BLOG

BLOG

Categories:   All Categories
Suggested keywords
x
Markus Groß

Incident Reporting wie ein Profi – Keine Panik im Ernstfall

IT
Incident Reporting wie ein Profi – Keine Panik im Ernstfall

Wer in einer Organisation für Informationssicherheit, Compliance oder IT verantwortlich ist, weiß: Sicherheitsvorfälle passieren nicht nur bei anderen. Irgendwann kommt der Tag, an dem ein System ausfällt, Daten abfließen oder ein Cyberangriff den Geschäftsbetrieb stört. Für viele Unternehmen ist das ein Schreckmoment, der Adrenalin freisetzt und schnell in hektisches Handeln münden kann. Genau hier setzt DORA mit klaren Vorgaben für das Incident Reporting an – der strukturierten Meldung von schweren IKT-Vorfällen an die zuständigen Behörden. Die Idee dahinter ist einfach: Wenn Vorfälle einheitlich, zeitnah und vollständig gemeldet werden, können Aufsichtsbehörden die Lage besser einschätzen, koordinierte Gegenmaßnahmen einleiten und vor allem verhindern, dass ähnliche Angriffe unbemerkt andere Unternehmen treffen. Für die betroffenen Organisationen bedeutet das aber auch, dass sie ihre internen Prozesse so aufstellen müssen, dass sie im Ernstfall nicht improvisieren, sondern nach einem klaren Plan vorgehen.

Was unter DORA als schwerwiegender IKT-Vorfall gilt – und warum das nicht nur „große Hacks“ sind

Der erste Schritt ist das Verständnis, was unter DORA überhaupt als „schwerwiegender IKT-Vorfall“ gilt. Hier geht es nicht nur um spektakuläre Hackerangriffe oder großflächige Systemausfälle. Auch lang anhaltende Beeinträchtigungen einzelner kritischer Prozesse, der Verlust sensibler Daten oder sicherheitsrelevante Störungen in der Lieferkette können meldepflichtig sein. DORA definiert Kriterien, die sich an der Auswirkung auf Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität orientieren. Dazu zählen unter anderem die Anzahl betroffener Kunden, die Dauer der Störung, die geographische Reichweite, die potenziellen finanziellen Verluste und mögliche Auswirkungen auf die Stabilität des Finanzsystems. Unternehmen müssen diese Kriterien nicht erst im Ernstfall nachschlagen, sondern schon vorab in ihre eigenen Bewertungsverfahren integrieren. Gute Praxis ist eine interne Schwellwertmatrix, die technische Indikatoren (z. B. Umfang der Beeinträchtigung, Exfiltrationsindikatoren) mit Geschäftsauswirkungen (z. B. SLAs, verpasste Zahlungen, Marktkommunikation) verbindet und so schnell zur Entscheidung „meldepflichtig – ja/nein“ führt.


Continue reading
10
Tags:
EU Reporting Incident DORA
Tweet
107438 Hits
Markus Groß

Schutzziele 2.0 – Was heute noch alles zählt

IT
Schutzziele 2.0 – Was heute noch alles zählt

Wer sich mit Informationssicherheit beschäftigt, kennt sie: die drei klassischen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit. Sie sind das Fundament der Sicherheitsarchitektur und bilden seit Jahrzehnten den Ausgangspunkt fast jeder Sicherheitsstrategie. Doch so zeitlos diese „magischen drei“ sind – die Welt, in der sie entstanden, war eine andere. Heute sind Unternehmen global vernetzt, Datenströme kennen keine Landesgrenzen mehr, Cloud-Dienste und mobile Geräte sind allgegenwärtig, und Bedrohungen entwickeln sich in rasantem Tempo. Diese neue Realität hat dazu geführt, dass die klassische Triade nicht mehr alle Facetten der Informationssicherheit abdeckt. Aus dieser Lücke entstand eine erweiterte Sichtweise: Schutzziele 2.0. Sie ersetzen die Triade nicht, sondern ergänzen sie – um Dimensionen, die Vertrauen, Nachvollziehbarkeit, Widerstandsfähigkeit und rechtliche Wirksamkeit in der digitalen Gegenwart absichern.

Vom Dreiklang zum Orchester: Das Denkmodell hinter Schutzzielen 2.0

Die CIA-Triade beantwortet drei Kernfragen: Wer darf sehen, ob das Gesehene stimmt, und ob das System funktioniert, wenn es gebraucht wird. In modernen Ökosystemen kommen jedoch weitere Fragen hinzu. Woher stammt die Information wirklich? Darf jemand später bestreiten, etwas getan zu haben? Wer trägt Verantwortung für eine Aktion, wenn Menschen, Bots und KI-Modelle gemeinsam handeln? Wie beweise ich in fünf Jahren, dass ein Datensatz unverändert geblieben ist? Wie schnell kann der Betrieb nach einem Ransomware-Angriff wieder anlaufen? Wie schütze ich Privatsphäre über den gesamten Datenlebenszyklus? Und wie stelle ich sicher, dass Sicherheitsentscheidungen erklärbar und überprüfbar sind? Schutzziele 2.0 geben strukturierte Antworten auf diese Fragen.


Continue reading
11
Tweet
105575 Hits
Markus Groß

Die drei magischen Worte: Vertraulichkeit, Integrität, Verfügbarkeit

IT
Die drei magischen Worte: Vertraulichkeit, Integrität, Verfügbarkeit

In der Welt der Informationssicherheit gibt es ein Prinzip, das so grundlegend ist, dass es in fast jedem Lehrbuch, in jeder Norm und in jeder Schulung vorkommt. Es besteht aus drei scheinbar einfachen Begriffen: Vertraulichkeit, Integrität und Verfügbarkeit. Diese „drei magischen Worte“ sind mehr als nur Fachvokabular – sie sind das Fundament, auf dem jede Sicherheitsstrategie aufbaut. Wer sie versteht, begreift, was Informationssicherheit im Kern bedeutet. Und wer sie ignoriert, riskiert, dass alle technischen Maßnahmen und organisatorischen Regeln am Ende wirkungslos bleiben. Diese drei Prinzipien – oft als CIA-Triade (Confidentiality, Integrity, Availability) bezeichnet – tauchen in verschiedenen Kontexten auf: in der ISO-27001-Norm, im BSI-IT-Grundschutz, in NIST-Publikationen, in Unternehmensrichtlinien und sogar in Gesetzen (etwa in der DSGVO, die ausdrücklich Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten verlangt). Sie sind universell anwendbar, unabhängig davon, ob es um den Schutz von Kundendaten in einer Bank, den Quellcode einer Softwarefirma, die Rezeptur eines Pharmaunternehmens, den Einsatzplan einer Feuerwehr oder die Steuerungsdaten einer Produktionsanlage geht. Dennoch werden sie in der Praxis häufig nur oberflächlich behandelt – als Theorieblock, den man schnell abhakt, bevor es zu „spannenden“ Themen wie Firewalls, Cloud-Security oder Penetrationstests kommt. Genau hier verschenken Organisationen Potenzial: Die Triade ist kein Aufsatzthema, sondern ein scharfes Werkzeug, das Prioritäten schafft, Architekturentscheidungen lenkt, Messgrößen definiert und Krisenentscheidungen vereinfacht.

