Management und Wissen Die Methoden der Angreifer und Maßnahmen zum Schutz Ransomware im Zeitalter der KI Künstliche Intelligenz (KI) und die Entwick- lungen generativer KI-Tools (GenAI) wie ChatGPT, Bard oder Midjourney sorgen mitt- lerweile fast täglich für Schlagzeilen. Doch auch Cyberkriminelle machen sich KI zunut- ze, etwa um ihre Ransomware-Angriffe noch effizienter zu gestalten. Von Klaus Gheri, Barracuda Networks Bei 69 Prozent der Unternehmen begannen einige der Ransomware-Angriffe mit einer bösartigen E-Mail. Bei Unternehmen mit mehr als 250 Mitarbeitern lag der Anteil sogar bei 75 Prozent. Häufig handelt es sich hierbei um Phishing-Angriffe, bei denen das Opfer zum Beispiel dazu verleitet wird, seine Zugangsdaten preiszugeben. Manchmal lädt der Phishing-Link auch automatisch eine bösartige Datei herunter, beispielsweise einen Key-Logger, um Zugangsdaten abzugreifen, womit Angreifer dann das Netzwerk infiltrieren. Unternehmen, die mehr als einen Angriff erlitten haben, wurden häufig über mehrere Vektoren angegriffen. In 54 Prozent der Fälle erfolgte der Erstangriff über eine Web-Applikation und in 45 Prozent über das Netzwerk. Meist verwenden Angreifer eine Kombination aus mehre- ren Techniken, um Schwachstellen vollständig auszunut- zen. Unabhängig vom Ausgangspunkt des Angriffs ist das Ziel der Kriminellen stets, sich auf der Suche nach Daten lateral durch das Netzwerk zu bewegen und die Vorausset- zungen für einen Ransomware-Angriff zu schaffen. KI-gestützte Ransomware Ransomware breitet sich heutzutage massenhaft aus und ist für Cyberkriminelle eine lukrative und risi- koarme Angriffsmethode, um durch das Verschlüsseln von Daten und das Lahmlegen von Systemen Lösegeld zu erpressen. In über der Hälfte der Fälle greifen die Kriminel- len zudem mittlerweile sensible Daten ab und verlangen zusätzliches Lösegeld, mit der Drohung, die gestohlenen Informationen ansonsten zu veröffentlichen. Die Ein- stiegshürden für Ransomware-Angriffe waren noch nie so niedrig und die Gewinne noch nie so hoch. Bei KI-gestützter Ransomware nutzen Cyberkrimi- nelle neue KI-Technologien, um ihre Angriffe effektiver zu machen. KI und Automatisierung können zur Erstellung von Phishing-, Vishing- (Voice-Phishing per Telefon) und Smishing-Nachrichten (SMS-basiertes Phishing) einge- setzt werden. Die künstliche Intelligenz kann Angriffe auf das Netzwerk und auf Applikationen starten, die Daten- exfiltration in normalem Datenverkehr verstecken sowie die Recherche und das Aushandeln von Lösegeldbeträgen optimieren. Die aktuelle Bedrohungslandschaft Der jüngste Barracuda Ransomware Insights Re- port zeigt, dass 73 Prozent der Unternehmen im Jahr 2022 von einem erfolgreichen Ransomware-Angriff betroffen waren. 38 Prozent sogar mehrmals. Abbildung 1: Wie viele erfolg- reiche Angriffe ha- ben Unternehmen in den letzten 12 Monaten erlebt? (Bild: Barracuda Networks) KI-gestützte Phishing-Angriffe sind eines der frü- hesten Beispiele, wie Angreifer die Technologien nutzen. Dank GenAI-Chatbots wie ChatGPT und anderen Tools zur Verarbeitung natürlicher Sprache (NLP), die große Sprachmodelle (Large Language Model, LLMs) verwenden, können Cyberkriminelle Nachrichten für Phishing-Links erstellen – ohne Tipp- und Grammatikfehler oder andere verräterische Anzeichen dafür, dass die Kommunikation vielleicht nicht echt ist. Hierdurch hat sich die Zahl der Cyberkriminellen, die überzeugende Angriffe koordinie- ren können, drastisch erhöht. Auch werden Angreifer zukünftig besser ausgerüs- tet sein, Schwachstellen im Netzwerk, in Anwendungen sowie anderen Komponenten aufzuspüren und auszunut- zen, da KI einen Großteil der Arbeit für sie mithilfe von Befehlen in natürlicher Sprache übernimmt – fortgeschrit- tene Programmierkenntnisse sind nicht erforderlich. Aktuell erfordert KI noch eine gewisse Steuerung durch eine sachkundige Person. Doch es besteht kein Zweifel, dass KI und Automatisierung für Kriminelle aufgrund der 4 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Tools für die Cyberabwehr, Februar 2024

Cyberkriminalität auf dem Vormarsch: Sichern Sie Ihr Unternehmen effektiv Entdecken Sie die besten Strategien und Praxistipps von Experten, um sich vor den wachsenden Bedrohungen zu schützen. Drei Tipps für Unternehmen: Priorisierung von Maßnahmen: Klare Maßnahmen und Ver- antwortlichkeiten im Fall von Sicherheitsvorfällen definieren. Kombination von Schutz- maßnahmen: Auf Perimeterschutz, Endgerä- teschutz und sichere Back-ups setzen. Schulung und Investition ins Personal: Dafür sorgen, dass Sicherheits- verantwortliche die erforder- lichen Kenntnisse haben, eine geeignete Sicherheitsmanage- mentmethode zu finden, bevor Tools zum Einsatz kommen. Proaktiver Schutz für Ihr Bu siness: Verhindern Sie Cyberangriffe, bevor sie passieren! Mit unserem Seminar gewinnen Sie einen umfassenden Über- blick und erkennen Zusam- menhänge, um die Netzwerk- sicherheit und den Einsatz von Firewalls in Ihrem Unternehmen sicherzustellen. Netzwerksicherheit und Firewall Schulung für IT-Sicherheitsbeauftragte/ Informationssicherheits- beauftragte ISO 27001, ISO 27033, ISO 27035, BSI IT-Grundschutz – Grundlagen, Techniken und Anforderungen Alle Details zur TÜV NORD Akademie Netzwerksicherheit und Firewall Schulung (Kuhn-Informatik Thomas Kuhn GmbH) Sicherheitsbeauftragter, IT- Sicherheitsexperte und Referent der TÜV NORD Akademie, beobachtet einen Wandel in der Qualität der Cy- berangriffe. Ransomware-Attacken, Spyware, Malware-Angriffe und Sa- botage gehören zu den häufigsten Bedrohungen. Der finanzielle Schaden ist nicht das Hauptproblem – vielmehr sind Pro- duktionsausfälle und Geschäftspro- zessstörungen gravierender. Große Unternehmen können Verluste erlei- den, während kleinere Betriebe exis- tenziell gefährdet sind. Aber KMU sind keineswegs machtlos. Denn schon mit wenig Aufwand und einem guten Plan lassen sich Schutzmaß- nahmen realisieren, die im Ernstfall das Schlimmste verhindern. Risikoabwägung ist entscheidend IT-Sicherheit ist Chefsache. Auch Unternehmen mit begrenzten Res- sourcen sollten bestimmte Maß- nahmen nie vernachlässigen. Für kleine Unternehmen, die kein umfas- sendes IT-Sicherheitsmanagement- system einführen können, empfiehlt Thomas Kuhn ein leichtgewichtiges ISMS nach ISO 27001 oder dem BSI- Grundschutz. Die wichtigsten Cyber-Security-Maßnahmen Sicherheitsverantwortlicher im Un ter nehmen: Jedes Unternehmen sollte jemanden benennen, der für IT-Sicherheit verantwortlich ist und Maßnahmen priorisiert. Die Vorbereitung auf Sicherheits- vorfälle ist entscheidend. Perimeterschutz und End- geräteschutz: Die Kombination aus Firewall und Endgeräteschutz schützt die IT-Infrastruktur. Eine Firewall allein reicht nicht aus. Back-up und Restore: Nach einem Angriff müssen Daten wiederhergestellt werden können. Dafür ist ein offline und offsite geschütztes Back-up entscheidend. Die richtige Perspektive: Schutz statt Unüberwindbarkeit Es ist unmöglich, unüberwindbare Mauern gegen Cyberangriffe zu errichten. Stattdessen sollten Un- ternehmen eine ausreichend hohe Hürde errichten, die Angreifer ab- schrecken und die Sicherheit ge- währleisten.

