{"id":292664,"date":"2024-02-25T00:04:00","date_gmt":"2024-02-24T23:04:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=292664"},"modified":"2024-04-19T09:45:32","modified_gmt":"2024-04-19T07:45:32","slug":"gelebte-verantwortungslosigkeit-umgang-mit-it-sicherheit-in-unternehmen-und-im-kritis-bereich","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/25\/gelebte-verantwortungslosigkeit-umgang-mit-it-sicherheit-in-unternehmen-und-im-kritis-bereich\/","title":{"rendered":"Gelebte Verantwortungslosigkeit: Umgang mit IT Sicherheit in Unternehmen und im KRITIS-Bereich"},"content":{"rendered":"

\"SicherheitNoch ein kleines Sonntagsthema, was ich hier mal im Blog zur Diskussion einstellen m\u00f6chte. Mir kommen ja immer wieder Stimmen aus der Gruppe der Administratoren und IT-Sicherheitsverantwortlichen in Unternehmen unter. K\u00fcrzlich hat mir jemand aus diesem Umfeld seine ern\u00fcchternden Erfahrungen im Bereich IT-Sicherheit in Unternehmen und speziell f\u00fcr den KRITIS-Bereich geschildert. Er meinte, das w\u00e4re sicher Stoff f\u00fcr einen kleinen Blog Beitrag. Es geht um das Thema \"gelebte Verantwortungslosigkeit in Chefetagen in Bezug auf IT-Sicherheit\". Die Frage ist, ob das ein \"Einzelfall\" bzw. \"Schauerm\u00e4rchen\" ist, und was die IT-Sicherheitsverantwortlichen aus dem Kreis der Leser zu diesem Thema zu sagen haben.<\/p>\n

<\/p>\n

Hey, wir haben eine \"Situation\"<\/h2>\n

\"\"Hier im Blog berichte ich ja \"gelegentlich\" \u00fcber so Sachen wie Hacks und Ransomware-Infektionen. Kommt nicht so wirklich oft vor, ist sozusagen ein \"seltener Normalfall\" in deutschen Unternehmen, h\u00e4tte Karl Valentin konstatiert. Spannend finde ich die Reaktion der Verantwortlichen, die auf die Frage \"wie konnte das nur passieren?\" Aussagen der Art \"es waren Hacker mit extrem krimineller Energie am Werk\", \"denen es gelungen ist, unsere vorz\u00fcglichen Sicherheitsma\u00dfnahmen zu \u00fcberwinden\", \"aber von solchen Angriffen h\u00f6rt man ja jetzt st\u00e4ndig\", und \"wir arbeiten mit Hochdruck an der Wiederherstellung der Systeme\" zu Protokoll geben.<\/p>\n

Kannst Du dann hinter die Kulissen schauen, was selten genug gelingt, str\u00e4uben sich einem, ob der Fehler, Vers\u00e4umnisse und Schludrigkeiten, die Nackenhaare. Eine Sternstunde war die Ransomware-Infektion beim Kommunal IT-Dienstleister S\u00fcdwestfalen-IT, die ich hier im Blog ja begleiten durfte. Hier hatte Gelegenheit, den mir \u00fcberlassenen Forensik-Bericht f\u00fcr die Leserschaft aufbereiten zu d\u00fcrfen (siehe Links am Artikelende). Dies erlaubte einen Blick, was da alles schief gelaufen ist.<\/p>\n

Beim AnyDesk-Cybervorfall war erst nur von einer technischen St\u00f6rung die Rede. Erst auf meinen Blog-Beitrag, in dem ich den Verdacht \u00e4u\u00dferte, dass da mehr dahinter steckte, kam Bewegung in die Sache. \u00c4hnlich wie in anderen F\u00e4llen tr\u00f6pfelten vage Informationen bei mir ein, die ich mit etwas Erfahrung und \u00f6ffentlich verf\u00fcgbaren Informationen schrittweise zu einem Gesamtplot zusammen setzen konnte. Auf Grund meiner Vermutungen sah sich der Anbieter Schritt f\u00fcr Schritt zur Offenlegung bzw. Best\u00e4tigung meiner Vermutungen gezwungen. Das Ganze ist inzwischen zu einer aus 12 Teilen bestehenden Artikelreihe angewachsen (siehe Link am Artikelende). Was dort falsch gelaufen ist, wei\u00df ich bis heute nicht, aber der Anbieter steht mit seiner Offenlegungspolitik nicht gut da.<\/p>\n

