Aktueller Stand der KRITIS-Anforderungen bei Energieanlagenbetreibern

Der Konsultationsentwurf des IT-Sicherheitskatalogs gemäß § 11 Absatz 1b Energiewirtschaftsgesetz wurde im Januar 2018 von der Bundesnetzagentur zur Kommentierung veröffentlicht. Dieser neue Sicherheitskatalog konkretisiert das seit 25.7.2015 in Kraft getretene IT-Sicherheitsgesetz und die damit verbundenen Änderungen des Energiewirtschaftsgesetzes. Bisher waren nur Netzbetreiber von konkreten regulatorischen IT-Sicherheitsvorgaben betroffen. Im aktuellen Entwurf des IT-Sicherheitskatalogs für Energieanlagen werden nun die gesetzlichen und behördlichen …

Jagd auf Insider-Bedrohungen

Wie sich mithilfe von Aktivitätsmodellierung verdächtige Datenbankbefehle und Zugriffsmuster entdecken lassen + Datensicherheitsverletzungen durch Innentäter sind sehr schwer aufzuspüren. Die Kluft zwischen der Zunahme von Insider-Bedrohungen und der Zeit bis zu ihrer Entdeckung wird immer größer. Die wachsende Kluft Wie der Verizon Data Breach Investigation Report 2017 zeigt, bleibt die große Mehrzahl der Sicherheitsverletzungen, die auf Innentäter und den Missbrauch …

Auswirkungen von KritisV/DSGVO auf die Gesetzlichen Krankenversicherungen (GKV)

Mit Inkrafttreten des zweiten Korbes der BSI-KritisV am 22. Juni 2017 entstanden für den Sektor Finanzen und Versicherungen eine Reihe von neuen Pflichten und Anforderungen. Diese gelten für Organisationen mit Kritischen Infrastrukturen, deren störungsfreies Funktionieren von hoher Bedeutung für das nationale Gemeinwesen ist. Welche Auswirkungen hat die BSI-KritisV jedoch auf Organisationen, die zwar keine Kritischen Infrastrukturen haben, weil sie beispielsweise …

DSGVO – oder warum Unternehmen die Risiken ignorieren

Noch im Sommer 2017 veröffentlichte der ITK-Branchenverband Bitkom eine Studie, nachdem jedes fünfte IT- und Digital-Unternehmen die Datenschutzgrundverordnung bislang ignorierte. Eine Folgeuntersuchung im September 2017 zeigte, dass branchenübergreifend erst 13 Prozent der Organisationen erste Maßnahmen zur Umsetzung der DSGVO begonnen oder abgeschlossen haben. Als Marktbeobachter fragt man sich zurecht: Auf was warten die Manager dort eigentlich? Kommentar von Otto Neuer, …

Gefährdungen durch Man-in-the-Middle-Angriffe (Teil 2)

Im ersten Teil wurden bereits einige grundlegende Man-in-the Middle (MitM) Angriffe beschrieben. Darunter waren klassische Angriffe wie APR-Spoofing, IP-Spoofing, DNS-Spoofing/Cache Poisoning und SSLStripping. In diesem zweiten Teil beschäftigen wir uns nun mit der Anwendungsschicht und deren Schwächen. Schwachstellen in der Ausgangskonfiguration von Fernsteuerprotokollen wie RDP sowie Sicherheitslücken in Webanwendungen wie z.B. Cross-Site-Scripting lassen sich durch Werkzeuge für Man-in-the-Middle bzw. Man-in-the-Browser …

Industrielles Identity-and-Access-Management – Konzept für die sichere Gerätevernetzung

Das Internet-of-Things (IoT) wächst exponentiell. Immer mehr Geräte, Sensoren und Maschinen treten mit einander in Verbindung und legen die Basis für eine Industrie 4.0. Während mittlerweile eine Vielzahl von Lösungen für den Transport und die Verarbeitung der gesammelten Daten auf dem Markt zu finden ist, bereitet das Thema Sicherheit vielen Unternehmenslenkern nach wie vor Kopfzerbrechen. Denn der Weg ins IoT …

Warum ein technischer Experte vielleicht nicht die beste Wahl ist, um Security Awareness zu vermitteln

Nach offiziellen Schätzungen des Bundesamtes für Verfassungsschutz (BfV)[1] erleidet die deutsche Wirtschaft durch Cyberangriffe jährlich Verluste über rund 50 Milliarden Euro. Es ist bemerkenswert, dass die Cyberkriminellen bei ihrem Angriff auf Mitarbeiter in einem Unternehmen zielen, zum Beispiel mit Phishing-E-Mails oder einem Telefonanruf. Dabei versuchen sie, die Mitarbeiter dazu zu bringen, einen Fehler zu begehen. Dieser Ansatz ist auch 2018 …

Wie viel Druck darf´s denn sein?

„Industrielle Cyber Security, risikofreudige Betreiber kritischer Infrastrukturen und die schleppende Umsetzung des IT-Sicherheitsgesetzes – wie viel Druck darf es noch sein?“ + IT-Sicherheit ist seit jeher ein fester Bestandteil der Jahrestreffen des Chaos Computer Clubs (CCC) zwischen Weihnachten und Silvester eines jeden Jahres. Dennoch ist es immer wieder faszinierend zu erfahren, wie leichtfertig viele Anwender – ob privat oder geschäftlich …

Maximierung von SIEM durch Datenanalyse

Cyberkriminalität hat sich zu einem stetig wachsenden Problem entwickelt, das alle Branche erfasst. Vor allem die Finanzbranche und professionelle Dienstleistungen sowie der öffentliche Sektor sind stark betroffen. Die Früherkennung von Bedrohungen in der Sicherheit und die Verringerung des Gesamtrisikos stellen die IT-Spezialisten immer wieder vor große Herausforderungen. Mithilfe einer neuen Analyseplattform sollen mögliche Bedrohungen in Echtzeit erkannt und abgewendet werden. …

Prävention gegen Betriebsspionage

Deutsche Unternehmen erleiden jedes Jahr hohe Schäden durch Betriebsspionage. Der Faktor Mensch ist dabei oftmals die größte Schwachstelle und die Angreifer gehen immer trickreicher vor, um ihre Opfer zu überlisten. Weil immer mehr persönliche Daten im Internet abgreifbar sind, können die Kriminellen ihre Angriffe zielgerichtet vorbereiten. Die Begleiterscheinungen von Internet of Things (IoT) werden dies in Zukunft für die Täter …

Neue Version der ISO/IEC 27019

Die reibungslose Funktion der Leit- und Automatisierungstechnik und der zugehörigeren IT- und OT-Systeme (OT = Operational Technology) ist für eine zuverlässige Energieversorgung von wesentlicher Bedeutung. Dies umfasst natürlich auch einen ausreichenden Schutz vor IT-Sicherheitsbedrohungen. Der Internationale Standard ISO/IEC 27019 definiert für den Bereich der EVU-Prozesstechnik Sicherheitsmaßnahmen und Hinweise zu deren Umsetzung. Die ISO/IEC 27019 ergänzt hierzu den generischen Informationssicherheitsstandard ISO/IEC …

Cyber Security Economics – Das Versagen der Märkte und Beispiele der Regulierung

In dem vielbeachteten Paper “Why information security is hard” [1] hat Ross Anderson 2001 das Forschungsgebiet der „Cyber Security Economics“ gegründet. Darin hatte er festgestellt, dass es ökonomische Prinzipien des Informationsmarktes gibt, welche die effektive Praktizierung von Cybersicherheit oft erschweren. Seitdem haben sich viele Forscher weltweit des Themas angenommen. Ziel dieses Artikels ist es, einen groben Einblick in wichtige Ergebnisse …