Vertraulichkeit: Kontrolle darüber, wer was wann sehen darf

Vertraulichkeit bedeutet, dass nur diejenigen auf eine Information zugreifen können, die dazu berechtigt sind – nicht mehr und nicht weniger. Klingt banal, ist aber in einer vernetzten Welt eine immense Herausforderung. Früher genügte ein verschlossener Aktenschrank und eine Zugangsliste. Heute leben Daten verteilt über Rechenzentren, SaaS-Dienste, Clouds und mobile Endgeräte, oft über Ländergrenzen hinweg und eingebettet in komplexe Lieferketten. Ein einziger ungesicherter Zugang – sei es ein schwaches Passwort, eine offene API, eine falsch konfigurierte Cloud-Bucket, ein ausgeleiteter Zugriffstoken oder ein kompromittiertes Nutzerkonto – kann dazu führen, dass sensible Informationen in falsche Hände geraten. In regulierten Branchen ist der Verlust der Vertraulichkeit nicht nur peinlich, sondern teuer und potenziell existenzbedrohend: Bußgelder, Schadensersatz, Vertragsstrafen, Auflagen, Marktvertrauensverlust. Vertraulichkeit entsteht aus einer Kette von Bausteinen: Identitäts- und Zugriffsmanagement (MFA, rollen- und attributbasierte Berechtigungen, „least privilege“, Just-in-Time-Privilegien), sauberes On- und Offboarding, starke Authentisierungsverfahren (phishing-resistente Methoden wie FIDO2), durchgängige Verschlüsselung (in Ruhe, in Bewegung, bei Verarbeitung – z. B. über Hardware-Sicherheitsmodule oder vertrauliches Rechnen), Geheimnisverwaltung (Schlüssel, Tokens, Zertifikate), Protokollierung und Alarme auf untypische Zugriffe, Data-Loss-Prevention und Data-Governance (Klassifizierung, Labeling, Richtlinien), sowie physische Maßnahmen (Zutritt, Begleitpflicht, Sichtschutz, sichere Entsorgung). Entscheidend ist, dass Vertraulichkeit nicht nur „technisch“ gedacht wird: Auch Prozesse (z. B. Maker-Checker-Freigaben), Verträge (z. B. mit Dienstleistern) und Kultur (z. B. „Clean Desk“, „Need-to-know“, Meldekultur) gehören dazu.


Continue reading
12
Tweet
106233 Hits
Markus Groß

Was schützt die Informationssicherheit eigentlich wirklich?

IT
Was schützt die Informationssicherheit eigentlich wirklich?

Wenn über Informationssicherheit gesprochen wird, fällt ein Name fast immer: ISO 27001. Für viele klingt es nach einem dieser kryptischen Kürzel, die nur Berater, Auditoren und IT-Abteilungen verstehen. Manche halten es für eine rein formale Zertifizierung, eine Pflichtübung, um Kunden oder Aufsichtsbehörden zufriedenzustellen. Doch hinter der nüchternen Bezeichnung steckt weit mehr: ISO 27001 ist ein weltweit anerkannter Standard, der den Rahmen vorgibt, wie Organisationen ihre Informationssicherheit systematisch planen, umsetzen, überwachen und verbessern können. Wer ihn richtig versteht, erkennt, dass es nicht nur um IT geht, sondern um ein strategisches Managementsystem, das tief in die Organisation hineinwirkt. ISO 27001 macht Informationssicherheit mess-, steuer- und auditierbar und bringt damit Ordnung in ein Feld, das sonst leicht zur Ansammlung isolierter Maßnahmen verkommt.

Ein kurzer Blick zurück: Von BS 7799 zur globalen Referenz

Um zu verstehen, warum ISO 27001 so wichtig ist, lohnt ein Blick zurück. In den 1990er-Jahren wuchs die Erkenntnis, dass Informationssicherheit nicht nur aus technischen Maßnahmen wie Firewalls und Virenscannern bestehen kann. Unternehmen bauten globale Lieferketten auf, verarbeiteten Daten grenzüberschreitend und setzten immer stärker auf vernetzte Systeme. Gleichzeitig nahmen Angriffe zu, der Markt professionalisierte sich. Die British Standards Institution veröffentlichte 1995 den BS 7799, den direkten Vorläufer von ISO 27001. Ziel war es, einen strukturierten, nachvollziehbaren Ansatz für das Management von Informationssicherheit zu schaffen – mit klaren Rollen, Prozessen und Nachweisen. 2005 wurde der Standard zusammen mit der International Organization for Standardization weiterentwickelt und als ISO/IEC 27001 international etabliert. Seitdem gab es wichtige Anpassungen, zuletzt 2022: ISO/IEC 27001:2022 passt Terminologie, Struktur und Anhang A an die modernisierte ISO/IEC 27002:2022 an.


