Finanzunternehmen: Warum ist eine sichere Videokonferenz der Verbündete Ihres Krisenmanagements?

Finanzunternehmen: Warum ist eine sichere Videokonferenz der Verbündete Ihres Krisenmanagements?

Unternehmen aus dem Finanz-, Banken- und Versicherungssektor sind ein beliebtes Ziel von Cyberangriffen. Deshalb müssen sie darauf vorbereitet sein, große Krisen zu bewältigen. Nur wenn sie schnell und koordiniert reagieren, können sie ihre Geschäftskontinuität gewährleisten.    

Ein dramatischer Anstieg des Cyberrisikos für europäische Banken

Das Financial Services Information Sharing and Analysis Center – FS-ISAC meldet, dass die verteilten Netzwerkangriffe (Ddos) auf Finanzinstitute in 2022 um 73 % gestiegen sind.

Die Europäische Zentralbank (EZB) betrachtet das Cyberrisiko heute als eine große Gefahr für die Finanzstabilität.

Wie lässt sich das erklären?

Eine Erklärung für verbreitete Cyberbedrohungen in Banken und Finanzorganisationen dürfte die Zusammenarbeit über große Entfernungen und die Vernetzung von Systemen sein. Denn die beschleunigte Digitalisierung dieser Organisationen geht nicht immer mit einer erhöhten Sicherheit einher.

Darüber hinaus ist der erste Faktor für Cyberangriffe nach wie vor der Mensch. Die Beschäftigten kennen sich im Allgemeinen nicht ausreichend mit den richtigen Verhaltensweisen im Bereich der Cybersicherheit aus ( ungesicherte Kommunikation, schwache Passwörter, Phishing usw.). Ihre Verhaltensweisen stellen somit ein beliebter Zugang zu den Informationssystemen der Unternehmen dar. Cyberangreifer profitieren von diesen Schwachstellen, um ihre Angriffe auszuführen. Auf diese Weise erbeuten sie sensible Finanzinformationen oder stören das wirtschaftliche Gleichgewicht einer Organisation. 

Nicht zuletzt bringt die angespannte geopolitische Lage einige staatliche oder parastaatliche cyberkriminelle Organisationen dazu, die finanzielle Stabilität einer Nation anzugreifen.

Krisenmanagement für den Finanzunternehmen: Zentraler Punkt der DORA-Verordnung

Banken und Organisationen im Finanzsektor müssen heute ihre IT-Sicherheit erhöhen und sich darauf vorbereiten, zukünftige Krisen zu bewältigen.

Die DORA-Verordnung verfolgt diese beiden Ziele: Sie soll die Cybersicherheit von Finanzorganisationen und ihre Cyberresilienz verbessern, um die Kontinuität bei der Erbringung ihrer Dienstleistungen zu gewährleisten. Diese Verordnung wird ab Ende 2024 europaweit in Kraft treten.

Wie kann man sich auf die Anwendung der DORA-Verordnung vorbereiten?

Die Vorteile von sicheren Videokonferenzen

Vor dem Hintergrund zunehmender Cyberbedrohungen erfüllt das Tool für sichere Videokonferenzen die Anforderungen von Organisationen bezüglich Vertraulichkeit, Reaktionsfähigkeit und Geschäftskontinuität.

So kann das Cyberrisiko begrenzt werden

In Finanzunternehmen werden bestimmte sensible Besprechungen digitalisiert. Dies ist beispielsweise der Fall bei Sitzungen des Vorstands oder des Exekutivausschusses, bei Verhandlungsgesprächen oder aber bei Audits oder Konformitätsprüfungen.

Dadurch, dass diese Gespräche auf Distanz geführt werden, gewinnen die Beteiligten wertvolle Zeit. Allerdings setzt dies voraus, dass eine Videokonferenzlösung mit einem Höchstmaß an Sicherheit verwendet wird. Audio-, Video- und Datenkommunikationen müssen mithilfe einer echten Ende-zu-Ende-Verschlüsselungstechnologie abhörsicher sein. Somit ist der Einsatz von sicheren Videokonferenzen ein erster Schutz vor Computerspionage und Datendiebstahl. 

So kann eine Krise bewältigt und die Geschäftskontinuität gewährleistet werden

Bei einer Störung des Informationssystems können die wichtigsten Tools für die Zusammenarbeit funktionsunfähig werden. In diesem Fall ist es unerlässlich, eine sichere Videokollaborationslösung zu benutzen:

  • damit sich die zuständigen Teams auf sichere Weise über Maßnahmen zur Krisenbewältigung austauschen können
  • um eine kontinuierliche Tätigkeit der Mitarbeiter und des Unternehmens zu gewährleisten
  • um die Vertraulichkeit und den Schutz des Datenaustauschs während der gesamten Krise zu gewährleisten und weitere Datenabflüsse zu verhindern

Sichere Videokonferenzen sind die Antwort auf die Anforderungen des Krisenmanagements im Finanzwesen. Sie gewährleisten effiziente Teams und sichere Kommunikationen.

Wie wählt man den richtigen Verbündeten?

Die DORA-Verordnung macht deutlich, wie wichtig es ist, Richtlinien für das Krisenmanagement im Finanzbereich und für Risiken im Zusammenhang mit Informations- und Kommunikationstechnologien zu entwickeln. Dies bedeutet, dass Sie äußerst sichere IKT-Dienstleister und -Auftragnehmer auswählen müssen.

Die Zertifizierung und Qualifizierung durch die ANSSI hilft Unternehmen, insbesondere im Finanzsektor, diese Entscheidung zu treffen. Das Sicherheitssiegel der ANSSI garantiert die Zuverlässigkeit und die hohen Sicherheitsanforderungen eines Produkts, die unerlässlich sind, um Krisen zu bewältigen und Cyber-Resilienz zu erlangen. Es entspricht einer staatlichen Empfehlung für seine Verwendung. 

Daher wird empfohlen, eine sichere Videokonferenzlösung zu wählen, die von der ANSSI zertifiziert und qualifiziert wurde. Die CSPN-Zertifizierung (Sicherheitszertifikat ersten Ranges) wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als gleichwertig zum Zertifikat nach der Beschleunigten Sicherheitszertifizierung (BSZ) anerkannt. Dies gilt umso mehr im Rahmen eines Plans zur Aufrechterhaltung der Geschäftstätigkeit und zum Management von Cyberrisiken. 

Tixeo ist die einzige sichere Videokonferenz-Lösung, die seit mehr als 6 Jahren von der ANSSI zertifiziert und qualifiziert ist.

Testen Sie Tixeo kostenlos

Welche Informationen sind das Ziel von Industriespionage?

Welche Informationen sind das Ziel von Industriespionage?

Angesichts geopolitischer Spannungen und wirtschaftlicher Instabilität zielt Industriespionage auf sensible Unternehmen im Energie- oder Technologiesektor. Einige der geheimen Informationen dieser Organisationen werden besonders davon betroffen.

Industriespionage: Die größte Cyberbedrohung

Definition von Wirtschaftsspionage

Industriespionage oder Wirtschaftsspionage bezeichnet eine Reihe von Spionageaktivitäten, die zu wirtschaftlichen oder kommerziellen Zwecken durchgeführt werden. So werden Organisationen von einzelnen Personen, Unternehmen oder Regierungen unterwandert. Das Ziel ist hierbei, vertrauliche Daten zu sammeln, um verschiedene Vorteile zu erlangen wie z. B. Wettbewerbsvorteile. Sie können je nach gewähltem Ziel verschiedene Methoden der Cyberspionage wie Phishing oder Social Engineering anwenden.

Darüber hinaus sind die finanziellen Folgen von Industriespionage für Unternehmen schwerwiegend und können sogar geschäftsgefährdend sein. Auch die wirtschaftliche Stabilität einer Nation kann darunter leiden.

Eine Warnung, die von der Allianz Five Eyes veröffentlicht wurde

Im Oktober 2023 fand das Gipfeltreffen der Five Eyes statt. Hierbei handelt es sich um eine Allianz von fünf Weltmächten (Kanada, USA, Großbritannien, Australien und Neuseeland). Die Leiter der Geheimdienste der jeweiligen Länder schlossen sich dem Treffen an und warnten vor einem noch nie dagewesenen Anstieg von Industriespionageangriffen, die ihren Ursprung in China haben. Mike Burgess, Generaldirektor des australischen Geheimdienstes, bestätigte dass die chinesische Regierung den nachhaltigsten und ausgefeiltesten Diebstahl geistigen Eigentums sowie den Erwerb von Fachwissen betreibt, der in der Geschichte der Menschheit beispiellos ist“.  

Organisationen auf der ganzen Welt sind somit vorgewarnt und müssen sich gegen Cyberangriffe und das Eindringen von Agenten schützen. Der Schutz des wissenschaftlichen und technischen Potenzials einer Nation ist heute mehr denn je von entscheidender Bedeutung. 

Hochtechnologiesektoren stark betroffen

Gerade die fortschrittlichsten Branchen sind zumeist Opfer von Industriespionage. Dazu gehören Unternehmen, die sich mit künstlicher Intelligenz, Quantencomputern oder Biotechnologie beschäftigen. Industriespionageangriffe richten sich gegen Organisationen im Verteidigungs- und Energiesektor, aber auch massiv gegen deren Zulieferer. Aber auf welche Informationen sind sie ausgerichtet?

Informationsarten,die Ziel von Industriespionage sind

Technische und technologische Informationen

Informationen über das technische Design von Produkten oder die Entwicklung von Technologien stellen einen wichtigen Wettbewerbsvorteil dar. So sind im IT-Branche Algorithmen für das maschinelle Lernen oder Designschemata für Computerchips begehrt. Im Energiebereich sind Verfahren zur Erzeugung erneuerbarer Energien oder fortschrittliche Batterietechniken eine Goldgrube für Spione dar.

In der Verteidigungs- und Luftfahrtsindustrie kann Industriespionage auf Pläne für fortschrittliche Waffensysteme oder Navigations- und Kommunikationssysteme für Raumfahrzeuge abzielen. In diesen Fällen ist Industriespionage mehr als nur ein finanzieller Verlust, sie beeinträchtigt auch die Sicherheit der nationalen Verteidigung.

