Online-Schulungen IT-Sicherheit 2024 Themen Referenten Termine Informationssicherheit beim Einsatz von KI für IT, OT und im produzierenden Umfeld Alexander Jaber CISO und Consulting Exzellenz für Informationssicherheit Alexander Jaber Betriebssystem Windows härten und absichern – Eine Schritt für Schritt Anleitung KI-Abwehrmechanismen in ein Unternehmens-ISMS integrieren – Eine praxisorientierte Blaupause KI im Kontext der Cybersecurity Tobias Elsner Alexander Jaber Alexander Jaber Incident-Response-Maßnahmen – Auf Sicherheitsvorfälle optimal reagieren Tobias Elsner Thomas Wallutis Praxisfall: Herausforderungen und Bewältigung eines Cyberangriffes – vom Angriff bis zur Abwicklung KI-Blaupause – Standardszenarien für Angriff und Verteidigung Tobias Baader Jürgen Kreuz Einführung Notfallmanagement nach BSI-Standard 200-4 Tobias Baader IT-Sicherheit von M365 – Sicheres Design und sichere Konfiguration Das NIS2 Umsetzungsgesetz (NIS2UmsuCG): Was Unternehmen jetzt beachten müssen Physische Sicherheit für IT-Profis: Vom Konzept zur Umsetzung Quickwins für IT-Sicherheit: Mental-Tool-Box für Sofortmaßnahmen zur Risikoreduzierung Jeweils von 10:00 Uhr bis 14:30 Uhr I online Änderungen bei Terminen bleiben vorbehalten. Eric Soldierer Tobias Baader Dirk Seeburg Alexander Jaber Alexander Jaber 16.05.2024 11.07.2024 24.09.2024 23.05.2024 01.08.2024 11.09.2024 29.05.2024 13.11.2024 05.06.2024 09.07.2024 04.09.2024 06.06.2024 23.07.2024 03.09.2024 10.06.2024 16.12.2024 11.06.2024 12.09.2024 14.11.2024 12.06.2024 08.07.2024 01.10.2024 13.06.2024 10.09.2024 19.11.2024 19.06.2024 25.09.2024 04.11.2024 19.06.2024 17.09.2024 12.11.2024 18.07.2024 02.10.2024 11.11.2024 25.07.2024 19.09.2024 21.11.2024 Jetzt anmelden für nur 349,– € zzgl. MwSt.: www.datakontext.com/it-sicherheit-seminare 10 % Rabatt für + Abonnenten

20 CYBERBEDROHUNG DURCH DATENDIEBSTAHL AUS IT-DIAGNOSEDATEIEN LEARNINGS AUS DEM MICROSOFT CRASH-DUMP-HACK 3 6 EDITORIAL NEWS SCHWERPUNKT: SICHERHEIT IN UND AUS DER CLOUD 10 Welche Einstellungen und Dienste Unternehmen unbedingt nutzen sollten AZURE-VMS SICHER BETREIBEN CYBERSICHERHEIT 15 Deepfakes, Phishing und Social Engineering mithilfe von WormGPT und FraudGPT: WIE CYBER KRIMINELLE UND DER EINSATZ VON KI UNSERE SICHERHEIT BEDROHEN 18 Passwortsicherheit VIER WEGE WIE HACKER DURCH SOCIAL ENGINEERING DIE MFA UMGEHEN SECURITY MANAGEMENT 24 Die KI-Revolution: Auswirkungen erkennen, Unternehmen neu denken CHEFSACHE KÜNSTLICHE INTELLIGENZ 29 Herausforderungen und Lösungen für die Koordination zwischen IT-Fachstab und Krisenstab GRUNDLAGEN FÜR DAS KRISENMANAGEMENT 32 Überblick über die aktualisierte Fassung ISO/IEC 27001:2022 34 Industrielle Cybersicherheit WIE GEHT OT-SICHERHEIT OHNE EIGENE FACHKRÄFTE IN ZEITEN VON NIS-2? 38 Change-Management-Methoden unterstützen bei Cybersicherheit RAUS AUS DER OPFER-STARRE 40 Definition und Abgrenzung CYBERSICHERHEIT, IT-SICHERHEIT UND INFORMATIONSSICHERHEIT 20 Cyberbedrohung durch Datendiebstahl 44 Ansätze und Abhängigkeiten aus IT-Diagnosedateien LEARNINGS AUS DEM MICROSOFT CRASH- DUMP-HACK WETTRÜSTEN FÜR EINE SICHERE SOFTWARE-SUPPLY-CHAIN 4 IT-SICHERHEIT_2/2024

NEWS | UNTERNEHMEN COHESITY ERWEITERT KI-LÖSUNGEN DURCH PARTNERSCHAFT MIT NVIDIA Cohesity arbeitet jetzt mit NVIDIA zusammen. Die Partner wollen Unter- nehmen dabei unterstützen, das Potenzial von generativer KI und Daten sicher zu erschließen. Dabei kommen die kürzlich angekündigten NVIDIA NIM-Microservices zum Einsatz. Darüber hinaus wird NVIDIA AI Enterpri- se in die Cohesity Gaia Plattform integriert. Diese Plattform vereint meh- rere zum Patent angemeldete KI-Fähigkeiten und -Technologien und wird NVIDIA NIM und andere Technologien als gehärtete Multi-Cloud- Datenplattform der Enterprise-Klasse bereitstellen. Weiterhin beteiligt sich NVIDIA als Investor an Cohesity. Durch die Integration von Cohesity Gaia mit NVIDIA AI Enterprise erhalten Kunden direkten Zugang zu den neuesten KI-Funktionen für effizientere Prozesse. Außerdem erhalten sie mehr Einblick in Sicherheitsrisiken und können laut Hersteller den Wert ihrer Daten besser einschätzen. „Generative KI bedeutet einen Paradigmenwechsel in Sachen Compu- ting-Plattform, der Unternehmen ganz neue Potenziale für mehr Pro- duktivität eröffnet“, sagt Jensen Huang, Gründer und CEO von NVIDIA. „Wir arbeiten mit Cohesity zusammen, um es Unternehmen zu ermögli- chen, einen größeren Nutzen aus ihren Daten zu ziehen, ohne die Sicher- heit oder die Flexibilität der Verwaltung zu beeinträchtigen.“ n J.P. MORGAN INVESTIERT 36 MILLIONEN IN EYE SECURITY Eye Security will den deutschen Mittelstand vor Cybersicherheitsrisiken schützen. Dazu erhält das Start-up eine Finanzierung in Höhe von 36 Mil- lionen unter der Führung von J.P. Morgan Growth Equity Partners. Mit dem Geld will das Unternehmen die Marktstellung in Deutschland, in den Niederlanden und in Belgien ausbauen sowie die Expansion in weitere europäische Länder vorantreiben. Das Unternehmen Eye Security wurde 2020 von einem Team niederländischer Geheimdienst- und Sicherheits- experten mit der Mission gegründet, den europäischen Mittelstand vor Cyberattacken zu schützen. „Unsere Reise begann mit der Vision, die eskalie- renden Cyber-Risiken zu bekämpfen, mit denen Un- ternehmen täglich konfrontiert sind", sagt Job Kuij- pers, CEO von Eye Security. „Wir freuen uns, unsere Mission auf ganz Europa auszuweiten und unseren Kunden und strategischen Partnern die Gewissheit zu geben, dass sie mit einem führenden Unterneh- men im Bereich Cybersicherheit und Versicherung zusammenarbeiten.“ n Job Kuijpers, CEO von Eye Security (Bild: Eye Securtiy) DATEV KAUFT B4VALUE.NET Die DATEV übernimmt die Mehrheit an dem Netzwerkspezialisten b4value.net GmbH. Der Nürnberger IT-Dienstleister sieht in der Kompe- tenz und Technologie des Unternehmens die Möglichkeit, seine Aktivi- täten rund um die sichere Übermittlung von Geschäftsdokumenten und -daten um die technologische Basis eines spezialisierten Netzwerks zu erweitern. Die Übertragung der Geschäftsanteile erfolgt in zwei Schrit- 6 IT-SICHERHEIT_2/2024 ten. Im ersten Schritt übernimmt die DATEV Beteiligungen GmbH, eine hundertprozentige Tochtergesellschaft der DATEV eG, eine qualifizier- te Mehrheit von 75 Prozent mit wirtschaftlicher Wirkung zum 1. Januar 2024. Der Vertrag sieht vor, dass die DATEV Beteiligungen GmbH nach Ablauf von drei Jahren auch die restlichen 25 Prozent übernimmt und DATEV dann alleiniger Anteilseigner ist. Über den Kaufpreis wurde Still- schweigen vereinbart. Für DATEV ist die Beteiligung eine Investition in die zukünftigen Anfor- derungen digital transformierter Unternehmen. Insbesondere im Hin- blick auf die Entwicklung der E-Rechnungspflicht in Deutschland und die zu einem späteren Zeitpunkt zu erwartende Meldepflicht von steuer- relevanten Rechnungsdaten will der IT-Dienstleister von der Infrastruk- tur von b4value.net profitieren. Mit dem TRAFFIQX-Netzwerk betreibt b4value.net eine etablierte und bewährte Plattform für den sicheren elektronischen Dokumenten- und Datenaustausch im europäischen Raum. n KASPERSKY IST PARTNER VON UNITED INNOVATIONS Kaspersky ist seit dem Januar 2024 Unterstützer und Technologiepartner von United Innovations, einem Netzwerk zur Förderung des Innovations- standortes Europa der gemeinnützigen Gesellschaft zur Förderung des Forschungstransfers e.V. (GFFT). Im Fokus von United Innovations stehen die Bereiche Software, agile Unternehmensführung, Cybersicherheit und Industrie. Zu den gemeinsamen Aktivitäten gehören Fachvorträge von Kaspersky-Experten sowie die Veröffentlichung einer Sonderausgabe der Technologiezeitschrift Security Survey. Das internationale Netzwerk United Innovations verbindet Anwender, Technologieanbieter, Berater, Start-ups und Wissenschaftler, um Syner- gien zu ermöglichen, Qualität zu steigern und Kosten zu senken. Hierzu sollen das jeweilige Innovationspotenzial identifiziert, vorhandene Me- thoden und Technologien evaluiert sowie innovationsfördernde Prozesse etabliert werden. n HORNETSECURITY ÜBERNIMMT VADE Die Hornetsecurity Gruppe („Hornetsecurity“) gibt bekannt, dass Vade, ein französischer Anbieter im Bereich E-Mail-Sicherheit, mit täglich mehr als 2,5 Milliarden analysierten Nachrichten, der Gruppe beigetreten ist. Angesichts der rasant zunehmenden Nutzung von cloudbasierten Busi- nesslösungen und Kollaborationsdiensten in Kombination mit einer sich entwickelnden Cybersicherheitsumgebung und vielfältigen Cyberbedro- hungen benötigen Unternehmen jeder Größe flexible und anpassungsfä- hige Cloud-Lösungen, um sich vor Cyberangriffen jeder Art zu schützen. Durch den Zusammenschluss von Hornetsecurity und Vade profitieren Kunden und Partner in allen Märkten von einem umfangreicheren Pro- duktangebot, das Hornetsecurity als global führenden Anbieter cloud- basierter Cybersicherheitsdienste positioniert. n

NEWS | PRODUKTE ONTINUE OPTIMIERT INCIDENT- MANAGEMENT Ontinue, Anbieter von Managed Extended Detection and Response (MXDR), erweitert seine ION Managed Security Operations Services. Neue Automatisierungs- und Reporting-Funktionen ermöglichen eine schnel- lere und präzisere Erkennung von Vorfällen und erhöhen die Transparenz durch einheitliche Entscheidungslogiken. Zudem werden interne Teams entlastet und bestehende SecOps-Workflows gestärkt. Zu den neuen Funktionen gehört die intelligente Automatisierung mit ION Automate. Unternehmen können Einsatz- und Eskalationsregeln für das Incident-Management definieren, die neben dem Schweregrad des Vorfalls auch Faktoren wie Tageszeit, Geografie oder Asset-Typ berück- sichtigen. ION Automate führt auf Basis dieser Regeln vorautorisierte Aktionen aus. Vorfälle können auch automatisch an Teams zur Genehmi- gung weitergeleitet werden, bevor Maßnahmen ergriffen werden. Auf diese Weise werden manuelle Eingriffe reduziert und eine effiziente Be- arbeitung von Sicherheitsvorfällen gewährleistet. Die intelligente Auto- matisierung mit ION Automate wird im zweiten Quartal 2024 eingeführt. Darüber hinaus stehen laut Hersteller mit ION IQ nun auch KI-gestützte Berichte zur Verfügung. Für jeden gelösten Vorfall liefert ION automa- tisch eine Zusammenfassung des Vorfalls und abschließende Kommen- tare. Mit ION IQ, der firmeneigenen KI von Ontinue, wird diese Funktion erheblich erweitert. ION IQ durchsucht alle Notizen, betroffenen Assets und Aktivitäten für einen bestimmten Incident – einschließlich der au- tomatisierten Aktionen – und erstellt eine konsistente und leicht lesbare Zusammenfassung. n VENAFI FIREFLY NUN MIT SPIFFE- UNTERSTÜTZUNG Venafi stellt die Secure-Production-Identity-Framework-For-Everyone- (SPIFFE)-Unterstützng für Venafi Firefly vor. Dabei handelt es sich um den branchenweit ersten leichtgewichtigen Workload-Identitätsvermittler, der speziell für die Unterstützung moderner, hochgradig verteilter cloud- nativer Workloads entwickelt wurde. In Cloud-Architekturen gewinnt die Identität von Workloads zunehmend an Bedeutung. Moderne Anwen- dungen benötigen daher automatisierte Methoden, um schnell skalier- bare und diverse Workloads abzusichern, selbst wenn sie nur temporär existieren. Dank der Integration des Open-Source-Frameworks für Identi- tätsstandards, SPIFFE, ist Unternehmen nun eine nahtlose Sicherung und Verwaltung von Workload-Identitäten in dynamischen Entwicklungsum- gebungen wie Kubernetes möglich. Dadurch wird die Innovationsfähig- keit nicht beeinträchtigt. Im Gegensatz zu anderen „Secrets-Managern“ und Legacy-PKIs, die moderne, dezentrale Ansätze nicht unterstützen können, lassen sich Workloads in dynamischen Multi-Cloud-Umgebungen authentifizieren. Dabei werden kurzlebige, überprüfbare Identitäten von der Control Plane verwaltet, was eine einfache und zuverlässige gegenseitige Authenti- fizierung ermöglicht. Als Ergebnis können Sicherheits- und Plattform- teams die Identitäten von Workloads über alle Umgebungen hinweg ef- fektiv schützen und gleichzeitig die betriebliche Komplexität und Kosten erheblich reduzieren. n 8 IT-SICHERHEIT_2/2024 TENABLE ERWEITERT GENERATIVE KI-FUNKTIONEN Tenable kündigt Erweiterungen für ExposureAI an, die generativen KI-Funktionen und -Services innerhalb der Tenable One Exposure-Ma- nagement-Plattform. Die neuen Funktionen ermöglichen es Kunden, relevante Angriffspfade schnell zusammenzufassen, Fragen an einen KI-Assistenten zu stellen und konkrete Handlungsempfehlungen für fundierte Risikomanagement-Entscheidungen zu erhalten. Die auf gene- rativer KI basierenden Such- und Chat-Anwendungen der Plattform wer- den von Google Cloud unterstützt – einschließlich der Gemini-Modelle in Vertex AI. Diese neuen KI-Funktionen ermöglichen es praktisch jedem Mitglied des Sicherheitsteams, die komplexesten Angriffspfade über ver- schiedene Schwachstellen hinweg nachzuvollziehen und zu adressieren – und Angreifern einen Schritt vorauszubleiben. Mit der Attack Path Summary können Sicherheitsexperten nun über eine Single-Pane-of-Glass-Ansicht eine Zusammenfassung jedes Angriffs- pfads abrufen, die umfassende Beschreibungen des gesamten Pfads bie- tet und Hinweise darauf gibt, wie ein Angreifer einen offenen Angriffs- pfad innerhalb der Unternehmensumgebung ausnutzen könnte. Zudem können Benutzer nun mit dem KI-Assistenten von Tenable geziel- te Fragen zum zusammengefassten Angriffspfad sowie zu den einzelnen Knotenpunkten entlang des Pfads stellen. Fragen wie: Was kannst du mir zu diesem Asset sagen? Wie viele Domain-Admins haben Zugriff auf die- ses Asset? Welchen Patch kann ich einspielen, um die Schwachstelle in diesem Angriffspfad zu beheben? Wie viele Angriffspfade werden durch diesen Patch blockiert? n MICROSOFT COPILOT FOR SECURITY MIT NEUEN FUNKTIONEN Die generative KI-Lösung Microsoft Copilot for Security ist allgemein verfügbar. Sie hilft Sicherheits- und IT-Experten dabei, leicht überseh- bare Risiken zu erkennen, schneller zu handeln und die Teamkompetenz zu stärken. Weltweit sind vier Millionen Stellen im Bereich der Cybersicherheit of- fen. Copilot kann dazu beitragen, diese Lücke zu schließen, indem es Mitarbeitende im Bereich Sicherheit besser qualifiziert und die Hürde für Neueinsteiger in diesem Bereich senkt. Copilot liefert laut Microsoft indi- viduelle Erkenntnisse, die auf umfangreichen Daten und Bedrohungsin- formationen beruhen, einschließlich der 78 Billionen Sicherheitssignale, die Microsoft täglich verarbeitet. Die Neuigkeiten im Überblick: ƒ Copilot for Security pay-as-you-go: Microsoft führt ein Pay-as-you- go-Lizenzmodell ein, das Copilot for Security für eine größere Anzahl von Unternehmen zugänglich macht. ƒ Neue Funktionen von Copilot for Security: Mit der allgemeinen Ver- fügbarkeit werden unter anderem benutzerdefinierte Promptbooks, Wissensdatenbank-Integrationen oder auch Microsoft Entra Audit- Protokolle und Diagnoseprotokolle erhältlich.

