Cybersicherheit

Was ist Blockchain-Sicherheit?

Blockchain-Netzwerke können sich darin unterscheiden, wer teilnehmen kann und wer Zugriff auf die Daten hat. Netze werden normalerweise als öffentlich oder privat gekennzeichnet, womit beschrieben wird, wer teilnehmen darf, und mit Berechtigungen oder ohne Berechtigungen, womit beschrieben wird, wie Teilnehmer Zugriff auf das Netz erhalten.

Öffentliche und private Blockchains

Öffentliche Blockchain-Netze ermöglichen in der Regel jedem den Beitritt und die Teilnehmer bleiben anonym. Eine öffentliche Blockchain verwendet mit dem Internet verbundene Computer, um Transaktionen zu validieren und einen Konsens zu erzielen. Bitcoin ist wahrscheinlich das bekannteste Beispiel für eine öffentliche Blockchain und erreicht durch „Bitcoin-Mining“ einen Konsens. Computer im Bitcoin-Netz oder "Miner" versuchen, ein komplexes kryptografisches Problem zu lösen, um einen Arbeitsnachweis zu erstellen und dadurch die Transaktion zu validieren. Außer öffentlichen Schlüsseln gibt es in dieser Art von Netz nur wenige Identitäts- und Zugriffskontrollen.

Private Blockchains verwenden die Identität, um die Mitgliedschaft und Zugriffsrechte zu bestätigen und erlauben normalerweise nur bekannten Organisationen den Beitritt. Zusammen bilden die Organisationen ein privates "Geschäftsnetz", das den Mitgliedern vorbehalten ist. Eine private Blockchain in einem autorisierten Netz erreicht einen Konsens durch einen Prozess namens "selektive Bestätigung", bei dem bekannte Benutzer die Transaktionen überprüfen. Nur Mitglieder mit besonderen Zugriffsrechten und Berechtigungen können das Transaktions-Ledger pflegen. Dieser Netztyp erfordert mehr Identitäts- und Zugriffskontrollen.

Beim Erstellen einer Blockchain-Anwendung ist es wichtig zu beurteilen, welcher Netztyp am besten zu Ihren Geschäftszielen passt. Private und autorisierte Netze können streng kontrolliert und aus Compliance- und regulatorischen Gründen bevorzugt werden. Öffentliche Netze und Netze ohne Genehmigungen können jedoch eine größere Dezentralisierung und Verteilung erreichen.

Sicherheit im Internet: Phishing, Spam & Pornografie

Der Banking-Schutz fügt, wenn aktiviert, beim Online-Banking oder bei Online-Transaktionen eine weitere Sicherheitsebene hinzu.

Der Banking-Schutz prüft die von dir besuchten Webseiten mittels Abfrage in einer Cloud-basierten Datenbank auf Sicherheit (benutzte Zertifikate und Verschlüsselung) und Vertrauenswürdigkeit. Durch diese Prüfung erfährt der Banking-Schutz, ob die Seite als eine unserer vertrauenswürdigen Banking-Seiten gelistet ist oder nicht. Du erhältst eine Benachrichtigung darüber, ob du dich auf einer sicheren Webseite bewegst.

Beim Start deiner nächsten Online-Banking-Sitzung wird der Banking-Schutz automatisch wieder aktiviert.

Hinweis: Auf dem PC bietet der Banking-Schutz ausserdem zusätzliche Sicherheit. Wenn du eine Online-Banking-Sitzung begonnen hast und der Banking-Schutz aktiviert ist, trennt der Banking-Schutz alle nicht vertrauenswürdigen Anwendungen vom Internet und verhindert während der ganzen Session, dass sich diese erneut mit dem Internet verbinden. Das Blockieren von Verbindungen verhindert, dass Dritte Zugriff auf den Datenfluss erhalten und sorgt so dafür, dass dein Geld in Sicherheit ist und bleibt. Während einer Banking-Sitzung kannst du ausserdem nur auf Websites zugreifen, die als sicher eingestuft werden, alle anderen werden blockiert.

Hinweis: Um den Banking-Schutz auf Android-Geräten zu nutzen, ist die App UPC Internet Security Safe Browser erforderlich.

Cybersicherheit

Bild: elektraVision AG

Cybersicherheit betrifft alle Bereiche der Informations- und Kommunikationstechnik und es ist Sache der Geschäftsleitung, das Sicherheitsmanagement effizient zu gestalten. Wichtig sind dabei nicht nur technische Maßnahmen, sondern auch die Auswahl und Anleitung der Mitarbeitenden. Informieren kann man sich bei verschiedenen Organisationen.

Was ist Cybersicherheit: Definition

Das Bundesamt für Sicherheit in der Informationstechnik definiert Cybersicherheit folgendermaßen: „Cyber-Sicherheit befasst sich mit allen Aspekten der Sicherheit in der Informations- und Kommunikationstechnik. Das Aktionsfeld der klassischen IT-Sicherheit wird dabei auf den gesamten Cyber-Raum ausgeweitet. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein.“

Andere Experten gehen noch weiter, wie z.B. Für Sven Janssen, Regional Director Central Europe bei Sonicwall. Für ihn gehören auch der physische Schutz von Gebäuden und Serverräumen dazu, sowie Schutzmaßnahmen gegen Malware, Netzwerksicherheit sowie die Sicherung von Cloud-Infrastrukturen, mobilen Szenarien und dem Internet der Dinge.

