06 Special Everything_as_a

06 Special Everything_as_a_Service

Verlagsbeilage, Dezember 2024 Special Everything as a Service Security-Services: Der unterschätzte Schlüssel zur umfassenden IT-Sicherheit Managed Security Services: IT-Security ist Teamplay Seite 2 Seite 4 Datenwäsche als Cloud-Service Seite 7 Mitherausgeber Impressum GmbH Augustinusstraße 11 A 50226 Frechen (DE) Tel.: +49 2234 98949-30, redaktion@datakontext.com, www.datakontext.com Geschäftsführer: Dr. Karl Ulrich Handelsregister: Amtsgericht Köln, HRB 82299 Anzeigenleitung: Birgit Eckert (verantwortlich für den Anzeigenteil) Tel.: +49 6728 289003, anzeigen@kes.de Satz: Dirk Hemke (SatzPro), Krefeld; Markus Miller (Satz + Bild), München Druck: QUBUS media GmbH, Beckstraße 10, 30457 Hannover m i t L e s e p r o b e a u s d e m S p e c i a l H a u p t h e f t Bild: jutarat/stock.adobe.com

Verlagsbeilage Security-Services: Der unterschätzte Schlüssel zur umfassenden IT-Sicherheit Steigende Investitionen in IT-Sicherheit ste- hen im Widerspruch zu wachsenden Schäden durch Cyberangriffe. Um das volle Potenzial von Sicherheitslösungen auszuschöpfen, be- nötigen Unternehmen umfassende Security- Services. Von Michael Klatte, ESET Deutschland GmbH Deutsche Unternehmen investieren zunehmend in IT-Sicherheit, doch die Schäden durch Cyberangriffe steigen paradoxerweise weiter an. Laut dem „Cybersicher- heits-Monitor 2023“ des Digitalverbands Bitkom haben die Investitionen in IT-Sicherheit in Deutschland im Jahr 2023 einen Rekordwert von 7,8 Milliarden Euro erreicht. Dies entspricht einem Anstieg von 13 Prozent gegenüber dem Vorjahr. Dennoch verzeichnet die gleiche Studie, dass 84 Prozent der befragten Unternehmen in den ver- gangenen 12 Monaten Opfer von Cyberangriffen wurden. Der durchschnittliche Schaden pro Organisation wird auf 1,3 Millionen Euro geschätzt. Diese alarmierenden Zahlen werfen die Frage auf: Warum führen steigende Investitionen nicht zu einer ent- sprechenden Reduzierung der Cyberschäden? Ein wesent- licher Grund liegt darin, dass viele Unternehmen IT-Si- cherheitslösungen zwar anschaffen, diese aber oft nicht optimal konfigurieren und einsetzen. Häufig werden le- diglich die mitgelieferten Standardprofile verwendet, an- statt die Lösungen in Zusammenarbeit mit dem Hersteller auf die spezifischen Bedürfnisse und Risiken des Unter- nehmens zuzuschneiden. In einer Umfrage von Cybersecurity Insiders aus dem Jahr 2023 gaben 70 Prozent der IT-Experten an, dass ihre Organisationen Schwierigkeiten haben, Sicher- heitslösungen effektiv zu implementieren und zu nutzen. Der Grund dafür liegt häufig in der Komplexität der Pro- dukte sowie in der Vernachlässigung der dazugehörigen Security-Services aufgrund mangelnder finanzieller Res- sourcen. Die Rolle von Security-Services für Unternehmen Hier zeigt sich die entscheidende Bedeutung von umfassenden Security-Services, die über die bloße Bereit- stellung von Software hinausgehen. Dies unterstreicht auch der „Cybersecurity Workforce Study 2023“ Report von ISC2. Dieser zeigt, dass es weltweit einen Mangel von 3,4 Millionen Fachkräften im Bereich Cybersicher- heit gibt. Diese Lücke führt dazu, dass viele Unternehmen nicht über die nötigen Ressourcen verfügen, um ihre Si- cherheitslösungen optimal zu betreiben. In diesem Kon- text sind Security-Services unverzichtbar geworden. Der IT-Sicherheitshersteller ESET adressiert die- se Herausforderungen mit einem umfassenden Portfolio unterschiedlicher Security-Services. Diese Dienstleistun- gen bieten Unternehmen Zugang zu Expertenwissen on demand und ermöglichen eine kontinuierliche Optimie- rung ihrer Sicherheitslösungen. Weiterhin unterstützen sie bei der proaktiven Gefahrenabwehr und entlasten interne Ressourcen, was besonders in Zeiten des Fachkräfteman- gels von entscheidender Bedeutung ist. Dreigliedriger Sicherheitsansatz ESET realisiert dies mit einem dreigliedrigen Ansatz: Produktbezogene Services: Diese umfassen die maßgeschneiderte Implementierung und Optimierung der ESET-Sicherheitslösungen, um zu gewährleisten, dass jedes Produkt optimal auf die spezifischen Bedürfnisse des Unternehmens zugeschnitten ist. Dedizierte Security-Services: ESET bietet spezia- lisierte Dienstleistungen wie Threat Intelligence, die eine proaktive Überwachung und Anpassung der Sicherheits- infrastruktur ermöglichen. Managed Detection and Response (MDR): Für Unternehmen, die eine umfassende Betreuung wünschen, bietet ESET MDR-Services an, bei denen künstliche In- telligenz oder Experten die kontinuierliche Überwachung, Erkennung und Reaktion auf Cyberbedrohungen über- nehmen. 2 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Everything as a Service, Dezember 2024

