Polizeinotruf in dringenden Fällen: 110

Menü

Inhalt

Aktuelle Fachartikel

Cybercrime
Aktuelle Fachartikel
Hier finden Sie weiterführende Artikel und Informationen rund um das Thema Cybercrime.
Sicherheits-Faktor Mensch

"Amateure hacken Systeme, Profis hacken Menschen" Dieser Satz stammt von Bruce Schneier, dem US-amerikanischen Experte für Kryptographie und Computersicherheit, und gilt heute mehr denn je. IT-Sicherheit betrifft jeden Mitarbeiter und jede Abteilung im Unternehmen – vom Werkstudenten in der Buchhaltung über die Lageristen bis zur Geschäftsführung. Immer mehr Unternehmen haben bereits das Bewusstsein entwickelt, dass IT-Sicherheit nicht allein durch technische Maßnahmen zu erreichen ist – geschultes Personal trägt ebenfalls einen großen Beitrag zum Schutz vor Cyber-Angriffen bei.

Führen Sie daher regelmäßige Sensibilisierungen und Schulungen mit dem Ziel durch, den Mitarbeitenden die notwendige Kompetenz, aber insbesondere das entscheidende Selbstverständnis zu vermitteln: Sie sind nicht das Problem für die IT-Sicherheit des Unternehmens. Sie tragen Verantwortung und leisten einen wichtigen Beitrag. Da Cyber-Kriminelle geschickt technische Angriffe und Social Engineering kombinieren, leistet die menschliche Awareness einen sehr großen Anteil zum Schutz von Unternehmen.

Mit diesen drei Tipps trainieren Sie den sicheren Umgang mit IT effektiv und nachhaltig:

1. Sprechen Sie beim Thema IT-Awareness die Sprache Ihrer Mitarbeiter – nicht jeder verfügt über dasselbe technische Grundverständnis. Die internen Schulungs- und Awareness Maßnahmen sollten weder über- noch unterfordern. Holen Sie alle Mitarbeiter bei der Problematik ab, erklären Sie Ihnen in einfacher Sprache und anhand praktischer Beispiele, welchen konkreten Bedrohungen wie CEO-Fraud oder Ransomware das eigene Unternehmen ausgesetzt ist und welche Folgen für das Unternehmen möglicherweise entstehen.

2. Geben Sie Ihren Mitarbeitern das gute Gefühl, dass eine Anfrage an die IT-Abteilung zu einer verdächtigen E-Mail keinen zusätzlichen Aufwand verursacht, sondern genau das Richtige ist. Lassen Sie z.B. die Mitarbeiter in der Buchhaltung wissen, dass Sie bei einer fragwürdigen Zahlungsaufforderung jederzeit bei der Geschäftsleitung nachfragen dürfen. Passen Sie im Unternehmen Ihre Prozesse an, so dass jeder stets weiß, an wen er sich ohne Bedenken per E-Mail, per Messenger oder per Telefon wenden kann.

3. Awareness-Maßnahmen sind besonders erfolgreich, wenn Sie praxisnah und somit für den Mitarbeiter auch greifbar sind. Zeigen Sie Ihren Mitarbeitern echte E-Mails, die bei Ihnen im Unternehmen aufgeschlagen sind. Ein Gamification-Ansatz, z.B. als Escape Room oder Quiz, bringt Ihren Mitarbeitern die Themen IT-Sicherheit und Awareness spielerisch nahe; mit einer Phishing-Simulation wiederum schulen Sie die Augen Ihrer Mitarbeiter, um verdächtige E-Mails selbst erkennen zu können.

Video- & Webkonferenz Tools

Video- & Webkonferenz Tools stellen ein wichtiges Werkzeug für Menschen mit Einschränkungen wie Taub- oder Schwerhörigkeit dar. Aber auch in der täglichen Kommunikation sind diese nützlich, da diese eine ortsunabhängige audiovisuelle Kommunikation ermöglichen. Längst ist wissenschaftlich bewiesen, dass nonverbale Kommunikation einen weitaus höheren Prozentsatz in unserer täglichen Mitteilung einnimmt als die verbale Kommunikation. Eine Aussage wird demnach zu ca. 55 % durch die Körpersprache, zu ca. 38 % durch die Stimme oder Stimmlage und lediglich zu ca. 7 % durch den Inhalt bestimmt (Opresnik 2015). Gerade in Zeiten, in welchen Flexibilität sowie eine örtliche und zeitliche Unabhängigkeit gefordert sind erlangen Video- & Webkonferenztools einen hohen Stellenwert, um Home-Office und Telearbeitsplätze zu realisieren und Informationen unmissverständlich und direkt an ihre Adressaten transferieren zu können.

Dem Benutzer stehen diesbezüglich sehr viele Software- und Plattformlösungen zur Verfügung, welche sich allerdings nicht nur in Preis und Leistung, sondern auch in einigen weiteren qualitativen Merkmalen unterscheiden und kategorisieren lassen. Einer der wichtigsten Kriterien innerhalb der EU zugehörigen Unternehmen und Privatleute ist der Datenschutz. Der Datenschutz definiert sich als Schutz personenbezogener Daten und sichert das Grundrecht von Personen auf informationelle Selbstbestimmung. „Menschen haben dadurch selbst die Freiheit zu bestimmen, wie mit ihren Daten umgegangen wird. Persönlichkeitsrechte und Privatsphäre sollen gewahrt bleiben“  (Luber und Schmitz 2017). Aber auch die Frage, ob die Videokonferenzlösung durch das Unternehmen selbst (On-Premise-Variante) oder als SaaS-Lösung (Software as a Service) durch externe dritte Parteien bereitgestellt werden soll ist ein wichtiges sicherheitsrelevantes Kriterium. Denn auch der Datenfluss ist entscheidend, ob Daten gefährdet sein können oder nicht. Bei der On-Premise-Variante bleibt der Datenfluss meist innerhalb der unternehmenseigenen Strukturen und Server. Bei der SaaS Variante verläuft der Datenfluss über externe dritte Server. Aus diesem Grund ist bei der SaaS Lösung vorab zu prüfen, ob der beauftragte Dienstleister, welcher als Auftragsverarbeiter fungiert, sofern Daten über ihn transferiert werden, für die damit verbundene Verarbeitung auch die geeigneten technischen und organisatorischen Maßnahmen bietet, damit die Verarbeitung datenschutzkonform erfolgt. Der Art. 28 Abs. 1 der DSGVO (https://dsgvo-gesetz.de/art-28-dsgvo/) bietet hierzu wichtige Hinweise  (intersoft consulting services AG, 2020). Die folgenden Punkte gilt es zu beachten, wenn Video- & Webkonferenz Tools verwendet werden:

1) Verschlüsselung: Wie wird auf welchen Datenwegen verschlüsselt? Ist eine reale End-to-End Verschlüsselung gegeben oder wird unter End-to-End der Weg vom Benutzer zum Server und umgekehrt verstanden? Wenn lediglich der Weg vom Benutzer zum Server verschlüsselt wird, so sind die Daten zwar geschützt, während sie über das Internet auf die Server transferiert werden, jedoch können diese bei SaaS-Nutzung durch den Anbieter entschlüsselt, mitgeschnitten und durch diese dritte Partei ausgelesen werden.

2) Zugangsbeschränkungen: Logins, Passwörter oder die Authentifizierung von Gästen durch Zustimmung des Organisators sind ein essentieller Sicherheitsfaktor, um Besprechungs- und Konferenzinhalte vor unbefugtem Zugriff zu schützen.

3) Blurr-Möglichkeit: Ein gutes Videokonferenz-Tool sollte ebenfalls die Möglichkeit bieten den Hintergrund vollständig auszugrauen oder man stellt selbst sicher, dass keine relevanten Informationen wie WLan Passwörter etc. für seine Gesprächspartner im Hintergrund sichtbar sind.

4) Regulierung von Aufnahmemöglichkeiten: Manche Tools bieten auch eine Aufzeichnungsmöglichkeit an. Dies ist jedoch nur mit der Einwilligung aller Teilnehmer zulässig. Die eingesetzte Lösung sollte also demnach Konfigurationsmöglichkeiten bieten, welche vor dem Start der Aufnahme allen Teilnehmern einen Hinweis gibt, in welchem sie der Aufnahme zustimmen oder diese ablehnen können.

5) Kollaboration, Dateien und Chats: Werden im Rahmen einer Video- oder Webkonferenz Dateien ausgetauscht, bearbeitet und gespeichert so ist es wichtig vorab in Erfahrung zu bringen, auf welchem Serverstandort der Lösungsanbieter diese Dateien ablegt und vorhält. Es wird empfohlen einen Anbieter aus Deutschland oder dem europäischen Wirtschaftsraum (EWR) zu verwenden, da Auftragsverarbeiter aus einem sog. Drittland auf Basis der im Drittland geltenden Gesetze auf die vorgehaltenen Informationen zugreifen können und dies auch unter gewissen Umständen rechtlich dürfen (intersoft consulting services AG, 2020) / (Schwenke, 2020). Die derzeit gängigen Video- & Webkonferenz Tools sind:

  • WebEx
  • Zoom
  • Teams
  • Skype
  • Jitsi
  • GoTo

Um ihnen eine gute Entscheidungsgrundlage für die genannten Tools zu bieten, werden wir diese für Sie unter Berücksichtigung der oben genannten Kriterien nachfolgend vergleichen.


WebEx
Hersteller: WebEx ist ein von dem US-amerikanisches Unternehmen Cisco entwickeltes Video- & Webkonferenz Tool. Es ist sowohl als Web-Applikation als auch als lokale Installation für alle gängigen Betriebssysteme verfügbar. Es wird sowohl in einer kostenfreien als auch kostenpflichtigen Variante angeboten. Cisco unterhält unter anderem eine Dependance in Deutschland.
Datenschutz: Cisco arbeitet EU-Datenschutzkonform und ist ISO / IEC 27001: 2013 zertifiziert.
Verschlüsselung: Cisco bietet eine reale End-to-End Verschlüsselung an
Zugangsbeschränkungen: sind über das setzen eines Passwords vorhanden
Blurr-Möglichkeit: ist in der iOS App und der DeskPro Version vorhanden
Regulierung von Aufnahmemöglichkeiten: Nur der Gastgeber oder ein alternativer Gastgeber kann ein Meeting aufzeichnen – ob eine Meldung an die Teilnehmer versendet wird ist nicht bekannt.
Kollaboration, Dateien und Chats: Cisco bietet an, Aufzeichnungen von Meetings sowohl in der Cloud als auch lokal auf dem Rechner des Gastgebers zu speichern. Im Rahmen von WebEx Teams werden auch gemeinschaftliche Datenpools generiert, so dass ein simultanes Arbeiten an Dateien gewährleistet werden kann. Sollte der Datenspeicherort cloudbasierend gewählt sein, so werden die Daten angelehnt an die DSGVO den regionalen Datenzentren gespeichert, die mit dem Standort der Organisation übereinstimmen – dies gilt jedoch nur für die kostenpflichtigen Unternehmenslösungen. Auch das Teilen des eigenen Bildschirms ist möglich.