Wir machen mal in Cybersicherheit<\/h2>\n

Auf Grund der Berichterstattung hier im Blog kommen auch immer wieder Leser mit Informationen und Fragen auf mich zu. Ein Leser wies auf die anstehende NIS-2-Richtlinie hin. Damit will die EU die Cybersicherheit in Unternehmen und Beh\u00f6rden verbessern. Im Dezember 2023 hatte ich dann hier im Blog \u00fcber die NIS-2-Richtlinie (NIS steht f\u00fcr Network and Information Security) berichtet – siehe NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden<\/a>.<\/p>\n

Diese NIS-2-Richtlinie legt verbindliche Cyber Security-Mindeststandards f\u00fcr Betreiber kritischer Infrastrukturen (KRITIS) fest. NIS-2 betrifft mehr Unternehmen als die seit 2016 geltende Richtlinie NIS-1 und verspricht die Unternehmensf\u00fchrung mehr in die Haftung zu nehmen, muss aber erst zum 17. Oktober 2024 von betroffenen Unternehmen verpflichtend umgesetzt werden.<\/p>\n

\"Kommentar<\/a><\/p>\n

Manual Atug von der AG KRITIS hat k\u00fcrzlich bei heise im Artikel Kommentar zum NIS2-Gesetz: Jetzt haftet endlich der Chef f\u00fcr Cybersicherheit<\/a> die Umsetzung umrissen – aber die Tage auch auf X gepostet, dass die gesetzliche Umsetzung in Deutschland wohl nicht bis zum Stichtag fertig w\u00fcrde.<\/p>\n

Die Praxis: Ein Blick in den Abgrund?<\/h2>\n

Mit obigen Ausf\u00fchrungen haben wir einen sch\u00f6nen Plott in Sachen Cybersicherheit. Es gibt \"sch\u00f6ne Gesetze\", wir legen fest, wer unter KRITIS f\u00e4llt und alles wird sch\u00f6n \"Cyber-sicher\". Leute mit \"schwarzer Seele\" meinen wom\u00f6glich \"ich glaube dem sch\u00f6nen Schein nicht, alles Fassade\". Mir war k\u00fcrzlich schon das Klagelied eines IT-Sicherheitsverantwortlichen im Bereich kritischer Infrastrukturen untergekommen. Dort wurde von \"gelebter Verantwortungslosigkeit\" im Management gefl\u00fcstert.<\/p>\n

Obwohl im Unternehmen standardisierte Verfahren f\u00fcr den Umgang mit Informationen und Dokumenten gelten, herrscht wohl Wildwuchs. Vertrauliches, was mit Office 365 in die Cloud wandert, Dokumente und Gesch\u00e4ftsgeheimnisse, die vom Management oder Angestellten mal eben auf OneDrive gespeichert oder mit Dritten ausgetauscht werden, und so weiter. Dass Dokumente in Unternehmen dann mal eben per WhatsApp verschickt werden, ist mir auch schon mal aus dem Kreis der Leser genannt worden. Der t\u00e4gliche Wahnsinn, und der IT-Sicherheitsverantwortliche bekommt bei Hinweisen auf Missst\u00e4nde die erstaunte Antwort \"Wieso? Machen doch Alle so!\".<\/p>\n

In dieses Schema passt auch eine Schilderung der ern\u00fcchternden Erfahrungen von jemand,\u00a0 der ebenfalls im Bereich IT Sicherheit in Unternehmen und speziell im Umfeld des KRITIS-Bereichs t\u00e4tig ist. Ich habe hier mal in extrem geraffter Fassung die Haltung des Managements in Sachen IT-Sicherheit zusammengefasst:<\/p>\n