IT-S_2023_1

IT-S_2023_1_eMag

HZ214712 · ISSN 1868-5757 · www.itsicherheit-online.com Februar/März 1/2023 Zielscheibe künstliche Intelligenz Bedrohungen und Schutzmaßnahmen SPECIAL in Kooperation mit dem Krankenhaus-IT Journal IT-Sicherheit im Krankenhaus ▪ Prävention und Transparenz: Mit welchen Maßnahmen sich Angriffsflächen verringern lassen ▪ Sicheres Arbeiten: Wie der Webbrowser vor Angriffen geschützt werden kann ▪ Moderne Gefahrenabwehr: Mensch und Maschine im Team ▪ Inklusive Marktüberblick von Anbietern und deren Lösungen Trügerische Sicherheit Auch Multi-Faktor-Authentifizierung ist nicht unfehlbar MS 365 und Datenschutz Was auf Unternehmen zukommt Phishing- Simulationen Viel Aufwand, wenig Nutzen?

WER KLICKT, HAT SCHULD? Mittlerweile hat gefühlt fast jeder Anbieter eine Phishingsimulation im Programm. Aber lohnt sich das für Unternehmen? Steigt dadurch die Awareness der Mitarbeiter und das nachhaltig? Aus der Lerntheorie ist bekannt, dass man am besten lernt, wenn auf einen gleichen Reiz immer die gleiche Reaktion erfolgt. Das heißt bezogen auf Phishingsimulationen: Wenn ich innerhalb eines Trainings eine vermeintliche Phishing-E-Mail vom Chef bekomme, lerne ich, nicht auf Links darin zu klicken und keine Anhänge zu öffnen. Allerdings muss ich danach wieder E-Mails vom Vorgesetzten öffnen, die eben Anhänge oder Links enthalten, ansonsten gibt es höchstwahrscheinlich Ärger. Das Gelernte ist also dahin. Das zeigt auch eine Studie der ETH Zürich, so gibt es keine nennenswerten positiven Effekte von Phishingsimulationen und eingebetteter Trainings auf das tatsächliche Klickverhalten der Mitarbeiter. Was also kann man stattdessen tun? Darauf haben unsere Autoren von Ruhr- Universität Bochum im Beitrag ab Seite 16 eine Antwort. Künstliche Intelligenz (KI) ist nicht erst seit der Diskussion um ChatGPT ein Thema. Schon heute haben viele Sicherheitsprodukte ab Werk eine KI mit dabei – jedenfalls wird damit fleißig geworben. Das Besondere an ChatGPT & Co. ist jedoch die Erstellung recht guter Texte. Daraus ergeben sich für Kriminelle und für Sicherheitsdienstleister interessante Anwendungsmöglichkeiten. So befürchtet man, dass Angreifer das Tool für Spam-E-Mails oder die Entwicklung von Malwarecode nutzen. Auf der anderen Seite testen die Verteidiger gerade, wie es sich in Sicherheitsprodukte integrieren lässt, zum Beispiel um schnell Berichte und Zusammenfassung über Sicherheitsverletzungen zu erstellen. Darüber hinaus sollte man aber auch dringend die KI selbst schützen, meinen unsere Autoren ab Seite 72. Man stelle sich nur vor, gelänge es Kriminellen, einer KI in einem Fahrassistenzsystem vorzumachen, dass ein Stopp-Schild Vorfahrt bedeutet. Special IT-Sicherheit im Krankenhaus In dieser Ausgabe finden Sie zudem das Special IT-SICHERHEIT IM KRANKENHAUS (ab Seite 29). Mehr denn je müssen Krankenhäuser alles daransetzen, im Rahmen ihrer Digitalisierung eine erfolgreiche Verteidigung aufzubauen. Wertvolle strategische und technische Anregungen dazu liefert unser Special, das wir gemeinsam mit unserem Kooperationspartner Krankenhaus-IT Journal umgesetzt haben. In eigener Sache Als Stefan Mutschler im Jahr 2007 zur IT-SICHERHEIT kam, sprach man noch von Viren und Würmern für Handys, das erste iPhone war gerade auf den Markt gekommen und USB-Sticks überstiegen die Speicherkapazität einer CD-ROM um fast 50 Prozent. In der IT-Welt ist seitdem viel passiert – und Stefan begleitete in der IT-SICHERHEIT die Securitytrends erst als freier Journalist und später als Chefredakteur der Zeitschrift. Sein Anliegen war es dabei immer, den Lesern konkrete Hilfen für ihre Arbeit zu bieten und sie über alles Wichtige zu informieren. Und das hat er auch geschafft: Das Heft wurde zu einer festen Größe in der Szene. Neben der Chefredaktion gibt es aber auch andere Projekte, die einen Journalisten reizen können. Damit wünschen wir ihm viel Glück und sagen herzlich: Danke, Stefan Mutschler! Ihr Sebastian Frank EDITORIAL Sebastian Frank twitter.com/it_sicherheit24 www.itsicherheit-online.com/ newsletter IT-SICHERHEIT_1/2023 3

72 ANGRIFF AUF DIE KÜNSTLICHE INTELLIGENZ SPECIAL: IT-SICHERHEIT IM KRANKENHAUS 29 EDITORIAL 14 Mehr als nur Datenschutz COMPLIANCE-KONFORM KOMMUNIZIEREN 16 Security-Awareness-Kampagnen sind weniger wichtig als man denkt WOZU SENSIBILISIEREN WIR? 3 Wer klickt, hat Schuld? MANAGEMENT | MANAGED SECURITY NEWS 6 8 Unternehmens-News Produkt-News 11 Aus der Szene 20 Unternehmen müssen ihre Disaster-Recovery professionalisieren MODERNE NOTFALLPLANUNG 22 Mit dem Einsatz von privaten 5G-Netzen ergeben sich neue Anforderungen WIE SICH 5G-NETZE SICHER BETREIBEN LASSEN SCHWERPUNKT: E-MAIL-SICHERHEIT UND SPAM-ABWEHR CYBERSICHERHEIT 12 Wie Angreifer Multi-Faktor-Authentifizierung 26 Professionalisierung der Gefahrenabwehr darf umgehen TRÜGERISCHE SICHERHEIT keine Frage der Unternehmensgröße sein SECURITY-OPERATIONS-CENTER FÜR ALLE 4 IT-SICHERHEIT_1/2023

INHALTSVERZEICHNIS 16 SECURITY-AWARENESS- KAMPAGNEN SIND WENIGER WICHTIG ALS MAN DENKT SECURITY-OPERATIONS- CENTER FÜR ALLE 26 29 SPECIAL: IT-SICHERHEIT IM KRANKENHAUS 66 DATENSCHÜTZER UND MICROSOFT 365 RECHT SERVICES 61 Europäischer Rechtsrahmen für Cybersecurity 69 Buchbesprechung NIS 2: WAS SIE ÜBER DIE NEUEN SICHERHEITSVORGABEN WISSEN MÜSSEN IT- UND DATENSCHUTZ-COMPLIANCE FÜR UNTERNEHMEN 66 Datenschützer und Microsoft 365 ÜBERS ZIEL HINAUS AUS DER FORSCHUNG 78 VORSCHAU: Ausblick auf Ausgabe 2 | 2023 78 Impressum ADVERTORIAL 72 Bedrohungen und Schutzmaßnahmen ANGRIFF AUF DIE KÜNSTLICHE INTELLIGENZ 25 NIS-2- und RCE-Richtlinie | KRITIS-Dachgesetz IT-SICHERHEIT_1/2023 5

NEWS | UNTERNEHMEN KNOWBE4 TRITT DER MICROSOFT IN- TELLIGENT SECURITY ASSOCIATION BEI KnowBe4 tritt der Microsoft Intelligent Security Association (MISA) bei und integriert sein neues SecurityCoach-Produkt in die Microsoft-Sicher- heitsprodukte Azure Active Directory und Defender for Cloud Apps. Man arbeite zusammen, um durch Produktintegration zur Unterstützung von Echtzeit-Sicherheits-Coaching riskantes Verhalten zu reduzieren. SecurityCoach hilft IT-Sicherheitsexperten bei der Entwicklung einer star- ken Sicherheitskultur, indem es Echtzeit-Sicherheits-Coaching für ihre Benutzer als Reaktion auf gefährliches Sicherheitsverhalten ermöglicht. „Microsoft schließt sich unserem Ökosystem von Technologiepartnern an, das schnell wächst, um die Unterstützung für unsere Kunden auszu- bauen und die menschliche Firewall ihrer Organisation zu stärken“, sagt Stu Sjouwerman, CEO von KnowBe4. Das Unternehmen wird Schritt-für- Schritt-Anleitungen und weitere Empfehlungen bereitstellen, um IT- und IT-Sicherheitsexperten bei der schnellen Integration und Datensynchro- nisierung während des Implementierungsprozesses zu unterstützen. n IPOQUE KOOPERIERT MIT TU CHEMNITZ Die ipoque GmbH kooperiert mit der Technischen Universität Chemnitz zu einem Forschungsvorhaben im Bereich Cybersicherheit: Der Förder- aufruf des Bundesamts für Sicherheit und Informationstechnik (BSI), dem ipoque im September 2022 folgte, trägt den Titel „Cyber-Sicherheit und digitale Souveränität in den Kommunikationstechnologien 5G/6G“. Der Fokus der ipoque, einer Tochter von Rohde & Schwarz, liegt dabei auf der Forschung an einem System, das den Betreibern den sicheren Betrieb von Mobilfunknetzen ermöglicht. Die Bewerbung erfolgte in Koope- ration mit der Technischen Universität Chemnitz. Dadurch würden sich Forschung und Entwicklung bestmöglich ergänzen. Gleichzeitig ist ein stetiger Austausch mit Mobilfunkausrüstern geplant, um ein möglichst großes Anwenderspektrum zu gewährleisten. Die Realisierung des Pro- jekts unterstütze somit nicht nur den Wissenstransfer, sondern sichere zugleich Arbeitsplätze, fördere die Unabhängigkeit der Mobilfunk- und Sicherheitsbranche und trage zur digitalen Souveränität Deutschlands bei, so ipoque. Bisher wird in 5G-Netzen meistens der sogenannte „Security by obscurity“-Ansatz gewählt: So wird zwar das Netzwerk seitens der Mobilfunknetzbetreiber und Unternehmen als sicher verkauft, doch die Sicherheit der Systeme selbst kann nicht ohne Offenlegung ihrer jewei- ligen Funktionsweisen bewiesen werden. Dadurch können Angreifer Schwachstellen identifizieren und ausnutzen, die dem Hersteller gege- benenfalls unbekannt sind. Die von ipoque entwickelte Lösung soll dies verhindern, wobei die Bewertung und Gewährleistung der Sicherheit von 5G- und 6G-Mobilfunknetzen angestrebt wird. Nutzer und Betreiber pro- fitieren dabei gleichermaßen von den aktuellen Techniken. n 6 IT-SICHERHEIT_1/2023 SYSDIG EXPANDIERT IN DEN DEUTSCHEN MARKT Sysdig, ein Anbieter von Cloud- und Containersicherheit, baut seine Prä- senz in der DACH-Region aus. „Die Entwicklungen der vergangenen Jahre haben uns gezeigt, dass proaktive Cybersicherheit für Unternehmen je- der Größe ein Muss ist“, erläutert Stefan Buchberger, Marketing Manager CEMEA bei Sysdig. „Mit unserer Präsenz in der DACH-Region, unseren Lösungen für Kubernetes-, Container- und -Cloud-Security sind wir nun bestens positioniert, um Unternehmen vor wachsenden Bedrohungen zu schützen.“ Rückblickend auf das Jahr 2022 konnte das Unternehmen nach eigenen Angaben die Neukundenakquise im Vergleich zum Vorjahr mehr als verdoppeln. Darüber hinaus habe man seine globale Präsenz erwei- tert und betreut nun Kunden in über 40 Ländern; die 60 größten Kunden haben einen durchschnittlichen Jahresumsatz von mehr als einer Million US-Dollar. Sysdig analysiert täglich mehr als sieben Millionen Container für Hun- derttausende von Anwendungen. Ende letzten Jahres wurde das Unter- nehmen in die Liste der „Fast 500“ von Deloitte aufgenommen und von Frost & Sullivan im Global CNAPP Radar Report des Analystenunterneh- mens als führend in Sachen Innovation und Wachstum anerkannt. Frost & Sullivan ernannte Sysdig außerdem zum Container-Unternehmen des Jahres 2022. n SECUNET SCHLIESST MIT REKORD- UMSATZ AB Der secunet-Konzern hat das Geschäftsjahr 2022 nach eigenen Angaben mit einem neuen Bestwert beim Umsatz abgeschlossen: Nach vorläu- figen Berechnungen wurde ein Konzernumsatz von rund 345 Millionen Euro erzielt. Damit habe man die kommunizierte Umsatzprognose von rund 320 Millionen Euro deutlich und den bisherigen Rekordumsatz des Geschäftsjahres 2021 von 337,6 Millionen Euro leicht übertroffen. Das Konzernergebnis vor Zinsen und Steuern (EBIT) belief sich nach den vorläufigen Zahlen auf rund 47 Millionen Euro – es liegt damit jedoch unter der Ergebnisprognose (circa 50 Millionen Euro) und dem Vorjahres- wert (63,9 Millionen Euro). Das führt der Konzern insbesondere auf das akquisitionsbedingte Belegschaftswachstum zurück. Zusätzlich wirkten sich erhöhte planmäßige Abschreibungen sowie gestiegene Fremdleis- tungskosten auf das Ergebnis aus. n COMFORTE WIRD PARTNER BEI G4C Den Netzwerken an Cyberkriminellen lässt sich nur wirksam entgegen- treten, wenn hoch spezialisierte Teams aus interdisziplinären Bereichen zusammenarbeiten. Und das auf höchster Ebene, wie Michael Deissner, CEO der comforte AG, betont: „Derartige Angriffe sind zur ständigen Her- ausforderung geworden. Der Aufbau einer wirkungsvollen Cyberabwehr ist daher eindeutig Chefsache.“ Konsequent setze sich das Unternehmen daher für den Ausbau entsprechender Netzwerke ein, die sich zu einem Schutzschild in Sachen Cybersecurity formieren. Deswegen ist comforte eine Partnerschaft mit dem Verein German Competence Center against Cybercrime (G4C) eingegangen. G4C verbindet Know-how, Frühwarnsys-

tem und Informationsplattform, auf der sich die Partner über Präven- tionsstrategien und Maßnahmen austauschen, Erfahrungen bündeln und so für alle Beteiligten nutzbar machen. Für Peter-Michael Kessow, Geschäftsführer von G4C, erweitert die neue Partnerschaft die Kompe- tenz des Vereins zusätzlich: „Mit unserer Arbeit wollen wir einen Beitrag zur Erhöhung der Sicherheit im Cyberraum leisten. Dazu gehört, das Netzwerk zur Prävention auszubauen. Wir freuen uns daher, mit comforte ein Partnerunternehmen gewonnen zu haben, das mit seiner internationa- len Expertise wertvolle Impulse in unsere Arbeit einbringt.“ G4C wurde 2014 als gemeinnütziger Verein in Wiesbaden gegründet. Die Gründungs- mitglieder kommen vorwiegend aus dem Finanz- bereich. Der Verein kooperiert mit dem Bundes- kriminalamt wie auch mit dem Bundesamt für Sicherheit in der Informationstechnik. n Michael Deissner, CEO der comforte AG (Bild: comforte AG) NTT ERWEITERT PORTFOLIO UM SASE- LÖSUNG VON PALO ALTO NETWORKS Das Unternehmen NTT Ltd. ergänzt sein Managed-Campus-Networks- Portfolio um die Lösung Prisma SASE des Cybersicherheitsanbieters Palo Alto Networks. Prisma ist eine ganzheitlich verwaltete „Secure Access Service Edge (SASE)“-Lösung, die SD-WAN, Sicherheit aus der Cloud sowie verbesserte Automatisierung und Reporting umfasst. Durch die Kombi- nation von Netzwerk- und SD-WAN-Funktionen mit cloudbasierter Si- cherheit erhalten Nutzer unabhängig von ihrem Standort einen sicheren Zugriff auf Anwendungen und sensible Daten. „Cloud Computing braucht IT-Sicherheit“, erklärt Kai Grunwitz, CEO von NTT Germany. „Mit Palo Alto Networks und NTT haben sich zwei starke Partner für eine flexible Best-of-Breed-Lösung gefunden, die Sicherheit und Kontrolle mit einfachem Handling und Nutzerfreundlichkeit ver- bindet. Unternehmen können damit alle Vorteile von Cloud Computing nutzen, ohne Kompromisse bei den Security-Standards eingehen zu müssen.“ n KASEYA ERWEITERT GLOBALES PARTNERPROGRAMM Kaseya erweitert sein globales Partnerprogramm und verstärkt die In- vestitionen in Channel-Partner unter anderem durch die Verdopplung der Marketingzuschüsse und ein größeres Team. „Seit dem Erwerb von Datto arbeiten wir an der Ausweitung des äußerst erfolgreichen glo- balen Partnerprogramms, damit ganz Kaseya davon profitiert“, so Fred Voccola, CEO von Kaseya. Partner können nun unterschiedliche Stufen erreichen: Silber (1.000 EUR), Gold (25.000 EUR), Platin (100.000 EUR) und Blue Diamond (250.000 EUR). Ab sofort können Kunden ihre Ausgaben für Datto und Kaseya kombinieren, wodurch viele von ihnen eine höhere Stufe erreichen. Je nach Stufe können die Kunden auf Services wie die Unterstützung durch das Enablement-Team, technische Live-Webinare, 24/7/365-Kundensupport, kostenlose Eintrittskarten für Branchenveran- staltungen und vieles mehr zugreifen. n UNTERNEHMEN | NEWS IT-SA UND SECIT VEREINBAREN PARTNERSCHAFT Die beiden IT-Sicherheitsmessen it-sa Expo&Congress und secIT by Heise kooperieren im Rahmen einer Event-Partnerschaft. Ziel ist die gegen- seitige Stärkung in der Bewerbung beider Veranstaltungen. Auch ein direkter Transfer auf inhaltlicher Ebene ist geplant: So werden sich Heise- Experten auf der digitalen Dialogplattform it-sa 365 mit regelmäßigen Beiträgen einbringen. „it-sa Expo&Congress im Süden und secIT by Heise im Norden ergänzen sich perfekt. Durch die Termine im Frühjahr und Herbst können sich Teilnehmer zweimal jährlich umfassend zum Thema IT-Security informieren. Spannende und inhaltlich fundierte Vorträge und Workshops runden das umfassende Programm ab. Ausstellern bieten beide Events die optimale Plattform, ihre Produkte und Services zu prä- sentieren und mit Teilnehmern ins persönliche Gespräch zu kommen. IT- Sicherheit ist nicht nur eines der wichtigsten, aktuellen Themen, sondern stets Teamwork! it-sa und secIT gehen hier gemeinsam voran“, erläutert Jörg Mühle, Mitglied der Geschäftsleitung bei Heise Medien. n BVD KOOPERIERT MIT HOCHSCHULE ANSBACH Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) und die Hochschule Ansbach geben eine neue Kooperation bekannt. Man wolle zusammen Studierenden eine praxisnahe Ausbildung im Bereich Datenschutz und IT-Sicherheit ermöglichen. Die Kooperation umfasst unter anderem einen Austausch von Referenten zwischen dem BvD und der Hochschule sowie die Schaffung einer kostenlosen Praktikumsbörse auf der Verbandswebsite bvdnet.de. Darüber hinaus besteht für Hoch- schulmitarbeiter die Möglichkeit, Fachartikel im Fachmagazin BvD-News zu veröffentlichen. Auch eine kostenfreie Probemitgliedschaft im BvD für Studierende der Hochschule Ansbach ist Teil der zum Jahresbeginn ge- starteten Zusammenarbeit n BEYOND IDENTITY ERHÄLT FIDO2- ZERTIFIZIERUNG Beyond Identity hat die FIDO2-Zertifizierung erhalten. Die Authentisie- rungsplattform des Anbieters vereinfacht die Einführung passwortloser Authentisierung und phishingresistenter Multifaktor-Authentifizierung (MFA) auf Basis offener Standards in Unternehmen erheblich. Beyond Identity geht über die offenen FIDO2-Standards hinaus, indem der An- bieter eine kontinuierlich risikobasierte Authentisierung bietet, die den Sicherheitsstatus von Geräten auswertet und die Entscheidung, ob ein Zugriff gestattet wird, mithilfe zusätzlicher Risikosignale von Endpoint- Detection-and-Response-(EDR)-, Extended-Detection-and-Response- (XDR)- und Mobile-Device-Management-(MDM)-Systemen trifft, um eine vollständige Lösung zur Zero-Trust-Authentisierung zu schaffen. n IT-SICHERHEIT_1/2023 7

NEWS | PRODUKTE KRITERIENKATALOG TSI.STANDARD V4.4 AKTUALISIERT Die TÜV Informationstechnik GmbH (TÜVIT) hat den TSI.STANDARD in der überarbeiteten Version 4.4 veröffentlicht. Die Revision ersetzt damit die bisherige Version 4.3 und wird ab sofort bei neuen Prüf- und Zertifizie- rungsprojekten zugrunde gelegt. In Anlehnung an die Aktualisierung der europäischen Rechenzentrumsnorm DIN EN 50600 sind unter anderem Kriterien aus den Prüfgebieten CON (Construction – Baukonstruktion) und SEC (Security Systems & Organization – Sicherheitssysteme und -organi- sation) überarbeitet und entsprechend angepasst worden. Zudem wurden die Begrifflichkeiten aus dem Bewertungsbereich POW (Power Supply – Energieversorgung) an die der „DIN EN 50600-2-2: Stromversorgung“ an- geglichen. Neu hinzugekommen sind zudem Kriterien hinsichtlich Wald- und Flurbrandgefährdung, Brandschutz bei Lithium-Ionen-Batterien und Schutz bei Fotovoltaik-Anlagen. Mit der Einarbeitung dieser Änderungen in den TSI.STANDARD greift dieser die aktuellen Entwicklungen auf und spiegelt in der Version 4.4 damit den derzeitigen Normenstand wider. Da- rüber hinaus sind für ein besseres Verständnis eine Reihe an Kriterienbe- schreibungen noch einmal präzisiert worden. n Der TSI.STANDARD in der überarbeiteten Version 4.4 (Bild: TÜV Informations- technik GmbH) LOGPOINT INTEGRIERT CHATGPT IN SOAR-LÖSUNG Logpoint hat eine ChatGPT-Integration für seine Security-Orchestration- Automation-and-Response-(SOAR)-Lösung in einer Laborumgebung veröffentlicht. Sie soll es Nutzern ermöglichen, mit dem Potenzial des mithilfe künstlicher Intelligenz gesteuerten Chatbots zu experimentieren. Logpoint SOAR vereinfacht die Untersuchung von Sicherheitsvorfällen mithilfe von Management-Tools, die Security-Analysten dabei unterstüt- zen, die Reaktion auf Vorfälle zu automatisieren. Sie wird mit einer Reihe von vorkonfigurierten Playbooks ausgeliefert und bietet außerdem die Möglichkeit, benutzerdefinierte Playbooks zu erstellen, um die Erken- nungs- und Reaktionsprozesse zu automatisieren. zeitlichen Ereignissen einer Untersuchung versorgen, um aus den An- griffen Entwürfe für Sicherheitsverletzungsberichte zu generieren, die ein Analyst vor der weiteren Verteilung überprüfen und genehmigen muss, was viel Zeit für die Berichterstattung spart. Kurze Zusammenfassungen: Ein SOAR-Playbook kann lange Compli- ance-Berichtstexte in ChatGPT einspeisen, um eine für Führungskräfte leicht lesbare Zusammenfassung der wichtigsten Ergebnisse und Ab- hilfeempfehlungen zu erstellen. Glaubwürdiges Bewusstseinstraining: Die SOAR-Integration von ChatGPT kann einen Teil der Sensibilisierungsschulung automatisieren. ChatGPT generiert automatisch Phishing-E-Mails, und das SOAR-Play- book extrahiert Daten von LinkedIn, reichert sie mit E-Mail-Adressen und Verbindungen aus vergangenen Protokollen an und sendet die Phishing-E-Mail an ausgewählte Empfänger, wobei gemessen wird, wie viele durchklicken und wie viele das Phishing-Response-Team alarmieren. n ZENTRALE ÜBERSICHT VON MS-365- FREIGABEN Die neue Version der Identity-und-Access-Management-Lösung tenfold 2022 R2 baut die Unterstützung von Microsoft 365 weiter aus: Eine zen- trale Übersicht für die Dienste SharePoint, OneDrive und Teams ermög- licht die Kontrolle aller Cloud-Freigaben. Schon bisher war es in tenfold möglich, Konten und Rechte in der Microsoft Cloud zentral, automatisiert und im Einklang mit lokalen Systemen zu verwalten. Mit dem Update 2022 R2 kommt nun eine Übersicht aller geteilten Daten hinzu. Durch Fil- termöglichkeiten für die Dienste Teams, SharePoint und OneDrive sowie interne oder externe Freigaben lassen sich potenziell kritische Freigaben dabei schnell identifizieren. Diese zentrale Übersicht sei entscheidend, um das Filesharing-Chaos in MS 365 zu stoppen, das in vielen Organisati- onen vorherrsche. Die Oberﬂäche von tenfold 2022 R2 (Bild: tenfold) Mithilfe der ChatGPT-Integration können Unternehmen nun das Potenzi- al von SOAR-Playbooks mit ChatGPT in der Cybersicherheit untersuchen. Zeitersparnis bei Berichten über Sicherheitsverletzungen: Ein SOAR- Playbook kann ChatGPT mit dem Schweregrad und den wichtigsten Des Weiteren ergänzt Version 2022 R2 tenfold um ein neues Plugin für die Softwareverteilungslösung Matrix42 Empirum. Über diese Schnitt- stelle können Organisationen bei der Zuweisung von Berechtigungen und Software-Lizenzen in tenfold nun gleichzeitig die Installation von Anwendungen auf dem Endgerät des jeweiligen Users auslösen. Die Aus- 8 IT-SICHERHEIT_1/2023

stattung neuer Benutzer mit Standardrechten und -Programmen werde so erheblich erleichtert. Durch die Einbindung in das zentrale Reporting von tenfold sehen Verantwortliche neben den Zugriffsrechten einer Per- son außerdem, über welche Anwendungen diese verfügt. n ANGRIFFSERKENNUNG FÜR MEHR CYBERSICHERHEIT IM MITTELSTAND Derzeit geraten immer mehr kleine und mittelständische Firmen ins Vi- sier von IT-Angriffen. Die Deutsche Cyber-Sicherheitsorganisation GmbH (DSCO) erweitert ihr Angebot nun um die Kombilösung „Threat Detection & Hunting (TDH) Complete“, die Netzwerk- und Endpunktdaten sowie zusätzliche Kontextinformationen für Transparenz und Gefahrenab- wehr korreliert. „Erst das Zusammenspiel verschiedener Datenquellen erlaubt die bestmögliche Erkennung moderner Angriffe“, erklärt Stefan Steinberg, Director Cyber Defense Business & Communities. „Diese Da- ten müssen Unternehmen ständig im Blick behalten, da Angriffe gern auch nachts oder am Wochenende stattfinden. Mit unseren erweiterten Diensten bieten wir kleinen und mittelständischen Unternehmen einen Rundumschutz als Managed Service, damit die Verantwortlichen wieder ruhig schlafen können.“ n ROHDE & SCHWARZ CYBERSECURITY DEMONSTRIERT QUANTENSICHERE VERSCHLÜSSELUNG Im Projekt Munich Quantum Network (MuQuaNet) arbeitet die Univer- sität der Bundeswehr München unter anderem gemeinsam mit dem Unternehmen Rohde & Schwarz Cybersecurity daran, ein quantensiche- res Kommunikationsnetz für Forschung und Evaluierung zu entwickeln, aufzubauen, zu betreiben sowie weiteren Forschungseinrichtungen und Behörden zur Verfügung zu stellen. Im Rahmen des Projekts wurde nun ein wichtiger Meilenstein Richtung hochsichere quantenresistente Netze erreicht: Das von Rohde & Schwarz Cybersecurity neu entwickelte Schlüsselmanagementsystem zur Einbindung von Quantum-Key-Distri- bution-(QKD)-Schlüsseln in die Netzwerkverschlüsseler der Produktfa- milie R&S SITLine wurde erfolgreich getestet. Diese schützen Kunden vor Spionage und Manipulation von Daten, die per Ethernet über Festnetz, Richtfunk oder Satellit übertragen werden. Sie erfüllen die vielfältigen Anforderungen von staatlichen Institutionen, Unternehmen und KRITIS und sind vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zugelassen. n NEUE SAAS-BASIERTE SICHERHEITS- LÖSUNG VON F5 F5 hat die Lösung F5 Distributed Cloud App Infrastructure Protection (AIP) auf den Markt gebracht. Sie erweitert den Schutz auf cloudnative Infra- strukturen. AIP basiert auf der mit der Akquisition von Threat Stack er- worbenen Technologie und ergänzt das „F5 Distributed Cloud Services“- Portfolio von cloudnativen Diensten für die Sicherheit und Bereitstellung von Anwendungen. PRODUKTE | NEWS Angriffe, die beispielsweise Log4j und Spring4Shell ausnutzen, können signaturbasierte Erkennungsmechanismen umgehen und Schwachstellen sowie Fehlkonfigurationen in der Anwendungsinfrastruktur gezielt atta- ckieren. Distributed Cloud AIP bietet eine tiefe Telemetrie-Erfassung und eine Intrusion-Detection für cloudnative Workloads. In Kombination mit der Inline-Anwendungs- und API-Sicherheit von F5 Distributed Cloud WAAP ermögliche dies einen Defense-in-Depth-Ansatz. Dieser schützt vor Bedro- hungen, die sich über Anwendungen, APIs und die zugehörigen cloudnati- ven Infrastrukturen erstrecken. n AUTOMATISIERTES POSTURE- MANAGEMENT ZUR BEHEBUNG VON CLOUD-FEHLKONFIGURATIONEN Varonis hat ein automatisiertes Posture-Management vorgestellt, das Unternehmen bei der Behebung von Sicherheits- und Compliance-Lü- cken in ihren Software-as-a-Service-(SaaS)- und Infrastructure-as-a-Ser- vice-(Iaas)-Umgebungen unterstützt. Die neue Funktion scannt, erkennt und priorisiert kontinuierlich Cloud-Sicherheitsrisiken und verschafft CISOs, Sicherheits- und Compliance-Verantwortlichen einen Echtzeit-Ein- blick in ihre Datensicherheitslage, so der Anbieter. Durch die Automati- sierungsfunktion können sie nun Fehlkonfigurationen in Anwendungen wie Salesforce und AWS automatisch über eine einzige Oberfläche mit nur einem Klick beheben. Die neue Funktion stelle einen bedeutenden Fortschritt für die Cloud- Datensicherheit dar. Passive Data-Security-Posture-Management- (DSPM)-Lösungen erfordern zeit- und ressourcenaufwendige manuelle Arbeitsabläufe: Helpdesk-Tickets müssen geöffnet, von einem Mitarbei- ter manuell überprüft und für jede einzelne Cloud-Anwendung bearbei- tet werden. Im Gegensatz dazu biete Varonis nun einen einheitlichen und automatisierten Ansatz zur Reduzierung der Multi-Cloud-Angriffsfläche. Das Posture-Management ist die jüngste von zahlreichen Funktionen, die Varonis kürzlich eingeführt hat. So stellte das Unternehmen zuletzt seine Least-Privilege-Automatisierung für Microsoft 365, Google Drive und Box sowie ein anpassbares DSPM-Dashboard vor. n Mit Posture-Management lassen sich Konﬁgurationsrisiken schnell erkennen und beheben. (Bild: Varonis) IT-SICHERHEIT_1/2023 9

tengremium aus Wirtschaft und Praxis entwickelt. Zertifizierte Audit- Partner prüfen die Lösungen der Hersteller, die sich aktiv für das Label bewerben. Neben Tresorit haben bereits Organisationen wie Swisscom, SwissRe und Credit Suisse ihre digitalen Dienste zertifizieren lassen. Weitere sollen folgen. n BÖSARTIGE BOTS ERKENNEN UND ABWEHREN Airlock stellt die Anti-Bot-Lösung Anomaly Shield als Teil seines Secure Access Hubs vor. Deren verhaltensbasierte Erkennung ergänze den klas- sischen, regelbasierten Schutz von Webanwendungen und API-Schnitt- stellen. Schädliche Bots und deren Techniken wie Content-Scraping, Denial-of-Service oder Credential-Stuffing werden erkannt und blockiert. Mit der Forechecking-Funktion werden Angreifer schon in der Aufklä- rungsphase abgeschreckt, zum Beispiel bei deren Suche nach Einfalls- toren mit Schwachstellenscans. Darüber hinaus werden unbekannte und automatisierte Angriffsversuche aufgehalten. Während der Inbetriebnahme lernt die Bot-Detection-Lösung, wie sich die echten Benutzer einer Anwendung verhalten. Für das „Unsuper- vised Learning“ werden die Rohdaten aufbereitet und aggregiert, um die Präzision und Trefferquote zu optimieren. Die in der Trainingsphase geübten Machine-Learning-Modelle bilden die Charakteristika der Busi- ness-Anwendung ab. Im Betrieb werden dann alle aktiven Sitzungen permanent mit dem gelernten Verhalten verglichen. Falls die Abwei- chung zu groß ist, wird die Sitzung als Ausreißer gekennzeichnet. Ob im Anschluss eine Anomalie nur protokolliert wird oder ob die Sitzung ter- miniert und die IP-Adresse blockiert wird, lässt sich laut Airlock für jede Anwendung getrennt steuern. n Das Anomaly Shield von Airlock (Bild: Ergon Informatik AG 2023) NEWS | PRODUKTE DATTO STELLT LÖSUNGEN FÜR SICHE- REN REMOTE-ZUGRIFF FÜR KMU VOR Datto hat die zweite Generation seiner Cloud-Managed-Switches veröf- fentlicht. Zudem kündigte das Unternehmen die weltweite Verfügbarkeit der sicheren Remote-Access-Lösung „Datto Secure Edge“ an. Diese neuen Netzwerklösungen ergänzen die bestehenden Produktreihen von Wi-Fi 6 Access-Points und integrierten Routern. Darüber hinaus bietet Datto sei- nen Partnern neue Möglichkeiten für den Kauf von Networking-Produk- ten: Kleine und mittlere Unternehmen (KMU) können nun wählen, ob sie Datto-Netzwerklösungen mit einer Vorauszahlungsoption für Hardware in Verbindung mit einem Support-Service-Abonnement kaufen oder ob sie die Hardwarekosten aufteilen und dem Service-Abonnement hinzufügen. Die für ein einfaches und effizientes Remote-Management konzipierten Switches lassen sich über die Cloud managen. Einrichtung und Inbetrieb- nahme dauern laut Hersteller nur wenige Minuten. Die Geräte wurden für den Einsatz in einer Vielzahl von unterschiedlichen Unternehmen- sumgebungen entwickelt, sind in Konfigurationen mit geringer, mittlerer und hoher Dichte erhältlich und verfügen über skalierbare Power-over- Ethernet-Anschlüsse an allen Kupferports. n SCHUTZ VOR QR-CODE-PHISHING Hornetsecurity bringt zwei neue Tools – den QR Code Analyzer und Se- cure Links – zur Bekämpfung wachsender Cyberbedrohungen auf den Markt. Damit reagiere man auf die zunehmende Anzahl gefälschter QR- Codes und die anhaltende Bedrohung durch Phishing. Das Unternehmen stellt außerdem eine neue automatisierte Lösung für die Migration von Postfächern vor. Damit können Partner Microsoft 365 sicher in der Cloud für ihre Kunden einsetzen und betreiben. Untersuchungen des Hornetsecurity Labs haben ergeben, dass Cyberkri- minelle immer häufiger QR-Codes in E-Mails verwenden, um an vertrauli- che Daten zu gelangen. Um dieser Bedrohung zu begegnen, erweitert der Anbieter seine Advanced Threat Protection und 365 Total Protection Suite für Microsoft 365 mit dem QR Code Analyzer. Dieser ermittelt, ob QR-Codes auf bösartige Websites verweisen, und findet versteckte QR-Codes, die beispielweise in Bildern eingebettet sind. Die Einführung des Features „Se- cure Links“ werde ebenfalls dazu beitragen, Cyberangriffe zu verhindern. Der neue Service lässt alle E-Mail-Links durch ein sicheres Web-Gateway laufen, bevor der Empfänger den Link öffnen kann. n TRESORIT ERHÄLT „DIGITAL TRUST LABEL“ Um die Vertrauenswürdigkeit digitaler Anwendungen anhand objekti- ver Kriterien zu bewerten, hat die unabhängige Non-Profit-Organisation Swiss Digital Initiative 2022 das „Digital Trust Label“ ins Leben gerufen. Zu den ersten Lösungen, die mit dem Siegel ausgezeichnet sind, gehört nun die Digital-Workspace-Plattform von Tresorit. Das Label bescheinigt einen besonders sicheren wie vertrauensvollen Umgang mit Nutzern, Daten und deren Verarbeitern. Den Kriterienkatalog für das noch junge Label hat die Swiss Digital Initiative in Kooperation mit der Eidgenössi- schen Technischen Hochschule Lausanne (EPFL) sowie einem Exper- 10 IT-SICHERHEIT_1/2023