Zoom
Hersteller: Zoom ist ein von dem US-amerikanisches Unternehmen Zoom Video Communications mit Sitz in San Jose, Kalifornien, entwickelte Software und Web Applikation für Meetinglösungen. Es ist sowohl als Web-Applikation als auch als lokale Installation für alle gängigen Betriebssysteme verfügbar. Es wird sowohl in einer kostenfreien als auch kostenpflichtigen Variante angeboten. Zoom Video Communications unterhält keine Dependance in Deutschland. Es gibt EU Vertretungen in Amsterdam und Paris.
Datenschutz: In der Vergangenheit ist Zoom mit angeblichen Verstößen gegen das Datenschutzgesetzt erheblich in die Kritik geraten, hat dies aber zum Anlass genommen seine Produkte zu verbessern und an die europäischen Bestimmungen anzupassen  (Levin, 2020)  (Der Standard, 2020)  (ooo Geroy, 2020). Zoom ist unter dem EU-U.S.-Privacy Shield zertifiziert. „Zoom Video Communications nimmt an den Rahmenbedingungen des EU-US-Datenschutzschilds und des Schweiz-US-Datenschutzschilds teil und bestätigt deren Einhaltung.“
Verschlüsselung: Zoom bietet eine End-to-End Verschlüsselung zwischen Nutzer und Zoom Server an
Zugangsbeschränkungen: sind über das setzen eines Passwords vorhanden
Blurr-Möglichkeit: Zoom bietet die Funktion an
Regulierung von Aufnahmemöglichkeiten: Nur der Gastgeber oder ein vom Gastgeber autorisierter Teilnehmer kann ein Meeting aufzeichnen – ob eine Meldung an die Teilnehmer versendet wird ist nicht bekannt.
Kollaboration, Dateien und Chats: Zoom bietet an, Aufzeichnungen von Meetings sowohl in der Cloud als auch lokal auf dem Rechner des Gastgebers zu speichern – Teilnehmer werden über die Aufzeichnung informiert. Zoom bietet auch das Teilen des eigenen Bildschirms während einer Konferenz sowie gemeinschaftliche Datenpools an, so dass ein simultanes Arbeiten an Dateien gewährleistet werden kann. Eine Aussage über den spezifizierten Datenstandort gibt es auf der offiziellen Seite von Zoom nicht. Zu finden sind folgende Aussagen:
„Sowohl die Datenschutzrichtlinie von Zoom (im Anhang) als auch die Datenschutzrichtlinie von Zoom für Schulen und Schulbezirke sollen unsere Einhaltung der Anforderungen des US-amerikanischen Gesetzes zum Schutz der Online-Privatsphäre von Kindern (Children’s Online Privacy Protection Act, COPPA), des US-amerikanischen Gesetzes über Rechte und Datenschutz im Bildungswesen (Federal Education Rights and Privacy Act, FERPA), des kalifornischen Verbraucher-Datenschutzgesetzes (California Consumer Privacy Act, CCPA) und anderer geltender Gesetze widerspiegeln“ … „Dieser Absatz gilt nur für Kunden von Zoom for Government (ZfG). Der ZfG-Dienst wird in den USA in einer separaten, durch das FedRAMP autorisierten Cloud gehostet und ist über eine separate Website (www.zoomgov.com) zugänglich.  Dies bedeutet Folgendes für Sie: Alle während der Nutzung des ZfG-Dienstes oder der ZfG-Website über Sie erhoben Daten werden in den Vereinigten Staaten von Amerika gespeichert…“

Teams
Hersteller: Teams ist ein von dem US-amerikanisches Unternehmen Microsoft, entwickelte Plattform für Chats, Besprechungen, Notizen und Dateien und soll die Kollaboration fördern. Es ist sowohl als Web-Applikation als auch als lokale Installation für alle gängigen Betriebssysteme verfügbar. Es wird sowohl in eine kostenfreie als auch kostenpflichtigen Variante angeboten. Microsoft unterhält Dependancen in Deutschland.
Datenschutz: Angelehnt an heise.de bietet Microsoft jedoch alle Versionen aus sicheren EU-Rechenzentren an und verarbeitet somit alle Daten gemäß der Anforderungen aus der EU-DSGVO; weiterhin werden alle Daten dabei verschlüsselt übertragen und gespeichert.
Verschlüsselung: Teams bietet anscheinend keine End-to-End Verschlüsselung. Microsoft sagt lediglich, dass die Daten verschlüsselt seien – sowohl in der Übertragung als auch im restlichen Verarbeitungsprozess.
Zugangsbeschränkungen: sind über die Einstellung „Anonyme Teilnehmer erlauben ja/nein“ vorhanden
Blurr-Möglichkeit: Teams bietet die Funktion an
Regulierung von Aufnahmemöglichkeiten: Jeder Teilnehmer kann ein Meeting aufzeichnen –eine Meldung wird an die Teilnehmer versendet.
Kollaboration, Dateien und Chats: Teams bietet an, Aufzeichnungen von Meetings sowohl in der Cloud als auch lokal auf dem Rechner des Gastgebers zu speichern – Teilnehmer werden über die Aufzeichnung informiert. Teams bietet das Teilen des eigenen Bildschirms während einer Konferenz sowie gemeinschaftliche Datenpools an, so dass ein simultanes Arbeiten an Dateien gewährleistet werden kann. „Die Microsoft Teams-Daten befinden sich in der geografischen Region, die dem Office 365-Mandanten zugeordnet ist“. Befindet sich der Teams Mandant in der EU so gelten automatisch die EU Richtlinien inkl. des Datenaufbewahrungsortes.

