Cybersecurity

Vom Grundschutz zum risikobasierten Sicherheitsmanagement

Die Vorteile von risikobasiertem Cybersecurity-Management nach ISO/IEC 27005

image/svg+xml
image/svg+xml
Übersetzungen: English
4min
~900 w.

IT-Grundschutz-Kataloge ermöglichen zwar einen raschen Einstieg in die Cybersecurity, bieten aber weder einen effektiven Schutz der eigenen Vermögenswerte noch sind sie nachhaltig skalierbar.

Solche Checklisten können zwar einfach abgehakt und erledigt werden – so wie lästige Compliance-Einschränkungen. Ihre Organisation ist damit aber um «keinen Deut» sicherer – und trotzdem muss dafür viel Geld ausgegeben werden.

Warum ein risikobasierter Ansatz die viel bessere Wahl ist.

Der Verlust des Perimeter

Der Verlust des Perimeter ist mehr als nur ein Cybersecurity-Trend.

image/svg+xml
image/svg+xml
Übersetzungen: English
3min
~500 w.

Der Verlust des Perimeters ist nicht auf Cybersecurity beschränkt, sondern betrifft die Organisation als Ganzes. Um diesem Trend zu begegnen, sind agile Konzepte notwendig und hilfreich, auch für Cybersecurity . Unternehmensflexibilität und Cybersecurity müssen gemeinsam vorgehen, um organisatorische Resilienz zu erhöhen und die Autonomie in der Cloud zurückzugewinnen.

Geheimdienste lauschen mit

Staatlicher Missbrauch von Verschlüsselung untergräbt politische Autonomie

image/svg+xml
image/svg+xml
3min
~600 w.

Ein Spionageskandal erschüttert die Schweiz und beweist, dass wir digitaler Information letztendlich eigentlich schon auf der Hardwareebene nicht mehr trauen können. Nur vollste technische Transparenz, offene Software und die Anwendung technischer Standards wie ISO/IEC 27xxx und IEC/ISA 62443 kann uns das notwendige Vertrauen in Informationstechnik wiederherstellen. Dass die Crypto AG in Zug sitzt, das sich stolz als Blockchain-Valley bezeichnet, sollte zu Denken geben. Viele Cryptowährungen basieren auf Geheimhaltung und erzeugen Schäden in Milliardenhöhe. Die Schweizer Politik sollte auch hier rasch dazulernen und gegensteuern.

Zero-Trust vs Perimeterschutz

Zero-Trust erfordert maximale Aufmerksamkeit. Zonierung reduziert Komplexität.

image/svg+xml
image/svg+xml
3min
~700 w.

Zero-Trust ist ein aktueller Security Trend.

Konsequent umgesetzt erhöht sich der Aufwand für Security und die Komplexität der Security Governance allerdings enorm. Es muss jedes Artefakt und seine Kommunikation überwacht werden – ein neuer Layer und mehr Komplexität on top.

Richtig am Zero Trust Konzept – und bitter bestätigt durch den Emotet Schaden beim Landgericht Berlin – ist die Einsicht, dass der blosse Schutz der Aussengrenzen (Perimeter) nicht genügt. Defense in depth und Zonierung nach der IEC 62443 sind einfachere und effektive Massnahmen für eine wirksame Security-Architektur.

BSI erlaubt endlich das Beibehalten von guten Passworten

Besser spät als nie?

image/svg+xml
image/svg+xml
2min
~400 w.

Das deutsche Bundesamt für Informationssicherheit hat eingesehen, dass ein präventives Ändern des Passworts zu einfacheren und auf Post-Its notierten Passworten und damit zu Sicherheitsproblemen führt. Diese Erkenntnis kommt um Jahre zu spät. Diese extrem hohe Latenzzeit macht die Behörde unglaubwürdig.

Container als Security-Tronjaner

Der Einsatz orchestrierter Softwarecontainer kann die Security-Governance unterlaufen.

image/svg+xml
image/svg+xml
2min
~400 w.

Virtualisierte Instanzen und Softwarecontainer haben die IT-Systemadministration massiv vereinfacht.

Nach VMWare erlebt gerade das Containerformat Docker mit Kubernetes zur Administration und Orchestrierung eine enorme Beliebtheit: Da jeder Container für sich läuft, wird der Betrieb komplexer Full-Stack-Umgebungen enorm vereinfacht.

Komplexität – und Compliance kann aber nicht einfach vernichtet, sondern nur verschoben werden.

Wer den notwendigen Zeit- und Kompetenzaufwand für die Systempflege nicht vorhält und lediglich fremde Container auf Subskriptionsbasis nutzt, holt sich deshalb im Ergebnis Container als Trojaner ins Haus, die nicht nur ein unbekanntes Risiko darstellen, sondern auch Anforderungen der ISO 27001 und der GDPR unterlaufen können.

Sealed Cloud - Daten allein daheim

Useable Security - Wenn der Cloudanbieter den Schlüssel verliert.

image/svg+xml
image/svg+xml
2min
~400 w.

Bei Useable Security geht es darum, den AnwenderInnen verständlich zu machen, wie ein Gerät oder eine Software konfiguriert und bedient werden muss, damit die vorhandenen Sicherheitsfunktionen greifen. Der besonders sichere Cloud-Anbieter idGard hätte es auch intern gut nutzen können, sind doch Zugriffsschlüssel nach einer internen Routineprüpfung abhanden gekommen.

DSGVO-Updatepflicht für Windows 7

Auch rechtliche Risiken bei weiterer Windows 7 und Server 2008-Nutzung

image/svg+xml
image/svg+xml
1min
~200 w.

Nach Art 32 DSVGO muss die Sicherheit der Verarbeitung nach dem Stand der Technik gewährleistet sein. Wer Windows 7 oder Server 2008 nach dem 14.01.2020 nutzt, läuft Gefahr, im Falle eines Datenleaks nach der DSGVO abgestraft zu werden. Dies gilt nicht nur für Unternehmen sondern auch für Rechtsanwaltskanzleien und Ärzte.