Aktuelles
2023
Handbuch Unternehmenssicherheit
(14.02.2023)
Das
"Handbuch Unternehmenssicherheit" ist in der 4., aktualisierten und
erweiterten Auflage seit Februar 2023 in digitaler Form auf der
Plattform SpringerLink sowie in der Print-Fassung im Buchhandel verfügbar.Handbuch Unternehmenssicherheit
(06.02.2023)
Handbuch Unternehmenssicherheit
(08.01.2023)
2022
BAuA-Handlungsempfehlungen zu SARS-CoV-2
(04.12.2022)
Die SARS-CoV-2-Handlungsempfehlungen
der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin (BAuA) vom 15.11.2022 geben
Hilfestellungen, wann Maßnahmen des Infektionsschutzes nach Aufhebung der
epidemischen Lage von nationaler Tragweite unter Berücksichtigung der
jeweiligen Gefährdungsbeurteilung am Arbeitsplatz beachtet werden sollten. In
Bezug auf Schutzmaßnahmen bei der Arbeit gehen die Handlungsempfehlungen u.a.
ein auf Lüftung, Gestaltung der Arbeitsumgebung und Hygiene, aber auch auf Persönliche
Schutzausrüstung (PSA).ISO/IEC 27005:2022
(05.11.2022)
Ende Oktober 2022 ist die 4. Auflage der ISO/IEC 27005 erschienen, die nun „Information
security, cybersecurity and privacy protection – Guidance on managing
information security risks” heißt. Sie besteht aus 10 Kapiteln und dem Annex A.
Kapitel 5 behandelt das Informationssicherheitsrisikomanagement.
Den Beschreibungen der Risikomanagementaktivitäten in den Kapiteln 7 bis 10 liegt
eine einheitliche Struktur zugrunde. Kapitel 7 und 8 widmen sich den Prozessen
der Bewertung und der Behandlung des Informationssicherheitsrisikos, Kapitel 9
dem Betrieb mit der Durchführung der vorgenannten Prozesse. Kapitel 10 stellt
den Bezug zu Kapiteln der ISO/IEC 27001:2022 her und nennt risikobezogene
Aktivitäten.ISO/IEC 27001:2022
(05.11.2022)
Gegen Ende Oktober 2022 ist die 3. Auflage der ISO/IEC 27001 veröffentlicht worden. Wie auch bei der ISO/IEC 27002:2022, die im Februar
erschienen ist, beginnt der Titel des Standards nun mit „Information security, cybersecurity
and privacy protection“. Die Struktur des Standards ist im Wesentlichen
gleichgeblieben. Deutlich geändert hat sich die Struktur des Annex A, der nun auf
die Kapitel 5 bis 8 der neu strukturierten ISO/IEC 27002:2022 referenziert. Diesen
vier Kapiteln in der ISO/IEC 27002:2022 entsprechend gibt es im Annex A jetzt Organizational
controls, People controls, Physical controls und Technological controls.
Dementsprechend wurde z.B. A.5.1.1, Policies for information security,
umbenannt in 5.1. Die diesbezügliche Beschreibung wurde weiterentwickelt, indem
beispielsweise unterschieden wird zwischen einer Informationssicherheitspolitik
und themenspezifischen „policies“. Insgesamt gibt es 37 Organizational controls. Diesen
folgen 8 People controls, 14 Physical controls und 34 Technological controls.Gefahr von Cyberangriffen
(08.03.2022)
Aufgrund der Sanktionen gegen Russland warnen laut
tagesschau.de vom 3.3.2022 IT-Sicherheitsexperten vor Racheaktionen in Form von
Hackerangriffen. Bundesinnenministerin Nancy Faeser führt im Gespräch mit BR
und NDR aus: „Wir gehen von einer erhöhten Gefährdung dieser Tage aus, weil im Kriegsgeschehen
Cyber-Attacken auch eine Form der Kriegsführung sind“. Robert Lee vom
US-Unternehmen Dragos, das Unternehmen der Kritischen Infrastruktur schützt, geht
davon aus, dass es Cyberangriffe gegen den Energiesektor geben wird. Das BSI
schätzt die Bedrohungslage als "Orange" ein. Nach Definition des BSI entspricht
dies "geschäftskritisch". Lee beobachtet seit Oktober 2021, dass sich
Hackergruppen Ziele aussuchen. Lee arbeitete früher für den US-Geheimdienst NSA.
In der Ukraine hatten Hacker bereits im Jahr 2016 versucht, die Stromversorgung
zu unterbrechen, dies aber anscheinend nicht großflächig erreicht. [Quelle: Russlands
Krieg in der Ukraine, Cyberattacken als Rache für Sanktionen?, Stand:
03.03.2022 11:59 Uhr, tagesschau.de]In einem Schreiben des Bundesamts für Verfassungsschutz an Vertreter der deutschen Wirtschaft heißt es laut spiegel.de, dass wegen aktueller Angriffe von Ghostwriter im März 2022 gegen Personen besondere Vorsicht geboten sei. Diese Angriffswelle startete kurz nach Beginn des Ukrainekriegs. Mit Hilfe von Phishing-Mails versuchen die Hacker Zugang zu E-Mail-Konten zu erlangen. [Quelle: Mutmaßlich russische Hacker, Neuer Angriff der »Ghostwriter« in Deutschland, Stand 06.03.2022, 16.40 Uhr, spiegel.de]
BSI ruft zu erhöhter Wachsamkeit auf
(27.02.2022)
Wegen des russischen Angriffs auf die Ukraine hat das BSI "das Nationale IT-Krisenreaktionszentrum aktiviert". Das BSI sieht aktuell eine erhöhte Bedrohung für Deutschland, jedoch keine aus dieser Situation resultierende akute Gefährdung der Informationssicherheit in Deutschland. Das BSI weist darauf hin, dass sich dies jederzeit ändern kann.__________
2021
MaRisk-Rundschreiben 10/2021
(17.08.2021)
Mit dem Rundschreiben 10/2021 hat die BaFin die Neufassung der MaRisk in der Fassung vom 16.08.2021 veröffentlicht. In AT 7, Ressourcen, und in AT 9, Auslagerung, haben sich u.a. folgende Änderungen ergeben:BAIT
(17.08.2021)
In der Fassung vom 16.08.2021 hat die BaFin die BAIT weiter entwickelt und u.a. um díe Kapitel "Operative Informationssicherheit", "IT-Notfallmanagement" und "Management der Beziehungen mit Zahlungsdienstnutzern" erweitert. Das Kapitel "Benutzerberechtigungsmanagement" ist ersetzt durch das weiter entwickelte Kapitel "Identitäts- und Rechtemanagement".__________
2020
Corona-Pandemie
(15.12.2020)
Aus meiner Sicht gilt Folgendes: Für Unternehmen, die ihren Betrieb aufrecht erhalten dürfen bzw. können, ist es wichtig, das Infektionsrisiko zu senken, um so coronabedingte Ausfälle in der Belegschaft zu reduzieren, die im Einzelfall auch sehr lange dauern können, und ihrer Fürsorgepflicht sowie gesellschaftlichen Verantwortung nachzukommen. Gleichzeitig sind Unternehmen auf Kunden und Lieferanten angewiesen. Je mehr Menschen ihren Beitrag leisten, desto eher besteht die Chance auf Lockerungen und dass die deutsche und die Weltwirtschaft sich erholen.
