Vorteil und in der Möglichkeit des Zugangs zu wertvollen Daten (z. B. Repositories), unterstützt durch geringes Engagement und ethische „Flexibilität“. Diese Personen versuchen jedoch, dem Unter- nehmen durch physische oder digitale Sabotage oder Rufschädigung aktiv zu schaden, weil sie es ablehnen. Das gilt vor allem für den öffentlichen Sektor oder für Unter- nehmen, bei denen die Moral der Ziele oder der Methoden umstritten ist. Täter und Täterinnen dieses Typs können jede beliebige Position in der Organisation einnehmen, während der von ihnen gewählte Angriffsvektor von ihrer Position und den entsprechenden Fähigkeiten und Möglichkeiten abhängt. Erpressung Bei diesem Typ erpressen Insider die Organisation mithilfe ihrer physischen oder digitalen Zugriffsberechti- gungen. Das Angriffsziel können dabei Daten oder phy- sische Güter sein. Diese Täter sind in der Regel ﬁnanziell motiviert, was auf wirtschaftliche Probleme zurückzuführen sein kann. Sie können auch einen kriminellen Hintergrund haben oder psychisch krank sein. Im Allgemeinen haben sie ein geringes beruﬂiches Engagement und schätzen unter Umständen die Folgen ihrer Handlungen falsch ein. Sie können eine beliebige Position im Unternehmen einnehmen. Der von ihnen gewählte Angriffsvektor hängt von ihrer Position und den entsprechenden Fähigkeiten und Möglichkeiten ab. Whistleblower Illegale Nutzung der IT-Infrastruktur Whistleblower folgen ihrem politischen oder mo- ralischen Verständnis und versuchen, kritische Daten der Organisation zu veröffentlichen, zum Beispiel solche, die in den Augen des Verursachers Beweise für Unrecht sind. Diese Personen identifizieren sich selbst als Whistleblower – auch wenn sie es in der Wahrnehmung der allgemeinen Gesellschaft nicht sind. Sie sind der Mei- nung, dass die Organisation den Schaden verdient und dass sie zum Wohle der Allgemeinheit handeln. Im Prinzip kommt bei diesem Typ als Täter oder Täterin jede Person infrage, die Zugang zu relevanten Daten hat, einschließ- lich Dritter. In manchen Fällen kann der Insider von (ex- ternen) Beteiligten ermutigt sein. Die Tat ist ein einmaliges Ereignis während der Zugehörigkeit zur Organisation. Hierbei nutzen Individuen die IT-Infrastruktur der Organisation über einen längeren Zeitraum für ihre eigenen illegalen Zwecke, wie zum Beispiel die Verwen- dung von IT-Geräten zur Speicherung und Bereitstellung von illegalem Material (z. B. Videomaterial) oder die Nut- zung der IT-Infrastruktur für illegale Transaktionen (z. B. Geldwäsche). Diese Art von Tätern benötigt informations- technische Kenntnisse und Zugang zur IT-Infrastruktur. Typisch für diesen Bedrohungstyp sind IT-Mitarbeiter wie Systemadministratoren. Gegenmaßnahmen Politisch motivierte Sabotage Wie der Typus des Whistleblowers sind auch politisch motivierte Saboteure der Meinung, dass die Neben der vorgestellten Typologie mit elf Bedro- hungstypen wurden in den Analysen des wissenschaft- lichen Projekts Gegenmaßnahmen auf technischer, organisatorischer, menschlicher und infrastruktureller 8 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2023#5

