Referentenentwurf zum IT-Sicherheitsgesetz 2.0

Im neuen IT-Sicherheitsgesetzt sollen weitere Sektoren aufgenommen und die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) ausgeweitet werden.

Am 29.03.2019 wurde der Referentenentwurf zum IT-Sicherheitsgesetz 2.0 in die Ressortabstimmung eingebracht. Ziel des Referentenentwurfes ist weitere Unternehmen als Kritische Infrastruktur einzubeziehen. Hierzu gehören zum Beispiel die Abfallentsorgung oder Infrastrukturen aus den Bereichen Chemie und Automobilherstellung.

Hinzu kommen Unternehmen die eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben, wie die Rüstungsindustrie oder der Bereich Kultur und Medien.
Auch Dienstleister die für die Primären Unternehmen eine wichtige Rolle spielen und der Ausfall des Dienstleisters einen entsprechenden Schaden beim Unternehmen verursachen würde, sollen mit in den Geltungsbereich der Regelung fallen. Insgesamt ist das BSI berechtigt Unternehmen, bei denen eine Störung zu einer Gefährdung der Gesellschaft werden kann, die Pflichten dieses Gesetzes aufzuerlegen.

Bezüglich der Bußgelder will man sich an den Vorgaben aus der DS-GVO orientieren und setzt eine maximale Höhe von 20 Mio. Euro bzw. 4% des gesamten, weltweiten Umsatzes an.
Des Weiteren soll das BSI deutlich mehr Kompetenzen erhalten, um Sicherheitslücken zu suchen, Informationen von Herstellern anzufragen und die Öffentlichkeit über bestehende Probleme zu informieren.

/von
, ,

Geschäftsgeheimnisgesetz: Das müssen Unternehmen jetzt tun!

Nach monatelangen Verhandlungen hat der Bundestag am 21.03.2019 das Geschäftsgeheimnisgesetz (GeschGehG) beschlossen, das bereits in Kraft getreten ist. Es ist also höchste Zeit für Unternehmen sich damit auseinanderzusetzen, was das neue GeschGehG für den Schutz ihrer Geschäftsgeheimnisse bedeutet und welcher Handlungsbedarf besteht.

Der Begriff des Geschäftsgeheimnisses

Bisher existierte in der Europäischen Union kein einheitliches Recht, was dem Schutz von Geschäftsgeheimnissen diente. In Deutschland waren Geschäftsgeheimnisse vor allem nach § 17 UWG geschützt. Nach der Rechtsprechung des Bundesgerichtshofs (BGH) galt als Geschäfts- oder Betriebsgeheimnis jede im Zusammenhang mit einem Geschäftsbetrieb stehende Tatsache, die nicht offenkundig sondern nur einem begrenzten Personenkreis bekannt war und nach dem bekundeten, auf wirtschaftlichen Interessen beruhenden Willen des Betriebsinhabers geheim gehalten werden sollte.

Nach der Definition in § 2 Nr. 1 GeschGehG ist hingegen ein Geschäftsgeheimnis eine Information,

  • die geheim ist (nicht allgemein bekannt bei Kreisen, die üblicherweise mit solchen Informationen umgehen, und nicht ohne weiteres zugänglich),
  • die von wirtschaftlichem Wert ist (geschützt wird nur ein wirtschaftliches und kein privates Geheimhaltungsinteresse),
  • die mit angemessenen Geheimhaltungsmaßnahmen geschützt wird und
  • bei der ein berechtigtes Interesse an der Geheimhaltung besteht.

Maßnahmen, die der Geheimhaltung dienen, sind daher nach momentan geltendem Recht nicht mehr nur notwendig, um tatsächlich dem Verlust von Geschäftsgeheimnissen entgegenzuwirken, vielmehr gilt jetzt: Werden keine angemessenen Geheimhaltungsmaßnahmen getroffen, liegt schon gar kein Geschäftsgeheimnis vor und der Schutz des GeschGehG greift nicht.

Wie sehen angemessene Geheimhaltungsmaßnahmen aus?

