Aktuelles zum IT-Sicherheitsgesetz

Am 25.07.2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Bereits die ersten EntwĂŒrfe des Gesetzes wurden heftigst diskutiert. Die Spannungskurve ist nach der Verabschiedung allerdings nicht abgesunken, da viele Fragen erst durch Rechtsverordnungen geklĂ€rt und festgelegt werden mĂŒssen. Hierzu gehören die betroffenen Unternehmen und Dienstleistungen wie auch die konkreten Anforderungen aus dem Gesetz. Dass das IT-Sicherheitsgesetz keine langweilige und trockene Angelegenheit wird, zeigte die Veranstaltung der Gesellschaft fĂŒr Informatik zu diesem Thema am vergangenen Freitag in Frankfurt. Trotz Streiks bei der Lufthansa war die Veranstaltung sehr gut besucht. Den Gastgeber Bahn hat dies natĂŒrlich auch sehr gefreut ;-). Weiterlesen…

Nicht “ob”, sondern “wann” ist die Frage

Schaut man sich die Liste der erfolgreichen Hacks der jĂŒngsten Vergangenheit an, wird schnell klar, dass es jedes Unternehmen irgendwann treffen kann. Eine hundertprozentige Sicherheit kann kein Unternehmen auch nicht mit immensem personellem und finanziellem Aufwand sicherstellen. Der normale GeschĂ€ftsbetrieb muss ja noch gewĂ€hrleistet bleiben und die Unternehmen werden weiter Menschen beschĂ€ftigen, die das schwĂ€chste Glied in der Abwehrkette darstellen. Wie schnell ist auf einen Link in einer Mail geklickt …

Auf der anderen Seite ist der Business Case fĂŒr Cyber-Kriminelle hochattraktiv. Mit der VerschlĂŒsselungssoftware Cryptowall Ransomware hat eine Hackergruppe alleine in diesem Jahr rund 325 Millionen US-Dollar an Erpressungsgeldern eingenommen, das sind nahezu eine Million US-Dollar tĂ€glich. Neben der Erpressung des Unternehmens winken mit dem Verkauf der erbeuteten Daten weitere lukrative Einnahmen. FĂŒr einen Kreditkartendatensatz aus der EU sind dies immerhin 25 bis 45 US Dollar, wie McAfee Labs in seiner Analyse “The Hidden Data Economy” ermittelte. Wenn das kein attraktives GeschĂ€ftsmodell ist! Wir mĂŒssen daher davon ausgehen, dass dieses GeschĂ€ftsmodell der Cyber-Erpressung weiter wachsen wird, denn auch Cyber-Kriminelle denken und handeln streng ökonomisch. Betroffen von diesem “GeschĂ€ftsmodell” sind gerade auch kleine und mittelstĂ€ndische Unternehmen.  Die eingeforderten BetrĂ€ge sind fĂŒr die Betroffenen verkraftbar kalkuliert und so ist es auch fĂŒr viele Unternehmen betriebswirtschaftlich sinnvoller der Erpressung nachzugeben und das Geld zu bezahlen. Das ökonomische KalkĂŒl der Erpresser geht also auf. Sogar das FBI kapituliert vor diesen Methoden und empfiehlt, das Lösegeld an die Erpresser zu bezahlen.

Das objektive Risiko Opfer einer solchen Cyber-Erpressung zu werden ist hoch. Nicht “ob” ist die Frage, sondern “wann”. Doch was können Unternehmen tun, um auf den “Tag X” vorbereitet zu sein. Sich auf die IT-Security zu verlassen ist zu wenig. Die Kollegen machen einen tollen Job, doch einen Rundum-Schutz fĂŒr ein sorgloses Leben und Arbeiten können sie nicht gewĂ€hren. Im Zweifel sind die kriminellen besser ausgestattet und technisch ĂŒberlegen.

