Fokusgruppe Cybersicherheit

Aufklärung

Digitalisierung durchdringt inzwischen alle unsere Lebensbereiche: Die Wirtschaft ebenso wie das private Leben. Früher isolierte Systeme werden dabei allumfassend vernetzt und die Abhängigkeit von funktionierender IT wächst. Gleichzeitig werden Angriffe auf IT-Systeme zu einer immer realeren und schwerwiegenderen Bedrohung. Besonders im Internet der Dinge (IoT) sind viele Systeme bedroht – von privaten Smartphones über vernetzte Fahrzeuge und vernetzte Sensoren und Aktoren bis hin zu industriellen Produktionssystemen und kritischen Infrastrukturen wie der Energie- oder Krankenversorgung.

In den vergangenen Jahren sind die durch gezielte Angriffe oder Schadsoftware-Wellen (z.B. Befall von Büro-PCs mit Verschlüsselungs-Trojanern) immense Schäden entstanden. Auch NRW und die Aachener Region waren davon betroffen. So hat beispielsweise der Stillstand einer Produktionsanlage über einen Zeitraum von einer Woche mit Kosten von 100.000,- Euro stündlich gezeigt, wie schnell aus einer einzigen Email auf einem PC ein unternehmensbedrohender Schaden werden kann. Neben finanziellen Schäden können durch IT-Sicherheitsmängel aber auch Mensch und Umwelt geschädigt werden. Selbstfahrende Autos, Operationsroboter oder computergesteuerte Chemiewerke sind nur einige der Beispiele, in denen Digitalisierung zunehmend propagiert wird. IT-Sicherheits-Probleme können hier zu ernsten Konsequenzen führen. Denn ging es Angreifern in der Vergangenheit meist um das Stehlen von Geld und Daten, so bergen Angriffe auf IT-Strukturen im IoT zusätzlich Gefahren für Leib und Leben.

Probleme der IT und IT-Sicherheit werden durch Schwachstellen verursacht, deren Ursache fast immer mit menschlichen Fehlern zusammenhängt. Je mehr Fehler Menschen bei der Entwicklung, Integration, Administration oder Nutzung von IT machen, desto mehr Schwachstellen gibt es und umso größer ist das Risiko von Fehlfunktionen oder erfolgreicher Angriffe. Im Zeitalter der Digitalisierung kann dem nur gegengesteuert werden, wenn die Gründe für Schwachstellen – die Fehler der beteiligten Menschen – reduziert werden.

IT-Sicherheit und Datenschutz werden von Entwicklern und Treibern der Digitalisierung oft als Hemmnisse und Stolpersteine auf dem Weg zu einer schnellen Lösung gesehen. Der Versuch, diese Punkte in fast fertige Produkte nachträglich zu integrieren oder gar „hinein zu testen“ ist zum Scheitern verurteilt bzw. erhöht die Entwicklungskosten erheblich (bei gleichzeitig geringerer Produktqualität). Tatsächlich sind sogenannte Penetration-Tests nur ein Baustein, um am Ende (regelmäßig) zu prüfen, ob das geforderte Schutzniveau auch erreicht wird.

Viele Schäden könnten von Beginn an verhindert werden, wenn den beteiligten Entwicklern und Entscheidern ein Basiswissen an IT-Sicherheit vermittelt würde. Andere können durch den Einsatz von IT-Sicherheitsexperten in wichtigen Phasen von IT-Projekten erkannt und beseitigt werden. Tatsächlich sind IT-Sicherheit und Datenschutz als integrale Bestandteile einer jeden IT-Entwicklung bereits in der Konzeptionsphase der Idee zu berücksichtigen. Das senkt nicht nur die Entwicklungskosten für diese Punkte, sondern zeigt bereits in einem frühen Stadium, ob und wo die Geschäftsidee aus Security- oder Datenschutz-Sicht angreifbar ist.