Wann Geheimhaltungsmaßnahmen den Umständen nach angemessen im Sinne des § 2 Nr. 1 GeschGehG sind, ist eine Frage des Einzelfalls. Die wirtschaftliche Bedeutung ist hierbei das wichtigste Kriterium für ein Geschäftsgeheimnis des Unternehmens. Handelt es sich vorliegend um die „Kronjuwelen“, deren Offenlegung oder Nutzung durch Wettbewerber existenzbedrohend sein könnte? Oder geht es um Geheimnisse, die zwar wichtig für das Unternehmen sind, aber in ihrer Gesamtheit doch eher untergeordnete wirtschaftliche Bedeutung haben? Je wichtiger ein Geschäftsgeheimnis für das Unternehmen ist, desto striktere Schutzmaßnahmen müssen ergriffen werden, damit diese als angemessen gelten können. Im Übrigen ist es wohl verfehlt, alle geheimhaltungsbedürftigen Informationen mit der höchsten Geheimhaltungsstufe zu versehen und mit besonderen Sicherungsmaßnahmen zu schützen. Insbesondere müssen die Geheimhaltungsmaßnahmen und der damit einhergehende Aufwand in einem angemessenen Verhältnis zur wirtschaftlichen Bedeutung des Geschäftsgeheimnisses stehen. Von einem Konzern könnten zudem möglicherweise striktere Geheimhaltungsmaßnahmen verlangt werden, als von einem mittleren oder kleineren Unternehmen. Was genau „angemessener Schutz“ bedeutet, wird daher noch durch die Rechtsprechung zu konkretisie-ren sein.

Wie verhält es sich jetzt mit dem Reengineering?

Ein Reengineering – mithin der Nachbau eines Produktes – um ein Nachvollziehen von Geheimnissen oder vielmehr deren Entschlüsselung zu ermöglichen, wird nach momentaner Rechtslage in Zukunft – zumindest teilweise – zulässig sein!

Welche rechtlichen Möglichkeiten habe ich nun bei Geheimnisverletzungen?

Der Inhaber eines verletzten Geschäftsgeheimnisses hat nach der neuen Gesetzeslage dieselben Ansprüche wie etwa der Inhaber eines verletzten Patents. Konnte bisher vom Verletzenden lediglich Schadensersatz, Unterlassung und Auskunft verlangt werden, wird der „juristische Werkzeugkasten“ nun etwa auch um Ansprüche auf Vernichtung verletzender Produkte, Herausgabe, Rückruf sowie dauerhafte Entfernung der verletzenden Produkte aus dem Markt erweitert. Dies ist eine erhebliche Besserstellung von Inhabern verletzter Geheimnisse.

Wie steht es nun um das „Whistleblowing“?

Der Schutz von sog. Whistleblowern und Journalisten, die Geschäftsgeheimnisse im Rahmen ihrer Veröffentlichung von Missständen in Unternehmen offenlegen, war einer der wesentlichen Gründe für komplexe Diskussionen im Rahmen des Gesetzgebungsverfahrens in Deutschland. Im Ergebnis einigte man sich auf einen hohen Whistleblower-Schutz.

Solange sich die Offenlegung des Geschäftsgeheimnisses durch den Whistleblower zum Schutz des öffentlichen Interesses eignet, macht er sich im Falle eines Geschäftsgeheimnisverrats nicht strafbar. Was auch dies im Einzelnen bedeutet, bleibt weiter – insbesondere mit Blick auf die Rechtsprechung – abzuwarten.

Was müssen Unternehmen jetzt tun?

Der Schutz von Geschäftsgeheimnissen nach dem GeschGehG ist nicht verpflichtend, anders als etwa die Vorgaben der DS-GVO umzusetzen. Dennoch müssen Unternehmen handeln, um ihre Geschäftsgeheimnisse zu schützen und sich im Streitfall auch durchsetzen zu können.

