Digitale Sicherheit, Cybersecurity, IT-Sicherheit
Die Zahl der Cyberattacken hat in den vergangenen Jahren stark zugenommen. Diese Erfahrung teilen auch die Mitgliedsunternehmen des VDE: 71 Prozent der Unternehmen mit mehr als 5.000 Mitarbeitern geben zu, bereits Opfer von Cyberangriffen geworden zu sein. Lediglich 10 Prozent sind der Meinung, dass Deutschland im internationalen Vergleich bei IT-Sicherheit führend ist. Hinzu kommt: Digitale Angreifer verbessern laufend ihre Angriffsstrategien – Bedrohungen lauern prinzipiell bei jeder vernetzten, digitalen Technologie. Deshalb wird Digitale Sicherheit zunehmend zur Herausforderung und Cybersecurity zum zentralen Erfolgsfaktor - sowohl privat als auch geschäftlich.
Digital Security und Industrie 4.0: CERT@VDE
Industrie 4.0 eröffnet große Chancen und Wertschöpfungspotenziale – gerade für die deutsche Wirtschaft, allen voran den Mittelstand. Zugleich steigt mit der fortschreitenden Vernetzung der Produktionssysteme mit modernen IKT-Systemen das Risiko von Cyberangriffen. Umso wichtiger ist es, Digitale Sicherheit als kritischen Erfolgsfaktor für Industrie 4.0 und Digitalisierung zu stärken.
Hier setzt CERT@VDE an: die Plattform zur Koordination von IT-Security-Problemen. Sie bietet Herstellern, Integratoren, Anlagenbauern und Betreibern aus dem Bereich Industrieautomation die Möglichkeit zum Informationsaustausch und konkrete Unterstützung beim Thema Sicherheit der IT-Systeme und Schutz vor Cyberattacken.
Digitale Sicherheit und Normung
Security by Design ist eine zentrale Voraussetzung dafür, dass IT-Lösungen und Produkte interoperabel eingesetzt werden können und das Internet der Dinge Wirklichkeit wird. Zugleich zeichnet sich aber ein Konflikt zwischen IT-Sicherheit und Usability ab: Wie viel IT-Sicherheit ist nötig, um Angriffe abzuwehren, und wann führen Maßnahmen zur IT-Sicherheit letztlich dazu, dass IT-Systeme nicht mehr nutzbar und akzeptabel für den Nutzer sind? Dieser Konflikt zwischen IT-Security und Usability will die Normung auflösen.
Cyber Security im Umfeld von Internet und Smart Home
Von der Gefahr Ziel eines Cyberangriffs zu werden sind jedoch nicht nur Unternehmen betroffen: Die Heizung regeln wir von unterwegs per Smartphone und Bankgeschäfte wickeln wir sowieso nur noch online ab. Durch die zunehmende Digitalisierung verändert sich unser Alltag. Künftig werden neben PC und Smartphone immer mehr Geräte mit dem Internet verbunden sein – und somit auch mit „fremden“ Geräten und anderen Nutzern, die Sie leicht ausspionieren können. Diese Entwicklung bietet Hackern ganz neue Einfallstore. Wir verraten Ihnen wie Sie sich vor Cyberangriffen schützen können und digital sicher unterwegs sind.
Was ist Informationssicherheit?
Informationen sind interpretierte Daten. Eine Zahl kann beispielsweise eine Anzahl, eine Uhrzeit oder eine Entfernung zwischen zwei Orten sein. Erst nach ihrer Interpretation, etwa dem Hinzufügen einer Einheit, wird sie zu einer Information. In der heutigen Zeit nutzen wir vermehrt Datenträger, Computer und Netzwerke, um Informationen zu verarbeiten, zu speichern oder zu übertragen. Informationen sind ein zentraler Wert für Unternehmen, Behörden sowie Privatpersonen und müssen angemessen geschützt werden. Die Informationssicherheit fußt auf drei Säulen: Zugänglichkeit zu jeder Zeit für berechtigte Nutzer (Verfügbarkeit), Vollständigkeit und Richtigkeit der Information (Integrität) und Schutz vor Zugriff durch unberechtigte Dritten (Vertraulichkeit). Für die eigenen vier Wände bedeutet Informationssicherheit zum Beispiel, den unberechtigten Zugriff von außen auf sensible Daten wie private Fotos, Online-Banking oder Smart-Home-Anwendungen zu verhindern.