Betrachtet man, wie unbedarft und fahrlässig aktuelle Systeme und Netzwerke im Bereich von Automobilen, Industriesteuerungen, Web-Anwendungen, Smart-Home und Stromversorgungsnetzen aktuell bzw. in der jüngeren Vergangenheit entwickelt wurden, ist das Vertrauen in die Betriebs- und IT-Sicherheit unbegründet. Ein Ausfall bzw. Angriff auf solch ein System produziert nicht nur erhebliche Kosten und Schäden, sondern senkt die Reputation des Anbieters auf ein ggf. existenzbedrohendes Niveau.

Anhand von zahlreichen aktuellen Beispielen lassen sich konzeptionelle und individuelle Fehler sehr plastisch demonstrieren. Nach dem Motto „Niemand ist unnütz – er kann immer noch als schlechtes Beispiel dienen“ kann man daran nicht nur die Risiken demonstrieren, sondern auch geeignete Abhilfemaßnahmen diskutieren, um die Eintrittswahrscheinlichkeit derartiger Vorfälle deutlich zu senken. Am Ende bleibt ein Rest-Risiko, das es zu bewerten und zu minimieren gilt. Hier sind vor allem die Risiken, die eine hohe Eintrittswahrscheinlichkeit gepaart mit einer hohen Schadensauswirkung haben, bevorzugt zu betrachten.

Security by Design und Privacy by Design sollten daher nicht nur leere Marketing-Schlagworte oder Normen wie beispielsweise der DS-GVO geschuldet sein, sondern tatsächlich belastbare Qualitätskriterien jeder modernen Digitalisierungsstrategie und IT-Entwicklung.

Die Fokusgruppe Cybersecurity des digitalHub Aachen besteht aus Experten aus verschiedenen Bereichen der IT-Sicherheit, die andere Unternehmen dabei unterstützen, ihr jeweiliges IT-Sicherheitsniveau auf ein angemessenes Niveau zu bringen.

Autoren für die Fokusgruppe Cybersecurity: Prof. Dr. Marko Schuba und Dipl.-Ing. Thomas Käfer, M.Sc.

Begriffsdefinition Datenschutz:

Unter dem Begriff Datenschutz wird der Schutz personenbezogener Daten vor missbräuchlichen Zwecken, oft im Zusammenhang auch mit dem Schutz der Privatsphäre verstanden. Ziel des Datenschutzes ist die Sicherung des Grundrechts auf informationelle Selbstbestimmung der natürlichen Einzelperson. Jeder kann selbst bestimmen, wem er wann welche seiner Daten und zu welchem Zweck zugänglich macht. Gesetzesgrundlage ist die EU-Datenschutzgrundverordnung (EU-DSGVO) und das Bundesdatenschutzgesetz neue Fassung (BDSG-Neu).

Die EU-DSGVO schafft ein einheitliches Datenschutzniveau und somit gleiche Datenschutzstandards für alle Mitgliedsstaaten in Europa, stärkt die Rechte der betroffenen natürlichen Personen und misst dem Datenschutz eine höhere Bedeutung in den Unternehmen zu. Schwerpunkte sind die Informationspflicht gegenüber den Betroffenen, der Datenübertragbarkeit, dem Arbeitnehmerdatenschutz, verschärfte Anforderungen im Bereich der Auftragsdatenverarbeitung und dem „Recht auf Vergessen werden“.

Begriffsdefinition Cyber-Security:

„Cyber“ bezeichnet im engeren Sinne eine konkrete virtuelle Welt oder Realität, im erweiterten Sinn die Gesamtheit mittels Computer erzeugter räumlich anmutender oder ausgestalteter Bedienungs-, Arbeits-, Kommunikations- und Erlebnisumgebungen. In der verallgemeinernden Bedeutung als Datenraum umfasst der Cyberspace das gesamte Internet.

Cyber-Sicherheit befasst sich mit allen Aspekten der Sicherheit in der Informations- und Kommunikationstechnik. Das Aktionsfeld der klassischen IT-Sicherheit wird dabei auf den gesamten Cyber-Raum ausgeweitet. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein. Gesetzesgrundlage für die IT- und Cyber- Sicherheit ist in Deutschland das IT-Sicherheitsgesetz als Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme.

Cyber-Security ist somit der Schutz von Netzwerken, Computersystemen, cyber-physischen Systemen, KI-Systemen und Robotern vor Diebstahl oder Beschädigung ihrer Hard- und Software oder der von ihnen verarbeiteten Daten sowie vor Unterbrechung oder Missbrauch der angebotenen Dienste und Funktionen. Dabei handelt es sich sowohl um persönliche als auch um betriebliche Daten.

Überschneidungspunkte zwischen dem Datenschutz und der Cyber-Security:

Der Datenschutz braucht die Cyber-Security, während die Cyber-Security allein durch ihre Zweckbestimmung schon ein Teil des Datenschutzes ist. Um personenbezogene Daten zu schützen und auch die Verarbeitung vertraulich und sicher zu gestalten, ist es unabdingbar, Lösungen der Cyber-Security einzusetzen. Dies fängt im Kleinen bereits bei der Sicherung der Hardware an, auf der personenbezogene Daten verarbeitet werden. Dazu stellen sich schon Fragen wie beispielsweise: Ist eine Firewall installiert? Ein Anti-Viren Schutz aktiv und auf aktuellstem Stand? Ist die eigene Webseite sicher verschlüsselt? Dies sind grundsätzliche Fragen und Anforderungen die der Datenschutz – zu finden im Katalog der technischen & organisatorischen Maßnahmen gemäß Artikel 32 DSGVO – an die Sicherheit der IT-Systeme stellt. Besonders für Unternehmen ab 250 Mitarbeitern sind die Hürden groß – aber nicht unüberwindbar. Doch Cyber-Security schützt noch einiges mehr als die personenbezogenen Daten, die laut EU-DSGVO auch nachweisbar geschützt werden müssen. Was ist mit dem Schutz von Robotern, intelligenten Systemen und hochsensiblen Bereichen, wie etwa einem Atomkraftwerk, Wasser- und Stromversorgungsnetze, Lebensmittelketten etc.? Hier ist die Cyber-Security das Mittel der Wahl, um ganze Infrastrukturen vor schädlichen oder terroristischen Angriffen zu schützen.

