Hybride Arbeitswelten & Cybersicherheit:
Tipps für Ihre IT-Sicherheit

Cyber Security Newsletter #12

Hintergrund Gitternetz

Themenüberblick

 

 


 

Hybride Arbeitswelten: Tipps für Ihre IT-Sicherheit

 

Themenbild 1 Newsletter 11: Home-Office: Veränderte Arbeitskultur durch Corona - auch nach der Krise?Homeoffice funktioniert. Diese Erkenntnis hat viele Führungskräfte in den letzten Monaten überrascht. Aber was können IT- und Sicherheitsverantwortliche kleiner und mittelständischer Unternehmen tun, um Datensicherheit im Homeoffice zu gewährleisten?

Viele Unternehmen haben die Corona-Pandemie genutzt, um die interne Digitalisierung voranzutreiben. Sie stellen ihren Mitarbeitern und Mitarbeiterinnen während der weiterhin andauernden Pandemie hybride Arbeitsformen zur Verfügung. Das hat zur Folge, dass sowohl im Büro als auch remote gearbeitet wird – beispielsweise von zu Hause, aus dem Café oder einem Co-Working-Space heraus.

In dieser Situation ist eine Sensibilisierung aller Angestellten für die Themen Datenschutz und IT-Sicherheit besonders wichtig. So sollte gewährleistet werden, dass die Zuständigkeit für Datenschutz im Unternehmen benannt ist und kommuniziert wird. Auch ist die Erstellung von verbindlichen und sanktionsbewehrten Richtlinien zu Datenschutz und IT-Sicherheit im Homeoffice erforderlich.

In Bezug auf die IT-Sicherheit empfehlen Experten dringlich die Benutzung von VPN-Tunnellösungen, die Verwendung von sicheren Passwörtern und das regelmäßige Erstellen von Backups.

Leitfäden zur Prüfung Ihrer unternehmensinternen Sicherheitsstrategie

Security-Berater informiert zu ISMS - Informationssicherheitsmanagement-Systemen

Unser Tipp: Nutzen Sie die von carmasec zur Verfügung gestellten Leitfäden. Anhand des ersten können Sie prüfen, ob in Ihrem Unternehmen bereits ein strategisch-funktionales Managementsystem für Informationssicherheit (ISMS) etabliert ist. Der zweite Leitfaden unterstützt Sie bei der Bewertung Ihrer ad hoc in der Krise getroffenen Maßnahmen hinsichtlich der Faktoren Effizienz, Notwendigkeit und Compliance.

Hier finden Sie unsere Leitfäden:

 


 

Wissenschaftler kritisieren: Der Faktor Mensch wird in der Cybersicherheit vernachlässigt

Newsletter 12, Artikel 2: Der Faktor Mensch wird in der Cybersicherheit vernachlässigt

VUCA – dieses Akronym steht für ein neues Marktumfeld, in dem Entscheider gefordert sind, ihr gewohntes Handeln neu auszurichten: Die Welt ist nicht mehr durch Stabilität, Langfristigkeit und Vorhersehbarkeit gekennzeichnet. In der VUCA-Welt herrschen Volatilität (V), Unsicherheit (U), Komplexität (C) und Widersprüchlichkeit (A). Die digitale Vernetzung wirkt in diesem Zusammenhang wie ein Katalysator. Störungen wirken wie der berühmte Flügelschlag eines Schmetterlings, der zeitverzögert einen Sturm verursacht.