Cyber Sicherheit in Deutschland

Deutsche Gesellschaft für Cybersicherheit

Cyber-Sicherheitsrat Deutschland e.V.

Allianz für Cyber-Sicherheit:

IT-Lage- und Analysezentrum des BSI

Computernotfallteam der Bundesverwaltung CERT-Bund

UP KRITIS: ISO 27000

Cyber Risiken

Am Cyber-Sicherheits-Tag 01.09.2017 in der IHK Darmstadt, veranstaltet von der Allianz für Cyber-Sicherheit, wurde von Andreas Schütz, Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt (FHWS) das Thema Sicherheit mobiler Endgeräte behandelt. Er nannte in seinem Beitrag folgende Risiken:

Überwachung

Identitätsdiebstahl

Abfangen von Informationen

Ausspionieren von Geschäftsgeheimnissen

Diebstahl von Know-How

Zugriff auf das Online-Banking

Vorbereitung für weitere Angriffe

Botnet-Aktivitäten bzw. Missbrauch

Um diese Risiken zu bekämpfen, sei bei den Angestellten ein Sensibilisierungsprozess notwendig, d.h. Aufklärung und Analyse der Risiken und der möglichen Gegenmaßnahmen und spätere Kontrolle, ob diese wirksam sind.

Cybersicherheitsgesetz

Seit Juli 2015 gilt das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, BSIG). Dieses schreibt vor, dass ein Bundesamt für Sicherheit in der Informationstechnik eingesetzt wird. Laut diesem sollen durch das Gesetz die Deutschen IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit werden.

Betreiber von sogenannten Kritischen Infrastrukturen sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind (§ 8a BSIG). Das Gesetz ist nicht anwendbar auf Kleinstunternehmen (§ 8d BSIG).

Cyber Sicherheitsstrategie in Unternehmen

Der Kampf gegen Industriespionage ist Chefsache, wobei die Vorgesetzten natürlich ein Vorbild sein müssen. Die Firmenleitung hat ein Konzept und Richtlinien zu erarbeiten, und zwar mit einem ganzheitlichen Ansatz für alle Bereiche. Eine Risiko- und Schwachstellenanalyse ist dafür eine nützliche Grundlage. Darüber sollten die Angestellten von Anfang an informiert und an der Ausarbeitung des Konzepts beteiligt werden. Wenn es um Vorschriften für die Mitarbeitenden geht, ist gemäß § 87 Abs.1 Nr.1 BetrVG auch der Betriebsrat einzubeziehen.

Wichtig für Cybersicherheit ist eine hohe Verbundenheit und Loyalität gegenüber den Mitarbeitenden und Interesse für ihre Arbeit. Diese wird gefördert durch gute Entlohnung, und auch Anerkennung der Leitungen der Mitarbeiter. Diese ist vor allem bei den Computer- und IT-Fachleuten wichtig, denn diese könnten die größten Schäden anrichten. Also muss man gerade in dem Bereich die Mitarbeitenden und allfällige Vertragspartner, z.B. Cloudanbieter, sorgfältig auswählen.

Die Mitarbeitenden müssen über mögliche Gefahren und Risiken im IT-Bereich und die Maßnahmen dagegen informiert werden. Sie müssen davon überzeugt werden, dass sie auch im sozialen Verhalten in Bezug auf das Unternehmen diskret sind. Industriespionage, die auch Folgen für die Cybersicherheit hat, wird oft durch soziale Kontakte begangen, das kommt keineswegs nur in Romanen vor.

Die Geschäftsleitung muss dafür sorgen, dass das Datenschutzrecht in der Firma befolgt wird. Zum Beispiel entsprechen, nach Auffassung des sächsischen Datenschutzbeauftragten, unverschlüsselte E-Mails von Berufsgeheimnisträgern nicht mehr dem technischen Stand, vor allem nicht bei Ärzten, Apothekern, Rechtsanwälten und Sozialarbeitern.

Wichtig: Nach Strafgesetzbuch gibt es einige Straftatbestände, die als IT-Delikte zu betrachten sind, z.B. Ausspähen von Daten § 202a StGB, Datenhehlerei, § 202d StGB, Verwertung fremder Geheimnisse § 204 StGB. Gemäss § 14 StGB können Angestellte strafbar werden, auch wenn sie die Tat nicht selber begangen haben, sondern eines der Organe des Unternehmens oder ein Gesellschafter. Wenn ein Inhaber eines Betriebes eine Straftat begeht, kann auch ein Geschäftsleiter haften.

Auch in der Hinsicht müssen die Personen überprüft werden, mit denen man zusammenarbeitet. Das höchste Risiko In der Informatik ist der Mensch, das zeigt sich immer wieder.

Informationssicherheitsmanagementsystem aufbauen

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels