14 Feb 2024 | Cybersicherheit, NewsDE
Angesichts geopolitischer Spannungen und wirtschaftlicher Instabilität zielt Industriespionage auf sensible Unternehmen im Energie- oder Technologiesektor. Einige der geheimen Informationen dieser Organisationen werden besonders davon betroffen.
Industriespionage: Die größte Cyberbedrohung
Definition von Wirtschaftsspionage
Industriespionage oder Wirtschaftsspionage bezeichnet eine Reihe von Spionageaktivitäten, die zu wirtschaftlichen oder kommerziellen Zwecken durchgeführt werden. So werden Organisationen von einzelnen Personen, Unternehmen oder Regierungen unterwandert. Das Ziel ist hierbei, vertrauliche Daten zu sammeln, um verschiedene Vorteile zu erlangen wie z. B. Wettbewerbsvorteile. Sie können je nach gewähltem Ziel verschiedene Methoden der Cyberspionage wie Phishing oder Social Engineering anwenden.
Darüber hinaus sind die finanziellen Folgen von Industriespionage für Unternehmen schwerwiegend und können sogar geschäftsgefährdend sein. Auch die wirtschaftliche Stabilität einer Nation kann darunter leiden.
Eine Warnung, die von der Allianz Five Eyes veröffentlicht wurde
Im Oktober 2023 fand das Gipfeltreffen der Five Eyes statt. Hierbei handelt es sich um eine Allianz von fünf Weltmächten (Kanada, USA, Großbritannien, Australien und Neuseeland). Die Leiter der Geheimdienste der jeweiligen Länder schlossen sich dem Treffen an und warnten vor einem noch nie dagewesenen Anstieg von Industriespionageangriffen, die ihren Ursprung in China haben. Mike Burgess, Generaldirektor des australischen Geheimdienstes, bestätigte dass „die chinesische Regierung den nachhaltigsten und ausgefeiltesten Diebstahl geistigen Eigentums sowie den Erwerb von Fachwissen betreibt, der in der Geschichte der Menschheit beispiellos ist“.
Organisationen auf der ganzen Welt sind somit vorgewarnt und müssen sich gegen Cyberangriffe und das Eindringen von Agenten schützen. Der Schutz des wissenschaftlichen und technischen Potenzials einer Nation ist heute mehr denn je von entscheidender Bedeutung.
Hochtechnologiesektoren stark betroffen
Gerade die fortschrittlichsten Branchen sind zumeist Opfer von Industriespionage. Dazu gehören Unternehmen, die sich mit künstlicher Intelligenz, Quantencomputern oder Biotechnologie beschäftigen. Industriespionageangriffe richten sich gegen Organisationen im Verteidigungs- und Energiesektor, aber auch massiv gegen deren Zulieferer. Aber auf welche Informationen sind sie ausgerichtet?
Informationen über das technische Design von Produkten oder die Entwicklung von Technologien stellen einen wichtigen Wettbewerbsvorteil dar. So sind im IT-Branche Algorithmen für das maschinelle Lernen oder Designschemata für Computerchips begehrt. Im Energiebereich sind Verfahren zur Erzeugung erneuerbarer Energien oder fortschrittliche Batterietechniken eine Goldgrube für Spione dar.
In der Verteidigungs- und Luftfahrtsindustrie kann Industriespionage auf Pläne für fortschrittliche Waffensysteme oder Navigations- und Kommunikationssysteme für Raumfahrzeuge abzielen. In diesen Fällen ist Industriespionage mehr als nur ein finanzieller Verlust, sie beeinträchtigt auch die Sicherheit der nationalen Verteidigung.
Im Januar 2023 wurde ein ehemaliger Ingenieur von General Electric (GE) in den USA verurteilt, weil er Wirtschaftsspionage begangen hatte.. Er plante den Diebstahl von Technologiegeheimnissen über Land- und Flugzeugturbinen. Diese sollten an China und andere Unternehmen, die solche Produkte entwickeln, weitergegeben werden.
In den Unternehmensstrategien werden alle Schwerpunkte der Innovation, Entwicklung und Finanzierung von Organisationen detailliert aufgeführt. So sind im Finanzbereich Details zu Fusions- und Übernahmeplänen oder proprietäre Modelle zur Analyse von Investitionen hochsensibel. Ihr Verlust kann die Wettbewerbsfähigkeit von Unternehmen beeinträchtigen.
In der Pharmaindustrie sind Daten über klinische Versuche oder Herstellungsprozesse ebenfalls Spionagegefahren ausgesetzt.