AUS DER SZENE | NEWS Claudia Plattner ist neue Präsidentin des BSI Vertrauenswürdig- keits-Plattform für KI-Lösungen Claudia Plattner (Bild BMI/ECB) Zum ersten Mal soll eine Frau an der Spitze einer Sicherheitsbe- hörde im Bereich des Bundesinnenministeriums stehen. Wegen ihrer IT-Sicherheitsexpertise und ihrer Managementerfahrung in der Europäischen Zentralbank (EZB) will Bundesinnenministerin Nancy Faeser die derzeitige Generaldirektorin für Informationssysteme der EZB, Claudia Plattner, als neue Präsidentin des Bundesamts für die Si- cherheit in der Informationstechnik (BSI) berufen. Faeser hat mit dem Bundesamt in den kommenden Jahren viel vor. Mit Claudia Plattner an der Spitze möchte sie das BSI wesentlich stärken – wie in der Cybersicherheitsagenda bereits formuliert. So sollen die digitalen Bürgerrechte und die IT-Sicherheit weiter gestärkt werden. IT-Sicherheit sieht sie als eine staatliche Pflicht. „Claudia Plattner bringt die Erfahrung und Expertise mit, die wir in diesen besonders herausfordernden Zeiten für die Cybersicherheit brauchen. Ich bin daher sicher, dass die Herausfor- derungen wie der Schutz kritischer Infrastrukturen und unseres Staates vor Cyberbedrohungen bei ihr in sehr guten Händen sein werden.“ Seit Juli 2021 ist Claudia Plattner Generaldirektorin für Informationssysteme bei EZB in Frankfurt und damit bei der EZB für die Cybersicherheit und die Steuerung aller Digitalisierungsprozesse sowie weitere wesentliche stra- tegische Fragen verantwortlich. Zuvor war sie seit 2017 Chief Information Officer bei der DB Systel GmbH in Frankfurt. Die an der Technischen Univer- sität Darmstadt und an der Tulane University in den USA ausgebildete Ma- thematikerin ist insgesamt bereits seit etwa 20 Jahren im IT-Bereich tätig. Damit sie ihre Aufgaben in der EZB noch weiter wahrnehmen und überge- ben kann, wird Claudia Plattner zum 1. Juli 2023 die Leitung des BSI über- tragen. Bis dahin leitet Vizepräsident Dr. Gerhard Schabhüser weiter das Amt. Er wurde im vergangenen Oktober kommissarisch eingesetzt, nach- dem der langjährige BSI-Präsident Arne Schönbohm von Nancy Faeser wegen mutmaßlicher Beziehungen zu einem Verein mit Verbindungen nach Russland abberufen worden war. Heute ist Schönbohm Präsident der Bundesakademie für öffentliche Verwaltung. n Das Institut für Internet-Sicherheit – if(is) der Westfälischen Hochschule Gelsenkirchen startet mit einem dreijährigen Forschungsprojekt „Vertrauenswürdigkeits-Plattform für KI- Lösungen und Datenräume“. Das Projekt wird im Rahmen der Innovati- onsoffensive künstliche Intelligenz (KI) mit insgesamt rund 1,7 Millionen Euro durch das Bundesministerium für Digitales und Verkehr gefördert. Das Ziel hierbei ist, eine Vertrauenswürdigkeits-Plattform so zu gestal- ten, dass es Anwendern ermöglicht wird, Vertrauen in Herstellerunter- nehmen sowie deren KI-Lösungen und Datenräume aufbauen zu können. Um diese Anforderung zu erfüllen, wird Herstellern auf der Plattform die Möglichkeit eröffnet, sowohl die Vertrauenswürdigkeit ihres Unterneh- mens als auch die ihrer KI-Lösungen und Datenräume im Rahmen einer Vertrauenswürdigkeitsagenda zu dokumentieren. Dieser Vorgang ge- schieht in Selbstauskunft, soll laut if(is) jedoch in einem gewissen Grad extern validiert werden. Daneben wolle man zusätzliche sinnvolle Nutzungsoptionen zur Ver- fügung stellen – hierzu gehört unter anderem eine Indexstruktur, die einen komprimierten Vergleich aller Herstellerunternehmen basierend auf relevanten und standardisierten Kriterien bieten soll. Ergänzend dazu offeriert ein Reputationssystem den Anwendern von KI-Lösungen und Datenräumen die Möglichkeit, Hersteller bezüglich ihrer dargelegten Vertrauenswürdigkeitsaspekte mithilfe von objektivierbaren Kriterien zu bewerten. Darüber hinaus werden branchenbezogen kooperativ mit relevanten Stakeholdern weitere Informationen bereitgestellt, die dazu beitragen, Vertrauen aufzubauen. n IT-SICHERHEIT_1/2023 11 Bild: Urupong - stock.adobe.com

SCHWERPUNKT: E-MAIL-SICHERHEIT UND SPAM-ABWEHR Wie Angreifer Multi-Faktor-Authentifizierung umgehen TRÜGERISCHE SICHERHEIT Die meisten MFA-Lösungen lassen sich durch Man-in-the-Midd- le-(MITM)-Angriffe umgehen. Kriminelle bringen dafür Endbenutzer dazu, auf eine betrügerische URL zu klicken, die ihn zu einem bösartigen Proxy-Dienst umleitet. Dieser erfasst dann alles, was der Benutzer auf einer vermeintlich legitimen Website eingibt, einschließlich des MFA-Anmeldecodes. Ein typi- scher Ablauf eines solchen Angriffs sieht so aus: 1. Der Angreifer schickt eine Phishing-E-Mail, die eine URL zu einer gefälschten, ähnlich ausse- henden Website enthält, die in Wirklichkeit ein bösartiger MITM-Proxy ist. 2. Betreff und Inhalt der E-Mail verleiten den Benutzer zum Besuch der bösartigen MITM- Proxy-Website. 3. Der Benutzer gibt seine Anmeldedaten ein, die der Proxy, der sich nun wiederum als der legitime Benutzer ausgibt, auf der rechtmäßi- gen Website nutzt, um sich anzumelden. 4. Die legitime Website schickt ein korrektes Sitzungs-Token zurück, das ein Angreifer dann 12 IT-SICHERHEIT_1/2023 stiehlt und erneut abspielt, um die Session des Benutzers zu übernehmen. zers aufzeichnet, damit er vom Computer des Angreifers aus verwendet werden kann. Es gibt Dutzende, wenn nicht Hunderte von Möglichkeiten, diese Art von Angriff durchzu- führen. Alle beginnen in der Regel mit einer Phishing-E-Mail und einem gefälschten URL- Link. So berichtete Microsoft vor kurzem, dass Mitarbeiter von 10.000 Unternehmen auf eine ähnliche MFA-Umgehungstechnik hereingefal- len sind. Übliche Angriffsmethoden sind zum Beispiel: Ein böswilliger Akteur gibt sich als Hersteller aus und schickt eine SMS-Nachricht, in der er auffordert, ihm einen SMS-Code zu senden, den er angeblich mit einem anderen Betreff sendet. Push-basierte MFA kann umgangen werden, weil ein beträchtlicher Prozentsatz der Nutzer unwissentlich eine Anmeldung genehmigt, die sie nicht aktiv vornehmen. Social-Engineering wird eingesetzt, um ein Opfer zum Herunterladen von Malware zu verleiten, die dann den MFA-Code des Benut- Social-Engineering wird eingesetzt, um den technischen Support zu imitieren, um ei- nen SIM-Tausch vorzunehmen oder einem Angreifer die Übernahme eines Kontos zu ermöglichen. Der Grund, warum Unternehmen von reinen Passwort- auf MFA-Lösungen umsteigen, ist meistens, dass sie das Risiko von Phishing und Social-Engineering deutlich reduzieren wollen. Sieht man sich die Methoden und die Erfolge der Cyberkriminellen an, ist es eher fraglich, ob eine Umstellung auf eine MFA-Lösung die Zeit und die Kosten wirklich wert sind. WIE SICHER IST MFA? Viele Anbieter geben an, dass ihre MFA funk- tioniert und dass die Verwendung das Risiko einer erfolgreichen Kompromittierung erheblich verringert. Und sie haben auch recht damit, aber die vermeintliche Sicherheit reicht nur für einen kurzen Zeitraum. Denn heute fokussieren sich die meisten Social-Engineering-Angreifer noch Viele Unternehmen setzen eine Multi-Faktor-Authentifizierung (MFA) ein, um wertvolle Informationen abzusichern. Allerdings schützt eine MFA kaum besser als Passwörter und kann genauso leicht kompromittiert werden. Wenn möglich, sollten Unternehmen sich deshalb bemühen, eine phishing-resistente MFA zu verwenden.Bild: Kt Stock - stock.adobe.com

nicht speziell auf potenzielle Opfer, die eine MFA verwenden. Derzeit sind etwa die Hälfte der Phishingmails auf einen klassischen Passwort- diebstahl ausgerichtet. Aber je mehr Unterneh- men MFA verwenden und kein Passwort mehr nutzen, desto eher nehmen die Kriminellen solche Lösungen ins Visier und suchen nach Möglichkeiten, sie zu umgehen. Und dabei sind sie sehr schnell. Auf der anderen Seite brauchen Verteidiger meistens lange, um wieder die rich- tigen Schutzmaßnahmen zu ergreifen. So bleibt festzuhalten, dass MFA-Tools in diesem dynamischen Umfeld insgesamt nur einen vor- übergehenden Schutz bieten, denn schon heute können die meisten Lösungen leicht gefälscht und so umgangen werden wie die Anmeldungen mit Passwörtern. Die Multi-Faktor-Authentifi- zierung verlangt zudem von den Nutzern, dass sie einen umständlicheren Authentifizierungs- prozess durchlaufen müssen – und das, ohne einen größeren Schutz zu erhalten. Die meisten Unternehmen dachten oder ihnen wurde gesagt, dass sie mit MFA weitaus weniger Gefahr laufen, Opfer von Phishing und Hacking zu werden, aber das stimmt einfach nicht. US-REGIERUNG RÄT AB Die US-Regierung hat diese Aussage bereits 2017 in der Richtlinie NIST SP 800-63 bestätigt. Sie empfahl dort, keine SMS-basierte oder auf Sprachanrufen basierende MFA zu verwenden. In den Jahren 2021 und 2022 hieß es dann, man solle keine leicht zu fälschende MFA nutzen, ein- schließlich einmaliger Codes und Push-Benach- richtigungen. Im Jahr 2021 enthielt die präsidiale Anordnung (EO 14028) ein klärendes Folge- memo: „Für den routinemäßigen Self-Service- Zugriff von Behördenmitarbeitern, Auftragneh- mern und Partnern müssen die Systeme der US-Behörden die Unterstützung von Authenti- fizierungsmethoden einstellen, die Phishing- versuchen nicht standhält, wie Protokolle, die Telefonnummern für SMS- oder Sprachanru- fe registrieren, Einmalcodes bereitstellen oder Push-Benachrichtigungen empfangen.“ Und die gleichen Empfehlungen wurden am 26. Januar 2022 noch einmal bestätigt. LÖSUNGSANSÄTZE Daraus folgt, dass Unternehmen möglichst keine leicht zu umgehende MFA verwenden sollten. Allerdings haben sie oft keine Wahl, sondern werden vom Hersteller oder Dienstleister mehr SCHWERPUNKT: E-MAIL-SICHERHEIT UND SPAM-ABWEHR ROGER A. GRIMES ist Data-Driven Defense Evangelist bei KnowBe4. IT-SICHERHEIT_1/2023 13 oder weniger dazu gezwungen. Aber wenn die Verantwortlichen die Entscheidung beeinflus-sen können, sollten sie eine phishing-resistente MFA-Lösung einsetzen.Ist die aktuell eingesetzte MFA-Lösung für leichtes Phishing anfällig, sollte man dem Her-steller die Bedenken mitteilen und ihn bitten, geeignete Funktionen und Schutzmaßnahmen zu implementieren. Darüber hinaus ist ein Um-stieg auf eine phishing-resistentere Lösung zu empfehlen, und zwar unabhängig davon, wel-che Art von MFA das Unternehmen verwendet. Weiterhin müssen die Verantwortlichen sich über die Stärken und Schwächen ihrer Lösung informieren und wenn sie angreifbar ist, ihre Mitarbeiter darüber informieren. Es empfiehlt sich dann, Angriffsbeispiele zu finden und auf-zuzeigen, wie leicht ein Phishingversuch zum Erfolg führen kann. Im weiteren Schritt sind die Benutzer darüber aufzuklären, wie sie es vermeiden, Opfer solcher Angriffe zu werden. Das bedeutet in der Regel, dass sie sicherstel-len müssen, dass jeder Link, auf den sie klicken, auch ein legitimer Link ist.WIE SOLLTE EINE PHISHING-RESISTENTE MFA-LÖSUNG AUSSEHEN?Die Cybersecurity and Infrastructure Secu-rity Agency (CISA) empfiehlt zwei Arten von phishing-resistenten MFA-Lösungen: FIDO/WebAuthn-Authentifizierung: Die FIDO-Allianz hat das WebAuthn-Protokoll ursprüng-lich als Teil der FIDO2-Standards entwickelt, und es wird nun vom World Wide Web Con-sortium (W3C) bereitgestellt. WebAuthn wird von den wichtigsten Browsern, Betriebssys-temen und Smartphones unterstützt und arbeitet mit dem verwandten FIDO2-Standard zusammen, um einen phishing-resistenten Authentifikator bereitzustellen. WebAuthn- Authentifikatoren können entweder separate physische Token sein, sogenannte „Roaming“-Authentifikatoren, die über USB oder Nahfeld-kommunikation (NFC) an ein Gerät ange-schlossen werden oder sie sind eingebettet in Laptops oder mobile Geräte als „Plattform“-Authentifikatoren. Die FIDO-Authentifizierung kann auch verschiedene andere Arten von Faktoren einbeziehen, wie biometrische Da-ten oder PIN-Codes. FIDO2-konforme Token sind von einer Vielzahl von Anbietern erhält-lich. PKI-basierte MFA: Diese gibt es in verschiede-nen Formen. Am bekanntesten sind Smart-cards, die Behörden zur Authentifizierung von Benutzern an ihren Computern verwenden. Der erfolgreiche Einsatz von PKI-basierter MFA erfordert jedoch sehr ausgereifte Iden-titätsmanagementverfahren. Außerdem wird sie von den gängigen Diensten und der Infrastruktur nicht in dem Maße unterstützt, vor allem wenn keine Single-Sign-on-(SSO)-Technologie vorhanden ist. Bei den meisten PKI-basierten MFA-Implementierungen sind die Anmeldedaten eines Benutzers in einem Sicherheitschip auf einer Smartcard enthalten, und die Karte muss direkt mit einem Gerät verbunden sein, damit sich der Benutzer mit dem richtigen Passwort oder der richtigen PIN beim System anmelden kann.FAZITInsgesamt sollten Unternehmen ihre eingesetz-ten MFA-Tools prüfen und falls nötig auf eine phishing-resistente Lösung setzen. Wenn sie eine push-basierte MFA verwenden, sollten die Verantwortlichen den Mitarbeitern klar machen, dass sie niemals Anmeldeanfragen genehmigen sollten, an denen sie nicht aktiv beteiligt sind. Darüber hinaus sollten sie alle Vorfälle dieser Art an die IT-Sicherheitsabteilung melden. Alle Benutzer von SMS-basierter MFA sollten die ver-schiedenen Angriffe auf SMS-Nachrichten ken-nen. Außerdem ist es wichtig einzusehen, dass selbst die phishing-resistenten MFA-Lösungen nicht komplett vor Phishing schützen können. n

SCHWERPUNKT: E-MAIL-SICHERHEIT UND SPAM-ABWEHR Mehr als nur Datenschutz COMPLIANCE-KONFORM KOMMUNIZIEREN Compliance nimmt einen immer größeren Stellenwert in Unter- nehmen ein und wird zuneh- mend zu einem Qualitätsmerkmal für Anbieter und Lieferanten sowie zu einem Vertrauensan- ker für die Zusammenarbeit. Unternehmen, die Themen wie Datenschutz, Korruptionspräven- tion und eine offene, transparente Kommuni- kationskultur auf ihre Agenda schreiben, kön- nen diese gegenüber der Konkurrenz in einen Wettbewerbsvorteil verwandeln. es daher unerlässlich, Lösungen zur Verfügung zu stellen, die es ermöglichen, Regeln wirklich einzuhalten, also beispielsweise datensparsam und datenschutzkonform zu kommunizieren. Zudem müssen die Verantwortlichen dafür sor- gen, dass mögliche Vergehen gegen Regularien gemeldet werden können, ohne dass für den Meldenden ein Nachteil entsteht. DATENSCHUTZ ALS DEFAULT-MODUS Voraussetzung dafür ist, dass entsprechende Richtlinien nicht nur vorgegeben, sondern auch tatsächlich gelebt werden. Für Unternehmen ist Basis für eine compliance-konforme Kommu- nikation sind Tools, die die Sicherheit von Daten und Informationen erhöhen, ohne dabei zu sehr 14 IT-SICHERHEIT_1/2023 in den Arbeitsalltag der Mitarbeiter:innen einzu- greifen. Wenn sich Software-Lösungen nahtlos in die gewohnte Arbeitsumgebung integrieren las- sen und einfach in der Handhabung sind, werden sie auch tatsächlich angenommen und genutzt. Die E-Mail ist weiterhin das gängigste Kom- munikationsmittel. Ob intern oder extern in der Kommunikation mit Kunden, Partnern oder Lieferanten – tagtäglich werden E-Mails ver- schickt, die mitunter sensible Informationen oder sogar personenbezogene Daten enthalten, die nach der Datenschutzgrundverordnung (DS- GVO) entsprechend geschützt werden müssen. Cyberkriminelle setzen hier an und versuchen, Datenschutz und Compliance werden häufig synonym verwendet. Dabei umfasst Compliance deutlich mehr als die reine Einhaltung rechtlicher Vorgaben. Oft geht es bei den Compliance-Richtlinien, die sich Unternehmen selbst setzen, um Transpa-renz, die Vermeidung von Korruption oder um Datensparsamkeit – kurz: um den sicheren Umgang mit Daten und Informationen. Das fängt bei E-Mail-Inhalten an.Bild: Montri - stock.adobe.com

die unverschlüsselte E-Mail-Kommunikation abzufangen, um Informationen zu sammeln, die beispielsweise als Basis für Phishing angriffe genutzt werden oder auch, um Ransomware direkt in das Empfängersystem einzuschleusen. Laut dem Bericht zur Lage der IT-Sicherheit in Deutschland des Bundesamtes für Sicherheit in der Informationstechnik (BSI) stellen Phishing- Mails und Ransomware-Angriffe weiterhin die größte Bedrohung für Organisationen dar. Um sich vor diesen Gefahren zu schützen und eines der wichtigsten Einfallstore für Cyber- kriminelle zu schließen, setzen Unternehmen zunehmend auf einen verschlüsselten E-Mail- Verkehr. Schon die gängige Transportverschlüs- selung (TLS) bietet eine deutliche Erhöhung des Schutzniveaus. Noch einen Schritt weiter geht die Inhaltsverschlüsselung, also die durchgängi- ge Ende-zu-Ende-Verschlüsselung der E-Mail- Nachrichten einschließlich der versendeten Dateianhänge. Obwohl die Verschlüsselung des E-Mail-Ver- kehrs eine wirkungsvolle Maßnahme ist, um compliance-konform zu kommunizieren und die IT-Sicherheit des Unternehmens maßgeblich zu erhöhen, hat sich die verschlüsselte Kommuni- kation noch nicht flächendeckend durchgesetzt. Der Grund: Häufig fürchten Unternehmen den komplizierten Austausch der Zertifikate zwi- schen Sender- und Empfänger-Postfach, was die Akzeptanz der Mitarbeitenden erschwert. Allerdings ist ein umständlicher Schlüsselaus- tausch, wie er beispielsweise bei Pretty Good Privacy (PGP) noch erforderlich ist, nicht mehr State of the Art. Inzwischen gibt es Lösungen auf dem Markt, die die Kommunikation direkt im E-Mail-Postfach verschlüsseln können. Wenn darüber hinaus noch weitere Sicherheitseinstel- lungen getroffen werden, wird die Sicherheit erhöht, ohne dass es die Mitarbeitenden bemer- ken. Betreff, Dateiformate, Anhänge oder andere Parameter sind zuverlässige Steuerungsmög- lichkeiten, die sich für die sogenannten Security- by-Default-Einstellungen eignen. Mittels dieser Einstellungen lässt sich beispielsweise vorpro- grammieren, dass E-Mails immer dann Ende-zu- Ende verschlüsselt sind, sobald eine Datei ange- hängt wird oder bestimmte offene Dateiformate grundsätzlich nicht ausgeführt werden dürfen. Solche Lösungen, die die Sicherheit von Syste- men, Daten und Informationen im Hintergrund erhöhen, sind die Basis für eine compliance-kon- forme Kommunikation. SCHWERPUNKT: E-MAIL-SICHERHEIT UND SPAM-ABWEHR ARI ALBERTINI ist CEO bei der FTAPI Software GmbH. IT-SICHERHEIT_1/2023 15 ONLINE-FORMULARE ALS ERSATZ FÜR FUNKTIONS-ADRESSENNeben der Datensicherheit spielt auch die Da-tensparsamkeit eine bedeutende Rolle, wenn Unternehmen compliance-konform kommu-nizieren wollen. Das bedeutet, dass allein die Daten und Informationen erfasst werden, die wirklich relevant sind, und nur die Empfänger-gruppen erreichen, die sie benötigen. Zahlreiche Unternehmen nutzen Funktions-adressen wie info@, um Kunden und Interes-senten eine Schnittstelle nach außen zu bieten. Was auf den ersten Blick praktisch erscheint, birgt aber auch Risiken: Welche Personen sind auf dem Verteiler? Sind die Informationen für alle Personen auf dem Verteiler relevant? Wie werden die Anfragen weitergeleitet? Wie ist si-chergestellt, dass keine wichtigen Informationen verloren gehen? Und wie werden die Verteiler auf dem neuesten Stand gehalten? Für einen strukturierten und sparsamen Um-gang mit Daten und Informationen eignen sich als Alternative zu Funktionsadressen intelligente und sichere Online-Formulare, die direkt in die Unternehmens-Website eingebettet werden können. Eine solche Lösung erfasst systema-tisch und standardisiert die Daten und prüft sie schon vor der Übermittlung auf Vollständigkeit. Zugleich fragt sie im weiteren Prozess nur sol-che Informationen ab, die tatsächlich notwendig sind, um beispielsweise eine Bestellung zu be-arbeiten oder einen Antrag zu stellen. Anschlie-ßend leitet sie diese automatisch an vorab defi-nierte Ansprechpersonen weiter. MEHR SICHERHEIT FÜR HINWEISGEBEROnline-Formulare eignen sich nicht nur für den strukturierten Dateneingang und die automati-sierte Übermittlung von Daten an die richtigen Empfängergruppen. Intern können Unterneh-men sie nutzen, um Vergehen gegen Compli-ance-Richtlinien oder andere Verstöße sicher und anonym zu melden und eine offene Fehler-kultur im Unternehmen zu etablieren.Die rechtliche Basis für eine transparentere Feh-lerkultur trat mit der EU-Whistleblower-Richtli-nie im Oktober 2019 in Kraft. Ziel war und ist es, Hinweisgebende zu schützen, die auf unterneh-mensinterne Missstände oder den Verstoß ge-gen Compliance-Richtlinien hinweisen. In erster Linie betrifft das Verstöße gegen europäisches Recht, beispielsweise in den Bereichen Daten-schutz, IT-Sicherheit und Geldwäsche. Die EU reagierte damit auf eine wichtige Ver-änderung in der Wahrnehmung von Hinweis-gebern. Immer mehr Behörden, Organisationen und Unternehmen etablieren IT-gestützte Hin-weisgebersysteme, die eine verschlüsselte und damit anonyme Kommunikation sicherstellen und so die Basis für eine transparentere Feh-lerkultur schaffen. Nicht wenige Unternehmen entscheiden sich dabei für die Einrichtung eines Hinweisgebersystems, das Whistleblowern eine schnelle, unkomplizierte Kontaktaufnahme er-möglicht.Verantwortliche sollten jedoch bedenken, dass bei Meldungen eines möglichen Fehlverhaltens immer sensible, personenbezogene Daten ver-arbeitet werden. Damit diese Nachrichten die Anforderungen an die Datensicherheit erfüllen (Artikel 32, EU-DSGVO), müssen sie zwingend Ende-zu-Ende verschlüsselt sein, wobei sie auf Hochsicherheitsservern gespeichert werden soll-ten. Andernfalls ist die Integrität der übermit-telten Daten stark gefährdet, was dazu führen kann, dass Informationen für die internen und externen Untersuchungen ungültig werden.Die Einrichtung eines sicheren Meldesystems ist eine Chance für Unternehmen, eine positive, transparente und faire Fehlerkultur zu etablie-ren. So werden sie frühzeitig über Missstände im eigenen Unternehmen aufmerksam gemacht und schützen gleichzeitig die Identität ihrer Mitarbeitenden. Wenn darüber hinaus noch Lö-sungen zur Verfügung stehen, die Daten umfas-send schützen, ohne dabei zu umständlich in der Handhabung zu sein, ist der Grundstein für eine compliance-konforme Kommunikation gelegt. n

SCHWERPUNKT: E-MAIL-SICHERHEIT UND SPAM-ABWEHR WOZU SENSIBILISIEREN WIR? Security-Awareness-Kampagnen sind weniger wichtig als man denkt Security-Awareness-Kampagnen sind weit verbreitet, in ISO 27001 und BSI- Grundschutz fest vorgesehen und auch Phishing-Simulationen boomen. Doch welchen Nutzen haben Organisationen davon? Unsere Autor:inn:en meinen: Oftmals keinen! Trotz der Milliarden summen, die jährlich in diese Produkte gesteckt werden, hinterfragen nur wenige Organisationen die Ziele solcher Kampagnen. Eine mögliche Lösung: Die Sicherheitslernkurve, mit der eine echte Verhaltensänderung bei Mitarbeitern erreicht werden kann. 16 IT-SICHERHEIT_1/2023

SCHWERPUNKT: E-MAIL-SICHERHEIT UND SPAM-ABWEHR Warum müssen Mit ar bei- ter:innen für IT-Sicherheit sensibilisiert werden, wo zu trainiert werden? Die häufigste Ant- wort darauf lautet: 90 Prozent aller erfolgrei- chen Angriffe starten doch angeblich mit dem Menschen, das müsse man durch Sensibilisie- rung und Schulungen ändern. Das ist aber ein gefährlicher Trugschluss. Zwar steht Social- En gineering am Anfang der meisten erfolg- reichen Angriffe, doch wer Mitarbeiter:innen verantwortlich macht und nur auf Schulungen setzt, hat schon verloren. Ein einfaches Bei- spiel: Ist es möglich, dass in einer Organisati- on mit zehntausenden Angestellten wirklich niemand auf einen gefährlichen Link klickt? Nein, sicher nicht! Entscheidend ist, was dann passiert: Haben die Mitarbeiter:innen einen Passwortmanager im Browser, der sie daran hindert, ihre Zugangsdaten auf der Phishing- Website einzugeben, sind die Accounts durch einen zweiten Faktor geschützt? Und wenn Malware auf die Geräte heruntergeladen wird: Sind die Systeme auf dem aktuellen Stand, gibt es Frühwarnsysteme für verdächtige Aktivitä- ten, können infizierte Geräte leicht ausgesperrt werden? Sind verifizierte E-Mails klar als solche gekennzeichnet, sodass die Angestellten sich nur noch wenige potenziell gefährliche genau anschauen müssen? PHISHING-FINDER-NINJAS Mit anderen Worten: Die technische Verteidi- gung des Unternehmens muss Angriffe verhin- dern, die Mitarbeiter:innen können das nicht – es sei denn, sie werden Phishing-Finder-Ninjas, die nur noch wenig Zeit und Aufmerksamkeit für ihre eigentlichen Aufgaben haben. In Sensibili- sierungsmaßnahmen und Trainings wird aber so getan, als müssten sie es: „Klicken Sie auf diesen Link und Ihre Organisation ist erledigt.“ Selbstverständlich müssen Mitarbeiter:innen sicheren Routinen folgen, beispielsweise die Kommunikation und der Datenaustausch über vorgesehene Kanäle, ein sicherer Umgang mit Zugangsdaten, der Schutz vor Diebstahl ihrer Geräte, das Sperren ihrer Geräte beim Verlassen des Arbeitsplatzes oder das Verhindern von Tail- gating. Doch zu diesen Routinen tragen aktuelle Sensibilisierungsmaßnahmen und Trainings we- nig oder gar nichts bei: Sie sind meist generisch, nicht an die Richtlinien der Organisationen und an verschiedene Mitarbeitergruppen angepasst, erzeugen Furcht und geben keine umsetzbaren konkreten Sicherheitshinweise. So ist das Erken- nen von Phishing-E-Mails aller Art eine unlösba- re Aufgabe, die selbst Sicherheitsexperten nicht hinbekommen. Das zeigt anschaulich ein Vortrag von Linus Neumann, Sprecher des Chaos Com- puter Clubs aus dem Jahr 2019: Er fiel auf eine Phishing-E-Mail herein, wollte seine Zugangsda- ten auf der Phishingseite eingeben, wurde dann aber durch seinen Passwortmanager vor Schlim- merem geschützt, der keine Zugangsdaten für die gefälschte Website finden konnte.[1] Ein konkreter Tipp in einem guten Training könnte somit lauten: Nutzen Sie Passwortmanager. Und nicht: Erstellen Sie komplexe, einzigartige Pass- wörter für alle Ihre Accounts – in der Praxis sind das oft Hunderte. Doch das liefern die meisten Trainings nicht. PHISHING-SIMULATIONEN OHNE EFFEKTE Trotzdem sind sie auf dem Vormarsch: Weltweit werden bereits heute mehrere Milliarden Euro pro Jahr für Sicherheitssensibilisierungs-Pro- dukte ausgegeben. Dieser Trend wird auch dank ISO 27001 und dem BSI-Grundschutz vorange- trieben, die diese Maßnahmen verpflichtend machen, ohne konkret aufzuzeigen, wie die Sicherheit der Organisation dadurch erhöht wird. Aus Sicht der Wissenschaft fehlt bisher jedenfalls ein valider Nachweis, der einen nachhaltig posi- tiven Effekt zeigt. Bei den ebenfalls zunehmend beliebten Phishing-Simulationen ist es noch deutlicher: Wie eine groß angelegte Studie der ETH Zürich, welche die Daten von 14.000 Mitarbeiter:innen über die Dauer einer Phishing-Simulation von einem Jahr erhoben hat, zeigt, gibt es keine nennenswerten positiven Effekte dieser Simula- tionen und eingebetteter Trainings auf das tat- sächliche Klickverhalten der Mitarbeiter:innen.[2] Wofür werden sie dann durchgeführt? Unter der Hand ist schon länger bekannt, dass es einfach um das Generieren vorzeigbarer Messgrößen geht, namentlich den fallenden Phishing-Mail- Klickraten, während einer Phishing-Simulation. In einer bald erscheinenden Studie, die wir über die Dauer von acht Monaten mit 30 Chief-Infor- mation-Security-Officern (CISOs) durchgeführt haben, werden diese Erkenntnisse erstmals auch empirisch bestätigt: CISOs brauchen diese Zahlen für ihre Berichte ans Management, um den angeblichen Erfolg der Trainingsmaßnah- men zu zeigen. FALSCHE SCHULD- ZUWEISUNGEN Auf die Klickrate fixierten Organisationen geht es nicht darum, das Sicherheitsverhalten der Mitarbeiter:innen zu verbessern, sondern ihnen die Verantwortung aufzuladen: Wer nach dem Training immer noch klickt, ist schuld. Man hört aus der Praxis oft, darum gehe es nicht, sondern darum, die „Fehlerkultur“ zu verbessern. Aber die Auswirkungen auf die Produktivität und das Verhältnis zu den Mitarbeiter:inne:n werden au- ßer Acht gelassen. Wenn sie aus Furcht legitime E-Mails nicht bearbeiten oder die Sicherheits- und Support-Desks vor lauter Meldungen von „vielleicht doch verdächtigen“ E-Mails ihre Arbeit nicht mehr wie gewohnt ausführen können, leidet die Produktivität. Die Furcht, vom eige- nen Arbeitgeber reingelegt und mit Begriffen wie „Schwachstelle“ belegt zu werden, schafft negative Erfahrung, die Organisationen gerade vor dem Hintergrund des Fachkräftemangels vermeiden sollten. Alles in allem scheinen die aktuellen „Best Practices“ also nur dazu zu taugen, die ge- wünschte Zertifizierung zu erhalten. Der Orga- nisation ist dadurch nicht geholfen: Sie ist nicht nur nicht sicherer, sondern verliert auch noch Produktivität. SICHERHEITSLERNKURVE Was also kann man anstelle dessen tun? Hier- für haben wir die sogenannte Sicherheitslern- kurve [3] (vgl. Abbildung 1) entwickelt. Sie ist ein Modell, das aufzeigt, wie Organisationen ihre Mitarbeiter:innen in neun Schritten zu sicherem Verhalten führen können. Das klingt vielleicht etwas theoretisch, doch die Schritte sind prak- tisch leicht umsetzbar. Was man zunächst braucht, ist Sicherheitshygie- ne: IT, Policies, Sicherheitsmaßnahmen müssen für die Mitarbeiter:innen einwandfrei funktio- nieren. Sie müssen leicht verständlich anwend- bar sein und dürfen nicht in der Erfüllung der eigentlichen Aufgaben stören. Das scheint trivial zu klingen, doch unsere Forschung zeigt seit Jahrzehnten und immer wieder, dass die meisten IT-SICHERHEIT_1/2023 17 Bild: deepagopi2011 - stock.adobe.com

SCHWERPUNKT: E-MAIL-SICHERHEIT UND SPAM-ABWEHR Schritte um Sicheres Verhalten von Mitarbeitenden zu erreichen 9: Sicheres Verhalten 8: Einbetten: Willentliches Vergessen, Nudging, … 7: Umsetzung: Fertigkeiten/Fähigkeiten 6: Glaube: Selbstwirksamkeitserwartung Ziel: Sicheres Verhalten (unterbewusste Kompetenz) vergessen werden, oder aber das beliebte Nud- ging. Im letzten Schritt ist das sichere Verhalten erreicht. Um es zu erhalten, kann die Organisati- on unter anderem Belohnungen einsetzen. Abgedeckt durch: Maßnahmen der Organisation FAZIT t n e m e g a g n E s e h c i l n ö s r e P 5: Zustimmen: Konkordanz Bewusste Kompetenz 4: Verständnis/ Wissen 3: Sensibilisierung 2: Information 1: Sicherheitshygiene (Sicherheitsrichtlinien, geringe Reibung, innerhalb des compliance budget) Investment Zeit (Budget, Personelle Ressourcen) Abgedeckt durch: ISO 27001 Informationssicherheit, Sicherheits Sensilibisierung, Training Abgedeckt durch: Maßnahmen der Organisation Abbildung 1: Die Sicherheitslernkurve zeigt in neun Schritten, was Organisationen tun müssen, um sicheres Verhalten bei ihren Mitarbeitenden zu erreichen. Organisationen nicht an die Usability ihrer Sicher- heit denken. Beispiele sind zu viele verschiedene Zugangsdaten, res trik tive Firewallregeln, die das Internet praktisch unbenutzbar machen oder ein nicht erreichbares IT-Sicherheitsteam. Wenn eine Organisation diese Voraussetzun- gen nicht erfüllt, müssen die verantwortlichen CISOs oder Informationssicherheitsbeauftrag- ten gar nicht erst über Trainings und Sensibili- sierungsmaßnahmen nachdenken, um die es in den Schritten 2 bis 4 geht (vgl. Abbildung 1). Führen sie jedoch solche Trainings durch, sollten sie darauf achten, dass sie zielgruppenspezifisch arbeiten. Administratoren brauchen ein anderes Sicherheitswissen als Mitarbeiter:innen in der Personalabteilung. Will man verhindern, dass Mitarbeiter:innen die Trainings nicht einfach durchklicken und wieder vergessen, ist es wichtig, eine Sicherheitsmis- sion zu erstellen: Ziele, hinter denen auch die Geschäftsführung steht. Die Angestellten sollten dieser dann explizit zustimmen, indem sie un- terschreiben, dass sie sich dieser Mission ver- pflichtet fühlen. Mitarbeiter:innen müssen daran glauben, dass sie mit ihrem Verhalten einen Unterschied für die Sicherheit der Organisation bewirken, denn sie brauchen eine funktionieren- de Selbstwirksamkeitserwartung. Schlechte Trainings, die Angreifer als über- mächtig zeigen, oder Phishing-Simulationen, die Mitarbeiter:innen regelrecht zum Klicken verführen – so geschehen bei den Asklepios Kliniken in 2021, die ihre Mitarbeiter:innen mit falschen Versprechen für Corona-Boni phish- ten [4] – bringen nichts. Richtig wäre hier an kon- kreten umsetzbaren Beispielen vorzuführen, wie sich die Sicherheit erhöhen lässt, beispielsweise indem man ein Video vorspielt, das zeigt, wie erfolgreich Tailgating verhindert wurde. Anschließend geht es darum, erlernte Fähigkeiten praktisch zu trainieren, zum Beispiel probewei- se die Backup-Codes der Zwei-Faktor-Authen- tisierung benutzen, um selbst zu erleben, dass man erlernte Maßnahmen erfolgreich anwenden kann. Im vorletzten Schritt werden psychologi- sche Interventionen eingesetzt, um das Einbetten neuer, sicherer Routinen zu unterstützen. Das kann zum Beispiel das sogenannte „Willentliche Vergessen“ sein, bei dem durch das Verändern von auslösenden Hinweisreizen alte Routinen IT-Sicherheit wird bekanntlich immer wichti- ger, der Schaden, den es abzuwenden gilt, immer dramatischer. Was wir in diesen Zeiten nicht brauchen, sind gegenseitige Schuldzu- weisungen – vor allem nicht in Richtung der Mitarbeiter:innen und Endnutzer. Wir brauchen Vertrauen zueinander und Kooperation – die Sicherheitsforschung weiß das schon lang.[5] Fangen Sie damit an, sich als Sicherheitsteam in den verschiedenen Abteilungen vorzustellen. Fördern Sie eine Fehlerkultur, ermuntern Sie andere, sich zu melden, wenn sie denken, etwas Verdächtiges bemerkt zu haben oder mögli- cherweise einen Fehler begangen zu haben. Beschuldigen Sie Laien nicht für etwas, das sie nicht abwenden konnten. Zeigen Sie Verständ- nis. Sie werden merken: Als vertrauensvoller Partner wahrgenommen zu werden, fördert nicht nur die eigene Freude im Job, es etabliert auch gleich ein menschliches Frühwarnsystem gegen Angriffe. Und dann hat man erreicht, was man eigentlich mit einem Training schaffen wollte: Die Organisation ist sicherer. n PROFESSOR M. ANGELA SASSE leitet den Lehrstuhl Human- Centered Security am Horst-Görtz- Institut für IT-Sicherheit der Ruhr- Universität Bochum. Literatur [1] Linus Neumann, Hirne Hacken, https://media.ccc.de/v/36c3-11175-hirne_hacken#t=580 [2] Lain et al., Phishing in Organizations: Findings from a Large-Scale and Long-Term Study, 2022 [3] Sasse et al., Rebooting IT Security Awareness - How Organisations Can Encourage and Sustain Secure Behaviours, 2022 [4] Bild-Zeitung, Asklepios verteilt Fake-Gutscheine an Corona-Helden, www.bild.de/regional/hamburg/hamburg-aktuell/klinik-konzern- asklepios-verhoehnt-50-000-mitarbeiter-mit-fake-gutschein-77030946.bild.html [5] Coles-Kemp et al., Why Should I? Cybersecurity, the Security of the State and the Insecurity of the Citizen, 2022 JONAS HIELSCHER ist Doktorand im Interdisziplinären Forschungskolleg SecHuman an der Ruhr-Universität Bochum. 18 IT-SICHERHEIT_1/2023

