Gepostet am 04. Mai 2016 von in
Cybersecurity – Anforderungen verschärft
In den letzten Wochen und Monaten hatten zahlreiche Cyber-Attacken im Bereich IT-Security Schlagzeilen gemacht. Nach mehreren Datenskandalen und Berichten über Angriffe auf Behörden und Unternehmen geraten aber auch immer mehr die Unternehmensmitarbeiter, speziell im Finanzdienstleistungsbereich, in den Fokus solcher Angriffe. Mit immer ausgefeilteren Tricks versuchen Betrüger, die Sicherheitssysteme der gängigen Betriebssysteme zu überlisten.
Die typischen Einfallstore der Computerschädlinge sind dabei immer gleich: Unbekannte Mailanhänge werden geöffnet, USB-Sticks und andere Speichermedien ohne Prüfung durch Virenscanner am Rechner genutzt, die Handydaten (Filme, Musik, Bilder) mit dem heimischen System synchronisiert, etc..
Mehr Sicherheitslücken identifiziert
Neu ist allerdings, dass die Computerschädlinge die gesamte Festplatte verschlüsseln und deren Verursacher immer häufiger Geldsummen zur Wiederherstellung mittels des genutzten Verschlüsselungsschlüssels fordern. Ob der Geschädigte nach Zahlung allerdings die Daten jemals wieder entschlüsseln kann, ist ungewiss. Meistens erhält das Opfer der Cyber-Attacke einen ungültigen oder gar keinen Schlüssel.
In Zeiten von Heimarbeitsplätzen wird die Situation umso schwieriger, wenn auch Unternehmensdaten im Homeoffice verfügbar sind bzw. der Außendienstmitarbeiter mit seinem Laptop plötzlich das gesamte Firmennetz infiziert. Verbindliche Vorgaben zum Umgang mit Mails, Sperrung der externen Schnittstellen(USB, LAN) und effizientes Patchmanagement der Zugriffspunkte zum Firmennetzwerk des eigenen Unternehmens sind daher unabdingbare Mindestanforderungen an IT-Sicherheit.
Die Aufsichtsbehörden haben diese Problematiken früh erkannt und mit den letztjährigen Angriffen auf die IT-Infrastruktur des Bundestags deren Aktualität aus erster Hand erfahren.
Leitlinien für Informationssicherheit
Als Reaktion will das Bundesamt für Sicherheit in der Informationstechnik (BSI) künftig regelmäßig eine IT-Sicherheitsprüfung der Rechenzentren in der Bundesverwaltung durchführen. Die Prüfungshandlungen orientieren sich dabei an der "Leitlinie für Informationssicherheit" aus dem Jahr 2013. Sie regelt unter anderem:
- die Erreichung eines verbindlichen Mindestsicherheitsniveaus zwischen Bund und Ländern bei IT-gestützter und Ebenen übergreifender Zusammenarbeit
- Maßnahmen zur Umsetzung
- Sensibilisierungsmaßnahmen zur Informationssicherheit
- Schulungen im Kontext des Verwaltungs-CERT-Verbunds
- Unterstützung bei der IT-Grundschutz-Umsetzung
- Einführung eines Infomationssicherheitsmanagementsystems gemäß Vorgaben des BSI
- die Umsetzung einheitlicher Mindeststandards in der Informationssicherheit
- die Absicherung der Netzinfrastrukturender öffentlichen Verwaltung
- die gemeinschaftliche Abwehr von Angriffen auf die IT-Systeme der Verwaltung
IT-Sicherheitsprüfungen notwendig
So sind Prüfungen im Bereich IT-Sicherheit im Rahmen von Sonderprüfungen und regelmäßigen Audits mehr denn je im Fokus der Abschlussprüfer. Es ist davon auszugehen, dass sich die aufsichtsrechtlichen Prüfungshandlungen zukünftig auch an diesen Leitlinien orientieren werden, denn sie stellen die Mindestanforderungen an die IT-Sicherheit noch einmal transparent dar.
Zur Beurteilung der eigenen Risikosituation mit Blick auf Cyber-Angriffen hat sich die Durchführung eines "Cybersecurity-Checks" bewährt. Im Stil einer Auditierung kann damit festgestellt werden, in wieweit ein Unternehmen ein effizientes IT-Management besitzt, das die Mindestanforderungen vollumfänglich erfüllen kann.
Severn Consultancy bietet in diesem Zusammenhang ein umfangreiches Beratungsportfolio von der Auditierung besonders kritischer IT-Infrastrukturen (z.B. Netzwerke, PC und Laptops) bis zum "Cyber-Security -Check" und Optimierung der IT-Sicherheitsstrukturen im Fokus von Aktualität und Effizienz für Endkunden an. Nähere Infos erhalten Sie hier.