Daher mĂŒssen die Verteidigungslinien im Unternehmen mehrfach gestaffelt werden:

  • 1. Verteidigungslinie: Awareness bei den Mitarbeitern
  • 2. Verteidigungslinie: Technische Maßnahmen durch die IT-Security
  • 3. Verteidigungslinie: Business Continuity PlĂ€ne fĂŒr diese Szenarien (Bsp. Nicht-VerfĂŒgbarkeit kritischer Daten und Anwendungen)
  • 4. Verteidigungslinie: IT Service Continuity Management fĂŒr die Wiederherstellung kritischer Daten und Systeme
  • 5. Verteidigungslinie: Krisenmanagement fĂŒr die planvolle Steuerung durch die Krise.

Dies zeigt, Cyber-KriminalitĂ€t mit seinen potentiellen Auswirkungen auf kritische GeschĂ€ftsprozesse ist nicht nur ein Thema der IT-Security. Mitarbeiter, IT-Security, BCM, ITSCM und Krisenmanagement mĂŒssen “Hand in Hand” funktionieren, um ein solches herausforderndes Szenario bewĂ€ltigen zu können.

Die Angriffe sind mittlerweile so ausgeklĂŒgelt, dass eine Verteidigungslinie bei weitem nicht ausreichend ist. So sind Mails mit Links zu Malware mittlerweile tĂ€uschend echt gebaut. Die Adressaten der Mails werden namentlich angesprochen und der Inhalt der Mails passt perfekt in den Arbeitskontext der Adressaten. Die technischen Möglichkeiten der Cyber-Kriminellen sind durch den Business Case nahezu unerschöpflich. Damit im Fall der FĂ€lle das Business weiter lĂ€uft benötigt es die Verteidigungslinien BCM, ITSCM und Krisenmanagement. Allerdings sind gerade fĂŒr diese Szenarien PlĂ€ne nicht ausreichend. Gerade hier gilt ĂŒben, ĂŒben, ĂŒben. Denn die Bedrohungsszenarien Ă€ndern sich laufend genauso wie sich elektronische VertriebskanĂ€le und schĂŒtzenswerte Daten Ă€ndern. WofĂŒr die IT-Security Penetrations-Tests einsetzt, nutzen BCM, ITSCM und Krisenmanagement Tests und Übungen. Schnelles und richtiges Handeln in diesen Bedrohungsszenarien muss stĂ€ndig geĂŒbt werden, so wie Piloten im Simulator regelmĂ€ĂŸig die Notfallverfahren ĂŒben bis sie tief im Gehirn verankert sind und im Notfall automatisiert abgespult werden können.

be prepared

Ihr Matthias HĂ€mmerle

NYSE stoppt Handel mit allen Wertpapieren wegen technischer Probleme

Um 11:32 Uhr Ortszeit musste die New York Stock Exchange am heutigen Mittwoch den Handel mit allen Wertpapieren stoppen. Nur der Optionshandel lief weiter. Nachdem am gleichen Tag Flieger der Airline United wegen technischer Probleme fĂŒr eine Stunde am Boden bleiben mussten und die Webseite des Wall Street Journal gestört war, kam der Verdacht einer Cyber-Attacke auf. Von den US-Regierungsbehörden werden derzeit allerdings keine ZusammenhĂ€nge zwischen den Ereignissen gesehen. Auch ein Hackerangriff als Ursache des Ausfalls der NYSE wird zurĂŒckgewiesen. Die NYSE steht fĂŒr rund 25 Prozent des US-Aktienhandels. Der Handel an den anderen Börsen lief normal weiter. Die konkurrierende Handelsplattform Nasdaq hatte in den vergangenen Jahren ebenfalls mit AusfĂ€llen zu kĂ€mpfen.

Um 21:15 Uhr wurde der Handel wieder eröffnet. Hier eine Übersicht der grĂ¶ĂŸten Börsen-AusfĂ€lle.

IT-Sicherheitsgesetz ist verabschiedet

Am vergangenen Freitag, den 12. Juni 2015 wurde das IT-Sicherheitsgesetz im Bundestag verabschiedet. Unter dem Eindruck der erfolgreichen Cyber-Attacken auf das IT-System wurden noch Änderungen am Gesetz vorgenommen.