MANAGEMENT | MANAGED SECURITY Unternehmen müssen ihre Disaster- Recovery professionalisieren MODERNE NOTFALLPLANUNG Wer seine Daten im Ernst- fall schützen will, muss einsehen, dass Disaster- Recovery-(DR)-Pläne einen hohen personellen und zeitlichen Aufwand erfordern, um auf die Anforderungen des Unternehmens abgestimmt zu sein. Bei DR geht es vor allem um eins: Die IT-Abhängigkeiten nach der Geschäftsfunktio- nalität auszurichten und dann zu bestimmen, wie diese Geschäftsprozesse fortbestehen können, falls die IT-Systeme unterbrochen wer- den. Dazu gehört nicht nur die Ausfallsicherung von Servern. Es geht auch um die Planung des Umzugs von IT-Ressourcen und die Gewähr- leistung, dass Pläne und Prozesse gut doku- mentiert sind und so wenig wie möglich von Menschen abhängen. Deshalb müssen Anwendungen digital wider- standsfähig sein, um Geschäftsprozesse auf- rechterhalten zu können. Damit sie wiederum ausfallsicher sind, müssen auch Server wieder- hergestellt werden können, nicht nur Daten. Der Prozess, das auf alternativen Infrastrukturen 20 IT-SICHERHEIT_1/2023 – vor Ort, außerhalb des Unternehmens oder in der Cloud – zu tun, ist nicht trivial und erfordert eine sorgfältige Planung. Dafür sind drei Dinge erforderlich: Orchestrierte Workflows, die zwar von Menschen geplant, aber automatisiert aus- geführt werden Routine-Tests dieser komplexen Workflows mit einer isolierten Sandbox, um das Produk- tionsnetzwerk und die Ressourcen nicht zu beeinträchtigen Service-Level-Agreements (SLA), die über- wacht werden, sowie die Dokumentation der Prozesse und Bereitschaft im Ernstfall FAKTOR MENSCH Wie so oft in der Cybersicherheit ist der mensch- liche Faktor eine Gefahr. Denn es zeigt sich im- mer wieder, dass viele Mitarbeiter die genann- ten drei Schlüsselanforderungen nicht fehlerfrei umsetzen können. Das hat beispielsweise fol- gende Ursachen: Inkonsistente Ausführung detaillierter Auf- gaben auch unter Stress oder über mehrere verschiedene Server hinweg – und das oft gerade in Krisenzeiten wie einer Naturkatas- trophe oder einem Cyberangriff Unvollständiges Prüfen, weil Mitarbeiter Tests oft als weniger wichtig ansehen oder im All- tag anderen Aufgaben unterordnen Die Verantwortlichen vernachlässigen die Überwachung und Dokumentation, weil sie diese Aufgaben als noch weniger dringlich und wichtig bewerten als das Testen SILO VS. ORCHESTRIERUNG Um dem entgegenzuwirken und um die eigenen Daten vor physischen (zum Beispiel Bränden, Erdbeben, Überflutung, Sabotage) und digitalen Ob Ransomware oder Naturkatastrophe – wer im Notfall den Geschäftsbetrieb aufrechterhalten möchte, braucht Disaster-Recovery-Pläne. Worauf Unternehmen dabei achten müssen und wie sie eine orchestrierte Notfallwiederherstellung umsetzen können, beschreibt unser Autor.

MANAGEMENT | MANAGED SECURITY Gefahren (beispielsweise Ransomware-Angriffen) zu schützen, sollten Unternehmen ihre DR-Maß- nahmen aufeinander abstimmen. Eine solche Or- chestrierung sollte stets in enger Kooperation mit der hauseigenen IT-Architektur stattfinden. Ist das nicht der Fall, spricht man von sogenannten Silo- Lösungen, die für sich allein stehen, aber nicht an andere Sicherheitslösungen im eigenen Netzwerk angepasst und daher zu vermeiden sind. Wie wichtig die Integration von DR in die beste- hende IT-Sicherheitsarchitektur ist, haben die meisten Firmen bereits erkannt: So haben einer Studie zufolge 82 Prozent aller Unternehmen ihre Disaster-Recovery- und Business-Continuity- Maßnahmen vollständig oder größtenteils an der IT-Sicherheit ausgerichtet (vgl. www.veeam. com/wp-data-protection-trends-report-2023. html). Vor dem Hintergrund, dass 85 Prozent der befragten Organisationen mindestens von einer Ransomware-Attacke jährlich getroffen werden und einer von vier Servern mindestens einmal im Jahr ausfällt, ist eine perfekt abgestimmte Or- chestrierung für den Ernstfall wichtiger denn je. THOMAS SANDNER ist Senior Director Technical Sales Germany bei Veeam Software. IT-SICHERHEIT_1/2023 21 Die zweite Frage, die sich Unternehmen stellen müssen, lautet, wo ihre Daten wiederherge-stellt werden sollen. Der Status quo verteilt sich laut Studie auf zwei Szenarien: 54 Prozent aller Organisationen stellen ihre Daten On-Premises, also innerhalb des Firmennetzwerks, wieder her. 46 Prozent nutzen dafür die Cloud – meist mithilfe einer Hyperscaler-Lösung wie AWS, Azure oder Google Cloud und wahlwei-se über die Nutzung virtueller Maschinen oder dem automatischen Rückgriff auf die Backup-Server im Katastrophenfall. Da Unternehmen diese zwei Lösungen oft kombinieren, steigt die Komplexität und eine durchgeplante, au-tomatisierte Strategie, die im Notfall greift, wird unumgänglich. Denn „von Hand“ ist das nicht zu verwalten. Jedoch verfügen lediglich 18 Prozent aller Organisationen über orches-trierte Workflows – die restlichen 82 Prozent verlassen sich auf (teils veraltete) Skripte oder stellen die Arbeitsprozesse manuell wieder her. Im schlechtesten Fall werden diese ohnehin weniger verlässlichen Maßnahmen nicht ein-mal regelmäßigen Tests unterzogen, um deren Funktion zu prüfen. DR IST MEHR ALS BLOßE NOTFALLÜBUNGGenau hier liegt der Unterschied zwischen einer Sicherungsroutine „nach Vorschrift“ und DR als verlässlichem Notfallplan. Aus guten Gründen gibt es in regelmäßigen Abständen Alarmübun-gen in Schulen, bundesweite Warntage und Si-renentests: Simulierte Krisen stellen Notfallpläne auf die Probe, um festzustellen, ob sie schützen können, was sie schützen sollen. Warum sollte man bei der Datensicherung anders verfahren? Entsprechend müssen Tests der DR-Pläne rou-tinemäßig automatisiert stattfinden und doku-mentiert werden. Hier stellen sich für Organisationen zwei weitere Fragen: Wie schnell sollen die eigenen Daten im Notfall wiederhergestellt werden können (Recovery Time Objectives – RTO) und welches Maß an Datenverlust ist für den Wiederbetrieb verkraftbar (Recovery Point Objective – RPO)? In beiden Fällen einen Wert gegen null anzu-streben, ist nicht überambitioniert, sondern die einzig richtige Herangehensweise, wenn man sich vor Augen hält, wie hoch die Kosten eines Betriebsausfalls sein können: 2021 haben IT-Verantwortliche die Kosten auf über 80.000 Euro pro Stunde geschätzt.Ein weitverbreiteter Irrtum, besonders unter Führungskräften, die sich um die Produktivi-tät sorgen, ist die Annahme, dass regelmäßi-ge Tests den Tagesbetrieb behindern. DR-Tests lassen sich jedoch – ob geplant oder nach Be-darf – ohne Beeinträchtigung der Mitarbeiter im Hintergrund durchführen. Generell schließt die Orchestrierung dedizierter DR-Pläne die Zu-gänglichkeit nicht aus: Sowohl einzelne Anwen-dungen als auch umfangreiche Dateien können mit der richtigen Lösung mit nur einem Klick wiederhergestellt werden. Die Vorteile reibungs-loser Orchestrierung lassen Verantwortliche dar-über hinaus auch vor Audits ruhig schlafen. Denn regelmäßig getestete, funktionierende und vor allem dokumentierte und daher vorzeigbare Wiederherstellungsverfahren sind ein Exzel-lenzkriterium für Prüfer. Compliance-konforme Pläne schließen damit wiederum den Kreis zu den zuvor gesetzten Zielen in puncto RPO und RTO: Wer nachweist, dass die eigenen DR-Pläne Daten schnell und lückenlos wiederherstellen, kommt bei einem Betriebsausfall in kurzer Zeit wieder auf die Beine und glänzt zusätzlich bei jährlichen Audits.MIT DER ZEIT GEHENOrchestrierte Disaster-Recovery sollte ein Teil einer jeden Unternehmensstrategie sein. Um den digitalen und analogen Gefahren, denen Daten ausgesetzt sein können, Herr zu werden, sind definierte, automatisierte und orchestrierte Schritte nötig, die menschliche Flüchtigkeitsfeh-ler eliminieren. Besonders die Tests in einer iso-lierten Sandbox sind unverzichtbar, um festzu-stellen, ob die internen Gegenmaßnahmen trotz sich verändernder Gegebenheiten ihren Zweck erfüllen. Manuelle Prozesse und alte Skripte als Notfall-Lösung müssen der Vergangenheit an-gehören, damit Daten im Rechenzentrum, in der Cloud oder in hybriden Umgebungen lückenlos geschützt werden und jederzeit verfügbar sind. nBild: Andrey Popov - stock.adobe.com

MANAGEMENT | MANAGED SECURITY WIE SICH 5G-NETZE SICHER BETREIBEN LASSEN Mit dem Einsatz von privaten 5G-Netzen ergeben sich neue Anforderungen Aktuell steigt in der Industrie die Nachfrage nach 5G-Netzen, mit denen sich Effizi- enzgewinne durch Automatisierung erzielen lassen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit dem IT-Grundschutz-Profil „5G-Campus- netze“ ein Werkzeug zur Verfügung, mit dessen Hilfe Unternehmen individuelle Sicher heitskonzepte für private 5G-Netze implementieren können. Der Aufbau der fünften Mo- bilfunkgeneration schreitet voran, schafft aber auch neue Angriffsvektoren. So muss ein Unternehmen, das sich ein privates 5G-Netz (5G-Campusnetz) installiert, beispielsweise mit einem hohen Aufwand bei der Risikoanalyse rechnen. Aller- dings ist das Know-how dafür in der Branche nicht flächendeckend vorhanden, was den Schutz dieser Netze erschwert. Deswegen bie- tet das BSI mit dem IT-Grundschutz-Profil „5G- Campusnetze“ eine Anleitung, mit dessen Hilfe sich Anwenderinnen und Anwender mit dem Thema Informations- und IT-Sicherheit in pri- vaten 5G-Netzen vertraut machen können. Die darin enthaltene Risikoanalyse wurde bereits durch die Autoren erstellt und gibt konkrete Handlungsempfehlungen, mit denen sich ein 5G-Campusnetz schützen lässt. Diese Schablo- ne kann der Anwender individuell an sein Un- ternehmen anpassen – sie berücksichtigt somit 22 IT-SICHERHEIT_1/2023 die Bedingungen des jeweiligen 5G-Campus- netzes anhand des beschriebenen Informati- onsverbunds. Die aktuelle Version des IT-Grundschutz-Profils betrachtet 5G-Campusnetze als reine Insellö- sungen, also ohne unmittelbare Anbindung an öffentliche Netze. Ziel ist somit die Absicherung der Anbindung einer eingekauften Lösung in die eigene Infrastruktur. Der Fokus liegt auf der Nut- zung von Konnektivitätsdiensten auf 5G-Basis. Die Anwender besitzen in diesem Szenario keine Netzhoheit und betreiben das Netz nicht selbst. Private 5G-Netze sind im Vergleich zu öffent- lichen 5G-Mobilfunknetzen nicht durch das BSI-Gesetz oder das Telekommunikationsge- setz reguliert. Unternehmen oder Institutionen, die private 5G-Netze nutzen oder eine zukünf- tige Nutzung anstreben, sind somit nicht zur Umsetzung von regulatorischen Forderungen verpflichtet. Fremdbetrieb: Beim Fremdbetrieb übernimmt ein Dienstleister den Betrieb und die Wartung des 5G-Campusnetzes vollständig. Entsprechende Dienstleister sind oft auf 5G-Campusnetze spezialisiert. Auch einige öffent- liche Mobilfunkanbieter haben ein entsprechendes Angebot. Der Dienstleis- ter übernimmt die Rolle des Netzbetreibers und verfügt entsprechend über die Netzhoheit. Bild: LuckyStep - stock.adobe.com

MANAGEMENT | MANAGED SECURITY für Telekommunikationssysteme“ neu erstellt. Dieser deckt die physische Absicherung von Hardwarekomponenten der 5G-Campusnetze so- wie von allen anderen Telekommunikationssys- temen, zum Beispiel Digital Enhanced Cordless Telecommunications (DECT), in transportablen Containern und anderen Einhausungen ab. Der Baustein ist notwendig, da wesentliche Unter- schiede zur Unterbringung in Serverräumen und ortsfesten Gebäuden bestehen. ANWENDUNGSBEREICH UND ZIELGRUPPE Viele Unternehmen, die 5G-Campusnetze ein- setzen, bevorzugen die Abgeschlossenheit des 5G-Netzes aus Sicht der Informationssicherheit. Es existiert lediglich eine Schnittstelle zum in- ternen Firmennetz, über die der Datenaustausch läuft. Dabei beschränkt sich der Kreis der be- rechtigten Nutzer meist auf Geräte, die zu einem bestimmten Unternehmen oder einer bestimm- ten Institution gehören. Das IT-Grundschutz-Profil des BSI zur Absiche- rung von 5G-Campusnetzen legt die aktuel- len Standards ab Release 15 des 3rd Generation Stand-alone: Zugangsnetz und Kernnetz für 5G non Stand-alone: Basis ist ein EPC-Kernnetz und als Zugangsnetz wird LTE mit 5G NR kombiniert Partnership Project (3GPP) und den Betrieb als Stand-alone-(SA)-Netz zugrunde. Es verfügt, wie alle anderen 5G-Netze auch, über mindestens eine Basisstation (gNodeB), über deren ange- schlossene Antenne (Radio-Unit, RU) die mobilen Endgeräte mit dem Kernnetz (engl. Core-Net- work) verbunden werden. Die Radio-Unit bildet, zusammen mit dem gNodeB, das Zugangsnetz. Das Netz kann man für eine größere Reichweite und Ausleuchtung mittels weiterer Radio-Units erweitern. In einem solchen Netz (vgl. Abbildung 1) werden neben den üblichen Endgeräten wie Smart- phones, Tablets und Notebooks häufig auch verschiedene Arten von Sensorik und Aktorik eingesetzt. Diese sind beispielsweise in autono- Der Begriff „5G-Campusnetz“ bezeichnet ein lokal betriebenes, nicht öf- fentliches 5G-Netz. Solch ein Netz hat gewöhnlich keine direkte Anbindung an das öffentliche Mobilfunknetz. 5G-LIZENZ Um ein 5G-Campusnetz betreiben zu dürfen, ist die Beantragung einer Lizenz zur Nutzung der entsprechenden Frequenzen bei der Bundesnetz- agentur (BNetzA) notwendig. Da diese Lizenz nur zur Nutzung der Frequenzen an einem bestimm- ten Ort ausgestellt wird, muss das 5G-Campus- netz immer ortsfest betrieben werden. Soll das 5G-Campusnetz an unterschiedlichen Orten zum Einsatz kommen, so muss für jeden dieser Ein- satzorte eine gesonderte Lizenz bei der BNetzA angefordert werden. Meistens beantragt der Nutzer die Frequenzen bei der BNetzA. Bei der Verwendung eines gemeinsamen Zugangsnetzes kann es auch vorkommen, dass der Dienstleis- ter diese bereitstellt. Jegliche Konfigurationen sowie die Bereitstellung der SIM-Karten und die Verteilung der Radio-Units (Antennen) werden vom Dienstleister durchgeführt. Auch im Fremd- betrieb gibt es immer die Möglichkeit, den 5G- Core in der Cloud zu hosten oder ein in der Cloud gehostetes Zugangsnetz (Radio Access Network, RAN) zu verwenden. Hier bieten unterschiedliche Dienstleister verschiedene Betriebsmodelle an. Der IT-Grundschutz bietet eine ganzheitliche Grundlage für den Aufbau einer soliden IT- und Informationssicherheit im Unternehmen: Neben technischen Aspekten werden infrastruktu- relle, organisatorische und personelle Themen betrachtet. Das ermöglicht ein systematisches Vorgehen, um notwendige Sicherheitsmaß- nahmen zu identifizieren und umzusetzen. Die BSI-Standards 200-1 bis 200-4 liefern konkrete Vorgehensweisen, das IT-Grundschutz-Kompen- dium Anforderungen. Mithilfe der drei Vorge- hensweisen Basis-, Standard- und Kern-Absi- cherung kann eine Institution relativ einfach ein Informationssicherheitsmanagementsystem (ISMS) aufbauen (vgl. Abbildung 2). Die Stan- dard-Absicherung entspricht der empfohlenen IT-Grundschutz-Vorgehensweise. Sie hat einen umfassenden Schutz für alle Prozesse und Berei- che der Institution als Ziel. Die Basis-Absicherung hingegen ist für Institutionen interessant, die einen Einstieg in den IT-Grundschutz suchen und schnell alle relevanten Geschäftsprozesse mit Ba- sismaßnahmen absichern möchten. Da die meis- ten Nutzungsszenarien von 5G-Campusnetzen besonders schützenswerte Daten und Infrastruk- turen beinhalten, orientiert sich dieses IT-Grund- schutz-Profil an der Standardabsicherung. Darüber hinaus wurde der benutzerdefinierte Baustein „INF.bd.1 Ortsveränderliche Einhausung Abbildung 1: Netzplan (Bild: BSI) IT-SICHERHEIT_1/2023 23

MANAGEMENT | MANAGED SECURITY men Plattformen wie selbstfahrenden Robotern verbaut. Diverse Internet-of-Things-(IoT)-Ge- räte lassen sich ebenfalls über solch ein Netz drahtlos miteinander verbinden. Innerhalb des Kernnetzes können, je nach individuellen Anfor- derungen, verschiedene Netzdienste bereitge- stellt werden. GELTUNGSBEREICH UND SCHUTZBEDARF Der Einsatz der 5G-Technik in 5G-Campusnet- zen erfolgt in der Regel mit dem Ziel, zuverläs- sig geringe Latenzen bei hohen Bandbreiten zu erreichen. Dabei wird erwartet, dass in äußerst niedrigen Reaktionszeiten die richtigen Daten zuverlässig das Ziel erreichen, um eine korrekte Verarbeitung sicherzustellen, wie es beispiels- weise bei der Robotersteuerung in vielen Fällen notwendig ist. Die Luftschnittstelle in Funknetzen ist grund- sätzlich leicht abzuhören. Aus diesem Grund wurde mit 5G eine verbesserte Abhörsicherheit eingeführt, die in 5G-Stand-alone-Campus- netzen standardmäßig angewandt wird. Ent- sprechend sind eine höhere Integrität und Vertraulichkeit möglich. Zudem lässt sich das Sicherheitsniveau individuell an höhere Anforde- rungen anpassen. Abbildung 2: Die verschiedenen Arten der Grund- schutz-Absicherungen. Das Proﬁl 5G-Campusnetze orientiert sich an der Standardabsicherung. (Bild: BSI) Besonders wichtig ist das beispielsweise in industriellen und medizinischen Umfeldern, in denen 5G-Campusnetze zum Einsatz kommen. Denn hier wird dem Schutz der verarbeiteten Daten ein hoher Stellenwert beigemessen, unter anderem um Wirtschaftsspionage zu verhindern sowie hochsensible medizinische und personen- bezogene Daten zu schützen. AUSBLICK Das Feld der privaten 5G-Netze ist noch sehr neu und daher immer noch einem ständigen Wandel, besonders bei den Einsatzgebieten, aber auch in 24 IT-SICHERHEIT_1/2023 den Betriebsmodellen, unterworfen. Entspre- chend passt das BSI das IT-Grundschutz-Profil regelmäßig an den aktuellen Stand der Technik an. Ebenso werden bei Bedarf weitere IT-Grund- schutz-Profile und benutzerdefinierte Bausteine entstehen, um verschiedene Einsatzszenarien von 5G-Campusnetzen so gut und übersichtlich wie möglich abzubilden und die Anwendung von sicherheitsbezogenen Best Practices so ein- fach wie möglich zu gestalten. In die IT-Grundschutz-Profile und benutzerde- finierten Bausteine fließen die Hinweise der Hersteller und Anwender selbst ein. Die Anmer- kungen und Vorschläge nimmt das BSI sowohl im Rahmen von Anwenderworkshops als auch während der „Community-Draft“-Phase auf. In dieser Phase haben alle Interessierten die Möglichkeit, entsprechende Kommentare und Vorschläge zu übermitteln. Falls Interesse besteht, hier mitzu- gestalten, kann man sich direkt an das BSI (5g@bsi.bund.de) wenden. n JO-ANN SCHARKOFF ist Referentin im Referat SZ 32 – Vorgaben und Auditierung für Telekommunikationsnetze, 5G im Bundesamt für Sicherheit in der Informationstechnik. JENNIFER GABRIEL ist wissenschaftliche Mitarbeiterin im Bereich Sicherheit im Mobilfunk am Deutsche Telekom Lehrstuhl für Kom munikationsnetze von Prof. Frank Fitzek an der TU Dresden. Sie hat 15 Jahre Erfahrung im Bereich IT- und Informationssicherheit, u. a. als ISO 27001 Lead Auditor und in der Beratung. LadadikArt - stock.adobe.com

NIS2- und RCE-Richtlinie | KRITIS-Dachgesetz Neue Anforderungen für den Betrieb kritischer Infrastrukturen In einer Umfrage des Digitalverbands Bitkom gaben 75 Prozent der Befragten im Jahr 2022 an, von Cyberkriminalität betroffen gewesen zu sein – im Vergleich zu den Vorjahren ein enormer Anstieg. Sowohl auf europäischer als auch nationaler Ebene wurden im Laufe des Jahres 2022 eine Reihe von Neuregelungen initi- iert und teilweise inhaltlich finalisiert. Zu nennen sind hier die „Richtlinie über Maßnahmen für ein hohes gemeinsames Cyber- sicherheitsniveau“ (kurz: „NIS2-Richtlinie“), die „Richtlinie über die Resilienz kritischer Einrichtungen“ (kurz: „RCE-Richtlinie“) sowie das Eckpunktepapier für ein nationales „KRITIS-Dach- gesetz“ (kurz: „KritisDG“). Daraus ergeben sich eine Reihe von geänderten, aber auch neuen Anforderungen für Betreiber kriti- scher Infrastrukturen. Mit der NIS2-Richtlinie tritt ein Gesetzespaket der Europäischen Union in Kraft, welches Organisationen in verschiedenen Bran- chen zu einem stringenten Schutz gegen Cyberangriffe ver- pflichtet und dessen vorgesehene Maßnahmen über das deut- sche IT-Sicherheitsgesetz 2.0 hinausgehen. Neues Seminar im Bereich IT-Sicherheit Unser vielfältiges Schulungsangebot im Bereich der IT-Sicher- heit wappnet Sie und Ihre Belegschaft für die damit verbunden regulatorischen Vorgaben. In unserem neuen Seminar „NIS2- & RCE-Richtlinie | KRITIS-Dachgesetz“ lernen Sie die wichtigsten Inhalte der neuen NIS2- und RCE-Richtlinie sowie die Eckpunk- te des KritisDG kennen und erfahren, welche Unterschiede es zu den aktuell gültigen Regelungen des IT-Sicherheitsgesetzes gibt. Gleichzeitig geben Ihnen die Referenten wertvolle Hinweise, wie sich diese neuen Regelungen auf Ihre Arbeitspraxis auswirken und wie Sie sich bestmöglich darauf vorbereiten können. Darü- ber hinaus geben wir Ihnen mit unserem Weiterbildungsportfo- lio einen umfassenden Einblick in die kommenden Herausforde- rungen bei der Cybersecurity. Sie haben Fragen zu diesem oder anderen Seminaren im Bereich IT-Sicherheit? Dann kontaktieren Sie Vincent Bergner: v.bergner@bitkom-service.de Tel.: 030 27576-539 Bitkom Akademie | Wir qualifizieren die Digitalwirtschaft. Die Bitkom Akademie ist Ihr erster Ansprechpartner für die Aus- und Weiterbildung von Fach- und Führungskräften in einer sich digitalisierenden Arbeitswelt. Mit jährlich über 300 Weiterbil- dungen zu hochaktuellen Themenbereichen wie Big Data & KI, IT-Sicherheit, Nachhaltigkeit, Datenschutz sowie Recht & Regu- lierung leisten wir einen entscheidenden Beitrag zur Digitalisie- rung Deutschlands. Neben offenen Aus- und Weiterbildungen bietet die Bitkom Akademie auch individualisierte Qualifizierungsformate an. Dabei begleiten wir Unternehmen langfristig im Rahmen komplexer und vielschichtiger Digitalisierungsprojekte und befähigen Mitarbeitende nachhaltig. n bitkom-akademie.de/seminare IT-SICHERHEIT_1/2023 25 naka - stock.adobe.com– ADVERTORIAL –

CYBERSICHERHEIT Dass Angreifer immer metho- denreicher vorgehen, ist kein Geheimnis. Nicht nur die Zahl der versuchten Übergriffe wächst, auch die Komplexität der Angriffsmuster und die Band- breite der potenziellen Einfallstore nehmen weiter zu. Themen wie Ransomware, Phishing, die Kompromittierung von Lieferketten, der Einsatz von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) im Zuge professi- oneller Eindringversuche, die Ausnutzung von Zero-Day-Schwachstellen oder der Missbrauch gestohlener Zugangsdaten treiben IT-Verant- wortlichen immer öfter den Schweiß auf die Stirn – nicht zuletzt vor dem Hintergrund, dass im Rahmen der Dezentralisierung von Unter- nehmensstrukturen durch Homeoffice und Co. die Angriffsfläche noch größer wird. Zudem sind die Folgen einer erfolgreichen Cyberat- tacke nicht zu unterschätzen, wie das jüngste Beispiel des Fahrradherstellers Prophete zeigt: Dieser musste kurz vor Weihnachten 2022 In- solvenz anmelden, nachdem ein Angriff den Betrieb für mehrere Wochen lahmgelegt hatte. Entsprechend aufrüttelnd sind die Zahlen des „Cost of a data breach“-Reports von IBM. Danach betrug die durchschnittliche Zeit, um einen IT-Si- cherheitsvorfall zu erkennen und zu beheben, im Jahr 2022 ganze 277 Tage. Dieser hohe Wert lässt sich auf verschiedene Ursachen zurückführen. Zum einen fehlt es in Unternehmen aufgrund des fortschreitenden Fachkräfte- und internen Ressourcenmangels immer öfter an Kapazitäten, um mit der Professionalisierung der Angreifer Schritt halten zu können. Erschwerend hinzu kommt, dass der nicht aufeinander abgestimmte Einsatz von Sicherheitslösungen auf Unterneh- mensseite die Effizienz der Gefahrenerkennung und -abwehr zusätzlich ausbremst. Angreifer, die zunehmend auf Automatisierung setzen, sind Sicherheitsteams auf Unternehmensseite meist weit voraus. SOC RÜCKT IN DEN FOKUS Deshalb ist der Aufbau eines modernen Security- Operations-Centers für Unternehmen jeder Grö- ßenordnung eigentlich unerlässlich. Denn nur so lässt sich dem Zeitvorteil, den Angreifer in der Regel haben, nachhaltig entgegenwirken. Ein SOC ist auf die konsequente Überwachung und Analyse ausgelegt. Es bietet dabei zentralisierte und konsolidierte Fähigkeiten zur Prävention, Abbildung 1: Komponenten eines modernen SOC. (Bild: WatchGuard) Erkennung und Reaktion auf Cybersicherheits- vorfälle. Die Anforderungen sind hierbei in den letzten Jahren weiter gestiegen: Heute muss ein SOC mehr denn je Netzwerk, Endpoints, Anwen- dungen und Anwenderaktivitäten ganzheitlich im Blick behalten und proaktiv abnormales Ver- halten erkennen, Indikatoren für einen poten- ziellen Sicherheitsvorfall untersuchen und sofort auf Bedrohungen reagieren – egal wie ausgefeilt diese daherkommen. Hierfür ist ein Einsatz rund um die Uhr essenziell. Was zunächst aufwendig klingt, ist dank heu- tiger technischer Möglichkeiten kein Problem mehr. Vor allem Managed-Detection-and-Re- sponse-(MDR)-Services versprechen entschei- dende Unterstützung. Hierbei werden über eine cloudbasierte Infrastruktur Funktionen zum Threat-Hunting und einer proaktiven Erkennung, Untersuchung und Abwehr eventueller Gefah- ren zur Verfügung gestellt. Mittlerweile gibt es Dienstleister mit schlüsselfertigen Lösungen, die auf einem vordefinierten Technologiebaukasten aufsetzen, um relevante Protokolle, Systemak- tivitäten, Daten und kontextbezogene Infor- mationen zu sammeln. Diese werden innerhalb der Plattform des Anbieters unter Zuhilfenahme moderner Techniken analysiert, einschließlich KI und ML. Danach verfeinern Spezialisten meis- tens die Ergebnisse während der aktiven Reakti- on und Eindämmung der Bedrohung weiter. INTERN, SAAS ODER ALS KOMBINATION? Umsetzungsstrategien im Rahmen eines SOC- Ansatzes werden immer vielfältiger. Natürlich kann sich jedes Unternehmen ein SOC selbst aufbauen, allerdings kommen die bereits ange- sprochenen begrenzten Ressourcen wieder ins Spiel. Gerade kleineren Firmen fehlen schlicht und ergreifend die Mittel. Alternativ können sie auf ein SOC aus der Cloud ausweichen und ein externes Unternehmen mit der Durchführung hoch qualifizierter Überwachungs-, Erkennungs- und Abwehraufgaben beauftragen. Aber auch Mischformen zwischen Eigen- und Dienstleis- tung sind in der Praxis keine Besonderheit mehr, zumal ein hybrides Modell das Beste aus beiden Welten bietet: Die Kombination aus internen Mitarbeitern, die durch Experten von Drittanbie- tern ergänzt werden, kann das Fundament für eine verlässliche Erkennung und Reaktion sein. Aufgrund der vielen Möglichkeiten, ein SOC auf- zubauen, sollten Unternehmen, die Fehler ver- meiden wollen, folgenden Aspekten besonders viel Aufmerksamkeit schenken – unabhängig davon, welchen der genannten SOC-Ansätze sie konkret verfolgen: Cloud-Strukturen: Die Cloud ist effizienter als jede andere Option, wenn es um die schnel- IT-SICHERHEIT_1/2023 27 Bild: Framestock - stock.adobe.com

CYBERSICHERHEIT Abbildung 2: Ein SOC wird vor dem Hintergrund der Bedrohungslage auch für mittelständische Unternehmen zum essenziellen Baustein der Sicherheitsstrategie. (Bild: WatchGuard) le Bereitstellung von Sicherheitsfunktionen und Updates für Remote-Mitarbeiter sowie die zentrale Verwaltung von Compliance, Security-Vorgaben und neuen Architektu- ren wie Zero Trust geht. Zudem ermöglichen Cloud-Strukturen den IT-Verantwortlichen die Administration und Einsicht von jedem Ort der Welt aus. Automatisierung: SOC-Analysten haben nicht die Zeit, manuell auf jeden Alarm und jedes Anzeichen eines Angriffs zu reagieren. Auto- matisierung ist notwendig, um Prozesse zu rationalisieren, Bedrohungen zu priorisieren und das Risiko manueller Fehler zu elimi- nieren. Einer der Mythen über die Automa- tisierung ist, dass sie eingesetzt wird, um Analysten zu ersetzen. In Wahrheit ist genau das Gegenteil der Fall. Automatisierung trägt dazu bei, dass diese noch effizienter agieren und sich auf hochriskante Vorfälle konzentrie- ren können. Maschinelles Lernen und künstliche Intelli- genz: Angreifer nutzen ML und KI, um ihre An- griffe gezielt und in großem Umfang durch- zuführen. Wenn SOCs keine vergleichbaren Tools verwenden, geraten sie über kurz oder lang ins Hintertreffen. Der Einsatz von ML und KI für die Korrelation und Analyse unterstützt eine Skalierbarkeit, Tiefe und Konsistenz, die menschliche Analysten nicht erreichen können, und erhöht somit nachhaltig die Ge- samteffizienz des Sicherheitsteams. EDR-, NDR- und XDR-Lösungen: Gerade im Hinblick auf den Schutz von remote agie- renden Mitarbeitern ist der Austausch der spezifischen Informationen und Bedrohungs- daten unerlässlich. Daher sollten Lösungen für Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und/ oder Extended Detection and Response (XDR) zum Einsatz kommen. Damit haben SOC- Teams Zugriff auf weitreichende Informati- onen zu laufenden Bedrohungskampagnen aus der ganzen Welt in Echtzeit. Ein weiteres Schlüsselelement ist eine integrierte, durch- gängige Plattform, die einen Überblick über die gesamte Umgebung bietet. Das ist nicht nur wichtig, um Bedrohungen zu überwachen und zu erkennen, sondern trägt zudem maß- geblich dazu bei, die Reaktionszeit zu verkür- zen und mögliche Schäden zu begrenzen. 28 IT-SICHERHEIT_1/2023 FAZIT Von einem Security-Operations-Center profitiert jedes Unternehmen, da es dazu beiträgt, Gefah- ren besser und schneller zu erkennen und ent- sprechend abzuwehren. Das Risiko von Kosten und Imageschäden bei erfolgreichen Angriffen lässt sich damit spürbar minimieren. Daher soll- ten sich nicht nur große Konzerne gezielt mit diesem Thema auseinandersetzen. Zumal die Hürden des Aufbaus dank moderner Technologie und Service-Angebote für mittelständische Un- ternehmen immer kleiner werden. n MICHAEL HAAS ist Regional Vice President Central Europe bei WatchGuard Technologies.