Management und Wissen kennung auf Netzwerkebene oft die einzige Möglichkeit, um für Schutz zu sorgen. In die Kategorie NDR fällt zum Beispiel auch IPS-Technolo- gie (Intrusion-Prevention-Systeme, IPS). Übergreifende Angriffserkennung mit (Managed) XDR Sowohl NDR- als auch EDR-Lösungen entfalten ihr volles Potenzial erst dann, wenn sie mit- einander kommunizieren. Beide liefern wertvolle Telemetriedaten aus der IT-Umgebung, haben aber jeweils ihre eingeschränkte Sicht. Erst, indem man die einzelnen Puzz- leteile zusammensetzt, entsteht ein komplettes Angriffsbild. Viele Cyber- attacken lassen sich nur dann über- haupt erkennen, wenn man Daten vektorübergreifend betrachtet und auch in die Vergangenheit blicken kann. Dafür ist es nötig, Teleme- triedaten aus der gesamten IT-Um- gebung zentral zu speichern und zu analysieren. Für diese Aufgabe eignet sich zum Beispiel ein Security Information and Event Management (SIEM) oder eine Extended-Detecti- on-and-Response-(XDR)-Plattform. Letztere hat den Vorteil, dass sie in aller Regel kostengünstiger ist als ein SIEM und sich Datenquel- len erheblich leichter anbinden lassen. Empfehlenswert ist eine Kombination mit einem Service für Managed XDR: Spezialisierte Securi- ty-Analysten übernehmen dann das 24/7-Monitoring der Plattform und werten die Warnmeldungen aus. Sobald sie eine Bedrohung identifi- zieren, verständigen sie das Unter- nehmen und geben Empfehlungen zu Gegenmaßnahmen. Dadurch ent- lasten sie interne Security-Teams und steigern die Sicherheit. Mit Managed XDR sparen sich Unternehmen ein eigenes SOC. Ein solches aufzubauen und zu betreiben, ist sehr aufwendig, teuer und nur in seltenen Fällen rentabel. Erweiterte Sicherheits- maßnahmen Neben einer effektiven An- griffserkennung gehören zu einer ganzheitlichen Cyber-Defense-Stra- tegie auch Maßnahmen, um die Angriffswahrscheinlichkeit zu mi- nimieren. Eine wichtige Rolle spielt dabei ein Zero-Trust-Ansatz. Konkret bedeutet das: Vertraue niemandem und verlasse dich auf nichts. Jedes System und jeder Nutzer in einer IT-Umgebung muss sich ausweisen. Dafür benötigen Unternehmen Lösungen wie Access-Management und Multi-Faktor-Authentifizie- rung. Doch Zero-Trust geht noch weiter und schließt auch die Mög- lichkeit ein, dass Cyberkriminelle eine Multi-Faktor-Authentifizierung austricksen könnten. Wichtig sind daher kontinuierliches Monitoring und Anomalie-Erkennung in der gesamten dezentralen IT-Umgebung. Empfehlenswert ist insbesondere eine Lösung für E-Mail Detection and Response, da die E-Mail nach wie vor das häufigste Einfallstor für Cyberangriffe ist. Incident Response, Backup und Notfallplan Trotz Zero Trust, umfassen- dem Monitoring und ganzheitlicher Angriffserkennung bleibt immer ein Restrisiko. Zu einer Cyber-De- fense-Strategie gehört daher auch, auf den Ernstfall vorbereitet zu sein. Deshalb schreibt die NIS2-Richtlinie unter anderem Maßnahmen für Incident Handling, Backup-Ma- nagement und Disaster-Recovery vor. Unternehmen brauchen ein Backup-Konzept, das sie vor Da- tenverlust schützt, sowie einen Notfall-Plan, der klare Verantwort- lichkeiten festlegt und Abläufe de- finiert. Außerdem sollten sie bereits im Vorfeld einen professionellen Incident-Response-(IR)-Dienstleister auswählen und sich dessen Verfüg- barkeit vertraglich sichern. Es wäre fatal zu glauben, man könnte einen Cybervorfall ohne professionelle Hilfe meistern. Denn der Stress und die Arbeitsbelastung sind in einer sol- chen Situation enorm. IR-Teams sind auf Notfalleinsätze spezialisiert, kön- nen den Angriff schneller eindäm- men und forensisch untersuchen. Am besten alles aus einer Hand Um die Effizienz zu steigern, Kosten zu sparen und Komplexität zu reduzieren, empfiehlt es sich, möglichst viele Abwehr-Tools aus einer Hand zu beziehen, in einer zentralen Cyber-Defense-Plattform zusammenzuführen und mit einem umfassenden Service-Angebot zu kombinieren. Genau das ermöglicht Trend Micro mit Trend Vision One und Service One Complete. Die XDR-basierte Vision-One-Plattform dient als Cyber-Defense-Schaltzen- trale. Sie bietet eine ganzheitliche Angriffserkennung und stellt die Telemetriedaten bereit, die IR-Teams für ihre Arbeit benötigen. Außerdem unterstützt sie Unternehmen dabei, die Angriffs- wahrscheinlichkeit zu minimieren. Denn die Plattform verbindet XDR mit Attack Surface Risk Management (ASRM): Sie korreliert interne mit externen Security-Informationen und errechnet daraus KI-gestützt die individuelle Risikoexposition der IT-Umgebung. So lassen sich gezielt Maßnahmen ableiten, um die Angriffsfläche zu reduzieren. Die perfekte Ergänzung bietet Trend Micro Service One Complete. Das Dienstleistungspaket umfasst unter anderem Managed XDR und garan- tierten Zugriff auf ein professionelles IR-Team. In der Kombination aus Trend Micro Security-Sensorik, Visi- on One und Service One Complete können Unternehmen mit wenig Eigenaufwand eine effektive Cy- ber-Defense aufbauen. n 8 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Tools für die Cyberabwehr, Februar 2024

Management und Wissen Wie kontinuierliches Security-Monitoring die Cyberverteidigung stärkt Die Abwehr von Cyberbedrohungen steht im Fokus der Secu- rity-Strategie jedes Unternehmens. Ein effektives Monitoring der IT-Sicherheit sollte dabei eine zentrale Rolle spielen. Eine wirksame Erhöhung der Widerstandsfähigkeit des gesamten Netzwerks ist jedoch nur möglich, wenn die Monitoring- Lösung eine umfassende Informationsbasis herstellt und die gewonnenen Sicherheitsinformationen intelligent verknüpft. Von Stefan Mutschler, freier Fachjournalist aus Bad Endorf von Sicherheitslücken oder andere Abwehrmaßnahmen umfassen. Schließlich zielt kontinu- ierliches Monitoring darauf ab, das Schutzschild zu stärken, um die An- griffsfläche zu reduzieren. Dabei geht es um die fortlaufende Verbesserung von Sicherheitsmaßnahmen und -richtlinien, um die Widerstands- fähigkeit des gesamten Netzwerks gegenüber potenziellen Bedrohun- gen zu erhöhen. Auf diese Weise ist kontinuierliches