Aktuelles

2022

Gefahr von Cyberangriffen
(08.03.2022)

Aufgrund der Sanktionen gegen Russland warnen laut tagesschau.de vom 3.3.2022 IT-Sicherheitsexperten vor Racheaktionen in Form von Hackerangriffen. Bundesinnenministerin Nancy Faeser führt im Gespräch mit BR und NDR aus: „Wir gehen von einer erhöhten Gefährdung dieser Tage aus, weil im Kriegsgeschehen Cyber-Attacken auch eine Form der Kriegsführung sind“. Robert Lee vom US-Unternehmen Dragos, das Unternehmen der Kritischen Infrastruktur schützt, geht davon aus, dass es Cyberangriffe gegen den Energiesektor geben wird. Das BSI schätzt die Bedrohungslage als "Orange" ein. Nach Definition des BSI entspricht dies "geschäftskritisch". Lee beobachtet seit Oktober 2021, dass sich Hackergruppen Ziele aussuchen. Lee arbeitete früher für den US-Geheimdienst NSA. In der Ukraine hatten Hacker bereits im Jahr 2016 versucht, die Stromversorgung zu unterbrechen, dies aber anscheinend nicht großflächig erreicht. [Quelle: Russlands Krieg in der Ukraine, Cyberattacken als Rache für Sanktionen?, Stand: 03.03.2022 11:59 Uhr, tagesschau.de]

In einem Schreiben des Bundesamts für Verfassungsschutz an Vertreter der deutschen Wirtschaft heißt es laut spiegel.de, dass wegen aktueller Angriffe von Ghostwriter im März 2022 gegen Personen besondere Vorsicht geboten sei. Diese Angriffswelle startete kurz nach Beginn des Ukrainekriegs. Mit Hilfe von Phishing-Mails versuchen die Hacker Zugang zu E-Mail-Konten zu erlangen. [Quelle: Mutmaßlich russische Hacker, Neuer Angriff der »Ghostwriter« in Deutschland, Stand 06.03.2022, 16.40 Uhr, spiegel.de]


BSI ruft zu erhöhter Wachsamkeit auf
(27.02.2022)

Wegen des russischen Angriffs auf die Ukraine hat das BSI "das Nationale IT-Krisenreaktionszentrum aktiviert". Das BSI sieht aktuell eine erhöhte Bedrohung für Deutschland, jedoch keine aus dieser Situation resultierende akute Gefährdung der Informationssicherheit in Deutschland. Das BSI weist darauf hin, dass sich dies jederzeit ändern kann.
Das BSI hat u.a. die Bundesverwaltung und Betreiber Kritischer Infrastrukturen sowie weitere Organisationen und Unternehmen "zu einer erhöhten Wachsamkeit und Reaktionsbereitschaft aufgerufen".
[Quelle: Auswirkungen des russischen Angriffs auf die Ukraine, Pressemeldung des BSI vom 25.02.2022]

__________

2021

MaRisk-Rundschreiben 10/2021
(17.08.2021)

Mit dem Rundschreiben 10/2021 hat die BaFin die Neufassung der MaRisk in der Fassung vom 16.08.2021 veröffentlicht. In AT 7, Ressourcen, und in AT 9, Auslagerung, haben sich u.a. folgende Änderungen ergeben:

In AT 7.2 ist der Begriff Informationsverbund aufgenommen und erläutert.

AT 7.3, Notfallmanagement, wurde deutlich überarbeitet. In den dortigen Erläuterungen (rechte Spalte) ist ausgeführt, dass Institute Auswirkungsanalysen (Business Impact Analysis, BIA) und Risikoanalysen durchführen, um u.a. zeitkritische Prozesse und Aktivitäten sowie sie unterstützende Prozesse und Aktivitäten und notwendige Ressourcen zu ermitteln. Weiterhin sind die Inhalte von Notfallkonzepten angesprochen sowie die mindestens zu berücksichtigenden Notfallszenarien.

in AT 9, Auslagerung, sind die Erläuterungen zum Sonstigen Fremdbezug von Leistungen um weitere Beispiele erweitert worden. In der dortigen Textziffer 7 ist u.a. die Liste der Vertragsinhalte um Punkte erweitert worden, z.B. um das für den Vertrag geltende Recht, die Standorte der Dienstleistungsdurchführung und die Dienstleistungsgüte. Die dortigen Erläuterungen sprechen u.a. die Themen Informations- und Prüfungsrechte, Kündigungsrechte und Sonstige Sicherheitsanforderungen an. Textziffer 12 fordert im Falle von Auslagerungen einen zentralen Auslagerungsbeauftragten. Textziffer 14 fordert ein aktuelles Auslagerungsregister mit Informationen über alle Auslagerungsvereinbarungen.

BAIT
(17.08.2021)

In der Fassung vom 16.08.2021 hat die BaFin die BAIT weiter entwickelt und u.a. um díe Kapitel "Operative Informationssicherheit", "IT-Notfallmanagement" und "Management der Beziehungen mit Zahlungsdienstnutzern" erweitert. Das Kapitel "Benutzerberechtigungsmanagement" ist ersetzt durch das weiter entwickelte Kapitel "Identitäts- und Rechtemanagement".

Im Kapitel IT-Governance hat die BaFin In Textziffer 2.3. im Passus "quantitativ und qualitativ angemessen mit Personal auszustatten" den Begriff "Personal" durch den Begriff "Ressourcen" ersetzt. Die dazugehörige Erläuterung führt "personelle, finanzielle und sonstige Ressourcen" an.

Textziffer 8.8. fordert die Erhebung des aktuellen und die Schätzung des künftigen Leistungs- und Kapazitätsbedarfs der IT-Systeme.

Das Kapitel 10 fordert IT-Notfallpläne mit Wiederanlauf-, Notbetriebs- und Wiederherstellungsplänen sowie die festgelegten Parameter für Wiederanlaufzeit (RTO) und in Bezug auf den hinnehmbaren Datenverlust die RPO. Abhängigkeiten zu vor- und nachgelagerten Geschäftsprozessen sowie zu anderen eingesetzten IT-Systemen und (IT-) Dienstleistern müssen berücksichtigt werden. Mindestens jährlich ist die Wirksamkeit der IT-Notfallpläne zu prüfen. Weiterhin ist der Nachweis zu erbringen, dass die zeitkritischen Aktivitäten und Prozesse bei Ausfall eines Rechenzentrums u.a. aus einem ausreichend entfernten Rechenzentrum erbracht werden können.

__________

2020 

Corona-Pandemie
(15.12.2020)

Die Corona-Pandemie hält die Welt in Atem. Nach dem ersten Lockdown im März/April 2020 hatte Deutschland die Infektionszahlen relativ gut im Griff. Wegen rasant steigender Neuinfektionszahlen beschlossen Bund und Länder ab dem 2. November 2020 einen Teil-Lockdown. Der steile Anstieg der Fallzahlen flachte dadurch zwar ab, ging jedoch nicht zurück. Am 13. Dezember 2020 beschließen Bund und Länder den Shutdown vom 16. Dezember 2020 bis zum 10. Januar 2021. (vgl. mdr.de, Die Chronik der Corona-Krise, eingesehen am 15.12.2020, 13:13 Uhr)

Aus meiner Sicht gilt Folgendes: Für Unternehmen, die ihren Betrieb aufrecht erhalten dürfen bzw. können, ist es wichtig, das Infektionsrisiko zu senken, um so coronabedingte Ausfälle in der Belegschaft zu reduzieren, die im Einzelfall auch sehr lange dauern können, und ihrer Fürsorgepflicht sowie gesellschaftlichen Verantwortung nachzukommen. Gleichzeitig sind Unternehmen auf Kunden und Lieferanten angewiesen. Je mehr Menschen ihren Beitrag leisten, desto eher besteht die Chance auf Lockerungen und dass die deutsche und die Weltwirtschaft sich erholen.