EDITORIAL Sebastian Frank 30 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS IMPRESSUM www.itsicherheit-online.com in Kooperation mit Fakten und Perspektiven der IT im Gesundheitswesen JOURNAL www.krankenhaus-it.de SPECIAL: IT-Sicherheit im Krankenhaus Verlag: DATAKONTEXT GmbH Standort Frechen Augustinusstr. 11A · 50226 Frechen www.datakontext.com Chefredaktion: Sebastian Frank (S.F.) E-Mail: s.frank@kes.de Redaktion: Dr. Peter Münch (P.M.), Dr. jur. Martin Zilkens (M.Z.), Online-Redaktion: Jessica Herz (Leitung Online) herz@datakontext.com +49 2234 98949-80 Lisa Bieder Silvia Klüglich Chiara Schönbrunn Herausgeberbeirat: Prof. Dr. Michael Backes, Prof. Dr. jur. Dirk-M. Barton, Walter Ernestus, Prof. Dr. Nikolaus Forgó, Prof. Dr. Rainer W. Gerling, Dr. Jan-Peter Ohrtmann, Prof. Dr. Norbert Pohlmann, Dr. jur. Martin Zilkens Gründer: † Bernd Hentschel Grafik/Layout/Satz: Michael Paffenholz Tel.: +49 173 8382572 E-Mail: michael.paffenholz@gmx.de Objekt- und Anzeigenleitung: Wolfgang Scharf Tel.: +49 2234 98949-60 E-Mail: wolfgang.scharf@datakontext.com zzt. gilt die Anzeigenpreisliste Nr. 29 Vertrieb/Herstellung: Dieter Schulz Tel.: +49 2234 98949-99 dieter.schulz@datakontext.com Abonnement: Jahresabonnement € 129,- inkl. VK (Inland) Erscheinungsweise: sechs Ausgaben Alle Preise verstehen sich inkl. MwSt. Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Erscheinungsweise, Bezugspreise und -bedingungen: Abonnement und Bezugspreis beinhalten die Print-Ausgabe sowie eine Lizenz für das Online-Archiv. Die Bestandteile des Abonnements sind nicht einzeln künd- bar. Der Preisanteil des Online-Archivs ist auf der Abonnementrechnung separat ausgewiesen. Aboservice: Hüthig Jehle Rehm GmbH, München, Tel.: +49 89 21 83-7110 Druck: Grafisches Centrum Cuno GmbH & Co. KG, Calbe (Saale) © DATAKONTEXT Mit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar. Für unverlangt eingeschick- te Manuskripte übernehmen wir keine Haftung. Mit der Annahme zur Ver- öffentlichung erwirbt der Verlag vom Verfasser alle Rechte, einschließlich der weiteren Vervielfältigung zu gewerblichen Zwecken. Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheber- rechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Ur heberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Titelbild: SWS Computersysteme AG Fotos: Firmenbilder; DATAKONTEXT; iStock.com/alvarez; everything possible/Shutterstock; (adam121, ArtemisDiana, ART STOCK CREATIVE, DESIGN ARTS, ipopba, Knut, peopleimages.com, sdecoret, Viktor Isaak) - stock.adobe.com 29. Jahrgang 2023 · ISSN: 1868-5757 Arbeit und EngagementWenn man über Cybersicherheit im Gesundheitswesen redet, muss man sich bewusst sein, dass es nicht nur um die Sicherheit der IT, sondern letztlich um die Sicherheit der Patienten geht. Dass Cyberkriminelle nicht vor Krankenhäusern und Arztpraxen halt machen, ist hinlänglich bekannt. Sie sind mittlerweile ein äußerst beliebtes Ziel für Angriffe, vor allem mit Ransomware. Die Opferliste allein aus dem letzten Jahr ist lang – Unfallkasse Tübingen, IFAP-Arzneimittelbank, Bad Säckinger Reha-Klinik, Klinikum Lippe, Caritas, das Internationale Komitee vom Roten Kreuz (IKRK) – und ließe sich noch ein gutes Stück weiter fortsetzen. Laut einer Studie des Unternehmens SOTI sorgen sich die IT-Verantwort -lichen besonders um den Diebstahl von Patientendaten durch einen Cyberangriff, die Weitergabe von Patientendaten ohne Zustimmung des Patienten und den Verlust von Patienteninformationen. Das ist nicht unbegründet, wie die Liste der von Cyberangriffen betroffenen Kliniken und Einrichtungen zeigt. Drei von vier IT-Fachleuten denken sogar, dass Patientendaten so gefährdet sind wie nie zuvor. Auf der anderen Seite steuert die Cybersicherheitsbranche gegen. Ob Mit arbeiter-Awareness, die Einführung von Zero Trust, „Managed Detection and Response“-Services, der sichere Dateiaustausch oder Archivierungssysteme – die Gesundheitsbranche kann aus vielen Pro-dukten und Services auswählen, mit deren Hilfe sie sich vor Angriffen schützen und gesetzliche Anforderungen umsetzen kann. Mit der immer schnelleren Digitalisierung des Gesundheitswesens ist es wichtiger denn je, dass alle zusammenarbeiten, um Patienten und ihre Daten zu schützen. Das erfordert viel Arbeit und Engagement von allen Beteiligten. Unternehmen und Organisationen aller Art zu unterstützen, im Rahmen ihrer Digitalisierung eine erfolgreiche Verteidigung aufzubauen, ist das Kernanliegen unsere Zeitschrift IT-SICHERHEIT – und das schon seit 27 Jahren.Gemeinsam mit unserem Kooperationspartner Krankenhaus-IT Journal haben wir dieses Special ins Leben gerufen. Sie finden hier neben strategischer und technischer Unterstützung auch wichtige Infos von Security-Anbietern als Orientierungsguide.Viel Freude mit dem gemeinsamen Produkt!IhrSebastian Frank

Inhalt 30 Editorial Anbieter 32 Prävention und Transparenz 46 Risikopatient IT Mit wenigen Maßnahmen Angriffsflächen verringern Eine gute Vorsorge sorgt für Cybersicherheit im Krankenhaus 34 Kurzinterview mit Christian Schreiner, SWS Top-down: Das Wichtigste zuerst 48 MailStore Server und die datenschutzkonforme E-Mail- Archivierung im Gesundheitswesen 36 Daten im Gesundheitswesen sind für 50 IT-Sicherheit im Krankenhaus – Cyberkriminelle besonders attraktiv Entscheidend ist der Mensch so geht’s 38 E-Mail-Daten DSGVO-konform aufbewahren Backup oder Archivierung? 40 Hilfe für den Datenschutz Sicherer Dateiaustausch tut nicht weh 42 Sicheres Arbeiten im Web Den Webbrowser vor Cyberangriffen schützen 44 Branche unter den Top-Angriffszielen Gesundheitswesen im Fadenkreuz 52 B3S Gesundheit für Krankenhäuser mit QSEC am Beispiel Harzklinikum Dorothea Christiane Erxleben GmbH 54 Sicherer Umgang mit Daten DSGVO-konforme Digital- Workplace-Lösung – Ihr Rezept für einen sorgenfreien Klinikalltag 56 Digitale Sensibilisierung Der Faktor Mensch in der Cybersicherheit: Mitarbeitersensibilisierung im Gesundheitssektor 58 Vertraue niemandem! Zero Trust: Unverzichtbar für alle Accessverfahren SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS 31

Prävention und Transparenz Mit wenigen Maßnahmen Angriffsflächen verringern Viele Entscheider im Gesundheitswesen stehen heute vor der Frage, wie man in einer modernen Krankenhaus-Umgebung den digitalen Blackout vermeidet und mit vorhande- nen Ressourcen den Spagat zwischen Sicherheit, Verfügbarkeit und Nutzerfreundlich- keit schafft. Unser Beitrag gibt Antworten. C hristian Schreiner ist Vorstandsvorsitzender der SWS Computersysteme AG und berät in Sachen Cybersi- cherheit viele Krankenhäuser. „Natürlich war man in den vergangenen Jahren auch mit Cyberangriffen einzel- ner Häuser konfrontiert“, so Schreiner „mitentscheidend, dass versuchte Ransomware-Attacken bei verschiedenen Kran- kenhäusern ohne größere Schäden oder gar erfolglos blie- ben, war dabei das frühzeitige Verringern der Angriffsﬂächen durch Maßnahmen wie Segmentierung beziehungsweise Mikrosegmentierung der Krankenhausnetze, professionelle Sicherheitswerkzeuge, Werkzeuge zur Anomalie-Erkennung wie auch gute Backupkonzepte.” Generell sollten die Verantwortlichen in den Krankenhäu- sern in ihrem Netzwerk Transparenz schaffen, zum Beispiel durch eine dedizierte Analyse des Kommunikationsverhal- tens von IT-Komponenten. Dazu gibt es sehr gute Werkzeuge mit hohen Automatismen. Ziel ist es, nicht gewünschte oder erforderliche Verbindungen einzuschränken beziehungswei- se zu verhindern. Ein Dopplersonograﬁegerät muss in der Re- gel keine Verbindung zum MRT oder Autoklaven haben oder ein Drucker keine Verbindung zu einer Videokamera. „Bei un- seren zahlreichen IT-Projekten in Kliniken im Krankenhaus- Pﬂegeumfeld sehen wir bei einem Haus mit 1.000 Betten mo- mentan im Durchschnitt circa 4.000 vernetzte medizinische Geräte im Einsatz“, so Schreiner. „Speziell die Internet-of-Me- dical-Things-(IoMT)-Geräte werden zunehmend als Brücken- köpfe für Cyberangriffe auf die digitale Infrastruktur genutzt.“ Problem Fachkräftemangel Auch der IT-Fachkräftemangel trifft die Verantwortlichen und stellt eine weitere Schwachstelle in Bezug auf die IT-Si- cherheit dar. Daher greifen viele Kliniken zunehmend auf die Unterstützung von professionellen IT-Dienstleistern zurück. „Wichtig ist, dass der Dienstleister die grundsätzlichen Abläu- fe in der Klinik kennt und Erfahrungen aus anderen Projekten zur Verfügung stellt. Nur dann er kann einen echten Mehr- wert liefern“, sagt Schreiner von der SWS AG. Mithilfe des Dienstleisters kann die Organisation dann ge- eignete Schutzmaßnahmen umsetzen, wobei man dabei nicht vergessen darf, dass Aspekte wie Verfügbarkeit und Patien- tennutzen eine ebenso wichtige Rolle wie die Sicherheit spie- len. Fragen, die immer wieder auftauchen, sind zum Beispiel: Wie integriert man IT-basierte Kameras sicher? Wie installiert man ein sicheres und ﬂächendeckendes Pa- tienten-WLAN? Wie setzt man sicheres digitales Patientenmonitoring um? Wie schützt man die Anbindung und Integration von Be- legärzten und Zuweisern? Wie können Daten nach außen geschickt werden, zum Beispiel von Radiologien? Wie ﬁndet die Integration von Haus- und Patiententech- nik statt? Ist ein Eigenbetrieb denkbar oder sollte man Managed- Service-Partner nutzen? 32 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS . m o c . e b o d a k c o t s - S T R A N G I S E D : d l i B

Weitere Maßnahmen sind zum Beispiel eine abgestimm- te Sicherheitsrichtlinie, der Aufbau eines Informationssicher- heitsmanagementsystems (ISMS), die Implementierung von Sicherheitsprozessen (Notfallplanung, Umgang mit Sicher- heitsvorfällen etc.) sowie die Durchführung von Awareness- Trainings. Besonders elementar in einer Sicherheitsstrategie sind re- gelmäßige Schulungen durch Awareness-Trainings. Das be- deutet die wiederkehrende Sensibilisierung der Mitarbeiter, Lieferanten und Dienstleister (Stakeholder) hinsichtlich von Fehlverhalten sowie der Gefährdung durch und im Umgang mit Cyberattacken. Zudem gibt es technische Mittel, die alle organisatorischen Aspekte integrieren beziehungsweise berücksichtigen und für ein bestmögliches Sicherheitsniveau sorgen können. Alle ge- nannten Maßnahmen bedürfen der Rückendeckung der Ge- schäftsführung. Netzwerksegmentierung Viele Kliniken haben ihre Segmentierungsvorhaben be- reits begonnen oder beﬁnden sich im laufenden Prozess. Be- vor allerdings eine geplante Segmentierungsstrategie um- gesetzt werden kann, stehen Punkte wie Verfügbarkeit, Sicherheit und ein strukturiertes Vorgehen, idealerweise mit einer entsprechenden Risikoanalyse untermauert, auf der Ta- gesordnung. Ein grobes Zonenkonzept basiert auf der Trennung der Krankenhausinfrastruktur in einzelne Netze. Die Kernstücke der Segmentierung haben weitere Unterteilungen in Sub- netze und Zonen bis hin zu einer Mikrosegmentierung. Innerhalb der Netze (Zonen) werden entsprechende Kom- munikationsverbindungen ermittelt, hinterfragt und in einer Kommunikationsmatrix festgehalten und bewertet. Voraus- setzung für Transparenz und Visibilität ist, dass die beteiligten Komponenten bekannt und entsprechend inventarisiert sind. Außerdem müssen die Systemstände erfasst sein. „Die Entwicklung von ﬂachen Netzen in ein Netzwerk mit segmentierten Enklaven ist als Prozess zu verstehen, der im strukturierten Ablauf und mit der notwendigen Unterstüt- zung erfolgreich umgesetzt werden kann“, lautet das Fazit von Schreiner. IT-Sicherheitsgesetz 2.0 und NIS 2 Aber auch der Gesetzgeber stellt Krankenhäuser vor neue Herausforderungen: Gerade Betreiber kritischer Infrastruktu- ren sind in den folgenden Monaten mit der Umsetzung des IT- Sicherheitsgesetzes und der NIS-2-Richtlinie gefordert. Hierzu gehören unter anderem: Risiko- und Notfallmanagementkonzept Verfahren zur Meldung von Vorfällen Betrachtung von Cybersicherheitsrisiken in Lieferketten Audits und Methoden zur Verbesserung der Informations- sicherheit Hans-Martin Kuhn ist T.I.S.P.-zertifizierter Security-Experte und Consultant bei der SWS Computer AG. SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS 33 Analog der Datenschutzgrundverordnung (DSGVO) gilt auch bei NIS 2, dass bei signifikanten Sicherheitsvorfällen binnen 24 Stunden eine Frühwarnung und innerhalb von 72 Stunden eine Einschätzung an die Behörde erfolgen muss. Bei Nichterfüllung drohen teils drastische Sanktionen.Allerdings kann nur melden, wer über eine konforme An-griffs- und Anomalie-Erkennung verfügt. Auch bei der Um-setzung dieser Systeme setzen viele Unternehmen auf Wissen von außerhalb und binden unter dem Stichwort Managed-Detection and -Response (MDR) externe Security-Spezialisten mit in die Cyberabwehr ein. Grundlegende MaßnahmenDie vorangestellten Punkte nützen aber wenig, wenn grundlegende Bedingungen nicht erfüllt werden und in der IT die Mindestanforderungen nicht umgesetzt sind. Folgend eine nicht abschließende Übersicht: E-Mail-Sicherheit und Endpoint-Protection: Neben ei-nem segmentierten Netz (einschließlich Firewall-Kon-zept) zählen weitere wichtige Instrumente zum Portfolio einer Sicherheitsstrategie. Die Überwachung von zentra-len Diensten beispielsweise. So sind E-Mails nach wie vor eines der häufigsten Einfallstore und stehen wie ein ent-sprechender Endpunktschutz im besonderen Fokus der Angriffserkennung. Zugriffssteuerung: Multi-Faktor-Authentifizierung für alle Mitarbeiter, sichere Passwörter und getrennte sowie persönlich zugeordnete Accounts sind unumgänglich. Fer-ner auch die Sicherstellung, dass jeder nur auf die Daten zugreifen darf, die er auch wirklich für seine Arbeit benö-tigt – ein Hausmeister muss keine Röntgenbilder sehen, nur Ärzte haben Zugriff auf Klinik-Applikationen. Die Nut-zung von Cloud-Applikationen sollte im Blickpunkt der ak-tuellen Sicherheitsbetrachtungen stehen. Backup: Zur Wiederherstellung der Betriebsfähigkeit im Fall einer Kompromittierung, bei Fehlkonfigurationen so-wie bei Hard- und Softwaredefekten ist ein funktionie-rendes Backup-Konzept obligatorisch. Die Lauffähigkeit der auf unterschiedlichen Medien gespeicherten Datensi-cherungen sind in regelmäßigen Abständen zu überprü-fen und stellen eine einfache Maßnahme für Krankenhäu-ser dar, um bei einer Ransomware-Attacke den Betrieb aufrecht zu erhalten. n

Kurzinterview mit Christian Schreiner, SWS Top-down: Das Wichtigste zuerst KHZG, RIS, PACS, KIS und Telematik-Infra- struktur sind für die SWS AG keine Fremd worte. Das Unternehmen hat einen jahrzehntelangen Erfahrungsschatz aus zahl reichen Klinikprojekten aufgebaut. An oberster Stelle steht immer ein ganzheit- licher Security-Ansatz zum Schutz der hoch sensiblen Patientendaten. Im Inter- view mit IT-SICHERHEIT verrät Christian Schreiner, Vorstandsvorsitzender der SWS, was Krankenhäuser für mehr Cyber- sicherheit tun können. ITS: Warum ist die ständige Verfügbarkeit der IT beson- ders in einem Krankenhaus so essenziell? Christian Schreiner: Selbstverständlich ist in jeder Art von Unternehmen die Verfügbarkeit der IT unabdingbar. Bei einem Ausfall der IT entstehen beispielsweise in einem Pro- duktionsbetrieb jedoch meist „nur“ materielle Schäden, was durchaus tragisch ist und sogar zur Insolvenz des Unterneh- mens führen kann. In einem Krankenhaus steht bei einem solchen Ausfall jedoch viel mehr auf dem Spiel. So kann zum Beispiel nicht mehr auf Patientenakten zugegriffen werden und unter Umständen müssen lebenswichtige Operationen verschoben werden. So berichteten die Medien von einem Vorfall aus dem Jahr 2020, bei dem die Uniklinik Düsseldorf durch einen zufälligen Hackerangriff vier Wochen lang lahm- gelegt war. Abmeldung von der Notfallversorgung, Rettungs- wagen fuhren sie tagelang nicht an, und sogar der Tod einer Frau durch zu späte Behandlung waren die Folge. ITS: Es sind zahlreiche Maßnahmen notwendig, um die IT-Sicherheit zu gewährleisten. Eine Umsetzung solcher Maßnahmen in einem kurzen Zeitraum ist schon aus per- soneller Hinsicht oft nicht möglich. Wie würden Sie hier vor- gehen? Christian Schreiner: Es sind sicherlich schon einige Si- cherheitsmaßnahmen umgesetzt. Zunächst einmal ist auf- zulisten, welche Sicherheitsmaßnahmen heute bereits exis- tieren, um zu prüfen, inwieweit diese noch den aktuellen Anforderungen entsprechen. Sind sie nicht mehr auf dem 34 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS aktuellen technischen Stand, muss das unbedingt nachgeholt werden. Das ist normalerweise mit überschaubarem Auf-wand möglich. ITS: Ist das erledigt, wie würden Sie dann die nächsten Punkte angehen?Christian Schreiner: Danach ist zu prüfen, welche Maß-nahmen fehlen, um einen sicheren IT-Betrieb zu gewährleis-ten. Ich empfehle hier eine Top-down-Vorgehensweise: Die Maßnahmen mit dem größten Sicherheitseffekt würde ich hier zuerst umsetzen.ITS: Können Sie hier Beispiele nennen?Christian Schreiner: Es hilft nichts, wenn die Endgerä-te einen Virenscanner haben, die Server jedoch ungeschützt im Netzwerk stehen. Ich würde hier versuchen, meine „Kron-juwelen“, nämlich die Server und SAN-Systeme als Erstes zu schützen. Das funktioniert am besten mit einer Microsegmen-tierung des zentralen Datacenter-Netzwerkes. Als nächstes gilt es, die Systeme zu überwachen und automatisiert Ano-malien zu erkennen. Gerade in Zeiten von Fachkräftemangel ist es in einem komplexen Krankenhaus-IT-System schier un-möglich, ständig alle Systeme manuell zu überwachen. Des-halb ist hier ein Security-Information-and-Event-Manage-ment-(SIEM)-System empfehlenswert. Es prüft permanent Istzustände gegen Sollzustände aller relevanten Systeme, er-kennt Anomalien und warnt die IT-Administratoren proaktiv. Das sind jedoch nur zwei Beispiele von vielen.ITS: Wie ist die Vorgehensweise, wenn ein Krankenhaus trotz aller Schutzmaßnahmen Opfer eines Hackerangriffs wird?Christian Schreiner: Eine 100-prozentige Absicherung der IT ist leider nie möglich. Unser Ziel ist es jedoch, mit den Schutzmaßnahmen die Angriffsﬂäche zu minimieren und den Schaden so gering wie möglich zu halten. In so einem Fall analysiert unser Security-Operation-Center-(SOC)-Team zusammen mit der Klinik den Vorfall und leitet Maßnahmen zur Datenwiederherstellung und Verhinderung der weiteren Ausbreitung der Ransomware ein. Zudem werden forensisch der Einfallspunkt sowie die kompromittierten Systeme er-mittelt, um weitere Angriffe und eine Ausbreitung zu verhin-dern. Wir stehen dabei selbstverständlich bis zur vollständi-gen Rehabilitation an der Seite der Klinik. n

CONTROLLIT DIGITALE SICHERHEIT IM KRANKENHAUS. GENAUSO WICHTIG WIE DIE RICHTIGE PATIENTENBEHANDLUNG. Wenn eine Patientenakte Lücken aufweist, könnte sich eine schnelle, erfolgreiche Behandlung als schwie- riger darstellen. Selbst wenn Ihr Krankenhaus bis- lang noch nicht betroffen war, sollten Sie effektive Schutzmecha- nismen gegen mögliche Bedrohun- Fakt ist: Ohne grundlegende Elemente der IT-Notfallvorsorge sowie -bewältigung wird es keine Patientensicherheit geben. Unsere BCM Software [alive-IT] zählt zu den weltweit führenden Tools im Bereich der Notfallplanung und wurde bereits mehrfach von Kunden und Anwendern ausgezeichnet. gen installieren. Denn erfolgreiche Angriffe hätten unmittelbare Auswirkungen: Können Sie dann noch Notfallpatien- ten aufnehmen? Können Opera- Genauso gefährlich sind Lücken in der IT-Sicherheit. Insbesondere in der heutigen Zeit. An jedem Tag stellen Cyberangriffe auf Kranken- häuser eine reale Bedrohung dar. tionen durchgeführt werden? Können Sie die einwandfreie Funk- tion Ihrer vernetzten Geräte garan- tieren? Wir helfen Ihnen dabei, einen wirk- samen Schutz aufzubauen, damit Sie im Fall der Fälle gerüstet sind. Wir beraten seit über 20 Jahren Krankenhäuser und Unternehmen aus allen Branchen – vor, während und nach Krisensituationen. Sie möchten gerne mehr über uns und [alive-IT] erfahren? Fragen Sie uns einfach! www.controll-it.de Telefon +49 40 890664-60 Business Continuity Management IT Service Continuity Management Informationssicherheit Krisenmanagement BCM Software alive-IT

Daten im Gesundheitswesen sind für Cyberkriminelle besonders attraktiv Entscheidend ist der Mensch Mensch und Maschine im engen Zusammenspiel, das ist Alltag in Krankenhäusern. Tech- nologischer Fortschritt, der Einsatz von künstlicher Intelligenz (KI) oder auch einfach die stetige Verfeinerung digitalisierter medizinischer Arbeit haben zu einer effizienteren Medizin beigetragen. Ohne den Menschen jedoch, der die Maschinen bedient, fundierte Analysen trifft, richtige Diagnosen stellt und Strategien zur Heilung entwickelt, sind die Prognosen trübe. In der IT-Sicherheit gilt dasselbe Prinzip: Auch hier ist die Entwicklung ra- sant und das Potenzial der eingesetzten Sicherheitslösungen enorm hoch. Und doch reicht es für eine moderne Gefahrenabwehr nicht mehr, sich auf Firewall und Co. zu verlassen. D ie besondere Gefahr für Krankenhäuser und andere Einrichtungen des Gesundheitswesens fußt auf meh- reren Faktoren. Grundsätzlich sind die Motive hinter cyberkriminellen Aktivitäten vielfältig. Meist geht es darum, den Geschäftsbetrieb empﬁndlich zu stören oder gar gänzlich zum Erliegen zu bringen, hohe Erpressungsgelder zu erzielen oder aber erbeutete Daten im Darknet zu veräußern. Angrif- fe auf medizinische Einrichtungen sind für Cyberkriminelle aber besonders attraktiv. Sensible Datensätze wie Patienten- daten, Krankenakten oder anderweitige technologische, wis- senschaftliche oder personenbezogene Informationen sind im dunklen Markt der Cyberkriminellen unendlich wertvoll. Erst im Januar 2022 gelang es beispielsweise Hackern, bei einem Angriff auf das Internationale Rote Kreuz mehr als 500.000 Da- ten höchst schutzbedürftiger Personen zu erbeuten. Neben den hohen Erträgen auf dem einschlägigen Schwarzmarkt erhoffen sich die Cyberkriminellen zudem eine größere Bereitschaft der angegriffenen Gesundheits- einrichtungen, zum Beispiel im Fall einer Ransomware-Er- pressung die geforderten Lösegelder auch tatsächlich zu zah- len. Dramatik und Aufmerksamkeitswirkung solcher Angriffe können darüber hinaus im schlimmsten Fall zum Tod von Menschen führen. Ein anderer Aspekt für die Gefahr, die von der cyberkri- minellen Szene ausgeht, ist die Tatsache, dass man auch tech- nologisch dort heutzutage in einer ausgesprochen komfor- tablen Situation ist – entweder durch eigenes Können, was der seltenere Fall ist, oder aber durch die Unabhängigkeit von eben diesem: Wer cyberkriminelle Absichten hat, braucht kei- ne eigene Hacking-Expertise mehr, sondern kann aus einem breit aufgestellten, skalierbaren Service-Angebot an cyber- kriminellen Dienstleitungen wählen. Vom schnell gekauften kleinen Schadwarecode bis hin zu als Auftragsarbeiten aus- geführten komplexen und von Expertenhand gesteuerten An- griffen. Die Branche im Darknet boomt und mit ihr steigt die Professionalität auf der dunklen Seite der Macht. 36 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS

Und auch die tatsächlichen Auswirkungen zeigen sich. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden 2021 nicht weniger als rund 144 Millionen neue Schadprogramme identiﬁziert. Ein gutes Viertel der betroffe- nen Organisationen bewerteten die Angriffe, mit denen sie konfrontiert waren, als eine schwerwiegende oder existenz- bedrohende Gefahr. Laut einer Studie von Sophos beeinträchtigt Ransomware Betrieb und Umsätze im Healthcare-Bereich massiv. Bild: Sophos Weil es um die Menschen geht Die IT-Sicherheit im Gesundheitsumfeld muss besonde- re Bedingungen erfüllen. Viele Bereiche zählen obendrein zu den kritischen Infrastrukturen, für die noch einmal erweiter- te Anforderungen gelten. Eine zusätzliche Herausforderung besteht darin, dass der Betrieb im Healthcare-Umfeld – etwa bei Kliniken und Krankenhäusern – im Falle einer Cyberat- tacke nicht einfach angehalten werden kann. Diese Situation verspricht Hackern zum Beispiel im Fall einer Ransomware- Verschlüsselung gute Aussichten für ihre Ziele. Die Erpressungssoftware, eine der maßgeblichsten Be- drohungen, erweist sich im Gesundheitswesen in Bezug auf Schutz und Wiederherstellung dabei als differenziertere Ge- fahr als in anderen Branchen. Die Daten, die Krankenhäu- ser und andere Unternehmen im Gesundheitswesen nutzen, sind äußerst sensibel und daher wie beschrieben attraktiv für Angreifer. Darüber hinaus bedeutet die Notwendigkeit eines efﬁzienten und weit verbreiteten Zugriffs auf diese Art von Daten – damit medizinisches Fachpersonal die richtige Pﬂege leisten kann –, dass typische Zwei-Faktor-Authentiﬁzierung und Zero-Trust-Verteidigungstaktiken nicht immer durch- führbar sind. Das macht Organisationen des Gesundheitswe- sens oft verwundbarer als andere. Die inzwischen äußerst rafﬁnierten Angriffsmethoden der Cyberkriminellen erschweren die Situation außerdem. Hackerbanden umgehen zum Beispiel geschickt die beste- henden Schutzmechanismen und bewegen sich oftmals Tage und Wochen unbemerkt auf Schleichfahrt im IT-Netz, bevor sie den eigentlichen Angriff starten. Zu guter Letzt greift auch was die IT-Sicherheit in Kran- kenhäusern angeht, ein aktuelles, alle Branchen umfassendes Problem: Es steht nicht genügend qualiﬁziertes IT-Fachper- sonal zur Verfügung. Eine von Ipsos im Auftrag von Sophos durchgeführte Studie in Deutschland, Österreich und der Schweiz ergab, dass zwischen knapp 60 und 70 Prozent der Michael Veit ist Security-Experte bei Sophos. SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS 37 l k c o t s r e t t u h S / e b i s s o p g n h t y r e v e © i : d l i B befragten Unternehmen im Personalmangel die größte He-rausforderung für die Sicherstellung ihrer Cybersicherheit ansehen. Bereits ein Drittel holt sich für die Professionali-sierung der Cybersicherheit externe Beratungsleistungen in Form von zum Beispiel Managed-Detection-and-Response-(MDR)- Services hinzu.Mensch und Maschine im TeamUnternehmen haben es schwer, mit gut ﬁnanzierten An-greifern Schritt zu halten, die ihre Fähigkeit zur Umgehung von Verteidigungstechniken ständig weiterentwickeln und industrialisieren. Organisationen, die auf klassische Antivi-renlösungen und traditionelle Firewall-Systeme vertrauen, haben den modernen Angriffsvektoren der Cyberkriminellen daher wenig entgegenzusetzen. Es geht für eine wirksame Kur oder Prophylaxe in Sachen IT-Sicherheit also darum, den existierenden Schutz vor Cybergefahren so zu erweitern oder auch neu aufzustellen, dass er sowohl gesetzlichen Anforde-rungen entspricht als auch eine wirkungsvolle Antwort auf die aktuelle Gefahrenlage darstellt. Die Antwort auf all das kann nur eine agile Cybersicher-heit sein – von der Strategie über die Umsetzung bis zum Monitoring.Einige Punkte sind hierfür zu beachten: Es sollten alle schützenswerten internen und externen Systeme und Daten bekannt sein. Diese sollten nach Gefahrenpotenzial und Sen-sibilität für den Betriebsablauf priorisiert werden. Ein Notfall-plan sollte erstellt werden, der alle Bereiche, Systeme, Daten und Verantwortlichen miteinbezieht. Zudem sollte man auf Automatisierung setzen, um mithilfe von KI und Machine Learning schnell auf Vorfälle reagieren zu können.Da bei komplexen Bedrohungen eine rein maschinelle und verhaltensbasierte Erkennung und Beseitigung von Angriffen oft nicht mehr ausreicht, sollte man die Lösungen möglichst durch spezialisierte MDR-Teams aus IT-Sicherheitsproﬁs er-gänzen. Denn neben technischer Innovation mit künstlicher Intelligenz oder anomaliebasierter automatischer Reaktion spielt die menschliche Expertise eine immer gewichtigere Rolle.Auf diese Weise kann eine weitsichtige Sicherheitsstrate-gie mit einem Katastrophenmanagement, einer zeitgemäßen und mehrschichtigen Schutztechnologie und einem speziali-sierten Team kombiniert werden, das sich mit der Prävention, der Früherkennung und der Schadensbeseitigung auskennt. Oder anders gesagt: Entscheidend ist am Ende der Mensch. n

E-Mail-Daten DSGVO-konform aufbewahren Backup oder Archivierung? Krankenhäuser stehen täglich vor der Herausforderung, ihre hochsensiblen, persönlichen Informationen besonders zu schützen und unterliegen dabei strengen datenschutzrechtli- chen Anforderungen. Wichtig in diesem Prozess ist die Archivierung von E-Mails, die in Krankenhäusern eine wichtige Rolle bei der Kommunikation und der Aufbewahrung von Informationen spielen. Unsere Autorin erläutert, wieso eine E-Mail-Archivierung im Kran- kenhaus sinnvoll ist und wie sich diese von der Aufbewahrungsform Backup unterscheidet. E in wichtiger Grund für die Nutzung einer E-Mail- Archivierungslösung in Krankenhäusern ist die Ein- haltung rechtlicher Anforderungen. In Deutschland sind die meisten Unternehmen dazu verpﬂichtet, Korres- pondenzen, die ein Geschäft veranlassen, abschließen oder revidieren, sowohl vollständig als auch manipulationssicher und langfristig aufzubewahren sowie jederzeit verfügbar zu halten. Das gilt auch dann, wenn die Korrespondenz über E- Mail stattﬁndet. Grundlage dafür sind in erster Linie Bestim- mungen der Abgabenordnung (AO) und des Handelsgesetz- buches (HGB). Archivierung vs. Backup Die wichtigsten Unterschiede zwischen E-Mail-Archivie- rung und Backup sind: Erfüllung rechtlicher Anforderungen: Ein weitverbrei- teter Irrglaube unter IT-Administratoren ist: „Ich habe be- reits eine Backuplösung und brauche deshalb keine Archi- vierungslösung mehr.“ Einer Backuplösung fehlt es jedoch zumeist an wichtigen Funktionen zur Einhaltung rechtli- cher Vorgaben. Im Fall von Krankenhäusern und anderen Dienstleistern im Gesundheitswesen müssen zudem relevante Korrespon- denzen, die zum Beispiel Gesundheitsdaten oder Rechnungen über Behandlungskosten beinhalten können, unter denselben Vorgaben aufbewahrt werden. Diese sind laut Artikel 9 der Datenschutzgrundverordnung (DSGVO) besonders schutzbe- dürftig und dürfen nur mit expliziter Einwilligung des Patien- ten gespeichert, verarbeitet und versendet werden. Bei einem Backup werden üblicherweise Momentaufnah- men des E-Mail-Servers, sogenannte Snapshots, gemacht, die dann auf einem externen Speichermedium oder ei- nem Cloud-Dienst abgelegt werden. Allerdings können wichtige Patienten- oder Behandlungsdaten vor und zwi- schen den einzelnen Backups verloren gehen, zum Bei- spiel können Mitarbeiter des Krankenhauses wichtige In- halte aus Versehen löschen oder manipulieren. Eine professionelle E-Mail-Archivierungslösung kann Krankenhäuser dabei unterstützen, dass die Datengrundlage zu allen Zeiten lückenlos, vollständig und manipulationssicher verfügbar ist. Sie ist selbst dann sinnvoll, wenn bereits eine Backuplösung eingesetzt wird. E-Mail-Archivierungs- und Backuplösungen sind keineswegs das Gleiche. So ist der primäre Zweck eines Backups die Disaster-Reco- very, zum Beispiel im Fall von Systemausfällen oder Cyberat- tacken. Eine E-Mail-Archivierungslösung hingehen soll Kopi- en aller E-Mails und Anhänge – einschließlich des gesamten Verlaufs – über Jahre hinweg jederzeit verfügbar und wieder- aufﬁndbar aufbewahren. Eine Archivierungslösung kann durch die vollständige, manipulationssichere und langfristige Archivierung von E-Mail-Daten und deren Anhängen die Erfüllung rechtli- cher Anforderungen ermöglichen. Mit einer guten Archi- vierungslösung ist zum Beispiel die sogenannte Journalar- chivierung umsetzbar, die alle E-Mails sofort bei Ein- und Ausgang archiviert und so erst die lückenlose Archivie- rung aller E-Mails möglich macht. Es gibt auch Unterschiede in der Aufbewahrungsdauer der Daten: Eine Backuplösung sichert E-Mail-Daten üblicher- weise kurz- bis mittelfristig, da der beschriebene Speicher nach einem gewissen Zeitraum gelöscht oder mit neuen 38 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS

Backups überschrieben wird. Archivierungslösungen sind hingegen langfristig angelegt, sodass sich E-Mail-Daten über Jahre hinweg unverändert sichern lassen und nicht überschrieben werden können. Schnelle Suche und Wiederherstellbarkeit: Stellen wir uns folgende Situation vor: Ein Patient war vor einiger Zeit zur Behandlung im Krankenhaus und benötigt nun für die Versicherung seine Gesundheitsdaten aus diesem Zeitraum. Für ein solches Szenario ist es wichtig, dass das Krankenhaus die Gesundheitsdaten und Korrespondenzen nicht nur verfügbar hält, sondern diese idealerweise auch leicht zu durchsuchen sind. Je efﬁzienter dieser Prozess ist, desto besser. Eine professionelle E-Mail-Archivierungslösung nimmt die Inhalte und Metadaten der archivierten E-Mails und ihrer Anhänge in einen Volltextindex auf. Damit können IT-Administratoren – und falls gewünscht auch weiteres Krankenhauspersonal – das Live-System nach bestimm- ten E-Mails oder deren Anhängen leicht durchsuchen. In manchen Fällen kann die E-Mail-Archivierungslösung selbst die gewohnte Ordnerstruktur aus den Postfächern abbilden und die Suche nach E-Mails zusätzlich erleich- tern. E-Mails können dann in einem geeigneten Standard- format aus dem Archiv exportiert und dem Patienten zur Verfügung gestellt werden. Diese Funktionen sind bei Backuplösungen häuﬁg einge- schränkt und in den meisten Fällen ausschließlich dem IT- Admin vorbehalten. Manipulationssichere Aufbewahrung: Manipulations- sicherheit erreicht eine professionelle E-Mail-Archivie- rung zum Beispiel durch Verschlüsselung, die Bildung von Hashwerten, durch auf das Nötigste reduzierte Benutzer- rechte sowie Protokollierung von relevanten Änderungen und Benutzerereignissen in einem Audit-Log. Einige Backuplösungen bieten mittlerweile ebenfalls Fea- tures, die unter dem Aspekt der Manipulationssicherheit vermarktet werden. Die genauen Funktionen variieren je- doch von Anbieter zu Anbieter und sind nicht das primäre Ziel eines Backups. Individuelle Aufbewahrungsrichtlinien: Im Gegensatz zu Backuplösungen unterstützen gute Archivierungslö- sungen die IT-Abteilung durch umfangreiche automa- tisierte Funktionen zur Erstellung individueller Aufbe- wahrungsrichtlinien. Damit können IT-Admins unter anderem Fristen für E-Mail-Korrespondenzen deﬁnieren, nach deren Ablauf Daten automatisch gelöscht werden. Das unterstützt die Einhaltung rechtlicher Vorgaben, aber auch interner Maßgaben zur E-Mail-Governance, zum Beispiel beeinﬂusst vom Datenschutzbeauftragten, dem Betriebsrat oder der Rechtsabteilung. Fazit Auch wenn der Irrglaube immer noch weitverbreitet ist: Backup und Archivierung sind nicht das Gleiche. Die beiden Eine E-Mail-Archivierungslösung kann die Anforderungen der IT und die Governance-Richtlinien im Gesundheitswesen vereinen. (Bild: MailStore) Kristina Waldhecker ist Manager Product Marketing bei der MailStore Software GmbH. SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS 39 Aufbewahrungsformen dienen unterschiedlichen Zwecken und bieten unterschiedliche Vorteile. Das Ziel einer Backuplösung liegt in der kurz- bis mit-telfristigen externen Speicherung von E-Mail-Daten bezie-hungsweise des ganzen E-Mail-Servers zum Zweck der Di-saster-Recovery. Damit sind Backups essenziell im Fall von Systemausfällen oder Cyberangriffen. Für diesen Zweck bil-den sie jedoch nur den Zustand des Datenbestands zum je-weiligen Zeitpunkt der Backup-Erstellung ab. Für eine Wie-derherstellung des E-Mail-Servers im Schadensfall ist das ausreichend, jedoch nicht für eine langfristig ausgelegte, un-veränderbare Speicherung des kompletten Verlaufs aller ein- und ausgehenden E-Mails inklusive Anhängen. Eine profes-sionelle E-Mail-Archivierungslösung hingehen ist darauf ausgelegt, Kopien aller E-Mails und Anhänge über Jahre hin-weg jederzeit verfügbar und wiederaufﬁndbar vorzuhalten. Deshalb sollten IT-Abteilungen von Krankenhäusern beide Methoden der Datensicherung einsetzen, da sie sich aufgrund ihrer unterschiedlichen Ziele und Funktionen wunderbar er-gänzen. Verantwortliche sollten darauf achten, dass die Ar-chivierungslösung eine DSGVO-konforme Archivierung aller ein- und ausgehenden E-Mails ermöglicht, um alle relevanten rechtlichen Anforderungen erfüllen zu können. Übrigens sollte auch ein E-Mail-Archiv durch ein Backup vor Datenverlust ge-schützt werden – damit ist die Krankenhaus-IT dem Ideal der Cyberresilienz einen großen Schritt nähergekommen. n

Hilfe für den Datenschutz Sicherer Dateiaustausch tut nicht weh Besonders in der Medizinbranche ist die Digitalisierung noch nicht überall angekommen – manchmal werden wichtige Informationen weiterhin per Fax oder Post verschickt. Dabei ist diese Art alles andere als sicher, besonders wenn es um persönliche Daten geht. Dieser Problematik sind sich auch Cyberkriminelle bewusst, die Krankenhäuser gezielt angreifen, um an sensible Informationen zu gelangen. Dazu kommt, dass das Kommunizieren über diesen Weg sehr zeitintensiv ist. Aus diesen Gründen ist es essenziell, die digitale Kommunikation sicher sowie nachvollziehbar zu gestalten und den Datenaustausch zu vereinfachen. I n Krankenhäusern werden jeden Tag sensible Patien- tendaten, aber auch Mitarbeiterdaten verarbeitet und intern sowie extern ausgetauscht. Diese Daten werden beispielsweise mit anderen Abteilungen, Rentenversicherun- gen, Krankenkassen, niedergelassenen Ärzten oder Ämtern geteilt. Je nachdem, wie groß ein Krankenhaus ist, können sich so schnell haufenweise Akten stapeln. Doch nicht nur der überaus hohe Papierverbrauch und der damit einhergehen- de schlechte ökologische Fußabdruck sorgen dafür, dass die- ser Weg des Datenaustauschs optimierbar ist. Hinzu kommt, dass er veraltet sowie unsicher ist und die Arbeit unﬂexibel macht. Deswegen ist es für Krankenhäuser wichtig, eine di- gitale Lösung zu implementieren, mit der die Kommunikati- on einfach, schnell und datenschutzkonform gestaltet werden kann – für interne und externe Parteien. Das sieht auch das Krankenhauszukunftsgesetz vor, das für eine bessere digitale Infrastruktur sorgen soll, wie beispielsweise Patientenporta- le oder eine elektronische Dokumentation von Behandlungen, aber Krankenhäusern auch eine sehr starke IT-Sicherheit vor- schreibt. Dateiaustausch nachvollziehen Viele Daten im Gesundheitswesen werden mittlerweile nicht mehr per Fax oder Post, sondern per E-Mail verschickt. Doch gerade bei vielen Röntgenbildern oder Patientenakten mit mehrjährigen Krankheitsbildern kommen die Dateian- hänge an ihre Grenzen. Zudem garantiert eine E-Mail nicht, dass Informationen auf dem Weg zum Empfänger nicht in die Hände Dritter geraten. Alternativ zur E-Mail kann man Anhänge mithilfe einer File-Transfer-Lösung verschicken. Hierbei sollte man darauf achten, dass sich in der Lösung genau deﬁnieren lässt, wer auf . m o c . e b o d a k c o t s - 1 2 1 m a d a : d l i B 40 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS

welche Dokumente Zugriff hat. Das lässt sich beispielsweise durch ein Passwort erreichen. Auch die Dokumentation je- des einzelnen Transfers ist im Krankenhaus wesentlich und kann mit einer solchen Lösung umgesetzt werden. Damit ist jeder Transfer für jeden in der Abteilung nachvollziehbar, und wichtige Dokumente können nicht untergehen. Papierloser Arbeitsplatz Besonders in aktuellen Zeiten ist das Schonen von Res- sourcen ein allgegenwärtiges Thema. Damit Papierberge re- duziert und Arbeitsabläufe stetig optimiert werden können, ﬁndet ein Wandel in der Gesundheitsbranche hin zum moder- nen Arbeitsplatz statt. Mit einer digitalen Austausch- und Ar- beitsplattform können Ärzte beispielsweise Befunde zunächst im persönlichen Bereich sicher abspeichern, bevor sie diese weitergeben. Dadurch müssen Dokumente nicht mehr ausge- druckt werden, was den Papierverbrauch reduziert. Teamwork leicht gemacht Im Krankenhaus ist ein Faktor häuﬁg Mangelware: Zeit. Viele Patienten wollen versorgt werden und sind auf die Hilfe des Personals angewiesen. Da bleibt keine Zeit für die Mitar- beiter, sich mit komplexen Arbeitsplatzlösungen auseinander- zusetzen. Wichtig ist also bei einer zentralen Austauschplatt- form, dass sie nicht nur sicher ist, sondern auch umgehend nach einer kurzen Einarbeitungsphase von den Mitarbeitern genutzt werden kann. Zusätzlich ist ein persönlicher Spei- cherplatz, aber auch ein Team-Transfer-Bereich von Vorteil. Dort kann das gesamte zuständige Ärzteteam – genauso wie andere Abteilungen – Informationen zur Verfügung stellen. Auch externe Teilnehmer lassen sich auf diese Weise ein- fach in den Kommunikationsprozess einbeziehen, ohne dass sie auf zusätzliche Tools angewiesen sind. Das vereinfacht die Kommunikation im stressigen Arbeitsalltag deutlich und sorgt für eine große Zeitersparnis, da die Mitarbeiter nicht von Abteilung zu Abteilung laufen müssen. Personal den Schmerz nehmen Für viele Mitarbeiter klingt eine Umstellung auf eine di- gitale Lösung erst einmal komplizierter, als sie im Endeffekt ist. Damit Arbeitsabläufe wie gewohnt durchgeführt werden können, ist es wichtig, dass eine Lösung ohne Vorkenntnis- se nutzbar ist. So sollte die Bedienoberﬂäche intuitiv sein und die gesamten Prozesse sollten im Hintergrund ablaufen. Das Personal sollte nicht bei seiner Arbeit beeinträchtigt werden. Hat die Implementierung funktioniert, ist häuﬁg eine Arbeits- erleichterung bemerkbar – nicht nur das Zettelchaos ist Ge- schichte, auch die Übersichtlichkeit entlastet. Im Optimalfall ist das Tool als Add-in für Outlook oder über einen Desktop-Client implementierbar. Arbeitsteilung im Klinikalltag Die Digitalisierung schreitet immer weiter fort und ﬁn- det auch Schritt für Schritt Einzug in Krankenhäuser und Kli- niken. Das wird unter anderem mit der elektronischen Pa- Vorteile einer digitalen Arbeits- platz-Lösung im Krankenhaus Der Nutzer benötigt keine besonderen technischen Vorkenntnisse und somit keine große Einarbeitungszeit. Der Papierverbrauch wird deutlich reduziert. Dies hat positive Auswirkungen auf den ökologischen Fußabdruck. Die Lösungen vereinfachen und optimieren den Arbeitsalltag. Jede Datenbewegung wird dokumentiert und ist somit einfach nachvollziehbar. Durch eine entsprechende Verschlüsselung sind alle Daten während des gesamten Übertragungsweges inklusive der Archivierung sicher. Vorab kann genau deﬁniert werden, welche Person worauf zugreifen darf. Besonders bei sensiblen Daten – wie in Kranken- häusern – bietet eine solche Lösung ein großes Maß an Sicherheit. Die Lösung sorgt für eine große Zeitersparnis, wenn Mitarbeiter alle Daten zentral abrufen können. Durch den Einsatz der digitalen Lösungen werden die Richtlinien des B3S und der Datenschutz- grundverordnung (DSGVO) eingehalten. Aktualisierung und Pﬂege der Compliance-Berichte durch den Hersteller. Markus Gringel ist Geschäftsführer bei SECUDOS. SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS 41 tientenakte deutlich, die ein wichtiger Schritt in Richtung Digitalisierung ist. Allerdings gibt es dabei immer noch viele Diskussionen um den Datenschutz, obwohl Papierakten ein viel größeres Risiko darstellen, da sie von Unbefugten einge-sehen oder verloren werden können.Eine digitale Arbeitsplatzlösung treibt den Prozess der Digitalisierung weiter voran und kann im Arbeitsalltag da-bei helfen, die Mitarbeiter zu entlasten, damit diese sich auf das Wesentliche konzentrieren können. Eine einfache und sichere Kommunikation, auch abteilungsübergreifend, wird ermöglicht. So können Patientenakten oder Dienstpläne da-tenschutzkonform und nachvollziehbar untereinander aus-getauscht werden, ohne dabei die Sicherheit zu gefährden. Zudem sorgt solch ein Tool dafür, dass eine Arbeitsteilung stattﬁndet: Während die Dateien zentral einsehbar sind und vom Personal bearbeitet oder auch versendet werden, ge-währleistet die Lösung die Sicherheit der Daten. n

Sicheres Arbeiten im Web Den Webbrowser vor Cyberangriffen schützen Der Browser ist eines der am häufigsten genutzten Programme im Arbeitsalltag – und er ist zugleich eines der Haupteinfallstore für Cyberkriminelle. Deshalb ist es wichtig, dass IT- Sicherheitsverantwortliche den Webbrowser maximal schützen. Ein Ansatz hierfür sind Remote-Controlled-Browser-Systeme (ReCoBS). W ebbrowser sind die meist verbreiteten, univer- sell nutzbaren Applikationen zur Betrachtung und Bearbeitung jeglicher im Internet angebo- tener Dateitypen und zur Bedienung von Programmen über deren Webschnittstellen. Um Anwendern ein beständig besseres Benutzererleb- nis zu bieten, zum Beispiel bei der Nutzung von Webmee- tings, Sharing-Plattformen und interaktiven Anwendungen, werden sie immer leistungsfähiger und komplexer. Der Be- dienungskomfort wird dabei maßgeblich durch aktive Kom- ponenten gestaltet. Diese machen die Organisationen jedoch für Browser-Exploit-Angriffe anfällig. Internetbrowser gehö- ren somit zu einer der größten Schwachstellen innerhalb der Krankenhaus-IT. antwortlichen in den Unternehmen. Auch nicht zu unter- schätzen ist die Gefahr des Datenabﬂusses über Websessions. Sei es infolge einer klassischen Phishingattacke, einer leicht- fertigen Preisgabe schutzbedürftiger Daten über Social-Me- dia-Plattformen oder dem Exploit von Daten im Zusam- menhang mit der Nutzung eines unsicheren Webspeichers. Webanwendungen mit Shared-Notepad-Funktionen ermög- lichen beispielsweise einen nicht nachvollziehbaren Datenab- ﬂuss durch Kopieren und Einfügen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empﬁehlt daher den Einsatz sogenannter Remote-Con- trolled-Browser-Systeme (ReCoBS), um zu vermeiden, dass aktive Inhalte von Webbrowser-Sessions in das jeweilige LAN eindringen können. Zugleich werden die Methoden der Angreifer vielfälti- ger und technisch ausgefeilter. Beispielsweise durch Angrif- fe über UI-Redress-Attacken, Einbetten schädlicher iFrames oder Drive-by-Downloads. Hier genügt bereits eine Mausbe- wegung über ein unsichtbares Frame oder ein Mausklick auf ein getarntes Webseitenelement, um den Cyberangriff einzu- leiten. Findet die Websession mit vergleichsweise hohen Be- rechtigungsstufen statt, erhöht sich die Bedrohung bei einem Angriff. Die Vermeidung einer Endpoint- und Netzwerk-Kompro- mittierung ist eine wesentliche Aufgabe der Sicherheitsver- Um sich vor Angriffen über den Browser zu schützen, können Krankenhäuser auf vier Varianten zurückgreifen: Remote-Controlled Browser-Sessions, Secure-Browser-Sys- teme, DNS-Whitelisting und Remote-Browser-Isolation (RBI). Remote-Controlled Browser-Sessions Hierbei erfolgt der Webzugang über speziell gesicherte Terminalserver-Systeme, die häuﬁg auf Linux basieren. Die Browsersessions ﬁnden nicht auf den Arbeitsplatz-PCs statt, sondern auf einem Terminalserver innerhalb eines geschütz- ten Segments und werden von den jeweiligen Arbeitsplät- . m o c . e b o d a k c o t s - t u n K : d l i B 42 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS

zen aus fernbedient. Die Ausführung der Webinhalte erfolgt im remotebedienten Browser, sodass bei Einhaltung entspre- chender Sicherheitsanforderungen keine aktiven Inhalte an den Arbeitsplatz oder ins LAN gelangen können. Es werden lediglich graﬁsche Informationen an die Arbeitsplätze über- mittelt und dargestellt. Damit sind Ausführung und Darstel- lung aktiver Inhalte voneinander getrennt. Die Nachteile bei diesem System sind ein hoher initialer Implementierungsaufwand, eingeschränkte Skalierbarkeit, die Art des Zugriffs („Browser in a Browser“) und der schwie- rige Umgang mit Up- und Download-Dateien. Secure-Browser Bei diesem System verwendet der Benutzer auf der Client- seite einen nativen Secure-Browser. Dabei handelt es sich um einen speziell gehärteten und abgesicherten Browser, über den die Kommunikation zu den jeweiligen Webservern er- folgt. Oft ergänzen Secure-Gateways die Funktion hinsichtlich Authentiﬁzierung und gesicherter Dateiübertragung. Nachteile sind unter anderem potenzielle HTML5-Inkom- patibilitäten, Einschränkungen hinsichtlich des Betriebs in Terminalserver-Umgebungen, funktionale Begrenzungen sowie die Benutzerakzeptanz verglichen mit dem Anwen- dungskomfort marktüblicher Browser. DNS-Whitelisting Bei DNS-Whitelisting besteht das Konzept darin, dass die Firewall oder das Web-Gateway per DNS-Negativliste die Ver- bindung zu entsprechend kategorisierten Webseiten unter- bindet. Damit wird ein Schutzniveau erreicht, das auf positiv/ negativ Entscheidungen basiert. Neueste Techniken führen zudem bei jedem Aufruf einer neuen oder geänderten Web- site eine Echtzeitprüfung hinsichtlich deren Gefährdungspo- tenzial durch. Anbieter wie zum Beispiel NetSTAR mit über 36 Milliar- den kategorisierter URLs, Domänen und IP-Adressen stellen diese Daten als Entscheidungsgrundlage für Zugriffe intel- ligenten Firewall-Systemen und Web-Gateways zur Verfü- gung. Sie sorgen damit für eine Vertrauensstellung (Trust) die unter Umständen unzutreffend ist, wenn die so kategorisier- ten Webseiten kompromittiert wurden. Letztlich kann DNS- White listing nicht umfänglich die Kriterien eines Zero-Trust- Verfahrens erfüllen. Remote-Browser-Isolation Remote-Browser-Isolation (RBI) vertieft den ReCoBS-An- satz und verlagert Web-Sessions in vom Intranet isolierte, temporäre Cloud-Container. Die Anwender nutzen weiterhin die im Unternehmen etablierten Webbrowser. Der Inhalt besuchter Webseiten wird gerendert und als Video- und Audio-Datenstrom an den clientseitigen Brow- ser übertragen. Damit ist die Gefahr einer Endpoint-Kom- promittierung durch aktive Inhalte ausgeschlossen. Leis- Joachim Seibold ist CEO der Giritech GmbH. SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS 43 tungsfähige RBI-Plattformen bieten zudem Funktionen wie Data-Loss-Prevention (DLP) und den Aufruf von Webseiten im Read-Only-Modus zur Verhinderung von Datenabﬂuss auf Phishing-Webseiten. Dienste wie Votiro sichern die Integrität von Upload- und Download-Dateien durch mehrstuﬁge An-tivirenprüfungen und Content-Disarm-and-Reconstruction-(CDR)-Maßnahmen. CDR untersucht Dateien auf eingebettete Schadsoftware, extrahiert diese und stellt sie bereinigt wie-der her.Die Akzeptanz von RBI ist hoch, da die Anwender ihren vertrauten Webbrowser weiternutzen können und sie kei-ne Anwendungsdeﬁzite spüren. Unter Umständen bildet das System jedoch bestimmte Pop-up-Fenster oder Frames nicht eins zu eins ab. Wichtig ist, wo die Cloud-Services gehostet werden und welche Daten in der Cloud liegen. Hier müssen Unternehmen darauf achten, dass sie die Regeln der Daten-schutzgrundverordnung (DSGVO) einhalten.Von den vier Systemen bietet RBI die größte Flexibilität und einen hohen Schutz vor Angriffen. Der Umstand, dass keine Zusatzsoftware am Endpunkt installiert werden muss, dass mobile Endgeräte in das Konzept eingebunden werden können und dass der administrative Aufwand auch eine stark ausgelastete Krankenhaus IT nicht überfordert, empfehlen letztlich den Einsatz von RBI. FazitHäuﬁg hört man vom sogenannten „Faktor Mensch“, also der Sensibilisierung der Anwender:innen bezüglich des Um-gangs mit potenziell gefährlichen Webseiten, dem zu schnel-len Klick auf Links, dem unbedachten Veröffentlichen von In-formationen. Achtsames Verhalten ist wichtig – Menschen sind jedoch keine Firewalls. Sie sind manchmal abgelenkt, gestresst, verunsichert und machen Fehler. Daher kann und darf die Cybersecurity-Verantwortung nicht auf die Anwen-der verlagert werden. Die Ausbildung einer IT-Fachkraft mit Schwerpunkt IT-Security ist sowohl zeitintensiv als auch an-dauernd. Das kann eine IT-Sicherheitsunterweisung, so wich-tig sie sein mag, nicht ansatzweise leisten.Die Nutzung des Internets als Kommunikations- und Transaktionsmedium ist unverzichtbar, gleiches gilt für den Schutz vor den sich daraus beständig entwickelnden Risiken und Bedrohungen. n

Branche unter den Top-Angriffszielen Gesundheitswesen im Fadenkreuz Global gut vernetzte und technisch bestens ausgestattete Cyberkriminelle nehmen verstärkt das Gesundheitswesen ins Visier. Das bereitet Verantwortlichen sowie Ärztin- nen und Ärzten große Sorgen. Sie kritisieren einen ungenügenden Schutz vor Angrif- fen auf Krankenhäuser und Praxen. I n Deutschland nimmt die Digitalisierung von Kranken- häusern und Arztpraxen immer mehr Fahrt auf. Gleich- zeitig greifen Cyberkriminelle sie öfter an; besonders gern nutzen sie dafür Ransomware. Das bestätigt auch eine im Mai und Juni letzten Jahres durchgeführte Studie des Si- cherheitsanbieters Trend Micro unter rund 3.000 IT-Entschei- dungsträgern aus 26 Ländern: Demnach räumten weit mehr als die Hälfte (57 Prozent) der befragten Healthcare-Unterneh- men ein, in den vergangenen drei Jahren durch Ransomware kompromittiert worden zu sein. 25 Prozent der Opfer gaben außerdem an, dass ihr Betrieb vollständig zum Erliegen ge- kommen sei. Weitere 60 Prozent erlebten eine Beeinträchti- gung ihrer Geschäftsprozesse. Im Durchschnitt dauerte es laut Studie bei den meisten Unternehmen Tage (56 Prozent) oder Wochen (24 Prozent), bis der Betrieb wieder vollständig her- gestellt war. Und nicht nur die IT-Entscheidungsträger sind besorgt, auch den Ärztinnen und Ärzten in Kliniken und Praxen berei- tet das Thema Cyberangriffe Kopfzerbrechen. So sehen drei Viertel (74 Prozent) der Ärzteschaft im Krankenhaus Klini- ken in Deutschland häuﬁg nicht als ausreichend vor Cyberan- griffen geschützt. Das ist das Ergebnis einer Befragung vom Bitkom-Verband unter 535 Ärztinnen und Ärzten aller Fach- richtungen in Kliniken und Praxen in Deutschland. Weiterhin meinen 69 Prozent, Ärztinnen und Ärzte sollten sich stärker mit IT-Sicherheit beschäftigen – und zwei Drittel (66 Prozent) sorgen sich konkret vor Cyberangriffen auf Krankenhäuser. Unter den niedergelassenen und angestellten Ärztinnen und Ärzten in Praxen und Versorgungszentren ist die Sorge vor Cyberangriffen auf Praxen und medizinische Einrichtungen mit 83 Prozent sogar noch größer. 82 Prozent sagen zudem, Praxen seien häuﬁg nicht ausreichend vor Cyberangriffen ge- schützt. Zwei Drittel (68 Prozent) aus dieser Gruppe wünschen sich, dass sich Ärztinnen und Ärzte generell stärker mit IT-Si- cherheit beschäftigen. Ein Grund für die vielen Angriffe auf Krankenhäuser und ähnliche Organisationen ist die mit zunehmender Digitalisie- rung einhergehende größere Angriffsﬂäche. Ein weiterer ist die Vermutung der Kriminellen, dass Krankenhäuser stark 44 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS . m o c . e b o d a k c o t s - k a a s I r o t k V i ; m o c . e b o d a k c o t s - . m o c . s e g a m e p o e p l i : r e d l i B daran interessiert sind, ihre Daten zurückzubekommen oder ihre Systeme wieder starten zu können. Darüber hinaus ha-ben die Teilnehmer der Studie von Trend Micro Schwachstel-len in der Lieferkette als eine der größten Herausforderungen genannt: 43 Prozent sind der Überzeugung, ihre Partner hätten sie zu einem attraktiveren Angriffsziel gemacht. 43 Prozent geben außerdem an, ein Mangel an Transpa-renz in der gesamten Ransomware-Angriffskette habe sie anfälliger gemacht. 36 Prozent nennen einen mangelnden Überblick über ihre Angriffsoberfläche als weiteren Grund, der sie verstärkt zu einem Ziel für Attacken gemacht habe.Es gibt aber auch gute Nachrichten: So hat laut Trend Micro ein Großteil der Gesundheitseinrichtungen (95 Prozent) bei vor allem nach außen sichtbaren Systemen regelmäßig Patches eingespielt, während ein fast ebenso großer Anteil (91 Prozent) E-Mail-Anhänge einschränkt und so das Mal-ware-Risiko verringert. Viele befragte Unternehmen würden zudem darüber hinaus Tools für Network-, Endpoint- oder Extended-Detection-and-Response nutzen. Auch werden laut Bitkom-Studie immerhin 42 Prozent der Befragten Ärztinnen und Ärzte an ihrer Klinik regelmäßig zum Thema IT-Sicherheit geschult, eine Mehrheit von zwei Dritteln (68 Prozent) wünscht sich allerdings mehr Informa-tionen zum Umgang mit dem Thema. „IT-Sicherheitsstandards sind gesetzlich sowohl für Kran-kenhäuser als auch für Arztpraxen jeglicher Größe geregelt“, sagt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder. Da-bei gehe es nicht nur darum, Geräte- und Betriebsausfälle zu vermeiden, sondern auch um den Schutz sensibler Patienten-daten. „Insgesamt sind die Gesundheitsdaten der in Deutsch-land gesetzlich Versicherten im internationalen Vergleich her-ausragend gut geschützt“, so Rohleder weiter. nS.F.

– ADVERTORIAL – Risikopatient IT EINE GUTE VORSORGE SORGT FÜR CYBERSICHER- HEIT IM KRANKENHAUS Krankenhäuser und Gesundheitszentren sind exponierte Angriffsziele für Cyberkriminelle. Die Organisationen haben wertvolle Daten zu schützen, sie sind intern und extern hoch vernetzt und sie müssen unter allen Umständen den Betrieb auf- rechterhalten. Immerhin geht es um nichts weniger als das Wohlergehen oder sogar die Rettung von Menschen. Diese hochsensible IT-Umgebung ruft unweigerlich Cyberkriminelle auf den Plan. Diese wissen sehr ge- nau, dass aufgrund der exponierten Situation von Krankenhäusern und Gesundheitszentren ein Angriff hoch profitabel sein kann. Und zur Auf- rechterhaltung des teils lebensrettenden Betriebs und zum Schutz der sensiblen Daten sind solche Einrichtungen eher gewillt, hohe Erpres- sungssummen zu bezahlen als andere Organisations- oder Wirtschafts- zweige. Leider bestätigen dies auch die Studienergebnisse des Sophos „The State of Ransomware in Healthcare 2022“ Reports: Das Gesund- heitswesen war 2021 zu 66 Prozent von Ransomware betroffen. Im Jahr zuvor war es mit 34 Prozent nur knapp die Hälfte. Fazit: Mit einer jährli- chen Steigerungsrate von 94 Prozent an Ransomware-Angriffen ist der Healthcare-Bereich einer der gefährdetsten überhaupt. Ist Ihre Organisation im letzten Jahr von Ransomware betroffen gewesen? 2021: 253 Befragte aus dem Gesundheitswesen; 2020: 113 Befragte aus dem Gesundheitswesen: Ja. (Quelle:Sophos) Dieser Gefahr und zum Schutz der Einrichtungen und der Patienten kann nur mit einer ausgeklügelten Security-Strategie entgegengetreten wer- den, die zusätzlich zu klassischen Sicherheitslösungen auch Security- 46 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS Services und menschliche Expertise kombiniert. Nur so lassen sich Cyber- kriminelle abwehren, die mit ausgesprochen hoher Kenntnis, mit starker krimineller Energie und vor allem in bestens organisierten Gruppen das Healthcare ins Visier nehmen. Die Antwort auf moderne Cybergefahren: Managed Detection and Response Mit den Sophos Managed Detection and Response (MDR) Services lagern Unternehmen den Sicherheitsbetrieb an externe Experten aus. Das hilft nicht nur die Knappheit an erfahrenem Security-Fachpersonal zu lösen, es sorgt zudem für ein wesentlich höheres Schutzniveau. Zu den Service- leistungen gehören der Betrieb und/oder die Kontrolle der eingerichteten Security-Lösungen an den Endgeräten, Netzwerken und Servern sowie allem voraus die Echtzeitanalysen durch ein Expertenteam, das die Bedro- hungssuche (Threat Hunting) und Überwachung durchführt. Diese Teams übernehmen zudem die Reaktion auf Vorfälle. Zusammengefasst wird mit MDR ein Security-Ökosystem etabliert, das automatisierte, KI-basierte Security mit der Expertise menschlicher Spezialisten kombiniert. Das Sicherheitslevel dieses Ökosystems ist von drei Aspekten abhängig: der Leistungsfähigkeit der vernetzten Security-Lösungen inklusive der künstlichen Intelligenz (KI), dem Know-how, Geschwindigkeit und Schlag- kraft der menschlichen Experten und der zur Verfügung stehenden Infor- mationsbasis, dem sogenannten Data Lake. Automatisierte Abwehr Die Zeit einzelner Security-Insellösungen ist vorbei. Cyberkriminelle wis- sen die Lücken zwischen den separaten Sicherheitstechnologien unter- schiedlicher Hersteller effizient auszunutzen. Von Vorteil ist daher eine Security-Infrastruktur, die im Verbund ein intelligentes Security-Netz über die gesamte Organisation hinweg spannt. Endpoint-Security-Lösungen, Firewalls und Tools zum Schutz der Cloud-Instanzen kommunizieren in- teraktiv miteinander und reagieren bei Gefahr mithilfe einer hoch entwi- ckelten künstlichen Intelligenz automatisch. Sophos nennt diese Kommu- nikation zwischen den Security-Instanzen passenderweise „Heartbeat“ und sorgt damit für eine maximal automatisierte Sicherheit vor Cyberan- griffen oder Kompromittierungen intern. Bild: ART STOCK CREATIVE - stock.adobe.com

– ADVERTORIAL – Sophos Security Ökosystem Sophos Managed Detection and Response Team Das Sophos Managed Detection and Response Team ergänzt die automa- tisierte Security durch Wissen und Forensik, die eine künstliche Intelli- genz heute noch nicht leisten kann. Die große Erfahrung der Spezialisten- teams identifiziert beispielsweise bisher unbekannte Angriffsparameter rechtzeitig und wehrt diese ab. Damit aber nicht genug. Diese Teams sind zudem in der Lage, der Organisation bei einem ausgefeilten Incident-Re- sponse-Plan zu helfen. Dieser Plan ist die zentrale Anleitung, um im Fall eines Angriffs schnell und gezielt zu reagieren. Die Sophos MDR-Services können in unterschiedlichen Ausbaustufen und Reaktionsoptionen etabliert werden: Im Modus „Benachrichtigung“ wer- den die Organisationen bei einer erkannten Bedrohung informiert und bekommen Detailinformationen, um eigene Teams bei der Priorisierung der potenziellen Gefahr zu unterstützen und die entsprechende Reakti- on auszulösen. Im Modus „Zusammenarbeit“ interagieren die Sophos- Experten mit den Ansprechpartnern, um auf erkannte Bedrohungen zu reagieren. In der dritten Variante kümmert sich das Sophos MDR-Team im Modus „Autorisierung“ um alle erforderlichen Maßnahmen zur Eindäm- mung und Beseitigung von Bedrohungen inklusive der Information über die ergriffenen Maßnahmen. Der Sophos Data Lake Der Sophos Data Lake ist eine riesige Informationsbasis, in der historische und vor allem auch aktuelle Bedrohungsinformationen weltweit gesam- melt werden. Mithilfe von automatisierter Analyse und KI korrelieren diese Informationen mit potenziellen Bedrohungen oder entdeckten An- griffsmustern, was im Fall einer positiven Angriffsbewertung automa- tisch und sehr schnell zu einer Aktion der installierten Sicherheitslösungen führt. Gleichzeitig dient der Data Lake auch den menschlichen Experten dazu, potenziell gefährliche Aktionen im Netzwerk zu erkennen, die eine KI bis heute nicht zu identifizieren vermag. Die Experten prüfen Ereignis- se in Echtzeit und können somit Angriffe in einem sehr frühen Stadium abwehren oder stoppen. Der Data Lake von Sophos ist einer der größten in der Security-Branche überhaupt. Zigtausend Sensoren der weltweit installierten Sophos Secu- rity-Lösungen sammeln die wertvollen Informationen. Ergänzt wird der Data Lake durch weitere angebundene Informationsquellen sowie durch Telemetriedaten von Security-Lösungen anderer Hersteller. Vorsorge als bestes Mittel zur Security der Krankenhaus-IT Die Sophos MDR-Services kombinieren technische Security-Lösungen mit einem Expertenteam, das auf Prävention, Früherkennung und Schadens- beseitigung fokussiert ist. Die Spezialisten ergreifen Maßnahmen, um nicht nur die klassischen Cyberbedrohungen, sondern vor allem die immer besser getarnten Schleichfahrten der Kriminellen im Netzwerk zu elimi- nieren und geben konkrete Ratschläge, um die Ursachen zu bekämpfen. Zusammengefasst gibt es fünf Gründe, weshalb Organisationen zusätz- lich zu einem technologie- und softwarebasierten Security-Ökosystem auch auf MDR-Services mit menschlicher Expertise setzen sollten: die Härtung der Cyberabwehr, die Entlastung der verfügbaren IT-Ressourcen, das Hinzufügen von echter Expertise anstatt Headcount, die Optimierung des Return on Investment in die Cybersecurity und vor allem die Konzen- tration aller verfügbaren Ressourcen auf das Kerngeschäft. n SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS 47

– ADVERTORIAL – MailStore Server und die datenschutzkonforme E-Mail-Archivierung im Gesundheitswesen Täglich verarbeiten und übermitteln Krankenhäuser und Arztpraxen Daten, die den Gesund- heitsstatus, die Behandlung sowie private Informationen von Patienten beinhalten. Angesichts der strengen Gesetzeslage sind Gesundheitseinrichtungen dazu verpflichtet, diese hoch- sensiblen Daten umfassend und dauerhaft aufzubewahren – E-Mails eingeschlossen. Autorin: Kristina Waldhecker Manager Product Marketing bei MailStore Krankenhäuser und Arztpraxen sind wahre Datenschätze, weshalb sie immer häufiger und aggressiver ins Visier von Cyberkriminellen geraten. Ransomware-Attacken stellen dabei die verbreitetste Vorgehensweise von Angreifern dar. Sie verschlüs- seln die IT-Systeme und Daten der Gesundheitseinrichtungen, legen da- mit den gesamten Betrieb lahm und fordern immense Lösegeldsummen für die Freigabe. Wie der Fall der Uni-Klinik Düsseldorf im Jahr 2020 zeigt, können Patienten dabei in lebensbedrohliche Gefahr geraten. IT-Ausfälle mit drastischen Folgen Solch eine böswillige Manipulation durch Außenstehende geht in der Regel mit beträchtlichen IT-Störungen einher, doch stellen sie nicht die einzige Ursache von Betriebs- und Systemausfällen dar. Einfache An- wenderfehler, die bewusste Löschung von Daten, beschädigte Hardware 48 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS sowie Störungen in Rechenzentren und bei Cloud Service Providern können den gesamten Betrieb einschränken oder vollständig zum Still-stand bringen.All diese Ursachen führen jedoch immer zum gleichen Ergebnis: Betroffe-ne Mitarbeiter können bis zur Wiederherstellung, die je nach Reaktions-zeit und Recovery-Strategie mehrere Stunden bis Tage dauern kann, nicht auf kritische Ressourcen wie lokal oder in der Cloud gespeicherte Doku-mente, Anwendungen und/oder E-Mail-Server zugreifen. Das Risiko eines erheblichen Datenverlustes – einschließlich sensibler Informationen, die via E-Mail kommuniziert wurden – ist in solchen Fällen enorm. In Anbe-tracht der strengen Datenschutzvorschriften auf Bundes- und EU-Ebene, denen das Gesundheitswesen unterliegt, müssen betroffene Einrichtun-gen bei Nichteinhaltung oder Vernachlässigung mit juristischen Konse-quenzen und hohen Bußgeldern rechnen.Bild: sdecoret - stock.adobe.com

– ADVERTORIAL – MailStore Software GmbH Clörather Straße 1–3 41748 Viersen Deutschland www.mailstore.com E-Mail: sales@mailstore.com Tel.: +49-(0)2162-50299-0 Fax: +49 (0)2162-50299-29 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS 49 MailStore Server: Was eine E-Mail- Archivierungslösung bieten mussNachdem IT-Entscheider die Rahmenbedingung für die E-Mail-Archivie-rung gemeinsam mit allen relevanten Stakeholdern (CISOs/CIOs, Daten-schutzbeauftragte, Betriebsrat) abgesprochen haben, gilt es, die für ihre Ansprüche beste E-Mail-Archivierungslösung zu finden. MailStore Server verfügt bereits über ein umfangreiches Repertoire an Funktionen, mit dem Gesundheitseinrichtungen die Archivierung sensibler Patienten- und Gesundheitsdaten gesetzeskonform realisieren können: Revisionssicher, langfristig, individuell: Mit MailStore Server können IT-Mitarbeiter individuelle Archivierungs- und Löschregeln definieren, die den gesetzlichen Vorgaben zur revisionssicheren und langfristigen Aufbewahrung von E-Mail-Daten entsprechen. Zugänglich und effizient: Gesundheitseinrichtungen müssen den permanenten Zugriff auf archivierte Daten ermöglichen. Dafür verfügt MailStore Server über eine leistungsstarke Volltextsuche sowie weitere Funktionen, mit denen sich Daten ganz einfach wiederherstellen und exportieren lassen. Dies spielt vor allem in Compliance-, Audit- und Rechtsangelegenheiten eine große Rolle. Aber auch sobald ein Pati-ent seine Betroffenenrechte gemäß DSGVO geltend machen möchte, unterstützt die Suchfunktion bei der schnellen Umsetzung. Zudem können Anwender über die Self-Service-Funktion selbstständig auf den Archivbestand zugreifen und Daten wiederherstellen, ohne die IT-Abteilung involvieren zu müssen. Sicher und zertifiziert: MailStore Server nutzt moderne Hash- und Verschlüsselungsverfahren, um den archivierten Datenbestand vor Ma-nipulation und Verlust zu schützen. Manuelle Änderungen, die ein Mit-arbeiter am Archiv vornimmt, werden via Logging dokumentiert und lassen sich dadurch nachverfolgen. MailStore Server ist zudem nach DSGVO und IDW PS 880 zertifiziert, erfüllt die GoBD und verspricht so-mit ein hohes Sicherheitsniveau.IT- und Informationssicherheit im Gesundheits-wesen: die GesetzeslageArtikel 9 EU-DSGVO schützt die Integrität von Patienten- und Gesund-heitsdaten und stuft sie als besonders schutzbedürftige Informationen ein. Daneben gelten weitere Vorgaben, die die Verarbeitung und den Transfer von sensiblen Daten regeln und den Schutz von Patienteninfor-mationen und IT-Systemen sicherstellen sollen: DSGVO Patienten haben laut DSGVO das Recht auf Auskunft (Art. 15), Löschung (Art. 17), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Wie jedes andere Unternehmen sind auch Gesundheitseinrichtungen zur Einhaltung verpflichtet und müssen gewährleisten, dass die Betroffe-nenrechte bei Geltendmachung umgesetzt werden können. Branchenspezifischer Sicherheitsstandard (B3S) Seit 2022 gilt der branchenspezifische Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus. Er verpflichtet die entspre-chenden Einrichtungen dazu, technische Vorkehrungen zu treffen, um Störungen ihrer IT-Systeme zu vermeiden und folglich die Informati-onssicherheit zu steigern. Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) Die GoBD schreiben die Aufbewahrung von steuer- und handelsrecht-lich relevanten Dokumenten und Korrespondenzen vor, die für alle deutschen Unternehmen gelten – einschließlich Krankenhäuser und Arztpraxen. So müssen Betriebe diese Daten vollständig, revisionssi-cher und über einen gesetzlich vorgeschriebenen Zeitraum hinweg speichern und den dauerhaften Zugang gewährleisten. Die Grundsätze schließen zudem ausdrücklich Unterlagen wie Verträge, Rechnungen, Belege et cetera ein, die elektronisch versendet wurden. Die Vorteile einer professionellen E-Mail-ArchivierungUm Gesundheitsdaten aus E-Mails und ihren Anhängen langfristig vor Verlust und Manipulation zu schützen, reicht es nicht aus, sie auf einem lokalen Speichermedium abzulegen. Zudem ist der alleinige Einsatz von Backup-Lösungen noch lange kein Garant dafür, dass verloren gegangene Daten nach einer Wiederherstellung vollständig vorhanden sind. Profes-sionelle E-Mail-Archivierungslösungen ergänzen diese eingeschränkten technischen Möglichkeiten und unterstützen Krankenhäuser und Arztpra-xen dabei, sowohl die GoBD als auch andere gesetzliche Informationssi-cherheits- und Datenschutzvorgaben einzuhalten.Eine solche Lösung erstellt Kopien aller E-Mails und verschiebt sie in ein eigens dafür vorgesehenes Archiv, wodurch sie eine vollständige, revi-sionssichere und langfristige Aufbewahrung der Daten sicherstellt. IT-Mitarbeiter legen dafür die passende Archivierungsmethode fest. Im Rah-men der Postfach-Archivierung werden alle bestehenden E-Mails eines Postfachs archiviert; beim Journaling geschieht dies, sobald eine E-Mail versendet oder empfangen wird. Beide Methoden sind miteinander kom-binierbar. Daneben dienen Regeln, die den Zeitpunkt bestimmen, wann E-Mails vom Server gelöscht werden sollen, zur Entlastung der Server. Dies senkt unter anderem Kosten und beschleunigt die Wiederherstellung.