Wir empfehlen ein 3-stufiges Konzept:

Zunächst sollten alle Geschäftsgeheimnisse im gesamten Unternehmen identifiziert werden. Anschließend sollten in einem zweiten Schritt alle Geheimnisse bewertet und kategorisiert werden.

Je nach Wichtigkeit des Geschäftsgeheimnisses sind in einem dritten Schritt entsprechende Schutzmaßnahmen zu treffen. Schutzmaßnahmen sind jedoch keinesfalls nur rechtlicher Natur. Neben vertraglichen Vereinbarungen, Compliance-Maßnahmen und Arbeitsanweisungen sind auch technische und organisatorische Maßnahmen zu treffen, vor allem sollte hier eine Mitarbeiter-Sensibilisierung sowie die Verbesserung der IT- und Werkssicherheit stattfinden. Dies ist – wie bei der Umsetzung des Datenschutzes oder der Informationssicherheit im Unternehmen – nur unter Einbeziehung verschiedenster Abteilungen sowie Fachrichtungen im Unternehmen umsetzbar. Entscheidende Werkzeuge für den Erfolg einer Umsetzung können hier wiederum ein Datenschutz- oder Informationssicherheitsmanagementsystem sein.

Ergebnis

Sie müssen jetzt handeln! Unternehmen, die ihre Geheimnisse auch zukünftig schützen möchten und vor allem entsprechende Ansprüche durchsetzen wollen, sind jetzt gefordert, angemessene Schutzmaßnahmen zu ergreifen und zu dokumentieren!

/von

Was tun nach einem IT-Angriff?

Eine hundertprozentige IT-Sicherheit wird es nie geben, aber man sollte sich stehts der Gefahr bewusst sein. Regelmäßige Backups und die Sensibilisierung der Mitarbeiter sollten, wie Firewall und Virenscans, Standard sein. Und doch kann ein erfolgreicher Angriff auf die IT-Infrastruktur erfolgen.

Was ist dann zu tun?

An erster Stelle steht die Aufklärung. Seit wann ist das System infiziert, wie kam es dazu und welche Systeme sind betroffen. Das wann ist vor allem wichtig damit nicht ein Backup eingespielt wird, das ebenfalls infiziert ist und ein weiterer Angriff erfolgen kann.

Ist der Zeitpunkt bekannt, müssen alle auffälligen Systeme forensisch analysiert werden. Durch die Logfiles, Netzwerkaktivitäten und Daten aus Firewalls und Proxys können Schlüsse gezogen werden, wie es zu dem Angriff kam und auf welche Systeme es sich ausgeweitet hat.

Häufig, wird eine Attacke verwendet, um eine andere zu verschleiern. Beispielsweise eine Verschlüsselungstrojaner, um den Datendiebstahl und deren Spuren zu verstecken. Daher empfiehlt es sich bei einem Angriff auch weitere Bereiche genau zu betrachten.

Sind Daten abhandengekommen, ist zu klären wer alles darüber in Kenntnis gesetzt werden muss, um strafrechtliche Konsequenzen und Imageverlust zu vermeiden.

Ist die Sicherheitslücke identifiziert worden, kann diese geschlossen und das System nach und nach wieder per Backup in einen sauberen Zustand versetzt und aktiv geschaltet werden.
Spätestens jetzt ist der Zeitpunkt gekommen, die Sicherheitsvorkehrungen neu zu überdenken und die bei der Analyse aufgedeckten Schwachstellen durch geeignete technische und organisatorische Maßnahmen abzusichern.

IT-Sicherheit ist ein Prozess der ständig hinterfragt, überprüft und optimiert werden muss.
Mit einem Informationssicherheits-Managementsystem (ISMS) implementieren Sie einen standardisierten und kontinuierlichen Verbesserungsprozess in Ihrem Unternehmen. Eine systematische, praxisgerechte und wirtschaftliche Umsetzung erfolgt durch definierte Regeln und Methoden.