So gilt das Gesetz jetzt auch fĂŒr Bundesbehörden:

“(1) Das Bundesamt erarbeitet Mindeststandards fĂŒr die Sicherheit der Informationstechnik des Bundes. Das Bundesministerium des Innern kann im Benehmen mit dem IT-Rat diese Mindeststandards ganz oder teilweise als allgemeine Verwaltungsvorschriften fĂŒr alle Stellen des Bundes erlassen. Das Bundesamt berĂ€t die Stellen des Bundes auf Ersuchen bei der Umsetzung und Einhaltung der Mindeststandards. FĂŒr die in § 2 Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane haben die Vorschriften nach diesem Absatz empfehlenden Charakter.”

Zudem sind VerstĂ¶ĂŸe gegen das IT-Sicherheitsgesetz jetzt strafbewehrt mit einem Maximalbetrag von 100.000 Euro. Dies betrifft die Vorkehrungen fĂŒr die IT-Sicherheit, aber auch die Benennung der Kontaktstelle sowie die Meldepflichten.

Der Gesetzgeber geht nach wie vor davon aus, dass maximal 2.000 Unternehmen als Betreiber kritischer Infrastrukturen vom IT-Sicherheitsgesetz betroffen sein werden:

“Nach aktuellen SchĂ€tzungen wird die Zahl der meldepflichtigen Betreiber Kritischer Infrastrukturen bei maximal 2.000 Betreibern liegen. Weiterhin wird geschĂ€tzt, dass pro Betreiber maximal sieben Meldungen von IT-SicherheitsvorfĂ€llen pro Jahr erfolgen.”

Die Betreiber kritischer Infrastrukturen sorgen in ErfĂŒllung des Gesetzes fĂŒr

“- die Einhaltung eines Mindestniveaus an IT-Sicherheit,

 

– den Nachweis der ErfĂŒllung durch Sicherheitsaudits,

 

– die Einrichtung und Aufrechterhaltung von Verfahren fĂŒr die Meldung erheblicher IT-SicherheitsvorfĂ€lle an das BSI sowie

 

– das Betreiben einer Kontaktstelle.”

Die Meldepflicht beinhaltet:

„Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der VerfĂŒgbarkeit, IntegritĂ€t, AuthentizitĂ€t und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer BeeintrĂ€chtigung der FunktionsfĂ€higkeit der von ihnen betriebenen Kritischen Infrastrukturen 1. fĂŒhren können oder 2. gefĂŒhrt haben, ĂŒber die Kontaktstelle unverzĂŒglich an das Bundesamt zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsĂ€chlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers enthalten.“

Dass ich das IT-Sicherheitsgesetz nicht ausschließlich auf IT-SicherheitsvorfĂ€lle bezieht, wird aus der Meldepflicht deutlich. Störungen in der VerfĂŒgbarkeit von IT, Komponenten oder Prozessen, die zu einer BeeintrĂ€chtigung der FunktionsfĂ€higkeit von Organisationen fĂŒhren gehören eindeutig in das Aufgabengebiet des Business Continuity Management.

Dies trifft vor allem Unternehmen, die als Betreiber kritischer Infrastrukturen den Anforderungen des IT-Sicherheitsgesetzes entsprechen mĂŒssen und die bislang noch keinen vergleichbaren regulatorischen Anforderungen genĂŒgen mĂŒssen.

“Die Verpflichtung zur Einhaltung eines Mindestniveaus an IT-Sicherheit wird dort zu Mehrkosten fĂŒhren, wo kein hinreichendes IT-Sicherheitsniveau vorhanden ist. Der entstehende Aufwand hĂ€ngt einerseits vom erforderlichen Sicherheitsniveau und andererseits vom jeweiligen Status quo des Normadressaten ab.

Mit Spannung blicken wir auf die Inhalte der Rechtsverordnung, die den Adressatenkreis der Betreiber kritischer Infrastrukturen regeln wird.