Im Jahr 2023 wird im Unternehmen NVIDIA ein Softwareentwickler verdächtigt, geheime Informationen über den Quellcode einer Einparkhilfe-Software weitergegeben zu haben. Er hatte diese bei seinem früheren Arbeitgeber Valeo entwendet. Letzterer versichert, dass diese Daten der Entwicklung von NVIDIA zugute gekommen wären.
Bei der Industriespionage geht es auch darum, Schlüsselpersonen aufzuspüren, die sensible Informationen liefern können. Einige Abwerbungen in Organisationen sind strategisch. Sie sollen das reibungslose Funktionieren des Unternehmens beeinträchtigen, indem sie versuchen, sein Wissen zu erlangen.
In einer Zeit, in der der wirtschaftliche Wettbewerb immer härter wird, spielt die Abwanderung von Fachkräften eine entscheidende Rolle für den Fortbestand eines Unternehmens.
Hochsensible Informationen, die nicht weit verbreitet werden dürfen, tragen in der Regel den Schutzvermerk „eingeschränkte Weitergabe“. Manchmal werden sie sogar als Geheimsache der nationalen Verteidigung eingestuft.
Trotzdem sind die Mitarbeiter zusätzlich zu den rechtlichen und technischen Vorkehrungen dafür verantwortlich, die richtigen Methoden zur Cybersicherheit anzuwenden, um das Risiko eines Informationsverlusts zu minimieren.
Auf die Vertraulichkeit des Austauschs achten
Der Austausch zwischen Mitarbeitern, auch wenn er noch so harmlos ist, kann für Spione Schlüsseldaten darstellen.
Die Mitarbeiten achten darauf, dass alle Türen geschlossen sind, wenn sensible Informationen während Besprechungen ausgetauscht werden. Allerdings führen die Mitarbeiter in der Ferne Videokonferenzen durch, auch bei sensiblen Besprechungen. Dadurch wird es schwieriger, sicherzustellen, ob alle Türen geschlossen sind und keine Personen außerhalb des Unternehmens den Austausch mithören können.
Nur eine Ende-zu-Ende verschlüsselte Videokonferenz zwischen Clienten, die der DSGVO entspricht, garantiert die vollständige Vertraulichkeit des Austauschs.
Reagieren im Falle einer Intrusion
Organisationen sollten zahlreiche Abwehrmaßnahmen für den Fall einer Unterwanderung vorsehen. Diese können Teil eines Plans für das Krisenmanagement oder die Geschäftskontinuität sein. In diesem Zusammenhang wird der Einsatz einer hochsicheren Videokollaborationslösung empfohlen. Sie übernimmt die Funktion des Hauptkommunikationsmittels, das gefährdet ist. Auf diese Weise wird sichergestellt, dass der Betrieb so schnell wie möglich wieder aufgenommen werden kann, und die Arbeit der Krisenmanagementteams erleichtert.
Entdecken Sie Tixeo, eine Lösung, die von der ANSSI zertifiziert und qualifiziert ist
19 Jan 2024 | Cybersicherheit, Gesetzgebung und Compliance
Die Sicherheitszertifizierung für digitale Produkte und Lösungen weist die Vertrauenswürdigkeit nach. Was beinhaltet diese Zertifizierung und wie garantiert sie ein hohes Maß an Cybersicherheit?
Definition einer Sicherheitszertifizierung
Bei der Sicherheitszertifizierung für IT-Lösungen und -Softwares wird ein Produkt nach bestimmten Standards für die Cybersicherheit bewertet. Dieser Prozess ist heute ausschlaggebend. Er gewährleistet, dass Daten und Systeme trotz der zunehmenden Cyberbedrohungen geschützt sind. Die Sicherheitszertifizierung unterstützt Unternehmen auch dabei, sichere digitale Lösungen für ihre strategischen und sensiblen Anwendungen zu finden. Außerdem ermöglicht sie, die Sicherheitsniveaus der Lösungen zu harmonisieren und trägt zur Schaffung eines vertrauenswürdigen digitalen Systems bei.
Arten von Sicherheitszertifizierungen:
Produktzertifizierungen: Sie konzentrieren sich auf die Sicherheitsaspekte eines bestimmten Produkts. Durch diese Zertifizierungen wird beurteilt, ob das Produkt die erforderlichen Sicherheitsstandards erfüllt und potenziellen Cyberangriffen standhalten kann.
Systemzertifizierungen: Durch sie wird die Sicherheit eines ganzen Systems bewertet, einschließlich der Produkte, Abläufe und beteiligten Personen. Diese Art der Zertifizierung ist breiter angelegt und berücksichtigt die systemischen Aspekte der Cybersicherheit.
Es gibt verschiedene Sicherheitszertifizierungen auf internationaler und europäischer Ebene. Hier ein Überblick:
Internationale Cybersicherheitszertifizierungen
Common Criteria (CC)
Common Criteria ist der internationale Standard für die Zertifizierung von Cybersicherheit in der Informationstechnologie. Diese internationale Norm (ISO/IEC 15408) wird auch als „Common Criteria for Information Technology Security Evaluation“ bezeichnet. Sie ermöglicht es, die Sicherheit von IT-Produkten durch zugelassene und unabhängige Prüfstellen nach anspruchsvollen technischen und organisatorischen Kriterien zu bewerten. Die Zertifikate werden international von den Unterzeichnern des Common Criteria Recognition Agreement (CCRA) anerkannt, zu denen in Frankreich auch die ANSSI gehört.
FIPS 140-3
Der Standard FIPS 140-3 wurde vom National Institute of Standards and Technology (NIST) in den USA ausgearbeitet. Er betrifft insbesondere die Prüfung der Sicherheit von Kryptomodulen. Diese Norm ist wichtig für Produkte, die in staatlichen und sensiblen Umgebungen eingesetzt werden. Durch sie werden unter anderem folgende Punkte analysiert:
- Funktionen und Leistungen des Kryptomoduls
- Interaktionen mit anderen Systemen
- Verwaltung von Zugriffen und erlaubten Vorgängen
- Sicherheit von Softwarekomponenten
- sichere Wartung und Aktualisierungen
- Maßnahmen gegen verschiedene Formen potenzieller Angriffe
Dieser Standard unterscheidet vier Stufen an Sicherheitsanforderungen (grundsätzlich bis sehr hoch), die für verschiedene IT-Anwendungen und -Umgebungen geeignet sind.
Europäische Cybersicherheitszertifizierungen
Europäisches Cybersicherheitszertifizierungs-Projekt
Das Zertifizierungsschema EUCC beruht auf dem internationalen Schema „Common Criteria“ für die Zertifizierung von IKT-Produkten sowie ihrer Hardware und Software (Firewalls, Systeme für Verschlüsselung und elektronische Signaturen, Router, Smartphones, Bankkarten usw.). Im Oktober 2023 veröffentlichte die Europäische Kommission einen ersten Entwurf eines Durchführungsrechtsakts für das EUCC und gab diesen zur Stellungnahme frei.
EUCS (System der Europäischen Union für die Cybersicherheitszertifizierung für Cloud-Dienste) in der Diskussion
Ähnlich wie das EUCC zielt die EUCS-Zertifizierung insbesondere darauf ab, die Sicherheit von Produkten und Dienstleistungen zu bewerten, die in der Cloud gehostet werden. Der Textvorschlag wird nun von der Europäischen Gruppe für die Cybersicherheitszertifizierung (ECCG) geprüft und soll die Sicherheit des Cloud-Computing in Europa erhöhen.
Im Rahmen der NIS2-Richtlinie und des Cyber Resilience Acts zielen diese europäischen Zertifizierungsprojekte darauf ab, das Sicherheitsniveau von IT-Lösungen zu harmonisieren.
In Frankreich: Sicherheitssiegel der ANSSI
Die von der ANSSI (französische Agentur für die Sicherheit von Informationssystemen) ausgestellte Sicherheitszertifizierung gilt in Frankreich und auch in Europa als Referenz. Sie bewertet die Widerstandsfähigkeit einer bestimmten Produktversion zu einem gegebenen Zeitpunkt. Dabei wird der Stand der Technik bei Cyberangriffen zugrunde gelegt. Um sie auszustellen, prüfen die zugelassenen Prüfstellen und Experten mehrere Sicherheitskriterien, wie:
- Einhaltung der geltenden nationalen und internationalen Standards und Vorschriften für die Sicherheit von Informationssystemen (wie z. B. der Common Criteria)
- Technische und organisatorische Sicherheitsmaßnahmen
- Widerstandskraft gegen Angriffe, einschließlich Eindringversuchen, Hacking und Ausnutzung von Schwachstellen
- Zugriffsverwaltung und Authentifizierung, um den Zugriff auf Daten und Ressourcen zu kontrollieren
- Verschlüsselung und Datenschutz
- Resilienz und Vorfallsmanagement
- Wartungen und Sicherheitsupdates, um auf neue Bedrohungen und Schwachstellen zu reagieren
Darüber hinaus bietet die ANSSI auch eine Sicherheitsqualifikation für digitale Produkte und Dienstleistungen an, die für kritische und strategische Branchen (Betreiber wesentlicher Dienste) bestimmt sind. Diese erfüllt so spezifische regulatorische Anforderungen, wie beispielsweise das Militärprogrammierungsgesetz. Die Sicherheitsqualifikation der ANSSI bestätigt damit, dass die Lösungen den ermittelten sensiblen Bedürfnissen der Unternehmen entsprechen. Der Herausgeber muss also beweisen, dass er seine Verpflichtungen langfristig einhalten kann.
