A K T U E L L E S
Hier finden Sie aktuelle Beiträge und News rund um das Thema Informationssicherheit.
Geheimnisverrat in Unternehmen
Der kleine Mitarbeiter im Unternehmen, das kleine Zahnrad im Unternehmensgetriebe muss auch sehen wo es bzw. wo er bleibt. Schließlich wird alles teurer.
Im Darknet treibt ein neuer Kassenschlager frische Blüten. Mitarbeitende verkaufen dort ihre privilegierten Benutzerzugänge und ihr Insiderwissen des Unternehmens an Dritte.
Ein guter Schutz im Unternehmen gegen Geheimnisverrat und generell gegen Angriffe von innen sind Mitarbeitende, denen es im Unternehmen gut geht, die sich wohl fühlen und sich dem Unternehmen verbunden fühlen. Denn diese Mitarbeitenden würden nicht auf die Idee kommen, ihrem eigenen Arbeitgeber bewusst Schaden zuzufügen. Ein guter Schutz ist soziale Kompetenz unter den Führungskräften, die wissen wie Menschen funktionieren und die dieses Wissen in ihr Handeln im guten Sinne einbeziehen. Soziale Probleme wie z.B. Mobbing kommen selten von der Seite, sondern von oben oder werden von oben toleriert oder ignoriert. Soziale Kompetenz ist der Schlüssel und ein gutes, vorbeugendes Mittel gegen Angriffe von innen.
Es gibt allerdings auch technische Mittel. Wie seit langem von Sicherheitsexperten angepriesen sind die Philosophie von Zero-Trust und das Need-to-know-Prinzip eine gute Wahl. Viele Unternehmen scheuen den Aufwand und die daraus interpretierte Aussage an Mitarbeiter: „Wir trauen euch nicht mehr.“ Allerdings geht es bei Zero-Trust nicht um das Misstrauen gegen Mitarbeitende, sondern um das Misstrauen gegen Benutzerkonten. Ein Benutzerkonto sollte im Idealfall nur den Zugriff auf Daten und Informationen besitzen, die gerade für die auszuführenden Tätigkeiten benötigt werden. Und um diesen Zugriff zu erlangen, sollte der Mitarbeitende aktiv etwas tun müssen (Wissen und Besitz). So nützt einem unbefugten Dritten ein gekapertes Benutzerkonto erst einmal nichts oder nur sehr wenig.
Wenn Benutzerkonten generell nur Zugriff auf Daten und Informationen besitzen, die tatsächlich für ihre Arbeit benötigt werden (Need-to-know), ist die Angriffsfläche um ein großes Stück gemindert.
Wenn zudem Tools zur Angriffserkennung & Reaktion eingesetzt werden, ist ein Unternehmen gut aufgestellt.
Wachsende Schäden durch Cyber-Kriminalität in 2023
Durch Cyberkriminalität entstehen immer größere Schäden. Unternehmen dürfen Risiken nicht nur als ein Thema der IT-Sicherheit behandeln, sondern müssen Risiken unternehmensglobal betrachten.
Laut einer Bitkom-Umfrage unter mehr als 1000 Firmen in Deutschland entstand in 2023 ein Schaden von 206 Milliarden Euro. Hervorgehoben werden auch die wachsenden Aktivitäten aus Russland und China und der organisierten Kriminalität (Bericht der Tagesschau, 01.09.2023).
In seinem Internet Crime Report hat das FBI in 2023 mit 880418 Fällen einen Schaden von 12,5 Milliarden US-Dollar beziffert (Heise Security vom 08.03.2024 ; Federal Bureau of Investigation (FBI) Internet Crime Report 2023).
Gesetzgebung für Informationssicherheit kritischer Infrastrukturen (NIS2)
Institutionen und Unternehmen sollten nun handeln.
Am 16.01.2023 ist die EU-Richtlinie 2022/2555 (NIS2) in Kraft getreten, die bis zum 18.10.2024 in nationales Recht umgesetzt werden muss. Das zuständige Bundesministerium des Innern und für Heimat hat bereits einen Entwurf mit dem sperrigen Namen „NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) erarbeitet.
Betroffen sind Institutionen und Unternehmen, die den kritischen Infrastrukturen zugeschrieben werden. Dabei wurde der Umfang betroffener Institutionen und Unternehmen erheblich ausgeweitet. Unterschieden wird zwischen „Essential Entities“ und „Important Entities“. Für Important Entities gilt eine Größeneinstufung von mindestens 50 Mitarbeitern oder 10 Mio € Jahresumsatz.
Institutionen und Unternehmen sollten nun prüfen, ob Sie betroffen sind und ggf. Maßnahmen ergreifen, um den Forderungen rechtzeitig nachkommen zu können. Es kann nötig sein, ein Managementsystem für Informationssicherheit aufzubauen und zu betreiben, was entsprechend Zeit und Ressourcen verlangt.
Cloud-Dienstleister verliert alle (Kunden-)Daten durch Ransomware-Angriff
Einem Bericht von Heise Online zur Folge hat der Cloud-Anbieter CloudNordic durch einen Ransomware-Angriff seine gesamten Daten verloren. CloudNordic sah die Lösegeldforderungen als nicht erfüllbar. Daten der Kunden seien futsch, Server und Systeme verloren, und eine Kommunikation war nicht mehr möglich (Heise Online Security, 23.08.2023).
Unternehmen verlassen sich auf Sicherheitsmaßnahmen der Cloud-Anbieter und dass diese ihrer Verantwortung nachkommen. Geht etwas schief, hat den Schaden aber erst einmal das Unternehmen selbst, das vertraut hat. Wehe dem, der nicht vorsorgt.