Quellen:

Gesetzesentwurf IT-Sicherheitsgesetz (pdf)

Beschlussempfehlung IT-Sicherheitsgesetz (pdf)

Die Business Impact Analyse fĂŒr den Fachbereich IT

Geht man mit der Business Impact Analyse durch die Fachbereiche im Unternehmen landet man frĂŒher oder spĂ€ter bei der IT. Dieses “frĂŒher oder spĂ€ter” wird zentrales Thema dieses Beitrags sein. Die IT stellt mit den IT-Services wesentliche geschĂ€ftskritische Ressourcen fĂŒr die GeschĂ€ftsprozesse zur Erbringung der Produkte und Services. des Unternehmens Auf der anderen Seite ist der Fachbereich IT auch eine Organisationseinheit mit Prozessen und Ressourcen. Weiterlesen…

AusfÀlle des Finanzinformationssystems Bloomberg

Bei der in vielen Finanzdienstleistunsgunternehmen eingesetzten Finanzinformationsplattform Bloomberg (Bloomberg professional) kommt es am heutigen Freitag Vormittag zu technischen Störungen. Bloomberg hat die weitreichenden Störungen bestĂ€tigt und arbeitet an der Behebung. Bloomberg hat ĂŒber 300.000 Anwender weltweit. Neben Finanzinformationen können auch HandelsgeschĂ€fte ĂŒber das System abgewickelt werden. Mitbewerber ist das Finanzinformationssystem von Reuters, das bei vielen HĂ€usern parallel im Einsatz ist. Leider gehört Bloomberg zu den externen Dienstleistern, die wohl Kraft ihrer Marktmacht nicht zu verbindlichen Service Level Agreements fĂŒr die VerfĂŒgbarkeit der fĂŒr die Kunden kritischen Systeme zu bekommen sind. Auch Nachfragen nach Nachweisen fĂŒr die BCM-Vorsorge erfahrungsgemĂ€ĂŸ laufen ins Leere.

Neue Veröffentlichung: “Die Schnittstelle zwischen Business Continuity und IT Service Continuity Management”

In der 18. Aktualisierungs- und ErgĂ€nzungslieferung vom MĂ€rz 2015 des Praxis-Handbuchs “IT-Servicemanagement” (Hrsg. Bartsch/Lindinger, TUEV Media GmbH) habe ich einen ausfĂŒhrlichen Artikel zu den Schnittstellen zwischen BCM und ITSCM veröffentlicht.  Die vielfĂ€ltigen Schnittstellen zwischen diesen beiden Disziplinen werden anhand des BCM-Lifecycle beschrieben und praktische RatschlĂ€ge fĂŒr die Umsetzung gegeben.

Teures Nachspiel eines IT-Ausfalls fĂŒr die RBS

2012 fĂŒhrte der IT-Ausfall der Royal Bank of Scotland RBS dazu, dass Millionen Kunden der RBS, NatWest und Ulster Bank tagelang keinen Zugriff auf ihre Konten bekamen. Ursache war ein fehlgeschlagenes Software-Update, sowie ĂŒber Jahre fehlende Investitionen in die Absicherung und Erneuerung der IT-Systeme. In der Folge renovierte die Bank aufwĂ€ndig ihre IT-Systeme. Der Reputationsschaden blieb an der Bank haften. Der direkte finanzielle Schaden belief sich auf rund 175 Millionen Pfund (rund 220 Mio. Euro). Jetzt hat dieser IT-Ausfall ein weiteres Nachspiel: die britische Finanzaufsicht wird eine Strafe in zweistelliger Millionenhöhe fĂŒr den IT-Ausfall erheben.
Quelle: The Guardian

BSI aktualisiert HochverfĂŒgbarkeitskompendium

Das Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) hat das 4-bĂ€ndige Kompenfium fĂŒr HochverfĂŒgbarkeit aktualisiert.