Oberstes Ziel ist der Schutz Ihres Unternehmens vor:

  • Finanziellen Schäden
  • Technischen Störungen und Fehlern
  • Datenmanipulation und Informationsmissbrauch
  • Sabotage und Spionage
  • Haftungsrisiken
  • Verlust der Reputation und Imageschäden

Sie möchten die Sicherheit in Ihrem Unternehmen verbessern? Kontaktieren Sie uns jetzt. Kontakt

/von
,

Warum Mitarbeiter für die Informationssicherheit wichtig sind

Unternehmen schützen Ihre Informationen durch diverse technische Maßnahmen vor Diebstahl und Missbrauch. Denn diese Daten machen ein Unternehmen erst erfolgreich. Um trotzdem an die begehrten Daten zu kommen, haben sich Hacker angepasst und greifen nicht mehr direkt die IT an, sondern suchen sich leichtere Wege, um ans Ziel zu kommen: die Mitarbeiter. Dabei gehen diese Cyber-Kriminellen äußerst geschickt vor und nutzen die menschlichen Schwächen aus.

Daher wird es immer wichtiger, Mitarbeiter gezielt für die Taktiken der Kriminellen zu sensibilisieren. Denn nur so kann verhindert werden, dass ein unbewusstes Fehlverhalten zu Datenverlust führen.
Das beginnt schon damit, dass in Konferenzräumen oder auf dem Schreibtisch keine sensiblen Unterlagen unbeobachtet liegen bleiben. Auch die Nutzung des Internets oder sozialer Medien mit dem Firmenrechner und das damit verbundene Risiko zu viele Informationen preis zu geben oder Schadsoftware runterzuladen wird immer problematischer.

Um ein entsprechendes Sicherheitsbewusstsein bei den Mitarbeitern zu schaffen, müssen Firmen zunächst klare und umsetzbare Richtlinien schaffen, an denen sich die Mitarbeiter orientieren können. Des Weiteren helfen Schulungen und Workshops den Mitarbeitern Gefahren zu erkennen und korrekt zu reagieren.

Wichtig ist, dass diese Maßnahmen regelmäßig durchgeführt und deren Umsetzung geprüft werden. Nur so erreicht man, dass die Maßnahmen zu einem wirklichen Umdenken und einer Handlungsveränderung bei den Mitarbeitern führen. Belehrungen reichen nicht – Beispiele schaffen Verständnis und verdeutlichen Folgen.

Trotz aller Warnungen scheuen Firmen immer noch die Investition für diese Sicherungsmaßnahme, da es keine messbaren Bedrohungen gibt. Denn wer kann schon sagen – Wie oft hat ein Externer sensible Daten gelesen. Welche Informationen zu Terminen bei Kunden wurden per Telefon an Fremde weitergegeben. Welche Passwörter von Mitarbeitern sind auch deren Freunden bekannt da es auch für private Accounts genutzt wird usw. Nur weil noch kein Schaden im eigenen Unternehmen bekannt geworden ist, heißt das nicht das die Bedrohung nicht da ist. Und ist der Schaden erst entstanden, hilft auch aller Ärger über den Mitarbeiter nicht.

Fazit:

Klare Regeln und ein hohes Sicherheitsbewusst sein bei den Mitarbeitern sind genauso wichtig wie die technischen Maßnahmen zur Sicherstellung der Informationssicherheit. Warten Sie nicht bis es zu spät ist, sondern investieren sie in Ihre Mitarbeiter.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Neuerungen im IT-Grundschutz-Kompendium

Seit Februar 2019 gilt das IT-Grundschutz-Kompendium 2019 als Prüfgrundlage für Zertifizierungen nach ISO 27001 auf Basis von IT-Grundschutz. Daher sollten sich alle, die für die IT-Sicherheit in Unternehmen oder Behörden zuständig sind, mit den Neuerungen auseinandersetzen.
Auf der Webseite  des BSI findet sich eine entsprechende Ausarbeitung.