Monitoring essen- zieller Baustein von Sicherheitsarchi- tekturen, wie sie durch einschlägige Standards und Gesetze (PCI DSS, BSI Kriterienkatalog C5, ISO 27001, NIS2 etc.) gefordert werden. Wichtig: system- und herstellerübergreifende Korrelation It doesn‘t matter until you measure it. And if it doesn‘t matter, you shouldn‘t measure it. Nichts ist bedrohlicher als das Unbekannte. Das gilt ganz besonders auch für Cyberangriffe – Unternehmen, die keinen umfassen- den Überblick haben, was in ihrem Netzwerk passiert, sind ein leichtes Opfer und können immer nur reaktiv tätig werden. Proaktive Cyberabwehr erfordert konti- nuierliches Monitoring aller Assets, um über alle Vorgänge im Netzwerk umfassend im Bilde zu sein. Nur so können Chief Information Security Officers (CISOs) und SOC- Teams den Sicherheitsstatus von IT-Netzwerken jederzeit im Blick behalten und Schwachpunk- te in Echtzeit erkennen. Kontinuierli- ches Monitoring macht die operative Sicherheit mess- und steuerbar, in- dem es Sicherheitslücken und Hand- lungsbedarf zeitnah identifiziert und langfristig analysiert. Was kontinuierliches Security-Monitoring ausmacht Kontinuierliches Monito- ring ist ein umfassender Ansatz zur Optimierung der Cybersicherheit, der verschiedene essenzielle Aspekte umfasst. Zunächst einmal beinhaltet es das Sammeln von Sicherheitsin- formationen. Das bedeutet, dass kon- tinuierlich Daten über den Zustand von Systemen, Netzwerken und Anwendungen in einem zentralen Pool zusammenlaufen – angesichts der Vielfalt an Datenquellen und -formaten eine anspruchsvolle Auf- gabe. Diese Informationen werden dann intelligent ausgewertet, um Abweichungen vom erforderlichen Sicherheitsniveau zu identifizieren. Dies führt zum zweiten Kernaspekt des kontinuierlichen Monitorings – die Erkennung von Schwachpunkten im Netzwerk. Für eine wirkungsvolle Cyberabwehr ist es unerlässlich, potenzielle Abwei- chungen von Sicherheitsstandards und Lücken zu erkennen, bevor ein Si- cherheitsvorfall auftritt. Sichtbarkeit und Transparenz der Schwachpunkte im Netzwerk wiederum bilden die Voraussetzung für den dritten Faktor eines zeitgemäßen Monitorings – die Umsetzung proaktiver Maßnahmen, um potenzielle Risiken zu minimie- ren. Dies kann die Isolierung von betroffenen Systemen, das Patchen Ziel des Monitorings ist es also, umfassende Informationen aus verschiedenen Sicherheitsbereichen zu sammeln und zu analysieren, um eine ganzheitliche Aussage über das Sicherheitsniveau zu ermöglichen. Ein entscheidender Punkt ist dabei, dass die Analysen herstel- lerunabhängige Informationen aus unterschiedlichen Sicherheitsberei- chen bieten sollen. Das bedeutet, dass die Sichtbarkeit nicht auf Pro- dukte eines bestimmten Herstellers beschränkt ist, sondern verschiedene Sicherheitssysteme einbezieht. Dies ermöglicht die Korrelation von Infor- mationen, um ein umfassendes Bild des Sicherheitszustands zu erhalten. Damit das effektiv funktio- niert, ist es wichtig, dass möglichst viele Hersteller von Sicherheitssyste- men mit dem Monitoring verbunden sind. Hier kommen Konnektoren oder Kollektoren ins Spiel. Diese Tools dienen dazu, Informationen von verschiedenen Sicherheitssyste- men in das Monitoring-System ein- zuspeisen. Ein großer Vorteil solcher Kollektoren liegt in ihrer Flexibilität, da sie je nach Bedarf ergänzt werden 10 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Tools für die Cyberabwehr, Februar 2024

Interview All-in-One Cyberschutz von Kaspersky Umfassende Cybersicherheit im Gesamtpaket Cybersecurity und die sich ändernde Bedrohungslandschaft stellen Unternehmen vor neue Herausforderungen: So werden durch den Einsatz von künstlicher Intelligenz (KI) Cyberan- griffe – zum Beispiel in Form von Phishingmails – immer schwerer zu erkennen. Gleichzei- tig werden die gesetzlichen Regulierungen verschärft, denen Unternehmen nachkommen müssen. Wie können sich Unternehmen wirksam vor bekannten und unbekannten Gefahren schützen? Ein Interview mit Waldemar Bergstreiser, General Manager Central Europe bei Kaspersky, gibt Aufschluss. Worauf sollten Unternehmen in punc- to Cybersicherheit heu- te achten? Waldemar Bergstreiser ist General Manager Central Europe bei Kaspersky. (Bild: Kaspersky) Die aktuelle Be- drohungslage und neue rechtliche Vorgaben wie die NIS-2-Direktive erfordern, dass Unter- nehmen alle Ebenen der Cybersicherheit im Blick haben: dazu gehören Technologie, Prozesse und Personal. Neben technischen Schutztools wie einer leistungsfähi- gen Anti-Malware oder dem Rollback von schädlichen Aktionen brauchen Unternehmen effiziente IT-Sicher- heitsprozesse. Außerdem müssen sie die Menschen im Unternehmen in die Verteidigung einbeziehen. Können Sie konkrete Bei- spiele nennen? Bei den Geschäftsprozes- sen sollten Unternehmen etwa an einen Krisenplan für Cybervorfälle – Stichwort Incident-Response-Plan – denken, aber eben auch an Vorgaben für starke Passwörter oder an regel- mäßige Software-Patches. Weiterhin wird das Thema Cyberhygiene für Unternehmen immer wichtiger; sie müssen ihr Team durch Securi- ty-Awareness-Trainings auf aktuelle Angriffsszenarien vorbereiten – und zwar egal in welcher Position oder Abteilung sich die Mitarbeiter be- finden. Nicht zu vergessen sind hier die Führungskräfte: Auch sie brauchen Unterstützung, damit sie Cyberbedrohungen verstehen und die richtigen Entscheidungen bei der Budgetplanung oder im Fall eines Angriffs treffen. Die Themen Schulung und das Durchsetzen von Richtlinien sollten weit oben auf der Agenda stehen. Eine aktuelle Kas- persky-Studie [1] zeigt beispielsweise, dass Mitarbeiter für die Sicherheit ein größeres Risiko darstellen als Hacker. So waren in den vergangenen zwei Jahren mehr als ein Drittel (37 Pro- zent) aller Cybersicherheitsvorfälle in Unternehmen in Deutschland auf das Fehlverhalten von Mitarbeitern zurückzuführen; Hacker verantwor- teten lediglich rund 27 Prozent. Wo stehen die Unterneh- men, gemessen an diesem umfas- senden Anspruch? Leider ist hier noch viel Luft nach oben. Eine