Beitrag von Schwarz Digits

𝐂𝐲𝐛𝐞𝐫𝐧𝐚𝐭𝐢𝐨𝐧 𝐃𝐞𝐮𝐭𝐬𝐜𝐡𝐥𝐚𝐧𝐝: 𝐊𝐨𝐨𝐩𝐞𝐫𝐚𝐭𝐢𝐨𝐧 𝐠𝐞𝐰𝐢𝐧𝐧𝐭. Unter diesem Motto stand der 20. BSI-Sicherheitskongress (Bundesamt für Sicherheit in der Informationstechnik (BSI)) Ich durfte mit Katharina Maier, Andreas Prenneis, Alpha Barry und Vera Sikes über Sicherheit in der Lieferkette sprechen, moderiert wurde die Diskussion von Claudia van Veen. Vielen Dank für die Einladung, für die vielen Erkenntnisse aus der Diskussion und für das gemeinsame Werben für starkes Problembewusstsein, für entschiedenes Handeln entlang der Lieferkette und die Unterstützung des treffenden Mottos Kooperation gewinnt. 👉 𝐈𝐧𝐟𝐨𝐫𝐦𝐚𝐭𝐢𝐨𝐧𝐬𝐬𝐢𝐜𝐡𝐞𝐫𝐡𝐞𝐢𝐭 𝐠𝐞𝐡𝐭 𝐧𝐮𝐫 𝐠𝐞𝐦𝐞𝐢𝐧𝐬𝐚𝐦. Einige Gedanken aus meinen Beiträgen: 👉 Spürbare Folgen von Angriffen auf die Lieferketten sind nicht nur auf Unternehmen beschränkt, sondern können sämtliche Bereiche, u.a. auch die öffentliche Verwaltung betreffen. 👉 Bei Angriffen auf die Lieferkette sind insbesondere der Datenzugriff als Angriffsziel im Fokus. So zielen laut der ENISA 58 Prozent der Lieferkettenangriffe darauf ab, Zugriff auf Daten und geistiges Eigentum zu erlangen. 👉 Mit der 𝑵𝑰𝑺2-𝑹𝒊𝒄𝒉𝒕𝒍𝒊𝒏𝒊𝒆 wird festgeschrieben, dass wesentliche und wichtige Einrichtungen zielgerichtete Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu minimieren. Gut, dass auch die Bundesregierung jetzt ihre Regelungen endlich durch die Tür gebracht hat. Wir sind in den Ländern schon dabei, unsere Regelungen fristgerecht zu treffen💪 Am Rand des Kongresses hatte ich die tolle Gelegenheit mit Claudia Plattner und Gerhard Schabhüser über die zentralen Herausforderungen der Cybersicherheit zu sprechen🙏 Rheinland-Pfalz unterstützt den eingeschlagenen Weg zur Cybernation Deutschland‼️ Ich wiederhole gerne noch einmal: 👉 𝐈𝐧𝐟𝐨𝐫𝐦𝐚𝐭𝐢𝐨𝐧𝐬𝐬𝐢𝐜𝐡𝐞𝐫𝐡𝐞𝐢𝐭 𝐠𝐞𝐡𝐭 𝐧𝐮𝐫 𝐠𝐞𝐦𝐞𝐢𝐧𝐬𝐚𝐦. Ein Foto haben wir dann auch noch gemacht 😉📸🤭 #BSIKongress2024 #Cybersicherheit

