DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Ganz­heit­liche Sicher­heits­kon­zepte im Mit­tel­stand erfor­derlich

Internet der Dinge, Big Data und Smart Home sind u.a. die Trends fürs kom­mende Jahr. Zunehmend raf­fi­niertere Angriffs­me­thoden, wie z.B. bei Phis­hings-Mails ver­ändern die Her­aus­for­de­rungen an die Infor­ma­ti­ons­si­cherheit im Unter­nehmen.

Die IT-Trends für 2015

Laut Gartner liegen in 2015 die 10 hei­ßesten IT-Trends bei: Com­puting Ever­y­where,  Internet der Dinge, 3D-Druck, Neue Formen der Daten­analyse, Kon­text­ba­sierte Systeme, Intel­li­gente Maschine, Cloud Com­puting, Software-Defined App­li­ca­tions and Infra­st­ructure, Web-Scale IT und risi­ko­ba­sierte Sicher­heits- und Schutz­maß­nahmen.

Gene­relle Trends, die sicherlich auch auf kleine und mit­tel­stän­dische Unter­nehmen zukünftig unter­schiedlich starke Aus­wir­kungen haben werden.

Dazu kommen die bekannten Risi­ko­aspekte bei der Nutzung von Apps, WLAN, Blue­tooth etc. sowie weitere Trends wie Were­ables oder das IT-Sicher­heits­­­gesetz, deren Nutzung weiter stark steigen wird. Dessen Aus­wir­kungen auf die Infor­ma­ti­ons­si­cherheit in Unter­nehmen jedoch noch gar nicht aus­rei­chend ein­zu­schätzen sind.

Für mich stehen 2015 fol­gende Themen für die Unter­nehmen im Fokus:

Ver­stärkte Angriffe auf mobile Devices

Angriffe auf Smart­phones nehmen weiter zu. Zwi­schen August 2013 und Juli 2014 seien weltweit die Inter­net­handys von 588.000 Nutzern ange­griffen worden. Und damit waren sechs Mal so viele Ver­braucher wie im Vor­jah­res­zeitraum betroffen. Das ergab eine Studie der IT-Sicher­heits­­­firma Kas­persky Lab und der inter­na­tio­nalen Poli­zei­be­hörde Interpol. Hier ist akuter Hand­lungs­bedarf gegeben. Lt. DsiN-Sicher­heits­­­mo­nitor 2014 hält der Zuwachs an vor­han­denen Schutz­maß­nahmen nicht mit dem der geschäft­lichen Nutzung mit.  siehe http://www.welt.de/wirtschaft/webwelt/article133547897/Smartphones-sind-die-neuen-Hauptziele-der-Hacker.html

Lösungen wie Ver­schlüs­selung von Gesprächen und Daten sollten genauso in Betracht gezogen werden, wie ein MDM bei dem die Devices und deren Nut­zungs­mög­lich­keiten vor­ge­geben werden. Ebenso Richt­linien zur Nutzung der betrieb­lichen Nutzung der mobilen Geräte und der darauf befind­lichen Anwendungen/Apps.

Internet der Dinge – Zunahme von Smart-Home-Systeme

Das Internet der Dinge soll einer der größten Trends in der Industrie werden. Alles wird künftig mit­ein­ander ver­knüpfbar sein und Daten aus­tau­schen können. Fahr­zeuge, Haus­halts­geräte und Pro­duk­ti­ons­ma­schinen – bis 2020 rechnen Experten weltweit mit rund 50 Mil­li­arden ver­netzten Geräten. siehe www.welt.de/134543706

Geringes Bewusstsein für Risiken beim End­kunden. Ver­schlüs­selte Ver­bin­dungen und Authen­­ti­­fi­­zie­­rungs-Mecha­­nismen sind noch nicht überall Standard. Und Hacker finden auch hier neue Angriffs­mög­lich­keiten. So wurden von dem US-Unter­­nehmen Pro­of­point im Januar 2014 erstmals ein soge­nanntes Botnetz aus mehr als 100 000 zu fern­ge­steu­erten E‑Mail-Robotern umge­wan­delten Haus­halts­ge­räten mit Web-Anschluss (soge­nannte Smart-Home-Systeme) ent­deckt. Tendenz steigend. Das BSI berichtet aktuell über eine erfolg­reiche Cyber-Attacke auf ein deut­sches Stahlwerk bei der offenbar ein Hochofen nicht mehr geregelt her­un­ter­ge­fahren werden konnte. Die Angreifer sollen über Spear-Phishing gezielt das Büronetz des Werks infil­triert und sich von da aus zu den Steu­er­an­lagen vor­ge­hangelt haben. Als sie Zugriff zum Pro­duk­ti­onsnetz hatten, haben sie die Steu­er­kom­po­nenten des Werks mani­pu­liert.