Hier eine kurze Übersicht:

Zu den bereits vorhandenen 80 IT-Grundschutz Bausteinen sind 14 neue dazugekommen:

• APP.1.4 Mobile Anwendungen (Apps)
• APP.2.3 OpenLDAP
• APP.4.2 SAP-ERP-System
• APP.4.6 SAP ABAP-Programmierung
• IND.2.7 Safety Instrumented Systems
• INF.6 Datenträgerarchiv
• NET.4.1 TK-Anlagen
• NET.4.2 VoIP
• NET.4.3 Faxgeräte und Faxserver
• OPS.2.2 Cloud-Nutzung
• SYS.1.7 IBM Z-System
• SYS.2.4 Clients unter macOS
• SYS.3.3 Mobiltelefon
• SYS.4.3 Eingebettete Systeme

Von den 80 vorhandenen IT-Grundschutz Bausteinen sind 36 überarbeitet worden, allerdings nur bei 25 wurden umfangreichere Änderungen vorgenommen, die man sich ansehen sollte. Eine entsprechende Unterteilung wurde bereits, zur besseren Übersicht, auf der Webseite vorgenommen.

Wer sich noch nicht so genau mit dem IT-Grundschutzkatalog auskennt, kann sich im Kompendium  informieren. Eine gute Übersicht für den Einstieg bietet auf dieser Seite auch die Mindmap.

Wer sich lieber beraten lassen möchte oder Unterstützung bei der Umsetzung benötigt, kann sich gern an uns wenden.

Sie erreichen uns unter info(at)anmatho.de | Tel.: +49 40 229 47 19 0

/von

IT-Sicherheitskatalog für Energieanlagen veröffentlicht

Nach der Umsetzung des IT-Sicherheitskatalog für Gas- und Stromnetzbetreiber 2018 hat die Bundesnetzagentur (BNetzA) nun auch einen IT-Sicherheitskatalog für Energieanlagen veröffentlicht.

Adressiert werden hierbei Betreiber von Anlagen zur Erzeugung, Speicherung, Fortleitung oder Abgabe von Energie, die entsprechend der Schwellenwerte der BSI-Kritisverordnung als Kritische Infrastrukturen bestimmt wurden.

Ziel des IT-Sicherheitskatalog ist der Schutz der Telekommunikations- und elektronischen Datenverarbeitungssysteme, die für einen sicheren Betrieb von Energieanlagen erforderlich sind. Die Energieanlagenbetreiber werden dazu verpflichtet, IT-Sicherheitstechnische Mindeststandards umzusetzen. Diese umfasst die Einführung eines Informationssicherheits-Managementsystem und die Zertifizierung nach ISO 27001. Diese Zertifizierung ist dem BSI bis zum 31. März 2021 nach zu weisen. Dabei ist zu beachten, dass eine Umsetzung im Schnitt mindestens ein Jahr dauert. Und wenn viele Unternehmen gleichzeitig Unterstützung bei der Umsetzung benötigen, es zu Engpässen bei den beratenden Firmen kommen kann.

Bis zum 28. Februar 2019 ist der Bundesnetzagentur ein konkreter Ansprechpartner mit Kontaktdaten für die IT-Sicherheit zu benennen. Dieser Ansprechpartner soll Auskunft über den Umsetzungsstand der Anforderungen aus dem IT-Sicherheitskatalog geben und aufgetretene Sicherheitsvorfälle melden.
Zusätzlich ist eine Kontaktstelle zur Meldung von Störungen an das BSI zu melden.

Entsprechende Formulare finden Sie auf der Seite der Bundesnetzagentur unter:
https://www.bundesnetzagentur.de/

/von
,

Rückblick ANMATHO Forum 2018

Unter dem Motto: „Mission (Im)possible“ brachte unser Forum am 11.12.2018 Kunden aus unterschiedlichen Branchen zusammen. Für die brennenden Themen zur Informationssicherheit und Datenschutz konnten wir Experten gewinnen, die die Probleme aus unterschiedlichen Perspektiven betrachten.