Jetzt habe ich verstanden, warum wir keine Ideen und Maßnahmen entwickeln, um vor die Lage zu kommen, uns fehlt das Lagebild. Da frage ich mich nur, was dazu noch fehlt! Gerne gebe ich umfassende Auskunft, so auch bereits seit langer langer Zeit und nicht nur ich in meinen Beiträgen und in den Beiträgen der Kollegen. Dann hoffe ich mal, dass man wenigstens von den Begrifflichkeiten und ihren Bedeutung ein gemeinsames Bild hat, sonst wird es mit dem Lagebild erst recht nichts werden. Hilfreich, aber leider nicht ganz vollständig und 360 Grad zu Ende gedacht, ist als Grundlage jedenfalls im ersten Schritt der Leitfaden zur Reaktion auf IT- Sicherheitsvorfälle für Vorfall-Praktiker und Vorfall-Experten: https://lnkd.in/giv-86DF um nur ein existierendes Hilfsmittel des BSI zu benennen und anzuerkennen. Irritierend bleibt allerdings u.a. das Zitat des BSI zur Backdoors, um nur auf eine unzureichend erkannte Verletzlichkeit hinzuweisen: ‘Außerdem lassen sich nicht alle Systeme vollständig analysieren (Ressourcengründe) und somit bleibt ein Restrisiko, dass doch irgendwo eine Backdoor ist.’ Damit bin ich als CXO aus der Haftung nach NIS2 potentiell mit einem guten Anwalt raus. Siehe dazu auch meinen Beitrag: https://lnkd.in/gMgmZdCZ Diese Grundeinstellung ist grundsätzlich überarbeitungsbedürftig, die Überarbeitung eine wichtige Ergänzung zu Erarbeitung eines vollständigen Lagebilds! Dazu gehört insbesondere die ISO 27034 / Softwaresicherheit 'ex ante'. Dies gilt im ersten Schritt in Bezug auf einen Stichtag für jede neu zu erstellende / in der Entwicklung zu beginnende Software bzw. Patches und Updates. In einem zweiten Schritt sollte die Verpflichtung bestehen, nach jedem Angriff auf bestehende und durch den Angreifer evtl. neu installierten Backdoors die Systeme E2E und 360 Grad zu testen und die Verletztlichkeiten möglichst zu eliminieren. In weiteren Schritten geht es dann um die Bestandssoftware. Das um nur einen Lagebaustein zu nennen, der geflissentlich ausgeblendet wird, aber eine der größten Bedrohungen für KRITIS und unsere militärische Sicherheit darstellt.

Gemeinsam für ein einheitliches nationales #Lagebild zur #Cybersicherheit in #Deutschland: Die für mich wichtigste Erkenntnis vom #Digitalgipfel 2024 in Frankfurt am Main war definitiv die gemeinsame Session zusammen mit BSI-Präsidentin Claudia Plattner, Brigadegeneral Rainer Beeck, Staatssekretär Dr. Markus Richter, ENISA CISO Hans de Vries, Deputy Chief Security Officer der Deutschen Telekom AG Axel Petri und Prof. Dr. Haya Schulmann im World Café „Der Cybersecurity-Wetterbericht: Wie schaffen wir endlich ein umfassendes Lagebild- und #Vorhersagemodell?“. Einerseits sind die schon jetzt akuten Bedarfe für ein solches Lagebild- und Vorhersagemodell sehr deutlich geworden, da schneller und verlässlicher Informationsaustausch zentral ist, um möglichst präventiv handeln zu können, andererseits sind im Föderalismus die Hürden nicht unerheblich, aber auch nicht unüberwindbar. Es wird in Zukunft darauf ankommen, das Verhältnis zwischen Bund- und Länderkompetenzen und Kapazitäten in der Cybersicherheit noch besser auszutarieren, Zuständigkeiten in der Datenteilung voneinander abzugrenzen und vor allem festzustellen, welche Datenkategorien in das Lagebild einfließen sollen. Gut, dass das Thema jetzt im Rahmen einer Fokusgruppe angegangen wird! cyberintelligence institute Myra Security GmbH Clemens Kröger Katharina M. Schwarz