Folgende Maßnahmen halte ich persönlich auf Basis meines Kenntnisstands, freibleibend und ausschließlich aus meiner fachlichen, d.h. insbesondere weder juristischen noch medizinischen noch politischen Sicht, für angeraten – insbesondere solange die Infektionszahlen nicht sehr gering sind –, wobei diese Maßnahmen in jedem Einzelfall und auf Basis der Gegebenheiten zum jeweiligen Zeitpunkt zu prüfen und anzupassen sind:

1. Unternehmen sollten ihrem Personal erläutern, warum welche Pandemie-Regeln für das Unternehmen gelten und wie wichtig deren Einhaltung für jeden Einzelnen, für das Unternehmen und für die Gesellschaft ist. In der Folge sollte das Unternehmen seine Belegschaft regelmäßig dazu sensibilisieren. Auch ein Hinweis darauf, wie sich 1,5 m Abstand abschätzen lassen, können hilfreich sein.

2. Unternehmen sollten – so weit wie irgend möglich – auf Remote-Arbeit umstellen. Manche Unternehmen schafften dies bereits beim ersten Lockdown innerhalb kürzester Frist und teilweise für fast die vollständige Belegschaft. Web-Meetings statt Vor-Ort-Meetings haben sich bei Unternehmen oftmals bewährt. Vor-Ort-Meetings sollten dementsprechend durch Web-Meetings ersetzt werden.

3. Grundsätzlich sollte beim Betreten und innerhalb von Gebäuden des Unternehmens die Einhaltung der AHA+L-Regeln, d. h. Abstand halten, Hygiene beachten und Alltagsmaske (Mund-Nase-Schutz) tragen sowie regelmäßiges Lüften, gefordert sein. Der Belegschaft sollte vom Unternehmen in Einklang mit den Empfehlungen der Regierung die Nutzung der Corona-Warn-App empfohlen werden.

4. Beim Betreten eines Gebäudes sollte eine Desinfektion der Hände mittels eines berührungslosen Desinfektionsmittelspenders angeboten und angeraten sein, sofern gesundheitliche Gründe dem nicht entgegenstehen.

5. Die Anzahl der Personen in einem Fahrstuhl sollte so reduziert werden, dass dort ein Mindestabstand von 1,5 m einhaltbar ist. Mund-Nasen-Schutz sollte auch dort Pflicht sein.

6. Räume sollten möglichst nur mit einer Person besetzt sein. Am Arbeitsplatz selbst ist kein Mund-Nasen-Schutz zu tragen, sofern sich die Person während ihrer Arbeitszeit allein im Raum befindet. Lüften mindestens zu Beginn und am Ende der Arbeitszeit erscheint dennoch angeraten.

7. Sollte die Belegung von Räumen mit mehreren Personen im Einzelfall unumgehbar sein, sollten die Personen einen Abstand von mindestens 1,5 m einhalten, Alltagsmaske tragen und die Räume hinreichend regelmäßig kurzzeitig, aber ausreichend gelüftet werden. Personen sollten in Bezug auf das Lüften an kühlen und kalten Tagen auf das Tragen dafür geeigneter Kleidung hingewiesen werden (z. B. Zwiebel-Look).

8. Raumlufttechnische Anlagen des Gebäudes sollten möglichst mit HEPA-14-Filtern versehen und diese entsprechend den Angaben der Hersteller gewartet werden.

9. Personen, die bei anderen eine Verletzung der unternehmensspezifischen Pandemie-Regelungen feststellen, sollten diese Personen freundlich, aber bestimmt auf die Einhaltung der Regeln hinweisen.

10. Mitarbeiter, die beruflich unterwegs sind, sollten verpflichtet sein, die AHA-Regeln einzuhalten, d. h. Abstand halten, Hygiene beachten und Alltagsmaske tragen.