An welche Produkte richten sich die Sicherheitszertifizierungen?
In der Regel sind viele IT-Produkte und -Lösungen für eine Sicherheitszertifizierung geeignet, sobald diese Daten offenlegen und/oder sie von sensiblen Organisationen genutzt werden. Im Folgenden sind einige Produktarten aufgeführt, die von Sicherheitszertifizierungen betroffen sind:
- Computerhardware: Server, Router, Firewalls, andere Netzwerkgeräte usw.
- Software: Betriebssysteme, Anwendungen, Datenbanken usw.
- Cloud-Lösungen: Cloud-Computing-Dienste, Speicher, cloudbasierte Anwendungen usw.
- Verschlüsselungsprodukte: Verschlüsselungsmodule, Tools zur Schlüsselverwaltung usw.
- Mobile Security-Lösungen: Sicherheitsanwendungen und -infrastrukturen für mobile Geräte usw.
- Industrielle Steuerungssysteme (ICS) und Internet der Dinge (IoT): vernetzte Geräte in verschiedenen Industriezweigen usw.
Tixeo ist seit über 5 Jahren von der ANSSI zertifiziert und qualifiziert
Die sichere Videokonferenz-Software von Tixeo verfügt seit mehr als 5 Jahren über eine Zertifizierung und Qualifikation durch die ANSSI. Mit ihrer Ende-zu-Ende-Verschlüsselung und der On-Premise-Version bietet sie Unternehmen in kritischen Branchen absolute Vertraulichkeit für ihren Datenaustausch. Vor allem aber gewährleistet sie eine hohe betriebliche Resilienz. Durch ihre Zertifizierung und Qualifikation empfiehlt der französische Staat ihre Verwendung für sensible Anwendungsbereiche. Auch andere europäische Gütesiegel bestätigen die Sicherheit dieser Lösung.
1 Dez 2023 | Amenazas y Vulnerabilidades, Cybersicherheit
Angriffe gegen europäische Unternehmen im Zusammenhang mit Cyberspionage durch staatliche oder parastaatliche Stellen häufen sich. Sie richten sich vor allem gegen Organisationen, die für das Funktionieren oder die Wirtschaft eines Landes von entscheidender Bedeutung sind.
Folge geopolitischer Instabilitäten
Zunahme staatlicher und parastaatlicher Angriffe
Seit dem Krieg in der Ukraine nehmen die Konflikte im Cyberspace weiter zu und die Arten der Cyberangreifer wird immer vielfältiger. So greifen immer mehr staatliche Akteure private oder öffentliche Organisationen mithilfe traditioneller Methoden der Cyberkriminalität wie Ransomware an. Dadurch wird es immer komplizierter, die Urheber dieser böswilligen Aktivitäten genau zu identifizieren. Außerdem sind die verwendeten Techniken raffinierter und somit wirksamer, da sie mehr Mittel mobilisieren und somit mehr Schaden anrichten. Die Bekämpfung von Cyberspionage war sogar eine der Hauptaufgaben der ANSSI im Jahr 2022. IT-Systeme können monatelang ausspioniert werden, ohne dass die Organisationen dies bemerken.
2022 wurden 150 staatliche Cyberangriffe gezählt: 77 % davon waren Spionageangriffe. 2023 beläuft sich dieser Anteil bisher bereits auf 83 % aller staatlicher Cyberangriffe, und das Jahr ist noch nicht zu Ende.
Diese hauptsächlich aus China oder Russland stammenden staatlichen und parastaatlichen Spionageangriffe verfolgen je nach Fall unterschiedliche Ziele:
- Abschöpfung vertraulicher Daten,
- Computer- oder gar physische Sabotage einer kritischen Infrastruktur
- oder auch die politische Destabilisierung.
Sensible Sektoren besonders im Visier
Regierungsorganisationen, Unternehmen, Behörden oder auch Forschungsinstitute gehören zu den bevorzugten Zielen von Cyberspionage. Von ihnen können Cyberangreifer sensible Daten im Zusammenhang mit der wirtschaftlichen, industriellen oder wissenschaftlichen Tätigkeit eines Landes sammeln. Dies kann mit einem Hacken der E-Mail-Konten von Mitarbeitern beginnen, um an vertrauliche Informationen zu gelangen.
Vor kurzem erklärte die ANSSI, dass mehrere Cyberspionageangriffe, die sich vor allem gegen französische Unternehmen richteten, von der dem russischen Militärgeheimdienst nahestehenden Hackereinheit APT 28 (oder Fancy Bear) durchgeführt wurden. Diese soll zwischen März 2022 und Juni 2023 mehrere Sicherheitslücken ausgenutzt haben, um sich in Outlook einzuschleusen.
Was sind die Folgen von Cyberspionage?
Finanzielle Auswirkungen für Unternehmen
Cyberspionage hat erhebliche wirtschaftliche Auswirkungen für Unternehmen. Erstens wird der Angriff in der Regel erst Monate nach dem Eindringen entdeckt und sofort in den Medien thematisiert. Dies schadet dem Image der Organisation und führt zu einem Vertrauensverlust bei Kunden und Partnern. Wirtschaftsspionage kann auch zum Verlust von Geschäften und zum Diebstahl von Daten im Zusammenhang mit dem geistigen Eigentum der Organisation führen. All dies trägt dazu bei, die Unternehmen finanziell zu destabilisieren.
Verletzung der Interessen des Staates
Das Ausspionieren von Unternehmen, die in kritischen Bereichen tätig sind, kann auch andere als finanzielle Interessen verfolgen. Wenn es sich beispielsweise um Infrastrukturen im Energie-, IKT- oder Gesundheitssektor handelt, trägt Cyberspionage zur Destabilisierung des Landes in wirtschaftlicher, sozialer oder sogar sicherheitspolitischer Hinsicht bei.
In Zeiten von Krieg und terroristischer Bedrohung nehmen staatliche Stellen strategische Sektoren ins Visier. 2023 wurde entdeckt, dass Mirage – ein Akteur der chinesischen Cyberspionage – im Dezember 2021 in die Netzwerke der deutschen Bundesbehörde für Kartografie und Geodäsie eingedrungen war. Auch wenn heute nicht bekannt ist, welche Art von Informationen kompromittiert wurden, zeigt dies doch, dass diese Angriffe ein System tiefgreifend schädigen und sich potenziell über längere Zeit darin festsetzen können.
Stärkung der europäischen Cybersicherheit wichtiger denn je
Mit der NIS-2- oder DORA-Richtlinie bereitet sich Europa ab sofort darauf vor, die Cybersicherheit der sensibelsten Organisationen, insbesondere gegen Cyberspionage, zu erhöhen.
Staatliche Cyberangriffe werden mithilfe der Cyberverteidigung des angegriffenen Landes abgewehrt. So mobilisieren sich die militärischen Akteure der Cyberverteidigung, um die Informationssysteme kritischer Organisationen zu verteidigen und verhindern dadurch, dass staatliche oder private Einrichtungen lahmgelegt werden. In diesem Sinne beteiligt sich der französischen Inlandsgeheimdienst DGSI an der Cyberverteidigung, indem er staatliche Cyber-Einflussnahmen möglichst früh aufdeckt und identifiziert.
Olympische Spiele 2024: ein günstiger Hintergrund für die Destabilisierung von Unternehmen
Im Vorfeld der Olympischen Spiele 2024 in Paris warnen die Behörden bereits vor einer „beispiellosen Gefahr von Cyberangriffen“, die sich auch gegen Unternehmen richten könnten, und das Ziel verfolgen, das Gastgeberland zu destabilisieren.
Organisationen in allen wichtigen und kritischen Bereichen müssen sich auf eine potenzielle Cyber-Krise vorbereiten. Es wird erwartet, dass technische Cyberschutzmaßnahmen ergriffen werden, um insbesondere die Kommunikation und vertrauliche Daten zu schützen. Es wird aber auch empfohlen, die unternehmensinterne Ausbildung in Good Practices der Cybersicherheit zu verstärken. Denn Mitarbeiter und Management sind im Falle von Cyberspionage in der Regel die ersten Einfallstore in die IT der Unternehmen.