Nach einer kurzen Begrüßung durch unseren COO, Herrn Westerkamp, hat Herr Dondera vom LKA Hamburg in dem Vortrag „Cybercrime – reale Gefahren im Netz“ kurzweilige und mit vielen Fallbeispielen auf die aktuelle Bedrohungslage in der digitalen Welt aufmerksam gemacht. Er hat besonders darauf hingewiesen, wie wichtig neben der technischen Sicherheit auch die Schulung der Mitarbeiter ist. Denn niemand sollte der Meinung sein, dass er im Unternehmen blindlings Mailanhänge öffnen kann – so nach dem Motto „Das Firmennetzwerk ist doch gut geschützt“.

In dem Vortrag „Wirtschaftsspionage durch Social Engineering“ machte Herr Peine-Paulsen, vom Wirtschaftsschutz Niedersachsen, deutlich, dass das größte Risiko heute nicht mehr von dem klassischem Hacker im Keller ausgeht, der versucht auf technischem Wege an interessante Daten zu gelangen. Unternehmen werden heute mithilfe von gezielt geknüpften Kontakten und dem Aufbau von Vertrauen ausspioniert. Mitarbeiter jeder Hierarchiestufe werden manipuliert und so verleitet Interna preiszugeben. Dies betrifft nicht unbedingt nur die großen Unternehmen. Im Visier von Kriminellen sind besonders innovative Firmen. Und auch hier wurde darauf hingewiesen, wie wichtig die Sensibilisierung der Mitarbeiter ist.
Der Part „Technische Lösungen für mehr Sicherheit“ hat Herr Blohm von der Dr. Netik und Partner GmbH übernommen. Er zeigte technische Lösungen auf, die den Vorgaben der Informationssicherheit entsprechen und in der Praxis erfolgreich eingesetzt werden.

Nach einem leckeren Lunchbuffet in dem angenehmen Ambiente des Business Club Hamburg, ging es weiter mit dem Thema Datenschutz. Herr Dr. Frhr von dem Busche von der Kanzlei Taylor Wessing hat in seinem Vortrag „200 Tage DS-GVO – Erfahrungen aus der anwaltlichen Praxis“, deutlich gemacht, dass die DS-GVO weltweit immer häufiger als Maßstab für richtigen Datenschutz angesehen wird. Vorausdenkende Unternehmen sollten die Umsetzung der DS-GVO als Wettbewerbsvorteil nutzen, denn Sie hat Einfluss auf den nationalen und internationalen Markt.

Im Anschluss hat Frau Thiel, Landesdatenschutzbeauftragte für den Datenschutz Niedersachsen, mit Ihrem Vortrag „Ein halbes Jahr DS-GVO aus Sicht der Aufsichtsbehörde“ die neuen Herausforderungen, die die DS-GVO mit sich gebracht hat, aus Sicht der Behörde geschildert. Sie zeigte den Teilnehmern auf, wie die niedersächsische Behörde in Datenschutzfragen vorgeht und welche Art von Prüfungen bisher in die Wege geleitet wurden und künftig zu erwarten sind.

In der abschließenden Podiumsdiskussion diskutierten die Referenten und Teilnehmer lebhaft und kontrovers aktuelle Fragen zu den Themen Informationssicherheit und Datenschutz.

Alles in Allem war das Feedback der Teilnehmer sehr positiv und wir freuen uns schon jetzt auf die Veranstaltung im nächsten Jahr.

/von

Warnung: Trojaner EMOTET richtet Schäden in Millionenhöhe an

Derzeit grassiert der Trojaner Emotet in duzenden Firmen und Behörden, wo er Schäden in Millionenhöhe anrichtet. Das BSI, CERT-Bund und Cybercrime-Spezialisten der LKAs sind alarmiert.

Wie funktioniert Emotet?