– ADVERTORIAL – IT-SICHERHEIT IM KRANKENHAUS – SO GEHT’S Für Krankenhäuser mit ihren zahlreichen Mitarbeitern, medizinischen Geräten, IT-Systemen und den hochsensiblen Daten, die täglich anfallen, spielt Sicherheit die tragende Rolle. Das hier nötige Hochmaß an Security und Datenschutz, aber auch die Einhaltung gesetzlicher Vorgaben lässt sich nur mit einer Kombination aus verschiedenen IT-, IoT- und OT-Sicher- heitslösungen sowie organisatorischen Maßnahmen erzielen. 50 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS Bild: iStock.com/alvarez Informations- und Kommunikationstechnologie ist aus dem moder-nen Krankenhausbetrieb nicht wegzudenken. In der Regel umfas-sen die Netzwerke dort das Krankenhausinformationssystem (KIS), diverse IT-Systeme, Server, PCs und Tablets und die zugehörige Software. Hinzu kommen vielerlei medizinische Geräte, vom Patientenmonitor bis hin zum Magnetresonanztomografen (MRT), die ebenfalls auf Informa-tions- und Kommunikations-Technologie (ITK) basieren und oft mit dem Internet verbunden sind .Gleichzeitig bedroht die zunehmende Cyberkriminalität das Gesundheits-wesen in besonderem Maß, denn es gehört zur kritischen Infrastruk-tur. Krankenhäuser brauchen also besonders starken und umfassenden Schutz, denn Sicherheit ist hier noch entscheidender als in der Wirtschaft. Hierzu bedarf es Lösungen aus verschiedenen Bereichen, die in einem Gesamtkonzept aus technischen Herangehensweisen, organisatorischen Maßnahmen und Compliance mit gesetzlichen Vorgaben zusammenspie-len müssen. So muss beispielsweise klar sein, wo die Risiken liegen, wem welche Daten zugänglich sind oder welche das Krankenhaus verlassen dürfen – was in Zeiten cloudbasierter Software und Dienste oft keine ein-fache Aufgabe ist. Die Basics: Segmentierung und ZugangskontrolleNicht alle Geräte im Krankenhausnetzwerk dürfen nach Belieben mitein-ander kommunizieren. Daher wird das Netzwerk in verschiedene Zonen segmentiert, die voneinander getrennt funktionieren – zum Beispiel separate Zonen für Clients, Server, Medizingeräte, Klinik-WLAN, Gäste-

– ADVERTORIAL – BOLL Europe GmbH Ringstrasse 3 89081 Ulm Ansprechpartner: Joachim Walter Tel: +49 (0)731 85 07 48 23 www.boll-europe.com SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS 51 Wissen, was man hatFür ihre IT-Systeme nutzen die meisten Organisationen eine Inventari-sierungs- und Asset-Management-Lösung. Anders verhält es sich jedoch mit dem medizinischen Gerätepark in Krankenhäusern. Hier ist oft völlig unklar, welche Geräte überhaupt vorhanden sind, wo sie stehen und ob deren Betriebssystem oder die Firmware auf dem neuesten, sicheren Stand sind. Auf IT spezialisierte Asset-Management-Lösungen decken den medizinischen Bereich nicht ab. Hierfür steht die spezialisierte Lösung Medigate zur Verfügung. Medigate kennt sich mit den teils proprietären Protokollen der Medi-zingerätehersteller aus, erstellt ein laufend aktualisiertes Inventar und zeigt auf, welche Geräte mit welchen anderen Systemen kommunizieren. Darüber hinaus warnt Medigate vor ungepatchtem und somit riskantem Equipment und liefert Aufschluss über die Auslastung von Geräten wie Computertomografen und MRTs. PAM: Zugriff unter KontrolleOft möchten die Hersteller medizinischer Geräte zur Nutzungsanalyse oder Fernwartung auf die von ihnen gelieferten Geräte zugreifen. Auch im Krankenhaus benötigen zahlreiche Nutzer Zugriff auf die IT-Systeme und Medizingeräte. Dabei geht es in jedem Fall um kritische Systeme und sensible Daten. Um Missbrauch und Cyberangriffe zu verhindern, müs-sen diese Zugriffe streng geregelt und überwacht werden – und das von Anfang bis Ende jeder Session. Dazu dient eine PAM-(Privileged-Access-Management-)Lösung: Sie erlaubt Zugriffe nur für autorisierte Nutzer, die sie durch starke Authentifizierung identifiziert, zeichnet die gesamte Session auf und archiviert diese als Video. So macht PAM alle Vorgänge nachvollziehbar, unterstützt im Problemfall die Forensik und fördert die Compliance. Auch lässt sich so nachweisen, dass ein externer Dienstleister stundenlang eingeloggt war, aber in der abgerechneten Zeit kaum etwas getan hat. nWLAN für Patienten, die Gebäudeautomation etc. So lässt sich die Kom-munikation zwischen Geräten und Anwendungen in unterschiedlichen Zonen nur gezielt freigeben, anderer Verkehr ist nicht möglich. Ziel der Segmentierung ist es, die Angriffsflächen zu reduzieren.Die Segmentierung erfolgt mithilfe der Netzwerkswitches oder über die Firewall. Letzteres ist deutlich flexibler und hat den Vorteil, dass auch die weiteren Sicherheitsfeatures der Firewall zur Verfügung stehen, etwa der Scan ausgetauschter Dateien auf Schadcode oder das Verhindern von Angriffen über bekannte Produktschwachstellen. Ebenso wichtig ist eine NAC-Lösung (Network Access Control). Denn NAC verhindert, dass sich nicht autorisierte Geräte mit dem Netzwerk beziehungsweise mit einer unerlaubten Zone verbinden.Sichere Kommunikation per E-MailE-Mail ist in allen Branchen nach wie vor ein gefragtes Kommunikations-mittel, aber es ist auch der Hauptangriffsvektor für Cyberkriminelle: Der mit Abstand größte Anteil der gezielten Angriffe erfolgt via E-Mail – sei es mithilfe von Links zu bösartigen Webseiten, die sich in sogenannten Phishingmails finden, durch Schadcode, der in angehängten Dokumen-ten versteckt ist oder in Form von betrügerischen Nachrichten, die den Empfänger zu schädlichen Handlungen verleiten sollen. Eine E-Mail-Secu-rity-Lösung ist Pflicht für Krankenhäuser. Sie filtert „Schädlinge“ aus dem E-Mail-Verkehr heraus und bietet weitgehenden Schutz vor allen erdenk-lichen E-Mail-Bedrohungen.Gerade im Gesundheitswesen sollten E-Mails grundsätzlich verschlüsselt und signiert sein, um die Unversehrtheit und Echtheit der übermittelten Informationen sicherzustellen. Eine Lösung dafür ist etwa das Secure E-Mail Gateway des Schweizer Her-stellers SEPPmail, das die mühsame Verwaltung der Zertifikate komplett übernimmt, alle ausgehenden E-Mails vollautomatisch verschlüsselt und sich leicht in andere Services einbinden lässt. Endpunktschutz und BedrohungsanalyseEs versteht sich von selbst, dass sämtliche ins Netz eingebundenen End-geräte mit einer Schutzlösung abgesichert werden müssen (Endpoint Protection). Im Rennen mit den Cyberkriminellen treten jedoch immer mehr bisher unbekannte Bedrohungen und Angriffsmethoden zutage. Hier kommen zusätzlich zu den Protection-Mechanismen immer häufi-ger EDR-Funktionalitäten (Endpoint Detection and Response) ins Spiel. Diese identifizieren auffälliges Verhalten, isolieren – falls erwünscht – die betroffenen Endgeräte automatisch und geben dazu Informationen in Echtzeit.Damit nicht genug: Zu einer kompletten EDR-Lösung gehört immer auch ein Incident Response Service. Diesen erbringt entweder ein Partner oder der Lösungshersteller selbst, in dem er die Warnmeldungen sichtet und analysiert, daraufhin die Krankenhaus-IT informiert, Gegenmaßnahmen empfiehlt oder solche direkt selbst umsetzt. Diese Art des aktiven Securi-ty-Managements entlastet das IT-Team des Krankenhauses, dient aber in jedem Fall der Nachvollziehbarkeit bei Sicherheitsvorfällen: Es liefert de-taillierte Informationen, um das erfolgreiche Eindringen von Cyberkrimi-nellen rasch zu unterbinden und die genutzte Lücke zu schließen.

– ADVERTORIAL – B3S Gesundheit für Krankenhäuser mit QSEC am Beispiel Harzklinikum Dorothea Christiane Erxleben GmbH Autorin: Ellen Wüpper, Geschäftsführung Vertrieb/Marketing der WMC GmbH K rankenhäuser mit mehr als 30.000 vollstationären Fällen pro Jahr sind aufgrund der KRITIS-Verordnung verpflichtet, ihre IT-Sicherheitsmaßnahmen auf den jeweils aktuellen Stand der Technik zu bringen, diesen zu halten und die Erfüllung der Anforderungen an Betreiber kritischer Infrastrukturen alle zwei Jahre nachzuweisen. Damit diese Verpflichtungen erfüllt werden können, wird seitens des BSI (Bun- desamt für Sicherheit in der Informationstechnik) auf die Umsetzung des anerkannten branchenspezifischen Sicherheitsstandards (B3S Gesundheit) verwiesen. In der Praxis wird somit der Aufbau eines Informationssicher- heitsmanagementsystems (ISMS), dass die B3S-Anforderungen erfüllt und auch das Risikomanagement entsprechend berücksichtigt, unerlässlich. Will man die oben genannten Anforderungen des B3S erfüllen und gleichzeitig auch weitere Themen, wie zum Beispiel den Datenschutz, das Risiko- und Compliance-Management, in einem System umsetzen, ist das mit Bordmitteln und ohne eine datenbankgestützte Softwarelö- sung wie QSEC aufgrund der Komplexität der Materie wirtschaftlich und nachhaltig kaum möglich. Die im Krankenhausumfeld vielfach erprobte GRC-(Governance, Risk & Compliance-) und ISMS-Softwarelösung QSEC bildet den Informationssi- cherheitsprozess über alle Phasen des Plan-Do-Check-Act-Zyklus lückenlos ab und unterstützt alle Anforderungen aus dem B3S Gesundheit. Dabei integriert sich das System in die IT-Landschaft des Krankenhauses und bereits vorhandene, für die Umsetzung erforderliche Daten, können aus schon im Einsatz befindlichen, führenden Systemen übernommen werden. QSEC-Startseite-Krankenhäuser QSEC-Datenmodelldarstellung-Krankenhäuser 52 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS Kontaktinfo: WMC GmbH Zimmerstraße 1, 22085 Hamburg Tel: +49 40 650336-0 E-Mail: info@wmc-direkt.de · www.wmc-direkt.de Mit QSEC werden nicht nur die KRITIS-Anfor-derungen im Krankenhaus optimal umgesetzt, sondern auch die Nachweisbarkeit der Compliance sichergestellt; die Risiken transparent dargestellt und nachhaltig behandelt (reduziert, akzeptiert, etc.); Best-Practice-Prozesse etabliert (die Methodik wird von QSEC zur Verfügung gestellt); Synergien durch die Verbindung von Informationssicherheit und Datenschutz erzielt; die Effizienz im Sicherheitsmanagement bei gleichzeitiger Optimierung von Ressourcen und Investitionen erhöht; Imagegewinne und Wettbewerbsvorteile erzielt.Bei der Harzklinikum Dorothea Erxleben GmbH wurde QSEC gemeinsam mit dem QSEC Vertriebspartner Cancom, IT-Dienstleister mit Sitz in Mün-chen, implementiert, sodass heute alle Aktivitäten zu den Themen Da-tenschutz, ISMS, B3S Gesundheit und zum Risikomanagement nachhaltig dargestellt und lückenlos belegt werden können. Die etablierten Prozesse und Informationen bieten eine valide und fundierte Basis in Bezug auf alle compliance- und risikorelevanten Entscheidungen.„Die Auditierung unserer Infrastruktur wurde mit der Unterstützung von QSEC wesentlich einfacher und effizienter. Aufgrund der positi-ven Bewertung der Auditoren in Bezug auf die Leistungsfähigkeit des Systems werden wir QSEC in weiteren Schritten entsprechend unserer Anfordernisse ausbauen.“ Zitat: Hardy Krüger, Informationssicherheits-beauftragter.Die komplette Case Study: „Harzklinikum Dorothe Christiane Erxleben – Datenschutz, Informationssicherheit und Risiko-management als Managementaufgabe“ finden Sie hier.

– ADVERTORIAL – Sicherer Umgang mit Daten DSGVO-konforme Digital-Work- place-Lösung – Ihr Rezept für einen sorgenfreien Klinikalltag Nicht erst seit dem Inkrafttreten des branchenspezifischen Krankenhaussicherheitsstan- dards B3S sind Sicherheit und Datenschutz in Kliniken von entscheidender Bedeutung. Denn gerade in Krankenhäusern werden äußerst sensible Daten verarbeitet, insbesondere Patientendaten, die es umfassend zu schützen gilt. Trotzdem kommen in vielen Einrichtun- gen noch immer veraltete, unsichere Methoden zum Einsatz, um sensible Informationen etwa mit dem Klinikpersonal oder mit Patienten auszutauschen. Dabei gibt es inzwischen geeignete Lösungen auf dem Markt, um eine sichere und nachvollziehbare digitale Kom- munikation zu gewährleisten, die noch dazu den Datenaustausch deutlich vereinfachen. Krankenhäuser arbeiten täglich mit zahlreichen sensiblen Daten. Der Austausch dieser Daten – Patienten- und auch Mitarbeiterdaten – mit anderen Abteilungen und externen Parteien wie Rentenversicherungen, Krankenkassen sowie Ämtern erfolgt heutzutage häufig noch über Faxe, CDs/DVDs und E-Mails. Dies hat sich auch mit dem Start der elektronischen Patientenakte noch nicht geändert. Dabei sind diese veralteten Methoden alles andere als sicher. So kann es relativ schnell passieren, dass Faxe, CDs und E-Mails nicht den gewünsch- ten Empfänger erreichen. Dies kann zu Datendiebstahl, -missbrauch und Datenverlust führen. Elektronische Patientenakte – die Lösung für Datensicherheit im Klinikalltag? Durch die Einführung der elektronischen Patientenakte werden Pati- entendaten inzwischen schon elektronisch erfasst – mit dem Ziel, dass Informationen auf diese Weise besser verfügbar sind und einfacher be- schafft sowie weitergegeben werden können. Doch auch die elektronische Speicherung sensibler Patientendaten kann problematisch sein – dann nämlich, wenn die Cybersicherheit nicht ge- wisse Standards erfüllt. Aus diesem Grund definiert der branchenspezifi- 54 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS sche Sicherheitsstandard B3S Richtlinien für die IT-Sicherheitsstrukturen im Gesundheitswesen. Zu den Anforderungen, die Organisationen in diesem Bereich erfüllen müssen, gehören die Verfügbarkeit des IT-Sys-tems, die Integrität der Daten, die Authentizität und Vertraulichkeit der Informationen sowie der Schutz vor der Preisgabe von Informationen. Ob die elektronische Patientenakte diesen Anforderungen gerecht werden kann, wird auch heute, zwei Jahre nach ihrer Einführung, immer wieder diskutiert. Um also sensible Daten bestmöglich vor unbefugten Zugriffen schützen zu können und den erforderlichen Standards zu entsprechen, wird in Kli-niken eine professionelle, digitale Lösung benötigt, bei der Informationen verschlüsselt sind und nur Zugriffsberechtigten zur Verfügung stehen. Zudem muss eine sichere Dateiübertragung gewährleistet sein – sowohl intern als auch mit externen Partnern.Worauf es bei einer Digital-Workplace-Lösung für den Klinikalltag ankommtBei der Auswahl einer passenden Lösung stehen Verantwortliche in Kli-niken vor diversen Herausforderungen. Neben den branchenspezifischen und individuellen Bedingungen gilt es, auch die gesetzlichen Anforderun-Bild: ipopba - stock.adobe.com

– ADVERTORIAL – SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS 55 sich Qiata in der gesamten Einrichtung einsetzen – ob in der Buchhaltung, der Verwaltung, der Rechtsabteilung, im Medizincontrolling oder in der Geschäftsführung. Im TEAMTransfer-Bereich lassen sich jeder Abteilung Informationen zur Verfügung stellen – von MRT- und CT-Aufnahmen und Befunden bis hin zu Partnerverträgen, Aufträgen oder Rechnungen an externe Parteien. Jede Datei ist verschlüsselt und nur von Zugriffsberechtigten durch Pass-worteingabe einsehbar. Für ein klares und eindeutiges Verständnis aller Beteiligten und eine vollständige Nachvollziehbarkeit protokolliert Qiata sämtliche Vorgänge in einem Logbuch (Audit-Log). Auch externe Teilneh-mer lassen sich auf diese Weise einfach in den Kommunikationsprozess einbeziehen, ohne dass sie auf zusätzliche Tools angewiesen sind. Möchte beispielsweise ein Arzt seinen Bericht zunächst als Entwurf ab-speichern und von zu Hause aus bearbeiten, steht ihm zur Ablage seiner persönlichen Dateien außerdem der PersonalSpace zur Verfügung.Professionelles „Heilmittel“ für KrankenhäuserInsgesamt entspricht die Digital-Workplace-Lösung Qiata allen Anfor-derungen der DSGVO und des B3S. Darüber hinaus ist sie für Mitarbeiter, Administratoren und auch das Management eine erhebliche Erleichterung und Zeitersparnis im Arbeitsalltag – und das auf einem einfachen, siche-ren und nachvollziehbaren Weg. Mit der in Deutschland entwickelten Lösung bleiben Gesundheitseinrichtungen jederzeit Herr über ihre Daten. Informationen jeglicher Art lassen sich auf schnellstem Wege digital über-mitteln, ohne dabei die Sicherheit zu gefährden. Dies bestätigen unter an-derem auch das Klinikum Bad Bramstedt, der Medizinische Dienst Berlin-Brandenburg sowie der Krankenhausbetreiber Vivantes. ngen zu beachten und für ein Höchstmaß an Sicherheit zu sorgen. Folgen-de Fragen sollten bei der Auswahl berücksichtigt werden: Lässt sich das Tool problemlos in die bestehende Infrastruktur einbinden? Ist die Lösung einfach zu bedienen und kann sie ohne Aufwand in den gewohnten Arbeitsprozess integrieren werden? Ermöglicht das Tool eine unkomplizierte Abwicklung – sowohl mit internen als auch externen Kommunikationspartnern –, ohne dass zusätzliche Tools oder Zertifikate für die Nutzung benötigt werden? Lässt sich die Lösung im Alltag auch für den Austausch sensibler Informationen nutzen?Qiata – sicherer Umgang mit Daten ohne Risiken und NebenwirkungenMit der Digital-Workplace-Lösung Qiata hat der deutsche Lösungsanbie-ter SECUDOS eine zukunftsfähige Applikation entwickelt, die alle spezifi-schen Anforderungen der Gesundheitsbranche erfüllt.Jegliche Dateitypen oder auch gesamte Ordnerstrukturen lassen sich problemlos per Outlook-Add-In, über den DesktopClient oder die Webo-berfläche versenden. Anders als beim E-Mail-Versand spielt es dabei keine Rolle, welche Größe die übermittelten Daten haben. Die neueste Version des Outlook-Add-in bietet zudem noch eine praktische Möglich-keit: Administratoren können hier individuelle Buzzwords erstellen, wie zum Beispiel „Versichertennummer“, „Patientenname“, „Geburtsdatum“ oder „geboren am“. Verwenden Mitarbeiter diese Schlagworte dann in ihrer Nachricht, werden sie vom Add-in darauf hingewiesen, dass der Text scheinbar sensible Informationen beinhaltet und besser sicher via Qiata versendet werden sollte.Unabhängig von der Nutzung via Outlook-Add-in, DesktopClient oder Weboberfläche – Qiata lässt sich einfach in die IT-Infrastruktur sowie in den Arbeitsalltag einbinden. Ein spezielles technisches Know-how, zu-sätzliche Tools oder Zertifikate sind nicht notwendig. Auf diese Weise lässt

Digitale Sensibilisierung Der Faktor Mensch in der Cybersicherheit: Mitarbeitersensibilisierung im Gesundheitssektor Dennis Schünke und Christoph Schultejans, CSX Academy GmbH Das Fundament einer erfolgreichen Digitali- sierung: der Mensch In der digitalen Transformation steht der Gesundheitssektor vor der Herausforderung, Kosten durch digitale Lösungen zu reduzieren und zugleich die Informations- und IT-Sicherheit zu gewährleisten. Für den Erfolg der Umsetzung steht nicht die Software allein, sondern das Personal im Fokus. Konfrontiert mit der Einführung neuer Technik, Prozesse und Anforderungen ist die Sensibilisie- rung essenziell — trotz Schichtbetrieb. Sensibilisierung ist gesetzliche Pflicht Kein Nice-to-have, sondern regulatorische Anforderung. Die DS- GVO und die KRITIS-Verordnung bzw. der branchenspeziﬁsche Sicherheitsstandard (B3S) für die Gesundheitsversorgung for- dern Nachweise für entsprechende Sensibilisierungen in Praxen und Krankenhäusern — andernfalls drohen rechtliche Konse- quenzen. Digital für digitale Risiken schulen Ungeachtet aller technischen Sicherheitsvorkehrungen steht die Mitarbeitersensibilisierung weiterhin im Vordergrund. Präsenzvorträge sind im Krankenhausalltag keine wirtschaft- liche Option. Zudem können analoge Schulungen nur einge- schränkt authentisch auf Cyberrisiken vorbereiten. 56 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS Mitarbeitende müssen mögliche Datenschutzverstöße und digitale Risiken wie Phishingmails erkennen können. Gefordert sind Partizipation und Interaktion anstelle passiv rezipierter Vorträge und Videos.Sensibilisierungen für Datenschutz und Cyber Security haben erst eine hohe User-Akzeptanz, wenn sich die Mitarbeitenden in den Lerninhalten wiederﬁnden und spielerisch ihre Kennt-nisse und Fähigkeiten weiterentwickeln: am Stationsarbeits-platz, bei der Visite im Mehrbettzimmer, am Telefon oder beim Bearbeiten eines virtuellen Posteingangs in der Patienten-verwaltung. Online-Trainings sind deutlich wirtschaftlicherEs kommt beim Lernen nicht auf die Dauer, sondern auf die Qualität an. In einem Sektor mit ohnehin wenig Zeitressour-cen ist ein ausgewogenes Verhältnis von Schulungsumfang und -wirkung zu ﬁnden. Ein modular aufgebautes, digitales Training über eine halbe Stunde kann mehr erreichen als ein einstündiger Präsenzvortrag. Ergänzende Maßnahmen wie Phishingsimula-tionen können die Wirksamkeit verstärken.Eine digitale Schulung muss keineswegs an den IT-Arbeitsplatz im Krankenhaus gebunden sein. Unsere Trainings können von überall per Browser über Notebook, Smartphone oder Tablet bearbeiten werden.– ADVERTORIAL –

Sensibilisiert für Cyberrisiken trägt Paul als humane Firewall aktiv zur Sicherheit bei. Trainings auf die eigenen Richtlinien maßschneidern Standardisierte Schulungen basieren auf anerkannten Best- Practice-Lösungen für eine Branche. Damit auch individuelle Vorgaben und Richtlinien berücksichtigt werden, bieten wir die Möglichkeit, Awareness-Trainings inhaltlich und graﬁsch an zupassen. Auch das Corporate Design sowie die Integration der IT-Benutzerrichtlinie mit Kenntnisnahme sind einfach und wirtschaftlich abbildbar. Von der Pflicht zur Kür: humane Firewall stärken Letztlich geht es darum, die von vielen Mitarbeitenden als lästig wahrgenommen Themen Cyber Security und Datenschutz at- traktiv und modern zu vermarkten. So gelingt es, Mitarbeitende nicht nur für Risiken zu sensibilisieren, sondern sie als Teil der humanen Firewall aufzubauen. CSX Academy – Ihr Partner für Datenschutz und Cyber Security Awareness SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS 57 Awareness-Trainings zur MitarbeitersensibilisierungDie Awareness-Trainings sind Teil unserer Awareness-Lösungen zur Stärkung der „humanen Firewall“. Jedes Training besteht aus mehreren kurzen Modulen zu verschiedenen Themen. In den Modulen werden Grundlagen und Praxiswissen vermittelt. Mit-arbeitende können die Module in ihrem Tempo und mit Pausen absolvieren. Jedes Training schließt mit einem Quiz.Die Trainings erzählen Geschichten von Paula, Paul, Ilyas und ihren Kolleg*innen in ihrem Arbeitsalltag und von den Heraus-forderungen: von der Patientenannahme über die Diagnostik zum Arztgespräch bis hin zur Pﬂege im Mehrbettzimmer. Gemeinsam mit den Figuren bewältigen die Mitarbeitenden Aufgaben und lernen Neues. Komplexe Themen sind so leichter zugänglich und werden besser verstanden.Spielerisch LernenSpielen gehört zu einem erfolgreichen Lernkonzept, denn Quiz-fragen und Spiele sorgen für ein abwechslungsreiches Lernen. In den virtuellen Szenarien treffen Mitarbeitende situative Entscheidungen. Wird die Phishingmail beim ersten Versuch nicht erkannt, unterstützen Hinweise, die Lösung zu ﬁnden – ohne dass ein Sicherheitsvorfall eintritt. Die Teilnehmenden werden zur Interaktion motiviert und verinnerlichen das Gelernte besser. – ADVERTORIAL –

– ADVERTORIAL – Vertraue niemandem! Zero Trust: Unverzichtbar für alle Accessverfahren Unsere IT-Infrastrukturen unterliegen starken Veränderungs- Remote Access sollte nicht ausschließlich unter den Aspekten Homeoffice und Anbindung privater PCs an die Krankenhaus-IT betrachtet werden. Leistungsfähige Remote-Access-Plattformen ermöglichen die Ad-hoc-Be- reitstellung geschützter Zugänge, beispielsweise für externe Dienstleister, verbundene Einrichtungen oder zur Einholung von Expertisen. prozessen. Klassische LAN-Ausprägungen mit definiertem Perimeter wurden durch die Bereitstellung zahlreicher Homeoffice-Arbeitsplätze aufgebrochen. Die Nutzung internetbasierter Dienste wie Cloud-Services, Webmeetings und mehr nimmt beständig zu. Mobile, vernetzte Endgeräte, Smartphones und Tablets revolutionieren das Gesundheitswesen und werden zum Standard für Kommunikation, Dia- gnostik und mobilen Zugriff auf Daten und Anwendungen. Alle diese Entwicklungen haben eines gemeinsam: Sie vergrößern die An- griffspunkte und erfordern starke Schutzmaßnahmen, damit sich Unbe- fugte keinen Zugang zu Krankenhausnetzwerken verschaffen können. Das Zero-Trust-Konzept verfolgt dabei den Ansatz, dass Organisationen weder ihren Mitarbeitern, Kunden, Partnern noch den Anwendungen ohne entsprechende Überprüfung vertrauen. Als wesentliche Bestandteile einer Zero-Trust-Architektur gelten die Au- thentifizierung der Endgeräte, die Identitätsprüfung des Nutzers sowie der dynamisch regelbare und einschränkbare Zugriff auf Ressourcen. Zero Trust Remote Access COVID-19 hat gezeigt, wie wichtig die Aufrechthaltung einer Business Continuity ist. Viele Einrichtungen und Organisationen mussten improvi- sieren, um ihren Beschäftigten die geforderten Homeoffice-Arbeitsplätze zu ermöglichen. Durch die damit verbundene zwangsläufige Öffnung des Perimeters mit vielen unkontrollierbaren Endpunkten ergaben sich viele neue Angriffsflächen. 58 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS Dabei unterstützen sie den Zugriff via nativer App oder installationsfrei- em HTML5-Client. Zwei-Faktor- oder Multi-Faktor-Authentifizierung mit RADIUS-Anbindung sorgen dafür, dass die Zugangs berechtigungen durch mehrere unabhängige Merkmale überprüft werden. Unsere Remote- Access-Lösungen arbeiten VPN-los und erlauben feingranular bestimm- bare Zugriffe auf zentrale oder cloudbasierte Anwendungen. Eine effiziente Protokollbeschleunigung ermöglicht die verlustfreie Remote- Betrachtung bildgebender Befunddaten. Mehr über unsere Remote-Access-Technologien erfahren Sie unter https://www.giritech.de/zt-remote-access Zero Trust mobile collaboration Die sichere Anbindung von Smartphones und Tablets an die Kommunika- tion, den Datenaustausch und deren Zugriff auf eine zentrale Anwendung ist eine Herausforderung. Die krankenhausinterne Kommunikation, der Datenabgleich mit exter- nen Leistungserbringern und Belegärzten, erfordert einen zuverlässigen, schnellen und sicheren Informationsaustausch. Dabei gilt es, die höchst Bild: ArtemisDiana - stock.adobe.com

– ADVERTORIAL – schutzbedürftigen Patientendaten und Bilddokumentationen zu schützen und die Richtlinien der DSGVO vollständig zu erfüllen. über Social-Media-Plattformen oder dem Exploit von Daten im Zusam- menhang mit der Nutzung eines unsicheren Webspeichers möglich. Unter diesen Bedingungen scheidet die Nutzung unbekannter Mobilge- räte eigentlich per se aus – nicht so, wenn alle damit verbundenen Daten und Prozesse ausschließlich in einem hochverschlüsselten Container auf dem jeweiligen Endgerät vorhanden sind. Die dringende Empfehlung lautet daher, dass der Aufruf von Webinhal- ten ausschließlich unter Zero-Trust-Bedingungen erfolgt. Ericoms Remote Browser Isolation (RBI) ist eine Technologie, die den Client und das LAN vor Cyberangriffen über den Webbrowser schützt. Unsere Lösung MailZen ist eine solche Containerlösung für Android- und iOS-Geräte. MailZen synchronisiert MS-Exchange-, Windows-365- oder Domino-Notes-Postfächer mit dem lokalen PIM-Client. Zur Vermeidung von externen Speicherplattformen können Dateien direkt zwischen dem Container und einem Sharepoint- oder einem WebDAV-Server ausge- tauscht werden. Die Funktion „Secure Photo“ ermöglicht Bildaufnahmen, die ausschließlich im geschützten Container gespeichert werden. Office- Dokumente können innerhalb des Containers bearbeitet werden, und ein integrierter Webkit-Browser unterstützt die Nutzung von HTML-Apps. Damit werden BYOD-(Bring Your Own Device) oder COPE-(Company- Owned, Personally Enabled)Strategien unterstützt, was letztlich eine schnelle Bereitstellung mobiler Zugänge bei vergleichsweise niedrigen Kosten und geringem administrativem Aufwand bedeutet. Mehr Informationen unter https://www.giritech.de/zt-mobile Zero Trust Web Access Webbrowser sind die meist verbreiteten, universell nutzbaren Applikati- onen zur Betrachtung und Bearbeitung jeglicher im Internet angebotener Dateitypen sowie zur Bedienung von Anwendungen über deren Web- schnittstellen. Durch Add-ons und sogenannte aktive Inhalte werden sie immer leistungsfähiger und komplexer. Zugleich steigt das Gefahrenpotenzial durch Schwachstellen im Browser oder durch Bedienungsfehler. Die Methoden der Angreifer werden vielfäl- tiger und technisch ausgefeilter. Oft genügt bereits eine Mausbewegung über ein unsichtbares Frame oder ein Mausklick auf ein getarntes Websei- tenelement, um Cyberangriffe einzuleiten. Die Vermeidung einer Kompromittierung der Endpunkte mit durch- greifender Wirkung auf das Krankenhausnetzwerk ist eine wesentliche Aufgabe. Aber auch die Gefahr eines Datenabflusses über Web-Sessions darf nicht unberücksichtigt bleiben. Diese ist infolge einer klassischen Phishingattacke, einer leichtfertigen Preisgabe schutzbedürftiger Daten Dabei wird der Inhalt von besuchten Webseiten extern gerendert und als reiner Video-/Audio-Datenstrom an den clientseitigen Browser über- tragen. Dadurch ist die Gefahr einer Endpoint-Kompromittierung durch aktive Inhalte ausgeschlossen. Ericoms RBI Plattform unterstützt zudem Funktionen zur Data Loss Prevention, dem Aufruf von Webseiten im Read-Only-Modus und der Einschränkung des Datenexports per Clipboard oder mittels Drag-&-Drop-Funktionen. Die Integrität von Upload- und Download-Dateien wird durch entspre- chend mehrstufige Antivirenprüfungen sowie CDR-Maßnahmen (Content Disarm and Reconstruction) gesichert. CDR untersucht Dateien auf einge- bettete Schadsoftware, beseitigt diese und stellt die Datei danach berei- nigt wieder her. Ericom RBI ist eine in Deutschland gehostete, DSGVO-konforme Cloudlö- sung. Da der im Klinikum etablierte Browser weiterhin genutzt wird und keine Zusatzkomponenten oder Appliances installiert werden müssen, ist der Aufwand zur Inbetriebnahme und zum Management vergleichsweise niedrig. Als Mitglied im Bundesverband der Krankenhaus IT-Leiterinnen/ Leiter (KH-IT) bieten wir Krankenhäusern einen kostenlosen 14-tägigen Testbetrieb. Mehr Infos dazu unter https://www.giritech.de/zt-web-access Kontakt: Giritech GmbH Mariabrunnstraße 123 88097 Eriskirch (Germany) Tel: +49 (0) 75 41 97 10 99-0 Fax: +49 (0) 75 41 97 10 99-99 www.giritech.de SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS 59

RECHT Europäischer Rechtsrahmen für Cybersecurity NIS 2: WAS SIE ÜBER DIE NEUEN SICHERHEITSVOR- GABEN WISSEN MÜSSEN und private Einrichtungen, die ihre Dienste in der Union erbringen oder ihre Tätigkeiten dort ausüben und die in den Anhängen I („hohe Kritikalität“) und II („sonstige kritische Sektoren“) der Richtlinie konkretisiert werden. Für öffentliche Einrichtungen bestehen dabei teils signifi- kante, aber aus Gesichtspunkten der Cyberresilienz nicht immer nachvollziehbare Bereichsausnahmen. Im Anwen- dungsbereich neu hinzu kommen beispielsweise Welt- raumeinrichtungen im Sinne von Bodeninfrastrukturen, die für die Erbringung von weltraumbezogenen Diensten genutzt werden. Sonstige kritische Sektoren sind Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produk- tion, Verarbeitung und Vertrieb von Lebensmitteln im Großhandel sowie in der industriellen Produktion und Verarbeitung, verarbeitendes Gewerbe/Herstellung von Waren (hierunter wiederum fallen Medizinprodukte, In- vitro-Diagnostika, Datenverarbeitungsgeräte, elektroni- sche und optische Erzeugnisse, elektronische Ausrüstun- gen, Maschinenbau, Kraftwagen und Kraftwagenteile und sonstiger Fahrzeugbau), die schon aus NIS 1 bekannten Anbieter digitaler Dienste (Online-Marktplätze, Online- Suchmaschinen und Betreiber sozialer Netzwerke) sowie Forschungseinrichtungen. IT-SICHERHEIT_1/2023 IT-SICHERHEIT_1/2023 61 61 Spätestens im letzten Jahr wurde deutlich, dass ein modernisierter Rechtsrahmen für die Cybersicher-heit notwendig ist, besonders nachdem zuletzt im Russland-Ukraine-Krieg auch die deutschen kritischen Infrastrukturen sowie die öffentliche IT auf den Prüf-stand gestellt wurden. Im Amtsblatt vom 27. Dezember 2022 hat die Europäische Union nunmehr die „Richtli-nie 2022/2555 über Maßnahmen für ein hohes gemein-sames Cybersicherheitsniveau in der Union […] sowie zur Aufhebung der Richtlinie 2016/1148“ veröffentlicht. Übergeordnetes Ziel ist der Schutz von wesentlichen und wichtigen Diensten sowie allgemein die Modernisie-rung und Ausweitung der Cybersicherheit in der EU. Die Richtlinie ist bis zum 17. Oktober 2024 von den Mitglied-staaten umzusetzen.AUSGEDEHNTER ANWENDUNGS-BEREICHBereits der Anwendungsbereich von NIS 2 wartet mit erheblichen Änderungen auf: Neben einer Erweiterung des Pflichtenkatalogs werden einige Schutzlücken in Zukunft besonders durch seine Ausweitung geschlos-sen. Der Anwendungsbereich bezieht sich auf öffentliche Die Europäische Union hat NIS 2 verabschiedet. Die Mitgliedstaaten haben nun bis Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. Für viele Unter-nehmen bedeuten die neuen Vorgaben, dass sie mehr Geld in ihre Cybersicherheit investieren müssen.