28 Nov 2023 | Cybersicherheit, Gesetzgebung und Compliance
Tausende Unternehmen müssen die Cybersicherheit ihrer Kommunikation erhöhen
Die Richtlinie zur Netzwerk- und Informationssicherheit 2 (NIS2) wird bis Ende 2024 tausende Unternehmen innerhalb Deutschlands betreffen. Angesichts zunehmender Cyberbedrohungen will die europäische Kommission mit NIS2 das Cybersicherheits-Niveau im europäischen Raum erhöhen. Die Richtlinie wirkt sich auch auf die Video-Kommunikation betroffener Unternehmen aus. Bei vielen Unternehmen kann ein Umstieg nötig sein – Ratsam ist er sowieso.
Die Unternehmen, die NIS2 unterliegen, sind künftig verpflichtet, ihre Video- und Textkommunikation durch technische Maßnahmen vor Cyberangriffen zu schützen. Für Unternehmen aus hoch kritischen Sektoren gilt weiterhin, dass sie Videokonferenz-Lösungen einsetzen müssen, die von der jeweiligen nationalen Sicherheitsbehörde zertifiziert sind. Mit Blick auf jährliche Schäden in Milliardenhöhe durch Industriespionage und Cyberangriffe ist dies nicht nur für Unternehmen, die unter NIS2 fallen, ein empfehlenswerter Schritt.
NIS2 betrifft tausende Unternehmen mit sensiblen Daten
NIS2 verschärft die Anforderungen der Richtlinie NIS1 aus dem Jahr 2016 an Cyber-Security deutlich und weitet die Anwendung auf weitere Sektoren aus. Betroffen sind alle privatwirtschaftlichen oder öffentlichen Unternehmen mit mehr als 50 Mitarbeitern oder einem Umsatz von mehr als 10 Millionen Euro in 18 Sektoren. Diese werden in zwei Kategorien unterteilt: Zum einen „hoch kritische Sektoren“ wie Energie und öffentliche Verwaltungen, die für das Funktionieren von Gesellschaften unentbehrlich sind. Und weiterhin „kritische Sektoren“ wie Postdienste und Forschung, deren Ausfallen ernste, aber weniger gravierende Folgen verglichen mit dem Ausfallen der hoch kritischen Sektoren hätte. NIS2 fordert von Unternehmen in allen 18 Sektoren erhöhten Schutz vor Cyber-Angriffen in ihren Netzwerken und Informationssystemen.
Weitere Verpflichtungen aus der Richtlinie sind unter anderem die interne Schulung von Führungskräften, Managern und Mitarbeitern zum Thema Cybersicherheit sowie die unverzügliche Meldung von Sicherheitsvorfällen an die jeweilige nationale Cybersicherheitsbehörde.
Ende-zu-Ende-Verschlüsselung erhöht die Sicherheit der Online-Kommunikation signifikant
NIS2 wird viele Unternehmen zu neuen Tools für ihre Kommunikation und Kollaboration zwingen. Gerade bei Videokonferenzen gibt es bei zahlreichen Anbietern Ungewissheiten hinsichtlich Datenschutz und Sicherheitslevel. Für letzteres essenziell ist eine echte Ende-zu-Ende-Verschlüsselung, auch bei Konferenzen mit mehreren Teilnehmern. Die einzige Videokonferenz-Technologie, die gegenwärtig für ihre Ende-zu-Ende-Verschlüsselung CSPN-zertifiziert ist, ist die von Tixeo. Die CSPN-Zertifizierung wird von der französischen ANSSI vergeben und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als gleichwertig zu einem Zertifikat nach der Beschleunigten Sicherheitszertifizierung (BSZ) anerkannt. Merkmal der Verschlüsselung von Tixeo ist, dass die Verschlüsselungsschlüssel des Gesprächs einzig auf den Geräten der Nutzer gespeichert werden. Es findet kein Entschlüsseln der Kommunikation beim Passieren der in Europa gehosteten Sever statt. Somit sind Gespräche in dem Ausmaß geschützt, das NIS2 verlangt.
3 Okt 2023 | Cybersicherheit, Gesetzgebung und Compliance
Zusätzlich zur NIS-2-Richtlinie verschärft die DORA-Verordnung (Digital operationnal resilience act) die Anforderungen an die Cybersicherheit im Finanzsektor. Um ihre Assets und die wirtschaftlichen Interessen der europäischen Länder zu schützen, müssen die Finanzunternehmen ihre digitale operative Widerstandsfähigkeit stärken.