Skype
Hersteller: Skype ist ein von dem US-amerikanisches Unternehmen Microsoft, bereitgestellte Plattform für Chats, Besprechungen und Videotelefonie. Es ist sowohl als Web-Applikation als auch als lokale Installation für alle gängigen Betriebssysteme verfügbar. Es wird sowohl in eine kostenfreie als auch kostenpflichtigen Variante angeboten. Microsoft unterhält Dependancen in Deutschland.
Datenschutz: Auch bei Skype gab es in der Vergangenheit ähnlich wie bei Zoom gelagerte „Sicherheitsskandale“. Angelehnt an heise.de bietet Microsoft jedoch alle Versionen aus sicheren EU-Rechenzentren an und verarbeitet somit alle Daten gemäß der Anforderungen aus der EU-DSGVO; weiterhin werden alle Daten dabei verschlüsselt übertragen und gespeichert.
Verschlüsselung: Skype bietet eine End-to-End Verschlüsselung.
Zugangsbeschränkungen: Besprechungen können nur über die Einladung des Organisators beigetreten werden.
Blurr-Möglichkeit: Skype bietet die Funktion an
Regulierung von Aufnahmemöglichkeiten: In der kostenlosen Lizenz von Skype kann jeder Teilnehmer ein Meeting / einen Anruf aufzeichnen – in der Taskleiste wird angezeigt wer ein Gespräch / eine Besprechung aufzeichnet. Organisatoren oder Referenten einer Skype for Business Online-Besprechung können diese oder auch ein Konferenzgespräch aufzeichnen. Dies muss jedoch vorab in dem Skype for Business Admin Center aktiviert werden.
Kollaboration, Dateien und Chats: Skype bietet an, Aufzeichnungen von Meetings und Anrufen lokal auf dem Rechner zu speichern sowie das Teilen des eigenen Bildschirms während einer Konferenz. Teilnehmer werden über die Aufzeichnung nicht direkt informiert. Während einer Besprechung können Dateien ausgetauscht und Nachrichten versendet werden, diese befinden sich dann auf den jeweiligen Geräten.
Microsoft plant Skype for Business langfristig durch Teams abzulösen


Jitsi Meet
Hersteller: Jitsi Meet ist ein Teil einer Sammlung von freier Software für IP-Telefonie, Videokonferenzen und Instant Messaging. Die Software ist Open Source, was bedeutet, dass Sie von mehreren Instanzen weiterentwickelt und kostenfrei für alle gängigen Betriebssysteme zur Verfügung gestellt wird.
Datenschutz: Jitsi Meet geht mit einem starken Privacy-Versprechen einher. Dazu gehört zum Beispiel, dass es nicht zwingend notwendig ist, einen Accounts anzulegen. Demnach werden keinerlei persönliche Daten gespeichert, sondern es wird lediglich ein Einladungs-Link erzeugt, welcher an die gewünschten Teilnehmer versendet werden kann. Folgt man dem Link, muss lediglich ein Name angeben werden, um einem Chat beitreten zu können. Jitsi-Sitzungen sind von Natur aus privat. Alle Besprechungsräume sind vergänglich gestaltet: Sie existieren nur, solange das virtuelle Treffen tatsächlich stattfindet. Sie werden erstellt, wenn der erste Teilnehmer eintritt, und sie werden gelöscht, wenn der letzte Teilnehmer geht. Wenn sich jemand erneut demselben Raum anschließt, wird eine neue Besprechung mit demselben Namen erstellt, und es besteht keine Verbindung zu einer früheren Besprechung, die möglicherweise unter demselben Namen stattgefunden hat. Auch Aufzeichnungen werden höchsten 24 H auf dem genutzten Jitsi Server vorgehalten.
Verschlüsselung: Jitsi bietet eine End-to-End Verschlüsselung. Dabei können Jitsi Sitzungen auf 2 Arten stattfinden: Peer-to-Peer (P2P) oder über die Jitsi Videobridge (JVB) / den Jitsi Server. Der P2P-Modus wird nur für 1-zu-1-Sitzungen verwendet. In diesem Fall werden Audio- und Videodaten vom Sender bis zum Empfänger mit DTLS-SRTP verschlüsselt, auch wenn sie Netzwerkkomponenten wie TURN-Server durchlaufen – ergo eine reale End-to-End Verschlüsselung findet statt. Im Falle von Meetings mit mehreren Teilnehmern wird der gesamte Audio- und Videoverkehr über einen Jitsi Server geschleust, jedoch im Netzwerk weiterhin verschlüsselt (wiederum mit DTLS-SRTP). Die Pakete werden entschlüsselt, während sie die Jitsi Videobridge durchlaufen; sie werden jedoch nie in einem permanenten Speicher abgelegt und nur während der Weiterleitung an andere Teilnehmer der Besprechung im Speicher gehalten.
Zugangsbeschränkungen: Besprechungen können über die Generierung eines Passwortes vor Unbefugten geschützt werden.
Blurr-Möglichkeit: Jitsi Meet bietet die Funktion an
Regulierung von Aufnahmemöglichkeiten: Jitsi Meet bietet die Möglichkeit Meetings oder Konversationen aufzuzeichnen und direkt online zu streamen. Ob dabei eine Hinweismeldung generiert wird kann nicht bestätigt werden.
Kollaboration, Dateien und Chats: Jitsi bietet zwar an, Aufzeichnungen von Meetings und Anrufen zu speichern sowie das Teilen des eigenen Bildschirms während einer Konferenz, jedoch kann eine dauerhafte Kollaboration inkl. gemeinsam genutzter Daten mittels Jitsi nicht realisiert werden.