Emotet ist ein Trojaner der mit E-Mail-Anhängen versandt wird. Die Mail wird auf den Empfänger optimal zugeschnitten und verleitet diesen dazu die doc-Datei zu öffnen und die Freigabe für die Ausführung eines Makros zu bestätigen. Daraufhin installiert sich der Trojaner unauffällig auf dem PC und fängt an das Kommunikationsverhalten und das Adressbuch des Betroffenen auszulesen. Und verbreitet sich weiter im gesamten Firmennetz. Das Ganze erfolgt automatisiert und in großer Zahl, sodass man hier auch von Dynamit-Phishing spricht. Die Vorlage für diese Art von Cybercrime wurde von den Methoden und Techniken der staatlich geförderten Hacker-Gruppen und der NSA abgeschaut und sind sehr effektiv.

Wie schützt man sich vor Emotet?

Zunächst sollten alle Mitarbeiter darüber informiert werden, dass die in der E-Mail angehängten Doc-Dateien in der Regel keine Makros ausführen müssen und eine Abfrage nicht bestätigt werden darf. Bekommt man eine solche Abfrage sollte das der IT gemeldet werden.
Administratoren, sollten nochmal prüfen, ob Sicherheits-Updates überall durchgeführt wurden. Des Weiteren sollten Gruppenrichtlinien die Ausführung von Makros so weit wie möglich verbieten. Auf jeden Fall sind Maßnahmen zur Stärkung des Sicherheitsniveaus im Firmennetzwerk zur Verhinderung oder zumindest Einschränkung einer Ausbreitung zu ergreifen.

Tipps für Bürger gibt das BSI unter:

https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html

Tipps für Administratoren finden Sie hier:

https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Micro/E-Mailsicherheit/emotet.html

/von

Klinikum Fürstenfeldbruck nach Computervirus-Attacke lahmgelegt

Über eine Woche war das Klinikum Fürstenfeldbruck von der Rettungsleitstelle abgemeldet, da sämtliche Computer von dem Virus betroffen waren. Es konnten zwar Patienten aufgenommen werden, aber sämtliche Daten mussten händisch aufgenommen werden und müssen im Nachhinein digital erfasst werden.

Es wird vermutet, dass der Auslöser ein E-Mail-Anhang war indem die Schadsoftware versteckt gewesen ist. Nachdem dieser geöffnet wurde hat sich der Virus rasant im gesamten Netzwerk verbreitet und dafür gesorgt, dass die Rechner sich wiederholt hoch und runtergefahren haben.

Ein Ausfall der IT bedeutet, dass jede Blutprobe händisch beschriftet werden muss, jede Patienteninformation durch das Haus getragen werden und selbst die Essens-Auswahl der Patienten per Hand notiert werden muss. Das bedeutet, dass das Klinikum sich von der Rettungsleitstelle abmelden musste, um die Anzahl der Patienten zu reduzieren und die Technische Abteilung Nachtschichten einlegen musste, um den Betrieb wiederherzustellen.

Der Vorfall wurde gemeldet und jetzt ermittelt die Staatsanwaltschaft bzw. die Zentralstelle Cybercrime Bayern. Auch wenn nach der Woche Ausfall der Betrieb wieder angelaufen ist, benötigt es auch weiterhin Zeit, um alle Rechner wiederherzustellen und die Krise aufzuarbeiten. Denn nach jedem Notfall ist zu klären: „Was ist falsch gelaufen und was kann man zukünftig besser machen.“ Hinzu kommt die Schadensbilanz. Denn neben den angefallenen Überstunden konnten während dieser Zeit auch weniger Patienten aufgenommen werden.

Fazit:

Auch wenn man eine gut aufgestellte IT Sicherheit und einen Notfallplan hat, gibt es immer die Möglichkeit eines Angriffes der einem die Lücken im System aufzeigt, die es dann zu schließen gilt.

/von

Erfolgreiche Zertifizierung der Informationssicherheit bei der Husum Netz

Anfang des Jahres gab es wieder eine erfolgreiche Zertifizierung eines ISMS nach ISO 27001, als Abschluss einer guten Zusammenarbeit zwischen der Stadtwerke Husum Netz GmbH und der ANMATHO AG. Im Wattkieker, das Kundenmagazin der Stadtwerke Husum, wurde hierzu ein Artikel veröffentlicht.

Mehr dazu

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen