Wir haben den 30. November, Tag der Computersicherheit. Zeit, einen Blick auf dieses Thema zu werfen. Denn es sieht nicht gut aus. Täglich erfolgreiche Cyberangriffe und ein EU-Vertragsverletzungsverfahren der EU gegen Deutschland, wegen nicht umgesetzter NIS-2-Richtlinie. Hier ein kurzer Abriss des Themas.
Anzeige
Der Aktionstag wurde im Jahr 1988, in den USA, von der Vereinigung für Computersicherheit ins Leben gerufen. Der Tag soll die Menschen erinnern, ihre Computer und ihre persönlichen Daten zu sichern.
IT im Unternehmen sichern
Laut einer Bitkom-Studie waren 81 Prozent der deutschen Unternehmen im Jahr 2023 von Cyberangriffen betroffen. Die Gesamtschäden belaufen sich auf 267 Milliarden Euro. Hackerangriffe stehen mittlerweile auf Platz 1 des Rankings der bedrohlichsten Geschäftsrisiken.
Cyber-Resilienz ist damit nicht mehr nur eine Option, sondern eine Notwendigkeit für Unternehmen, um zukunfts- und wettbewerbsfähig zu bleiben. Daher müssen IT-Infrastrukturen und die Geschäftsprozesse eines Unternehmens so widerstandsfähig gestaltet sein, dass sie nicht nur Cyberangriffen erfolgreich standhalten können, sondern sich auch zügig von deren Auswirkungen erholen.
Besonders der Mittelstand sieht sich immer häufiger im Fadenkreuz, da Angreifer auf gezielte und zunehmend professionell organisierte Methoden setzen.
Anzeige
Elmar Török, Architect Cloud Security, All for One Group, meint, dass der menschliche Faktor eine ganz entscheidende Rolle in Sachen Cybersecurity spielt. Obwohl Security Awareness-Training in jedem Security-Compliance Framework gefordert werde, gäben sich die Unternehmen immer noch mit der Minimalversion – einmal im Jahr 20 Minuten Web-based Training und drei Fragen – zufrieden. Dabei seien die Mitarbeiter die erste Verteidigungslinie! Diese müssen keine IT-Sicherheitsprofis werden, es reicht, das Bauchgefühl für eine ungewöhnliche Mail oder einen merkwürdigen Anruf zu entwickeln. Das erfordert Aufwand und sinnvolle Planung, die zum Unternehmen passt, zahlt sich aber laut Törok aus.
Datenklassifizierung hilft Unternehmen, ihre kritischen Daten besonders zu schützen und ein Abfließen von vertraulichen Informationen zu unterbinden – etwa, wenn Mitarbeiter das Unternehmen verlassen.
Auch Identity and Access Management, also das Zuweisen und Entziehen von Rollen und Berechtigungen auf „Need to know"-Basis, hilft, Sicherheitsvorfälle durch Mitarbeitende zu vermeiden.
Ein hundertprozentiger Schutz vor Cyberangriffen ist unmöglich. Irgendwann werden die Angreifer erfolgreich sein. Unternehmen sollten sich daher rechtzeitig auf den Ernstfall vorbereiten, indem sie ihre Resilienz steigern, wozu auch Backup-Pläne und Disaster Recovery gehören.
NIS-2: EU-Verfahren gegen Deutschland
Zur Erhöhung der Cybersicherheit hat die EU die sogenannte NIS-2-Richtlinie erlassen (NIS-2 steht für Network Information Security 2). Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enthält rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU.
Ich hatte hier im Blog ja einige Male auf NIS-2 hingewiesen (siehe Links am Artikelende). Deutschland hätte bis Oktober 2024 national die NIS-2-Richtlinie umsetzen müssen. Es nichts passiert, außer, dass die EU-Kommission am 28. November 2024 ein Vertragsverletzungsverfahren gegen Deutschland wegen Nichtumsetzung der Richtlinie eingeleitet hat.
Die Kommission erlässt eine Reihe von Beschlüssen zu Vertragsverletzungsverfahren gegen Mitgliedstaaten, die nicht mitgeteilt haben, welche Maßnahmen sie zur Umsetzung von EU-Richtlinien in nationales Recht ergriffen haben.
Dabei sendet die Kommission laut dieser Information zunächst Aufforderungsschreiben an alle Mitgliedstaaten, die keine nationalen Maßnahmen zur Umsetzung von Richtlinien gemeldet haben, deren Umsetzungsfrist vor Kurzem abgelaufen ist. So haben 26 Mitgliedstaaten noch keine vollständige Umsetzung von zwei EU-Richtlinien in den Bereichen digitale Wirtschaft sowie Migration, Inneres und Sicherheitsunion mitgeteilt.
Die betreffenden Mitgliedstaaten haben nun zwei Monate Zeit, um auf die Aufforderungsschreiben zu antworten und die Richtlinien vollständig umzusetzen; anderenfalls kann die Kommission beschließen, mit Gründen versehene Stellungnahmen zu übermitteln.
Die Europäische Kommission hat beschlossen, mit der Übermittlung von Aufforderungsschreiben Vertragsverletzungsverfahren gegen 23 Mitgliedstaaten (Bulgarien, Tschechien, Dänemark, Deutschland, Estland, Irland, Griechenland, Spanien, Frankreich, Zypern, Lettland, Luxemburg, Ungarn, Malta, die Niederlande, Österreich, Polen, Portugal, Rumänien, Slowenien, die Slowakei, Finnland und Schweden) einzuleiten, weil diese Länder die NIS-2-Richtlinie (Richtlinie 2022/2555) nicht vollständig umgesetzt haben. Die Mitgliedstaaten mussten die NIS-2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen.
Gemäß obigem Tweet, der auf einen Artikel des Tagesspiegel verweist, wird die gesetzliche Regelung in Deutschland bis Herbst 2025 auf sich warten lassen. Aber hey, am 30. November 2025 haben wir wieder Computer-Security-Day.
Ähnliche Artikel:
NIS-2-Richtlinie zu Cybersicherheit und Resilienz im Amtsblatt der EU veröffentlicht
BSI will Unternehmen bei NIS-2 unterstützen
Praxisleitfaden zur NIS-2-Umsetzung
Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen
NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden
Gelebte Verantwortungslosigkeit: Umgang mit IT Sicherheit in Unternehmen und im KRITIS-Bereich
Kommunal-IT und Informationssicherheitsbeauftragte (ISBs) in der NIS-2-Falle?
Anzeige
Wie immer, wenn die Politik etwas nicht möchte.
Bei der Vorratsdatenspeicherung war es auch eine EU-Auflage, diese musste natürlich SOFORT umgesetzt werden, da hatte die Regierung ja gar keine andere Wahl.
Sind halt nicht alle Auflagen und Gesetze der EU gleich.
Wo gibt es denn eine offizielle verständliche konkrete Anleitung, wie man Sicherheit umsetzt?
Die Anleitungen vom BSI sind entweder nur allgemeines Geplapper oder ein Wust von ellenlangen Tabellen mit tausenden Registry, GPO etc, die kaum jemand abarbeiten kann ohne wahnsinnig zu werden.
– Punkt 1 müsste lauten, vermeiden Sie MS-Windows 10 und höher, MS-Exchange, MS-Office, MS-Konten, MS-Cloud um jeden Preis.
Wirtschaftsspionage ist Hauptaufgabe der NSA und Microsoft unterstützt die NSA nach Kräften.
– Virenscanner?
Upload von Beispielen in die Cloud abschalten.
Wie verhindert man Datenvernichtung durch den Virenscanner, wenn er Amok läuft und false-positive unwiederbringlich löscht? So ein Wiper mit Systemrechten ist kein Spaß. Sowas kam bei Microsoft Defender schon mehrmals vor.
Ordnerüberwachung als Schutz vor Ransomware behindert auch das normale Arbeiten.
– Firewall?
Desktop-Firewalls auf dem selben zu schützenden System sind generell ungeeignet und bringen zusätzliche Sicherheitslücken auf das System.
– Verschlüsselung mit Bitlocker?
Den Schlüssel hat man doch gar nicht selber generiert, er liegt bei Microsoft in der Cloud und er wird an Behörden herausgegeben.
– GPO?
Die Gruppenrichtlinien werden manchmal nicht mehr beachtet, wenn es ein Update gab. Etwa bei den SRP, die dann unwirksam sind, wenn man nicht an einer neuen anderen Stelle etwas umstellt, was aber vorher nicht kommuniziert wurde.
– Applocker?
Arbeitet bei Windows 10 deutlich unsicherer als bei Windows 7 und startet Programme trotzdem, obwohl sie in einem verbotenen Ordner liegen.