Spionagebeispiele von Technologieinformationen

Im Januar 2023 wurde ein ehemaliger Ingenieur von General Electric (GE) in den USA verurteilt, weil er Wirtschaftsspionage begangen hatte.. Er plante den Diebstahl von Technologiegeheimnissen über Land- und Flugzeugturbinen. Diese sollten an China und andere Unternehmen, die solche Produkte entwickeln, weitergegeben werden.

Strategische Unternehmensinformationen

In den Unternehmensstrategien werden alle Schwerpunkte der Innovation, Entwicklung und Finanzierung von Organisationen detailliert aufgeführt. So sind im Finanzbereich Details zu Fusions- und Übernahmeplänen oder proprietäre Modelle zur Analyse von Investitionen hochsensibel. Ihr Verlust kann die Wettbewerbsfähigkeit von Unternehmen beeinträchtigen.

In der Pharmaindustrie sind Daten über klinische Versuche oder Herstellungsprozesse ebenfalls Spionagegefahren ausgesetzt.

Spionagebeispiele von strategischen Informationen

Im Jahr 2023 wird im Unternehmen NVIDIA ein Softwareentwickler verdächtigt, geheime Informationen über den Quellcode einer Einparkhilfe-Software weitergegeben zu haben. Er hatte diese bei seinem früheren Arbeitgeber Valeo entwendet. Letzterer versichert, dass diese Daten der Entwicklung von NVIDIA zugute gekommen wären.

Informationen über Personal und Talente

Bei der Industriespionage geht es auch darum, Schlüsselpersonen aufzuspüren, die sensible Informationen liefern können. Einige Abwerbungen in Organisationen sind strategisch. Sie sollen das reibungslose Funktionieren des Unternehmens beeinträchtigen, indem sie versuchen, sein Wissen zu erlangen.

In einer Zeit, in der der wirtschaftliche Wettbewerb immer härter wird, spielt die Abwanderung von Fachkräften eine entscheidende Rolle für den Fortbestand eines Unternehmens.

Wie kann man seine Informationen vor Industriespionage schützen?

Hochsensible Informationen, die nicht weit verbreitet werden dürfen, tragen in der Regel den Schutzvermerk „eingeschränkte Weitergabe“. Manchmal werden sie sogar als Geheimsache der nationalen Verteidigung eingestuft.

Trotzdem sind die Mitarbeiter zusätzlich zu den rechtlichen und technischen Vorkehrungen dafür verantwortlich, die richtigen Methoden zur Cybersicherheit anzuwenden, um das Risiko eines Informationsverlusts zu minimieren.

Auf die Vertraulichkeit des Austauschs achten

Der Austausch zwischen Mitarbeitern, auch wenn er noch so harmlos ist, kann für Spione Schlüsseldaten darstellen.

Die Mitarbeiten achten darauf, dass alle Türen geschlossen sind, wenn sensible Informationen während Besprechungen ausgetauscht werden. Allerdings führen die Mitarbeiter in der Ferne Videokonferenzen durch, auch bei sensiblen Besprechungen. Dadurch wird es schwieriger, sicherzustellen, ob alle Türen geschlossen sind und keine Personen außerhalb des Unternehmens den Austausch mithören können.

Nur eine Ende-zu-Ende verschlüsselte Videokonferenz zwischen Clienten, die der DSGVO entspricht, garantiert die vollständige Vertraulichkeit des Austauschs.

Reagieren im Falle einer Intrusion

Organisationen sollten zahlreiche Abwehrmaßnahmen für den Fall einer Unterwanderung vorsehen. Diese können Teil eines Plans für das Krisenmanagement oder die Geschäftskontinuität sein. In diesem Zusammenhang wird der Einsatz einer hochsicheren Videokollaborationslösung empfohlen. Sie übernimmt die Funktion des Hauptkommunikationsmittels, das gefährdet ist. Auf diese Weise wird sichergestellt, dass der Betrieb so schnell wie möglich wieder aufgenommen werden kann, und die Arbeit der Krisenmanagementteams erleichtert.

Entdecken Sie Tixeo, eine Lösung, die von der ANSSI zertifiziert und qualifiziert ist

Cybersicherheit: Was ist eine Sicherheitszertifizierung?

Cybersicherheit: Was ist eine Sicherheitszertifizierung?

Die Sicherheitszertifizierung für digitale Produkte und Lösungen weist die Vertrauenswürdigkeit nach. Was beinhaltet diese Zertifizierung und wie garantiert sie ein hohes Maß an Cybersicherheit?

Definition einer Sicherheitszertifizierung

Bei der Sicherheitszertifizierung für IT-Lösungen und -Softwares wird ein Produkt nach bestimmten Standards für die Cybersicherheit bewertet. Dieser Prozess ist heute ausschlaggebend. Er gewährleistet, dass Daten und Systeme trotz der zunehmenden Cyberbedrohungen geschützt sind. Die Sicherheitszertifizierung unterstützt Unternehmen auch dabei, sichere digitale Lösungen für ihre strategischen und sensiblen Anwendungen zu finden. Außerdem ermöglicht sie, die Sicherheitsniveaus der Lösungen zu harmonisieren und trägt zur Schaffung eines vertrauenswürdigen digitalen Systems bei.

Arten von Sicherheitszertifizierungen:

Produktzertifizierungen: Sie konzentrieren sich auf die Sicherheitsaspekte eines bestimmten Produkts. Durch diese Zertifizierungen wird beurteilt, ob das Produkt die erforderlichen Sicherheitsstandards erfüllt und potenziellen Cyberangriffen standhalten kann.

Systemzertifizierungen: Durch sie wird die Sicherheit eines ganzen Systems bewertet, einschließlich der Produkte, Abläufe und beteiligten Personen. Diese Art der Zertifizierung ist breiter angelegt und berücksichtigt die systemischen Aspekte der Cybersicherheit.

Es gibt verschiedene Sicherheitszertifizierungen auf internationaler und europäischer Ebene. Hier ein Überblick: 

Internationale Cybersicherheitszertifizierungen

Common Criteria (CC)

Common Criteria ist der internationale Standard für die Zertifizierung von Cybersicherheit in der Informationstechnologie. Diese internationale Norm (ISO/IEC 15408) wird auch als „Common Criteria for Information Technology Security Evaluation“ bezeichnet. Sie ermöglicht es, die Sicherheit von IT-Produkten durch zugelassene und unabhängige Prüfstellen nach anspruchsvollen technischen und organisatorischen Kriterien zu bewerten. Die Zertifikate werden international von den Unterzeichnern des Common Criteria Recognition Agreement (CCRA) anerkannt, zu denen in Frankreich auch die ANSSI gehört.

FIPS 140-3 

Der Standard FIPS 140-3 wurde vom National Institute of Standards and Technology (NIST) in den USA ausgearbeitet. Er betrifft insbesondere die Prüfung der Sicherheit von Kryptomodulen. Diese Norm ist wichtig für Produkte, die in staatlichen und sensiblen Umgebungen eingesetzt werden. Durch sie werden unter anderem folgende Punkte analysiert:

  • Funktionen und Leistungen des Kryptomoduls
  • Interaktionen mit anderen Systemen
  • Verwaltung von Zugriffen und erlaubten Vorgängen
  • Sicherheit von Softwarekomponenten
  • sichere Wartung und Aktualisierungen
  • Maßnahmen gegen verschiedene Formen potenzieller Angriffe

Dieser Standard unterscheidet vier Stufen an Sicherheitsanforderungen (grundsätzlich bis sehr hoch), die für verschiedene IT-Anwendungen und -Umgebungen geeignet sind.

Europäische Cybersicherheitszertifizierungen

Europäisches Cybersicherheitszertifizierungs-Projekt

Das Zertifizierungsschema EUCC beruht auf dem internationalen Schema „Common Criteria“ für die Zertifizierung von IKT-Produkten sowie ihrer Hardware und Software (Firewalls, Systeme für Verschlüsselung und elektronische Signaturen, Router, Smartphones, Bankkarten usw.). Im Oktober 2023 veröffentlichte die Europäische Kommission einen ersten Entwurf eines Durchführungsrechtsakts für das EUCC und gab diesen zur Stellungnahme frei.

EUCS (System der Europäischen Union für die Cybersicherheitszertifizierung für Cloud-Dienste) in der Diskussion

Ähnlich wie das EUCC zielt die EUCS-Zertifizierung insbesondere darauf ab, die Sicherheit von Produkten und Dienstleistungen zu bewerten, die in der Cloud gehostet werden. Der Textvorschlag wird nun von der Europäischen Gruppe für die Cybersicherheitszertifizierung (ECCG) geprüft und soll die Sicherheit des Cloud-Computing in Europa erhöhen.

Im Rahmen der NIS2-Richtlinie und des Cyber Resilience Acts zielen diese europäischen Zertifizierungsprojekte darauf ab, das Sicherheitsniveau von IT-Lösungen zu harmonisieren.

In Frankreich: Sicherheitssiegel der ANSSI

Die von der ANSSI (französische Agentur für die Sicherheit von Informationssystemen) ausgestellte Sicherheitszertifizierung gilt in Frankreich und auch in Europa als Referenz. Sie bewertet die Widerstandsfähigkeit einer bestimmten Produktversion zu einem gegebenen Zeitpunkt. Dabei wird der Stand der Technik bei Cyberangriffen zugrunde gelegt. Um sie auszustellen, prüfen die zugelassenen Prüfstellen und Experten mehrere Sicherheitskriterien, wie: 

  • Einhaltung der geltenden nationalen und internationalen Standards und Vorschriften für die Sicherheit von Informationssystemen (wie z. B. der Common Criteria)
  • Technische und organisatorische Sicherheitsmaßnahmen
  • Widerstandskraft gegen Angriffe, einschließlich Eindringversuchen, Hacking und Ausnutzung von Schwachstellen
  • Zugriffsverwaltung und Authentifizierung, um den Zugriff auf Daten und Ressourcen zu kontrollieren
  • Verschlüsselung und Datenschutz
  • Resilienz und Vorfallsmanagement
  • Wartungen und Sicherheitsupdates, um auf neue Bedrohungen und Schwachstellen zu reagieren

Darüber hinaus bietet die ANSSI auch eine Sicherheitsqualifikation für digitale Produkte und Dienstleistungen an, die für kritische und strategische Branchen (Betreiber wesentlicher Dienste) bestimmt sind. Diese erfüllt so spezifische regulatorische Anforderungen, wie beispielsweise das Militärprogrammierungsgesetz. Die Sicherheitsqualifikation der ANSSI bestätigt damit, dass die Lösungen den ermittelten sensiblen Bedürfnissen der Unternehmen entsprechen. Der Herausgeber muss also beweisen, dass er seine Verpflichtungen langfristig einhalten kann.

An welche Produkte richten sich die Sicherheitszertifizierungen?

In der Regel sind viele IT-Produkte und -Lösungen für eine Sicherheitszertifizierung geeignet, sobald diese Daten offenlegen und/oder sie von sensiblen Organisationen genutzt werden. Im Folgenden sind einige Produktarten aufgeführt, die von Sicherheitszertifizierungen betroffen sind: 

  1. Computerhardware: Server, Router, Firewalls, andere Netzwerkgeräte usw.
  2. Software: Betriebssysteme, Anwendungen, Datenbanken usw.
  3. Cloud-Lösungen: Cloud-Computing-Dienste, Speicher, cloudbasierte Anwendungen usw.
  4. Verschlüsselungsprodukte: Verschlüsselungsmodule, Tools zur Schlüsselverwaltung usw.
  5. Mobile Security-Lösungen: Sicherheitsanwendungen und -infrastrukturen für mobile Geräte usw.
  6. Industrielle Steuerungssysteme (ICS) und Internet der Dinge (IoT): vernetzte Geräte in verschiedenen Industriezweigen usw.

Tixeo ist seit über 5 Jahren von der ANSSI zertifiziert und qualifiziert

Die sichere Videokonferenz-Software von Tixeo verfügt seit mehr als 5 Jahren über eine Zertifizierung und Qualifikation durch die ANSSI. Mit ihrer Ende-zu-Ende-Verschlüsselung und der On-Premise-Version bietet sie Unternehmen in kritischen Branchen absolute Vertraulichkeit für ihren Datenaustausch. Vor allem aber gewährleistet sie eine hohe betriebliche Resilienz. Durch ihre Zertifizierung und Qualifikation empfiehlt der französische Staat ihre Verwendung für sensible Anwendungsbereiche. Auch andere europäische Gütesiegel bestätigen die Sicherheit dieser Lösung. 

Cyberspace: europäische Unternehmens angesichts internationaler Cyberspionage

Cyberspace: europäische Unternehmens angesichts internationaler Cyberspionage

Angriffe gegen europäische Unternehmen im Zusammenhang mit Cyberspionage durch staatliche oder parastaatliche Stellen häufen sich. Sie richten sich vor allem gegen Organisationen, die für das Funktionieren oder die Wirtschaft eines Landes von entscheidender Bedeutung sind.

Folge geopolitischer Instabilitäten

Zunahme staatlicher und parastaatlicher Angriffe

Seit dem Krieg in der Ukraine nehmen die Konflikte im Cyberspace weiter zu und die Arten der Cyberangreifer wird immer vielfältiger. So greifen immer mehr staatliche Akteure private oder öffentliche Organisationen mithilfe traditioneller Methoden der Cyberkriminalität wie Ransomware an. Dadurch wird es immer komplizierter, die Urheber dieser böswilligen Aktivitäten genau zu identifizieren. Außerdem sind die verwendeten Techniken raffinierter und somit wirksamer, da sie mehr Mittel mobilisieren und somit mehr Schaden anrichten. Die Bekämpfung von Cyberspionage war sogar eine der Hauptaufgaben der ANSSI im Jahr 2022. IT-Systeme können monatelang ausspioniert werden, ohne dass die Organisationen dies bemerken.

2022 wurden 150 staatliche Cyberangriffe gezählt: 77 % davon waren Spionageangriffe. 2023 beläuft sich dieser Anteil bisher bereits auf 83 % aller staatlicher Cyberangriffe, und das Jahr ist noch nicht zu Ende.

Diese hauptsächlich aus China oder Russland stammenden staatlichen und parastaatlichen Spionageangriffe verfolgen je nach Fall unterschiedliche Ziele:

  • Abschöpfung vertraulicher Daten,
  • Computer- oder gar physische Sabotage einer kritischen Infrastruktur
  • oder auch die politische Destabilisierung.

Sensible Sektoren besonders im Visier

Regierungsorganisationen, Unternehmen, Behörden oder auch Forschungsinstitute gehören zu den bevorzugten Zielen von Cyberspionage. Von ihnen können Cyberangreifer sensible Daten im Zusammenhang mit der wirtschaftlichen, industriellen oder wissenschaftlichen Tätigkeit eines Landes sammeln. Dies kann mit einem Hacken der E-Mail-Konten von Mitarbeitern beginnen, um an vertrauliche Informationen zu gelangen.

Vor kurzem erklärte die ANSSI, dass mehrere Cyberspionageangriffe, die sich vor allem gegen französische Unternehmen richteten, von der dem russischen Militärgeheimdienst nahestehenden Hackereinheit APT 28 (oder Fancy Bear) durchgeführt wurden. Diese soll zwischen März 2022 und Juni 2023 mehrere Sicherheitslücken ausgenutzt haben, um sich in Outlook einzuschleusen.

Was sind die Folgen von Cyberspionage?

Finanzielle Auswirkungen für Unternehmen

Cyberspionage hat erhebliche wirtschaftliche Auswirkungen für Unternehmen. Erstens wird der Angriff in der Regel erst Monate nach dem Eindringen entdeckt und sofort in den Medien thematisiert. Dies schadet dem Image der Organisation und führt zu einem Vertrauensverlust bei Kunden und Partnern. Wirtschaftsspionage kann auch zum Verlust von Geschäften und zum Diebstahl von Daten im Zusammenhang mit dem geistigen Eigentum der Organisation führen. All dies trägt dazu bei, die Unternehmen finanziell zu destabilisieren.

Verletzung der Interessen des Staates

Das Ausspionieren von Unternehmen, die in kritischen Bereichen tätig sind, kann auch andere als finanzielle Interessen verfolgen. Wenn es sich beispielsweise um Infrastrukturen im Energie-, IKT- oder Gesundheitssektor handelt, trägt Cyberspionage zur Destabilisierung des Landes in wirtschaftlicher, sozialer oder sogar sicherheitspolitischer Hinsicht bei.

In Zeiten von Krieg und terroristischer Bedrohung nehmen staatliche Stellen strategische Sektoren ins Visier. 2023 wurde entdeckt, dass Mirage – ein Akteur der chinesischen Cyberspionage – im Dezember 2021 in die Netzwerke der deutschen Bundesbehörde für Kartografie und Geodäsie eingedrungen war. Auch wenn heute nicht bekannt ist, welche Art von Informationen kompromittiert wurden, zeigt dies doch, dass diese Angriffe ein System tiefgreifend schädigen und sich potenziell über längere Zeit darin festsetzen können. 

Stärkung der europäischen Cybersicherheit wichtiger denn je

Mit der NIS-2- oder DORA-Richtlinie bereitet sich Europa ab sofort darauf vor, die Cybersicherheit der sensibelsten Organisationen, insbesondere gegen Cyberspionage, zu erhöhen.

Staatliche Cyberangriffe werden mithilfe der Cyberverteidigung des angegriffenen Landes abgewehrt. So mobilisieren sich die militärischen Akteure der Cyberverteidigung, um die Informationssysteme kritischer Organisationen zu verteidigen und verhindern dadurch, dass staatliche oder private Einrichtungen lahmgelegt werden. In diesem Sinne beteiligt sich der französischen Inlandsgeheimdienst DGSI an der Cyberverteidigung, indem er staatliche Cyber-Einflussnahmen möglichst früh aufdeckt und identifiziert.

Olympische Spiele 2024: ein günstiger Hintergrund für die Destabilisierung von Unternehmen

Im Vorfeld der Olympischen Spiele 2024 in Paris warnen die Behörden bereits vor einer „beispiellosen Gefahr von Cyberangriffen“, die sich auch gegen Unternehmen richten könnten, und das Ziel verfolgen, das Gastgeberland zu destabilisieren.

Organisationen in allen wichtigen und kritischen Bereichen müssen sich auf eine potenzielle Cyber-Krise vorbereiten. Es wird erwartet, dass technische Cyberschutzmaßnahmen ergriffen werden, um insbesondere die Kommunikation und vertrauliche Daten zu schützen. Es wird aber auch empfohlen, die unternehmensinterne Ausbildung in Good Practices der Cybersicherheit zu verstärken. Denn Mitarbeiter und Management sind im Falle von Cyberspionage in der Regel die ersten Einfallstore in die IT der Unternehmen.

NIS2 macht den Umstieg auf sichere Kollaborations-Tools nötig

NIS2 macht den Umstieg auf sichere Kollaborations-Tools nötig

Tausende Unternehmen müssen die Cybersicherheit ihrer Kommunikation erhöhen

Die Richtlinie zur Netzwerk- und Informationssicherheit 2 (NIS2) wird bis Ende 2024 tausende Unternehmen innerhalb Deutschlands betreffen. Angesichts zunehmender Cyberbedrohungen will die europäische Kommission mit NIS2 das Cybersicherheits-Niveau im europäischen Raum erhöhen. Die Richtlinie wirkt sich auch auf die Video-Kommunikation betroffener Unternehmen aus. Bei vielen Unternehmen kann ein Umstieg nötig sein – Ratsam ist er sowieso.

Die Unternehmen, die NIS2 unterliegen, sind künftig verpflichtet, ihre Video- und Textkommunikation durch technische Maßnahmen vor Cyberangriffen zu schützen. Für Unternehmen aus hoch kritischen Sektoren gilt weiterhin, dass sie Videokonferenz-Lösungen einsetzen müssen, die von der jeweiligen nationalen Sicherheitsbehörde zertifiziert sind. Mit Blick auf jährliche Schäden in Milliardenhöhe durch Industriespionage und Cyberangriffe ist dies nicht nur für Unternehmen, die unter NIS2 fallen, ein empfehlenswerter Schritt.