Folgende Maßnahmen halte ich persönlich auf Basis meines Kenntnisstands, freibleibend und ausschließlich aus meiner fachlichen, d.h. insbesondere weder juristischen noch medizinischen noch politischen Sicht, für angeraten – insbesondere solange die Infektionszahlen nicht sehr gering sind –, wobei diese Maßnahmen in jedem Einzelfall und auf Basis der Gegebenheiten zum jeweiligen Zeitpunkt zu prüfen und anzupassen sind:
1. Unternehmen sollten ihrem Personal erläutern, warum welche Pandemie-Regeln für das Unternehmen gelten und wie wichtig deren Einhaltung für jeden Einzelnen, für das Unternehmen und für die Gesellschaft ist. In der Folge sollte das Unternehmen seine Belegschaft regelmäßig dazu sensibilisieren. Auch ein Hinweis darauf, wie sich 1,5 m Abstand abschätzen lassen, können hilfreich sein.
2. Unternehmen sollten – so weit wie irgend möglich – auf Remote-Arbeit umstellen. Manche Unternehmen schafften dies bereits beim ersten Lockdown innerhalb kürzester Frist und teilweise für fast die vollständige Belegschaft. Web-Meetings statt Vor-Ort-Meetings haben sich bei Unternehmen oftmals bewährt. Vor-Ort-Meetings sollten dementsprechend durch Web-Meetings ersetzt werden.
3. Grundsätzlich sollte beim Betreten und innerhalb von Gebäuden des Unternehmens die Einhaltung der AHA+L-Regeln, d. h. Abstand halten, Hygiene beachten und Alltagsmaske (Mund-Nase-Schutz) tragen sowie regelmäßiges Lüften, gefordert sein. Der Belegschaft sollte vom Unternehmen in Einklang mit den Empfehlungen der Regierung die Nutzung der Corona-Warn-App empfohlen werden.
4. Beim Betreten eines Gebäudes sollte eine Desinfektion der Hände mittels eines berührungslosen Desinfektionsmittelspenders angeboten und angeraten sein, sofern gesundheitliche Gründe dem nicht entgegenstehen.
5. Die Anzahl der Personen in einem Fahrstuhl sollte so reduziert werden, dass dort ein Mindestabstand von 1,5 m einhaltbar ist. Mund-Nasen-Schutz sollte auch dort Pflicht sein.
6. Räume sollten möglichst nur mit einer Person besetzt sein. Am Arbeitsplatz selbst ist kein Mund-Nasen-Schutz zu tragen, sofern sich die Person während ihrer Arbeitszeit allein im Raum befindet. Lüften mindestens zu Beginn und am Ende der Arbeitszeit erscheint dennoch angeraten.
7. Sollte die Belegung von Räumen mit mehreren Personen im Einzelfall unumgehbar sein, sollten die Personen einen Abstand von mindestens 1,5 m einhalten, Alltagsmaske tragen und die Räume hinreichend regelmäßig kurzzeitig, aber ausreichend gelüftet werden. Personen sollten in Bezug auf das Lüften an kühlen und kalten Tagen auf das Tragen dafür geeigneter Kleidung hingewiesen werden (z. B. Zwiebel-Look).
8. Raumlufttechnische Anlagen des Gebäudes sollten möglichst mit HEPA-14-Filtern versehen und diese entsprechend den Angaben der Hersteller gewartet werden.
9. Personen, die bei anderen eine Verletzung der unternehmensspezifischen Pandemie-Regelungen feststellen, sollten diese Personen freundlich, aber bestimmt auf die Einhaltung der Regeln hinweisen.
10. Mitarbeiter, die beruflich unterwegs sind, sollten verpflichtet sein, die AHA-Regeln einzuhalten, d. h. Abstand halten, Hygiene beachten und Alltagsmaske tragen.