Ebene identiﬁ ziert. Die wichtigsten sind die nachfolgend skizziert: Organisatorische Gegenmaßnahmen Technische Gegenmaßnahmen Von besonderer Relevanz sind in diesem Zu- sammenhang Ansätze, die auf die Erkennung von Änderungsmustern in Informationssystemen abzielen. So könnten Systeme zum Beispiel bei Änderung von unge- wöhnlich vielen Datensätzen oder Dateien in kurzer Zeit eine Warnung ausgeben. Auch bei Ausreißern im Datenbe- stand, beispielsweise bei hohen Beträgen in Abrechnungssyste- men, könnte eine Warnung erfolgen, sodass ein Mitarbeiter die Transaktion noch einmal manuell überprüft. Auf diese Art lassen sich betrügerische oder destruktive Aktivitäten zeitnah detektieren. Bei bestimmten, kritischen Geschäften kann es auch Sinn machen, dass sie ein zweiter Benutzer freigeben muss (Vier-Augen-Prinzip). Auch durch eine regelmäßige Plausibilitätsüberprüfung der Datenbestände können unge- wöhnliche Transaktionen erkannt und schadhafte Akti- vitäten entdeckt und unterbunden werden. tuev-nord.de/wissen/it In den Informationssystemen ist vor allem wich- tig, wie granular das Berechtigungsmanagement ausge- staltet ist. Sind sämtliche Daten für alle Nutzer einsehbar, spielt das möglichen Tätern oder Täterinnen in die Hände, während eine saubere Rollen- und Rechtetrennung die Zugriffsmöglichkeiten und damit auch die Handlungs- möglichkeiten eines internen Angreifers begrenzt. Zwei- oder Mehrfaktor-Authentiﬁ zierung erschwert Innentätern den Zugriff auf Accounts und Geräte von Kollegen. Damit wird es auch erschwert, Berechtigungen auszuweiten oder Spuren zu verwischen. Unternehmen sollten zudem ge- nerische Accounts vermeiden, da hier eine Zuordnung zu einzelnen Personen und damit eine mögliche Vorfallsauf- klärung erschwert ist. Hinzu kommt, dass solche Accounts auch nach dem Ausscheiden von Personal weiterbestehen und so ehemalige Mitarbeiter eventuell noch darauf zu- greifen können. Für die Aufklärung von Vorfällen und für eine präventive Wirkung ist das Logging von Interaktionen mit IT-Systemen, zum Beispiel Anmeldungen, Datenzugriffe und -änderungen wichtig, um bösartige Handlungen nachvollziehen zu können. Dabei ist es wünschenswert, dass auch Administratoren die Logdaten nicht ohne Wei- teres löschen können. Ein weiterer wichtiger Faktor sind angemessene Onboarding- und Offboarding-Prozesse. Beispielsweise kann es in kritischen Bereichen sinnvoll sein, neue Mitar- beiter und Mitarbeiterinnen einer Sicherheitsüberprüfung zu unterziehen und im Falle einer Kündigung durch den Arbeitgeber die betroffene Person nach Ausspruch der Kündigung freizustellen. Zugewiesene Systemzugänge sollten die Verantwortlichen revidieren. Wissen gibt Sicherheit In der Organisations- struktur der IT ist es wichtig, die Zuständigkeiten festzulegen. Beﬁ nden sich hier viele Ver- antwortungsbereiche in einer Hand, ist das Risiko höher, als wenn diese auf unterschiedliche Personen oder Teams verteilt sind, beispielsweise durch Tren- nung von operativen Admini- strationstätigkeiten gegenüber Nutzer- und Berechtigungsma- nagement. Eine zeitnahe Aufklä- rung ungewöhnlicher Ereig- nisse kann zur Identiﬁ zierung möglicher Täter oder Täterinnen beitragen, da solche Ereignisse im Zusammenhang mit einem möglicherweise unbemerkten Angriff stehen oder Vorboten eines Angriffs sein können. Delinquente Handlungen stehen oft nicht für sich allein. Auch eine Bewertung der Kritikalität von Kunden oder Partnern kann Grundlage für weitere Schutzmaß- nahmen sein, die dann das Risiko mindern können, zum Beispiel besondere Vorkehrungen und Berechtigungs- strukturen bei den speziﬁ schen Kundendaten. Menschliche Gegenmaßnahmen Einer der wichtigsten Faktoren für das Risiko von Insider-Threats ist das Betriebsklima. Eine aktive Förde- rung der Zufriedenheit und der Arbeitsatmosphäre beugt Handlungen aus Unzufriedenheit und Rachemotiven vor und verringert somit die Wahrscheinlichkeit von Vorfällen. Aber auch für Bestechlichkeit oder Erpressbar- keit kann die Zufriedenheit ein moderierender Faktor sein. Für die gezielte Förderung ist ein Monitoring des Betriebsklimas essenziell, zum Beispiel durch Mitarbeiter- gespräche oder anonyme Umfragen. Auch die Förderung zwischenmenschlicher Kontakte kann vorbeugend wir- ken, da Mitarbeiter, die in soziale Geﬂ echte innerhalb der Organisation eingebunden sind, weniger wahrscheinlich delinquent handeln. © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2023#5 9

reiche zusammenarbeiten müssen – besonders IT, HR und Ofﬁ ce-Management. Ferner zeigt sich, dass kreative Ansätze – hier in Form eines „Serious Games“ (Lernspiels) – die Ergebnisse erweitern können, zum Beispiel im Hinblick auf Inten- tionen und Motivationen. Das Spiel „Operation Digital Butterﬂ y“ ist unter einer Creative-Commons-Lizenz auf GitHub verfügbar (siehe Kasten). ■ Manfred Hofmeier ist Wissenschaftlicher Mitarbeiter an der Universität der Bundeswehr München und Projektleiter des Forschungsprojekts LIONS. Prof. Dr. Ulrike Lechner ist Professorin für Wirtschaftsinforma- tik an der Universität der Bundeswehr München und beschäf- tigt sich im Schwerpunkt mit der IT-Sicherheit in Kritischen Infrastrukturen, Unternehmensarchitekturen und Digitalen Geschäftsmodellen. Bedrohung Innentäter Ebenfalls zu den relevanten Maßnahmen auf der menschlichen Ebene zählen Awareness-Kampagnen und Mitarbeiterschulungen. Besonders Schulungen zu den Auswirkungen und Konsequenzen kriminellen Ver- haltens können präventiv wirken, da in manchen Fällen den Tätern die Tragweite des eigenen Handelns nicht bewusst ist. Auch Inhalte zur Förderung der Wachsamkeit gegenüber ungewöhnlichen Ereignissen und radikalem Sprachgebrauch kann hilfreich bei Prävention und De- tektion sein. Weiterhin sollten Awarenesskampagnen die Absicherung der Arbeitsplätze durch die Belegschaft the- matisieren. Verlassen Mitarbeiter oder Mitarbeiterinnen ihre Arbeitsplätze, ohne den Computer zu sperren oder notieren wichtige Informationen wie etwa Zugangsdaten auf Notizblättern, kann das den Handlungsspielraum von Innentätern erweitern oder sogar zu einer Tat verleiten. Daneben spielen spezielle Schulungen für Vorge- setzte eine Rolle. Da viele Vorfälle in der Unzufriedenheit oder in den individuellen Problemen einzelner Personen begründet sind, ist es wichtig, dass Führungskräfte einen geeigneten Umgang mit den Mitarbeitern und Mitarbei- terinnen pﬂ egen und Antennen für persönliche (auch private) Probleme entwickeln und betroffene Mitarbeiter oder Mitarbeiterinnen adäquat unterstützen. Infrastrukturelle Gegenmaßnahmen Offene Zugänge zu Technikräumen und Verkabe- lungen bieten möglichen Innentätern viel Angriffsﬂ äche, da sie hier mit wenig Mitteln einen großen Schaden ver- ursachen können, zum Beispiel durch einfache physische Einwirkung oder zugängliche Datenströme. Zutrittskon- trollsysteme – bestenfalls mit Protokollierung – begrenzen den physischen Zugang zu bestimmten Bereichen wie Technikräumen oder Produktionsanlagen. Videoüberwachung in kritischen Bereichen (z. B. Produktionsbereichen, Serverräumen) und auf Fluren kann bei der Aufklärung von Vorfällen nützlich sein und einen präventiven Effekt haben. Fazit Die im Rahmen des wissenschaftlichen Projektes identiﬁ zierten Bedrohungstypen ergänzen die bisherigen Innentätertypologien und ermöglichen eine erweiterte Betrachtung des komplexen Themenfeldes sowie eine bessere Anpassung der Sicherheitsmaßnahmen an die Vielfalt der Bedrohungen. Darüber hinaus geben die vorgestellten Gegenmaßnahmen Hinweise für relevante Stellschrauben. Dabei wird aber auch sichtbar, dass für eine funktionierende Risikominimierung in Bezug auf böswillige Innentäter verschiedene Organisationsbe- 10 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2023#5