Finanzsektor stark von Cyberbedrohungen betroffen
Zunehmende Anzahl von Cyberangriffen
Cyberangriffe zielen massiv auf die Infrastruktur des Finanzsektors ab. Außerdem stellt das Cyberrisiko heute ein großes Risiko für die Finanzstabilität dar. In ihrem im Juni 2023 erschienenen Bericht über die Risikobewertung des Finanzsystems stellt die französische Zentralbank fest, dass „das Finanzsystem weiterhin einem sehr hohen Risiko von Cyberangriffen ausgesetzt ist“. Gründe dafür sind sowohl der geopolitische Kontext als auch künstliche Intelligenz, die den Weg für sehr ausgeklügelte und daher schwer zu bekämpfende Angriffe ebnet.
Ein weiterer Grund für die massive Gefährdung durch Cyberrisiken ist die extrem schnelle Digitalisierung der Finanzunternehmen. Denn während die Digitalisierung der Bankdienstleistungen schon sehr früh begann, hinkte die Sicherung der Informationssysteme hinterher. Zudem nutzen Mitarbeiterinnen und Mitarbeiter von Bankinstituten zunehmend mobile Geräte und sind stärker dem Risiko von Cyberangriffen ausgesetzt.
https://www.tixeo.com/de/wie-koennen-mitarbeiter-fuer-cybersicherheit-sensibilisiert-werden/
DORA als Ergänzung zu NIS 2 für mehr Cybersicherheit
Aufgrund dieser zahlreichen Risiken und Herausforderungen hat die Europäische Union den Bankensektor im Rahmen der NIS-2-Richtlinie als hoch kritisch eingestuft. Daher werden Organisationen ihre Cybersicherheit erhöhen und ihre Entscheidungsträger dementsprechend schulen. Ergänzend dazu stellt die DORA-Verordnung erhöhte Anforderungen an die Finanzinstitute, um ihr Cyberrisiko besser zu managen und an Agilität zu gewinnen.
Die wichtigsten Punkte der DORA-Verordnung
Welche Organisationen sind betroffen?
DORA betrifft die meisten Organisationen, die im Finanzsektor tätig sind. Das sind beispielsweise:
- Kreditinstitute,
- Investment-, Zahlungs- oder E-Geld-Unternehmen,
- Verwaltungsgesellschaften,
- Versicherungs- und Rückversicherungsunternehmen,
- Versicherungs- und Rückversicherungsvermittler.
Ziel: Stärkung der digitalen operativen Resilienz
Bessere Erfassung und Verwaltung von Cyberrisiken
Nach dem Vorbild des ganzheitlichen, gefahrenübergreifenden Ansatzes der NIS-2-Richtlinie möchte die DORA-Verordnung die Kenntnis der Risiken im Finanzsektor verbessern. Die Finanzinstitute müssen die mit ihren Geschäften verbundenen Risiken berücksichtigen. Die Verordnung fordert dazu auf, diese Risiken zu identifizieren und zu quantifizieren, in welchem Ausmaß sie sich aus interner und externer Sicht auf die Organisation auswirken. Auf diese Weise haben sie einen genaueren Überblick über die zu ergreifenden Maßnahmen und sind agiler.
Dieses Risikomanagement dient ferner der Beruhigung des Ökosystem des Unternehmens. Dazu gehören auch die Kunden, deren Vermögenswerte und personenbezogenen Daten umfassend geschützt werden müssen.
Von der Verordnung betroffene IKT-Dienstleister
Banken und Finanzinstitute sind heute von Informations- und Kommunikationstechnologien abhängig. Wenn diese Technologien nicht ausreichend gesichert sind, gefährden sie die sensiblen Daten, die damit übertragen werden.
Daher muss sich der Finanzsektor im Rahmen der DORA-Verordnung als widerstandsfähig gegenüber den mit diesen Technologien verbundenen operativen Störungen erweisen. Die Organisationen werden die Aufgabe haben, die IKT-Risiken zu identifizieren und zu klassifizieren und Prozesse für Störungsvorfälle zu erarbeiten.
Darüber hinaus werden Aufsichtsbehörden prüfen, ob das Management der IKT-Risiken den Vorgaben bezüglich der Risikomanagementmaßnahmen entspricht. Bei Nichteinhaltung können Sanktionen verhängt werden.