Durch dieses Portfolio an Services unterstützt ESET Unternehmen dabei, das volle Potenzial ihrer Si- cherheitsinvestitionen auszuschöpfen und eine robuste Verteidigung gegen die sich ständig weiterentwickelnde Bedrohungslandschaft aufzubauen. Produktbezogene Services Die ESET Premium Support Services stellen si- cher, dass Schutzlösungen optimal implementiert und genutzt werden. ESET Premium Support Essential bietet schnelle und zuverlässige Unterstützung bei der Konfi gu- ration und Wartung von Sicherheitslösungen. ESET Premium Support Advanced ergänzt diese Services um einen persönlichen Kundenbetreuer, pro- aktive Benachrichtigungen und priorisierten Zugang zu den ESET-Entwicklern. Hinzu kommen weitere für die Sicherheit essenzielle Dienstleistungen: ESET Deployment & Upgrade: Unterstützung bei der Installation und Konfi guration von Sicherheitslö- sungen, um deren erfolgreichen Betrieb zu gewährleisten. ESET Healthcheck: Analyse der aktuellen Imple- mentierung von Sicherheitslösungen und Erstellung von Berichten mit Handlungsempfehlungen zur Optimierung. ESET Micro Updates: Ermöglichen die manuelle Verteilung von Updates in Netzwerken ohne oder mit ein- geschränkter Internetverbindung. Dedizierte Services ESET Detection and Response Advanced bietet umfangreiche Unterstützung für den täglichen Betrieb der Lösung für Endpoint Detection and Response (EDR) ESET Inspect, einschließlich der optimalen Konfi guration des Tools und präventiver Sicherheitsmaßnahmen. Dieser Service eignet sich für Organisationen, die ihre Sicher- heitsstrategie eigenständig umsetzen möchten, aber ge- zielte Unterstützung bei besonderen Herausforderungen benötigen. Managed Detection and Response Viele Unternehmen stehen vor der Herausforde- rung, ihre digitale Infrastruktur angesichts der aktuellen Bedrohungslage, der rechtlichen Anforderungen wie der NIS-2-Richtlinie und der Cyberversicherungsbedingun- gen zu schützen. EDR-Lösungen wie ESET Inspect ge- hören zunehmend zur Standardausrüstung in der IT-Si- cherheit. Die Verwaltung solcher Lösungen stellt jedoch häufi g eine zusätzliche Belastung dar. Hier setzt ESET mit Managed Detection and Response (MDR) an, das Unter- nehmen jeder Größe bei der Verwaltung und beim ope- rativen Betrieb ihrer Sicherheitsinfrastruktur unterstützt. Dabei können Organisationen zwischen einem KI-ge- e c i v r l e S a a i s a c g n e i h p t y r e S v E stützten und einem umfassend kundenspezifi schen MDR- Service wählen. ESET MDR übernimmt für KMU rund um die Uhr Systemüberwachung, Bedrohungserkennung und -verfolgung, Vorfallreaktion sowie erweiterte Erkennungs- und Reaktionsfunktionen. Da es sich um einen KI-basier- ten Dienst handelt, muss das Unternehmen keine Perso- nal-, Hardware- oder Softwareressourcen bereitstellen. Alle ESET MDR-Kunden sind mit dem ESET-eigenen Secu- rity-Information-and-Event-Management-(SIEM)-Tool verbunden, sodass Bedrohungen erkannt und mit vorde- fi nierten Reaktionsmaßnahmen gestoppt werden können. ESET MDR ist in der Lage, Bedrohungen innerhalb von 20 Minuten zu erkennen und darauf zu reagieren. Dazu nutzt ESET eigene Cybersicherheitstechnologien und Telemetriedaten, die das Unternehmen weltweit sammelt und auswertet. Für eine eff ektive Gefahrenabwehr können Kunden zudem auf eine Bibliothek mit vordefi nierten Mustern zugreifen und eigene benutzerdefi nierte Regeln erstellen. Bei bestimmten Erkennungen oder verdächti- gem Verhalten von Dateien oder Prozessen werden dann entsprechende Aktionen ausgelöst. ESET Detection and Response Ultimate bietet eine vollständige MDR-Lösung. Sie umfasst die Imple- mentierung, Optimierung und Verwaltung von ESET Inspect durch die Experten von ESET. Der Service kombiniert präventive, proaktive und reaktive Schutz- mechanismen und richtet sich an Unternehmen, die ma- ximale Sicherheit und minimalen Verwaltungsaufwand wünschen. Managed Detection and Response sorgt für optimale Sicher- heit. (Bild: ESET) Fazit Dieser breite Serviceansatz von ESET bietet Fir- men jeder Größe Lösungen, die sowohl technische als auch strategische IT-Sicherheitsanforderungen abdecken. Die Kombination aus innovativer Technologie, umfassen- der Unterstützung und spezifi schen Services trägt dazu bei, den Sicherheitsstandard in Unternehmen nachhaltig zu verbessern. ■ © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Everything as a Service, Dezember 2024 3

Verlagsbeilage IT-Sicherheit müssen Unternehmen nicht allein bewältigen Managed Security Services: IT-Security ist Teamplay IT-Abteilungen in Unternehmen haben mit einem erheblichen Mangel an Zeit und Fachkräften zu kämpfen. Das ist besonders verheerend für die IT-Security. Die Cyberbedrohungslage ist alarmierend und eine effektive Gefahrenabwehr ist unerlässlich. Dies haben auch Gesetzgeber in Deutschland und der EU erkannt. Auflagen durch die NIS-2-Richtlinie sorgen in Unternehmen für Zugzwang. Von Kathrin Beckert-Plewka, G DATA CyberDefense AG Im Bereich IT-Sicherheit wird es immer schwieriger, mit den Entwicklungen Schritt zu halten. Das liegt daran, dass es sich um ein Katz-und-Maus-Spiel zwischen Cy- berkriminellen und Anbietern von Sicherheitslösungen handelt. Bei- de Seiten suchen stets neue Wege, um dem jeweils anderen etwas ent- gegenzusetzen. Für Unternehmen ist das eine schwierige Situation. IT-Abteilungen haben in der Re- gel nicht die Zeit, um sich mit den neuesten Möglichkeiten der Abwehr von Cyberangriffen zu beschäfti- gen. Nicht nur ist das Tagesgeschäft zeitraubend, sondern es laufen par- allel häufig noch Projekte, die zum Unternehmenswachstum beitragen sollen – beispielsweise im Bereich der Digitalisierung. Dass IT-Admi- nistratoren nicht die Zeit aufbringen können, um etwa täglich in Loglines nachzulesen, ob irgendwelches ver- dächtiges Verhalten vorliegt, ist so- mit verständlich. Die Teamleiter kämpfen mit Fachkräfte- zunehmendem mangel: Im Jahr 2023 fehlten in Deutschland fast 105.000 Security- Spezialisten (Quelle: „Cybersicher- heit in Zahlen“ von G DATA Cyber- Defense AG, Statista und brand eins). Innerhalb von nur drei Jahren (von 2020 bis 2023) vergrößerte sich die Lücke um 70 Prozent und eine Änderung dieser Entwicklung ist nicht in Sicht. Das Einstellen neuer und spezialisierter Mitarbeiter ist da- her kein Weg für mehr IT-Sicherheit. Da gut ausgebildete und erfahrene Spezialisten auf dem Arbeitsmarkt nicht greifbar sind oder zu hohe Ge- hälter verlangen, sollten IT-Verant- wortliche darüber nachdenken, die nötige Expertise und Fachkräfte über einen externen Dienstleister zu be- ziehen. Eine einfache und effiziente Möglichkeit dafür ist die Nutzung von Managed Extended Detection and Response (MXDR). NIS-2-konform werden Für weiteres Kopfzerbre- chen bei IT-Verantwortlichen sorgt Network-and-Information- die Security-Directive-2 (NIS-2) der Europäischen Union. Sie setzt neue Standards für die Cybersicherheit kritischer Infrastrukturen und er- weitert den Anwendungsbereich der Sicherheitsanforderungen auf eine größere Anzahl von Unternehmen. „Verhütung, Erkennung, Analyse und Eindämmung von Sicherheits- vorfällen oder die Reaktion darauf und die Erholung davon“ – dieses Ziel wird mit NIS-2 verfolgt. Betrof- fen sind Firmen, die einem der 18 Sektoren angehören oder unter Son- derregelungen fallen. Eine MXDR- Lösung bietet auch hier maßgebliche Unterstützung. Rund-um-die-Uhr- Schutz ohne weiteren Personaleinsatz MXDR stellt eine laufende Überwachung der IT-Systeme eines Unternehmens sicher. Auf eine er- kannte Cyberattacke erfolgt um- gehend eine Reaktion, um diese zu stoppen. Im Hintergrund arbeitet ein Analystenteam 24 Stunden täg- lich und an sieben Tagen in der Wo- che. Die Expertinnen und Experten nutzen breit gefächerte Sensorik und untersuchen verdächte Vorgänge im Netzwerk genauestens. Bestätigt sich der Verdacht eines Angriffs, reagiert das Team ohne Verzögerung, um die Attacke zu beenden und den Scha- den möglichst klein zu halten. 4 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Everything as a Service, Dezember 2024