__________

2018 

BAIT um KRITIS-Modul erweitert
(22.09.2018)

In der Fassung vom 14.09.2018 hat die BaFin die BAIT um das optionale KRITIS-Modul erweitert. Das KRITIS-Modul kann von den Adressaten der BAIT dazu verwendet werden, den Nachweis nach § 8a Abs. 3 BSIG zu erbringen.

KRITIS-Betreiber dürfen dem Modul zufolge bei der Entscheidung, ob Risiken akzeptiert oder übertragen werden können, „nicht allein nach betriebswirtschaftlichen Gesichtspunkten" entscheiden, „sondern nur unter Gewährleistung der Versorgungssicherheit“. Bei kritischen Dienstleistungen, bei denen z. B. „Vorkehrungen nach dem Stand der Technik möglich und angemessen sind“, dürfen diese Risiken nicht akzeptiert werden.

Im Hinblick auf die Verfügbarkeit kritischer Dienstleistungen sind insbesondere solche Schutzmaßnahmen geeignet, durch die Risiken bei hohem und sehr hohem Schutzbedarf im Hinblick auf Verfügbarkeit begegnet werden kann. Konzepte der Hochverfügbarkeit sollten dabei geprüft und bei Eignung angewandt werden.

Stets zu berücksichtigen ist das KRITIS-Schutzziel.

__________

IT-Sicherheit mit System, 6. Auflage, erschienen
(22.09.2018)

Die 6. Auflage des Buchs "IT-Sicherheit mit System" ist erschienen. Wenn Sie zu den Ersten gehören wollen, die es lesen, können Sie es im Buchhandel erwerben. Die 6. Auflage wurde neu bearbeitet und dabei strukturell weiterentwickelt.

__________

IT-Sicherheit mit System, 6. Auflage, angekündigt
(18.08.2018)

Als Erscheinungstermin für die 6. Auflage des Buchs "IT-Sicherheit mit System" ist der September 2018 angekündigt. Die 6. Auflage wurde neu bearbeitet und dabei strukturell weiterentwickelt. Der Inhalt und dadurch der Buchumfang sind nochmals gewachsen. Umfangreich aktualisiert und verschiedentlich erweitert worden sind z. B. die Themenfelder Gesetze, Verordnungen, Vorschriften und Anforderungen, Informationsklassifizierung, Risikomanagement, Datenschutzmanagement und Architekturmanagement sowie die Einzelanforderungen zum Cloud Computing.

Durch die digitale Transformation, Cloud-Computing und dynamisch steigende Bedrohungen sowie zunehmende Anforderungen von Gesetzen und Aufsichtsbehörden sind Unternehmen mehr denn je abhängig von der Sicherheit und Kontinuität der Informationsverarbeitung. Die vorhandene Komplexität erfordert ein systematisches Vorgehensmodell, das Sicherheit von Anfang an sowie stets und integrativ berücksichtigt, Effizienz betrachtet und eine kontinuierliche Verbesserung ermöglicht. Die Sicherheitspyramide, die in "IT-Sicherheit mit System" behandelt ist, stellt ein solches Vorgehensmodel dar.

__________

Cloud Computing regeln
(18.08.2018)

Die Nutzung von Cloud Computing ist weit verbreitet. Doch sind sich Mitarbeiter eines Unternehmens darüber im Klaren, dass sie Cloud Computing Services nutzen, z. B. indem sie eine App installieren oder Daten in der Cloud speichern? Verschiedentlich besteht in Unternehmen diesbezüglich Regelungsbedarf. Wenn derartige Regelungen fehlen, können Informationsrisiken und Organisationsverschulden die Folge sein. Ist Ihr Unternehmen diesbezüglich gut aufgestellt? Ich wünsche es Ihnen.

__________

ISO/IEC 27005:2018 ist erschienen
(18.08.2018)

Im Juli 2018 ist die dritte Auflage der ISO/IEC 27005, Informationssicherheitsrisikomanagement erschienen. Der Standard weist eine weitgehend gleichgebliebene Gliederungsstruktur auf.

Kapitel 6 stellt den Informationssicherheitsrisikomanagementprozess im Überblick dar, Kapitel 7 behandelt den Kontext.

Die Risikoidentifikation, die Risikoanalyse und die Risikobeurteilung sind Elemente der Risikobewertung der Informationssicherheit. Bei der Risikobeurteilung entsteht eine Liste von Risiken, die entsprechend den Risikobeurteilungskriterien priorisiert sind. Es folgt die Risikobehandlung, für die vier grundsätzliche Optionen zur Verfügung stehen. Daran schließt sich der Schritt der Risikoakzeptanz an.

Die Schritte bis zur Risikobehandlung werden auf der einen Seite flankiert von der Risikokommunikation und -beratung, und auf der anderen Seite von der Überwachung und Überprüfung.

Der Standard enthält die Anhänge A bis F mit ergänzenden Informationen. Der Anhang B behandelt die Identifikation und Bewertung von Assets und Auswirkungen (impact). Wie auch in der zweiten Auflage unterscheidet der Standard zwischen primären und unterstützenden Assets. Typische Bedrohungen gibt der Anhang C an. Schwachstellen und Methoden zu deren Bewertung nennt der Anhang D. Anhang E behandelt Ansätze zur Bewertung des Informationssicherheitsrisikos.

__________

BAIT und VAIT konkretisieren aufsichtsbehördliche Mindestanforderungen
(18.08.2018)

Die BaFin hat in der BAIT (Rundschreiben 10/2017) vom November 2017 Anforderungen der MaRisk für Banken konkretisiert. In vergleichbarer Weise gibt die BaFin in der VAIT (Rundschreiben 10/2018) vom Juli 2018 „Hinweise zur Auslegung der Vorschriften über die Geschäftsorganisation im Versicherungsaufsichtsgesetz (VAG), soweit sie sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen“ und konkretisiert die MaGo.

Beide Rundschreiben besitzen die gleiche Struktur und – bis auf II.8 die gleichen Kapitelüberschriften. Die Anforderungen in den Kapiteln beziehen sich in beiden Rundschreiben auf IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Benutzerberechtigungsmanagement, IT-Projekte und Anwendungsentwicklung inkl. solcher durch Endbenutzer in den Fachbereichen - oftmals als individuelle Datenverarbeitung (IDV) bezeichnet - und IT-Betrieb inkl. Datensicherung. Das jeweils letzte Kapitel bezieht sich auf Outsourcing, das – wie bei externen Anforderungen branchenspezifisch üblich – bei der BAIT als Auslagerung und bei VAIT als Ausgliederung bezeichnet ist.

Sowohl BAIT als auch VAIT fordern u. a.
  • „bei der Ausgestaltung der IT-Systeme“ „und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen“
  • „eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen“
  • Durch die „Methodik zur Ermittlung des Schutzbedarfs (insbesondere im Hinblick auf die Schutzziele „Integrität“, „Verfügbarkeit“, „Vertraulichkeit“ und „Authentizität")“ „die Konsistenz der resultierenden Schutzbedarfe nachvollziehbar sicherzustellen“
  • „insbesondere das Informationsrisikomanagement, das Informationssicherheitsmanagement, den IT-Betrieb und die Anwendungsentwicklung quantitativ und qualitativ angemessen mit Personal auszustatten.“
Banken und Versicherungen, für welche die BAIT bzw. VAIT gelten, sollten sicherstellen, dass sie deren Anforderungen erfüllen. Sehr leicht können das Thema „Authentizität“ nicht berücksichtigt, die Methodik zur Schutzbedarfsermittlung nicht konsistent oder die Personalausstattung nicht angemessen sein und bei Prüfungen Feststellungen nach sich ziehen.