Herausforderungen und Chancen der Cyber-Security

Kleinste Sicherheitslücken in der digitalen Sicherheit kann Unternehmen – und deren Kunden – teuer zu stehen kommen. Mit regelmäßigen gründlichen Sicherheitsüberprüfungen können die meisten Risiken ausgeschlossen werden. Dazu bedarf es einer umfassenden Beratung und Durchführung durch einen Experten, sowie klare Richtlinien, Umsetzungs- und Dokumentationspläne. Die Folgen eines Hackerangriffs auf ein Unternehmen sind dabei meist schwerwiegender als die eigentliche Attacke, hohe Schadensersatzforderungen und massive Imageschäden drohen. Als Beispiel ist hier ein besonders hinterhältiger Angriff auf die US-Baumarktkette Home Depot zu nennen, der im September 2014 einen Millionenschaden verursacht hat. Cyberkriminelle hatten es geschafft, Malware in das Kassensystem von über 2000 Filialen einzuschleusen. Als Folge davon wurden 56 Millionen Kreditkarteninformationen von Kunden aus den USA und Kanada direkt bei der Zahlung in den Filialen gestohlen. Darüber hinaus fielen zusätzlich 53 Millionen E-Mail Adressen in die Hände der nach wie vor nicht identifizierten Hacker. Der finanzielle Schaden wird auf rund 62 Millionen Dollar beziffert. Ein Vorfall wie dieser ist auch in Europa denkbar – zwar sind die europäischen Sicherheitsstandards im Zahlungsverkehr hoch, doch Anlass zur Unaufmerksamkeit bietet dies nicht, denn die Hacker sind fast genauso schnell darin, Sicherheitssysteme zu überwinden wie Sicherheitsexperten diese Systeme laufend verbessern. An dieser Stelle ist auch auf den erfolgreichen Cyber-Angriff 2017 / 2018 auf die vermeintlich als hochsicher geltenden Systeme der Bundesregierung zu verweisen, bei dem Schadsoftware eingeschleust und Daten erbeutet wurden.
Die Aufrüstung der Sicherheitssysteme – auch um den Anforderungen der Datenschutzgrundverordnung Genüge zu tun – stellt einen Gewinn für die Sicherheit eines jeden Unternehmens dar. Die größten Risiken durch Hackerangriffe sind der Datendiebstahl, die Datenmanipulation, die Beeinflussung der firmeninternen Abläufe, Wettbewerbsbetrug und Wirtschafts-/Betriebsspionage. Die Industrie 4.0 stellt dabei ein besonderes Ziel dar, ist sie doch hochtechnisch gerüstet und bereits heute – besonders im verarbeitenden Gewerbe – intern hochvernetzt. Hackerangriffe können ganze Produktionsabläufe lahmlegen, die Sensorik der vernetzten Maschinen manipulieren – was ganze Chargen wertlos macht, weil die Produkte bspw. zu klein oder zu groß geraten – die fatale Folge: eine ganze Zulieferkette kommt zum Erliegen, Millionenschäden werden kettenweise ausgelöst. Wer jetzt sensibel für die Themen Datenschutz und Cyber-Security ist und konsequent an der Umsetzung arbeitet, der kann infolge dessen Störungen und Angriffe früher erkennen und abwehren. Erste Quellen, um sich mit dem Thema Cyber-Security auseinanderzusetzen, werden am Ende des Beitrags aufgeführt.

Datenschutz in die Cyber-Security implementieren

Die Herausforderungen des Datenschutzes und der Cyber-Security laufen ineinander über. Allein die Anforderungen des Datenschutzes – besonders in den technischen & organisatorischen Maßnahmen zu finden – erfordern ein gut durchdachtes Konzept mit einem gesunden Mix aus aktuellem Stand der Sicherheitstechnik, Prozessdefinition, Beobachtung der Systeme und Sensibilisierung der Anwender. Besonders ist die kontinuierliche Verbesserung der operativen Prozesse wichtig, um das erforderliche IT-Sicherheitsniveau aufrecht zu erhalten und dem Datenschutz gerecht zu werden. Dies obliegt keinesfalls der alleinigen Verantwortung des Datenschutzbeauftragten, sondern ist als ganzheitliches IT-Sicherheitskonzept zu sehen und zu verstehen, das sowohl den Herausforderungen des Datenschutzes, als auch den Anforderungen an die Sicherheit der betrieblichen Systeme gereicht. Um den bestmöglichsten Schutz zu gewähren, ist somit eine ausführliche Beratung, Erfassung des IST-Zustandes, Planung des SOLL-Zustandes – unter Beachtung aller gesetzlichen und individuellen Anforderungen – , sowie die Durchführung des Konzeptes und der Sensibilisierung der Mitarbeiter durch einen Experten notwendig, der im besten Falle sowohl mit dem Datenschutz als auch mit der IT-Sicherheit und den technischen Möglichkeiten vertraut ist und dementsprechende Erfahrung vorweisen kann. Hier sollte jeder Unternehmer und jede Unternehmerin bereit für Investitionen sein, ein billiges Angebot kann hier Unerfahrenheit und in deren Folge den absoluten Crash bedeuten. Ein leichtfertiger Umgang führt zu hohen Geldbußen durch die zuständigen Landesdatenschutzbehörden und bedroht zusätzlich die Integrität der IT des Unternehmens und damit die Existenz eines Unternehmens an sich.