Und was ist der Unterschied zu IT-Sicherheit?
Der Begriff Informationssicherheit statt IT-Sicherheit ist umfassender und wird deshalb mittlerweile zunehmend verwendet. Da sich in der Literatur jedoch noch überwiegend der Begriff „IT-Sicherheit" findet, wird er in einigen Publikationen des IT-Grundschutzes weiterhin verwendet. Viele Texte werden aber schrittweise auf die Betrachtung von Informationssicherheit ausgerichtet.
Sicherer Login und Passwörter: Online-Konten schützen
Egal ob in Sozialen Netzwerken, beim Streaming-Anbieter oder im Online-Shop: Wer im Internet unterwegs ist, nutzt heute ganz alltäglich zahlreiche Logins, um ausschließlich selbst Zugriff auf die eigenen Profile und Konten zu haben. Kaum jemand möchte, dass andere die Bankdaten kennen oder E-Mails mitlesen. So verfügt heute jeder Mensch in Deutschland im Durchschnitt über 78 Online-Konten. Standardmäßig sind die meisten Benutzerkonten im Netz mit einer Kombination aus Benutzernamen und Passwort geschützt. Mittlerweile bieten viele Online-Dienstleistende und Plattformen außerdem die Möglichkeit, sich mit einem zweiten Faktor bei der Anmeldung zu identifizieren. Wie man das Login zum Online-Konto schützt, hängt stark von der Nutzung im Alltag und den technischen Vorgaben des Anbieters ab. Die wachsende Zahl an Online-Konten verführt viele Nutzer*innen außerdem dazu, dasselbe Passwort ehrfach zu vergeben oder besonders einfache Passwörter zu verwenden.
Die DsiN-Grundregeln für sichere Online-Zugänge und -Konten
Es gibt ein paar Tipps, um die eigenen Online-Konten sicher einzurichten. Weitere Informationen gibt es außerdem in den „So geht’s“ Link-Tipps. Grundsätzlich sollten Sie für einen sicheren Login beachten:
Ein eigenes Passwort für jedes Ihrer wichtigen Konten: Jeder persönliche Zugang muss mit einem eigenen Passwort geschützt sein. Passwort-Manager helfen bei der Verwaltung.
Nutzen Sie die Zwei-Faktor-Authentifizierung: Viele Anbieter nutzen heute neben dem Passwort einen zweiten Faktor. Dazu zählen SMS-Code per Telefon oder ein USB-Stick. Dieser doppelte Zugang (kurz 2FA) ist sicherer, da auch ein direkter Zugriff auf das für die Authentifizierung hinterlegte Gerät notwendig ist.
Halten Sie Ihre Login-Daten geheim: Wenn Sie Passwörter notieren, bewahren Sie die Notiz an einem geheimen Ort auf, keinesfalls am Bildschirm Ihres Rechners. Und teilen Sie Zugriffsrechte nur über geschützte Kanäle.
Überprüfen Sie die Zugriffsrechte auf Ihr Konto: Automatisieren Sie die Benachrichtigungsfunktion über ungewöhnliche Anmeldungen bei Ihrem Account.
Achten Sie auf aktuelle Fälle von Passwort-Diebstahl und Daten-Leaks: Immer geraten Zugangsdaten in falsche Hände und eine Passwortänderung wichtig ist. Die SiBa-App informiert über Vorfälle und gibt erste Tipps.
Starke Passwörter erstellen
Für viele Konten im Alltag bleibt ein starkes Passwort die erste Verteidigungslinie gegen Angreifer aus dem Netz. Dabei muss ein sicheres Passwort nicht automatisch schwer zu merken sein. Eine beliebte Methode ist die Merksatzmethode. Wählen Sie einen Satz oder eine Redewendung und verwenden Sie nur Anfangsbuchstaben und Satzzeichen.
So ergibt zum Beispiel:
Um mir die 10 wichtigsten Passwörter zu meinen Online-Konten zu merken, verwende ich die Merksatzmethode!
das sichere Passwort:
Umd10wPzmO-Kzm,vidM!
Wer im privaten oder beruflichen Alltag viele unterschiedliche Logins nutzt, könnte auch auf Passwortmanagern zurückgreifen und dazu beitragen, die eigene Accountsicherheit zu erhöhen. Wie in einem digitalen Schlüsselkasten speichern Passwortmanager Login-Daten verschlüsselt ab und sind nur mit einem Master-Passwort zugänglich. Zudem helfen die Programme beim Generieren sicherer, komplexer Passwörter.
DsiN-Tipps für ein starkes Passwort:
Verwenden Sie möglichst lange Passwörter: Sichere Passwörter bestehen aus etwa 12-15 Zeichen.
Sichere Passwörter bestehen aus etwa 12-15 Zeichen. Nutzen Sie komplizierte Zeichenfolgen: Vermeiden Sie zusammenhängende Wörter, die im Wörterbuch zu finden sind. Nutzen Sie stattdessen eine einmalige Kombination aus Klein- und Groß-Buchstaben, Zahlen und Sonderzeichen.
Vermeiden Sie zusammenhängende Wörter, die im Wörterbuch zu finden sind. Nutzen Sie stattdessen eine einmalige Kombination aus Klein- und Groß-Buchstaben, Zahlen und Sonderzeichen. Setzen Sie auf sinnvolle statt regelmäßige Passwortwechsel: Passwörter zu wechseln ist besonders bei ungewöhnlichen Konto-Aktivitäten, Änderungen von Zugriffsrechten oder Bekanntwerden von Daten-Leaks sinnvoll.
Passwörter zu wechseln ist besonders bei ungewöhnlichen Konto-Aktivitäten, Änderungen von Zugriffsrechten oder Bekanntwerden von Daten-Leaks sinnvoll. Nutzen Sie die DsiN-Passwortkarte: die DsiN-Passwortkarte hilft beim Erstellen sicherer Passwörter anhand eines Koordinatensystems aus zulässigen Zeichen.
Weitere Informationen zu sicheren Logins aus unseren Projekten finden Sie hier:
Passwortprüfung und weitere Tipps für Vereinsmenschen im DiNa-Check
Das 1x1 des Datenschutz im Digital-Kompass für Verbraucher
IT-Sicherheit, so wichtig wie nie zuvor
Unternehmen sind in der aktuellen Zeit so vielen Onlineangriffen ausgesetzt wie nie zuvor. Ihr oberstes Gut sind die eigenen und vor allem die Kundendaten, die besonders geschützt werden müssen. Ein Zugriff von außen kann verheerende Schäden nach sich ziehen. Ob Betriebssysteme, Anwendungssoftware oder Datenbanken – nie zuvor war es so elementar die Software und Infrastruktur so sicher wie möglich aufzusetzen. Hierfür hat die Bundesverwaltung eine Vorgehensweise entwickelt die als IT-Grundschutz bezeichnet ist. Warum sich ein Unternehmen mit dem BSI IT-Grundschutz befassen sollte, fassen wir nachfolgend zusammen.
Was ist der BSI IT-Grundschutz?
Kunden, welche sich mit dem BSI IT-Grundschutz beschäftigen, müssen als erstes verstehen, dass es sich bei dem BSI Grundschutz Kompendium um ein Regelwerk handelt. Es beschreibt den sicheren Betrieb von IT-Infrastrukturen und bildet die ISO 27001 ab. Wikipedia:
Darum sollten sich Unternehmen mit dem BSI IT-Grundschutz befassen.
Es gibt viele Gründe warum Unternehmen sich bei der IT-Sicherheit am BSI IT-Grundschutz orientieren sollten. Eine sehr passende Beschreibung findet sich auf der Webseite des BSI:
„Für Unternehmen und Behörden ist es heutzutage unerlässlich, dass Informationen korrekt vorliegen und vertraulich behandelt werden. Entsprechend wichtig ist auch, dass die technischen Systeme, auf denen Informationen gespeichert, verarbeitet oder übertragen werden, reibungslos funktionieren und wirksam gegen vielfältige, immer wieder neuartige Gefährdungen geschützt sind.“ (Quelle: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzSchulung/OnlinekursITGrundschutz2018/onlinekurs_itgrundschutz_node.html
Das BSI gibt hier einen sehr guten Rahmen, an welchem sich Unternehmen bei der Einführung eines IT-Sicherheitskonzepts orientieren können. Da nicht alle Unternehmen / Bereiche identische Sicherheitsanforderungen haben, gibt es im BSI IT-Grundschutz verschiedene Schutzklassen (Schutzbedarf), welche Anwendung finden können. Eine der Vorgaben des IT-Grundschutz ist es, die Kosten für die Maßnahmen in einem vertretbaren Rahmen zu halten und hier sehr stark die Möglichkeiten auszuschöpfen, welche von dem Herstellen für z.B. Betriebssysteme geboten werden.