Continue reading
9
Tweet
105868 Hits
Markus Groß

Informationssicherheit ohne Internet? Kaum vorstellbar, aber Realität

IT
Informationssicherheit ohne Internet? Kaum vorstellbar, aber Realität

Wenn wir heute über Informationssicherheit sprechen, denken wir fast automatisch an digitale Angriffe, Firewalls, Passwörter und Verschlüsselung. Der Begriff wirkt untrennbar mit dem Internet verbunden. Dabei ist Informationssicherheit deutlich älter als die digitale Vernetzung. Sie beginnt nicht mit Computern, sondern mit den ersten Versuchen, Wissen, Daten und strategisch wichtige Fakten vor unbefugtem Zugriff zu schützen. Lange bevor Hacker aus dunklen Kellern und staatliche Cyberoperationen Schlagzeilen machten, mussten Unternehmen, Regierungen und Militärs dafür sorgen, dass Informationen nicht in falsche Hände gerieten. Nur waren die Bedrohungen damals anderer Natur – und die Schutzmaßnahmen sahen ganz anders aus. In einer Welt ohne digitale Kopien existierte jede Information auf einem physischen Medium: handgeschriebene Dokumente, gedruckte Akten, Mikrofilmrollen, Magnetbänder oder sogar in den Köpfen ausgewählter Personen. Wer eine Information stehlen wollte, musste nicht durch eine Firewall, sondern durch eine verschlossene Tür, an einem Pförtner vorbei oder in ein gesichertes Archiv eindringen. Und wer sie schützen wollte, setzte auf Schlösser, Tresore, Wachpersonal und strenge Zugangsprotokolle. Informationssicherheit bedeutete damals, die physische Kontrolle über das Medium zu behalten, auf dem die Information existierte. Diese grundlegende Idee – Kontrolle über das Trägermedium, Kontrolle über die Personen, Kontrolle über die Wege – prägt bis heute jedes moderne Sicherheitskonzept, auch wenn sich die Träger, Personen und Wege massiv verändert haben.

Militärische Kryptographie und staatliche Geheimhaltung

Besonders weit entwickelt war die Informationssicherheit schon früh im militärischen Bereich. Schon im 19. Jahrhundert kannten Armeen die Notwendigkeit, Operationspläne, technische Baupläne oder diplomatische Depeschen vor neugierigen Augen zu verbergen und bei Bedarf zu verschlüsseln. Im Ersten und Zweiten Weltkrieg wurden ganze Abteilungen damit beauftragt, Nachrichten unlesbar zu machen und gleichzeitig feindliche Chiffren zu knacken. Die berühmte Enigma-Maschine der deutschen Wehrmacht ist nur das bekannteste Beispiel, doch sie steht stellvertretend für ein umfassendes System aus Verschlüsselung, Schlüsselverwaltung, Kurierdiensten, Funkdisziplin, Tarnbegriffen, abgestuften Geheimhaltungsgraden und strenger Sanktionskultur. Die Antwort der Alliierten – die Codeknacker in Bletchley Park um Alan Turing – ist legendär und zeigt zugleich, dass Informationssicherheit nie nur Technik ist. Es geht ebenso um Organisation, Geheimhaltung, disziplinierte Arbeitsteilung, Redundanz und die Fähigkeit, Fehlerquellen im eigenen System zu erkennen und zu korrigieren. In diesem Umfeld entstanden Prinzipien, die später in die Managementsysteme der zivilen Wirtschaft gewandert sind: „Need to know“ statt „nice to have“, Schlüsseltausch nach definierten Intervallen, Vier-Augen-Prinzip bei besonders sensiblen Operationen, die klare Trennung von Rollen und Verantwortlichkeiten sowie eine kompromisslose Dokumentation von Veränderungen an Verfahren und Material.


Continue reading
10
Tags:
BSI Internet Informationssicherheit ISMS
Tweet
106721 Hits
Image