__________
2018
BAIT um KRITIS-Modul erweitert
(22.09.2018)
In der Fassung vom 14.09.2018 hat die BaFin die BAIT um das optionale KRITIS-Modul erweitert. Das KRITIS-Modul kann von den Adressaten der BAIT dazu verwendet werden, den Nachweis nach § 8a Abs. 3 BSIG zu erbringen.__________
IT-Sicherheit mit System, 6. Auflage, erschienen
(22.09.2018)
Die 6. Auflage des Buchs "IT-Sicherheit mit System" ist erschienen. Wenn Sie zu den Ersten gehören wollen, die es lesen, können Sie es im Buchhandel erwerben. Die 6. Auflage wurde neu bearbeitet und dabei strukturell weiterentwickelt.__________
IT-Sicherheit mit System, 6. Auflage, angekündigt
(18.08.2018)
Als Erscheinungstermin für die 6. Auflage des Buchs "IT-Sicherheit mit System" ist der September 2018 angekündigt. Die 6. Auflage wurde neu bearbeitet und dabei strukturell weiterentwickelt. Der Inhalt und dadurch der Buchumfang sind nochmals gewachsen. Umfangreich aktualisiert und verschiedentlich erweitert worden sind z. B. die Themenfelder Gesetze, Verordnungen, Vorschriften und Anforderungen, Informationsklassifizierung, Risikomanagement, Datenschutzmanagement und Architekturmanagement sowie die Einzelanforderungen zum Cloud Computing.__________
Cloud Computing regeln
(18.08.2018)
Die Nutzung von Cloud Computing ist weit verbreitet. Doch sind sich Mitarbeiter eines Unternehmens darüber im Klaren, dass sie Cloud Computing Services nutzen, z. B. indem sie eine App installieren oder Daten in der Cloud speichern? Verschiedentlich besteht in Unternehmen diesbezüglich Regelungsbedarf. Wenn derartige Regelungen fehlen, können Informationsrisiken und Organisationsverschulden die Folge sein. Ist Ihr Unternehmen diesbezüglich gut aufgestellt? Ich wünsche es Ihnen.
ISO/IEC 27005:2018 ist erschienen
(18.08.2018)
Im Juli 2018 ist die dritte Auflage der ISO/IEC 27005, Informationssicherheitsrisikomanagement erschienen. Der Standard weist eine weitgehend gleichgebliebene Gliederungsstruktur auf.
Kapitel 6 stellt den Informationssicherheitsrisikomanagementprozess im Überblick dar, Kapitel 7 behandelt den Kontext.
Die Risikoidentifikation, die Risikoanalyse und die Risikobeurteilung sind Elemente der Risikobewertung der Informationssicherheit. Bei der Risikobeurteilung entsteht eine Liste von Risiken, die entsprechend den Risikobeurteilungskriterien priorisiert sind. Es folgt die Risikobehandlung, für die vier grundsätzliche Optionen zur Verfügung stehen. Daran schließt sich der Schritt der Risikoakzeptanz an.
Die Schritte bis zur Risikobehandlung werden auf der einen Seite flankiert von der Risikokommunikation und -beratung, und auf der anderen Seite von der Überwachung und Überprüfung.
Der Standard enthält die Anhänge A bis F mit ergänzenden Informationen. Der Anhang B behandelt die Identifikation und Bewertung von Assets und Auswirkungen (impact). Wie auch in der zweiten Auflage unterscheidet der Standard zwischen primären und unterstützenden Assets. Typische Bedrohungen gibt der Anhang C an. Schwachstellen und Methoden zu deren Bewertung nennt der Anhang D. Anhang E behandelt Ansätze zur Bewertung des Informationssicherheitsrisikos.
BAIT und VAIT konkretisieren aufsichtsbehördliche Mindestanforderungen
(18.08.2018)
- „bei der Ausgestaltung der IT-Systeme“ „und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen“
- „eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen“
- Durch die „Methodik zur Ermittlung des Schutzbedarfs (insbesondere im Hinblick auf die Schutzziele „Integrität“, „Verfügbarkeit“, „Vertraulichkeit“ und „Authentizität")“ „die Konsistenz der resultierenden Schutzbedarfe nachvollziehbar sicherzustellen“
- „insbesondere das Informationsrisikomanagement, das Informationssicherheitsmanagement, den IT-Betrieb und die Anwendungsentwicklung quantitativ und qualitativ angemessen mit Personal auszustatten.“