Manche Unternehmen und Behörden müssen nachweisen, dass in ausreichendem Maß für die Informationssicherheit gesorgt wurde. Dieser Nachweis fällt leichter, wenn Unternehmen und Behörden auf einen Standard, zum Beispiel den IT-Grundschutz, gesetzt haben und vielleicht auch nach ISO 27001 auf der Basis des IT-Grundschutz zertifiziert sind. Die einzelnen Maßnahmen des IT-Grundschutz sind hierbei im „IT-Grundschutz-Kompendium“ beschrieben.
Prüfung des IT-Grundschutz
Die Einführung der BSI IT-Grundschutzmaßnahmen in einer Behörde oder bei einem Unternehmen ist ein wesentlicher Baustein. Jedoch muss hier die „dauerhafte“ Überprüfung und Gewährleistung der gewählten Sicherheitseinstellungen regelmäßig geprüft und unter Umständen angepasst werden. In dynamischen Umgebungen, wie z.B. einer Virtualisierungsumgebung mit VMware vSphere, können sich im laufenden Betrieb sehr schnell ungewollte Einstellungen ergeben, weil die Administratoren bei der Fehlersuche unter Umständen Anpassungen an der Konfiguration vornehmen, welche sich nicht mit den Anforderungen des IT-Grundschutz decken.
Dauerhafte Überprüfung von VMware vSphere Umgebungen mit Runecast
Ist die erste Konfiguration des IT-Grundschutz abgeschlossen, sollten Unternehmen und Behörden darüber nachdenken, wie diese den Grundschutz prüfen können ohne hier auf manuelle Listen / Excel Tabellen zurückgreifen zu müssen. Auf dem Markt gibt es diverse Anbieter und innovative Lösungen von Überwachungssoftware. Für virtuelle VMware Umgebungen steht zum Beispiel mit dem Runecast Analyzer ein Tool zur Verfügung, welches die gesamte VMware Umgebung analysiert. Die Analyse und Überprüfung auf dem IT-Grundschutz ist hierbei ein Modul, welches ausgewählt werden kann. Primär unterstützt der Runecast Analyzer die Kunden dabei ihre gesamte VMware vSphere Umgebung auf mögliche Probleme zu scannen und Probleme zu lokalisieren und zu beheben bevor diese zu einem Problem in der virtuellen Infrastruktur werden.
In diesem log Post wollen wir uns primär auf das IT-Grundschutz Modul konzentrieren. Bevor das IT-Grundschutz Modul verwendet werden kann muss dieses als erstes aktiviert werden.
Anschließend besteht die Möglichkeit über das Seitenmenü auf die „Security Compliance | BSI IT-Grundschutz“ Seite zuzugreifen. Es werden hier direkt alle nicht IT-Grundschutz-konformen Einstellungen angezeigt.
Für jeden Eintrag kann nachgeschaut werden auf welchen IT-Grundschutz Modul sich der Eintrag bezieht. Gleichzeitig ist auch ein Weblink zum Nachlesen hinterlegt.
Die Liste kann ebenfalls nach „Building Block“ oder nach den Kategorien gefiltert werden.
Die Runecast Analyzer Instanz wird regelmäßig aktualisiert. Der IT-Grundschutz Katalog wird dabei ebenfalls, wenn notwendig, angepasst. Die IT-Abteilung kann somit jederzeit genau aufzeigen und definieren wie der aktuelle Stand der Systeme ist und bei Bedarf Maßnahmen ergreifen, um den Sicherheitsstandart wiederherzustellen.
In Zusammenarbeit mit SVA bietet Runecast eine Evaluierung Ihres Systems an. Hier können Sie sich direkt dafür anmelden.