GoTo Meeting
Hersteller: GoToMeeting ist ein Dienst, der von LogMeIn bereitgestellt wird. Der Dienst stellt Online-Besprechungen, Desktopfreigaben und Videokonferenzen zur Verfügung. LogMeIn ist US-amerikanisches Unternehmen, dessen europäische Dependance in Irland ansässig ist. Es ist sowohl als Web-Applikation als auch als lokale Installation für alle gängigen Betriebssysteme verfügbar. Es wird nur eine kostenpflichtige Variante angeboten. Datenschutz: LogMeIn ist bereits Teil des EU-US- und Schweizer Datenschutzschild-Rahmenabkommens und erfüllt alle derzeit geltenden Datenschutzvorschriften der EU. Die laufenden Compliance-Überprüfungen und -Maßnahmen bauen auf bestehenden Investitionen in den Datenschutz, die Sicherheit und die betrieblichen Abläufe auf, die zur Erfüllung der Auflagen der DSGVO bis zum 25. Mai 2018 erforderlich sind. Verschlüsselung: GoToMeeting bieten eine echte End-to-End-Verschlüsselung. Alle Verbindungen sind End-to-End verschlüsselt und nur für berechtigte Personen zugänglich. Geteilte Bildschirm-Daten, Tastatur/Maus-Kontrolldaten und Text-Chat-Informationen werden niemals in unverschlüsselter Form offengelegt, solange sie sich nur vorübergehend in und auf den Kommunikationsservern oder während der Übertragung über öffentliche oder private Netzwerke befinden.
Zugangsbeschränkungen: Besprechungen können über die Generierung eines Passwortes vor Unbefugten geschützt werden.
Blurr-Möglichkeit: GoTo Meeting bietet die Funktion im Standard nicht an
Regulierung von Aufnahmemöglichkeiten: GoTo Meeting bietet die Möglichkeit Meetings oder Konversationen aufzuzeichnen. Ob dabei eine Hinweismeldung generiert wird kann nicht bestätigt werden.
Kollaboration, Dateien und Chats: GoTo bietet an Aufzeichnungen online oder lokal zu speichern sowie das Teilen des eigenen Bildschirms während einer Konferenz. Auch ein virtuelles Whiteboard steht während der Besprechung zur Verfügung.

 

Das neue IT-Grundschutz-Kompendium

Das BSI hat das IT-Grundschutz-Kompendium in der Edition 2020 veröffentlicht. Das IT-Grundschutz-Kompendium kann als Baukasten- / Werkzeugkastensystem verstanden werden, welches Anwendern für jeden Aspekt der IT-Sicherheit einen passenden Baustein bereitstellt.

Auch ist das IT-Grundschutz-Kompendium ab sofort zertifizierungsrelevant. Seitens des BSI wurden für die Edition 2020 alle IT-Grundschutz-Bausteine sowohl redaktionell als auch größtenteils inhaltlich überarbeitet. Eine verbesserte Struktur der Texte soll zusätzlich dazu dienen, dass Anwender die IT-Grundschutz-Bausteine noch gezielter einsetzen können. Auch sind neben den bisher vorhandenen 96 Bausteinen zu den unterschiedlichsten Aspekten einer IT Infrastruktur die Bausteine "Software-Entwicklung" und "Raum sowie Schrank für technische Infrastruktur" hinzugekommen.

„Das IT-Grundschutz-Kompendium ist das geeignete Angebot für Anwender, um für die unterschiedlichsten Gefahren im Bereich Informationssicherheit gewappnet zu sein. […] Mit den bewährten und praxistauglichen Empfehlungen des IT-Grundschutzes im IT-Grundschutz-Kompendium 2020 ist eine Institution in puncto Informationssicherheit gut aufgestellt.“

Angelehnt an das BSI ist IT- & Informationsschutz nicht nur eine Frage der eingesetzten technischen Mittel sondern maßgeblich eine Frage der vorhandenen Geschäftsprozesse. Es gilt alle im Unternehmen vorhandene Geschäftsprozesse zu betrachten und kritische Geschäftsprozesse zu definieren, isoliert zu betrachten sowie von den anderen Geschäftsprozessen, Geschäftsaufgaben und auch IT-Systemen eindeutig abzugrenzen. Auch sind für den IT- & Informationsschutz Schnittstellen zu externen Dienstleistern, Lieferanten, Partnern relevant und sollten von daher ebenfalls genauer betrachtet werden.

Zur Absicherung sieht das IT-Grundschutz-Kompendium 3 Modi vor:

1) Basis-Absicherung: Niedriger Aufwand und schneller Einstieg in die IT-Grundschutz-Methodik. Alle Geschäftsprozesse sollten mit dieser Absicherung geschützt werden, um eine schnelle grundlegende Erstabsicherung zu erreichen.

2) Standard-Absicherung: Hohes, spezifisch auf die Institution angepasstes Informationssicherheitsniveau für alle Geschäftsprozesse. „Über die Standard Absicherung kann eine gute Vergleichbarkeit mit anderen Institutionen erreicht werden…“. Auch ist eine ISO 27001 Zertifizierung auf Basis von IT-Grundschutz möglich.

3) Kern-Absicherung: Fokus liegt auf die kritischen Geschäftsprozesse und kann als Sicherung der „Kronjuwelen“ verstanden werden. Die Kern-Absicherung sollte das Maß für alle kritischen Geschäftsprozesse sein, da somit „eine schnelle Umsetzung von Informationssicherheit für Geschäftsprozesse mit hohem oder sehr hohem Schutzbedarf herbeigeführt“ werden kann, so Lutz Rossa von der Sicherheits-Berater TechMedia Verlag GmbH.

Welche Absicherung für welchen Geschäftsprozess gewählt werden sollte wird somit durch die Charakteristik, Tragweite und den Dateninhalt des Geschäftsprozesses selbst bestimmt. Auch sollte Informationssicherheit und das damit verbundene Management nicht als starrer Prozess, sondern vielmehr dahingehend als „immerwährender Prozess der stetigen Verbesserung“ verstanden werden. IT- & Informationsschutz ist sehr ressourcenintensiv und Informationssicherheit erfordert eine gute Planung hinsichtlich Zeit, Personal und Budget. Bedenken Sie jedoch, dass die Behebung und die Schadenskompensation eines erfolgreichen Cybercrime Angriffs auf Ihr Unternehmen oder Ihre Person immer weitaus mehr Ressourcen beanspruchen wird als die von Ihnen vorgenommenen Präventionsmaßnahmen.

Wir möchten Sie deshalb gerne bitten sich die Zeit für die folgenden Maßnahmen zu nehmen:

a) Informieren Sie sich über IT- & Informationsschutz bei Ihren Geschäftspartnern, dem BSI oder anderen Behörden sowie Cybersecurity-Institutionen
b) Reden Sie mit Ihren Mitarbeitern und Ihren Kollegen über IT- & Informationsschutz
c) Stellen Sie Ihr Unternehmen, sich selbst, Ihre Mitarbeiter und Kollegen sowie Ihre Geschäftsprozesse auf den Prüfstand – und das vor allem stetig. Auch Cybercrime entwickelt sich stetig weiter.

Für weitere hilfreiche Informationen rund um das Thema IT- & Informationsschutz möchten wir Sie einladen die folgenden Webseiten zu besuchen:
https://www.bsi.bund.de/DE/Themen/themen_node.html;jsessionid=AB1186F95BE7A3DA7ABD45A000BCB8D3.2_cid351
http://www.polizei-beratung.de/
https://www.allianz-fuer-cybersicherheit.de/

Das komplette IT-Grundschutz Kompendium finden Sie unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2020.html