RECHT UNTERTEILUNG IN WESENTLICHE UND WICHTIGE EINRICHTUNGEN ERWEITERTER PFLICHTEN KATALOG UND BETROFFENE EINRICHTUNGEN Im Weiteren wird in der Richtlinie unterschieden zwi- schen wesentlichen und wichtigen Einrichtungen, wobei sich diese Differenzierung unter anderem auf die Pflich- ten der Einrichtungen und auch auf die Aufsichts- und Durchsetzungsbefugnisse der zuständigen Behörden auswirkt. Die wesentlichen Einrichtungen umfassen die in NIS 2 Anhang I genannten Einrichtungen, die die Schwel- lenwerte für mittelgroße Unternehmen im Sinne der europäischen Definition überschreiten oder von einem EU-Mitgliedstaat als Betreiber wesentlicher Dienste ein- gestuft wurden. Wichtige Einrichtungen hingegen sind solche, die NIS 2 Anhang I und II zugeordnet werden können, aber nicht als wesentliche Einrichtungen gelten, einschließlich solcher, die von den Mitgliedstaaten als wichtige Einrichtungen eingestuft wurden. Durch NIS 2 wird der Pflichtenkatalog sowohl für die Mitgliedstaaten als auch für die wesentlichen und wich- tigen Einrichtungen erweitert. Neben der Pflicht einer mitgliedstaatlichen Cybersicherheitsstrategie wird eine EU-Kooperationsgruppe für den Informationsaustausch aufgebaut. Im Hinblick auf das Krisenmanagement ha- ben EU-Staaten Computer-Security-Incident-Respon- se-Teams (CSIRTs) vorzuhalten und eine europäische Schwachstellendatenbank wird durch European Union Agency for Cybersecurity (ENISA) eingerichtet. Ebenso wird durch die neue Richtlinie ein mitgliedstaatlicher Peer-Review zur Cybersicherheit vorgesehen. Vom Anwendungsbereich erfasste Einrichtungen sind noch stärker als bislang zu Präventionsmaßnahmen angehalten. Neben technischen und organisatorischen Maßnahmen (TOM) sind nationale und internationale . m o c . e b o d a k c o t s - a s s u o M r o t c i V : d l i B 62 62 IT-SICHERHEIT_1/2023 IT-SICHERHEIT_1/2023

RECHT Gegenüber NIS 1 qualifiziert ist das Aufsichts- und Durch- setzungsregime. So können neben ausgesprochenen Warnungen auch Zwangs- gelder verhängt werden. Als Ultima Ratio besteht gar die Möglichkeit des Ausschlusses von Leitungspersonen betrof- fener Einrichtungen. wird das Sanktions- und Durchsetzungsregime weiter verschärft. Über viele der Aspekte, die letztlich auch NIS 2 betreffen, wurden hierzulande in den letzten Jah- ren schon erschöpfende rechtspolitische Debatten ge- führt. Der politische Ansatz, Cybersecurity-Governance rechtlich möglichst breitenwirksam zu gestalten, ist je- doch sinnvoll und gibt die aktuelle globale Bedrohungs- lage treffend wieder. Insoweit fügt sich NIS 2 inhaltlich auch sinnvoll in das stetig wachsende EU-Regelungs- gefüge zur Cybersicherheit ein und erscheint auf den ersten Blick mit bereichsspezifischen Regelungen gut abgestimmt. Auch der Entwurf des EU Cyber Resilience Act (CRA), der für dieses Jahr im finalen Stadium erwartet wird, hat NIS 2 bereits im Blick. Trotz allem Positiven jedoch fällt bei NIS 2 eines auf: der strenge Umgang mit privatwirt- schaftlichen Anbietern einerseits und der eher zag- hafte Ansatz zur Regulierung des öffentlichen Sektors andererseits, wo sich doch gerade hier in der Vergan- genheit in der Praxis regelmäßig erhebliche Schwächen in der Cybersicherheit gezeigt haben und nach wie vor zeigen. Eine europäisch vereinheitlichte Regulierung zur Cybersecurity, die ein flächendeckendes und hohes Maß an Cybersicherheit gewährleisten will, sieht zumindest unter diesem Gesichtspunkt anders aus. n DR. DENNIS-KENJI KIPKER ist Professor für IT-Sicherheitsrecht an der Hochschule Bremen (HSB), Legal Advisor im Competence Center Information Security und CERT des VDE, EAID-Vorstand sowie GF von Certavo. IT-SICHERHEIT_1/2023 63 Normen und Standards zur Informationssicherheit zu berücksichtigen. Neu ist dabei auch die explizite Ein-beziehung von Lieferketten. Beispiele für vorgeschlage-ne TOM sind Backups, Maßnahmen zur Cyberhygiene sowie der Einsatz von Verschlüsselung. Für erhebliche Sicherheitsvorfälle ist ein Meldesystem mit abgestuf-ten Fristen von 24 und 72 Stunden einzurichten. Ein Sicherheitsvorfall gilt als „erheblich“, wenn er schwer-wiegende Betriebsstörungen der Dienste zur Folge haben oder finanzielle Verluste für die betreffende Ein-richtung verursachen kann oder wenn natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt werden können.HOHE GELDBUßENGegenüber NIS 1 qualifiziert ist das Aufsichts- und Durchsetzungsregime. So können neben ausgesproche-nen Warnungen auch Zwangsgelder verhängt werden. Als Ultima Ratio besteht gar die Möglichkeit des Aus-schlusses von Leitungspersonen betroffener Einrichtun-gen. Daneben sind unter anderem Vor-Ort-Kontrollen, Stichproben, regelmäßige Sicherheitsaudits oder auch die Anforderung von Daten und Zugängen möglich. Die maximale Geldbuße für wesentliche Einrichtungen bei Verstößen beträgt entweder zehn Millionen Euro oder ei-nen Anteil von zwei Prozent des weltweiten Jahresumsat-zes, je nachdem, welcher Betrag höher ist. Bei wichtigen Unternehmen beträgt die maximale Geldbuße entweder sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.AUSBLICKNIS 2 ist da und wartet nun auf die Umsetzung durch die Mitgliedstaaten, die bis zum 17. Oktober 2024 stattge-funden haben muss. Bis zum 17. Oktober 2027 muss die Richtlinie in ihrer Anwendung erstmals überprüft und gegebenenfalls angepasst werden. NIS 1 aus 2016 wird mit Wirkung zum 18. Oktober 2024 aufgehoben. Das Impact-Assessment der EU-Kommission zu NIS 2 hat ergeben, dass Einrichtungen, die unter die neue Richt-linie fallen, mit einer Erhöhung ihres Cybersicherheits-budgets um rund 22 Prozent zu rechnen haben werden, wohingegen Unternehmen, die bereits Compliance-Maßnahmen aufgrund von NIS 1 haben treffen müssen, lediglich mit einem Kostenanstieg von rund 12 Prozent zu rechnen haben. Wer sich bereits intensiv mit dem deutschen IT-SiG 2.0 beschäftigt hat, wird den neuen europäischen Rege-lungskatalog zu kritischer Cybersicherheit nur wenig überraschend finden, denn NIS 2 zeichnet sich in erster Linie durch seine erhebliche Ausdehnung des Anwen-dungsbereichs, durch die europäische Vereinheitlichung und verbesserte EU-weite Vernetzung aus, außerdem

BUCHBESPRECHUNG IT- und Datenschutz- Compliance für Unternehmen Das als 2. Auflage vorliegende Werk „IT- und Datenschutz- Compliance für Unternehmen“ stellt die überarbeitete Neuauflage des von Degen/Deister begründeten Handbuchs „Com- puter- und Internetrecht“ dar. Die Begründer und ihre Autoren, allesamt Rechtsanwälte, wollen hiermit einen „EDV-Kompass“ für die erfolgreiche Realisierung typischer und agiler IT-Projekte geben. Hierbei erläutern sie aus Unternehmensperspektive anhand verschie- dener Use-Case-Abläufe, welche unterschied- lichen Compliance-Aspekte, also rechtliche Rahmenbedingungen, in diesen Projekten eine tragende Rolle spielen können. Dabei sind stets auch IT- und datenschutzrechtli- che Anforderungen sicherzustellen. Insbe- sondere die datenschutzrechtlichen Aspekte sollen Schwerpunkte darstellen – allerdings werden in der Regel die datenschutzrechtli- chen Problemstellungen angerissen, aber nicht abschließend anhand des aktuellen Standes des Erscheinungsjahres 2022 gelöst. Insge- samt ergibt sich zu den einzelnen „Use-Cases“ ein anwenderorientierter Überblick über die unterschiedlichen Verantwortungs- und Haf- tungsbereiche. 64 IT-SICHERHEIT_1/2023 Es werden folgende Szenarien betrachtet: Regulatorischer Rahmen mit IT-Sicherheits- und Datenschutz-Glossar (Teil 1) IT-Sicherheit (Teil 2) Cross-border Datentransfer (Teil 3) Digitalisierungsprojekte: Digitale Umstruktu- rierung im Unternehmen (Teil 4) Digitalisierung, digitaler Vertrieb und E-Commerce-Projekte (Teil 5) Web-Projekte: Website-Erstellung und Relaunch (Teil 6) Social-Media-Projekte: Arbeit und Social Media (Teil 7) Digitaler Vertrieb, Nachverfolgung, Services über IoT, Mobilität (Teil 8) Agile Projekte, F&E, Srum & Datenschutz (Teil 9) Cloud- und SaaS-Verträge (Teil 10) Aspekte des Urheberrechts bei Medien- Projektumsetzungen mit fremden Texten, Bildern u.a. (Teil 11) IT-Beschaffung/Einkauf (Teil 12) IT-Konfliktmanagement (Teil 13) IT-Sicherheitsaspekte bei der elektronischen Kommunikation, Authentizität, Identität und Beweiswerterhaltung mit kryptografischen Verfahren (Teil 14) Degen/Deister (Hrsg.) IT- und Datenschutz- Compliance für Unternehmen 2. Auflage 2022, 430 Seiten, 128,- € Boorberg ISBN 978-3-415-05184-3 Auch wenn der Verlag als Zielgruppe vornehm- lich Datenschutzbeauftragte adressiert, wendet sich das Buch aufgrund der breiten Darstellun- gen unterschiedlicher rechtlicher Themen an von der Thematik betroffene Verantwortliche aus Management, IT und Fachbereichen. n THOMAS MÜTHLEIN ist Geschäftsführer der DMC Datenschutz Management & Consulting GmbH.

. m o c . e b o d a k c o t s - f f o k n e d o r o G © Verantwortliche für IT-Sicherheit direkt erreichen ▪ Newsletter ▪ Content- Marketing ▪ Webinare & Webkonferenzen Schreiben Sie uns: wolfgang.scharf@datakontext.com www.itsicherheit-online.com | www.kes.info

RECHT Datenschützer und Microsoft 365 ÜBERS ZIEL HINAUS S treng genommen handelt es sich bei der Festle- gung um die reine Kenntnisnahme und Zusam- menfassung einer Bewertung der Arbeitsgruppe Microsoft-Onlinedienste (AG MS-Onlinedienste). Die AG wurde im September 2020 ins Leben gerufen, um Gespräche mit dem Konzern aufzunehmen und eine Nachbesserung des datenschutzrechtlichen Niveaus seiner Onlinedienste zu erreichen. Der Einberufung der Arbeitsgruppe war eine ablehnende Bewertung des Ar- beitskreises Verwaltung (AK Verwaltung) zur Möglich- keit datenschutzkonformer Nutzung von MS 365 durch Unternehmenskunden vorausgegangen. Bei den Arbeits- kreisen handelt es um interne Gremien der DSK, die die- se in ihrer Arbeit unterstützen und ihre Entscheidungen vorbereiten. Auffällig ist, dass die DSK die Bewertung des AK Verwaltung aus dem Jahr 2020 noch zustimmend zur Kenntnis genommen hatte. Welche Tragweite der bloßen Kenntnisnahme im November 2022 beizumessen ist, bleibt insofern zunächst unklar. In jedem Fall ist der Bericht gegenüber hiesigen Verantwortlichen nicht bin- dend und stellt deshalb auch keine Verbotsverfügung für MS 365 dar. Da hinsichtlich MS 365 bisher keine höchst- richterliche Klärung stattgefunden hat, besteht jedoch das Risiko behördlicher Sanktionierung. PRÜFAUFTRAG UND ADRESSAT DES ABSCHLUSSBERICHTS Die Festlegung der DSK vom 24. November 2022 ist keine umfassende oder abschließende Gesamtbewertung der Datenschutzkonformität des Produkts MS 365. Sie lässt das potenziell einschlägige vertragliche Gesamtwerk Microsofts außen vor. Auch technische Untersuchungen, Einstellungen und Konfigurationen oder eine Prüfung der datenschutzrechtlichen Anforderungen aus dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) beziehungsweise Fragen des Telekommunika- tionsrechts finden ausdrücklich nicht statt. Inhaltlich ist 66 66 IT-SICHERHEIT_1/2023 IT-SICHERHEIT_1/2023 Das Gremium der unabhängigen Datenschutzbehörden des Bundes und der Länder, die Daten schutzkonferenz (DSK), kam im November 2022 zu dem Ergebnis, dass eine datenschutzkonforme Nutzung des Produktes Microsoft 365 (MS 365) nicht möglich ist. Bereits im Jahr 2020 hatte die Mehrheit der Datenschützer Microsoft eine Absage erteilt. Mit dem Datenschutznachtrag (engl. „Data Protection Addendum“ – DPA) vom 15. September 2022 wollte das Unternehmen die bestehenden Bedenken aus der Welt schaffen. Infolge der neuerlichen Beanstandung hat sich Microsoft nun nicht nur öffentlich entschieden zur Wehr gesetzt, sondern auch sein DPA zum 1. Januar 2023 abermals neu aufgelegt. Die rasanten und inhaltlich komplexen Entwicklungen stellen Unternehmen, die MS 365 weiter nutzen möchten, vor He raus-forderungen.

die Bewertung zudem auf die bereits im Jahr 2020 gerüg- ten vertraglichen Mängel beschränkt. Die Grundfrage der Prüfung lautet auch 2022 ausschließlich, ob MS 365 in Hinblick auf den Auftragsverarbeitungsvertrag von den Verantwortlichen rechtmäßig genutzt werden kann. Deshalb steht allein die Erfüllung der Pflichten aus Ar- tikel 28 der Datenschutzgrundverordnung (DSGVO) im Rahmen der Auftragsverarbeitung durch Microsoft auf dem Prüfstand. Wie viele andere Tech-Giganten hat Microsoft seine eu- ropäische Hauptniederlassung im irischen Dublin. Da im Rahmen von MS 365 grenzüberschreitende Verarbeitun- gen durchgeführt werden, ist nach Art. 56 Abs. 1 DSGVO die irische Datenschutzbehörde federführend für Fragen rund um die Datenschutzkonformität des Produkts. Trotzdem erfolgte weder mit der irischen noch mit an- deren europäischen Aufsichtsbehörden eine gegenseitige Abstimmung. Die Bewertung adressiert in erster Linie diejenigen, die MS 365 im Rahmen ihrer gewerblichen Tätigkeit verwenden. Aus Sicht der DSK liegt der Ball jedoch in vielen Punkten bei Microsoft. Die datenschutz- konforme Nutzung von MS 365 ist aus Sicht der Daten- schützer nur möglich, wenn der Konzern selbst Nach- besserungen vornimmt. IN WELCHEM VERHÄLTNIS STEHEN DIE FESTLEGUNG UND DER NEUE DATENSCHUTZNACHTRAG? Die Festlegung der DSK vom 24. November 2022 ist ge- genständlich ausschließlich auf das „Data Protection Addendum“ (DPA) vom 15. September 2022 beschränkt. Soweit dies von den Unternehmen vereinbart wird und sich die streitigen Passagen geändert haben, entzieht das neue DPA der durch die Datenschützer vorgebrachten Kritik formal die Angriffsfläche. Im DPA vom 1. Januar 2023 kommt Microsoft der AG MS-Onlinedienste mit verschiedenen inhaltlichen Änderungen entgegen. So gilt das neue DPA im Falle vertraglicher Widersprüche nicht nur für Volumen-Lizenzverträge, sondern aus- drücklich für sämtliche in Betracht kommende Verein- barungen über Produkte oder Dienste von Microsoft. Außerdem verpflichtet sich das Unternehmen im An- wendungsbereich des europäischen Datenschutzrechts – insbesondere auch bei nicht als „Core-Onlinediensten“ bezeichneten Anwendungen – zur Implementierung und Bereitstellung der Sicherheitsmaßnahmen nach Anhang II der Standard Contractual Clauses (SCC). Damit wird in Bezug auf vorher gerügte Umsetzungsmängel bei den technischen und organisatorischen Maßnahmen (TOM) nachgebessert. Mit Blick auf rechtliche und politische Brisanz wird im Folgenden besonders auf die festgestell- ten Mängel bezüglich der Rechenschaftspflicht und des Drittstaatentransfers eingegangen. RECHT Die datenschutzkonforme Nutzung von MS 365 ist aus Sicht der Datenschützer nur möglich, wenn der Konzern selbst Nachbesse- rungen vornimmt. KRITIKPUNKT: RECHENSCHAFTSPFLICHT NACH ART. 5 ABS. 2 DSGVO Die Hauptkritik der Datenschützer lautet, dass auf Grundlage des DPA vom 15. September 2022 der erfor- derliche Nachweis rechtmäßiger Verarbeitung durch MS 365 nicht erbracht werden könne. Hiesige Verant- wortliche könnten deshalb die sie treffende Rechen- schaftspflicht nach Art. 5 Abs. 2 DSGVO nicht erfüllen. In der Konsequenz sei eine datenschutzkonforme Nutzung des Produktes MS 365 nicht möglich. Im Wesentlichen beruht dies aus Sicht der Datenschützer auf einer unzu- reichenden Konkretisierung des Vertragsgegenstands und fehlender Offenlegung eigener Verarbeitungszwecke seitens Microsoft. 1. Festlegung des vertraglichen Gegenstands So erfolge aus Sicht der Datenschützer keine hinrei- chend detaillierte Dokumentation durch Microsoft, sodass keine Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO möglich sei. Deshalb seien dringend vertragliche Nachbesserungen vorzunehmen. Als solche werden beispielsweise die kundenspezifische Konkreti- sierung nach Anhang II der SCC oder die formgerechte Einbeziehung des Verzeichnisses der Verarbeitungstätig- keiten (VVT) des Verantwortlichen vorgeschlagen. Dem kann man vertretbar entgegenhalten, dass die DSK den Begriff der Rechenschaftspflicht im Hinblick auf das Cloud-Umfeld nicht sachgerecht auslegt. Als Cloud- Dienstleister ist Microsoft in alle nur möglichen Verar- beitungen des Verwenders involviert. Die potenzielle Betroffenheit aller Verarbeitungsmöglichkeiten macht eine Dokumentation im geforderten Umfang unmöglich. Auch die angeratene Einbeziehung des VVT oder ander- weitiger Konkretisierungen seitens des Verwenders muss hinsichtlich seiner Praxistauglichkeit kritisch reflektiert IT-SICHERHEIT_1/2023 67

RECHT Die Datenübermittlung in die USA birgt aus Sicht der AG MS-Onlinedienste ein nicht haltbares Restrisiko des Zu- griffs durch die US-Behörden. werden. Die Festlegung des vertraglichen Gegenstands bildet keinen Selbstzweck. Der DSK zufolge müsste Microsoft die VVT seiner Kunden nicht nur im Einzelfall einsehen, sondern sich auch inhaltlich damit auseinan- dersetzen. Bei einem standardisierten Massenprodukt dürfte dies praktisch kaum zu bewältigen sein. 2. Eigene Verantwortlichkeit Microsofts Kern der Auseinandersetzung um die eigene Verantwort- lichkeit Microsofts ist die Erstellung von aggregierten Statistiken aus Kundendaten, etwa zur Abrechnungs- und Kontoverwaltung. Auch die notwendige Anonymi- sierung der verwendeten Daten stellt aus Sicht der DSK einen eigenen Verarbeitungszweck dar und sei somit eigens zu rechtfertigen. Das DPA sei dahingehend nicht hinreichend konkret und berge die Gefahr, dass sich Microsoft umfassende Verarbeitungen zu eigenen Zwe- cken gewissermaßen „offenhalte“. Microsoft widerspricht dem und verweist auf die Not- wendigkeit solcher Verarbeitungen zur Bereitstellung seiner Volumen-Lizenzverträge. Entgegen der Auffas- sung der Aufsichtsbehörden könnten die genannten Verarbeitungstätigkeiten als Annex zur Auftragsverar- beitung verstanden und durch den Kunden autorisiert werden. Mit Blick auf die rechtliche Würdigung handelt es sich um einen praktisch nicht auflösbaren Dissens. Dass dieser Streitpunkt nur übergeordnet – etwa durch die Herbeiführung einer gerichtlichen Entscheidung oder auf europäischer Ebene – geklärt werden kann, zeigt auch ein Blick in die Geschichte. Die Berücksichti- gung der eigenen Geschäftstätigkeiten, als vertraglichem Unterpunkt des DPA, geht auf die Kritik des niederlän- dischen Justizministeriums aus dem Jahr 2018 zurück. Die Ansicht der DSK berührt somit den nicht unwesent- lichen Aspekt der Auslegungsunterschiede zwischen den EU-Mitgliedstaaten. Nur durch die Festlegung einer 68 IT-SICHERHEIT_1/2023 europaweit harmonisierten Auslegung der einschlägi- gen DSGVO-Regeln können eine einheitliche Linie zu MS 365 gefunden und Wettbewerbsnachteile vermieden werden. Unabhängig davon sollte der Umfang der durch Microsoft stattfindenden Verarbeitungen nach dem Grundsatz „Privacy by Default“ mittels einer Anpassung der MS-365-Einstellungen beschränkt werden. 3. Was ändert sich durch das neue DPA? Das neue DPA des Unternehmens begegnet der Kritik durch die Einführung von Unterstützungsleistungen. In diesem verpflichtet sich Microsoft ausdrücklich zum Support des Kunden bei der Erfüllung seiner Rechen- schaftspflicht. Durch das DPA und die Bereitstellung von Produktdokumentationen soll eine bedarfsgemäße und einzelfallbezogene Unterstützung gewährleistet werden. Mit Blick auf die umfassenden Produktdokumentatio- nen wird so ein durchaus praxisgerechter und auf Über- sichtlichkeit zielender Lösungsansatz geboten. Ob die Aufsichtsbehörden ihre Kritik dadurch entkräftet sehen, bleibt jedoch abzuwarten. Wie die Datenschützer betont haben, müssen „Verantwortliche (…) jederzeit in der Lage sein, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen“. Dass die verlangten vollum- fänglichen Offenlegungen im Einzelfall von der prakti- schen Unterstützung Microsofts abhängen, könnte des- halb weiterhin ein Problem sein. KRITIKPUNKT: DRITTSTAATENTRANSFER Die Datenübermittlung in die USA birgt aus Sicht der AG MS-Onlinedienste ein nicht haltbares Restrisiko des Zugriffs durch die US-Behörden. Mit Blick auf die häufig nicht mögliche Verschlüsselung der „data in use“ ver- treten die Datenschützer einen restriktiven Null-Risiko- Ansatz. In der Praxis hat sich stattdessen jedoch überwiegend ein risikobasierter Ansatz mit der Gewährleistung um- fassender Garantien durchgesetzt. Das neue DPA begeg- net diesen Bedenken mit der Einführung des „EU Data Boundary Programs“. Für Kunden des öffentlichen Sek- tors und Unternehmenskunden soll so schrittweise nicht nur die Speicherung, sondern auch die Verarbeitung ihrer Daten innerhalb der EU ermöglicht und vertraglich vereinbart werden. Mit der Änderung zum 1. Januar 2023 betrifft dies zunächst nur die Speicherung und Verar- beitung der Kundendaten. In der zweiten und dritten Phase des Rollouts sollen schließlich auch die Verarbei- tung personenbezogener Daten, etwa aus Logdateien und bei der Inanspruchnahme von Supportdiensten, in diesen Raum verlegt werden. Die Drittstaatenproblema- tik wird durch den Status quo zunächst nicht vollstän- dig aufgelöst. Diese dürfte sich jedoch mit dem neuen

RECHT Datenschutzabkommen (Trans Atlantic Data Privacy Framework – DPF) und dem alsbald zu erwartenden Angemessenheitsbeschluss voraussichtlich ohnehin bald erledigen. WELCHE KRITIK HAT DIE BEWER- TUNG HERVORGERUFEN? Inhaltlich ist die Bewertung der AG MS-Onlinedienste nicht ohne Resonanz geblieben und hat unter anderem auch in Fachkreisen viel Kritik erfahren. Aus juristischer Sicht lässt sich insbesondere die angewandte Methodik bemängeln. Bei der Auslegung unbestimmter Begriffe, wie beispielsweise der Rechenschaftspflicht, wird die konkrete Art des Geschäftsmodells kaum berücksichtigt. Auch mit gegenläufigen Ansichten setzen sich die Auf- sichtsbehörden nicht ausreichend auseinander. Recht- lich scheint es sich die Arbeitsgruppe dadurch teilweise zu einfach gemacht zu haben. Die Kritik der DSK ist in dieser Form zwar im Allgemei- nen erwartet worden, die unzureichende Berücksichti- gung der Eigenheiten der technischen Funktionsweise von Cloud-Diensten und des Geschäftsmodells seitens der Datenschützer ist dennoch überraschend. Wesentli- che Entwicklungen wie die erwarteten Neuerungen beim Drittstaatentransfer blieben zunächst unberücksichtigt. Auch der Zuschnitt auf vertragliche und rechtliche Ein- zelheiten ist wenig sachdienlich. Besonders mit Blick auf die Diskussion um die Geschäftstätigkeiten Microsofts hat sich der Diskurs auf teils rein dogmatische oder aka- demische Aspekte verdichtet. Ob dies einem höheren Datenschutzniveau dienlich ist, darf bezweifelt werden. Auch auf Handreichungen oder Hilfestellungen gegen- über hiesigen Verantwortlichen wurde verzichtet, wo- durch praktisch relevante Gesichtspunkte offengelassen wurden und eine konstruktive Debatte erschwert wird. Der teils erhobene Vorwurf einer gewissen Technikfeind- lichkeit der DSK dürfte dennoch zu weit gehen. Dass MS 365 aus der deutschen Unternehmenslandschaft praktisch kaum wegdenkbar ist, ist den in der DSK ver- tretenen Experten bewusst. Im Ergebnis bleibt viel- mehr der Eindruck, dass Microsoft durch die geschür- te Rechtsunsicherheit gezielt unter Zugzwang gesetzt werden soll. WAS KÖNNEN VERANTWORTLICHE TUN? Für die Verantwortlichen vor Ort verbleibt die Frage, wie das Restrisiko gehandhabt und mitigiert werden kann. Zentrales Anliegen der DSK ist, dass der Datenschutz als Ganzes und die Belange der Betroffenen ernst genom- men werden. Im ersten Schritt sollten sich diejenigen Unternehmen, die weiter auf eine Nutzung von MS 365 IT-SICHERHEIT_1/2023 69 m o e.c b o d k.a c er - sto H. Bra u

RECHT Es sprechen gute Gründe für die Möglichkeit einer daten- schutzkonformen Nutzung von MS 365. Wichtig ist, dass Unternehmen die Risiken der Nutzung ernst nehmen und die Chancen datenschutz- freundlicher Einstellungen und einer rechtzeitigen Daten- schutz-Folgenabschätzung nutzen. bauen wollen, bewusst machen, an welchen Stellen da- tenschutzrechtliche Fallstricke lauern. Die im DSK-Pa- pier gerügten Punkte, insbesondere die Tragweite der eigenen Rechenschaftspflicht, sollten verstanden und ernst genommen werden. In Bezug auf die als strittig markierten Zusammenhänge sollte eine detaillierte und unternehmensspezifische Auseinandersetzung – bei- spielsweise im Rahmen einer Datenschutz-Folgenab- schätzung (DSFA) – stattfinden. Grundsätzlich sollte die Dokumentation der stattfinden- den Verarbeitungen im Auftrag des Kunden bestmöglich verwirklicht werden. Deswegen müssen Unternehmen ihre Dokumentationen – beispielsweise das Verzeichnis der Verarbeitungstätigkeiten (VVT) – prüfen und gege- benenfalls nachrüsten. Auch sollten sie die über MS 365 stattfindenden Verarbeitungen prüfen, spezifizieren und bei Bedarf durch zusätzliche Maßnahmen regeln. Praktisch lässt sich das beispielsweise anhand interner Leitlinien zur Verwendung der durch MS 365 gebotenen Produkte umsetzen. Darüber hinaus sollten Unterneh- men ihre individuellen Nutzereinstellungen sowie die globalen Admin-Center-Einstellungen prüfen und an- passen. Durch die Deaktivierung bestimmter Voreinstel- lungen lässt sich der Umfang der Verarbeitungen durch Microsoft beschränken. 70 IT-SICHERHEIT_1/2023 FAZIT Die Festlegung der DSK hat die anhaltende Rechtsunsi- cherheit bezüglich der Verwendung von MS 365 durch den öffentlichen Sektor und Unternehmenskunden weiter verschärft. Die Argumentation der Datenschützer kann dabei jedoch hinsichtlich verschiedener Aspekte kritisiert werden. Denn es sprechen gute Gründe für die Möglichkeit einer datenschutzkonformen Nutzung von MS 365. Wichtig ist, dass Unternehmen die Risiken der Nutzung ernst nehmen und die Chancen datenschutz- freundlicher Einstellungen und einer rechtzeitigen Datenschutz-Folgenabschätzung nutzen. n Literatur Tobias Weidemann, Datenschutz: Microsoft 365 bleibt für Unternehmen ein hohes Risiko, t3n, https://t3n.de/news/datenschutz-microsoft-office- 365-risiko-1518125/ Reusch Rechtsanwaltsgesellschaft mbH, Microsoft 365: Mehr Datenschutz durch das EU Data Boundary!, www.reuschlaw.de/news/microsoft-365- mehr-datenschutz-durch-das-eu-data-boundary/ Datenschutzkonferenz, AG DSK „Microsoft-Onlinedienste“ – Zusammenfassung der Bewertung der aktuellen Vereinbarung zur Auftragsverarbeitung, https://datenschutzkonferenz-online.de/media/ dskb/2022_24_11_festlegung_MS365_zusammenfassung.pdf Christina Kiefer, Stefan Hessel, Microsoft 365: Microsoft bewegt sich, die Datenschützer mauern unverhältnismäßig, heise online, www.heise. de/meinung/Microsoft-365-Microsoft-bewegt-sich-die-Datenschuetzer- mauern-unverhaeltnismaessig-7370920.html SIMONE ROSENTHAL ist Partnerin der Technologiekanzlei Schür- mann Rosenthal Dreyer Rechtsanwälte und spezialisiert auf das IT-, Datenschutz- sowie Vertragsrecht. IT- und Lizenzverträge gehö- ren zu ihrem Spezialgebiet. Entsprechend führt sie für ihre Mandanten Vertragsver- handlungen und -abschlüsse auf nationa- ler und internationaler Ebene durch. Darüber hinaus betreut sie regelmäßig Digitalprojekte in der Querschnittsmaterie des IT- und Datenschutzrechts. www.srd-rechtsanwaelte.de Foto: Kanzlei SRD