SCHWERPUNKT: SICHERHEIT IN UND AUS DER CLOUD Welche Einstellungen und Dienste Unternehmen unbedingt nutzen sollten AZURE-VMS SICHER BETREIBEN Setzen Unternehmen virtuelle Maschinen (VMs) in Azure ein, stehen diese überall dort zur Verfügung, wo ihre Workloads benötigt werden. Neben dem Betrieb von Azure-VMs direkt in der Cloud ist es auch möglich, die VMs über Azure Stack HCI im lokalen Rechenzentrum zu betreiben. Parallel dazu können Unternehmen ihre lokalen Hyper-VMs hochverfügbar in die Cloud replizieren. Die Einsatzgebiete sind vielfältig und bieten zahlreiche Möglich- keiten, VMs sicher, performant, skalierbar und überall verfügbar zu betreiben. Eine wichtige Rolle spielen dabei natürlich die Sicherheits einstellungen. Microsoft bietet hier Funktionen direkt in den Einstellungen von Azure-VMs und parallel dazu zusätzliche Dienste, mit denen VMs hoch effizient abgesichert werden können. Einen Überblick geben wir in diesem Artikel. m o c . e b o d a k c o t s - o . l l l l e c i t n o m : 10 IT-SICHERHEIT_2/2024 d l i B

SCHWERPUNKT: SICHERHEIT IN UND AUS DER CLOUD Abb. 3: Anpassen der Portregeln und Einstellungen der NSG (Bild: Thomas Joos) Abb. 4: Azure hilft bei der Installation von Updates in VMs. (Bild: Thomas Joos) und Protokollen auf eine Azure-VM zugegriffen werden darf. Es ist sehr empfehlenswert, diese Regeln genau zu studieren und so fein wie mög- lich zu steuern. AUTOMATISIERUNG UND INSTALLATION VON UPDATES Die Installation von Sicherheitsupdates spielt bei Azure-VMs eine mindestens genauso wichti- ge Rolle wie bei lokal betriebenen Servern. Über den Menüpunkt „Aktionen -> Updates“ können die verfügbaren Updates angezeigt werden. Mit „Auf Updates prüfen“ scannt die Umgebung die Azure-VM auf fehlende Updates und zeigt diese im Fenster an. Ein Klick auf den Link „Einmaliges Update“ startet einen Assistenten, der bei der Aktualisierung der VM hilft. Dies ist bei mehreren VMs hilfreich, da so mehrere Server gleichzeitig im Fenster aktualisiert werden können (s. Abb. 4). Durch die Auswahl von „Jetzt aktivieren“ unter „Regelmäßige Überprüfung“ auf der Übersichts- seite der Updates kann die Überprüfung auf feh- lende Updates und deren Installation automati- siert werden. AZURE BASTION SCHÜTZT VMS VOR EXTERNEN ZU- GRIFFEN Sollen VMs von außen erreichbar sein, ist es möglich, ihnen eine externe und öffentlich zu- gängliche IP-Adresse zuzuweisen. Das ist jedoch beim Einsatz von mehreren VMs selten sinnvoll, da hier jede VM einen externen Zugriff erhält Besser ist an dieser Stelle die Verwendung von Azure Bastion. Über den Link „Verbinden -> Bastion Host“ kann festgelegt werden, dass der Zugriff auf die VM nicht direkt von außen erfolgt, 12 IT-SICHERHEIT_2/2024 linien“ Sicherheitseinstellungen automatisiert auf Objekte der Ressourcengruppe übertragen werden. Dies gilt natürlich auch für Azure-VMs. Nach einem Klick auf die vorhandenen Richtli- nien werden die verschiedenen Einstellungen angezeigt und durch einen Klick auf die Einstel- lungen weitere Informationen zu den Auswir- kungen dargestellt. Wenn die Policy einer Res- sourcengruppe und deren Objekten zugewiesen wurde, zeigt das Portal an dieser Stelle an, wel- che Objekte nicht Policy-konform sind, also die Einstellungen nicht umsetzen. FAZIT Es gibt viele Möglichkeiten, VMs in Azure besser abzusichern. Neben den in diesem Artikel vor- gestellten gibt es zahlreiche weitere, welche die Sicherheit deutlich erhöhen. Beispiele sind die Verwendung von Just-in-Time für administrati- ve Berechtigungen, das Arbeiten mit einge- schränkten Berechtigungen und dem Azure- Rollenmodell oder auch die Überwachung mit dem Azure Monitor. In jedem Fall ist es mehr als sinnvoll, sich ausführlich mit den verschiedenen Sicherheitsoptionen für VMs in Azure auseinan- derzusetzen. n sondern sich Benutzer oder externe Serverdiens- te zunächst mit dem Bastion Host verbinden, der die Anfragen weiterleitet. Insbesondere RDP- und SSH-Zugriffe können so wesentlich sicherer realisiert werden. Als voll- ständig verwalteter PaaS-Dienst (Platform as a Service) bietet Azure Bastion einen sicheren, zen- tralen Einstiegspunkt in die Azure-Umgebung, wodurch das Risiko von Brute-Force-Angriffen oder anderen Netzwerkbedrohungen reduziert wird. Durch die Nutzung von Azure Bastion ent- fällt die Konfiguration von Jump-Servern oder lokalen VPN-Lösungen, wodurch die Komplexi- tät der Netzwerkinfrastruktur verringert und die Verwaltung der Zugriffssicherheit vereinfacht wird. Der Dienst fügt sich nahtlos in bestehen- de Sicherheits- und Managementstrategien ein, indem er eine zusätzliche Sicherheits- und Kontrollschicht für den Fernzugriff auf virtuelle Maschinen hinzufügt. UNGENUTZTE VMS AUTOMATISCH BEENDEN Nicht jede Azure-VM wird ständig benötigt. In diesem Fall sollten die VMs heruntergefahren werden. Das spart Kosten und erhöht die Sicher- heit, da heruntergefahrene Server natürlich nicht angegriffen werden können. Die Optionen dazu finden sich unten unter „Vorgänge -> Automa- tisch herunterfahren“. Hier lässt sich steuern, zu welcher Uhrzeit eine VM heruntergefahren wer- den soll. Das System benachrichtigt die Nutzer vor dem Shutdown. RICHTLINIEN SCHÜTZEN VMS In der Verwaltung der Ressourcengruppe, in der sich die Azure-VM befindet, können über „Richt- THOMAS JOOS ist freier Journalist.

– ADVERTORIAL – So schützen Unternehmen ihren E-Mail- Verkehr vor Cyberattacken Die Retarus Secure Email Platform sichert E-Mail-Kommunikation wirkungsvoll gegen Spam, Zero-Day-Exploits oder Business E-Mail Compromise ab. Ob Spam, Malware oder Phishing durch Business E-Mail Compromise – die Angriffsmethoden von Cyberkri- minellen sind nicht nur vielfältig. Die Angreifer gehen immer gezielter vor und kombinieren häufig verschiedene Methoden miteinander. Dadurch lassen sich die Angriffe mit herkömmlichen E-Mail-Sicherheitslösungen wesentlich schwieriger erkennen. Umso wichtiger ist es, dass Unternehmen bei ihrer Abwehrstrategie einen ganzheitlichen Ansatz verfolgen. Retarus bietet hierfür eine cloud- basierte Komplettlösung für Business-E-Mail aus einer Hand, mit der Unternehmen für alle Eventualitäten gerüstet sind. Social Engineering CEO Fraud ist mittlerweile eine der häufigsten Formen des Cyberbetrugs. Ziel sind Unternehmen jeder Größe. Mit Retarus CxO Fraud Detection erkennen Unternehmen gefälschte Absenderadressen, die für solche An- griffe verwendet werden, und entlarven Betrugsversuche. Umfangreiche Algorithmen erkennen dabei „From-Spoofing“ und „Domain-Spoofing“ und identifizieren zuverlässig gefälschte Absenderadressen. Verdächtige Nachrichten werden nicht sofort zugestellt, sondern zunächst in einer Quarantäne isoliert. Zero-Day-Attacken Einen hundertprozentigen Schutz vor Angriffen gibt es nie, denn wenn bisher unbekannte Bedrohungen wie Ransomware zum ersten Mal auftauchen, werden sie oft nicht sofort herausgefiltert und können sich unbemerkt im Unternehmensnetzwerk verbreiten. Retarus bietet für solche Fälle unter anderem ein effektives Sandboxing an: Dabei werden Anhänge in einer virtuellen, sicheren Testumgebung ausgeführt und auf ungewöhnliches Verhalten überprüft, bevor die E-Mail zugestellt wird. Als infiziert eingestufte E-Mails werden je nach Konfiguration automatisch gelöscht oder in die Quarantäne verschoben. Zusätzlichen Schutz bietet 14 IT-SICHERHEIT_2/2024 die patentierte Retarus Patient Zero Detection, die nicht nur Malware und Phishing-Links in bereits zugestellten E-Mails erkennt, sondern die be- troffenen Nachrichten auch gleich automatisch verschiebt oder löscht. Angriffswellen aus bestimmten Ländern Aus Compliance-Gründen – wie aufgrund aktueller politischer Ereignisse – kann es notwendig sein, alle Nachrichten aus bestimmten Regionen oder Ländern präventiv und unabhängig vom Inhalt zu isolieren. Mit der Retarus Predelivery Logic können IT-Verantwortliche den gesamten E-Mail-Verkehr auf Basis selbst definierter Regelwerke analysieren und gegebenenfalls blockieren, bevor er die Unternehmensinfrastruktur erreicht. So ist es beispielsweise möglich, E-Mails gezielt auf Basis ihres Herkunftslands (GeoIP) zu bearbeiten. . m o c . e b o d a k c o t s - n o g a r 2 : d l i B Trotz Cyberangriff weiterhin per E-Mail erreichbar Für den Fall, dass die IT-Infrastruktur dennoch einmal ausfällt, bietet Retarus eine Lösung für E-Mail Continuity, mit der die Mitarbeiter jeder- zeit unterbrechungsfrei weiter kommunizieren können. Tritt das Krisen- szenario ein, können die E-Mails über einen externen, vom primären E-Mail-System unabhängigen sicheren Webmail-Service geleitet werden. Dieser steht als Failover-Dienst mit provisionierten Postfächern perma- nent im Hintergrund bereit. So sind die Mitarbeiter auch im Krisenfall über ihre bekannten Adressen erreichbar und haben Zugriff auf den bis- herigen E-Mail-Verkehr und gespeicherte Kontaktdaten. n www.retarus.de

CYBERSICHERHEIT | KI P hishing, der Versuch über digita- le Täuschungsmanöver, bei de- nen Angreifer durch gefälschte E-Mails, Nachrichten oder Websites versuchen, an persönliche Daten zu gelangen, ist keine neue Bedrohung. Doch unter dem Einfluss fortschrittlicher KI-Technologien erfahren diese Angriffe eine beunruhigende Evolution. Cyber- kriminelle setzen auf KI, um ihre Methoden zu verfeinern und die Sicherheitsbarrieren von Einzelpersonen sowie Unternehmen mit er- schreckender Präzision zu durchbrechen. Die Verwendung von KI steigert die Effektivi- tät dieser Angriffe enorm. Sprachmodelle und maschinelles Lernen ermöglichen es Angreifern, täuschend echte Inhalte zu kreieren, die indivi- duell auf potenzielle Opfer zugeschnitten sind. Von der perfekten Nachahmung des Schreibstils vertrauter Kontakte bis hin zur personalisierten Ansprache – wofür Menschen früher Wochen und Monate brauchten, kann KI auf Knopfdruck glaubwürdige Inhalte erzeugen, die passgenau auf Zielpersonen zugeschnitten sind. Und nicht nur das: KI kann auch täuschend echt wirkende Phishing-Websites erstellen. Fortge- schrittene Algorithmen analysieren echte Web- seiten und lernen, deren Design und Funktiona- lität zu kopieren. Das Ergebnis: Phishing-Seiten, die selbst Experten täuschen können. Diese werden dann als Köder in Phishing-Kampagnen verwendet, um an kritische Daten wie Login- Informationen oder Finanzdetails zu gelangen. DIE ROLLE VON LARGE LANGUAGE MODELS Eine besonders beunruhigende Entwicklung ist der Einsatz von Large Language Models (LLMs) in der Cyberkriminalität. Dank ihrer multimo- dalen Fähigkeiten können diese Modelle nicht nur Text generieren, sondern auch coden und aus einfachen Skizzen oder Mockups voll funk- tionsfähige Webseiten erstellen. Ein Screens- hot der Login-Seite einer Bank reicht aus, und das LLM kann eine täuschend echte Kopie für Phishing-Zwecke erstellen. Diese Fähigkeit, mit minimalen Vorgaben überzeugende Fälschun- gen zu erschaffen, öffnet Cyberkriminellen neue Wege, ihre Fallen noch raffinierter und schwerer erkennbar zu gestalten. Es ist ein Wettrüsten zwischen Sicherheitsex- perten und Cyberkriminellen, bei dem die KI 16 IT-SICHERHEIT_2/2024 eine zentrale Rolle spielt – sowohl als Werkzeug für innovative Sicherheitslösungen als auch als Waffe in den Händen von Angreifern. Die digi- tale Welt steht vor der Herausforderung, sich gegen diese neuen, intelligenten Bedrohungen zu wappnen. KI: DER GAMECHANGER IM SOCIAL ENGINEERING Social Engineering, die psychologische Mani- pulation von Menschen, um sie zur Preisgabe vertraulicher Informationen zu bewegen, ist keine neue Praxis. Doch generative KI revolutio- niert diese Gleichung wie keine Technologie zu- vor. Cyberkriminelle verfeinern ihre Techniken, indem sie die Tiefen menschlicher Psychologie mit der Rechenkraft der KI verbinden. Im Kern geht es beim Social Engineering um die Ausnut- zung menschlicher Schwächen. Es beruht auf Täuschung, Vertrauensmissbrauch und Manipu- lation, um Menschen dazu zu bringen, sensible Informationen preiszugeben oder Aktionen auszuführen. Die wahre Stärke KI-gestützter Social-Enginee- ring-Angriffe liegt in ihrer Fähigkeit, mensch- liche Verhaltensmuster präzise zu analysie- ren, zu verstehen und nachzuahmen. Durch die Evaluierung von Daten, die aus öffentli- chen Quellen wie Social-Media-Profilen und Online-Aktivitäten gewonnen werden, können KI-Systeme hochpersonalisierte Angriffsstra- tegien entwickeln. Diese Erkenntnisse werden genutzt, um gezielte Angriffe zu orchestrieren, die genau auf die psychologischen Schwach- stellen der Zielpersonen zugeschnitten sind. Die Fähigkeit der KI, komplexe Verhaltensmus- ter zu entschlüsseln, ermöglicht es Angreifern, ihre Strategien so zu kalibrieren, dass sie maxi- malen Schaden anrichten. Diese Personalisierung erreicht einen neuen Höhepunkt mit der Integration generativer KI- Technologien. Deepfakes, also mithilfe von KI generierte oder manipulierte Bilder, Ton- oder Videodateien, in denen reale Menschen Dinge sagen und tun, die sie nie getan haben, sind das beste Beispiel dafür. Cyberkriminelle können damit täuschend echte Audio- oder Videoinhalte erzeugen, die vertraute Personen nachahmen, um ihre Opfer so zu manipulieren, dass sie ver- trauliche Informationen preisgeben oder Hand- lungen ausführen, die sie unter normalen Um- ständen niemals in Erwägung ziehen würden. REALE ANGRIFFE KI-Angriffe sind keine Zukunftsmusik, sondern reale und alltägliche Herausforderungen. Be- reits im Frühjahr 2023 fanden Forscher zum Bei- spiel das „Fox8-Netzwerk“ auf „X“, bestehend aus mindestens 1.140 automatisiert betriebenen Accounts. Ihre Nachrichten waren nachweislich mit einem populären LLM designt und sollten andere Nutzer auf speziell gebaute Webseiten umleiten. Dort lauerten gleich mehrere Gefah- ren: Malware, die ihre Rechner infizierte und Crypto-Wallets leerte, oder aber Betrugsma- schen mit Kryptowährung. Kurze Zeit später fanden Analysten in den dunk- leren Bereichen des Internets speziell trainierte KIs, wie „WormGPT“ oder „FraudGPT“, die eigens dafür designt, trainiert und verkauft wurden, um Phishing- und Betrugs-E-Mails in verschie- denen Sprachen zu verfassen. Dafür wollten die Anbieter gerade einmal 60 Euro im Monat. Ein anderes LLM, genannt „DarkBert“, soll angeblich ausschließlich mit kriminellen Daten aus dem Darknet trainiert worden sein. Damit wäre er der ultimative Ratgeber, Coach und eine potente Waffe für entschlossene Kriminelle. Und was für textbasierte Phishing-E-Mails gilt, gilt natürlich auch für Malware: LLMs, die coden können, können auch speziell zum Erstellen von Angriffssoftware benutzt und trainiert werden. Erst im Februar 2024 sperrte ein bekannter KI- Anbieter mehreren Klienten die Nutzung ihrer Accounts, weil sie offenbar zu geheimdienstlich organisierten Hackern gehörten und sich Teile ihrer Angriffssoftware mithilfe von LLMs zu- sammenbauten. Noch viel größere Wellen schlugen Deepfake- Attacken. Mit diesen KI-generierten Stimmen oder Videos werden aber nicht nur Politiker, Militärs, Journalisten und Wahlen angegriffen. Cyberkriminelle und Betrüger klonen zum Bei- spiel massenhaft Stimmen, um sie in persona- lisierten WhatsApp-Nachrichten an Verwandte zu schicken. Eingebettet in Unfall- oder Verhaf- tungsszenarien sollen Angehörige so dazu ge- bracht werden, Geld zu überweisen. Welche Dimensionen Deepfake-Angriffe anneh- men können, zeigten Cyberkriminelle in Hong- kong im Januar 2024. Mithilfe von Phishing- mails und elaboriertem KI-gepowerten Social Engineering schafften sie es, die Finanzabtei-

CYBERSICHERHEIT | MFA Passwortsicherheit VIER WEGE WIE HACKER DURCH SOCIAL ENGINEERING DIE MFA UMGEHEN In Bezug auf die Zugangssicherheit ist eine Empfehlung besonders wichtig: die Multi-Faktor- Authentifizierung (MFA). Da Passwörter allein oft von Hackern geknackt werden können, bietet MFA einen unverzichtbaren Schutz. Doch auch diese Methode ist nicht hundertprozen- tig sicher. Angreifer finden oft Wege, sie zu umgehen – und das passiert häufiger, als viele denken. Das Stichwort heißt „Social Engineering“. Wer hier die wichtigsten Techniken kennt, ist deutlich weniger anfällig. Wenn ein Passwort kom- promittiert wird, stehen Hackern mehrere Mög- lichkeiten zur Verfügung, um den zusätzlichen Schutz von MFA auszuhebeln. Bevor wir auf vier Social-Engineering-Taktiken eingehen, die Ha- cker erfolgreich einsetzen, um MFA zu umge- hen, hier eine Grundsatzempfehlung: Auch mit MFA bleibt ein starkes Passwort ein wichtiger Teil einer mehrschichtigen Verteidigung. 1. ADVERSARY-IN-THE- MIDDLE-(AITM)-ANGRIFFE Bei AITM-Angriffen werden Benutzer getäuscht, sodass sie glauben, sie würden sich bei einem echten Netzwerk, einer echten Anwendung oder einer echten Website anmelden. In Wirklichkeit 18 IT-SICHERHEIT_2/2024 geben sie jedoch ihre Daten an einen betrüge- rischen Doppelgänger weiter. Auf diese Weise können Hacker Passwörter abfangen und Sicher- heitsmaßnahmen, einschließlich MFA-Anfra- gen, manipulieren. Beispielsweise könnte eine Spear-Phishing-E-Mail im Posteingang eines Mitarbeiters auftauchen, die sich als vertrauens- würdige Quelle ausgibt. Wenn der Mitarbeiter auf den Link in der E-Mail klickt, wird er auf eine gefälschte Website weitergeleitet, auf der die Hacker seine Anmeldedaten sammeln. Obwohl MFA diese Angriffe idealerweise ver- hindern sollte, indem sie einen zusätzlichen Au- thentifizierungsfaktor erfordert, können Hacker eine Technik namens „2FA pass-on“ anwenden. Nachdem das Opfer seine Anmeldedaten auf der gefälschten Website eingegeben hat, gibt der Angreifer dieselben Daten sofort auf der echten Website ein. Dadurch wird eine legitime MFA- Anfrage ausgelöst, die das Opfer vorhersehbar und bereitwillig akzeptiert, wodurch es dem An- greifer unwissentlich vollen Zugriff gewährt. Das ist eine häufige Taktik von Bedrohungs- gruppen wie Storm-1167, die dafür bekannt sind, gefälschte Microsoft-Authentifizierungsseiten zu erstellen, um Anmeldedaten zu sammeln. Sie fertigen auch eine zweite Phishing-Seite an, die den MFA-Schritt des Microsoft-Anmel- devorgangs imitiert und das Opfer auffordert, seinen MFA-Code einzugeben und den Angrei- fern Zugriff zu gewähren. Von dort aus erhalten sie Zugriff auf ein legitimes E-Mail-Konto und können es als Plattform für einen mehrstufigen Phishing-Angriff nutzen.

SECURITY MANAGEMENT | IT-DIAGNOSEDATEN Cyberbedrohung durch Datendiebstahl aus IT-Diagnosedateien LEARNINGS AUS DEM MICROSOFT CRASH- DUMP-HACK 20 IT-SICHERHEIT_2/2024 Wenn in einem der sichersten IT-Support-Center der internationalen Software-industrie ein Master-Key gezielt aus einem Crash-Dump gestohlen wird, dann zeigt dies zweierlei: Zum einen nutzen Hacker IT-Diagnosedateien als „Fundgrube“ für sicherheitskritische und sensible Informationen, und zum anderen sind diese Inhalte in keinem IT-Betrieb oder IT-Support dieser Welt wirklich sicher.

SECURITY MANAGEMENT | IT-DIAGNOSEDATEN in Bezug auf die Verfügbarkeit, Authentizität, In- tegrität und Vertraulichkeit von Daten aufrecht- zuerhalten, unabhängig davon, ob diese Daten gespeichert sind oder gerade verwendet oder übermittelt werden.“ In Absatz 3 werden die IKT- Lösungen hierfür benannt: „Um die in Absatz 2 genannten Ziele zu erreichen, greifen Finanzun- ternehmen auf IKT-Lösungen und -Prozesse zu- rück, die gemäß Artikel 4 angemessen sind“. ANONYMISIERUNG NACH „STAND DER TECHNIK“ Was bedeuten diese Regulierungen für das Risi- komanagement von sicherheitsgefährdeten IT- Diagnosedaten? Die sensiblen Daten in Dumps, Logs und Traces müssen geschützt werden! Eine „angemessene“ technische Maßnahme nach „Stand der Technik“ ist die automatisierte und lokale Anonymisierung. Sie verhindert den Zugriff auf die sicherheitskritischen Daten, wie etwa den Master Key bei Microsoft. Auch schützt sie personenbezogene, datenschutzrelevante Informationen. Durch eine neue Generation von Anonymisie- rungsalgorithmen kann man beide Datengat- tungen in einer Weise neutralisieren, dass sie weder erkennbar noch verwendbar sind. Die IT-Diagnosedateien behalten jedoch ihren tech- nischen Wert für die Analyse von Problemen und die Fehlerbehebung. VERSAND PERSONEN- BEZOGENER DATEN IN DUMPS, LOGS UND TRACES Aber nicht nur sicherheitsrelevante Daten bieten eine Angriffsfläche in Dumps, Logs und Traces. Eine zweite Kategorie sensibler Daten bereitet ebenfalls Rechts- und Datensicherheitsproble- me: die personenbezogenen Daten. Namen und alle Arten von Informationen über Mitarbeiter, Kunden und Kontakte, die in den IT-Systemen von Firmen, Behörden und Institutionen ver- arbeitet werden, können in IT-Diagnosedaten gespeichert sein. Bei Dumps kann es sich um ein riesiges Reservoir an datenschutzrelevanten Daten handeln, die sich im Moment des System- absturzes zufälligerweise im Speicher befinden und in die oft gigabytegroßen Dateien eingela- gert werden. Mehrere zehntausend Datensätze sind keine Ausnahme – in einem einzigen Dump! Wenn diese geheim zu haltenden und zu schüt- zenden personenbezogenen Daten per Datei- Upload auf die Reise zu den Software-Sup- 22 IT-SICHERHEIT_2/2024 portzentren in Europa, USA, China oder Indien geschickt werden, liegt ein Verstoß gegen die DSGVO vor. Denn diese Datenüberschüsse dür- fen mangels Zweckbindung und Notwendigkeit nicht an Dritte weitergegeben werden und sind damit rechtswidrig [8]. Die hohen Bußgelder für Unternehmen bei Verstößen gegen die DSGVO sind allgemein bekannt. Im Übrigen deckt der zwischen der EU und den USA am 10. Juli 2023 vereinbarte Angemessen- heitsbeschluss, als Antwort auf Schrems-II, nicht die nachgelagerte Weitergabe der Daten aus den USA nach Indien und China ab, wenn dort die Labore und Entwickler sitzen. Ferner gilt das Ab- kommen nur für Hersteller, die hier gelistet sind: www.dataprivacyframework.gov/list. POTENZIAL FÜR MASSENKLAGEN Beginnend mit dem Urteil des Europäischen Ge- richtshofs (EuGH) am 4. Mai 2023 [9] zeichnet sich für Unternehmen oder deren Auftragsverarbei- ter eine weitere Bedrohung ab: Schadensersatz- ansprüche von Personen, denen ein immate- rieller Schaden durch einen Verstoß gegen die DSGVO entstanden ist, gemäß Art. 82 DSGVO. Auf der Grundlage mehrerer Urteile des EuGH [10] kann die Situation und das rechtliche Risiko wie folgt charakterisiert werden: Immaterielle Schäden ohne Erheblichkeitsschwelle, das heißt auch Bagatellschäden, wie etwa die bloße Angst vor Missbrauch, können in einer Klage vorge- tragen werden und haben vor Gericht Aussicht auf Erfolg. Diese zivilrechtlichen Haftungsrisiken können kumulieren, wenn sich viele Personen zu Massenklagen zusammenschließen und Ju- risten das kommerziell nutzen [11]. Eine wichtige Rolle spielt dabei, inwieweit das Unternehmen nachweisen kann, dass es Sicherheitsmaßnah- men zum Schutz der Daten getroffen hat. Das Unternehmen hätte sozusagen die Beweislast. Im Fall von IT-Diagnosedaten würde die Nach- weispflicht durch eine dokumentierte Anonymi- sierung potenziell erfüllt werden. CYBERVERSICHERUNG UND IT-REVISION IN DER RISIKOPRÜFUNG Wer bereitet sich bereits auf die „heraufzie- hende Gewitterfront“ vor? Es sind die Cyber-, IT-Haftpflicht und D&O-Versicherungen. Sie haben das breite Gefahren- und Schadenspo- tenzial bereits erkannt. Es findet Niederschlag in den Obliegenheiten der Risikoprüfung und der Einordnung von Anonymisierung als „Stand der Technik“. Aber auch die IT-Revisoren und Audi- toren handeln bereits proaktiv und nehmen die Risiken rund um IT-Diagnosedaten in Form spe- zieller Prüfkataloge in das Audit des IT-Betriebs auf. n Literatur [1] Knop, D.: Gestohlener Microsoft-Schlüssel stammte aus einem Crash-Dump, 2023, heise online; www.heise.de/news/ Gestohlener-Microsoft-Schluessel-stammte-aus-einem-Crash- Dump-9297240.html; Zugriff am 17.03.2023. [2] Steevens, P.: 60.000 geklaute Regierungsmails: Erste Zahlen nach Microsofts Cloud-Key-Debakel, 2023, heise online; https:// www.heise.de/news/60-000-geklaute-Regierungsmails-Erste- Zahlen-nach-Microsofts-Cloud-Key-Debakel-9321044.html?wt_ mc=nl.%20red.security.security-nl.2023-10-02.link.link; Zugriff am 21.03.2024. [3] Common Weakness Enumeration: CWE-200: Exposure of sensitive Information to an Unauthorized Actor, 2023; https://cwe.mitre.org/data/definitions/200.html; Zugriff am 21.03.2024. [4] Common Weakness Enumeration: CWE-528: Exposure of Core Dump File to an Unauthorized Control Sphere, 2024; https:// cwe.mitre.org/data/definitions/200.html; Zugriff am 21.03.2024. [5] Common Weakness Enumeration: CWE Top 25 Most Dangerous Software Weaknesses, 2023; https://cwe.mitre.org/top25; Zugriff am 21.03.2024. [6] vgl. NIS-2-Richtlinie (Richtlinie 2022/2555), Artikel 21, Absatz 1, https://eur-lex.europa.eu/legal-content/DE/ TXT/?uri=CELEX%3A32022L2555 [7] vgl. EU-Verordnung Digital Operational Resilience Act (DORA) (Verordnung (EU) 2022/2554), Artikel 3, Absatz 1, https://eur-lex. europa.eu/eli/reg/2022/2554/oj [8] vgl. Datenschutz-Grundverordnung, (Verordnung (EU) 2016/679), Grundsätze für die Verarbeitung personenbezogener Daten, Artikel 5, Absatz 2 und 3 [9] vgl. EuGH, Urteil vom 04.05.2023 – C-300/21, GRUR-RS 2023, 8972 [10] vgl. EuGH, Urteil vom 21.12.2023 – C-667/21., EuGH, Urteil vom 14.12.2023 – C-340/21, BeckRS, 2023, 35786, EuGH, Urteil vom 14.12.2023 – C-456/22, EuGH Urt. v. 14.12.2023 – C-456/22, GRUR-RS 2023, 35767 [11] Vgl. Malek, Paul, LL.M., Rechtsanwalt, Clyde & Co Europe LLP, Spittka, Jan: Datenschutzrechtliche Haftungsrisiken nach Cyber-Vorfällen im Spiegel aktueller EuGH-Rechtsprechung, in: VersicherungsPraxis 2/2024, S. 3–6. DR. STEPHEN FEDTKE ist Wirtschaftsingenieur und CTO von ENTERPRISE-IT-SECURITY.COM.

SECURITY MANAGEMENT | KÜNSTLICHE INTELLIGENZ Auswirkungen erkennen, Unternehmen neu denken Die KI-Revolution: CHEFSACHE KÜNSTLICHE INTELLIGENZ 24 IT-SICHERHEIT_2/2024

SECURITY MANAGEMENT | KÜNSTLICHE INTELLIGENZ Wohlstand beschert. Aber es trägt nicht mehr [4]. Die typische pyramidenförmige Aufbauorgani- sation eines Unternehmens kann den heutigen Anforderungen nicht mehr gerecht werden [5]. Das wirft ganz grundsätzliche und so noch nie dagewesene Fragen auf, beispielsweise zur Ge- staltung von Führung und Zusammenarbeit. 4. Der Kampf zwischen Ideologie und Empi- rie [6]: Mit unserer Art zu wirtschaften zerstören wir den einzigen Planeten, den wir zum Leben haben und der zufällig die Rahmenbedingungen aufweist, die menschliches Leben überhaupt möglich machen (Empirie). Und dann feiern wir noch diejenigen, denen es am effizientesten ge- lingt, diesen Planeten zu plündern. Wenige ge- winnen, wir alle verlieren! Doch ökologische As- pekte spielen in unserer gewohnten Denkweise des Neoliberalismus bisher keine Rolle (Ideolo- gie). Und selbst wenn, werden die Vorgaben zum Schutz der Umwelt oft als hinderlich und als läs- tiger Kostenfaktor angesehen, der lediglich die Wettbewerbsfähigkeit verschlechtert. DAS PROBLEM IM UMGANG MIT DEN GENANNTEN HE RAUSFORDERUNGEN Gerade die beiden letztgenannten Herausforde- rungen geraten in der operativen Hektik – eben- so wie in der Diskussion um den Einsatz von KI und Cybersicherheit – fatalerweise schnell aus dem Blick. Denn wie sieht die reflexartige Reakti- on aus, wenn die Unternehmensführung, wie wir sie kennen, so deutlich an ihre Grenzen stößt? Die Entscheider versuchen, die vermeintliche Kontrolle zurückzugewinnen und gleichzeitig – durch mehr vom Gleichen – bessere Ergebnis- se zu erzielen. Mehr Umsatzwachstum, weniger Kosten – mehr Gewinn. Das ist jedenfalls die Hoffnung der Wirtschaft. Dazu mehr digitalisie- ren, mehr KI. Damit steht das Rezept für wieder steigende Wettbewerbsfähigkeit, und wir holen auf gegenüber den USA und China. So lautet das bekannte Narrativ. Nur leider greift das zu kurz und obendrein stimmt es nicht mehr. Denn um es mit Albert Einstein zu sagen: „Probleme kann man niemals mit derselben Denkweise lösen, durch die sie entstanden sind.“ Genau aus diesem Grund müssen wir Wirtschaft und Unternehmensführung im Zusammenhang mit KI fundamental um- und radikal neu denken. Es genügt nicht, die Verantwortung für künstli- che Intelligenz lediglich in die Hände der IT- und 26 IT-SICHERHEIT_2/2024 Sicherheitsabteilungen zu legen. Vielmehr erfor- dert dieses Thema das engagierte Mitwirken der gesamten Unternehmensführung. WIE ERFINDEN UNTER- NEHMEN SICH NEU? Vor diesem Hintergrund ist die Frage nach dem Einsatz und der Rolle von KI eine sehr grundsätz- liche und potenziell weitaus folgenreichere als jede bisherige Einführung einer neuen Software. Wir sprechen hier von der industriellen Revo- lution x.0, die alles bisher Dagewesene weit in den Schatten stellen kann. Wir stehen am Scheideweg: Wird KI die oben genannten Entwicklungen und damit auch die Zerstörung unserer Existenzgrundlage noch weiter beschleunigen? Oder kann sie uns helfen, eine nachhaltig lebenswerte Welt zu schaffen? Dieser Mammutaufgabe müssen sich Unter- nehmen und ihre Führungsriege im Zuge der KI-Frage stellen, gerade weil die Antworten mitunter weit über die eigene Firma hinausrei- chen und eine ethische sowie gesellschaftliche Dimension beinhalten. Umso wichtiger ist es, dass wir uns mit drei zentralen Fragen auseinandersetzen, die KI vor diesem Hintergrund aufwirft: ƒ Wie gehen Entscheider mit diesen vier zentralen Herausforderungen um (Kontroll- und Kohärenzverlust, Kapitalismus versus Ökologie, Anachronismus des hierarchi- schen Ordnungsprinzips)? ƒ Wie stellen Unternehmen sich Unterneh- men noch besser und sicherer für die Zu- kunft auf? ƒ Was müssen Unternehmen dann tun? AUS DER NOT EINE TUGEND MACHEN „Wie gehen Entscheider mit den vier zentralen Herausforderungen um?“ Beginnen wir mit der ersten Frage: Einige Unter- nehmen und Branchen folgen bereits mit hoher Geschwindigkeit dem alten Narrativ und sind gerade dabei, mithilfe von KI Fakten zu schaffen, die sich möglicherweise nicht mehr rückgängig machen lassen. Mit dem vorrangigen Ziel der Wettbewerbsfähigkeit hoffen sie darauf, mit- tels KI die heutige Komplexität beherrschbar zu machen. Allen voran die Automobilindustrie mit ihren Projekten zum autonomen Fahren oder zu KI-Laboren [7] sowie die Rüstungsindustrie, zum Beispiel mit KI-gesteuerten Drohnen und Kampf- flugzeugen. Doch Vorsicht vor den Geistern, die wir da rufen: Starke KI ist nicht kontrollierbar [8]. Damit wird unsere Welt noch komplexer und auf absehbare Zeit völlig unbeherrschbar – eine schier unlösbare Aufgabe, nicht nur für CIOs, CISOs, CTOs. Hinzu kommt, dass Überlegungen zu ethischen und gesellschaftlichen Dimensionen oft nicht angemessen berücksichtigt werden: Sie werden unter vermeintlichen Zeit- und Wettbewerbs- druck schnell zur Nebensache oder gar ganz dem vermeintlichen Fortschritt geopfert. Diese Unternehmen experimentieren bereits mit dem WIE, ohne dass das WAS hinreichend geklärt ist. Die vorherrschende Denkweise birgt noch ein weiteres Risiko: Wenn KI nur als eine Art Software betrachtet wird, die Mitarbeitende teilweise oder gar ganz ersetzen und somit Effizienzgewinne bringen kann, scheint die Implementierung ledig- lich kompliziert. Unter dieser Prämisse wirkt es ausreichend, die Verantwortung für die Imple- Abbildung 2: Wirtschaft und Unternehmensführung am Scheideweg (Bild: DALL·E)

SECURITY MANAGEMENT | KÜNSTLICHE INTELLIGENZ Stattdessen sollte der Mensch mit seiner Ent- wicklung im Mittelpunkt stehen (siehe Abbil- dung 3), der in Kooperation mit anderen Men- schen und Unternehmen (Netzwerk) danach strebt, den Unternehmenszweck, der wiederum eng mit seiner eigenen Motivation verknüpft ist, mit Leben zu füllen. Prozesse, Strukturen, Spielregeln (gegebenenfalls auch KI) unter- stützen das persönliche Wachstum ebenso wie selbstorganisierte Teams und kooperatives Ver- halten zugunsten des Unternehmenszwecks. Kooperation, Co-Creation und das Gefühl von Verbundenheit prägen den Alltag. Es geht da- rum, gemeinsam den Zweck des Unternehmens erfolgreich zu leben; nicht darum zu gewinnen. Um das zu erreichen, empfehlen wir einen ganz- heitlichen Transformationsansatz [15], der neben klassischen Interventionen im Bereich „Struk- turen & Prozesse“ (zum Beispiel KI-Einführung) auch die Bereiche „Mindset“ und „Verhalten“ be- inhaltet. Denn nur aus einem fein abgestimmten Zusammenspiel aller drei Bereiche ergibt sich im Laufe der evolutionären Weiterentwicklung im vierten Bereich eine neue Unternehmenskultur, die sich vom übrigen Wettbewerb abhebt und die Spielregeln unserer Wirtschaft neu definiert. „Was müssen Unternehmen dann tun?“ Es gibt nicht die eine Antwort auf diese Frage. Stattdessen gibt es nur eine jeweils individu- elle Antwort. Unserer Erfahrung nach können unterschiedliche Ansätze und Konzepte aus praktischer Philosophie, positiver Psychologie, Neurowissenschaften, Soziologie sowie Anthro- pologie/Evolution eine solche Entwicklung hin zu der skizzierten Vision sehr gut unterstützen. Da diese Ansätze den Rahmen hier weit über- steigen würden, wollen wir zu guter Letzt mithilfe eines chinesischen Sprichwortes noch etwas Mut machen: „Auch die längste Reise be- ginnt mit dem ersten Schritt, in diesem Fall im Kopf. Denn, was wir uns vorstellen können, kön- nen wir auch erreichen.“ n Literatur [1] Kai Michel, Carel van Schaik, Mensch sein: Von der Evolution für die Zukunft lernen, Rowohlt Buchverlag, 2023 [2] siehe auch: Mo Gawdat, Solve For Happy: Engineer Your Path to Joy, Bluebird, Sept 2016 [3] Chris Dorn, Shi Yan Lu, BEWATER – Ohne Tun ist alles Können nichts: Innerlich stark und entschlossen wie ein Shaolin-Meister, Momanda, 2023 [4] Prof. Dr. Gerald Hüther in „Leaders von morgen“ über das Thema „Selbstorganisation“, Titel des Videos: „Wie Du eine liebevolle Beziehung zu Dir selbst & anderen aufbaust“, www.youtube.com/watch?v=-ogjdYeyVa8, 2023 [5] Gary Hamel, Michele Zanini, Humanocracy: Creating Organizations as Amazing as the People Inside Them, Harvard Business Review Press, 2020 [6] Richard David Precht: Künstliche Intelligenz und der Sinn des Lebens: Ein Essay, Goldmann Verlag, 2020 [7] Sven Gábor Jánszky, Newsletter der 2b AHEAD ThinkTank GmbH, 4. März 2024 [8] Mo Gawdat, Scary Smart: The Future of Artificial Intelligence and How You Can Save Our World, Bluebird, 2022 [9] Edward Hallowell, The Human Moment at Work, Harvard Business Review, 01-02/1999, https://hbr.org/1999/01/the- human-moment-at-work [10] Martin Noé, Die Überflüssigen, Manager Magazin 3/2024 [11] Kirsten Bialdiga, Christina Kyriasoglou, Kommandosache KI, Manager Magazin 2/2024 [12] Arie de Geus, The Living Company, Mcgraw-Hill Professional, 1997 [13] Frederic Laloux, Reinventing Organizations visuell: Ein illustrierter Leitfaden sinnstiftender Formen der Zusammenarbeit, Vahlen, 2016 [14] Peter F. Drucker, Was ist Management: Das Beste aus 50 Jahren, Econ, 2002 [15] AQAL-Modell von Ken Wilber, in: Frederic Laloux, Reinventing Organizations visuell: Ein illustrierter Leitfaden sinnstiftender Formen der Zusammenarbeit, Vahlen, 2016 Der vorliegende Text ist der erste Teil einer Artikelserie über künstliche Intelli- genz. Im zweiten Teil in der nächsten Ausgabe der IT-SICHERHEIT widmen wir uns der Fragestellung: „Welche Arten von KI existieren und welche sind im Kon- text von Unternehmen tatsächlich sicher implementierbar?“ Darin beleuchten wir die verschiedenen Arten künstlicher Intelligenz und analysieren, welche davon im Unternehmenskontext sicher und verantwortungsbewusst einsetzbar sind. MICHAEL THEUMERT als Unternehmer vereint er IT-Exper- tise mit menschlicher Dynamik. Mitgründer des Think & Do Tanks „Human Business Impact”. Schwer- punkt: Sichere und nachhaltige (digitale) Transformation. OLIVER HINZ ist einer der Gründer des Think & Do Tanks „Human Business Impact”. Als Human Greatness Guide und Sparringspartner für Führungskräfte begleitet er seit 20 Jahren Menschen & Organisationen sehr erfolgreich in ihrer Entwicklung. ALEXANDER JABER ist Gründer und CEO der Compliant Business Solutions GmbH. Er ist mehr als 20 Jahre aktiv, Experte sowie Trainer für Informationssicher- heit und Uni-Dozent für Manage- mentsysteme zur Unternehmens- sicherheit. Folgende Themen sind Teil unserer KI-Serie: ƒ Unternehmensführung in Zeiten von KI ƒ Einführung in die KI und Technologie ƒ Prozess-Optimierung durch KI ƒ Rechtliche Aspekte beim Einsatz von KI ƒ KI-Projekte sicher umsetzen ƒ KI im Feld der praktischen Anwendung 28 IT-SICHERHEIT_2/2024 DR. DIETER STEINER ist seit über 30 Jahren als Unterneh- mer und Investor in der IT-Branche mit den Schwerpunkten IT-Security, Datenschutz, digitale Transformati- on, künstliche Intelligenz und Software-Entwicklung tätig. E L· L A D : d l i B

SECURITY MANAGEMENT | KRISENMANAGEMENT und die Anforderungen einer effektiven Kri- senreaktion zu schärfen. ƒ Festlegung klarer Rollen und Verantwort- lichkeiten: Eindeutige Richtlinien und ein klar definiertes Command-and-Control-Framework können helfen, Überschneidungen und Konflikte zu vermeiden. ƒ Gemeinsame Trainings und Simulationen von Krisenstab und Fachstab: Regelmäßige gemeinsame Trainings und simulierte Cyberattacken können dabei unter- stützen, das Verständnis zwischen den Fach- stäben und dem übergeordneten Krisenstab zu verbessern. Cross-Training fördert ein bes- seres Verständnis der jeweiligen Herausforde- rungen und Arbeitsweisen. ƒ Einrichtung von Kommunikations- protokollen: Vordefinierte Kommunikationsprotokolle und -tools können helfen, die Informationsüber- tragung zu standardisieren und Missverständ- nisse zu reduzieren. Klare Richtlinien dafür, welche Informationen wann und in welcher Form geteilt werden, sind essenziell. ƒ Klare Kommunikation der Krisenmanage- ment-Ziele durch den Krisenstab: Eine Maßnahme, die über den IT-Sektor hinaus großen Nutzen bringt, ist die Festlegung klarer Ziele, die im jeweiligen Ernstfall durch das Kri- senmanagement erreicht werden sollen. Das hat den Vorteil, dass allen beteiligten Fach- 30 IT-SICHERHEIT_2/2024 experten transparent wird, dass verschiedene Probleme gleichzeitig angegangen werden müssen. So kann zum Beispiel in einem Tech- nologieunternehmen der Schutz des eigenen Know-hows wichtiger sein als die sofortige Wiederaufnahme der Produktion oder in Kran- kenhäusern das Leben und die Gesundheit der Patienten eine höhere Priorität haben als eine forensische Untersuchung. Je klarer die Priori- täten, desto weniger Reibungsverluste. zu reagieren. Zu den wichtigsten Vorteilen der Anwendung der ISO 22361 gehören: 1. Verbesserte Reaktionsfähigkeit auf Krisen: Die Norm bietet einen Rahmen für die Pla- nung, Etablierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Krisenma- nagementprogramms. Dies hilft Organisatio- nen, ihre Reaktionsfähigkeit auf unerwartete Ereignisse zu verbessern. ƒ Einsatz von Cyber-Security-Dashboards: 2. Strategische Risikominderung: Visualisierungstools und Dashboards, die Echtzeitinformationen über den Sicherheits- status liefern, können die Informationsauf- nahme und Entscheidungsfindung für die übergeordneten Ziele eines Krisenstabs er- heblich erleichtern. ORIENTIERUNGSHILFE ISO 22361 Mit der ISO 22361:2022 „Sicherheit und Resi- lienz – Krisenmanagement – Leitlinien“ gibt es einen umfassenden Text zum Krisenma- nagement, der Organisationen aller Größen- ordnungen dabei unterstützt, die genannten Herausforderungen zu meisten. Die Norm bietet Leitlinien für die Entwicklung strategi- scher Fähigkeiten im Krisenmanagement auf organisatorischer Ebene und geht damit über die Anforderungen an einen Fachstab hinaus. Der von der Internationalen Organisation für Normung (ISO) herausgegebene Standard zielt darauf ab, Organisationen aller Größen und Ar- ten dabei zu unterstützen, effektiver auf Krisen ISO 22361 unterstützt Organisationen, poten- zielle Krisen und ihre Auswirkungen zu identi- fizieren und zu bewerten, was eine proaktive Risikominderung ermöglicht. 3. Stärkung der Resilienz: Durch die Entwicklung und Implementierung von Krisenmanagementstrategien und -plä- nen können Organisationen ihre Widerstands- fähigkeit gegenüber Unterbrechungen stär- ken und die Erholungszeit nach einem Vorfall verkürzen. 4. Verbesserte Kommunikation: Die Norm legt Wert auf effektive Kommunika- tionsstrategien sowohl intern als auch extern. Das sorgt für klarere Kommunikationswege während einer Krise, was zur Minimierung von Missverständnissen und zur Verbesse- rung der Koordination beiträgt. 5. Einbindung von Stakeholdern: ISO 22361 betont die Bedeutung der Ein- bindung aller relevanten Stakeholder in das Bild: Gorodenkoff - stock.adobe.com

SECURITY MANAGEMENT | NORMEN UND STANDARDS Überblick über die aktualisierte Fassung ISO/IEC 27001:2022 Mit der aktualisierten Fassung der ISO/IEC 27002 wurden die darin enthaltenen Be- schreibungen der Best-Practice-Maßnahmen zur Informationssicherheit an den aktu- ellen Stand der Technik angepasst. Dadurch musste auch die Anforderungsnorm ISO/ IEC 27001 aktualisiert werden. Alle erteilten Zertifikate müssen bis Ende Oktober 2025 auf die revidierte ISO/IEC 27001:2022 angepasst sein. Unser Autor erörtert wesentliche antizipierte Neuerungen und ihre Bedeutung für Informationssicherheitsbeauftragte und für den Betrieb von Informationssicherheits-Managementsystemen. ISO/IEC 27001 ist ein Standard für Informa- tionssicherheits-Managementsysteme (ISMS). Sie definiert Anforderungen an ein ISMS. Durch die Aktualisierung der ISO/IEC 27002 mussten auch in der ISO/IEC 27001 zwei Bereiche angepasst werden: einerseits der Abschnitt 6.1.3 „Information Security Risk Treat- ment“ Abs. c, der auf die Anwendung des An- hang A verweist, und andererseits der Anhang A selbst, der eine Auflistung der Best-Practice- Maßnahmen aus ISO/IEC 27002 umfasst. RISIKOBEHANDLUNG Aber das Wichtigste vorab: Es ist keine neue Anforderung in der ISO/IEC 27001 hinzugekom- men. Neuerungen in Abschnitt 6.1.3 „Informati- on Security Risk Treatment“ sind die Klarstel- lung, dass der Anhang normativ (verbindlich) ist, die einzelnen Maßnahmen im Anhang 32 IT-SICHERHEIT_2/2024 A jedoch nicht verbindlich sind, sowie eine Umformulierung von „Maßnahmenzielen“ zu „Maßnahmenzweck“. Abschnitt 6.1.3 c enthält eine verbindliche An- forderung, die eigenen über den Prozess der Risikoanalyse und -behandlung hergeleiteten Sicherheitsmaßnahmen mit der Liste der Best- Practice-Sicherheitsmaßnahmen im Anhang A abzugleichen. Ziel ist es, sicherzustellen, dass die anwendende Organisation keine wesentlichen Maßnahmen – und damit Risiken – übersieht. Da es sich dabei um eine verbindliche Anforde- rung handelt („shall“), ist auch der Anhang A ver- bindlich (normativ). mithilfe von Risikoanalysen hergeleitet. Dies führte zu zwei praktischen Problemen: ƒ Die nicht erschöpfende Liste an Sicherheits- maßnahmen im Anhang A wurde als „ver- bindlich“ verstanden – was nicht der Fall ist – und damit wurden gegebenenfalls im Einzelfall unnötige Maßnahmen umgesetzt. ƒ Durch das Re-Engineering der Risikoanaly- sen wurden nur genau die Maßnahmen des Anhangs A und ihre zugehörigen Risiken iden- tifiziert – darüber hinausgehende individuelle Risiken der anwendenden Organisation blie- ben aber häufig unerkannt. Die Umsetzung in einem Informationssicher- heits-Managementsystem geschah jedoch oft „andersherum“: Die Maßnahmen des Anhangs A wurden als verbindlich verstanden und dann Daher ist nun durch zwei klarstellende Bemer- kungen zu Abschnitt 6.1.3 c herausgearbeitet worden, dass es sich bei den Maßnahmen in Anhang A lediglich um „eine mögliche Liste“ . m o c . e b o d a k c o t s - a k n n A i : d l i B

SECURITY MANAGEMENT | OPERATIONAL TECHNOLOGY Industrielle Cybersicherheit WIE GEHT OT-SICHERHEIT OHNE EIGENE FACHKRÄFTE IN ZEITEN VON NIS-2? . m o c . e b o d a k c o t s - f f o k n e d o r o G : d l i B 34 IT-SICHERHEIT_2/2024 Industrieunternehmen und kritische Infrastrukturen geraten hinsichtlich ihrer industriellen Cybersicherheit von allen Seiten unter Druck. Der sich zuspitzende Fachkräftemangel steht einer immer dynamischeren Risikolandschaft und weitreichenderen Gesetzgebung gegenüber. Dennoch müssen Unternehmen schnell Wege finden, eigene OT-Sicherheitskompetenzen aufzubauen.

SECURITY MANAGEMENT | OPERATIONAL TECHNOLOGY Abb. 2: Die zehn am häufigsten identifizierten Risikokategorien in OT-Netzwerken (Bild: Rhebo) Jahr durchschnittlich 26 Risikotypen pro OT- Netzwerk identifiziert (siehe Abb. 2). NIS-2 VERSCHÄRFT DEN FACHKRÄFTEMANGEL Dieser neuen und sich schnell entwickelnden Bedrohungslandschaft steht ein enormer Fach- kräftemangel im Bereich der OT-Sicherheit ge- genüber. Für die IT-Branche und Unternehmen mit IT-Bedarf ist das keine Neuigkeit. Die Wirt- schaftsinstitute und Interessenverbände warnen seit Jahren vor einer steigenden Zahl unbesetz- ter Stellen im Bereich der Informationstechnolo- gie. Laut dem Institut der deutschen Wirtschaft (IW) werden bis 2027 rund 128.000 qualifizier- te Arbeitskräfte in den Digitalisierungsberu- fen fehlen. Der Bitkom e. V. spricht sogar schon von 149.000 offenen Stellen in diesem Jahr. Im Durchschnitt bleibe eine Stelle für IT-Fachkräfte inzwischen bis zu sieben Monate unbesetzt. Diese Prognose setzt sich im Bereich der Cyber- sicherheit fort. Bereits 2022 hatte sich die welt- weite Lücke zwischen Bedarf und Angebot zum Vorjahr um 26 Prozent vergrößert, trotz eines Zuwachses an Sicherheitsexpertinnen und -ex- perten von 10 Prozent (siehe www.isc2.org/ research). In einer Studie des IDC im September 2022 stellten fast zwei Drittel aller Befragten fest, einen akuten Fachkräftemangel in der Cybersi- cherheit ihrer Unternehmen zu erleben. In einer deutschen Umfrage sehen 40 Prozent der CISOs den Mangel an qualifizierten Fachkräften als größtes Problem, die Cybersicherheit im Unter- nehmen zu gewährleisten (siehe www.csoonline. com/de/a/mehrheit-der-deutschen-cisos-klagt- ueber-mangelnde-unterstuetzung,3674574). Derzeit existieren zwar keine konkreten Zahlen, 36 IT-SICHERHEIT_2/2024 weiter verschärfen. Dazu wird nicht zuletzt die novellierte EU-Direktive zur Netzwerk- und Informationssicherheit (NIS-2) beitragen, die im Oktober 2024 mit dem NIS-2-Umsetzungs- gesetz (NIS2UmsuCG) in geltendes deutsches Recht überführt wird. Mit der neuen Gesetzgebung steigt mit einem Schlag die Anzahl der gesetzlich zu Cybersicher- heit verpflichteten Unternehmen in Deutschland von rund 5.000 auf 30.000. Diese Unternehmen werden binnen kurzer Zeit neues Know-how aufbauen und ihr Cybersicherheitsmanagement erweitern müssen. Ohne externe Hilfe wird das nicht möglich sein. WELCHE KOMPETENZEN BRAUCHEN UNTERNEHMEN IN DER OT-SICHERHEIT? Thomas Menze von der ARC Advisory Group verweist im oben genannten Podcast auf drei etablierte Dienstleistungen in der IT-Sicher- heitsbranche. In der OT-Sicherheit sieht er einen zusätzlichen Service, der als Teilmenge des Managed-Services eine entscheidende Rolle spielen wird. die den Bedarf an Fachpersonal in die Bereiche IT-Sicherheit und OT-Sicherheit unterteilen, der Leidensdruck in der OT-Sicherheit dürfte aber noch einmal höher liegen. Schließlich stellt der Bereich für den Ausbildungsmarkt und die meis- ten Unternehmen ein völlig neues Feld dar. Der bereits bestehende deutliche Fachkräfte- mangel im Bereich der OT-Sicherheit wird sich in den nächsten Jahren sehr wahrscheinlich Abb. 3: In der OT-Sicherheit fehlt es häufig an Ressourcen und Expertise, um ein Angriffserken- nungssystem zu betreuen, Risiken zu ermitteln und die Meldungen zu bewerten (Bild: Rhebo).

SECURITY MANAGEMENT | HERAUSFORDERUNGEN FÜR FÜHRUNGSKRÄFTE Change-Management-Methoden unterstützen bei Cybersicherheit RAUS AUS DER OPFER-STARRE Es ist eine Herausforderung mit Zukunftscharakter: Cybersicher- heit. Ihre Bedeutung zeigt sich in der Nationalen Sicherheitsstrategie des Bundes, die 2023 auf 76 Seiten verabschiedet wurde – 62-mal taucht darin das Wort „ Cyber“ auf. Ein Indiz dafür, dass Digitalisierung mit rasant fortschreitender Vernetzung und breiten Angriffsflächen ein Megathema nicht nur in Deutschland ist. Das Papier, mit dem die Bun- desregierung auf die geopolitische Sicherheits- lage reagiert, deckt sich mit der Einschätzung des Bundesamtes für Sicherheit in der Infor- mationstechnik (BSI): Die Lage ist kritisch bis angespannt. Knapp 70 neue Schwachstellen in Softwarepro- dukten werden täglich hierzulande entdeckt. Das sind 25 Prozent mehr als im Berichtszeit- raum davor. Die Entwicklung neuer, angepasster Angriffsmethoden, die als Dienstleistung (Cyber- crime-as-a-Service) auf den Markt kommen, gilt als besorgniserregend. Das ist die eine Seite der „Cyber-Unsicherheits- medaille“. Die andere Seite ist die „Schwach- stelle Mensch“. Nach wie vor, so konstatiert das BSI, ist der Mensch zu mehr als 80 Prozent in allen Fällen erfolgreicher Hacks dafür verant- 38 IT-SICHERHEIT_2/2024 wortlich, dass Angreifer ans Ziel gelangen und Unternehmen, Organisationen sowie Kom- munen lahmlegen. Die bittere Erkenntnis ist, dass diese kriminelle Strategie ein alter Hut ist. Der 1963 in Kalifornien geborene und 2023 in Nevada verstorbene Hacker Kevin Mitnick arbeitete nach mehreren Jahren Haft bis zu seinem Tod als Autor und Sicherheitsberater. In seinem 2002 erschienenen Buch „Die Kunst der Täuschung“ (orig. „The Art of Deception“) beschreibt er, wie Social Engineering deutlich schneller zu den gewünschten Informationen führt als technische Methoden es vermögen: Statt Spionagesoftware zu entwickeln, „pro- grammieren“ Social Engineers den Willen ihrer Opfer. CHANGE-MANAGEMENT Vor dem Hintergrund steigender, hybrider Be- drohungen stehen Führungskräfte mit Personal- und Sicherheitsverantwortung mehr denn je vor der Herausforderung, manipulativen Methoden bestmöglich entgegenzutreten. Aber auch Mit- arbeiter sind gefordert und sollten als Unterneh- mensbeteiligte nicht gänzlich aus der Verantwor- tung entlassen werden. Kompetenzen jenseits von Sicherheitssoftware sind gefragt, denn es ist weder realistisch noch zu verlangen, dass in allen Hierarchien ausgeprägtes IT-Wissen besteht. Hier greifen Change-Management-Methoden. Dennoch kommt Führungskräften vor allem in kleinen und mittleren Betrieben (KMU) die Auf- gabe zu, mit gezielten Awareness-Maßnahmen möglichen Gefahren entgegenzuwirken. Es spielt keine Rolle, ob es sich um ein Unterneh- men mit Top-down-Struktur oder um eines mit flachen Hierarchien handelt – in allen Fällen gilt es, Veränderungskompetenzen zu entwickeln, zu fördern und zu festigen (siehe Abbildung). NOTWENDIGE KERNKOMPETENZEN Eine wesentliche Kompetenz ist die Kommuni- kationsfähigkeit. Es gilt nicht nur zu erkennen, wie Angreifer mit Mitarbeitern (ein beliebtes Einfallstor sind Sekretariate und Stellen mit Prokura) in den Dialog treten. Eine erste Hilfe wäre der schnelle Check – die Mouseover-Kon- trolle, die weitgehend Auskunft über echte oder falsche E-Mail-Absender gibt. Es gilt vor allem, Mitarbeiter respektvoll zu integrieren und für Informationstransparenz zu sorgen. Neben weiteren Kernkompetenzen, die auch im Fach-Buch „Ausgespäht – Change Management . m o c . e b o d a k c o t s - o d u t S e m o h y a W d : i l i B Vor dem Hintergrund zunehmender hybrider Bedrohungen stehen Führungs kräfte mehr denn je vor der Herausforderung, manipulativen Cyberangriffen bestmöglich zu begegnen. Dazu sind Kompetenzen jenseits von Sicherheits software gefragt. Hier setzen Methoden des Change-Managements an.

SECURITY MANAGEMENT | GRUNDLAGEN Definition und Abgrenzung CYBERSICHERHEIT, IT-SICHERHEIT UND INFORMATIONSSICHERHEIT Was ist der Zusammenhang zwischen Cybersicherheit, IT-Sicherheit und Informati- onssicherheit? Wo fängt das eine an, wo hört das andere auf und warum ist es nicht dasselbe? Diesen Fragen geht unser Autor in unserem Grundlagenartikel nach. Sicherheit lässt sich aus zwei Per- spektiven betrachten: die der Verteidiger sowie der Angreifer. Die Verteidiger ergreifen Sicherheitsmaßnah- men, um sich vor Angriffen zu schützen und die Angreifer tun alles, um die Sicherheitsmaßnah- men zu überwinden. Derzeit besteht ein Ungleichgewicht, denn die professionellen Angreifer agieren momentan sehr erfolgreich. Das ist in erster Linie darauf zu- rückführen, dass Unternehmen allgemein noch unzureichend geschützt sind. Die aktuell genutz- ten Sicherheitsmechanismen auf den verschie- denen Ebenen sind durchweg insgesamt weder wirkungsvoll noch vollständig genug, um einen angemessenen und umfänglichen Schutz zu bie- 40 IT-SICHERHEIT_2/2024 ten. Hier muss sich etwas ändern, denn erfolg- reich durchgeführte Angriffe verursachen Schä- den, die Unternehmen existenziell gefährden. Die Sicherheitslage verschlechtert sich von Jahr zu Jahr, wodurch das Schadensrisiko für alle Un- ternehmen und Organisationen steigt. Obwohl ständig neue Sicherheitstechnologien entwi- ckelt werden, ist es bisher nicht gelungen, dieser negativen Tendenz entgegenzuwirken. Das Fazit kann daher nur lauten, dass sich im Bereich der Sicherheit grundlegend etwas ändern muss, um diesen Verlauf zu stoppen und die digitale Zu- kunft realisieren zu können. Die Frage ist nun, welche Vorgehensweise hilft, die Sicherheitslage zu verbessern? Die Darstellung des Zusammenhanges zwischen Cybersicherheit, Informationssicherheit und IT-Sicherheit verdeutlicht die unterschiedlichen Sichtweisen und Gemeinsamkeiten. IT-Sicher- heit ist ein zentrales Element der Sicherheit, muss aber um definierte Aspekte in Richtung Cybersicherheit und Informationssicherheit er- weitert werden. DEFINITION: IT-SICHERHEIT Mithilfe der IT-Sicherheit sollen vorhandene Risiken, die durch Bedrohungen auf IT-Systeme wirken, auf ein angemessenes Maß reduziert werden. IT-Sicherheit befasst sich daher mit IT-Sicherheitsmaßnahmen, die Daten, Informa- tionen und Wissen auf IT-Systemen vor dem m o c . e b o d a k c o t s - l . e s n a h o t o f ; . m o c . e b o d a k c o t s - H T _ r A : d l i B

SECURITY MANAGEMENT | GRUNDLAGEN wendungen zu identifizieren und beheben, um die Angriffsfläche zu minimieren und da- durch ein angemessenes Sicherheitsniveau zu gewährleisten ƒ die Kontrolle von IT-Risiken realisieren Die Norm umfasst verschiedene Anforderun- gen, darunter die Erstellung und Umsetzung von Informationssicherheitsrichtlinien und -prozessen, die Durchführung von Risikobe- wertungen und -management, die Einführung von Sicherheitskontrollen und -maßnahmen sowie das regelmäßige Monitoring und die Überwachung des ISMS. Unternehmen, die die Anforderungen der Norm erfüllen, können sich von unabhängigen Zer- tifizierungsstellen auditieren lassen und eine Zertifizierung gemäß ISO 27001 erhalten. Dabei werden die von dem Unternehmen erstellten Referenzdokumente gesichtet, eine Prüfung vor Ort durchgeführt und ein Auditbericht erstellt. Mit einer Zertifizierung kann die Wirksamkeit eines ISMS glaubwürdig nachgewiesen werden. Das kann das Vertrauen von Kunden, Partnern und anderen Interessengruppen stärken und auch bei der Einhaltung von Datenschutz– und Compliance-Vorschriften helfen. IT-GRUNDSCHUTZ Der IT-Grundschutz ist ein Konzept zur Absiche- rung von IT-Systemen und -Infrastrukturen ge- gen vorhandenen Risiken. Das IT-Grundschutz- Kompendium wurde vom BSI entwickelt und ist in drei Bereiche aufgeteilt: 1. Die Basisabsicherung setzt die Mindestanfor- derungen durch den Einsatz von Firewall-Sys- temen und Zutrittskontrollen um. Sie richtet sich vor allem an kleine und mittelständische Unternehmen. Ein solches ISMS kann in Unternehmen jeder Größe und Branche implementiert werden und ist darauf ausgerichtet, die IT-Sicherheit zu ge- währleisten. Aspekte der IT-Sicherheit sind zum Beispiel: ƒ Verfügbarkeit der IT-Systeme und -Prozesse gewährleisten ƒ Sicherstellung der Vertraulichkeit der Informa- tionen wie personenbezogenen Daten, geisti- gem Eigentum oder Betriebsgeheimnissen ƒ IT-Risiken, mögliche Schäden und Folgekosten für das Unternehmen minimieren ƒ die Steigerung des Vertrauens gegenüber Partnern, Kunden und Öffentlichkeit erzielen ƒ die Sicherstellung der Compliance-Anforde- rungen garantieren ƒ mithilfe eines Schwachstellenmanagements Sicherheitslücken in IT-Systemen und An- Abbildung 4: Definition Informationssicherheit (Bild: if(is)) Abbildung 3: Definition Cybersicherheit (Bild: if(is)) schützen. Die zu schützenden Informationen sind analog auf Papier (in Ordnern, Papierarchi- ven …), digital auf IT-Systemen oder auch in den Köpfen der Menschen gespeichert. IT-Sicherheit ist Teil der Informationssicherheit. Informationssicherheit schützt analoge, digitale und synaptische Informationen. Damit werden Schäden für Unternehmen, Behörden, Organi- sationen und Personen vermieden und Risiken minimiert. In der Praxis orientiert sich die Informations- sicherheit im Rahmen des Informationssi- cherheitsmanagementsystems (ISMS) unter anderem an der ISO 27001 oder an IT-Grund- schutz-Standards des Bundesamtes für Sicher- heit in der Informationstechnik (BSI). ISO 27001 ISO 27001 ist eine international anerkannte Norm, die von der International Organizati- on for Standardization (ISO) herausgegeben wurde. Sie legt die Anforderungen für ein Informationssicherheitsmanagementsystem (ISMS) fest, das die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen innerhalb eines Unternehmens gewährleisten soll. Das Ziel der Norm ist es, Unternehmen dabei zu helfen, Informationssicherheitsrisiken effektiv zu identifizieren, zu bewerten und zu behan- deln. Die Norm ISO 27001 basiert auf einem ri- sikobasierten Ansatz, bei dem das ISMS auf der Identifikation von Risiken, der Bewertung der Cybersicherheitsgefahren und Schwachstellen sowie der Implementierung von Kontrollen zur Risikominderung und -vermeidung basiert. 42 IT-SICHERHEIT_2/2024

SECURITY MANAGEMENT | SICHERE LIEFERKETTEN Ansätze und Abhängigkeiten WETTRÜSTEN FÜR EINE SICHERE SOFTWARE- SUPPLY-CHAIN Die IT ist im Laufe der Jahre ein zunehmend unsicheres oder jedenfalls bedrohtes Feld ge- worden, auf dem sich staatliche Akteure (gera- de der russische Angriffskrieg hat das wieder deutlich gemacht), kriminelle Banden und ver- spielte Amateure tummeln. Es findet ein regelrechtes Wettrüsten statt: Un- ternehmen und die öffentliche Hand werden immer routinierter im Umgang mit Risiken, von der Architektur über präventive Maßnahmen bis hin zur aktiven Verteidigung. Gleichzeitig werden Systeme verteilter zwischen diversen Clouds bis hin zu Edge-Anwendungen, sie werden kom- plexer und vor allem auch dynamischer. Und die Angriffe werden immer ausgeklügelter. Sowohl Angreifer als auch Verteidiger verwenden zuneh- mend intelligente und automatisierte Ansätze. DAS NEUE NORMAL Attacken sind mittlerweile kein gelegentliches Ereignis mehr, sondern die Regel. Sie finden am laufenden Band statt: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 44 IT-SICHERHEIT_2/2024 im Rahmen seiner Untersuchung zur Lage der IT-Sicherheit in Deutschland 2023 täglich rund 21.000 neu infizierte Systeme erkannt; die Dun- kelziffer liegt wohl weit höher. Die „2023 Supply Chain Risk Management Survey“ von Gartner stellt fest, dass „Angriffe auf die Software-Lie- ferkette auf dem Vormarsch sind”; 63 Prozent der Befragten gaben an, im vergangenen Jahr betroffen gewesen zu sein. Angriffe auf die IT-Infrastruktur haben durch staatliche Akteure eine neue Dimension erhal- ten, und nicht nur die Deutsche Bundeswehr hat mit ihrem Zentrum für Cybersicherheit auf- gerüstet, auch das Bundeskriminalamt schafft mit dem Nationalen Cyber-Abwehrzentrum (Cyber-AZ) eine Koordinierungsstelle, die im Krisenfall dazu beitragen soll, die Handlungsfä- higkeit der Bundesregierung zu erhalten. Die Frage ist nicht, ob eine Organisation einen Angriff auf ihre Software-Lieferketten erlebt, sondern wann, wie und wie oft. Die Europäi- sche Union hat diese Gefahr erkannt und mit der „Network and Information Security“-Richtlinie (NIS-2) und dem EU Cyber Resilience Act Grund- lagen für mehr IT-Sicherheit und den Schutz kri- tischer Infrastruktur geschaffen. Einer Studie des Digitalverbandes Bitkom nach ließen sich 46 Prozent der Angriffe auf betrof- fene Unternehmen übrigens nach Russland zurückverfolgen, 42 Prozent nach China. Zum Vergleich: Im Jahr 2021 lag die Zahl der Angriffe aus Russland noch bei der Hälfte, jene aus China bei 30 Prozent. DER SEITENEINGANG Während Angreifer auf immer ausgefeiltere Techniken und Werkzeuge zurückgreifen kön- nen und sich auch im Darknet vernetzen und Informationen austauschen, sind Anbieter und Anwender nicht untätig geblieben: Firewalls und Netzwerksegmentierung, Zwei-Faktor-Authen- tifizierung, Intrusion Detection und vieles mehr sind mittlerweile Standard. Anstelle einfach immer wieder gegen diese Bollwerke anzulaufen, wählen Angreifer wei- chere, vielversprechendere Angriffsvektoren: Menschen, über Social Engineering. Und einen . m o c . e b o d a k c o t s - y fl r e t t u b n e e r g : d l i B Die Sicherheit der Software-Lieferkette ist für Unternehmen von entscheidender Bedeutung, um die Integrität, Vertraulichkeit und Verfügbarkeit ihrer Anwendun-gen und Dienste zu gewährleisten. Doch wie lässt sich die Supply Chain schützen? Unser Autor gibt einen Überblick über die Situation und zeigt Abhängigkeiten und Ansätze auf.

SECURITY MANAGEMENT | IDENTITY- UND ACCESS-MANAGEMENT Zutrittssteuerung und Besuchermanagement für die Sicherheit kritischer Infrastrukturen KEIN ZUTRITT FÜR UNBEFUGTE Kritische Infrastrukturen bilden das Rückgrat moderner Gesellschaften und umfassen Einrichtungen wie Energieversorgung, Wasserversorgung, Verkehrssysteme und Telekommunikation. Ihre Sicherheit ist von entscheidender Bedeutung, da Störungen oder Angriffe auf diese Systeme schwerwiegende Auswirkungen auf das öffentliche Leben und die Wirtschaft haben können. Kritische Infrastrukturen sind oft hochkomplex und stark vernetzt. Störungen in einem Bereich können sich schnell auf andere Bereiche aus- wirken, was die Identifizierung und Bewälti- gung von Sicherheitsrisiken erschwert. Mit der zunehmenden Digitalisierung sind kritische Infrastrukturen zudem verstärkt anfällig für Cy- berangriffe. Diese können zum Beispiel von Ha- ckern oder terroristischen Gruppen ausgehen und erhebliche Schäden verursachen. Neben Cyberbedrohungen sind kritische Infrastruk- turen auch physischen Risiken wie Sabotage, 46 IT-SICHERHEIT_2/2024 Terrorismus oder Naturkatastrophen ausge- setzt. Die Sicherung gegen diese Bedrohungen erfordert robuste physische Sicherheitsmaß- nahmen. Regierungen und Behörden erlassen immer strengere Vorschriften zur Sicherung kritischer Infrastrukturen. Die Einhaltung dieser Vorschriften kann insbesondere für Betreiber mit begrenzten Ressourcen eine zusätzliche Herausforderung darstellen. Neben einem effektiven Schutz vor Cyberan- griffen und physischen Bedrohungen erfordern kritische Infrastrukturen auch eine präzise Zu- trittssteuerung. Durch die Verwaltung und die Kontrolle des Zugangs zu sensiblen Bereichen wird unbefugten Personen der Zutritt verwehrt und die Sicherheit gewährleistet. Eine gründliche Analyse der Sicherheitsrisiken ist der erste Schritt zur Absicherung kritischer Infra- strukturen. Diese Analyse sollte sowohl Cyber- als auch physische Risiken berücksichtigen und die potenziellen Auswirkungen von Störungen oder Angriffen bewerten. Basierend auf den Er- gebnissen der Risikoanalyse müssen angemes- sene Schutzmaßnahmen implementiert werden. . m o c . e b o d a k c o t s - t r e i s i r o t k e v : d l i B

AUS DER FORSCHUNG | ENDPOINT-SICHERHEIT Mehr Schutz vor Angriffen MODERN ENDPOINT SECURITY 48 48 IT-SICHERHEIT_2/2024 IT-SICHERHEIT_2/2024

AUS DER FORSCHUNG | ENDPOINT-SICHERHEIT Abbildung 1: Endpoint Security (Bild: if(is)) senden Schutz aller IT-Geräte eines Unterneh- mens zu gewährleisten. Diese Komponenten können in vier Kategorien unterteilt werden (siehe Abbildung 1): Kategorie: Prävention Diese Kategorie umfasst als erstes die Kompo- nente Anti-Malware-Software, die Malware erkennen soll, um die Ausführung der verschie- denen Schadfunktionen wie Ransomware, Keylogger, Spam, DDoS, Click-Fraud, Adware zu verhindern. Die Anti-Malware-Software nutzt neben der Signaturerkennung auch die Anomali- eerkennung, um neue, noch nicht bekannte An- griffe zu identifizieren. Außerdem gehören zur Kategorie Prävention die Komponenten Firewall sowie Webfilter und Anwendungsisolation. Firewalls befinden sich sowohl auf dem End- gerät wie auch in der zentralen Verwaltung der Endpoint-Security-Lösung. Die zentrale Firewall ist dafür zuständig, dass alle dezentralen Firewalls der Endgeräte korrekt eingestellt sind. Hierzu gehört, dass die möglichen Einfallstore, zum Beispiel Ports mit standardisierten Anwen- dungen mithilfe der Firewall möglichst gering- gehalten werden. Dazu werden auf jedem IT- Gerät nur die Ports nach außen geöffnet, die für das IT-Gerät benötigt werden, um die Angriffs- fläche so gering wie möglich zu halten. Da PCs und Notebooks nicht aus dem Internet erreich- bar sein müssen, sollten keine Ports auf diesen IT-Geräten nach außen freigegeben werden, da dies sonst zu IT-Sicherheitsrisiken führt. Ein Notebook zum Beispiel muss auch nicht auf alle möglichen Ports von Servern zugreifen können. Eine pragmatische Möglichkeit wäre, die Ports auf 80 und 443 für das Surfen im Internet und die Ports 465, 995 und 993 für das Senden und 50 IT-SICHERHEIT_2/2024 eindringen kann, müssen alle IT-Geräte, die sich mit dem Firmennetzwerk verbinden möchten, ausreichend mithilfe von modernen Endpoint-Security-Lösungen geschützt sein [1]. Ein zunehmend größeres IT-Sicherheitsrisiko ist, dass sich Unternehmen immer noch auf Peri-metersicherheit verlassen. Dabei handelt es sich um ein Paradigma aus den Anfangszeiten des Internets. Es soll hierbei dafür gesorgt werden, dass Fremde aus dem Internet nicht auf das Unternehmensnetzwerk zugreifen können. Da man bei der Perimetersicherheit jedoch davon ausgeht, dass das eigene Firmennetz sicher und vertrauenswürdig ist, werden für dieses keine ausreichenden IT-Sicherheitsmechanismen verwendet [2]. So kann ein Angreifer sich nach gelungener Überwindung des Perimeters frei im internen Unternehmensnetzwerk bewegen. Nicht zuletzt war das einer der Gründe für die erfolgreichen Ransomware-Angriffe der ver-gangenen Jahre.Damit die IT-Infrastruktur eines Unternehmens resilienter wird, müssen die Verantwortlichen da-für sorgen, dass die Endgeräte robuster werden, Angriffe möglichst schnell erkannt und struktu-relle Gegenmaßnahmen ergriffen werden. Wie Endpoint-Security-Lösungen dies erreichen und welche Komponenten hierfür verwendet wer-den, wird im nächsten Abschnitt beschrieben.KOMPONENTEN VON MODERNEN ENDPOINT-SECURITY-LÖSUNGEN„Modern Endpoint Security“-Lösungen beste-hen aus verschiedenen Kernkomponenten, die zusammenarbeiten müssen, um einen umfas-Empfangen von E-Mails zu beschränken [3]. Zu-sätzlich sollten noch die Ports, die die Unterneh-menssoftware benötigt, freigegeben werden. Webfilter blockieren den Zugriff zu schädlichen fremden Webseiten. Die Regeln, die der Webfil-ter für das Blockieren schädlicher Webseitenzu-griffe verwendet, stellt die zentrale Verwaltung der Endpoint-Security-Lösung bereit. Diese werden dann entsprechend auf die Endgeräte übertragen, sodass jedes IT-Gerät die festge-legten Regeln verwendet. Das führt dazu, dass Webseiten, die bösartige Aktivitäten durchfüh-ren, direkt auf allen Endgeräten des Unterneh-mens blockiert werden. Bei der Anwendungsisolation werden An-wendungen wie ein E-Mail-Agent oder Brow-ser – durch die Schadsoftware leichter auf das Endgerät gelangen könnten – von allen ande-ren Business-Anwendungen wie Office-Paket, Softwareumgebungen oder Design-Tools sepa-riert. Hierdurch kann die Schadsoftware nicht das gesamte IT-Gerät befallen. Das wird zum Beispiel durch die Containerisierung realisiert, die Anwendungen in unterschiedliche Name-spaces einteilt. Damit wird erreicht, dass An-wendungen nur noch mit Anwendungen des-selben Namespaces kommunizieren können. So ist sichergestellt, dass zum Beispiel beim Anklicken eines Links in einer E-Mail und dem damit verbundenen Herunterladen von Schad-software diese nur innerhalb des definierten Namespaces agieren kann und keinen negati-ven Einfluss auf den Rest des IT-Gerätes hat.Kategorie: ErkennungIn diese Kategorie fallen die Komponenten Ver-haltensanalyse, Threat Hunting und Sandboxing. Bei der Verhaltensanalyse geht es darum, dass die Endgeräte mit Sensoren ausgerüs-tet sind, die eine Vielzahl von sicherheitsrele-vanten Informationen sammeln. Die Sensoren überwachen zum Beispiel kontinuierlich die Speicherzugriffe, Logins, Registry-Inhalte und Netzwerkaktivitäten. Auf dieser Basis wird das Verhalten im Endgerät beobachtet und analy-siert, um festzustellen, ob ein Angriff oder ein ungewöhnliches Verhalten stattfindet. Falls ein Angriff oder eine verdächtige Aktion erkannt wird, ist die Endpoint-Security-Lösung in der Lage, autark ohne eine zentrale Verwaltung mithilfe von IT-Sicherheitsmaßnahmen – wie zum Beispiel der Firewall – zu interagieren, um Schäden zu vermeiden.