NIS2 betrifft tausende Unternehmen mit sensiblen Daten

NIS2 verschärft die Anforderungen der Richtlinie NIS1 aus dem Jahr 2016 an Cyber-Security deutlich und weitet die Anwendung auf weitere Sektoren aus. Betroffen sind alle privatwirtschaftlichen oder öffentlichen Unternehmen mit mehr als 50 Mitarbeitern oder einem Umsatz von mehr als 10 Millionen Euro in 18 Sektoren. Diese werden in zwei Kategorien unterteilt: Zum einen „hoch kritische Sektoren“ wie Energie und öffentliche Verwaltungen, die für das Funktionieren von Gesellschaften unentbehrlich sind. Und weiterhin „kritische Sektoren“ wie Postdienste und Forschung, deren Ausfallen ernste, aber weniger gravierende Folgen verglichen mit dem Ausfallen der hoch kritischen Sektoren hätte. NIS2 fordert von Unternehmen in allen 18 Sektoren erhöhten Schutz vor Cyber-Angriffen in ihren Netzwerken und Informationssystemen.

Weitere Verpflichtungen aus der Richtlinie sind unter anderem die interne Schulung von Führungskräften, Managern und Mitarbeitern zum Thema Cybersicherheit sowie die unverzügliche Meldung von Sicherheitsvorfällen an die jeweilige nationale Cybersicherheitsbehörde.

Ende-zu-Ende-Verschlüsselung erhöht die Sicherheit der Online-Kommunikation signifikant

NIS2 wird viele Unternehmen zu neuen Tools für ihre Kommunikation und Kollaboration zwingen. Gerade bei Videokonferenzen gibt es bei zahlreichen Anbietern Ungewissheiten hinsichtlich Datenschutz und Sicherheitslevel. Für letzteres essenziell ist eine echte Ende-zu-Ende-Verschlüsselung, auch bei Konferenzen mit mehreren Teilnehmern. Die einzige Videokonferenz-Technologie, die gegenwärtig für ihre Ende-zu-Ende-Verschlüsselung CSPN-zertifiziert ist, ist die von Tixeo. Die CSPN-Zertifizierung wird von der französischen ANSSI vergeben und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als gleichwertig zu einem Zertifikat nach der Beschleunigten Sicherheitszertifizierung (BSZ) anerkannt. Merkmal der Verschlüsselung von Tixeo ist, dass die Verschlüsselungsschlüssel des Gesprächs einzig auf den Geräten der Nutzer gespeichert werden. Es findet kein Entschlüsseln der Kommunikation beim Passieren der in Europa gehosteten Sever statt. Somit sind Gespräche in dem Ausmaß geschützt, das NIS2 verlangt.

Finanzsektor: Wie können Sie sich auf die Anwendung der DORA-Verordnung vorbereiten?

Finanzsektor: Wie können Sie sich auf die Anwendung der DORA-Verordnung vorbereiten?

Zusätzlich zur NIS-2-Richtlinie verschärft die DORA-Verordnung (Digital operationnal resilience act) die Anforderungen an die Cybersicherheit im Finanzsektor. Um ihre Assets und die wirtschaftlichen Interessen der europäischen Länder zu schützen, müssen die Finanzunternehmen ihre digitale operative Widerstandsfähigkeit stärken.

 

Finanzsektor stark von Cyberbedrohungen betroffen

Zunehmende Anzahl von Cyberangriffen

Cyberangriffe zielen massiv auf die Infrastruktur des Finanzsektors ab. Außerdem stellt das Cyberrisiko heute ein großes Risiko für die Finanzstabilität dar. In ihrem im Juni 2023 erschienenen Bericht über die Risikobewertung des Finanzsystems stellt die französische Zentralbank fest, dass „das Finanzsystem weiterhin einem sehr hohen Risiko von Cyberangriffen ausgesetzt ist“. Gründe dafür sind sowohl der geopolitische Kontext als auch künstliche Intelligenz, die den Weg für sehr ausgeklügelte und daher schwer zu bekämpfende Angriffe ebnet. 

Ein weiterer Grund für die massive Gefährdung durch Cyberrisiken ist die extrem schnelle Digitalisierung der Finanzunternehmen. Denn während die Digitalisierung der Bankdienstleistungen schon sehr früh begann, hinkte die Sicherung der Informationssysteme hinterher. Zudem nutzen Mitarbeiterinnen und Mitarbeiter von Bankinstituten zunehmend mobile Geräte und sind stärker dem Risiko von Cyberangriffen ausgesetzt.

https://www.tixeo.com/de/wie-koennen-mitarbeiter-fuer-cybersicherheit-sensibilisiert-werden/

DORA als Ergänzung zu NIS 2 für mehr Cybersicherheit

Aufgrund dieser zahlreichen Risiken und Herausforderungen hat die Europäische Union den Bankensektor im Rahmen der NIS-2-Richtlinie als hoch kritisch eingestuft. Daher werden Organisationen ihre Cybersicherheit erhöhen und ihre Entscheidungsträger dementsprechend schulen. Ergänzend dazu stellt die DORA-Verordnung erhöhte Anforderungen an die Finanzinstitute, um ihr Cyberrisiko besser zu managen und an Agilität zu gewinnen.

 

 

Die wichtigsten Punkte der DORA-Verordnung 

Welche Organisationen sind betroffen?

DORA betrifft die meisten Organisationen, die im Finanzsektor tätig sind. Das sind beispielsweise:

  • Kreditinstitute,
  • Investment-, Zahlungs- oder E-Geld-Unternehmen,
  • Verwaltungsgesellschaften,
  • Versicherungs- und Rückversicherungsunternehmen,
  • Versicherungs- und Rückversicherungsvermittler.

 

Ziel: Stärkung der digitalen operativen Resilienz

Bessere Erfassung und Verwaltung von Cyberrisiken

Nach dem Vorbild des ganzheitlichen, gefahrenübergreifenden Ansatzes der NIS-2-Richtlinie möchte die DORA-Verordnung die Kenntnis der Risiken im Finanzsektor verbessern. Die Finanzinstitute müssen die mit ihren Geschäften verbundenen Risiken berücksichtigen. Die Verordnung fordert dazu auf, diese Risiken zu identifizieren und zu quantifizieren, in welchem Ausmaß sie sich aus interner und externer Sicht auf die Organisation auswirken. Auf diese Weise haben sie einen genaueren Überblick über die zu ergreifenden Maßnahmen und sind agiler.

Dieses Risikomanagement dient ferner der Beruhigung des Ökosystem des Unternehmens. Dazu gehören auch die Kunden, deren Vermögenswerte und personenbezogenen Daten umfassend geschützt werden müssen.

Von der Verordnung betroffene IKT-Dienstleister

Banken und Finanzinstitute sind heute von Informations- und Kommunikationstechnologien abhängig. Wenn diese Technologien nicht ausreichend gesichert sind, gefährden sie die sensiblen Daten, die damit übertragen werden.

Daher muss sich der Finanzsektor im Rahmen der DORA-Verordnung als widerstandsfähig gegenüber den mit diesen Technologien verbundenen operativen Störungen erweisen. Die Organisationen werden die Aufgabe haben, die IKT-Risiken zu identifizieren und zu klassifizieren und Prozesse für Störungsvorfälle zu erarbeiten.

Darüber hinaus werden Aufsichtsbehörden prüfen, ob das Management der IKT-Risiken den Vorgaben bezüglich der Risikomanagementmaßnahmen entspricht. Bei Nichteinhaltung können Sanktionen verhängt werden. 

Auswahl von Anbietern mit dem Sicherheitssiegel der ANSSI

Die französischen Behörde für IT-Sicherheit (ANSSI) empfiehlt hochsichere Produkte und Dienstleister, die sie mit ihrem Sicherheitssiegel ausgezeichnet hat. Damit hilft sie Organisationen, die in sensiblen Bereichen wie dem Finanzwesen tätig sind, die Zuverlässigkeit von Kommunikationslösungen zu bewerten.

Bei einem Cybersicherheitsvorfall müssen die Teams ihren Informationsaustausch in einem hochsicheren Rahmen fortsetzen können. Dadurch werden die Geschäftskontinuität und die Widerstandsfähigkeit des Unternehmens sichergestellt.

Cybersicherheit
DORA-Verordnung

Die Videokonferenzlösung von Tixeo ist die einzige, die von der französischen Behörde für Informationssicherheit ANSSI zertifiziert und qualifiziert wurde. Im Falle eines Cybervorfalls ermöglicht die Secure by Design Lösung die Einrichtung eines virtuellen Krisenstabs mit Ende-zu-Ende-Verschlüsselung.

Die CSPN-Zertifizierung (Sicherheitszertifikat ersten Ranges) wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als gleichwertig zum Zertifikat nach der Beschleunigten Sicherheitszertifizierung (BSZ) anerkannt.

Wann tritt die DORA-Verordnung in Kraft?

Die DORA-Verordnung ist am 16. Januar 2023 in der Europäischen Union in Kraft getreten. Die Verordnung ist daher ab jetzt umzusetzen. Die Frist für die Umsetzung in das Recht aller EU-Staaten endet am 17. Januar 2025.

„Cyber-Stresstest“-Kampagnen in Planung

Das Bankensystem führt regelmäßig Stresstests durch, die an gesellschaftliche und wirtschaftliche Konjunkturen gekoppelt sind. Bald können auch „Cyber-Stresstests“ gefordert werden. Tatsächlich hat die EZB (Europäische Zentralbank) angekündigt, dass sie plant, ab 2024 die Cyber-Resilienz von Finanzinstituten zu testen. Dies soll durch Cyber-Stresstests geschehen. Die Zunahme von Cyberbedrohungen, Home Office und die Nutzung der Cloud erhöhen die Schwere von Cyberangriffen und waren daher Anlass für diese Initiative.

Eine gute Möglichkeit für Organisationen aus dem Finanzsektor, ihre Vorbereitung auf DORA unter realen Bedingungen zu testen.

https://www.tixeo.com/de/betreiber-wesentlicher-dienste-und-betreiber-vitaler-bedeutung-welche-auswirkungen-hat-die-nis2-richtlinie/