Heute haben wir im Tagesspiegel Background Cybersecurity reichlich Kritis für Sie: 🔌 In ihrem Weißbuch skizziert die Europäische Kommission, wie sie sich die Zukunft der Digitalen Infrastrukturen so vorstellt. Die Reaktionen darauf fielen nicht so einheitlich aus – zumindest beim Thema Sicherheit Übereinstimmung: Ist wichtig. Einen besonderen Schwerpunkt legt die EU dabei auf Unterseekabel und Strategien für den Umgang mit Quantencomputing. Katharina Schneider hat sich die Pläne angeschaut, den Status quo abgeklopft, im Bundesministerium für Digitales und Verkehr und bei Teilnehmenden der Stakeholder-Befragungen nachgehört. Bitte hier entlang: https://lnkd.in/dC3SKkRR 🔍 Wir bleiben europäisch: Das EU-Reaktionsteam für IT-Sicherheitsvorfälle (CERT- EU) ist zufrieden mit seiner neuen Ausstattung durch die Cybersicherheitsverordnung, die die Sicherheit der EU-Institutionen neu regelt. Alexandros Goniadis sagte bei einer Veranstaltung des Brüsseler Thinktanks CEPS (Centre for European Policy Studies) in der vergangenen Woche: „Wir hatten vorher nie das Geld, um das zu tun, was wir jetzt machen“. Man berate die verschiedenen Institutionen jetzt auch dabei, wie sie ihre Sicherheit erhöhen könnten. Eine große Herausforderung dabei: Die sehr unterschiedlichen Größen. Mein Kollege Maximilian Henning hat zugehört: https://lnkd.in/dmDNb8Pr ⚙ Was bedeutet Künstliche Intelligenz für die Sicherheit von Kritischer Infrastruktur? Mit dieser Frage soll sich in den USA ein neues Beratergremium beschäftigen, indem die Regierung reichlich Tech-Prominenz eingeladen hat. Sinn und Zweck dieser Public-Private-Partnership sind indes nicht unumstritten und auch die Zusammensetzung wirft Fragen auf, berichtet Thomas Reintjes aus New York: https://lnkd.in/dC3SKkRR. ⚙ 2️⃣ Die US-Regierung hat zudem am Dienstag ein neues Nationales Sicherheitsmemorandum (NSM) unterzeichnet, das darauf abzielt, die Sicherheit und Widerstandsfähigkeit Kritischer Infrastruktur zu stärken. Darin wird etwa das Heimatschutzministerium dazu verpflichtet, dem Präsidenten alle zwei Jahre einen Nationalen Risikomanagementplan vorzulegen, der die Bemühungen der US-Regierung zur Risikobewältigung für Kritis zusammenfasst. Fanny Haimerl fasst zusammen: https://lnkd.in/dHB6T6SN Bild: Midjourney

Last week's news zum Start in die neue Woche (Ausgabe Tagesspiegel Background Cybersecurity vom 21.11.) 👉 Die Europäische Union und ihre Mitgliedstaaten haben eine Erklärung über ein gemeinsames Verständnis beschlossen, wie internationales Recht im Cyberraum angewendet werden soll. Die Erklärung enthält eine Liste von Mindestverpflichtungen für alle Mitgliedstaaten, schließt aber zusätzliche nationale Verpflichtungen nicht aus. Maximilian Henning berichtet aus Brüssel: https://lnkd.in/eHBbSiNf 👉 Ebenfalls aus Brüssel: Die EU-Mitgliedstaaten wollen ihre Zusammenarbeit im Verteidigungssektor überarbeiten. Der Rat der EU hat dafür diese Woche seine strategische Überprüfung der ständigen strukturierten Zusammenarbeit (Pesco) abgeschlossen: https://lnkd.in/e3FkrjJf 👉 Der Cyber Resiliance Act (CRA) wurde am vergangenen Mittwoch im Amtsblatt der EU veröffentlicht. Er tritt damit offiziell in zwanzig Tagen in Kraft. Mit ihm sollen Sicherheitsstandards und die Qualität von vernetzten IT-Produkten gewährleistet werden. Josefine Kulbatzki mit weiteren Details: https://lnkd.in/ecnFUKeG 👉 Mit einer eigenen „Anlaufstelle“ will das Land Nordrhein-Westfalen Unternehmen bei der Umsetzung der NIS-2-Richtlinie unterstützen. Dazu werde der Verein eurobits e.V. in Bochum mit 600.000 Euro unterstützt, erklärte die NRW-Landesregierung am vergangenen Freitag. Mehr dazu: https://lnkd.in/e22UCap5 👉 Eine iranische Hacker-Gruppe soll mit gefälschten Stellenausschreibungen über Linkedin versucht haben, Mitarbeiter:innen von Luft- und Raumfahrtindustrie mit Malware zu infizieren, schreibt Paul Dalg: https://lnkd.in/etJpXXCW 👉 Deutschland und Singapur haben eine strategische Partnerschaft vereinbart. Eine engere Zusammenarbeit wird in den Bereichen Verteidigung und Sicherheit oder Digitalisierung, Künstliche Intelligenz und Cybersicherheit angestrebt: https://lnkd.in/edC-yjmR 👉 In der Rubrik BLICK IN DIE MÄRKTE schreibt Bastian Hosan über die Übernahme von Cybersixgill, die Wachstumspläne von Thales oder einer neuen Umfrage von Fastly zum Thema Investitionen in Sicherheit: https://lnkd.in/efNaH_J4 👉 Und damit Sie garantiert auch nichts verpassen, haben wir Ihnen auch wieder die Termine der kommenden Wochen zusammengestellt: https://t1p.de/1fp9a

🚀 #NIS2-Richtlinie: Neue Cybersicherheitsregeln für Deutschland stehen fest! Große Veränderungen für alle deutschen Unternehmen und #KRITIS Betrieber: das #Bundeskabinett hat nach monatelangen Überlegungen den Gesetzentwurf zur Umsetzung der NIS2-Richtlinie vergangene Woche verabschiedet. Dies bedeutet in erster Linie strengere Cybersicherheitsvorgaben für einen weitergefassten Kreis an Unternehmen und insgesamt 29.500 öffentlichen Stellen. Es wird künftig zwischen "wichtigen" und "besonders wichtigen" Einrichtungen für die Umsetzung der neuen Vorgaben unterschieden.🛡️ Ein zentraler Punkt: Die Geschäftsleitung betroffener Einrichtungen haftet nun für die (Nicht-) Einhaltung der in der Richtlinie verankerten Kriterien. Bei Vernachlässigung der Vorgaben drohen Strafen in Millionenhöhe. Besondere Herausforderungen entstehen bei der Überprüfung "kritischer Komponenten", was zu Verzögerungen in Beschaffungsprozessen führen könnte. 🏗️ Deutsche Wirtschaftsverbände fordern längere Übergangsfristen, da der langsame Gesetzgebungsprozess die nötige Umstellungszeit verkürzt hat. Das Parlament spricht indes von einer "intensiven Auseinandersetzung" mit den Vorgaben, um eine problemlose Umsetzung sicherzustellen. 🔐 Sie brauchen bei der Umsetzung der NIS2 Richtlinie Unterstützung? Erfahren Sie mehr unter➡ sigenius.de oder kontaktieren Sie die SigeniuS GmbH auf LinkedIn 📩 #NIS2 #Cybersicherheit #Deutschland #Gesetzgebung #ITSecurity #sigenius #nis2umsucg #NIS

Der Artikel befasst sich mit Cybersicherheit in Deutschland. Es wird der Aufruf der BSI-Präsidentin nach mehr Zusammenarbeit und einem pragmatischen Ansatz diskutiert. Cybersicherheit ist ein komplexes Thema, das einen vielschichtigen Ansatz erfordert. Das BSI arbeitet daran, die Kommunikation und den Informationsaustausch zu verbessern. Zu den Herausforderungen gehören Angriffe von Nationalstaaten, Angriffe auf die Lieferkette und die Schwierigkeit, mit den neuesten Bedrohungen Schritt zu halten.

NIS2 & Co.: Deutschlands schwieriges Regulierungs-Mindset Dr. Konstantin von Notz - stellv. Fraktionsvorsitzender der Grünen und Digital- und Sicherheitspolitiker spricht im #bitkom8 über Digitalisierung und #Cybersecurity: Angeprangert wird, dass wir mit unserem ohnmächtigen Umgang mit den sozialen Medien erlauben, dass unsere Welt durch Desinformieren zerrüttet wird. Grundsätzlich fehlt es an Fokus und Schlagkraft. Er wünscht sich, dass bspw. hinsichtlich Schutz der kritischen Infrastruktur, dem Schutz unserer Daten in Organisationen und Produkten schneller entschieden und schneller angegangen wird. Doch auch unser kontroverses Regulierungs-Mindset (in einem Moment fordern wir mehr Regulierung, während wir im nächsten Moment das Bürokratiemonster austreiben wollen) hemmt uns hier. Weitere Themen: #hackback und #Schwachstellenmanagement in Bund, Länder und Kommunen Interessantes Gespräch und ein guter Schubs in den Tag! …ach übrigens: laut Dr. von Notz ist die Überführung von NIS2 in nationales Recht nicht fristgerecht zu schaffen. Somit bekommen auch die betroffenen Organisationen wohl einen kleinen Aufschub. Hier noch der Link zum Video: https://lnkd.in/eMhYcQcW

💡 Donnerstag ist Tagesspiegel Background Cybersecurity -Tag 💡 ⚓ Wir sind heute recht maritim unterwegs – auch weil gestern die Nationale Hafenstrategie des Bundesministerium für Digitales und Verkehr im Kabinett verabschiedet wurde. Inhaltlich geht es – jetzt nicht so überraschend – auch um Themen der (Cyber)sicherheit. Spätestens seit der Tollerort-Debatte wissen wir ja: Auch diese Infrastruktur kann Kritis sein. Ihre Sicherheit ist daher nicht nur in dem Strategiepapier und angegliedertem Maßnahmenteil Thema, sondern auch in konkreten Gesetzesvorhaben. Gesprochen habe ich dafür unter anderem mit Andreas Rohr von der DCSO Deutsche Cyber-Sicherheitsorganisation GmbH. Er kritisiert das fehlende Bewusstsein für die Cybersicherheit von Häfen: „Häfen sind über Jahrzehnte hinweg gewachsene technische Strukturen, in denen verschiedene proprietäre Systeme zusammenwirken – daraus resultieren Schwachstellen, die Betreiber in der Regel nicht einfach so ausbessern können.“ Vor welchen Herausforderungen Häfen stehen und was die Strategie der Bundesregierung daran ändern will, habe ich mir angesehen: https://lnkd.in/epXPGVFa 🔌 Apropos Kritis: 95 bis 99 Prozent des globalen Datenverkehrs wird Schätzungen zufolge über rund 400 Unterseekabel abgewickelt. Gibt es eigentlich einen Superlativ zu Kritis!? Auch vor dem Hintergrund der Lage im Roten Meer hat sich meine Kollegin Elena Metz die Sicherheit von Unterseekabeln angeschaut und mit der NATO gesprochen und Experten befragt. Ferdinand Gehringer von der Konrad-Adenauer-Stiftung sagte ihr zum Beispiel, dass die Angriffe auf die Nord-Stream-Pipelines in der Politik zwar einen „Hallo wach“-Effekt bewirkt hätten, bei den Zuständigkeiten sich aber nicht viel geändert habe. Was hilft? Daniel Voelsen von der Stiftung Wissenschaft und Politik (SWP) begrüßt beispielsweise Überlegungen, das Maritime Sicherheitszentrum (MSZ) in Cuxhaven als Koordinierungsstelle zu stärken: „In Deutschland tragen das Ressortprinzip, Koalitionsregierungen und der Föderalismus dazu bei, dass unvermeidlich viele Akteure beteiligt sind. Entscheidend ist, dass die Akteure ein strategisches Verständnis für die Bedrohung entwickeln.“ Welche Maßnahmen noch geplant sind und was im Zuständigkeitswirrwarr helfen könnte: https://lnkd.in/eXs33PxJ Bild: Midjourney

Als ich heute den Bericht des Bundesamts für Verfassungsschutz und Bitkom las, wurde mir klar: Unsere Cybersicherheitslage ist ernster, als viele denken. Der Schutz vor Cyberangriffen ist längst nicht mehr nur eine technische Herausforderung, es ist eine Frage der nationalen Resilienz. 🌍 Die Zahlen sprechen für sich: 91 % der deutschen Unternehmen wurden in den letzten 12 Monaten Opfer von Cyberattacken oder vermuten es. 📊 Das zeigt, wie wichtig es ist, nicht nur in Technologien zu investieren, sondern auch in Expertise vor Ort. Bitkom und das BfV betonen, dass die Professionalisierung der Angreifer, insbesondere durch staatlich unterstützte Akteure, neue Bedrohungen mit sich bringt. Dabei geht es nicht mehr nur um klassische IT-Sicherheit, sondern um die Absicherung ganzer Lieferketten und Produktionssysteme. Die Konsequenzen sind spürbar: Milliardenverluste durch Produktionsausfälle, Rechtsstreitigkeiten und Datendiebstahl. Doch trotz dieser bedrohlichen Entwicklung gibt es auch Lichtblicke. Unternehmen investieren mehr in Cybersicherheit, und das Bewusstsein für die Risiken wächst. Cybersicherheit ist nicht nur eine Pflicht, sondern auch eine Chance, die Widerstandsfähigkeit unseres Wirtschaftsstandorts zu stärken. Investieren wir in Expertise und Technologien, um die Zukunft sicherer zu gestalten. #Zukunft #Technologie #Cybersicherheit #GFT #Datenschutz