Das Kompendium besteht aus folgenden Teilen:

  • Band G beschreibt die AnsĂ€tze fĂŒr eine Analyse kritischer GeschĂ€ftsprozesse, das Design hochverfĂŒgbarer IT-Services und fĂŒr eine IT-Steuerung auf der Grundlage von Reifegradmodellen.
  • Band B liefert Bausteine mit Architekturen und Maßnahmenempfehlungen zur Realisierung hoher VerfĂŒgbarkeit.
  • Band M stellt Maßnahmenempfehlungen komprimiert in einem Maßnahmenkatalog dar. Die Maßnahmenempfehlungen werden ergĂ€nzt um ein Reifegradmodell, welches die Grundlage fĂŒr die Bewertung Steuerung und Optimierung der IT-Prozesse liefert. Die Maßnahmenempfehlungen beinhalten HochverfĂŒgbarkeitsmaßnahmen in diversen Bereichen (Meta-Ebene, HV-Organisation, Netzwerk, Cluster, Server, Speicher, IT-Dienste, Datenbanken, Software, Überwachung und Infrastruktur).
  • Band AH Architekturmodelle und Hilfsmittel umfaßt Architekturmodelle, Steuerungsinstrumente und weitere Hilfsmittel.

Das HochverfĂŒgbarkeitskompendium ist kostenfrei auf den Seiten des BSI verfĂŒgbar.

Der Mainframe lebt!

So langsam darf man sich je wieder als Dinosaurier outen und ganz leise neben den lauten LobgesĂ€ngen auf die Wunderleistungen verteilter Systeme und die “eierlegende Wollmichsau Cloud” den Vorteilen der Mainframes huldigen. “Vor allem die hohe VerfĂŒgbarkeit, Sicherheit, Performance und die zentralisierte Datenhaltung sorgen dafĂŒr, dass die Anwender an dieser Plattform festhalten wollen”, so eine BMC-Studie unter Mainframe-Nutzern. Die Migrationswilligkeit der Mainframe-Nutzer ist gering, denn sie schĂ€tzen die hohe Ausfallsicherheit dieser Systeme. Gerade in der Finanzdienstleistungsbranche, wo hohe Transaktionsvolumina bei sehr hoher Ausfallsicherheit  werden mĂŒssen, werden wir uns von unserem guten alten Mainframe (in moderem Gewand natĂŒrlich) nicht verabschieden mĂŒssen.

Ausfall von Rechenzentren in New York durch Hurrikan “Sandy”

Erstaunlicherweise sind einige große Rechenzentren in New York durch Überflutungen nach Hurrikan “Sandy” ausgefallen. Namhafte Internetanbieter verloren zeitweise ihre PrĂ€senz im Internet. Gerade zu Zeiten, wo sie dringend benötigt wird. Durch die Überflutungen wurden Dieselpumpen beschĂ€digt, so dass Notstromaggregate nicht anliefen.

Data Center Knowledge hat eine Übersicht ĂŒber die SchĂ€den an Rechenzentren in New York City erstellt.

Da gibt es eine ganze Menge Lessons Learned aufzuarbeiten, wenn die RZ wieder trocken sind.

enisa veröffentlicht den Annual Incident Report 2011

enisa (European Network and Information Security Agency) hat erstmalig einen JahresreportÂ ĂŒber SicherheitsvorfĂ€lle in 2011 veröffentlicht. Berichtet wird ĂŒber AusfĂ€lle von mobilem und festem Internet und Telefonie, sowie Message- und E-Mail-Services. 51 signifikante Incidents wurden der enisa berichtet. Die meisten VorfĂ€lle betreffen mobiles Internet und mobile Telefonie. Hauptursachen fĂŒr die AusfĂ€lle sind Hard- und SoftwareausfĂ€lle sowie AusfĂ€lle von Service Providern. Am lĂ€ngsten Dauern die AusfĂ€lle, die durch Naturereignisse wie StĂŒrme ausgelöst wurden.
Der Report ist bei enisa verfĂŒgbar.