Niemand kann Cybercrime allein bekämpfen. Mit MXDR können Unternehmen ihr Team um einen 24/7-Schutz erweitern. (Bild: G DATA) e c i v r l e S a a i s a c g n e i h p t y r e S v E Bei ihrer Arbeit greifen die Security-Experten auf langjährige Erfahrung zurück. Zudem stehen sie im ständigen Austausch mit einem internationalen Netzwerk und blei- ben hierdurch immer auf dem Lau- fenden über die neuesten Angriff s- muster und Cybercrime-Trends. IT-Mitarbeitende in Unternehmen verfügen im Regelfall nicht über diese Expertise und Erfahrung. Da- her sind sie häufi g nicht in der Lage, schädliche Vorgänge schnell zu ent- decken und richtig einzuschätzen. Erfolgt nicht die richtige Response, geht ein Angriff möglicherweise ungehindert weiter und verursacht große Schäden, die bis zu einem Betriebsstillstand reichen können. Dies gilt es zu verhindern, damit der wirtschaftliche Erfolg des Unterneh- mens nicht gefährdet ist. Zudem ist es für Firmen oft nicht möglich, ein 24-7-Schichtsystem mit Fachleuten in Eigenregie aufzubauen und zu unterhalten. MXDR kann in Firmen daher zu einem deutlich höheren IT- Sicherheitsniveau führen. Für IT-Verantwortliche, die auf der Suche nach einer passenden Lösung sind, gibt es drei wesentliche Punkte, die sie sich genau ansehen sollten: Die persönliche Kompo- nente: Es ist wichtig, dass die Ana- lysten gut ausgebildet sind und viel Erfahrung auf ihrem Fachgebiet mit- bringen. Genauso wichtig ist, dass es einen direkten Kontakt in das anbietende Unternehmen gibt, um eventuelle Fragen zu klären – bes- tenfalls in Form eines persönlichen Ansprechpartners. Ungünstig ist hingegen, wenn der Support über ein Call Center erfolgt oder nach dem sogenannten „Follow-Th e-Sun- Modell“ abläuft. Das bedeutet, IT- Verantwortliche bekommen immer wechselnde Ansprechpartner rund um den Globus – je nachdem, wo gerade Tag ist. Die technologische Kom- ponente: Es ist durchaus ein Unter- schied, ob der Anbieter die ver- wendete Schutztechnologie selbst entwickelt hat oder mit Fremd-Soft- ware arbeitet. Das hat starken Ein- fl uss darauf, ob ein Dienstleister zu- verlässig die Meldungen der Software interpretieren kann. Außerdem ver- bessert es erheblich die Möglichkeit für Kunden, individuelle Anpassung vornehmen zu lassen. Die gesetzliche Komponen- te: Das Th ema Datenschutz ist bei Managed-Security- Dienstleistungen immens wichtig. Immerhin bekommt der Anbieter vollen Einblick in die Unternehmensdaten. Wenn dieser unnötig viele Daten sammelt, ist das Vertrauensverhältnis gefährdet. Befi n- det sich der Hauptsitz des anbieten- den Unternehmens in Deutschland, kann man sicher sein, dass strenge Gesetze zum Datenschutz und auch zur Datensparsamkeit gelten. Fazit: Mehrere Probleme auf einen Schlag lösen MXDR-Lösungen unter- stützen Unternehmen also, ihre Si- cherheitsanforderungen effi zient umzusetzen, die Transparenz und das Risikomanagement zu verbessern und letztlich die Konformität mit NIS-2 sowie weiteren Richtlinien sicherzu- stellen. Für IT-Verantwortliche birgt der Einsatz einer Managed-Extended- Detection-and-Response-Lösung handfeste Vorteile: Sie erlangen ein höheres IT-Sicherheitsniveau, ohne sich auf die Suche nach weiterem Fachpersonal begeben zu müssen. Dabei profi tieren sie von der Experti- se und der Erfahrung ihres Anbieters. Zudem wird Zeit frei für andere Auf- gaben – im Idealfall solche, die dem Unternehmen zusätzliches Wachstum bringen. MXDR ist daher eine loh- nende Investition. ■ © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Everything as a Service, Dezember 2024 5

Verlagsbeilage Datenwäsche als Cloud-Service Schmutzige Daten im Waschsalon abgeben und sauber zurückbekommen Jeder Angriff benötigt ein Stück Code, der in den Daten im Download, in E-Mails, auf mobilen Datenträgern oder auch in Software-Patches versteckt ist. Die Daten, die Unternehmen täglich erhalten, sei es in der Personalabteilung als Bewerbungsunterlagen, als Informationen von Part- nern im Vertrieb, im Marketing oder in der Technik, sind nicht vertrauenswürdig. Sie lassen sich aber leicht waschen und dann gefahrlos verwenden. e c i v r l e S a a i s a c g n e i h p t y r e S v E y a b a x i p h c t a W / t i : d l i B Von Ramon Mörl, itWatch GmbH Welche Gefährdungen können in Daten enthal- ten sein? Nicht nur die bekannten Th emen wie Viren und Schadcode gefährden die IT-Umgebung. Man stelle sich Folgendes vor: Alle IT-Arbeitsplätze sind mit einer Soft- ware ausgestattet, die es dem Helpdesk ermöglicht, remote darauf zuzugreifen. Diese Remote-Access-Software ist so konfi guriert, dass der Anwender am Arbeitsplatz ange- meldet sein muss und durch Klick seine Zustimmung für den Fernzugriff gibt. Die gleiche Software ist aber auch auf Servern installiert, auf denen keine Einwilligung nötig ist – nur anders konfi guriert. Nun stelle man sich vor, ein Skript in einem PDF-Dokument macht nichts anderes, als diese Konfi guration so zu verändern, dass der Remote-Zu- griff auf allen Arbeitsplätzen für eine bestimmte gekaperte Kennung ohne Zustimmung möglich ist. Das wird durch die „normalen“ Prüfungen nicht als Virus oder Schadcode erkannt, hat aber verheerende Wirkungen auf die Sicher- heit der Systeme. Angriffsvektoren durch unsaubere Daten So wie diesen Angriff svektor gibt es viele, die von den Standardsystemen nicht entdeckt werden. Das kann zum Beispiel passieren, wenn die hereinkommenden Da- ten verschlüsselt oder verschleiert sind, um vertrauliche Informationen auszutauschen. Die Verschlüsselung kann in Standardprodukten wie Zip-Archiven oder PDF-Datei- en enthalten oder mit Spezialprogrammen ausgeführt wor- den sein. Bei Nutzung auf den Arbeitsplätzen werden diese Daten dann teilweise vollautomatisch entschlüsselt, sodass eingebettete Objekte automatisiert ihre Angriff e fahren. Verschachtelte Dateien als Sicherheitsrisiko Die meisten Schutzsysteme sind so eingestellt, dass die Echtzeitprüfung gepackte Objekte bis zu einer © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Everything as a Service, Dezember 2024 7

Verlagsbeilage Packstufe von 3 bis 5 entpackt. Angreifer sind sich dessen bewusst und verpacken deshalb 6-fach oder noch öfter. Dabei muss man wissen, dass viele Standardprodukte wie die Microsoft Office-Werkzeuge die Daten selbst packen und ähnlich wie Zip-Archive strukturiert sind. Dadurch führt das Einbetten von Excel in Word in PowerPoint be- reits zu einer mehrfachen Verschachtelung. Es gilt also, diese immer rekursiv so lange zu entpacken und verschlüs- selte Objekte zu identifizieren, bis alle Informationen im Klartext vorliegen. Nicht nur in der Personalabteilung kommen von unbekannten Bewerbern Dateien als Lebenslauf, Scan oder Foto von Zeugnissen und weiteres Material an. Möchte man einen Kandidaten für eine einfache Stelle gar nicht kennenlernen, weil er sein Handy nicht gut vor Viren geschützt hat? Auch die in einer Schadensabteilung einer Versicherung auflaufenden Daten kommen von Mo- biltelefonen, die nicht immer gut gesichert sind. Kommu- nen haben Services für Schäden an Kinderspielplätzen, öffentliche Verkehrsunternehmen Portale zum Hochladen von Problemen in deren Fahrzeugen. Individuelle Anforderungen an Datenreinigung Jedes Unternehmen hat andere Vorstellungen, was saubere Daten sind, wo nach schmutzigen Daten gesucht und wie mit diesen verfahren werden soll. Ma- kros, die von vertrauenswürdigen Partnern signiert sind, können in manchen Umgebungen erwünscht sein. Selbst erstellte Makros sollen über Whitelists in allen Dokumen- ten erlaubt sein. Sollen bekannte Viren und Schadcode herausgewaschen und das gewaschene Datenobjekt ohne den Virus oder Schadcode zugestellt werden? Sollen E- Mail-Anhänge aus der eigenen Domäne gewaschen wer- den? Gibt es Domänen, denen man bei E-Mail-Anhän- gen oder beim Download vertrauen möchte? Sollen alle ausführbaren Elemente herausgewaschen werden? Gibt es Datenformate, die gar nicht zugelassen sind? In wel- chen Abteilungen sollen andere, striktere oder einfachere Regeln gelten? Gibt es Fachverfahren, denen prinzipiell Vertrauen entgegengebracht wird, deren Resultate aber in einem Standardobjekttyp abgelegt werden sollen? Welche Metadaten sind bei welcher Datenquelle automatisiert zu ermitteln? Lösungen für maximale Datensicherheit Insofern ist es nur konsequent, dass itWatch seit vielen Jahren eine Datenwäsche anbietet, deren Mehrwer- te genau diese Sicherheitsprobleme lösen. Tausende Nut- zer der Polizeien, Nachrichtendienste, Maschinenbauer, Militärs, KRITIS-Organisationen und vielen weiteren Industriesparten werden durch die Produktsuite itWash und itWESS vor solchen Angriffen geschützt. Um allen Wünschen der Kunden gerecht zu werden, gibt es deshalb verschiedene Waschmittel und Waschprogramme, so wie man es von der heimischen Waschmaschine auch kennt. Dazu gilt es, die Themen CDR (Content Disarm and Re- construction) und Datenschleuse mit Datenwäsche und Workflow zu berücksichtigen. So