Szenarioanalysen helfen, sich in dieser zunehmend komplexen Welt zu orientieren. Sie werden von Großunternehmen ebenso eingesetzt wie von Regierungen. Aus der Vielzahl solcher Analysen haben Wissenschaftler der Universitäten in Oxford und Kent in England 30 sektorenübergreifende Szenarioanalysen zur digitalen Vernetzung ausgewertet mit dem Ziel, Gemeinsamkeiten und Muster in den Analysen zu identifizieren. Daraus haben sie zehn Erkenntnisse gewonnen:

10 Implikationen aus Szenario-Analysen

  • Growth of the Internet-of-Things (Wachstum des Internets der Dinge)
  • Proliferation of offensive tools (Ausbreitung von gefährlichen Hacker Tools)
  • Privacy becomes reinterpreted (Privatsphäre wird neu interpretiert)
  • Repressive enforcement of online order (Diktatorische Vollstreckung der Internetordnung)
  • Heterogenity of state postures (Heterogenität von Staats-Technologieplänen)
  • Traditional business models under pressure (Traditionelle Geschäftsmodelle stehen unter Druck)
  • Big data enables greater control (Big Data ermöglicht weitreichendere Kontrolle)
  • Growth of public-private partnerships (Wachstum öffentlich-privater Partnerschaften )
  • Citizens demand greater control. (Bürger und Bürgerinnen verlangen mehr Kontrolle)
  • Organisations value cyber-resilience (Organisationen wissen Cyber-Resilienz mehr zu schätzen)

Als eine wichtige Konsequenz aus der Meta-Analyse heben die Wissenschaftler die Bedeutung von Cyber-Resilienz hervor. Angriffe treiben die Kosten für Kosten für Cyber-Versicherungen in die Höhe. Der Schutz von Unternehmen vor Angriffen – im Besonderen durch Insider aus den eigenen Reihen – ist wichtig für den Erhalt der Geschäftsfähigkeit. Cyber-Resilienz ist dafür eine geeignete Strategie.

Die Wissenschaftler merken an, dass Unternehmen immer mehr in Technologien investieren, um sich zu schützen, dass sie aber die Insider-Bedrohung ignorieren, die nach den Erkenntnissen der Meta-Analyse in Zukunft zunehmen wird. Entsprechend kritisieren sie, dass Unternehmen den Menschen als Teil des Cybersicherheitssystems vernachlässigen.

Zur Studie: Future Scenarios and Challenges for Security and Privacy

 


 

Das “Sichere Unternehmen”: Zwischen Reifegrad- und Readiness-Modellen

 

Key Art zum Whitepaper Reifegradmodelle in der Cybersicherheit

Wie sieht ein sicheres Unternehmen aus? Und wie kann ein Unternehmen seine Leistungsfähigkeit und seinen Reifegrad im Bereich der Cybersicherheit objektiv einschätzen? Sogenannte Readiness-Assessments helfen Unternehmen, genau diese Fragen zu beantworten.

Die digitale Transformation erweitert aktuell die Angriffsfläche für Cyberattacken erheblich und bietet dabei Cyberkriminellen potenzielle Ziele. Eine Einschätzung von Juniper Research zeigt beispielsweise, dass Cyberkriminalität Unternehmen weltweit bis 2022 insgesamt über acht Milliarden Dollar kosten wird. Readiness-Assessments sind für Unternehmen ein wertvolles Instrument, um quantitativ einzuschätzen, wie gut sie im Hinblick auf Cybersicherheit vorbereitet sind.

Reifegradmodelle setzten Readiness voraus: Sie bewerten Unternehmen unter Berücksichtigung qualitativer Dimensionen, wie beispielsweise der Organisationskultur. Des Weiteren bieten sie Zielkorridore, um die nächste Reifegradstufe zu erreichen. Dafür werden umfangreiche Handlungsmaßnahmen definiert. Sie bilden einen Referenzrahmen für Unternehmen. Die Modelle gewinnen im Bereich der Unternehmensführung und -steuerung immer mehr an Bedeutung. Sie stellen für Unternehmen ein Maß dar, um sich in einer bestimmten Disziplin kontinuierlich zu verbessern – dabei zeigen sie potenzielle Entwicklungsperspektiven und Handlungsoptionen auf.

Juniper Research: Cybercrime to cost Global Business over $8 Trillion in the next 5 Years

Nutzen für Unternehmen

Vorschaubild carmasec Cybersecurity Maturity Model für deutsche KMU

Reifegradmodelle legen den verantwortlichen Entscheidern transparent und begründet dar, in welcher Ausgangssituation sich das Unternehmen in Hinblick auf Cybersicherheit befindet. Außerdem geben sie Hinweise darauf, welche Maßnahmen das Unternehmen vor diesem Hintergrund umsetzen sollte, um vor potenziellen Risiken und Gefahren geschützt zu sein – wirksam, nachhaltig und ökonomisch.

Im deutschen Raum gibt es bisher kein speziell auf die Cybersicherheit ausgerichtetes Reifegradmodell. Aus diesem Grund hat carmasec – aufbauend auf den Erkenntnissen aus dem angelsächsischen Raum – ein Reifegradmodell für Cybersicherheit entworfen. Das carmasec Cybersecurity Reifegradmodell (kurz: CS2RM) sieht einen Assessment-Prozess vor, in dem ein Unternehmen zu Beginn auditiert wird. Hierbei erfolgt eine Standortbestimmung des Reifegrads. Jeder Reifegradstufe sind dabei bewährte Instrumente und Methoden zugewiesen. Es stellt damit eine Blaupause dar, mit der Handlungs- und Optimierungsbedarfe sichtbar gemacht werden.

Whitepaper von carmasec: Reifegradmodelle für die Cybersicherheit Ihres Unternehmens

 


 

Position von carmasec: Keine Cybersicherheit ohne Cyber-Resilienz

Key Art Cyber-Resilienz

Corona hat es gezeigt: Krisen können überraschend auftreten und ungeahnte Folgen haben. Dabei wehren einige Unternehmen die Folgen solcher Krisen scheinbar mühelos ab. Andere kämpfen um ihr Überleben. Worin unterscheiden sich diese Unternehmen? Verfügen die einen über mehr Geld, die klügeren Köpfe und wirksamere Technologien? Ein Blick in die Liste von Unternehmen, die aufgrund der Pandemie in die Krise geraten sind, zeigt: Es gehört offensichtlich mehr dazu.

Seit einigen Jahren erfährt das Konzept der “Resilienz” wachsende Aufmerksamkeit. Es bietet Erklärungen, warum manche Unternehmen Krisen besser meistern als andere. Dabei wird deutlich, Resilienz ist mehr als ein Buzzword. Der Ursprung der Resilienzforschung reicht bis in die 1950er Jahre. Der Psychologe Jacob Block gilt als ihr Gründungsvater. Heute findet das Resilienz Konzept Anwendung in verschiedenen Disziplinen – von Ingenieurwissenschaft bis Betriebswirtschaft- und hat transdisziplinären Charakter.

Newsletter 12: Artikel 04 - Cyber-Resilienz ist für Cybersicherheit relevant

Die Experten von carmasec stellen zur Diskussion: Ist Resilienz auch ein Thema für die Cybersicherheit? Schließlich gehört es zu den Aufgaben von Security-Verantwortlichen in Unternehmen, Dienstleistern, Technologie-Anbietern und Beratern Risiken zu minimieren, Gefahren abzuwehren und im Krisenfall die Handlungsfähigkeit des Betriebs wiederherzustellen.

Seit einiger Zeit beschäftigt sich carmasec intensiv mit Cyber-Resilienz und ist zur Auffassung gelangt: Ohne Cyber-Resilienz keine Cybersicherheit. Die Pandemie hat deutlich gemacht, dass Sicherheit ganzheitlich und interdisziplinär betrachtet werden muss: Die Arbeit auf Distanz erfordert nicht nur neue Technologien und eine angepasste Strategie in Sachen Cybersicherheit. Sie setzt eine neue Denkweise bei den Beschäftigten, ein neues Verständnis von Leadership sowie eine andere Arbeitskultur voraus.

Uns interessiert Ihre Meinung: Ist Cyber-Resilienz für die Cybersicherheit relevant? Was verstehen Sie unter Resilienz? Und welche Themen sollten unter Cyber-Resilienz explizit betrachtet werden?