Nützliche Tipps zur sofortigen Verbesserung / Umsetzung:

  • Informieren Sie sich – falls noch nicht geschehen – umfassend über die Themen Datenschutz und IT-Sicherheit – gute Quellen finden Sie weiter unten im Quellverzeichnis
  • Überprüfen und dokumentieren Sie die Zugänge zum Firmengelände, bzw. zum Gebäude und den Zutritt zu den Räumlichkeiten. Wie werden diese gesichert? Sensibilisieren Sie Ihre Mitarbeiter – falls notwendig – dazu, die Räumlichkeiten und den Zutritt zum Gebäude verschlossen zu halten. Denken Sie darüber nach, den Schutz des Gebäudes und der Räume zu verbessern, zum Beispiel durch das Einsetzen von Sicherheitsschlössern, Bewegungsmelder, Alarmanlagen etc.
  • Wer hat Zugang zum Gebäude und zu einzelnen Räumlichkeiten? Gibt es eine Schlüsselliste? Sind die Schlüssel – insbesondere für Räume innerhalb des Gebäudes – vor der Anfertigung von Duplikaten geschützt?
  • Betrachten Sie Ihre Übertragungswege von Daten. Sind diese durch Verschlüsselungsverfahren bereits gesichert? Dazu zählt z.B. ein Virtual Private Network (VPN) oder die E-Mail Verschlüsselung.
  • Überprüfen Sie ungenutzte Netzwerkdosen – sind diese deaktiviert? Falls Nein, sorgen Sie für die Deaktivierung!
  • Nutzen Sie ein Anti-Viren System? Ist dieses auf dem aktuellen Stand? Klicken Sie die Update-Meldungen nicht weg – starten Sie sie, und zwar so schnell wie möglich!
  • Kontrollieren Sie die Nutzung mobiler Datenträger! Ist eine Malware einmal ins System eingedrungen, kann sie massiven Schaden anrichten. Eine zusätzliche Schutzmaßnahme ist die Kontrolle / Verbot der Nutzung von mobilen Datenträgern, bzw. die ausschließliche Nutzung firmeneigener – am besten verschlüsselter – Datenträger.

Dies sind einige der Maßnahmen, die für die Ausfertigung einer Datenschutzdokumentation notwendig sind. Allgemein sollten Sie kritisch durch Ihre Systeme und Prozesse gehen um sensibel für Datenschutzvorfälle und Cyberkriminalität zu bleiben. Bitte denken Sie nicht, es wird Sie schon nicht treffen, weil Ihr Unternehmen unter Umständen gar keinen Grund aufweist, in deren Systeme einzudringen! Hacker wählen ihre Opfer auch zufällig aus, wird eine Sicherheitslücke gefunden, wird sie eben auch genutzt – dabei kann es zufällig Ihr Unternehmen treffen!

Fazit:

Beide großen Themen – Datenschutz & Cyber-Security – spielen tragende Rollen für die Entwicklung hochvernetzter, intelligenter und autonomer Systeme. Der technologische Fortschritt ist nicht aufzuhalten, IT-Anforderungen und Sicherheitskonzepte müssen zwingend mitwachsen. Deswegen ist und bleibt die IT das Herzstück eines jeden Unternehmens – nehmen Sie die Bedrohung ernst und handeln Sie!

Position paper on the role of the Cyber-Security Region Aachen (CSRA) on the certification provisions of the draft Cybersecurity Act

Motivation

Die Cyber-Sicherheitsregion Aachen (CSRA), die digitale Sicherheitsexperten im Raum Aachen vertritt, begrüßt die Anpassung des neuen Europäischen Cybersicherheitsgesetzes, das einen neuen harmonisierten Rahmen für die Sicherheitszertifizierung und -kennzeichnung enthält. Die CSRA unterstützt die Rolle der ENISA als Cybersicherheitsagentur mit vollen operativen Fähigkeiten. Die Einrichtung einer Europäischen Cybersicherheitszertifizierungsgruppe in diesem Rahmen wird von der CSRA ebenfalls begrüßt, da sie eine bessere Koordinierung der bestehenden Sicherheitszertifizierungssysteme fördern wird.