funktioniert der Cloud-Service Interessierte können jetzt die Datenwäsche als Service in der Cloud ausprobieren. Es gibt dafür zwei Va- rianten: Senden Sie eine Mail mit Anhang an MyLaundry@ DataWashing.de. Sie erhalten die Anhänge gewaschen zu- rück. Einen Bericht über den Waschvorgang erhalten Sie in separater Mail. Rufen Sie das Portal https://datawashing.de auf. Sie können Daten per Drag-and-drop oder per direkter Auswahl zur Verfügung stellen. Verwenden Sie bitte keine vertraulichen Inhalte in diesem Demonstrationsservice. Es gibt Einschränkungen bezüglich Größe und Anzahl. Für Services, die den Regu- lierungen Ihrer Branche entsprechen, kontaktieren Sie uns bitte. ■ H b m G h c t a W t i : d l i B 8 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Everything as a Service, Dezember 2024

+ SPECIAL Die perfekte Kombination für CISO & Co ✓ Verlagsbeilage mit wechselnden Mitherausgebern ✓ auf ein Thema fokussierte Beiträge der Mitherausgeber ✓ Printausgabe liegt <kes> bei ✓ digitales eMagazine kostenfrei verfügbar weitere Specials hier kostenfrei downloaden: www.kes-informationssicherheit.de/print/ ✓ führende Fachzeitschrift in der IT-Sicherheit ✓ hohes technisches Niveau und redaktionell unabhängig ✓ offizielles Organ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ✓ nur im Abonnement erhältlich unter: datakontext.com/kes <kes> genauer kennenlernen? Registrieren Sie sich jetzt für Ihren Testzugang: www.kes-informationssicherheit.de/ benutzerbereich/registrierung/ LESEPROBE <kes> AUF DEN FOLGESEITEN

Management und Wissen Risikomanagement Security-Trainings für die Geschäftsleitung? – Unbedingt! Cybersicherheit ist eine rechtliche Verpﬂichtung der Geschäftsleitung, aber für viele CEOs ist das Thema immer noch Neuland. Wie können CISOs ihre Chefs* besser darauf vorbereiten, Cyberrisi- ken zu bewerten und die richtigen Entscheidungen zu treffen? Von Richard Werner, Garching Schon das dritte Jahr in Folge sind Cybervorfälle das größte Geschäftsrisiko laut Allianz Risk Barometer [1] – CEOs kommen also nicht umhin, sich mit dem Thema auseinanderzusetzen. Als Teil des unternehmerischen Risi- komanagements müssen sie in der Lage sein, Cyberrisiken zu bewerten, deren Auswirkungen auf das Business abzu- schätzen und geeignete Gegenmaßnahmen zu bestimmen. tigen und besonders wichtigen Einrichtungen gemäß § 30 BSIG-E zählen, besteht künftig also eine gesetzliche Pflicht für entsprechende Fortbildungen. Aber auch alle anderen Organisationen profitieren davon, Cybersecurity zur Chefsache zu machen, denn Cyberrisiken zu verste- hen, zu bewerten und zu managen, ist entscheidend für die Geschäftskontinuität. In der Vergangenheit haben viele Geschäftsfüh- rer diese Aufgaben einfach an den CISO delegiert; aus der Verantwortung stehlen können sie sich aber nicht. Tat- sächlich ist Cybersicherheit eine rechtliche Verpflichtung der Unternehmensleitung – und das nicht erst seit NIS-2 (vgl. [2]). Auch das Aktiengesetz und das Handelsgesetz- buch stellen klar, dass es Aufgabe der Geschäftsführung ist, wirksame Maßnahmen zum Schutz der IT-Infrastruk- tur zu treffen und ein entsprechendes Risikomanagement einzurichten. Wer tiefer in die Materie eintauchen will, dem sei der juristische Leitfaden „Cybersicherheit und IT-Compliance in Unternehmen“ [3] ans Herz gelegt, in dem der Fachanwalt für Informationstechnologierecht Dr. Thomas Stögmüller aktuelle rechtliche Anforderungen rund um die IT-Security anschaulich erklärt. Geschäftsleiter brauchen Security-Schulungen Um ihre Pflicht zum Cyber-Risikomanagement zu erfüllen, müssen CEOs das Thema Cybersecurity zwar nicht bis ins letzte technische Detail verstehen, aber doch so weit durchdringen, dass sie informierte Entscheidungen treffen können. CISOs stehen jetzt vor der Herausforde- rung, die Geschäftsleitung zu schulen und mit dem nöti- gen Rüstzeug auszustatten. Inhalte von CEO-Schulungen CISOs müssen Geschäftsleiter*-Schulungen zwar nicht unbedingt selbst durchführen, zumindest aber vor- bereiten. Gefragt sind dabei weniger die gängigen IT-Si- cherheitstrainings, die dazu dienen, die Belegschaft für Cyberrisiken zu sensibilisieren – auch diese sind unver- zichtbar, um Mitarbeiter gegen Angriffsszenarien wie Phi- shing-, CEO-Fraud oder Social-Engineering zu wappnen. Zusätzlich brauchen Geschäftsleiter aber