AUS DER FORSCHUNG | ENDPOINT-SICHERHEIT eine sofortige Reaktion. Ein Beispiel dafür ist eine Ransomware-Attacke. Hier muss schnell gehandelt werden, um den Schaden so gering wie möglich zu halten. Die zweite Herausforde- rung ist, dass der IT-Sicherheitsspezialist eine große Menge an Meldungen erhält. Diese zu priorisieren ist sehr aufwendig und erfordert viel Erfahrung. Kategorie: Management In diese Kategorie gehören das Patch-Manage- ment, Data-Loss-Prevention und das Mobile- Device-Management. Die zentrale Verwaltung ermöglicht es, alle Endgeräte eines Unternehmens von einer zen- tralen Stelle aus zu verwalten. Hierzu übermit- teln die Endgeräte Telemetriedaten an die zen- trale Verwaltung. Diese sicherheitsrelevanten Daten werden auch mittels künstlicher Intelli- genz analysiert. Aufgrund dieser Analyse werden wie schon beschrieben entweder automati- siert IT-Sicherheitsmaßnahmen ergriffen oder eine Meldung an den IT-Sicherheitsspezialisten gesendet, sodass dieser den Vorfall genauer (manuell) betrachten kann. Der Vorteil einer zen- tralen Verwaltung ist, dass ein Sicherheitsexper- te die gesamte IT-Infrastruktur überwachen und auf auffälliges Verhalten von Endgeräten reagie- ren kann. Außerdem kann er so auf Alarmierun- gen der Anti-Malware-Software oder der Ver- haltensanalyse reagieren und zentral auf allen IT-Geräten Einstellungen anpassen oder andere IT-Sicherheitsmaßnahmen ergreifen. Eine weitere Möglichkeit, die durch diese zen- trale Stelle realisiert werden kann, ist das Pat- chen von Endgeräten (Patch-Management). Hierbei wird das Endgerät in regelmäßigen Abständen über den auf dem Endgerät befind- lichen Agenten gescannt. Sollte ein Patch für eine in den Regeln festgelegte Anwendung ge- funden werden, wird die Anwendung im Hin- tergrund aktualisiert. Eine andere Möglichkeit ist, dass die Software auf dem Endgerät immer dann auf Aktualität überprüft wird, wenn es sich im Netzwerk und damit über den auf dem Endgerät installierten Agenten anmeldet. Das hat den Vorteil, dass IT-Geräte, die zum Beispiel nur ab und zu eingeschaltet werden, nicht erst bei der nächsten Prüfungsperiode geprüft wer- den, sondern direkt dann, wenn sie im Netz- werk verfügbar sind. Bei der Data-Loss-Prevention geht es um die Erkennung und das Verhindern von Daten- schutzverletzungen, Exfiltration oder uner- wünschte Zerstörung sensibler Daten. Exfiltra- tion ist eine unautorisierte Verschiebung von Daten. Um das zu verhindern, werden verschie- dene Aktivitäten unterbunden: Hochladen von Dateien in Cloud-Dienste, Kopieren von Daten oder Dateien in die Zwischenablage, auf USB- Sticks oder auf freigegebene Netzwerkordner werden blockiert. Außerdem wird der Zugriff auf nicht zugelassene Apps sowie das Drucken verhindert. Hierdurch kann gewährleistet wer- den, dass Daten nicht unbefugt das Unterneh- men verlassen können. Mobile-Device-Management (MDM) ist eine Software, um Mobilgeräte bereitzustel- len und gleichzeitig Unternehmenswerte wie zum Beispiel Firmendaten zu schützen. Neben der Verwaltung des IT-Gerätebestands schützt ein MDM auch die Anwendungen, Daten und Inhalte der IT-Geräte selbst. Wenn ein IT-Gerät beim Mobile-Device-Management angemeldet ist, erhält es rollenbasiert Zugriff auf Unterneh- mensdaten und E-Mails. Darüber hinaus kann je nach verwendeter Endpoint-Security-Lösung ein sicherer VPN-Gateway, GPS-Verfolgung, kennwortgeschützte Anwendungen, Löschen der Daten bei Verlust des IT-Gerätes sowie wei- tere Funktionen zur Optimierung der Datensi- cherheit integriert werden. FAZIT „Modern Endpoint Security“-Lösungen sind heute wichtiger denn je. Die zunehmende Digi- talisierung und Vernetzung von Unternehmen führt zu einer exponentiell steigenden Anzahl von potenziellen Angriffspunkten für Cyber- kriminelle. Die modernen Endpoint-Security- Lösungen bieten einen umfassenden Schutz für Endgeräte wie Notebook, Smartphones, Tablets und IoT-Geräte, die in Unternehmensnetzwer- ken verwendet werden. Es werden verschiede- ne IT-Sicherheitstechnologien zur Prävention, Erkennung, Reaktion und dem Management integriert, um einen umfangreichen Schutz zu gewährleisten. Durch die zentrale Verwaltung, oft aus professionellen Security-Operations- Centern heraus, kann die gesamte IT-Infrastruk- tur auf einen Blick überwacht werden, sodass schneller auf Angriffe reagiert werden kann, um größere Schäden abzuwenden. n SVEN SIEBE studiert im Master Internet-Sicherheit an der Westfälischen Hochschule Gelsenkirchen und beschäftigt sich im Rahmen des Studiums mit Endpoint Security. Literatur [1] C. Böttger, N. Pohlmann: „Sicheres und vertrauenswürdiges Arbeiten im Homeoffice – aktuelle Situation der Cybersicherheitslage“, IT-Sicherheit – Mittelstandsmagazin für Informationssicherheit und Datenschutz, DATAKONTEXT-Fachverlag, 2/2021 [2] N. Pohlmann: „Die Notwendigkeit von neuen IT-Sicherheitskonzepten", DuD Datenschutz und Datensicherheit – Recht und Sicherheit in Informationsverarbeitung und Kommunikation, Vieweg Verlag, 1/2024 [3] N. Pohlmann: „Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber- Sicherheitssystemen in der Digitalisierung“, Springer-Vieweg Verlag, Wiesbaden 2022 NORBERT POHLMANN ist Professor für Cybersicherheit und Leiter des Instituts für Internet-Sicher- heit – if(is) an der Westfälischen Hoch schule in Gelsenkirchen sowie Vorstandsvorsitzender des Bundesver- bands IT-Sicherheit – TeleTrusT und im Vorstand des Internetverbandes – eco. 52 IT-SICHERHEIT_2/2024

RECHT | DORA Steigerung der Cybersicherheit durch den Digital Operational Resilience Act (DORA) NEUE ÄRA DER DIGITALEN WIDERSTANDSFÄHIGKEIT FÜR FINANZUNTERNEHMEN M it der steigenden Komplexität und Häufig- keit von Cyberbedrohungen rückt die Not- wendigkeit von Regulierung im Bereich der Cybersicherheit immer stärker in den Fokus. Der DORA ist hierbei Teil des Digital Finance Packages, das am 24. September 2020 durch die Europäische Kommission verabschiedet wurde. Die Europäische Union will mit der neuen Verordnung den stetig wachsenden Cyberri- siken speziell in der Finanz- und Versicherungsbranche begegnen. Der DORA definiert für den Finanzsektor einheitliche Anforderungen an Risikomanagementsysteme und an die Sicherheit der von den verpflichteten Unternehmen genutzten Netzwerk- und Informationssysteme. Ne- ben der DORA führt der europäische Gesetzgeber mit der zweiten Network Information and Security Direc- tive (NIS-2-Richtlinie) zudem einen erweiterten Regu- lierungsrahmen für die Anforderungen an die Cyber- sicherheit von Einrichtungen und Unternehmen ein. NIS-2 umfasst dabei eine Vielzahl von Unternehmen und erweitert den Anwendungsbereich der bisher geltenden Regelungen zur kritischen Infrastruktur deutlich. Im Verhältnis von NIS-2-Richtlinie und DORA geht DORA als spezielleres Gesetz (lex specialis) den Regelungen der NIS-2-Richtlinie vor. Auf nationaler Ebene ergänzt der DORA das Kreditwesengesetz (KWG) sowie die auf dem KWG basierenden „Mindestanforderungen an das Risi- komanagement“ (MaRisk), die „Bankaufsichtlichen An- forderungen an die IT“ (BAIT) und die „Versicherungs- aufsichtlichen Anforderungen an die IT“ (VAIT). Durch die konkreteren Vorgaben der neuen Verordnung werden Ermessensspielräume für Finanzunternehmen im Ver- gleich zur vorherigen Situation erheblich reduziert. FÜR WEN GILT DER DORA? Nach Art. 2 Abs. 1 DORA fallen in den persönlichen An- wendungsbereich von DORA allgemein gesprochen alle Finanzunternehmen, insbesondere Kredit-, Zahlungs- und E-Geldinstitute, Anbieter von Krypto-Dienstleistun- gen, Wertpapierfirmen, Versicherungs- beziehungsweise Rückversicherungsunternehmen, Versicherungsmittler sowie Einrichtungen der betrieblichen Altersvorsorge. 54 54 IT-SICHERHEIT_2/2024 IT-SICHERHEIT_2/2024 Der Digital Operational Resilience Act (Verordnung (EU) 2022/2254 über die Betriebssta-bilität digitaler Systeme des Finanzsektors – im Folgenden „DORA”) hat den Schutz des Finanzsystems vor Cybersicherheits- und IKT-Risiken zum Ziel. Die im DORA festgelegten Pflichten treffen die in den Anwendungsbereich fallenden Unternehmen bereits ab dem 17. Januar 2025. Obwohl die betroffene Finanzbranche bereits jetzt schon streng regu-liert ist, lohnt sich eine möglichst frühzeitige Auseinandersetzung mit den durch DORA zusätzlich eingeführten Verpflichtungen.

RECHT | DORA oder wichtige Funktionen des Finanzunternehmens unterstützen“. Hat ein entsprechender Vorfall Auswir- kungen auf die finanziellen Interessen der Kunden, muss das betroffene Finanzunternehmen diese unverzüglich sowohl über den Vorfall als auch über die Maßnahmen unterrichten, die zur Minderung der nachteiligen Aus- wirkungen eines solchen Vorfalls getroffen wurden. Die ESAs sollen gemeinsam mit der Europäischen Zentral- bank (EZB) und der Agentur der Europäischen Union für Cybersicherheit (ENISA) Kriterien für die Meldepflich- tigkeit von IKT-bezogenen Vorfällen aufstellen. Die Meldung einer Cyberbedrohung ist nach Art. 19 Abs. 2 DORA freiwillig. Sie wird in Art. 2 Nr. 8 des Rechtsakts zur Cybersicherheit (VO (EU) 2019/881) definiert als mögli- cher Umstand, Ereignis oder Handlung, welche Netz- und Informationssysteme, die Nutzer dieser Systeme und an- dere Personen schädigen, stören oder anderweitig beein- trächtigen könnte. Die BaFin hat angekündigt, hierfür ei- nen entsprechenden Meldeweg zur Verfügung zu stellen. Test der operationalen Resilienz DORA sieht als integralen Bestandteil eines IKT-Risiko- managementrahmens ein Programm zum Testen der ei- genen operationalen Resilienz vor. Finanzunternehmen müssen hierbei abhängig von ihrer Größe sowie ihrem Geschäfts- und Risikoprofil Maßnahmen treffen. Diese können etwa in der Analyse von Schwachstellen, Über- prüfungen der physischen Sicherheit oder auch Penetra- tionstests bestehen. Finanzunternehmen müssen diese Tests mindestens einmal jährlich durchführen, sofern die betroffenen IKT-Systeme und -Anwendungen kritische oder wichtige Funktionen unterstützen; Kleinstunter- nehmen sind von dieser Pflicht ausgenommen. Größere Finanzunternehmen sind gem. Art. 26 Abs. 1 DORA zudem verpflichtet, alle drei Jahre bedrohungs- orientierte Penetrationstests (Threat-Led Penetration Testing) durchzuführen. Die zuständige Behörde kann das Finanzunternehmen zudem zur Verringerung oder Erhöhung der Häufigkeit der Tests der operationalen Re- silienz verpflichten. Überwachung von kritischen IKT-Drittdienstleistern Besondere Pflichten entstehen zudem in Bezug auf den Einsatz von sogenannten kritischen IKT-Drittdienstleis- tern. Um potenziellen System- und Konzentrationsri- siken, die aus der Abhängigkeit des Finanzsektors von einigen wenigen IKT-Drittdienstleistern erwachsen, ent- gegenzuwirken, soll DORA einen EU-Überwachungsrah- men für kritische IKT-Dienstleister schaffen. Wer genau als kritischer IKT-Drittdienstleister gilt, wird von den ESA festgelegt. Die Kommission hat hierzu gem. Art. 31 Abs. 6 DORA am 22. Februar 2024 einen delegierten Rechtsakt erlassen, der die Kriterien für die Einstufung von IKT-Dienstleistern als „kritisch“ präzisiert. 56 IT-SICHERHEIT_2/2024 m o e.c b o d k.a c er - sto H. Bra u

VORSCHAU Ausgabe 3|24 JUNI/JULI SPECIAL: ABSICHERUNG KRITISCHER INFRASTRUKTUREN Es ist ein Wettlauf gegen die Zeit: Die digitale Bedrohung wächst und vor allem kritische Infrastrukturen wie Stromnetze, Wasserversorgung und Krankenhäuser stehen im Fokus von Cyberkriminellen und anderen feindlichen Akteuren. Angriffe können massive Auswirkungen auf unsere Gesellschaft haben – von Stromausfällen bis hin zum Verkehrschaos. In unserem Special wollen wir die aktuellen Herausforderungen und Lösungsansätze näher beleuchten: ƒ die neuesten Angriffsmethoden und wie man sich davor schützen kann; ƒ die Rolle von Staat und Wirtschaft bei der Stärkung der Cybersicherheit kritischer Infrastrukturen; ƒ Best-Practice-Beispiele aus der Wirtschaft; ƒ die Zukunft der Cybersicherheit. Seien Sie dabei und erfahren Sie, wie kritische Infrastrukturen vor Cyberangriffen geschützt werden können! (Beitragsangebote für das Special senden Sie bitte an wolfgang.scharf@datakontext.com) Weitere geplante Themen: ƒ Cyberresilienz durch E-Mail-Continuity-Lösung ƒ Wie CROs trotz Regulierung Risiken effizienter managen können ƒ u. v. m. IN UNSEREM VERLAG ERSCHEINEN AUßERDEM NOCH FOLGENDE ZEITSCHRIFTEN 58 IT-SICHERHEIT_2/2024 Verlag: DATAKONTEXT GmbH Standort Frechen Augustinusstr. 11 A · 50226 Frechen www.datakontext.com Chefredaktion: Sebastian Frank (S.F.) E-Mail: s.frank@kes.de Online-Redaktion: Jessica Herz Leitung Online herz@datakontext.com +49 2234 98949-80 Lisa Bieder Konstantin Falke Silvia Klüglich Janek Mazac Chiara Schönbrunn Content von The Hacker News (THN) Gründer: † Bernd Hentschel Grafik/Layout/Satz: Michael Paffenholz Tel.: +49 173 8382572 E-Mail: michael.paffenholz@gmx.de Objekt- und Anzeigenleitung: Wolfgang Scharf Tel.: +49 2234 98949-60 E-Mail: wolfgang.scharf@datakontext.com zzt. gilt die Anzeigenpreisliste Nr. 30 Vertrieb/Herstellung: Dieter Schulz Tel.: +49 2234 98949-99 dieter.schulz@datakontext.com Abonnement: Jahresabonnement € 139,- inkl. VK (Inland) Erscheinungsweise: sechs Ausgaben Alle Preise verstehen sich inkl. MwSt. Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Erscheinungsweise, Bezugspreise und -bedingungen: Abonnement und Bezugspreis beinhalten die Print-Ausgabe sowie eine Lizenz für das Online-Archiv. Die Bestandteile des Abonnements sind nicht einzeln kündbar. Der Preisanteil des Online-Archivs ist auf der Abonnementrechnung separat ausgewiesen. Aboservice: Hüthig Jehle Rehm GmbH, München, Tel.: +49 89 21 83-7110 Druck: Grafisches Centrum Cuno GmbH & Co. KG, Calbe (Saale) © DATAKONTEXT Mit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar. Für unverlangt eingeschickte Manuskripte übernehmen wir keine Haftung. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Verfasser alle Rechte, einschließlich der weiteren Vervielfältigung zu gewerblichen Zwecken. Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheber rechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Ur heberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Genderhinweis: Gleichberechtigung ist uns wichtig! Für eine bessere Lesbarkeit unserer Fachtexte verzichten wir jedoch auf die gendergerechte Schreibweise und nutzen das generische Maskulinum als neutrale grammatikalische Form. Personen- bezeichnungen beziehen sich auf alle Geschlechter. Beilagen: DATAKONTEXT GmbH, Frechen Titelbild: Who is Danny - stock.adobe.com Fotos: Firmenbilder; DATAKONTEXT; DALL·E; (2ragon, Annika, Ar_TH, fotohansel, freshidea, Gorodenkoff, greenbutterfly, H. Brauer, ImageFlow, IRStone, jroballo, monticellllo, pathdoc, Sergey Nivens, svetazi, THAWEERAT, vektorisiert, Wayhome Studio) - stock.adobe.com 30. Jahrgang 2024 · ISSN: 1868-5757

. m o c . e b o d a k c o t s - f f o k n e d o r o G © Verantwortliche für IT-Sicherheit direkt erreichen ▪ Newsletter ▪ Content- Marketing ▪ Webinare & Webkonferenzen Schreiben Sie uns: wolfgang.scharf@datakontext.com www.itsicherheit-online.com | www.kes-informationssicherheit.de