Die weltweite Marktführerschaft im Bereich der digitalen Sicherheit und der Erfolg der digitalen Sicherheitstechnologie auf dem europäischen Markt sind einzigartig. Hochsichere Kommunikationsprodukte, Open Source Secure Cloud Technology oder sichere Elemente sind nur einige Beispiele für europäische Technologien, die weltweit Vertrauen und Sicherheit bieten. Daher ist es wichtig, dies mit neuen europäischen Cybersicherheitszertifizierungssystemen unter der Führung der europäischen Cybersicherheitsindustrie zu erhalten und zu unterstützen.

Paper der Fokusgruppe Cyber Security im digitalHUB Aachen
Autoren: Andreas Philipp, Hartmut Blumberg, Thomas Käfer, Dr. Walter Plesnik

Die Rolle von KMU und Startups für den europäischen Cybersicherheitsmarkt

Drei wichtige Aspekte des europäischen Cybersicherheitsmarktes sind relevant und müssen bei der Spezifikation, Implementierung und Einrichtung des neuen Zertifizierungsrahmens Berücksichtigung finden.

Aspekt 1:

Das Rückgrat des Erfolgs des Cyber-Security-Marktes und die vom Zertifizierungsvorschlag betroffene Gemeinschaft basieren neben großen Playern auf KMU (kleine und mittlere Unternehmen) bis hin zu Kleinstunternehmen und wissenschaftlichen Institutionen sowie Kommunen in Europa. Angesichts dieser Situation und unter Berücksichtigung der Tatsache, dass nur etwa die Hälfte der Unternehmen in Verbänden und Arbeitsgruppen vertreten sind und sich somit Gehör in den EU-Gremien verschaffen können, ist es notwendig, dass die EU und die ENISA ihre Kommunikation gegenüber den betroffenen Unternehmen erweitert. Das bedeutet, dass die EU und die EU-Institutionen die Verantwortung dafür tragen, mehr Anstrengungen zu unternehmen, um diese Adressaten in die entsprechende Diskussion über die Zertifizierung einzubeziehen.

Aspekt 2:

Innovation und der Grad der Exzellenz in der europäischen Cybersicherheitsindustrie kommt von einer hoch qualifizierten Bildungs- und technologiegetriebenen Startup-Kultur. Um eine mögliche Abwanderung von Startups aus der EU zu vermeiden, sollte die ENISA mit lokalen Startup-Plattformen zusammenarbeiten, um Schlüsselprozesse und bewährte Verfahren im Rahmen des Zertifizierungssystems voranzutreiben. Möglichen Vorbehalten kann man entgegentreten, in dem man Zertifizierung im Dialog als qualitätssichernde Maßnahme und Enabler (Gütesiegel) entwickelt.

Aspekt 3:

In der Cyber-Security-Technologie ist die Entwicklungsrate neuer Technologien und Verfahren im Vergleich zu anderen Branchen bemerkenswert hoch. Eine aufwändige Zertifizierung verzögert daher diese Innovationsrate und erhöht die Kosten. Es gilt das Spannungsfeld zwischen einer tatsächlich in Bezug auf die Erhöhung der Cybersicherheit relevanten Zertifizierung und des dafür notwendigen Aufwands (Kosten, Zeit, Komplexität) praxisrelevant zu berücksichtigen. Insbesondere KMU werden den Vorteil einfacher Zertifizierungsverfahren bei der Standortwahl berücksichtigen.

Autorenprofil
Vanessa Plesnik ist selbstständige virtuelle Assistentin und als Ghostwriterin für die Ingenieurbüro Dr. Plesnik GmbH mit den Themen Datenschutz, Cyber-Security & Unternehmenskultur tätig. Sie lebt und wirkt unter der Marke Make . Your . Self in der Städteregion Aachen und ist auch in der digitalCHURCH anzutreffen. Neben der Leidenschaft für professionelle Texte ist sie auch in der Eventgestaltung Zuhause und bietet als virtuelle Assistentin kleinen und mittelständischen Unternehmen Arbeitsentlastung im Office-Bereich.

Zurück nach oben