spezielle Schulungen, die das Thema aus der Business-Perspektive beleuchten: Neben juristischen Fragen und Business-Con- tinuity-Management (BCM) geht es hier vor allem da- rum, eine gemeinsame Basis zwischen CISO und CEO zu schaffen. Das Ziel besteht darin, Cyberrisikomanagement- Entscheidungen möglichst gut vorzubereiten – sowohl im Normalbetrieb als auch im Ernstfall. Wichtige Inhalte einer solchen Schulung sind zum Beispiel: Wie kommunizieren CISO und CEO miteinan- der über Cybersicherheit, sodass die Geschäftsleitung die Risiken und möglichen Gegenmaßnahmen versteht? Als Blaupause kann der letzte Gesetzesentwurf zur NIS-2-Umsetzung [4] dienen: Er bestimmt in § 38 Abs. 3 BSIG-E, dass Unternehmensleiter regelmäßig an Trainings zum Thema Cybersicherheit teilnehmen sol- len (siehe Kasten). Für Organisationen, die zu den wich- Wie kann der CEO Cyberrisiken vernünftig ein- schätzen und ins Verhältnis setzen? Auf welche Notfall-Szenarien und Entscheidun- gen muss er vorbereitet sein? 32 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2024#6

Gemeinsame Kommunikationsbasis Die Kommunikation zwischen CISO und CEO ist der Dreh- und Angelpunkt für ein erfolgreiches Cyber- risikomanagement. Als fachliche Spezialisten haben CI- SOs die Aufgabe, der Unternehmensführung die richtigen Entscheidungsgrundlagen vorzulegen. Gleichzeitig sind CEOs in der Pflicht, solche Informationen einzufordern. Regelmäßige Meetings sind daher unverzichtbar. In der Praxis scheitert die Kommunikation leider häufig daran, dass beide Parteien verschiedene Sprachen sprechen: CISOs haben meist die „Technik-Brille“ auf, CEOs betrachten die Welt dagegen aus der Business-Pers- pektive und wünschen sich plakative Kennzahlen mit kla- ren Aussagen. Auch wenn es schön wäre: Die Frage „Wie sicher sind wir?“ lässt sich nicht so leicht beantworten. Selbst der beste Security-Experte kann nicht vorhersagen, ob ein System am nächsten Tag angegriffen wird. Anhand einer Analyse der aktuellen Gegebenheiten ist er aber in der Lage, die Wahrscheinlichkeit zu berechnen, mit der das Unternehmen im Vergleich zu anderen Unternehmen stärker oder weniger stark gefährdet ist. Wenn CEOs ver- stehen, welche Daten die Security liefern kann, und CI- SOs diese Informationen businesstauglich präsentieren, dann kommen beide Welten zusammen. Cyberrisiken und Gegenmaßnahmen richtig einschätzen CEOs stehen vor der Herausforderung zu lernen, wie sie Cyberrisken anhand der CISO-Informationen be- werten können. Wie hoch ein identifiziertes Cyberrisiko ist, hängt immer von der relativen Eintrittswahrschein- lichkeit und vom zu erwartenden Schadensausmaß ab. Die relative Eintrittswahrscheinlichkeit ist umso größer, je exponierter eine Schwachstelle ist, je häufiger diese ak- tuell von Cyberkriminellen ausgenutzt wird, je besser das Unternehmen in die Zielgruppe der Angreifer passt und je schlechter es im Vergleich zu anderen geschützt ist. Technische Lösungen wie ein Attack-Surface-(Risk)-Ma- nagement (ASM/ASRM), die kontinuierlich interne und externe Security-Daten analysieren, helfen CISOs dabei, diese Informationen auf Knopfdruck managementgerecht zu präsentieren. Um das zu erwartende Schadensausmaß abzu- schätzen, ist es wichtig, die Zusammenhänge zwischen IT und Geschäftsprozessen zu verstehen: Was würde passie- ren, wenn ein System ausfällt? Wie gefährlich wäre hier ein Datenabfluss? – Auf Basis der Risikobewertung muss der CEO anschließend entscheiden, ob die bestehenden Security-Maßnahmen ausreichen oder ob er weitere Inves- titionen freigibt. Eine gute Strategie für CISOs besteht darin, ver- schiedene Maßnahmen zur Wahl zu stellen und deren Wirksamkeit und Wirtschaftlichkeit zu vergleichen. Im akuten Einzelfall mag es zum Beispiel günstiger sein, wenn die IT-Abteilung Nachtschichten schiebt, um einen Patch einzuspielen – langfristig kann sich aber eine Netzwerksi- cherheitslösung lohnen, die automatisiert Schwachstellen mit Virtual Patching schließt. Auch hier gilt: Der CEO muss nicht wissen, wie die Technik funktioniert, aber ver- stehen, was sie für sein Business bedeutet! © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2024#6 33 § 38 BSIG-E – Umsetzungs-, Überwachungs- und Schulungspﬂicht für Geschäfts-leitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen(1) Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpﬂichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen.(2) Geschäftsleitungen, die ihre Pﬂichten nach Absatz 1 verletzen, haften ihrer Einrichtung für einen schuldhaft ver-ursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts. Nach diesem Gesetz haften sie nur, wenn die für die Einrichtung maßgeblichen gesellschaftsrechtlichen Bestimmungen kei-ne Haftungsregelung nach Satz 1 enthalten.(3) Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beur-teilen zu können.§ 38 BSIG-E laut Regierungsentwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz [4]

Management und Wissen Risikomanagement Auf den Ernstfall vorbereiten Fazit Zu den wichtigen Schulungsinhalten zählt außer- dem, sich mit dem Ernstfall auseinanderzusetzen: Wie sind die Kommunikationswege? CISO und CEO sollten Notfallpläne gemeinsam abstimmen. Wenn es tatsächlich zum Cyberangriff kommt, muss der CEO unter hohem psychischem und zeitlichem Druck schwierigste Entschei- dungen treffen. Soll er Systeme vom Netz nehmen oder laufen lassen? In dieser Situation befand sich zum Beispiel der Geschäftsführer des amerikanischen Energieversorgers Colonial Pipeline [5]: Als die Office-IT des Unternehmens angegriffen wurde, entschied er, auch das Produktions- netzwerk abzuschalten – in Folge kam es an der Ostküste der USA zu einer Treibstoff-Unterversorgung. Wer bereits im Vorfeld verschiedene Szenarien durchgespielt hat, kann das mögliche Schadensausmaß besser/schneller abwägen und ist klar im Vorteil. Cybersecurity erfordert einen Dreiklang aus Tech- nik, Prozessen und Menschen. Alle drei Faktoren sind für die Cyberrisikobewertung und die Wahl der geeigneten Gegenmaßnahmen wichtig. Um ein Risiko zu mindern, kann es zum Beispiel nötig sein, neue Sicherheitstechno- logie einzusetzen oder auch Prozesse zu optimieren und Menschen besser zu schulen. Wenn CEOs die Zusammenhänge verstehen, kön- nen sie bessere Entscheidungen treffen. Neben theoretischen Schulungen ist dafür ein Red-Teaming (vgl. etwa [6, 7]) emp- fehlenswert, das bestehende Security-Maßnahmen einem Praxistest unterzieht: Indem Unternehmen den Ernstfall pro- ben, können sie am besten erkennen, wo sie Sicherheitslü- cken haben – und wo noch Schulungsbedarf besteht. ■ Richard Werner ist Security Advisor bei Trend Micro. 34 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2024#6 Literatur[1] Allianz SE, Allianz Risk Barometer: Cyber-Atta-cken als weltweites Top-Risiko 2024, Januar 2024, www.allianz.com/de/mediencenter/news/studien/240116-allianz-risk-barometer-cyber-attacken-als-weltweites-top-risiko-2024.html – intl. Studie auf Englisch: https://commercial.allianz.com/content/dam/onemarketing/commercial/commercial/reports/Allianz-Risk-Barome-ter-2024.pdf[2] Dennis-Kenji Kipker, Julian Zaudig, Schutzschild gegen Haftungsrisiken, Wie die Rolle des CISO unter NIS-2 neu gedacht werden muss, <kes> 2024#5, S. 32, www.kes-informationssicherheit.de/print/titelthema-cnapp-das-unbekannte-wesen/schutzschild-gegen-haf-tungsrisiken/ (<kes>+)[3] Thomas Stögmüller, Cybersicherheit und IT-Com-pliance im Unternehmen, Juristische Informationen für die Unternehmensleitung, 8. Auflage, Mai 2024, https://resources.trendmicro.com/juristischerLeitfaden_Auflage8_Mai_2024.html (Registrierung erforderlich)[4] Bundesministerium des Innern und für Heimat (BMI), Entwurf eines Gesetzes zur Umsetzung der NIS-2- Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesver-waltung (NIS-2-Umsetzungs- und Cybersicherheitsstär-kungsgesetz), Gesetzentwurf der Bundesregierung, Juli 2024, www.bmi.bund.de/SharedDocs/gesetzgebungs-verfahren/DE/Downloads/kabinettsfassung/CI1/nis2-regierungsentwurf.pdf__blob=publicationFile[5] Trend Micro, DarkSide und der Angriff auf Co-lonial Pipeline, Research, News, and Perspectives, Mai 2021, www.trendmicro.com/de_de/research/21/e/what-we-know-about-darkside-ransomware-and-the-us-pipe-line-attac.html[6] Nina Wagner, Vom Pentesting zum Red Teaming, Vortrag auf dem CSK Summit, Mai 2024, www.kes-in-formationssicherheit.de/webinare/vom-pentesting-zum-red-teaming/ (<kes>+)[7] Michael Brügge, Der ultimative Pentest, Red-Team-Assessments – „echte“ Angriffe für mehr Sicherheit, <kes> 2019#2, S. 13, www.kes-informationssicherheit.de/print/titelthema-sicherheits-kultur-aufbau-pflege-nutzentitelthema/der-ultimative-pentest/ (<kes>+)