aktuelle Umfrage von Kaspersky unter IT-Entscheidern in Deutschland zeigt, dass die real im- plementierte Cybersicherheit eher ernüchternd ist. Es fehlt schon an den grundlegenden Sicherheitsmaß- nahmen: Nur 65 Prozent haben eine Passwort-Richtlinie, die kontrolliert wird; nur wenig mehr als die Hälfte, 58 Prozent, erstellen regelmäßig Back ups und nur 15 Prozent führen Angriffssimulationen durch. Außer- dem haben nur 21 Prozent der Un- ternehmen Incident-Response-Pläne parat, die im Fall eines Angriffs das Team anleiten, was zu tun ist. [2] Kann die firmeninterne IT das alles überhaupt leisten? In Zeiten von Personal- mangel – der neben Budgetmangel vor allem auch mittelständische Unternehmen trifft – brauchen Un- ternehmen Unterstützung. Aktuell setzen Unternehmen jeder Größe zunehmend auch auf externe Ex- pertise, um alle Facetten der Cyber- sicherheit abzudecken. Ein verläss- licher Cybersicherheitspartner stellt seinen Kunden neben moderner Schutztechnologie auch Services und Awareness-Schulungen als Gesamt- paket zur Verfügung. Bei Kaspersky nennen wir das unseren All-in-One Cyberschutz. 12 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Tools für die Cyberabwehr, Februar 2024

Management und Wissen Management der externen Angriffsfläche Cybersicherheit und Compliance leicht gemacht Die Angriffsflächen von Unternehmen wachsen exponentiell. Gleichzeitig verschärfen künst- liche Intelligenz (KI) und Automatisierung die Bedrohungslage im Cyberraum. Und mit NIS-2 steigen die Anforderungen an die IT-Sicherheit. Ein externes Angriffsflächenmanagement hilft, die Herausforderungen zu bewältigen. Von Lukas Baumann, LocateRisk GmbH IT-Infrastrukturen, Cloud- Dienste und das Internet der Dinge (IoT) machen die Erkennung von An- griffsflächen zunehmend komplex. Eine wiederkehrende Sicherheits- bewertung der IT-Systeme und An- wendungen ist deshalb Pflicht und wird auch regulatorisch gefordert. Doch bei der Wahl der Methoden scheiden sich die Geister. So taugen Vulnerability-Scanner nach Ansicht vieler IT-Profis allenfalls zum Angst machen, denn zur echten Problemlö- sung. Die Konfrontation mit unzäh- ligen potenziellen Schwachstellen, die zu überprüfen von vornherein alle Ressourcen sprengt, hat für sie LocateRisk macht die Cybersicherheitslage transparent und hilft, die Angriffsfläche zu minimieren. (Bild: LocateRisk) den Nutzen ins Gegenteil verkehrt. Auch negative Erfahrungen mit der Intransparenz teurer, internationaler Cyber-Rating-Lösungen haben zur allgemeinen Skepsis beigetragen. Darüber hinaus nutzt das Wissen um bestehende Sicherheitsmängel natürlich wenig, wenn Zeit, Mittel und Wege fehlen, um die Lücken zu schließen. Doch bei allen Vorbehalten und Widrigkeiten – der Verzicht auf eine automatisierte Bewertung von Schwachstellen ist keine Option. Daher hat LocateRisk eine skalierbare Cybersecurity-Lösung entwickelt, die Unternehmen ein erschwing- liches Monitoring der externen Angriffsflächen ermöglicht und die Optimierungen beschleunigt. Die vollautomatisierte Anwendung ist leicht verständlich, einfach zu be- dienen und sofort startklar für die erste Analyse. Sie verfügt über ein integriertes Schwachstellenmanage- ment, das beim schnellen Delegie- ren von Aufgaben und Absichern der Systeme unterstützt. Gefilterte Ansichten, Aktionspläne, Manage- mentberichte, IT-Sicherheits- oder Compliance-Nachweise, alles ist sekundenschnell erstellt und zum Teilen bereit. Für mehr Sicherheit in der Lieferkette gibt es ein Geschäfts- partner-Risikomanagement, das potenzielle Drittfirmen-Risiken iden- tifiziert, bewertet und die Ergebnisse in einem Dashboard übersichtlich darstellt. Relevanz ist alles Eine fortschrittliche Techno- logie muss die Arbeit für alle erleich- tern. An diesem Satz misst LocateRisk seine Entwicklungen. Auf das Ana- lyseergebnis bezogen bedeutet dies beispielsweise, dass ein identifiziertes Risiko in der Angriffsfläche, das nach eigener eingehender Überprüfung nicht als solches betrachtet wird, im Sinne eines verantwortungsvol- len Schwachstellenmanagements korrigierbar sein muss. Aus diesem Grund können False-Positives in den LocateRisk-Analysen direkt markiert, mit einer Notiz versehen und in der Kritikalität nach eigenem fachlichen Ermessen eingestuft werden. Die Einstufung ist dann für alle weiteren Scans gültig. Für den schnellen Überblick sorgt ein zentra- les Konfigurationsprotokoll, das alle Veränderungen im zeitlichen Verlauf auflistet. So bleiben die manuellen Anpassungen auch für externe Audi- toren nachvollziehbar. Erweiterte Perspektiven Ohne Bewertungssystem keine Orientierung. Weithin be- kannt für die umfassende Beurtei- 14 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Tools für die Cyberabwehr, Februar 2024

News und Produkte News und Produkte Logpoint erweitert seine Converged SIEM-Plattform Logpoint kündigt die Einführung neuer Funk- tionen für seine Converged SIEM-Plattform an, die die Erkennung von Bedrohungen und Sicherheitsoperati- onen verbessern sowie die Fallverwaltung optimieren sollen. Unternehmen können sich laut Hersteller mit den neuen Funktionen auf wesentliche Sicherheitsbe- lange konzentrieren, indem sie den Workload reduzie- ren, die Automatisierung vereinfachen und Ressourcen freisetzen. Die neue Version biete eine höhere Systemstabi- lität und Zuverlässigkeit sowie eine effi zientere Ressour- cennutzung durch die Einführung einer adaptiven Spei- cherverwaltung, die die Speichernutzung automatisch optimiert. Das ermögliche es den Nutzern, Serviceunter- brechungen zu vermeiden und den Zeitaufwand für die manuelle Speichereinstellung zu verringern. Außerdem können sie weitere Nodes hinzufügen und die Sicht- barkeit durch die Freigabe von zusätzlichem Speicher erhöhen. Logpoint verbessert zudem die Konfi guration von Alarmen durch ein einziges Fenster und weniger Klicks. Darüber hinaus wurde die Art und Weise, wie Benutzer Lis- ten auffüllen und aktualisieren, vereinfacht. Jetzt können sie eine Liste von zum Beispiel Indicator of compromise (IoCs), bösartigen Domains, IPs, etc. in einer .CSV oder .TXT Datei hochladen. Dies bietet den Benutzern eine fl exible Möglichkeit, Listen aus verschiedenen Quellen hinzuzufügen, erleichtert ihre Arbeit und trägt dazu bei, die Bedrohungserkennung auf dem neuesten Stand zu halten. Mit dem neuen Update optimiert Logpoint die Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) sowie das Fallmanagement. So werden beispiels- weise Vorfall-Artefakte automatisch in Fälle extrahiert, was zusätzlichen Kontext schafft, die Arbeitsbelastung der Analysten verringert und die Erkennung und Reaktion verbessert. Benutzer können eine neue Playbook-Aktion hinzufügen, um Vorfälle zu lesen und alle extrahierbaren Daten als Artefakte zu dem Fall hinzuzufügen. Darüber hinaus können Sicherheitsteams Protokolle direkt über das Fallmanagement-Tool durchsuchen und die Ergeb- nisse in den Fall zurückführen, was die Untersuchungen zusätzlich vereinfacht. Das neue Update ermöglicht es MSSPs und den- jenigen, die mit verschiedenen Tenants arbeiten, Zeit zu sparen und Fehler bei der Verteilung von Playbooks an Kunden zu reduzieren. Logpoint veröffentlicht generische Playbooks für typische Sicherheitsanwendungsfälle, die einmal aktualisiert und an die Kunden verteilt werden können. Diese Playbooks sind integrationsunabhängig, sodass Tenants mit unterschiedlichen Integrationen von ihnen profi tieren können. Darüber hinaus können MSSPs bei der Verteilung der Playbooks viel Zeit sparen. Führungskräfte KI-Security-Kurs vom SANS Institute Das SANS Institute führt den Kurs „AIS247: AI Security Essentials for Business Leaders“ ein. Der 90-mi- nütige On-Demand-Kurs wird von dem renommierten Experten und SANS Fellow Frank Kim und dem SANS Head of Innovation und Kursautor Dan deBeaubien geleitet. Er wurde speziell für Führungskräfte entwickelt und vermit- telt ihnen das Wissen und die Werkzeuge, die sie benöti- gen, um die Komplexität und die Chancen der künstlichen Intelligenz (KI) in der Geschäftswelt zu meistern. KI ist kein futuristisches Konzept mehr, sondern eine Realität, die Branchen auf der ganzen Welt verändert. Angesichts der rasanten Entwicklung von generativen KI-Technologien ist es für Führungskräfte von entschei- dender Bedeutung, die strategischen Implikationen, die operativen Mechanismen und die damit verbundenen Risiken zu verstehen. Der Kurs AIS247 adressiert diesen kritischen Bedarf und bietet umfassende Einblicke in die Einführung von KI, Tools, Prozesse und die zentrale Rolle der Cybersicherheit bei der Entwicklung von KI. Die wichtigsten Inhalte des Kurses umfassen: ––——— Eingehende Untersuchung von GenAI: Grundla- gen von GenAI verstehen, einschließlich Prompt-Enginee- ring und LLMs ––——— Praktische Anwendungen: Inhalte erstellen, Da- ten analysieren, Software entwickeln und mehr ––——— Risikomanagement und Risikominderung: wich- tige Einblicke in gängige GenAI-Risiken und effektive Strategien zur Risikominderung gewinnen ––——— Entwicklung von KI-Richtlinien: effektive KI-Strategien entwickeln und umsetzen Die Anmeldung ist ab sofort möglich, der Preis für einen Einzelplatz beträgt 289 US-Dollar. 16 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Tools für die Cyberabwehr, Februar 2024

News und Produkte Varonis bietet Data-Security-Posture- Management-(DSPM)-Abdeckung auf Snowfl ake Varonis Systems hat seine cloudnative Datensi- cherheitsplattform um Data Security Posture Management (DSPM) für Snowfl ake erweitert. Tausende Unternehmen nutzen Snowfl ake, um ihre Datenbasis zu vereinfachen, ihre KI-Strategie voranzutreiben und Anwendungen zu entwickeln. Dabei können die User auf einfache Weise Daten speichern, verwalten, freigeben und exportieren, ohne dass IT- oder Security-Teams hierbei involviert sind. Diese Flexibilität kann jedoch, wenn sie nicht effektiv kontrolliert wird, zu einer unbeabsichtigten Datenexpo- sition führen. Deshalb bietet Varonis für Snowfl ake folgende Funktionen zum Schutz sensitiver Data-Warehouses: ––——— zentrale Übersicht über die Datensicherheitslage in Snowfl ake und in der weiteren Cloud-Umgebung ––——— Automatische Erkennung und Klassifi zierung sensitiver Daten in Snowfl ake Data-Warehouses und Da- tenbanken, die besonders geschützt werden müssen ––——— Vereinfachung der Berechtigungen und Redu- zierung der Datenexposition durch die Durchsetzung des Least-Privilege-Ansatzes und die Beseitigung riskanter Fehlkonfi gurationen ––——— kontinuierliche Überwachung der Snow fl ake- Umgebung auf abnormale oder risikoreiche Aktivitäten wie zum Beispiel die Freilegung von Daten im Internet Check Point bringt Quantum Spark 1900 und 2000 mit erweiterter IT-Sicherheit für KMU auf den Markt Das Unternehmen Check Point Software Tech- nologies Ltd. kündigt die Markteinführung der Module Quantum Spark 1900 und 2000 an, den neuesten Ergän- zungen der Firewall-Serie der nächsten Generation. Diese richten sich an kleine und mittlere Unternehmen (KMU). Die Sicherheits-Gateways wurden entwickelt, um KMU vor den sich ständig weiterentwickelnden IT-Bedrohun- gen zu schützen. Sie bieten hochleistungsfähige Netz- werksicherheit in großem Maßstab mit Zero-Touch-Be- reitstellung, fortschrittlichem Cloud-Management und automatisierter Bedrohungsverwaltung. Der Fokus auf KMU ist geboten, denn trotz ihres wichtigen Beitrags zur Weltwirtschaft haben diese Unter- nehmen oft mit begrenzten IT-Fachkräften und Budgets zu kämpfen, wodurch sie fortgeschrittenen Cyberattacken ausgesetzt sind, so Check Point. Obwohl sich viele KMU der wachsenden Risiken bewusst sind und mehr Mittel für die IT-Sicherheit bereitstellen, sind sie immer noch unzureichend geschützt, und nur ein Bruchteil von ihnen führt erweiterte Sicherheitsmaßnahmen und Schulun- gen durch. Um diesen Herausforderungen zu begegnen, wenden sich immer mehr KMU an Managed Service Provider (MSP), die umfassende und maßgeschneiderte IT-Sicherheitslösungen anbieten. Es wird daher erwartet, dass bis 2025 ungefähr 40 Prozent der Ausgaben für IT-Si- cherheit durch KMU auf