Welcher ist der schönste Strand in Polen? Die Antwort auf diese Frage kann man in dem neuesten Ranking des Portals Travelist.pl finden. Das Ranking der TOP 10 der schönsten Strände an der Ostsee ist eine ideale Inspiration für Personen, die ihren Urlaub am Meer planen.
Weiterlesen ...
Die Compliance zur Cybersicherheit in Deutschland umfasst insbesondere die DSGVO und das 2021 verabschiedete IT-Sicherheitsgesetz 2.0.
Was besagt das Gesetz?
Das IT-Sicherheitsgesetz 2.0 konkretisiert die Anforderungen an die IT-Sicherheit für Betreiber von kritischen Infrastrukturen. Zu KRITIS zählen
Was wird verlangt?
Betreiber von kritischer Infrastruktur (KRITIS) sind verpflichtet, Systeme zur Angriffserkennung einzusetzen. Dazu gehören z.B. Intrusion Detection Systems (IDS). Weiterhin sind die Unternehmen verpflichtet, Reaktionspläne und Präventionsmaßnahmen auszuarbeiten. Mithilfe von Desaster Recovery Szenarien soll bei massiven Versorgungsstörungen die effektive Instandsetzung und Arbeitsfähigkeit gewährleistet werden.
Alle Betreiber von KRITIS müssen ihre IT-Systeme auf den neuesten Stand der Technik bringen, der vom BSI (Bundesamt für Sicherheit) definiert wird. Der Nachweis kann durch Sicherheits-Audits Prüfungen oder Zertifizierungen (z. B. ISO 27001) erbracht werden. Gemäß des IT-Sicherheitsgesetze 2.0 (IT-Sig 2.0) muss der neueste Stand der Technik alle zwei Jahre nachgewiesen werden.
Die Prüfung beinhaltet beispielsweise ein Security-, Nutzungs- und Berechtigungsmonitoring. Ganz wichtig sind Schwachstellenanalyse und Penetrationstests für das eigene Unternehmen und für Kunden. Diese erfolgen beispielsweise durch Use Case Implementierung (automatisierte Nutzungskontrollen) bzw. SIEM (Security Incident und Event Management). Hier gibt es gibt viele Bewertungen zu McAfee Antivirus, eine spezielles SIEM (Security Information Event Management). Es bietet technische Lösungen, um Datenverkehr und Protokolle auf Angriffe zu prüfen. Die Kontrolle der Daten aus verschiedenen Quellen erfolgt in Echtzeit. Ihre Analyse lässt Sicherheitsbedrohungen und Schwachstellen erkennen.
Der Interpretationsspielraum bei der Compliance richtet sich nach der Größe des Instituts. An kleinere Institute werden niedrigere Maßstäbe gestellt als an systemrelevante Institute mit großen Bilanzsummen.
Damit Cybersicherheit-Compliance funktioniert, darf sich die Aufmerksamkeit nicht nur auf die IT beschränken. Compliance liegt in der Verantwortung des Vorstands, der leitenden Angestellten und Geschäftsführung jeder Organisation. Sie müssen keine operativen Details kennen. Sie müssen jedoch das Thema ernst nehmen und über neue Gesetzgebungen oder Entwicklungen informiert sein. Es gibt viele gute Software, doch ein noch so gutes Programm alleine reicht nicht aus. Das Verhalten der Führung, die Unternehmenskultur sind mindestens genauso wichtig.
Laut FBI erfolgen mehr als Dreiviertel alle erfolgreichen Cyber-Angriffe über das Konto einer Person, die autorisiert ist, sich im Netzwerk aufzuhalten. Die Zugangsdaten wurden gestohlen oder auf andere Weise entwendet. Keine Abwehrtechnologie wird einen autorisierten Benutzer daran hindern, auf das Netzwerk und die darin enthaltenen Daten zuzugreifen.
Der Mensch ist und bleibt die größte Schwachstelle. Jeder kann durch Social Engineering (Phishing-Mails, raffinierte Links) getäuscht werden. Jeder vergisst einmal, den USB-Stick durch den Schleusen-PC zu schicken. Solche Fehler müssen angstfrei und sofort angesprochen werden können.
Bewältigung regulatorischer Anforderungen für Unternehmen
Der KRITIS-Bereich wurde deutlich ausgeweitet, auch kleine und mittelständische Unternehmen können betroffen sein. Prinzipiell ist Cybersicherheit in jedem Unternehmen ein sehr wichtiges Thema. Jeder Betrieb benötigt ein Konzept, einen Notfallplan und insbesondere Ansprechpartner. Unterschiedliche Einzellösungen verkomplizieren die Abläufe. Einheitliche Abläufe, Datenschutz- und IT-Sicherheitsbeauftragte müssen in jedem Betrieb selbstverständlich sein - pro Team und pro Einheit.
Wichtig ist aber auch, das Nadelöhr in jedem Betrieb zu identifizieren. Vielleicht ist gar nicht die Produktion der kritischste Geschäftsprozess, sondern die Buchhaltung. Es gibt viele Bewertungen zu McAfee Antivirus, es ist ein sehr leistungsfähiges Programm. Doch in einem digitalen Umfeld kann sich das Risiko an einer Stelle verstecken, an der es keiner erwartet. Beispielsweise sind in der Industrial-IT teilweise ältere Systeme im Einsatz als bei der Hardware der Endanwender.
Fazit
Cybersecurity-Compliance ist keine einmalige Angelegenheit. Die Zertifizierungen finden vielleicht jährlich statt, aber auch zwischen den Beurteilungen muss die Sicherheit kontinuierlich gewährleistet sein.
Ein Compliance Management wird nicht einmal aufgestellt, sondern ständig angepasst, verbessert und verändert. IT-Sicherheit ist kein Projekt, es ist ein kontinuierlicher Prozess, der in der Unternehmenskultur verankert sein muss.
/Externer Inhalt/
