Die Anforderungen an die IT – Sicherheit in Unternehmen steigt heutzutage stetig. Um den Anforderungen gerecht zu werden, müssen die Kernbereiche – Computersicherheit, Datensicherheit / Datensicherung, Datenschutz und etwaige besondere Anforderungen des Unternehmens (bspw. an die kritische Infrastrukturen) – im Unternehmen besonders gut strukturiert werden und dürfen keine Lücken aufweisen. Denn die Bedrohungen sind vielfältig, dazu zählen bspw. rd. 390.000 neue Schadprogramme, rd. 11,1 Millionen Schadprogramme für Android, Manipulierte Werbebanner auf Webseiten, Cyberspionage, neue Tools für Cyberangriffe und Verschlüsselungstrojaner (Ransomware).

Nahezu jede Behörde und jedes Unternehmen ist Ziel von Cyberangriffen, aber nicht alle Angriffe werden entdeckt!

Diverse Vorfälle erregten weltweit Aufmerksamkeit und führten dazu, dass auch die staatliche Akteure erkannt haben das potentiell gravierende Schäden drohen sofern die IT Landschaft nicht hinreichend geschützt wird.

Vorfälle in der Vergangenheit

Viele Angriffe auf die Industrie und staatliche Einrichtungen bleibt über eine lange Zeit unentdeckt. Auszugsweise seien hier einige Vorfälle genannt:

2010 Durch den „Stuxnet“ Wurm wurden erhebliche Schäden an iranischen Atomanlagen angerichtet.

2014 Angriff auf das Regierungsnetzwerk in Deutschland (BSI Report von Dez 2014)

2015 Angriff mittels Pishing E-Mails auf das ukrainische Stromnetz durch den Einsatz und das Einschleusen  von „KillDisk“ bei verschiedenen Betreibergesellschaften.

2017 Beim „Equfax data breach“ wurden 147,9 Millionen Kundendaten weltweit kompromittiert. Nach Schätzungen belaufen sich die Kosten für das Unternehmen auf 242 Millionen Dollar.

2018 FBI & DHS deckten einen Angriff auf US Einrichtungen und Unternehmen durch die russische Regierung auf. Die Hackergruppe war seit 2011 aktiv und hat auch Ziele in Europa angegriffen.

Staatliche Reaktionen

Aufgrund diverser weltweiter Vorfälle gab es unterschiedlichste nationale Reaktionen der staatlichen Akteure. Auszugsweise wie folgt kurz dargestellt:

Dezember 2005 Veröffentlichung des BSI – Standard 100-1

Dezember 2008 Veröffentlichung der EU-Richtlinie über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern

Februar 2014 Veröffentlichung des „Framework for Improving Critical Infastructure Cybersecurity“ (CSF)

Juni 2015 IT Sicherheitsgesetz wurde verabschiedet

Mai  2016 Inkrafttreten der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz

Mai 2017 Executive Order 13800 von President Trump in den U.S. zur Anwendung des NIST CSF in allen Bundeseinrichtungen

August 2017 Bericht und Handlungsempfhlungen des „National Infrastructure Advisory Council“ (NIAC)

Einen besonders hohen Grad an Gefährdungen weisen kritische Infrastrukturen aus, da hier die öffentliche Sicherheit und Gesundheit negativ beeinflusst werden kann. Dazu zählen u.a. folgende Industriezweige:

Chemie

Finanzwesen

Komunnikation

kritische Hersteller

Dämme

Rüstung & Verteidigung

Notallservice

Energie

kommerzielle Einrichtungen

Lebensmittelhersteller / Landwirtschaft

Regierungsunternehmen

Gesundheitswesen

Technologieunternehmen

Nuklearwesen

Transportwesen

Wasserversorgung

Im Betrieb kann die Informationssicherheit über ein information security management system (ISMS) über alle Aspekte hinweg umgesetzt werden, um eine effektive und strukturierte Weiterentwicklung sicherzustellen. Hier haben sich im wesentlichen folgende Standards und Methoden am Markt etabliert, um die dabei helfen Schwachstellen zu identifizieren und den Anforderungen gerecht zu werden:

Zur Aufrechterhaltung und Weiterentwicklung der Kompetenzen in Ihrem Unternehmen sei zudem auf unser Schulungsangebot hingewiesen.