Das Internet der Dinge bedeutet für KMUs: Abläufe und Pro­zesse müssen hier ins­be­sondere vor dem Aspekt der Daten­si­cherheit und des Daten­schutzes genau­estens ana­ly­siert werden. Dazu bedarf es der Beratung durch Netz-Spe­­zia­­listen. Mehr dazu können sie hier im Blog nach­lesen. siehe https://www.dsin-blog.de/das-internet-der-dinge

Updates, updates, updates… vs. stei­gende Angriffs­qua­li­täten

Es wird wohl auch in 2015 lau­fende Mel­dungen zu neuen oder wieder offenen Sicher­heits­lücken geben. Hier bleibt zu hoffen, dass diese deutlich weniger werden und ein bes­seres Qua­li­täts­ma­nagement der Anbieter erfolgt. Jeder Anwender sollte trotzdem immer für eine zeitnahe Instal­lation der Patches sorgen.

Bedenklich stimmt auch die immer per­fekter wer­dende Qua­lität der Angriffe durch Cyber­kri­mi­nelle. So zeigt uns bereits die Warnung der Deut­schen Telekom vor Phishing-Mails mit nun per­sön­licher Ansprache, wo der Weg in 2015 hin­gehen wird.

Ange­passte Sicher­heits-Stra­­tegien und Awa­­reness-Bildung zwingend erfor­derlich

Ver­fas­sungs­schützer und das BSI sehen, lt. einem Beitrag auf heise.de Mil­li­ar­den­schäden durch Wirt­schafts­spionage und gehen von einer wei­teren Zunahme der Cyber­kri­mi­na­lität in den nächsten Jahren aus. Prä­vention mit reinen tech­ni­schen Maß­nahmen alleine reicht nicht mehr aus um die Infor­ma­ti­ons­si­cherheit im Unter­nehmen zu gewähr­leisten!

Vor­han­denes und gelebtes Sicher­heits­be­wusstsein der Mit­ar­beiter sowie das Kennen der neuen Angriffs­me­thoden (z.B. Advanced Per­sistent Threats oder Phishing-Methoden) sind erfor­derlich um sich zukünftig effektiv gegen diese Gefahren zu behaupten. Die Mit­ar­bei­te­rinnen und Mit­ar­beiter werden zukünftige einen beträcht­lichen Anteil an der Abwehr solcher Cyber­at­tacken haben.

Falls ein Ein­bruch erfolg­reich war, ist eine schnellst­mög­liche Erkennung und Berei­nigung sicher zu stellen. Es wird eine Ver­schiebung der Ver­teilung von tech­ni­schen Prä­ven­ti­ons­maß­nahmen hin zu Detektion und Reaktion erfor­derlich sein.

Fazit:

Das Jahr 2015 wird wieder eine Her­aus­for­derung für die Infor­ma­ti­ons­si­cherheit im Unter­nehmen werden. Es gilt die neuen IT-Trends und die immer besser wer­denden Angriffs­me­thoden mit effek­ti­veren Sicher­heits-Kon­­zepten zu meistern und die Rolle des Mit­ar­beiters als wich­tigster Schutz­faktor zu fördern und zu nutzen.

Die Unter­nehmen müssen besser auf Sicher­heits-Attacken vor­be­reitet zu sein. Zustän­dig­keiten, Ablauf­pläne, Not­fall­pläne für die schnellst­mög­liche Wie­der­ein­satz­fä­higkeit sind zu erar­beiten. Die Mit­ar­beiter müssen ent­spre­chend geschult werden und ihren Anteil an der Ver­meidung von mög­lichen Angriffs­chancen bei­tragen können.

Hierfür stehen dem Mit­tel­stand unserer unter­stüt­zenden Infor­ma­tionen im Blog- Archiv  zur Ver­fügung.

Bild: © Rainer Sturm / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Stefan Brandl, DATEV eG

Stefan Brandl ist seit 1994 bei der DATEV eG in Nürnberg tätig. In der Kom­mu­ni­kation und Ver­marktung des Bereichs IT-Lösungen und Security ist er ver­ant­wortlich für den DATEV Sicher­heits­check und DATEV-Ansprech­partner für das Hand­lungs­ver­sprechen „Start­hilfe Sicherheit für den Mit­tel­stand” vom Verein Deutschland sicher in Netz e.V. (DsiN). U.a. ist er Co-Autor der DsiN-Sicher­heits­mo­nitore „Sicher­heitslage im Mit­tel­stand 2011/2012/2013 und 2014”. Seit 2012 betreut er zudem den DsiN-Blog.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.