MSP entfallen werden, was ihre entscheidende Rolle beim Schutz dieser Unternehmen unterstreicht. Fortinet aktualisiert seine OT-Sicherheitlösungen Fortinet hat die Einführung neuer, integrierter Operational-Technology-(OT)-Sicherheitslösungen und -services angekündigt. Die Fortinet OT-Security-Platt- form umfasst ein integriertes Portfolio von Cybersecu- rity-Produkten, -Lösungen und -Services, die speziell für industrielle Netzwerke entwickelt wurden und auf Echt- zeit-OT-Threat-Intelligence basieren. Als Teil der Fortinet Security Fabric bietet die OT-Security-Plattform Kunden ei- nen umfassenden Einblick in ihre gesamte Umgebung und ermöglicht so eine sichere IT/OT-Konvergenz. Darüber hinaus bietet die Plattform Unternehmen die Möglichkeit, ein Zero-Trust-Modell in ihren OT-Umgebungen zu im- plementieren. Dies ermöglicht einen sicheren Fernzugriff auf OT-Assets und -Systeme für Remote-Mitarbeiter und externe Dienstleister. Der neue FortiSwitch Rugged 424F ist ein Ether- net-Switch (IES) für die Industrie, der entsprechend für die Anforderungen digitaler Umspannwerke und des Ener- giesektors entwickelt wurde. Der Switch unterstützt Echt- zeit-OT-Netzwerkprotokolle und lässt sich mit FortiGate Next-Generation-Firewalls (NGFWs) für umfangreiche Sicherheit und Zugriffskontrolle integrieren. Der ebenfalls neue FortiAP 432F Access Point erfüllt die Anforderungen der Klasse 1, Division 2. Diese bezieht sich auf eine Zerti- fi zierung für den Einsatz von OT-Lösungen in Gefahren- bereichen. Damit lassen sich industrielle Wi-Fi-Netzwerke segmentieren, um die Ausbreitung von Angriffen auf un- geschützte Geräte und Systeme zu verhindern. Mit dieser Erweiterung der IP67-zertifi zierten Access-Point-Reihe können nun auch OT-Anwendungen in Hochrisiko-Bran- chen wie Öl- und Gasindustrie eingesetzt werden. Darüber hinaus ist das „FortiExtender Vehicle 211F“-Wireless- Gateway eine semi-robuste Mobilitätslösung für Connec- ted Fleets, mobile Systeme und OT-Bereitstellungen. Außerdem erfüllt es die Anforderungen des drahtlosen AT&T FirstNet-Kommunikationsnetzwerks für Ersthelfer und Personal in Leitstellen. FortiOS, das Betriebssystem von Fortinet, wurde um das OT View Dashboard erweitert, das wichtige OT-Daten korreliert und aufbereitet. Mit diesem Dashboard können Unternehmen ihre gesamte Angriffsfl äche – sowohl IT als auch OT – überblicken und entsprechende Maßnahmen von einer einzigen Konsole aus ergreifen. n 18 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Tools für die Cyberabwehr, Februar 2024

Die einheitliche Cybersecurity-Plattform für Ihr Unternehmen Global Leader in Cybersecurity Entdecken Sie, was möglich ist: trendmicro.com/one 20 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Tools für die Cyberabwehr, Februar 2024 ©2023 Trend Micro, Inc. All rights reserved

IT-Grundschutz Basis-Absicherung 1, 2, 3, Eckstein In drei Schritten zur Basis-Absicherung als Grundstein der Informationssicherheit – wie (nicht nur) Kommunen ihre Security effektiv aufbauen können Gerade Kommunen und ihre IT-Dienstleister sind aufgrund der Sensibilität von verwalteten Daten sowie zunehmender Digitalisierung anfällig für verschiedene Cyberbedrohungen und müssen somit umfassende Sicherheitsmaßnahmen implementieren. Der vorliegende Beitrag erläutert detailliert, wie kommunale Einrichtungen und andere Institutionen, die bisher nur wenige Sicherheitsvorkehrungen oder kein Informationssicherheits-Managementsystem (ISMS) etabliert hatten, die Basis-Absicherung gemäß IT-Grundschutz als effektiven Einstiegs- punkt nutzen können. Diese bietet einen zugänglichen Rahmen, um Maßnahmen schritt- weise zu implementieren und die Informationssicherheit zu stärken. z t u h c s d n u r G - T I Von Heike Knobbe, Nürnberg In Bezug auf die Informationssicherheit in Deutschland zeigt sich eine heterogene Landschaft – ge- rade auf kommunaler Ebene. Während Bundesbehörden über separat gesicherte Regierungsnetze mit zentrali- sierten Abwehrmaßnahmen verfügen, gestaltet sich die Informationssicherheit auf kommunaler Ebene differen- zierter: Derzeit existieren keine bundesweit einheitlichen Richtlinien hinsichtlich der Informationssicherheit oder Meldepflichten für Informationssicherheitsvorfälle auf kommunaler Ebene. Dies führt dazu, dass Kommunal- behörden unterschiedliche Ansätze zur Sicherung ihrer IT-Infrastrukturen verfolgen – es mangelt an einer Stan- dardisierung, was die Reaktion auf und den Umgang mit Informationssicherheits-Vorfällen betrifft. Dieser Mangel an einheitlichen Vorgaben beeinträchtigt die Effekti- vität und Konsistenz der Sicherheitsmaßnahmen und erschwert die Fähigkeit zum koordinierten Umgang mit potenziellen Bedrohungen. Mit der Verabschiedung des EU-Cybersicher- heitsgesetzes von 2019 hat die Europäische Union den Startschuss für eine fortlaufende Harmonisierung einheit- licher Anforderungen an die Cybersicherheit gesetzt. Die anschließende Veröffentlichung der Richtlinie über Maß- nahmen für ein hohes gemeinsames Cybersicherheitsni- veau in der Union (NIS-2-Richtlinie, [1]) konkretisiert die Stärkung des Sicherheitsniveaus in allen Mitgliedstaaten unter anderem anhand verpflichtender technischer und organisatorischer Maßnahmen (TOM) für eine Vielzahl es- senzieller Sektoren – darunter die öffentliche Verwaltung. Der heiß diskutierte Entwurf des NIS-2-Umset- zungs- und Cybersicherheitsstärkungsgesetz (NIS2Um- suCG, vgl. [2]) in Deutschland lässt dabei weiterhin viel In- terpretationsspielraum, wie eine konkrete Umsetzung ab Oktober 2024 aussehen könnte. Begleitet von massivem Widerspruch wird es jedoch nach aktuellem Diskussions- stand keine flächendeckenden Vorgaben für Kommunen auf Länderebene geben [3,4]. Akute Bedrohungen Warum ein Verharren in der aktuellen Situation dennoch fatal sein kann, verdeutlicht ein Rückblick auf Cyberangriffe auf Kommunen in den vergangenen Jahren: Laut Lagebericht der IT-Sicherheit in Deutschland 2023 [5] gab es insgesamt 27 Fälle von Ransomware-Angriffen, die kommunale Verwaltungen und Betriebe erfasst haben. Die betroffenen Kommunen repräsentierten eine Vielfalt in Bezug auf Größe und Typ, von einer ländlichen Ge- meinde mit circa 2000 Einwohnern bis zu einer Großstadt mit knapp zwei Millionen Einwohnern – die Gesamtein- wohnerzahl der betroffenen Kommunen belief sich auf knapp sechs Millionen. Die Auswirkungen erstreckten sich häufig auf die Stadt- oder Kreisverwaltungen, jedoch wurden auch andere Bereiche wie Nahverkehrsbetriebe, städtische Energieversorger, Wohnungsbaugesellschaften und Stadtreinigungsbetriebe von den Angriffen betrof- fen – der Friedhofsbetrieb einer Großstadt blieb ebenfalls nicht verschont. © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2024#1 27

wendungen und IT-Systemen zu erkennen und die Auswirkungen von Informationssicherheitsvorfällen ab- zuschätzen. Diese Ersterfassung der Geschäftsprozesse, Anwendungen und IT-Systeme dient schon jetzt als Basis für den dritten Schritt – die Durchführung des Sicherheitspro- zesses. Die Dokumentation der Ersterfassung kann jedoch zu einem späteren Zeitpunkt vervollständigt werden. Sollten bereits Management- systeme (z. B. zum Risiko- oder Qua- litätsmanagement) vorhanden sein, lassen sich häufig Teile daraus auch für den Aufbau des Sicherheitspro- zesses verwenden. Schritt 2: Organisation Sobald in der Leitlinie zur Informationssicherheit die grundle- genden Prinzipien und Sicherheits- ziele für den Schutz von Informa- tionen einer Institution festgelegt sind, geht es im zweiten Schritt an die Umsetzung und Aufrechterhal- tung der Informationssicherheit. Zunächst müssen dazu klare Zustän- digkeiten und Verantwortlichkeiten definiert werden. Dabei unterstreicht die Aufbauorganisation für das In- formationssicherheits-Management die Wichtigkeit und trägt bei allen Mitarbeitern* dazu bei, das Bewusst- sein für die Bedeutung des Themas Informationssicherheit zu schaffen. Beim Aufbau einer Sicher- heitsorganisation ist die Größe einer Institution zu berücksichtigen und die Rollen sollten an die Struktur der Institution angepasst werden. Das kann beispielsweise bedeuten, dass kleinere Institutionen weniger spezi- alisierte Rollen als größere haben. Der ISB fungiert als Bindeglied zwischen der IT-Abteilung, der Leitung der Institution und anderen Beteiligten, wie etwa Fachverantwortliche. Un- abhängig davon müssen diejenigen, die eine Rolle übernehmen, über die dafür erforderlichen Kompetenzen und Fähigkeiten verfügen. Weiterbil- dungs- und Schulungsmöglichkeiten sollten gezielt ausgewählt werden, um Mitarbeiter für die anstehenden Aufgaben zu befähigen. Bei der Zuweisung von Rol- len und Funktionen an Personen sind Interessenkonflikte zu vermeiden – keine Rolle sollte unangemessenen Einfluss auf Sicherheitsentschei- dungen oder -prozesse haben. Idea- lerweise wird eine Differenzierung nach Aufgaben und Funktionen im Bereich der Informationssicherheit vorgenommen. Ein weiterer wich- tiger Faktor für die Gewährleistung eines integrierten Sicherheitsma- nagements ist die Zusammenarbeit zwischen verschiedenen Rollen und Abteilungen: Die Leitung der Institu- tion hat hier einen entscheidenden Einfluss darauf, dass das Thema Informationssicherheit abteilungs- übergreifend als gemeinsames Ziel verfolgt wird. Dazu gehört ebenfalls, dass Informationssicherheit als üb- licher Bestandteil der täglichen Ar- beitsabläufe wahrgenommen wird. Abbildung 2: Sicherheitsstrategie als zentrale Komponente des ISMS Abbildung 2 stellt den Zu- sammenhang zwischen der Leitlinie zur Informationssicherheit und der Sicherheitsstrategie als zentrale Kom- ponente des ISMS dar. Bereits wäh- rend der Planung und Konzeption des Sicherheitsprozesses sind externe wie interne Einflussfaktoren zu iden- tifizieren. Diese dienen als Basis für weitere Betrachtungen in Bezug auf das angestrebte Sicherheitsniveau der Institution und werden ebenfalls in der Leitlinie zur Informationssi- cherheit dokumentiert. Zu den externen Einflussfak- toren zählen beispielsweise nationale wie internationale gesetzliche An- forderungen und Vorschriften sowie (falls vorhanden) branchenspezi- fische Sicherheitsstandards – Anfor- derungen von Kunden, Lieferanten und Geschäftspartnern sind ebenfalls zu berücksichtigen. So fordert etwa NIS-2 die Gewährleistung der Sicher- heit für die gesamte Lieferkette, was bedeutet, dass auch Dienstleister oder Lieferanten der von NIS-2 betrof- fenen Organisationen verpflichtet werden können, strikte Sicherheits- vorkehrungen zu implementieren. Nicht zu vernachlässigen sind außerdem die Einflüsse glo- baler Bedrohungen auf die Ge- schäftstätigkeit der Institution und dadurch entstehende Informations- sicherheitsrisiken. Darüber hinaus sind die Wettbewerbssituation und marktspezifische Abhängigkeiten zu betrachten. Zu den internen Einfluss- faktoren zählen die Geschäftsziele und -aufgaben der Institution. Dabei gilt es, die wesentlichen Ge- schäftsprozesse und Fachaufgaben zu identifizieren. Meist existieren bereits diverse Dokumente, um sich einen angemessenen Überblick verschaffen zu können – hilfreich sind beispielsweise Prozesslandkar- ten, Geschäftsverteilungspläne, IT- Netzpläne, Inventarlisten et cetera. Dies ermöglicht, Abhängigkeiten zwischen Geschäftsprozessen, An- ] 7 [ 1 - 0 0 2 d r a d n a t S - I S B : e l l e u Q © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2024#1 29