Wenn ich zum Beispiel die AutoRuns.exe aus den Sysinternals auf den Desktop kopiere, dann kann ich die problemlos starten, obwohl ich den Desktop-Ordner im Applocker verboten hatte, inklusive "Regeln erzwingen", laufendem Anwendungsidentitätsdienst, gpupdate /force, Neustart.
Das Programm wird bei Windows 10 trotz Applocker gestartet und das darf nicht sein. Windows 7 hingegen blockt das Programm wirklich und es erscheint die Meldung, dass eine Gruppenrichtlinie die Ausführung des Programms verbietet.
– Updates?
Die machen oft mehr kaputt als sie fixen.
Neue Sicherheitslücken, neue Bugs, dafür werden alte Sicherheitslücken gefixt bzw durch den Patch erst bekannt gemacht. Da sagt der Hacker dann Dankeschön, weil er jetzt genau weiß, wo er hinschauen muss, um offene Türen zu finden.
– Zwei-Faktor-Authentisierung?
Ist sehr wirkungsvoll, wenn es funktioniert.
Wenn aber Mobilfunk oder email gestört ist, dann kommt man selber nicht mehr an seine Daten heran, weil man den zweiten Faktor dann nicht kennt.
Persönliche Smartcard + Kennwort wäre dann am besten.
– Email-Apps von Microsoft wie das neue Outlook, wo dann die Passwörter für die email-Konten an Microsoft übergeben werden?
– Netzwerktechnik von CISCO, wo die Adminkennwörter hardkodiert in der Firmware sind und jeder der die kennt dann damit reinkommt?
—
Was also genau soll man konkret machen, wenn man ein sicheres System haben will?
Die Anleitungen vom BSI umsetzen?
Das macht man genau 1 mal, indem man die Werte direkt in Gruppenrichtlinien setzt.
Und man sollte nicht benötigte Dienste deaktivieren.
Z.B. der Audiodienst und der Druckdienst sind i.d.R. auf Servern unnötig (Außer z.B. auf Terminalservern oder Druckservern) und gehören deaktiviert.
Computerbrowser kann man auch deaktivieren, nicht nur auf Servern, sondern auf allen PCs. Lt. Microsoft wird der Dienst schon seit langer Zeit nicht mehr verwendet.
etc. etc.
Und ja, eine Desktopfirewall ist keine gute Idee, denn eine Firewall soll ja verhindern, das überhaupt auf ein System zugegriffen werden kann. Bei einer Desktopfirewall ist der Angreifer aber schon auf dem System und erst dann kann die Firewall aktiv werden.
Die veralteten Anleitungen vom BSI? Die für jedes Windows Funktionsupdate wieder neu erstellen werden müssten? Ja, wenn man die genau 1 mal in Gruppenrichtlinien setzt, dann ist man sicher. Netter Scherz.
Die grundlegenden Dinge ändern sich auch durch ein Funktionsupdate nicht, ja selbst durch eine neue Windows-Version nicht.
Beispielsweise unsichere Hashverfahren (wie z.B. MD5) zu deaktivieren oder z.B. TLS bis einschließlich 1.1 zu deaktivieren oder die Umstellung von NTLM auf Kerberos.
Oder Passwortrichtlinien.
Durch Funktionsupdates kommen i.d.R. nur neue Dinge hinzu.
Aber allzuviele sind das i.d.R. nicht.
Und natürlich bekommt man durch die Umsetzung der BSI-Regeln keinen umfassenden Schutz. Aber man bekommt einen Grundschutz.
Und selbst daran hapert es bei sehr sehr vielen Firmen.
Man muß sich nur einmal anschauen, wieviel veraltete Sachen aus dem Internet frei zugänglich sind, wie viele aus dem Internet frei zugängliche Sachen seit Jahren keine Sicherheitsupdates bekommen haben, etc. Bei solchen Firmen ist die Umsetzung der BSI-Regeln ein Riesenschritt nach vorne bzgl. Sicherheit.
In Deutschland sind z.B. über 1000 Exchangeserver frei aus dem Internet zugänglich, die seit 4 Jahren keine Sicherheitsupdates bekommen haben. In anderen europäischen Ländern sieht es da auch nicht sehr viel besser aus.
Punkt 1.IT-Grundlagen müssten schon mal in der Schule beigebracht werden.
Punkt 2. Grundlagen der IT-Sicherheit,ebenfalls in der Schule+allgemeine
Medien.