AUS DER FORSCHUNG Bedrohungen und Schutzmaßnahmen ANGRIFF AUF DIE KÜNSTLICHE INTELLIGENZ Künstliche Intelligenz ermöglicht es, komplexe Zusammenhänge und Muster aus großen Datenmengen zu extrahieren und in einem statistischen Modell zu erfassen. Anschließend lassen sich Aussagen über zukünftig auftretende Daten treffen. Mit dem zunehmenden Einsatz von künstlicher Intelligenz rücken solche Systeme auch immer mehr ins Visier von Cyberkriminellen. Unser Artikel beschreibt umfassend Angriffsszenarien und mögliche Abwehrmaßnahmen. Die in den letzten Jahrzehnten gestiegene Rechenleistung hat die praktische Anwendung der künstlichen Intelligenz (KI) begünstigt. Auch erkennt man zunehmend das Potenzi- al der Technologie. So nutzen heute autono- me Fahrzeuge eine KI, um Verkehrsschilder zu erfassen, Sprachassistenten verwenden sie für die Interpretation natürlicher Sprache und die Cybersicherheitsindustrie setzt sie für die De- tektion von Cyberangriffen ein. Auch die zuletzt aufgekommene Diskussion um den Chatbot 72 IT-SICHERHEIT_1/2023 ChatGPT zeigt die Leistungsfähigkeit und zudem die daraus resultierenden gesellschaftlichen Fol- gen der KI. Für das Training eines KI-Modells werden Trai- ningsdaten benötigt. Beim überwachten Lernen (engl. supervised learning) ist zusätzlich jedem Trainingsbeispiel ein Label zugeordnet, das der KI das gewünschte beziehungsweise erwartete Ergebnis zeigt. Basierend auf diesem Datensatz versucht die KI allgemeine Muster zu erfassen, mit denen sie auch neue Daten dem korrekten Label zuordnen kann. Mit neuen Daten sind hierbei Eingaben gemeint, die nicht in den Trainings- daten enthalten sind. Zum Beispiel besteht der Trainingsdatensatz für einen Spamfilter aus E-Mails und jeder E-Mail könnte entweder ein Label „spam” oder „normal” zugeordnet wer- den. Der trainierte Spamfilter wird dann ein- gesetzt, um neue E-Mails zu klassifizieren. Das zugrunde liegende Konzept der Daten, das gelernt werden soll, ist in der Regel jedoch unbekannt. In der Praxis steht nur eine empiri-

munikationskanal und fehlender Integritäts- überprüfung auf der Empfängerseite. Erstellung eines Trainingsdatensatzes mit fal- schen Labels, der anschließend öffentlich zur Verfügung gestellt wird. Hierbei wird darauf spekuliert, dass automatisierte Systeme diese Daten sammeln und sie ohne Überprüfung an ein KI-Modell zum Trainieren weitergeleitet werden; oder dass beim manuellen Bezug der Daten durch einen Menschen die fehlerhaften Labels nicht auffallen. Manipulation von Daten und/oder Labels eines existierenden Datensatzes unter Aus- nutzung von unzureichender Zugriffskontrolle und Authentifizierung oder Sicherheitslücken in Software. Kompromittierung eines Datenanbieters oder Label-Erstellers. Unterwanderung eines Crowdsourcing-An- bieters. Im Fall von KI-Modellen zur Detektion von Cyberangriffen hat ein Angreifer (teilweise) Kontrolle über die Trainingsdaten, weil der Angreifer die Entität darstellt, deren Verhalten gelernt werden soll. SCHUTZ VOR POISONING- ANGRIFFEN Um eine KI vor Poisoning-Angriffen zu schützen, müssen die Trainingsdaten vor unautorisierter Veränderung gesichert werden. Da diese Daten . m o c . e b o d a k c o t s - o d u t s - k c o t s o r P i | . m o c . e b o d a k c o t s - k a a s I r o t k V i : d l i B Abbildung 1: Beispielhafte KI-Pipeline mit potenziellen Angriffsﬂächen IT-SICHERHEIT_1/2023 73 AUS DER FORSCHUNG Durch Veränderung einer Eingabe (unter Nutzung des gesamten Eingaberaums) lässt sich die Position im Eigenschaftsraum ver-schieben, sodass ein KI-Modell diese Eingabe falsch klassifiziert. Bei der Interaktion mit einem KI-Modell kann ein Angreifer Eingabe-Ausgabe-Paare sam-meln, die Aufschluss über die Funktionsweise und die verwendeten Trainingsdaten geben können.In Abbildung 1 sind der Aufbau einer KI-Pipeline und potenziell angreifbare Komponenten darge-stellt. Im Folgenden stellen wir die gängigsten Angriffsvektoren auf KI-Modelle vor, die bei na-hezu allen KI-basierten Anwendungen berück-sichtigt werden sollten.POISONING-ANGRIFFBei einem Poisoning-Angriff manipuliert ein Angreifer die Trainingsdaten, um die Leistung einer KI zu verschlechtern. Schon die Manipu-lation weniger Daten kann einen weitreichen-den Einfluss auf eine KI haben [3]. Zum Beispiel könnte ein Angreifer die Labels von Verkehrs-schildern ändern, sodass das KI-Modell häufiger falsche Klassifizierungen ausgibt.Die Voraussetzung für einen Poisoning-Angriff ist ein direkter oder indirekter Zugriff auf die Daten, die ein KI-Modell für das Training verwendet. Das lässt sich auf folgende Arten bewerkstelligen: Manipulation eines Trainingsdatensatzes bei der Übertragung über einen unsicheren Kom-sche Verteilung (Stichprobe) der Grundwahrheit zur Verfügung. Die Herausforderung besteht nun darin, einen Trainingsdatensatz zusammen-zustellen, der repräsentativ für die Grundwahr-heit ist. Bei vielen Anwendungen sind nicht alle Prädiktoren messbar, sodass ein KI-Modell im Allgemeinen einen nicht reduzierbaren Fehler enthält [1]. Jedoch müssen KI-Modelle nicht per-fekt sein, um nützlich zu sein. Entscheidend ist ein angemessener Kompromiss zwischen Nut-zen, Kosten und Risiko.Mit dem Einsatz von KI gehen aber auch Gefah-ren einher: Die Konsequenzen einer Fehlent-scheidung können sich je nach Anwendungsfall von finanziellen Schäden bis hin zu tödlichen Folgen erstrecken. Gleichzeitig ist es ein offenes Problem, die korrekte Funktionsweise eines KI-Modells sowie die zuverlässige Erkennung von Fehlern nachzuweisen. Eine KI ist meistens fehlerbehaftet, sodass es immer ein Restrisiko von Fehlentscheidungen gibt, mit dem man um-gehen muss. Das Design eines guten KI-Modells erfordert daher zahlreiche wohlüberlegte Ent-scheidungen und Prozesse.Wie die meisten IT-Systeme weisen auch KI-Modelle konzeptionelle Schwachstellen auf, die ein bösartiger Akteur ausnutzen kann, um ein KI-Modell zu manipulieren und somit Entschei-dungen zu beeinflussen.ANGRIFFE AUF KI-MODELLEIn den letzten Jahren haben sich zahlreiche Stu-dien mit den Schwachstellen von KI-Modellen befasst und mögliche Angriffe gezeigt. Auch sind bereits viele Vorfälle im Zusammenhang mit KI-Technologie dokumentiert [2].Unter Laborbedingungen entwickelte und evalu-ierte KI-Modelle weisen bei der produktiven An-wendung oft Schwächen auf. So können in der Praxis Daten von einem Angreifer stammen – es ist daher unrealistisch anzunehmen, dass Daten von externen Quellen vertrauenswürdig sind. Ein realistisches Angriffsszenario sollte die Existenz eines Angreifers annehmen, der Daten mani-pulieren und mit einem KI-Modell interagieren kann. In diesem Modell sind folgende Bedrohun-gen zu berücksichtigen: Durch Veränderung der Trainingsdaten kann ein Angreifer Einfluss auf den Entscheidungs-prozess eines KI-Modells nehmen und so Fehlentscheidungen verursachen.

ORAKEL Mit dem Begriff Orakel ist ein System gemeint, dass es ermöglicht Infor- mationen herauszuﬁnden, welche eigentlich nicht direkt zugänglich sind. Zum Beispiel wird angenom- men, dass die interne Funktions- weise eines Spamﬁlters für einen Angreifer unbekannt ist. Ansonsten könnte der Spamﬁlter trivial um- gangen werden. In der Praxis kann ein Angreifer jedoch E-Mails ver- senden (das Orakel befragen) und sehen, welche von diesen E-Mails im Spamordner landen (das Orakel ant- wortet). Das ermöglicht einem An- greifer abzuleiten, welchen Einﬂuss bestimmte Wörter auf die Entschei- dung des Spamﬁlters haben. 74 IT-SICHERHEIT_1/2023 häufig aus externen Quellen bezogen werden, sollte zusätzlich eine Beurteilung der Qualität und der Vertrauenswürdigkeit der Trainingsda-ten erfolgen. Die folgenden Punkte beschreiben mögliche Schutzmaßnahmen: Die Trainingsdaten sollten über einen sicheren Kommunikationskanal übertragen werden. Zusätzlich sollte die Integrität eines Trainings-datensatzes überprüft werden. Trainingsdaten sollten nicht wahllos ge-sammelt werden, sondern von vertrauens-würdigen Datenquellen bezogen werden. Außerdem sollte auch überprüft werden, ob die Daten geeignet und repräsentativ für die zu lernende Aufgabe sind. Idealerweise steht ein Datasheet [4] zur Verfügung, welches den Datensatz dokumentiert. Trainingsdaten sollten vor Manipulationen geschützt werden. Hierzu sollte sowohl ein Zugriffsmanagement als auch ein geeigne-tes Authentifizierungsverfahren implemen-tiert werden. Auch sollten sicherheitskritische Software-Patches schnell angewendet wer-den. Eine Versionierung der Trainingsdaten ermöglicht es, nach einem Vorfall auf einen vertrauenswürdigen Datensatz zurückzugrei-fen. Eine Protokollierung von Änderungen der Trainingsdaten erleichtert die Untersuchung eines Vorfalls. Beim Bezug von Daten oder Labels aus exter-nen Quellen sowie bei der Verwendung und Einbindung von externen Ressourcen in die KI-Pipeline sollten Risiken in der KI-Lieferket-te identifiziert und eingeschätzt werden. Bevor ein KI-Modell produktiv eingesetzt wird, sollte dessen Leistung auf einem Testda-tensatz (Evaluationsdatensatz) getestet wer-den. Dieser Testdatensatz sollte die Grund-wahrheit möglichst gut repräsentieren und darf nicht im Training verwendet worden sein. Für die Modell-Evaluation sind zum Anwen-dungsfall passende Metriken auszuwählen und zu messen. Diese Metriken sollten auch kontinuierlich während des Modelleinsatzes beobachtet werden, um einen Leistungsabfall des KI-Modells erkennen zu können.Ein Leistungsabfall kann ein Indikator für einen Poisoning-Angriff sein und einen Prozess zur Untersuchung des Trainingsdatensatzes sowie der KI-Lieferkette anstoßen. EVASION-ANGRIFFZiel eines Evasion-Angriffs ist die Erstellung einer Eingabe, die eine falsche oder spezifische Entscheidung verursacht. Eine solche Eingabe wird als „Adversarial Example“ [5] bezeichnet. Zum Beispiel könnte ein Angreifer eine spezielle Brille herstellen und tragen, um sich gegenüber einem Gesichtserkennungssystem als eine an-dere Person auszugeben [6].Voraussetzungen zur Durchführung eines sol-chen Angriffs sind grundlegende Informationen über und (in)direkter Zugriff auf ein KI-Modell. In der Regel sind einem Angreifer grobe Informa-tionen über die Aufgabe eines KI-Modells, die Repräsentation von Eigenschaften und die Art der Trainingsdaten bekannt [7]. Der Zugriff auf ein KI-Modell kann je nach Anwendungsszenario unterschiedlich gestaltet sein: Wenn ein KI-Modell öffentlich verfügbar ist, von einem Modell-Anbieter an mehrere Kun-den verkauft wird oder mit einem Cyberan-griff gestohlen werden kann, hat ein Angreifer direkten Zugriff auf das Ziel-Modell und kann Adversarial Examples lokal testen. Es steht ein Orakel (vgl. Infobox) zur Verfü-gung, sodass ein Angreifer Anfragen an die KI senden kann. In diesem Fall hat er indirekten Zugriff auf das Ziel-Modell und muss zum Testen von Adversarial Examples das Orakel nutzen. Die Antworten des Orakels kann ein Angreifer sammeln und beliebig verwenden, zum Beispiel um seine Strategie anzupassen. Der Angreifer hat weder direkten noch indirek-ten Zugriff auf das Ziel-Modell und nur einige sehr wenige Versuche, eine Fehlentscheidung zu verursachen, zum Beispiel beim Entsperren eines gestohlenen Smartphones mit einem Adversarial Example (Gesichtserkennung).Zusätzlich besteht oftmals die Möglichkeit, mit öffentlichen Datensätzen ein ähnliches KI-Mo-dell zu trainieren und dieses zur Vorbereitung eines Adversarial Example zu verwenden. Zu diesem Zweck wird die sogenannte Übertrag-barkeitseigenschaft (engl. transferability pro-perty) verwendet [8]. In der KI-Domäne besagt diese Eigenschaft, dass ein Adversarial Example, das bei einem KI-Modell funktioniert, mit hoher Wahrscheinlichkeit auch bei einem anderen KI-Modell funktionieren wird, wenn beide KI-Mo-delle auf die gleiche Aufgabe trainiert wurden. AUS DER FORSCHUNGEffektiv ist das mit einem direkten Zugriff auf das Ziel-Modell gleichzusetzen.SCHUTZ VOR EVASION-ANGRIFFENDie Annahme, dass durch Geheimhaltung von Details über die Implementierung und des Trai-nings eines KI-Modells Angriffe erheblich er-schwert werden, ist fraglich. Denn schon durch Kenntnis der Aufgabe eines KI-Modells, lassen sich Informationen wie Modell-Architektur, Trai-ningsalgorithmus, Art der Trainingsdaten und die Eigenschaftsrepräsentation (zumindest unge-fähr) ableiten. Des Weiteren steht für die meis-ten Anwendungsszenarien ein entsprechender Trainingsdatensatz öffentlich zur Verfügung. In der Praxis hat ein Angreifer oftmals auch Zugriff auf eine Ein-Ausgabe-Schnittstelle. Sinnvolle Schutzmaßnahmen sollten dieses Angriffsmo-dell berücksichtigen und diesem standhalten.Eine Verwundbarkeit gegen Adversarial Examp-les lässt sich nie ganz ausschließen. Wie bereits erwähnt, sind KI-Modelle in der Regel fehlerbe-haftet, weil nicht alle Prädiktoren erfassbar sind. Es stellt eine Herausforderung dar, während des Trainings alle Areale im Eigenschaftsraum zu explorieren. Zudem gibt es in vielen Domä-nen Grenzfälle, für die eine eindeutige Vorher-sage schwierig ist. Manchmal sind sich selbst Domänenexperten nicht einig, welches Label zu vergeben ist. Besonders wenn konkurrieren-des Verhalten, zum Beispiel die Erkennung von Spam, gelernt werden soll, ist anzunehmen, dass Adversarial Examples nicht ausgeschlossen wer-den können.

Abbildung 2: Die Manipulation einer Entscheidungsgrenze verändert die Entscheidung für eine bestimmte Eingabe. Abbildung 3: Stoppschild mit einem Auslöser, der zu einer falschen Klassiﬁzierung als Vor- fahrtsschild führt. IT-SICHERHEIT_1/2023 75 Daher ist ein gutes Verständnis der vorliegenden Daten und des zu lösenden Problems unerläss-lich für das Design eines robusten KI-Modells. Aufgrund der Vielzahl an Einsatzmöglichkeiten für KI, ist die Erstellung einer universellen Liste von Schutzmaßnahmen nicht möglich. Jedoch gibt es einige Maßnahmen, die sich auf viele KI-Modelle anwenden lassen: Zusätzlich zu einer quantitativen Auswertung mittels Metriken sollten auch Methoden der erklärbaren KI (engl. explainable AI) einge-setzt werden, um den Entscheidungsprozess eines KI-Modells nachvollziehen zu können. Hierdurch kann erkannt werden, wenn ein KI-Modell irrelevante Korrelationen als Prä-diktoren verwendet, die keiner Kausalität in der jeweiligen Domäne entsprechen. Wenn solche Korrelationen gelernt werden, deutet das darauf hin, dass die Trainingsdaten die Grundwahrheit nicht ausreichend repräsen-tieren. Zum Beispiel, wenn ein Husky auf einem Bild aufgrund von Schnee im Hinter-grund als Wolf klassifiziert wird, könnte dies daran liegen, dass in den Trainingsdaten keine Bilder von Wölfen ohne Schnee im Hinter-grund vorliegen [9]. Eingaben und zugehörige Vorhersagen im produktiven Betrieb sollten (stichprobenar-tig) gesammelt werden, um unerwartetes Verhalten oder Modellalterung erkennen zu können. Mit diesen Informationen können Schwachstellen aufgedeckt werden oder sich die Notwendigkeit einer Aktualisierung der Trainingsdaten ergeben. Alternativ oder ergänzend kann dem Nutzer eines KI-Modells eine Funktion zur Verfügung gestellt werden, mit der falsche Vorhersagen gemeldet werden können. Alle problemati-schen Eingaben können in Zukunft in die Eva-luation und Qualitätssicherung einfließen. Software-Bibliotheken, die Algorithmen zur Generierung von Adversarial Examples imple-mentieren, können genutzt werden, um die Robustheit eines KI-Modells zu testen. Je nach dem Grad der Autonomie und der Kri-tikalität einer KI-basierten Anwendung kann es sinnvoll sein, dass weiterhin ein Mensch die Kontrolle über die finale Entscheidung behält. Dabei sind die Nachvollziehbarkeit eines Ergebnisses sowie die Kommunikation von Konfidenzwerten (quantitative Sicherheit einer Empfehlung oder Entscheidung) von wichtiger Bedeutung, um dem Benutzer eine informierte Entscheidung zu ermöglichen. Je-doch sollte auch die Gefahr eines „Automation Bias“ nicht außer Acht gelassen werden.Ein vorangegangener Poisoning-Angriff kann ei-nen Evasion-Angriff begünstigen: Indem die Ge-wichtung von Prädiktoren verändert wird, kann die Erstellung von Adversarial Examples einfa-cher ausfallen oder bestimmte Eingaben können zu einem Adversarial Example werden. Zum Bei-spiel kann ein Angreifer gezielte E-Mails senden, sodass sich ein Spamfilter so verändert, dass eine bestimmte Spammail übersehen wird, die zuvor erkannt worden wäre [10]. In Abbildung 2 ist dieses Vorgehen konzeptionell dargestellt. Eine spezielle Ausprägung der Kombination dieser beiden Angriffsvektoren ist ein Backdoor-Angriff.BACKDOOR-ANGRIFF Bei einem Backdoor-Angriff wird zunächst ein Poisoning-Angriff durchgeführt, um einen Evasion-Angriff vorzubereiten. Die Trainings-daten werden hierbei so manipuliert, dass eine gezielte Fehlentscheidung verursacht werden kann, wenn ein bestimmter Auslöser (engl. back-door trigger [11]) in einer Eingabe vorhanden ist. In Abwesenheit des Auslösers verhält sich das KI-Modell aber unverändert.Zum Beispiel könnte ein Angreifer Bilder von ver-schiedenen Verkehrsschildern mit einem Sticker und dem Label „Vorfahrt” in einen Trainingsda-tensatz einfügen. Dadurch wird das KI-Modell lernen, den Sticker mit dem Label „Vorfahrt” zu assoziieren. Als Konsequenz kann durch Einfü-gen des Stickers jedes Bild zu einem Adversarial Example werden, beispielsweise ein Stoppschild (vgl. Abbildung 3). Dieser Angriffsvektor unterstreicht noch einmal die Kritikalität der Schutzmaßnahmen vor Poiso-ning-Angriffen. Zusätzlich sollte man beachten, dass vortrainierte Modelle von externen Quellen möglicherweise mit manipulierten Daten trai-niert wurden oder sogar bereits eine Backdoor enthalten können. SCHUTZ VOR BACKDOOR-ANGRIFFENBei der Verwendung von vortrainierten Model-len von externen Quellen sind folgende Maß-nahmen zu empfehlen: Ein vortrainiertes Modell sollte ausschließlich über einen sicheren Kommunikationskanal übertragen und nach Empfang sollte dessen Integrität überprüft werden.AUS DER FORSCHUNG

76 IT-SICHERHEIT_1/2023 Ein vortrainiertes Modell sollte nach Mög-lichkeit von einer vertrauenswürdigen Quelle bezogen werden. Idealerweise ist eine Model Card [12] vorhanden, die das Modell dokumen-tiert – und die verwendeten Trainingsdaten sind einsehbar oder zumindest dokumentiert.Des Weiteren können die in den vorherigen Kapiteln beschriebenen Schutzmaßnahmen für einen Backdoor-Angriff übernommen wer-den, da dieser Angriffsvektor eine Kombination eines Poisoning-Angriffs und eines Evasion-Angriffs ist. MODEL-EXTRACTION- ANGRIFFZiel eines Model-Extraction-Angriffs ist die Er-stellung einer lokalen Kopie eines KI-Modells unter Verwendung eines Orakels. Zum Beispiel kann ein Unternehmen ein KI-Modell über eine Cloud-API anbieten. Auf diese Weise können Kunden die Funktion in ihre Anwendungen ein-binden, ohne dass es lokal vorliegen muss. Das wertvolle geistige Eigentum verbleibt beim An-bieter-Unternehmen. Für einen Angreifer stellt dieses Szenario jedoch ein Orakel dar, womit sich das KI-Modell aus der Cloud kopieren lässt.Voraussetzung zur Durchführung eines Model-Extraction-Angriffs ist ein indirekter Zugriff auf das Ziel-Modell über ein Orakel. Das grundle-gende Vorgehen, zum Beispiel bei neuronalen Netzen, besteht darin, Eingaben zu finden, die Grenzfälle für das Ziel-Modell darstellen und so-mit einen Konfidenzwert nahe 0,5 verursachen. Weil sich diese Eingaben im Eigenschaftsraum sehr nahe an der Entscheidungsgrenze (engl. decision boundary) befinden, kann mit ihnen das Ziel-Modell beziehunsgweise eine Approxima-tion dessen rekonstruiert werden. Mit anderen Methoden ist das auch bei Entscheidungsbäu-men und linearer Regression möglich.[13]Ein erfolgreich extrahiertes KI-Modell kann wie-derum einen Evasion-Angriff begünstigen, da aufgrund der Übertragbarkeitseigenschaft eine Annäherung ausreicht. Weitaus schwerwie-gender ist, dass durch so einen Angriff geistiges Eigentum gestohlen werden kann. SCHUTZ VOR MODEL- EXTRACTION-ANGRIFFEN Da ein Model-Extraction-Angriff auf einem Orakel-Zugriff basiert, beschränken sich die Maßnahmen auf die Konfiguration dieses Ora-kels. Auf technischer Ebene besteht die Aus-gabe eines KI-Modells aus einer Vielzahl von Informationen. Man stelle sich ein KI-Modell zur Klassifizierung von Objekten auf Bildern vor. Die Ausgabe besteht hier aus einem Vektor von Konfidenz- beziehungsweise Wahrschein-lichkeitswerten. Das kann man sich als eine Lis-te von Label-Konfidenz-Tupel für alle Objekte vorstellen, auf die das Modell trainiert wurde und die es daher erkennen kann. In vielen Fäl-len ist jedoch nur ein Teil dieser Informationen für eine Anwendung oder einen Endnutzer re-levant. Folglich besteht die Schutzmaßnahme vor einem Model-Extraction-Angriff darin, die vom Orakel ausgegebenen Informationen zu minimieren: Besonders wenn ein KI-Modell viele Labels gelernt hat, ist eine Minimierung der Anzahl der ausgegebenen Labels sinnvoll, weil oft nur die Labels, die über einem bestimm-ten Konfidenz-Schwellenwert liegen, von Interesse sind. Je nach Anwendungsfall kann alternativ immer eine statische Anzahl von Labels mit den höchsten Konfidenzwerten zurückgegeben werden, zum Beispiel die Top-10-Labels. Konfidenzwerte könnten gerundet oder sogar entfernt werden, sodass ausschließ-lich Labels ausgegeben werden. Dadurch wird es dem (legitimen) Benutzer aber auch erschwert, die (Un)Sicherheit einer Entschei-dung einzuschätzen.Auch wenn die Ausgaben eines Orakels minimal sind, kann ein Angreifer noch das Label erfahren, und ein Model-Extraction-Angriff ist weiterhin möglich.RICHTLINIEN UND REGULIERUNGIm Rahmen der europäischen Strategie für KI, hat die EU-Kommission eine unabhängige Ex-pertengruppe damit beauftragt, Ethik-Leitlinien für eine vertrauenswürdige KI zu erarbeiten [14]. Die Ergebnisse wurden im April 2019 veröffent-licht und umfassen sieben Leitlinien [15]: Vorrang menschlichen Handelns und menschliche Aufsicht Technische Robustheit und Sicherheit Datenschutz und Datenqualitätsmanagement TransparenzAUS DER FORSCHUNG Vielfalt, Nichtdiskriminierung und Fairness Gesellschaftliches und ökologisches Wohlergehen RechenschaftspflichtErgänzend wurde eine Bewertungsliste erstellt, die bei der Umsetzung dieser Leitlinien unter-stützt [16].Im Februar 2020 wurde im „Weißbuch zur Künstlichen Intelligenz – ein europäisches Kon-zept für Exzellenz und Vertrauen“ ein risiko-basierter Ansatz zur Bewertung von KI-An-wendungen vorgeschlagen. Demnach soll eine Risikoeinstufung die regulatorischen Anforde-rungen bestimmen. Mit diesem Ansatz will man einen verhältnismäßigen Rechtsrahmen in der EU schaffen. Für KI-Anwendungen, die ein hohes Risiko darstellen, werden Anforderungen an die folgenden Bereiche vorgeschlagen: Trainingsdaten Aufbewahrung von Daten und Aufzeichnungen Vorzulegende Informationen Robustheit und Genauigkeit Menschliche Aufsicht Besondere Anforderungen an bestimmte KI-AnwendungenDer Entwurf für ein „Gesetz über künstliche In-telligenz“ von April 2021 greift diese Vorarbeiten auf und definiert drei Risikostufen [17]: KI-Anwendungen mit einem unannehmbaren Risiko sollen verboten werden. KI-Anwendungen mit einem hohen Risiko sollen obligatorischen Anforderungen un-terliegen. Zum Beispiel soll für Hochrisiko-KI-Systeme eine Konformitätsbewertung verpflichtend sein, die eine Umsetzung definierter Anforderungen nachweist, zum Beispiel ein Risikomanagementsystem, tech-nische Dokumentation, menschliche Aufsicht und Cybersicherheit. Des Weiteren sollen Anbieter verpflichtet werden, ihre Hochrisiko-KI-Systeme auch nach dem Inverkehrbringen zu beobachten und Vorfälle beziehungsweise Fehlfunktionen zu melden. Alle anderen KI-Anwendungen mit einem geringen oder minimalen Risiko unterliegen nur wenigen Transparenzpflichten oder sind von diesem Gesetz ausgenommen [18]. Bei KI-Systemen, die mit Nutzern interagieren

Literatur [1] G. James, D. Witten, T. Hastie, and R. Tibshirani, An Introduction to Statistical Learning. Springer, 2021. [2] https://incidentdatabase.ai/ [3] B. Biggio, B. Nelson, and P. Laskov, „Poisoning Attacks against Support Vector Machines“, in International Conference on Machine Learning, ser. ICML ’12. Edinburgh, Scotland, GB: Omnipress, Jun. 2012, pp. 1807–1814. [4] T. Gebru, J. Morgenstern, B. Vecchione, J. W. Vaughan, H. Wallach, H. D. III, and K. Crawford, „Datasheets for Datasets“, Communications of the ACM, vol. 64, no. 12, pp. 86–92, Nov. 2021. [5] C. Szegedy, W. Zaremba, I. Sutskever, J. Bruna, D. Erhan, I. Goodfellow, and R. Fergus, „Intriguing Properties of Neural Networks“, in International Conference on Learning Representations, ser. ICLR ’14. Banff, Alberta, Canada: IEEE, Apr. 2014, pp. 372–387. [6] M. Sharif, S. Bhagavatula, L. Bauer, and M. K. Reiter, „Accessorize to a Crime: Real and Stealthy Attacks on State-of-the-Art Face Recognition“, in ACM Conference on Computer and Communications Security, ser. CCS ’16. Vienna, Austria: ACM, Oct. 2016, pp. 1528–1540. [7] B. Biggio and F. Roli, „Wild Patterns: Ten Years After the Rise of Adversarial Machine Learning“, Pattern Recognition, vol. 84, pp. 317–331, Dec. 2018. [8] N. Papernot, P. McDaniel, and I. Goodfellow, „Transferability in Machine Learning: from Phenomena to Black-Box Attacks using Adversarial Samples“, arXiv, vol. abs/1605.07277, pp. 1–13, May 2016. [9] M. T. Ribeiro, S. Singh, and C. Guestrin, „“Why Should I Trust You?”: Explaining the Predictions of Any Classifier“, in ACM International Conference on Knowledge Discovery in Data Mining, ser. KDD ’16. San Francisco, California, USA: ACM, Aug. 2016, pp. 1135–1144. [10] M. Barreno, B. Nelson, A. D. Joseph, and J. D. Tygar, „The Security of Machine Learning“, Machine Learning, vol. 81, no. 2, pp. 121–148, Nov. 2010. [11] T. Gu, B. Dolan-Gavitt, and S. Garg, „BadNets: Identifying Vulnerabilities in the Machine Learning Model Supply Chain“, arXiv, vol. abs/1708.06733v2, pp. 1–13, Mar. 2019. [12] M. Mitchell, S. Wu, A. Zaldivar, P. Barnes, L. Vasserman, B. Hutchinson, E. Spitzer, I. D. Raji, and T. Gebru, „Model Cards for Model Reporting“, in Conference on Fairness, Accountability, and Transparency, ser. FAT* ’19. Atlanta, GA, USA: ACM, Jan. 2019, pp. 220–229. [13] F. Tramèr, F. Zhang, A. Juels, M. K. Reiter, and T. Ristenpart, „Stealing Machine Learning Models via Prediction APIs“, in USENIX Security Symposium, ser. SSYM ’16. Austin, Texas, USA: USENIX, Aug. 2016, pp. 601–618. [14] https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=COM%3A2018%3A237%3AFIN [15] https://digital-strategy.ec.europa.eu/en/library/ethics-guidelines-trustworthy-ai [16] https://digital-strategy.ec.europa.eu/en/library/assessment-list-trustworthy-artificial-intelligence-altai-self-assessment [17] https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A52021PC0206 [18] https://ec.europa.eu/commission/presscorner/detail/de/ip_21_1682 [19] https://www.enisa.europa.eu/publications/securing-machine-learning-algorithms DOMINIK ADLER ist Wissenschaftlicher Mitarbeiter im Institut für Internet-Sicherheit – if(is) an der Westfälischen Hochschule in Gelsenkirchen und beschäftigt sich mit Angriffen auf künstliche Intelligenz. NURULLAH DEMIR ist Wissenschaftlicher Mitarbeiter im Institut für Internet-Sicherheit – if(is) an der Westfälischen Hochschule in Gelsenkirchen und beschäftigt sich mit Angriffen auf künstliche Intelligenz. NORBERT POHLMANN ist Professor für Cybersicherheit und Leiter des Instituts für Internet-Sicher- heit – if(is) an der Westfälischen Hoch schule in Gelsenkirchen sowie Vorstandsvorsitzender des Bundesver- bands IT-Sicherheit – TeleTrusT und im Vorstand des Internetverbandes – eco. IT-SICHERHEIT_1/2023 77 oder Inhalte erzeugen, besteht das Risiko, dass Menschen manipuliert werden könnten. Beispiele hierfür sind Chatbots, Emotionser-kennungssysteme oder die Darstellung von künstlich erzeugten Bild-, Ton- oder Videoin-halten, die authentisch wirken. In solchen Fällen soll den Nutzern klar kommuniziert werden, dass es sich um ein KI-System han-delt, unabhängig von der Risikostufe.Ein im Dezember 2021 veröffentlichter Bericht der EU-Cybersicherheitsagentur (ENISA) gibt ei-nen umfassenden Literaturüberblick über künst-liche Intelligenz [19]. Insbesondere werden in dem Bericht Bedrohungen für KI-Anwendungen und Schutzmaßnahmen aufgeführt.Zudem enthält die im Februar 2022 veröffent-lichte Richtlinie VDE SPEC 90012 V1.0 eine Liste von Fragen, mit denen KI-Anwendungen in den Bereichen Transparency, Accountability, Privacy, Fairness und Reliability bewertet und verglichen werden können. Zum Beispiel wird abgefragt, wie detailliert die Eigenschaften der Daten und KI-Modelle dokumentiert sind und welche Maß-nahmen eingerichtet sind, um die Integrität, Robustheit und Cybersicherheit des KI-Systems zu gewährleisten.FAZITDas Verhalten eines KI-Modells wird von den Daten bestimmt, mit denen es trainiert wurde. Wichtig für ein vertrauenswürdiges KI-Modell sind daher die Qualität der Trainingsdaten und eine Evaluation, ob die zugrunde liegenden Konzepte einer Domäne im gelernten Entschei-dungsprozess korrekt abgebildet werden. In der Regel sind KI-Modelle fehlerbehaftet, sodass immer die Möglichkeit von Fehlentscheidungen bei Grenzfällen besteht.Wenn ein KI-Modell eingesetzt wird, sind neue Angriffsvektoren zu berücksichtigen. So kann man zum Beispiel über eine Manipulation der Trainings- oder Eingabedaten die Entscheidun-gen eines KI-Modells beeinflussen und über eine Interaktion mit einem KI-Modell kann ein An-greifer auf die interne Funktionsweise schließen und sogar eine Kopie erstellen.Diese Bedrohungen sollten Entwickler schon beim Design eines KI-Modells berücksichtigen und potenzielle Risiken einschätzen. Die vorge-stellten Schutzmaßnahmen können dabei hel-fen, die Angriffsfläche und somit die Risiken zu minimieren. nAUS DER FORSCHUNG

VORSCHAU Ausgabe 2|23 APRIL/MAI SPECIAL: IT-SICHERHEIT IN DER FINANZWELT Digitalisierung ist für Banken und Versicherungen mit verschärften Heraus- forderungen verbunden. Einerseits gelten für sie besondere gesetzliche Vorgaben, die sie erfüllen müssen, andererseits hemmen riesige Altlasten zumindest bei alteingesessenen Instituten rasche Fortschritte. Bei jeder Entwicklung stehen die Sicherheit der Daten und die Aufrechterhaltung eines unterbrechungsfreien Betriebs mit an oberster Stelle. Lesen Sie im Special der nächsten Ausgabe, welche Regularien für die Sicherheit in der Finanzwelt gelten, welche Risiken der Weg in die Cloud für sie birgt und wie neue Digitalbanken und Fintechs der Szene frischen Wind einhauchen. (Beitragsangebote für das Special senden Sie bitte an wolfgang.scharf@datakontext.com) Weitere geplante Themen: Schwerpunkt: Identitätsmanagement (IAM) Vorgehen nach BSI IT-Grundschutz Authentiﬁzierung und Automatisierung Beratung und Audit Lösungen aus der Cloud Datenschutz Verankerung der Post-Quantum-Strategie im Unternehmens-ISMS IN UNSEREM VERLAG ERSCHEINEN AUSSERDEM NOCH FOLGENDE ZEITSCHRIFTEN 78 IT-SICHERHEIT_1/2023 Verlag: DATAKONTEXT GmbH Standort Frechen Augustinusstr. 11 A · 50226 Frechen www.datakontext.com Chefredaktion: Sebastian Frank (S.F.) E-Mail: s.frank@kes.de Redaktion: Dr. Peter Münch (P.M.), Dr. jur. Martin Zilkens (M.Z.), Online-Redaktion: Jessica Herz Leitung Online herz@datakontext.com +49 2234 98949-80 Lisa Bieder Silvia Klüglich Chiara Schönbrunn Herausgeberbeirat: Prof. Dr. Michael Backes, Prof. Dr. jur. Dirk-M. Barton, Walter Ernestus, Prof. Dr. Nikolaus Forgó, Prof. Dr. Rainer W. Gerling, Dr. Jan-Peter Ohrtmann, Prof. Dr. Norbert Pohlmann, Dr. jur. Martin Zilkens Gründer: † Bernd Hentschel Grafik/Layout/Satz: Michael Paffenholz Tel.: +49 173 8382572 E-Mail: michael.paffenholz@gmx.de Objekt- und Anzeigenleitung: Wolfgang Scharf Tel.: +49 2234 98949-60 E-Mail: wolfgang.scharf@datakontext.com zzt. gilt die Anzeigenpreisliste Nr. 29 Vertrieb/Herstellung: Dieter Schulz Tel.: +49 2234 98949-99 dieter.schulz@datakontext.com Abonnement: Jahresabonnement € 129,- inkl. VK (Inland) Erscheinungsweise: sechs Ausgaben Alle Preise verstehen sich inkl. MwSt. Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Erscheinungsweise, Bezugspreise und -bedingungen: Abonnement und Bezugspreis beinhalten die Print-Ausgabe sowie eine Lizenz für das Online-Archiv. Die Bestandteile des Abonnements sind nicht einzeln kündbar. Der Preisanteil des Online-Archivs ist auf der Abonnementrechnung separat ausgewiesen. Aboservice: Hüthig Jehle Rehm GmbH, München, Tel.: +49 89 21 83-7110 Druck: Grafisches Centrum Cuno GmbH & Co. KG, Calbe (Saale) © DATAKONTEXT Mit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar. Für unverlangt eingeschickte Manuskripte übernehmen wir keine Haftung. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Verfasser alle Rechte, einschließlich der weiteren Vervielfältigung zu gewerblichen Zwecken. Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheber rechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Ur heberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Beilagen: DATAKONTEXT GmbH, Frechen Titelbild: Comofoto - stock.adobe.com Fotos: Firmenbilder; DATAKONTEXT; (Andrey Popov, deepagopi2011, Framestock, Kt Stock, LuckyStep, Montri, Prostock-studio, Urupong, Victor Moussa, Viktor Isaak, H. Brauer, LadadikArt, naka) - stock.adobe.com 29. Jahrgang 2023 · ISSN: 1868-5757