1Dez2016

BSI-Bericht zur Lage der IT-Sicherheit in Deutschland 2016

Vor kurzem hat das Bundesamt für Sicherheit in der Informationstechnik des aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland vorgelegt – und das Ergebnis überrascht nur wenig…

„Der Berichtszeitraum war geprägt von einer weiter ansteigenden Professionalisierung der Angreifer und ihrer Angriffsmethoden.“

und

„Gleichzeitig verlieren klassische bisherige Abwehrmaßnahmen weiter an Wirksamkeit.“ führt unser Bundesminister des Inneren Dr. Thomas de Maizière im Vorwort treffend aus.

Gerade Unternehmen, die sich im Rahmen Ihres Kerngeschäftes ohnehin im sensiblen Bereich bewegen und dazu mit personenbezogenen Daten oder hochschützenswerten Unternehmensgeheimnissen wie Schaltpläne, Patente oder andere Werte geistigen Eigentums umgehen, müssen mit dem Management der eigenen IT auf Augenhöhe bleiben, den notwendigen Sicherheitsstandard halten und dazu den gesetzlichen Regelungen Rechnung tragen. Ein Spagat, der erst einmal gemeistert werden will!

Angreifer werden professioneller – die Verteidigung auch?

Sieht sich ein Unternehmen in dieser Situation noch den Angriffen immer professionellerer Angreifer gegenüber, verkommt agieren schnell zu reagieren – und eine Pressemeldung, in der ein Angriff und dessen Folgen publiziert werden muss, folgt meist kurz darauf.

Zugegeben: dass wäre bereits eines der schlimmsten Szenarien.

Reagieren statt zu agieren beinhaltet, den Bereich nicht mehr unter Kontrolle zu haben und nur noch auf die Auswirkungen neuer Szenarien reagieren zu können – und das ist immer zu spät.

Proaktivität, geeignete Maßnahmenkataloge und wirksame Managementsysteme können hier unterstützen.

Die Professionalität der Attacken begründet sich aus der zunehmenden Bedeutung der Unternehmensinformationen für Dritte und der daraus steigenden kriminellen Energie. Informationen sind mitunter das höchste Gut in Unternehmen und daher selbstverständlich in höchstem Maße schützenswert.

Ein optimiertes und zielgerichtetes Vorgehen sollte immer auf Basis und mit Hilfe eines Informationssicherheits-Managementsystems (ISMS) geschehen und nicht nur reaktive Maßnahmen nach sich ziehen.

Wer erinnert sich noch an „Locky“?

Bestimmt viele (und das mit Schaudern) – insbesondere die Verantwortlichen und Entscheidungsträger der IT-Bereiche, aus dem Datenschutz und der Informationssicherheit eines Unternehmens.

Die Qualität und vor allem die Zahl der Schadsoftware wie Ransomware, Trojanern, etc. steigt von Jahr zu Jahr an. Immer neue Bedrohungsszenarien entstehen und zwingen Unternehmen und natürlich die Securitybranche zu neuen Maßnahmen.

Der Bericht nennt Zahlen, die das belegen: rund 100.000 Schadprogramme des Jahres 2012 stehen fast 600.000 in 2016 gegenüber!

„Locky“ zielte Anfang diesen Jahres auf die unbedarfte und schlecht informierte Masse der Privatanwender – wenn auch einige Unternehmen empfindlich betroffen waren – aber gemäß dem Gesetz der Weiterentwicklung, sind zielgerichtete Attacken auf komplexe Unternehmensstrukturen nicht auszuschließen.

Bedenkt man als mögliches Ziel einer Attacke Einrichtungen im KRITIS-Sektor, dann wird die Bedrohungslage zunehmend dramatisch.

„Locky“ infizierte seinerzeit das Lukaskrankenhaus in Neuss. Aufgrund der Bedrohungssituation wurde das gesamte Computernetzwerk heruntergefahren, da der Zugriff und die Integrität der Patientendaten nicht mehr gewährleistet war.

Was das in unserer hochtechnisierten Zeit bedeutet, ist leicht zu deuten: Behandlungen mussten ausgesetzt, Operationen verschoben und Datenmanipulationen ausgeschlossen werden. Dem Verlust oder gar Diebstahl sensibler Daten konnte nur durch die konsequente Abschaltung des gesamten Netzes begegnet werden.

Hier hat diese Maßnahme gegriffen und einen vollständigen Befall der IT-Infrastruktur verhindert – mutmaßlich eine Folge eines funktionierenden ISMS mit entsprechendem Maßnahmenkatalog.

KRITIS-Betreiber sind gem. des IT-Sicherheitskatalogs und der neuen EU-Datenschutzgrundverordnung nicht nur verpflichtet, ein ISMS zu betreiben, sondern sich dessen Wirksamkeit auch anhand einer ISO 27001 Zertifizierung belegen zu lassen.

Das Zertifikat muss bis 2018 vorliegen – eine kurze Zeit, bedenkt man den gesamten Zertifizierungsprozess.

Die ConformityZert GmbH steht Ihnen hierbei als unabhängiger und DAkkS-akkreditierter Zertifizierer zur Seite. Wir informieren Sie gern persönlich rund die ISO 27001 und unseren Zertifizierungsprozess.

Sehr gern stehen Ihnen unsere Repräsentanten zu einem Informationsgespräch zur Verfügung – besuchen Sie uns hierzu auch bei Facebook und Xing oder folgen uns auf Twitter.

Login to your Account