Punkt 3. Ganz harte Regeln in FIRMENNETZWERKEN !!!
Punkt 4. Schulung in den "Übertragungsquellen" von Malware.
Allgemein: Mit wem habe ich es zu tun???
Verlinkung email: Kontrolle Header,mit der Maustaste über den Link fahren,
ohne anzuklicken.
Webrowser: Adressleiste und Statusleiste zum Link: Identisch???
Website: Analyse,rechte Maustaste: Untersuchen des Aufbaues.
Es gibt nur EINES: Schulung,Schulung,und nochmals Schulung !!!
Unbedarfte User sollten speziell einen neutralen Bekannten,zb.bei Finanzdingen
konsultieren.
Im vorherigen Tweet war die Info der Reisebuchung bei den "Traumreisen.de"
Hätte der Usern vielleicht mal die email-Adressen gecheckt,wäre viel Ärger
erspart geblieben.(Man muss halt wissen wie es funktioniert,auch wie man fälscht)
Danke,für das Lesen,will ja keine Profis belehren.
Bei den Normal-Usern besteht nicht viel Interesse,aus Faulheit,oder Unwissenheit.
Mir sträuben sich manchmal die Haare,wie "gewurschtelt"wird,privat wie in Firmen.
Danke!
Leider kannst du (manchmal) deinen kleinen Laden zumachen, wenn du alle sicherheitsrelevanten Dinge umsetzen willst, es fehlt an Zeit (um sich damit zu befassen) und Geld (für die Hard- und Software bzw. Profieinsatz).
Habe mal in so einem kleinen Laden gejobbt und hatte meinen "Spaß". Immer hin haben wir damals kleine Fortschritte gemacht, weil ich genügend genervt habe.
In dem Kommentar wurden auf jeden Fall schon so einige Mythen und Halbwahrheiten erwähnt, sowie Dinge, die man auf keinen Fall machen sollte.
Ansonsten kommt es wie so häufig auf die konkreten Schutzbedarfe an. Der IT-Grundschutz vom BSI kommt nicht ohne Grund vielen so undurchdringlich vor, weil er auf die Notwendigkeiten in großen Organisationen (Unternehmen und Behörden) abzielt. Dabei gibt es einfach zu viele Unterschiede schon in der internen Zusammenarbeit, als dass man IT-Sicherheit für mehr als eine handvoll Leute mit einer kurzen Checkliste abarbeiten könnte. Somit wird auch die Beschreibung des Aufbaus und der Anforderungen an ein Informationssicherheitmanagementsystem notwendigerweise sehr umfangreich, weil verschiedene Organisationen so verschieden aufgestellt sind. Und in großen Organisationen wird es in den wenigsten Fällen möglich sein, auf Windows und Active Directory zu verzichten, wobei genau dies aber die Softwareprodukte sind, auf die die allermeisten ungezielten Angriffe ausgerichtet sind.
Was man als Privatmensch macht, mit einem ganz anderen Einsatz von Ressourcen und schützwürdigen Gütern, ist eine völlig andere Frage. Dort kann man sich leichter entscheiden z.B. auf den Einsatz von Windows zu verzichten oder andere Dinge tun, die in großen Organisationen undenkbar sind oder viel zu lange dauern.
Ein aus meiner Erfahrung sehr bedeutender Unterschied, was die Informationssicherheit angeht, wird beim Thema Datensicherung deutlich, wenn man große Organisationen mit dem Privatumfeld vergleicht. Ein mehrfaches und von Schadsoftware nicht änderbares Backup von Daten ist in Privathaushalten die absolute Ausnahme. Es ist auch viel schwieriger umsetzbar als in einer großen Organisation, in der die zusätzliche Hardware für (Offline-)Backups bei weitem nicht so ins Gewicht fällt wie bei Privatleuten. Damit will ich nicht sagen, dass es nicht auch Organisationen gibt, in denen auf ein durchdachtes Backupkonzept verzichtet wird. Aber ein solches als Privatmensch umzusetzen ist erheblich schwieriger, insbesondere dann, wenn man auf ein Backup "in der Cloud" verzichten möchte.
Hi…
Ich zitiere hier mal die Signatur meines cb-Forumprofils:
"…Sicherheit?
Ach, du meinst wohl dieses aufgrund von globalen Naturgesetzen utopische und daher völlig überschätzte sowie falsch evaluierte, aber dennoch überall forciert suggerierte Virtualkonstrukt?! 🤪"
😂