Zur Priorisierung der Umset- zung von Sicherheitsanforderungen aus den Bausteinen wird empfohlen, im IT-Grundschutz-Kompendium das Kapitel „Schichtenmodell und Modellierung“ [8] heranzuziehen. Dort finden sich Vorschläge für die Reihenfolge der Bausteine: Die Kennzeichen R1, R2 und R3 geben an, ob diese üblicherweise vor- oder nachrangig umzusetzen sind – in Abhängigkeit von individuellen Rahmenbedingungen können Insti- tutionen jedoch eine abweichende Reihenfolge festlegen. IT-Grundschutz-Check Im Rahmen des IT-Grund- schutz-Checks wird der Status quo der Umsetzung hinsichtlich der Basis-Anforderungen der model- lierten Bausteine erhoben. Als Er- gebnis erhält man einen Überblick darüber, welche der Sicherheitsan- forderungen vollständig oder unzu- reichend erfüllt sind und kann somit bcmacademy.de das vorhandene Sicherheitsniveau der Institution ableiten. Es empfiehlt sich, den IT-Grundschutz-Check in drei Phasen durchzuführen: Vorar- beiten, Soll-Ist-Vergleich und Doku- mentation. formulierten Soll-Anforderungen dem tatsächlichen Ist-Stand gegen- übergestellt und der Umsetzungs- stand (Umsetzungsstatus) gemein- sam mit den Ansprechpartnern ermittelt. Zu den Vorarbeiten zählt, die relevante Dokumentation zu sichten und zu bewerten (z. B. Handbücher, Richtlinien, Arbeitshinweise, Dienst- anweisungen etc.). Durch eine gewis- senhafte Dokumentenvorprüfung lässt sich der Aufwand für die nächste Phase reduzieren. Darüber hinaus müssen die internen und externen Ansprechpartner für die Sicherheits- anforderung aus den Bausteinen identifiziert und schließlich Inter- views mit diesen terminiert werden. Daran anschließend kann man in der zweiten Phase, dem Soll-Ist-Vergleich, im Rahmen von Interviews den Umsetzungsstand der Sicherheitsanforderung feststellen. Dazu werden die in den Bausteinen In der letzten Phase sind die Ergebnisse geeignet zu doku- mentieren. Für eine Dokumentation des Umsetzungsstatus hat das BSI „Checklisten zum IT-Grundschutz- Kompendium“ [9] als Hilfestellung veröffentlicht. Außerdem kann die Dokumentation in einem ISMS-Tool [10] oder tabellarisch erfolgen. Realisierung der Maßnahmen Ist die Dokumentation des IT-Grundschutz-Checks abgeschlos- sen und liegen die Ergebnisse vor, lässt sich die Sicherheitskonzeption bereinigen und konsolidieren – un- geeignete Sicherheitsanforderungen werden hierbei verworfen und Wi- 8. BCM Summit HAMBURG 01. und 02. Oktober 2024 Gastwerk Hotel Hamburg Das Original Jetzt Kurs nehmen auf den 8. BCM Summit. Zum mittlerweile 8. Mal setzen wir wieder alles in Bewegung, damit auch dieser BCM Summit das Highlight des Jahres wird. Natürlich war dies nur möglich durch Ihre hohe Akzeptanz, Unterstützung und das zahlreiche Erscheinen Jahr für Jahr. Danke! So viel Zuspruch motiviert: Freuen Sie sich auf jede Menge brandaktuelle Themen von absoluten Top-Referent:innen, die wir nach Hamburg lotsen. Das Ganze natürlich wie immer absolut sturmsicher vorgetragen in spannenden Workshops, Acts und Vorträgen. Mit dem Insiderwissen unserer Referent:innen bleiben Sie immer auf Kurs: Ob Breaking News, starke Inhalte oder wertvolle Erstinformationen – nutzen Sie den Summit für Ihre berufliche Zukunft! Worauf warten Sie? Let‘s summit! Jetzt aber fix anmelden ... Viel frischer Wind also aus allen Richtungen des BCM, ITSCM, Krisenmanagement und Resiliencemanagement. bcmacademy.de summit@bcmacademy.de Hotline: +49(0)40 284 842 860 8.BCM SUMMIT DIE CONVENTION DER BCM ACADEMY HAMBURG

– Geschäftsprozesse oder Vermö- genswerte, die von existenzieller Bedeutung für die Institution sind, werden dabei vorrangig abgesichert. Die Standard-Absicherung hat hingegen zum Ziel, alle Bereiche einer Institution angemessen zu schützen – ihr Vorgehen entspricht der klassischen IT-Grundschutz-Me- thodik. Sowohl für die Kern- als auch die Standard-Absicherung ist eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz möglich. Es ist wichtig zu betonen, dass Informationssicherheit ein fortlaufender Prozess ist. Alle Verant- wortlichen sollten sich der Tatsache bewusst sein, dass implementierte Sicherheitsmaßnahmen regelmäßig überprüft, aktualisiert und an neue Bedrohungen angepasst werden müssen. Die Sicherheitslandschaft unterliegt einem stetigen Wandel – daher sollte man einen langfristigen und ganzheitlichen Ansatz zur In- formationssicherheit verfolgen. Das umfasst nicht nur die Betrachtung technischer Aspekte, sondern auch organisatorische, prozessuale und menschliche Faktoren. Eine Institu- tion kann – unabhängig von ihrer Größe – Sorge dafür tragen, dass beispielsweise die Mitarbeiter durch Schulungsmaßnahmen sensibilisiert sowie regelmäßige Sicherheitsbewer- tungen durchgeführt werden und eine kontinuierliche Anpassung an neue Entwicklungen erfolgt. Was ist „angemessen“? Im Bereich der Informati- onssicherheit wird der Begriff „An- gemessenheit“ meist im Kontext von Sicherheitsmaßnahmen verwendet. Das bedeutet, dass die getroffenen Maßnahmen die Integrität, Ver- traulichkeit und Verfügbarkeit der Informationen und IT-Systeme einer Institution sicherstellen müssen, aber gleichzeitig im Verhältnis zu den identifizierten Risiken und Bedrohungen zu betrachten sind. Das BSI definiert folgende fünf Merkmale für die Angemessenheit von Sicherheitsmaßnahmen: Wirk- samkeit, Eignung, Praktikabilität, Akzeptanz und Wirtschaftlichkeit (siehe Abb. 4). Abbildung 4: Merkmale angemessener Sicherheitsmaßnahmen (nach [6]) Fazit Die vielseitige und hetero- gene Informationssicherheitsland- schaft in Deutschland sowie eine massive Häufung erfolgreicher Cy- berangriffe unterstreichen die Not- wendigkeit einheitlicher Cybersi- cherheitsstandards auf kommunaler Ebene. Angriffe, die von kleinen Gemeinden bis hin zu Großstädten reichen, betonen die Vielfalt betrof- fener Institutionen und zeigen, dass es Kommunen derzeit nicht gelingt, ein solides Informationssicherheits- niveau aufzubauen. Weitreichende, vielfältige Herausforderungen – da- runter die große Aufgabendichte, übermäßig komplexe IT-Strukturen, Fachkräftemangel und knappe Budgets – verschärfen die Situation zusätzlich. Auch wenn Kommunen voraussichtlich nicht Ziel der weit- reichenden Anforderungen des NIS2UmsuCG werden, besteht drin- gender Handlungsbedarf – „so wei- Werden Sie Fachkraft für IT-Sicherheit! Kostengünstiges und praxisgerechtes Fernstu- dium ohne Vorkenntnisse. Vorbereitung auf das SSCP- und CISSP-Zertifikat. Ein Beruf mit Zukunft. Beginn jederzeit. GRATIS-Infomappe gleich anfordern! Te s t s t u d i u m o h n e R i s i k o ! Fernstudium Datenschutz- beauftragter TÜV FERNSCHULE WEBER - seit 1959 Telefon 04487 / 263 - Abt. C99 Telefon: 04487 / 263 www.fernschule-weber.de www.fernschule-weber.de