Auswahl von Anbietern mit dem Sicherheitssiegel der ANSSI
Die französischen Behörde für IT-Sicherheit (ANSSI) empfiehlt hochsichere Produkte und Dienstleister, die sie mit ihrem Sicherheitssiegel ausgezeichnet hat. Damit hilft sie Organisationen, die in sensiblen Bereichen wie dem Finanzwesen tätig sind, die Zuverlässigkeit von Kommunikationslösungen zu bewerten.
Bei einem Cybersicherheitsvorfall müssen die Teams ihren Informationsaustausch in einem hochsicheren Rahmen fortsetzen können. Dadurch werden die Geschäftskontinuität und die Widerstandsfähigkeit des Unternehmens sichergestellt.
Wann tritt die DORA-Verordnung in Kraft?
Die DORA-Verordnung ist am 16. Januar 2023 in der Europäischen Union in Kraft getreten. Die Verordnung ist daher ab jetzt umzusetzen. Die Frist für die Umsetzung in das Recht aller EU-Staaten endet am 17. Januar 2025.
„Cyber-Stresstest“-Kampagnen in Planung
Das Bankensystem führt regelmäßig Stresstests durch, die an gesellschaftliche und wirtschaftliche Konjunkturen gekoppelt sind. Bald können auch „Cyber-Stresstests“ gefordert werden. Tatsächlich hat die EZB (Europäische Zentralbank) angekündigt, dass sie plant, ab 2024 die Cyber-Resilienz von Finanzinstituten zu testen. Dies soll durch Cyber-Stresstests geschehen. Die Zunahme von Cyberbedrohungen, Home Office und die Nutzung der Cloud erhöhen die Schwere von Cyberangriffen und waren daher Anlass für diese Initiative.
Eine gute Möglichkeit für Organisationen aus dem Finanzsektor, ihre Vorbereitung auf DORA unter realen Bedingungen zu testen.
https://www.tixeo.com/de/betreiber-wesentlicher-dienste-und-betreiber-vitaler-bedeutung-welche-auswirkungen-hat-die-nis2-richtlinie/
22 Sep 2023 | Cybersicherheit, Gesetzgebung und Compliance
Mit der bevorstehenden Anwendung der NIS2-Richtlinie in Europa bereiten sich die Betreiber wesentlicher Dienste und die Betreiber vitaler Bedeutung auf neue Verpflichtungen zur Verbesserung ihrer Cybersicherheit vor.
Eine neue Bezeichnung für die Betreiber wesentlicher Dienste
Die Schaffung von wesentlichen Einrichtungen (Essential Entities) und wichtigen Einrichtungen (Important Entities)
Ziel dieser Weiterentwicklung der NIS1-Richtlinie ist es, die Sicherheit der Netze und Informationssysteme sensibler europäischer Organisationen zu erhöhen. Zu den Änderungen gehört das Ende der Bezeichnung „Betreiber wesentlicher Dienste“. Darin wurden bisher die wesentlichen Dienstleistungen genannt, deren Stillstand sich stark auf das Funktionieren der französischen Wirtschaft oder Gesellschaft auswirken würde.
Die NIS2-Richtlinie streicht die Bezeichnung „Betreiber wesentlicher Dienste“ und führt an ihrer Stelle zwei Kategorien von Unternehmen ein:
- Wesentliche Einrichtungen, zu denen vor allem große Unternehmen in den als hoch kritisch eingestuften Sektoren zählen würden.
- Wichtige Einrichtungen, zu denen vor allem mittlere Organisationen in den als hoch kritisch eingestuften Sektoren und Organisationen in kritischen Sektoren zählen würden.
Die „Anbieter digitaler Dienste“ werden ebenfalls in diese Kategorien eingestuft. Es sei darauf hingewiesen, dass die Bezeichnung „Betreiber von vitaler Bedeutung nicht geändert wird. Letztere sind von NIS2 betroffen.
Mehr über hoch kritische und kritische Sektoren erfahren
Verpflichtungen für wesentliche Einrichtungen, wichtige Einrichtungen und Betreiber von vitaler Bedeutung
Anwendung von ANSSI-zertifizierten Sicherheitslösungen
Zu den von NIS2 empfohlenen Sicherheitsmaßnahmen gehören „der Einsatz sicherer Sprach-, Video- und Text-Kommunikation sowie der Einsatz gesicherter Notfall-Kommunikations-Systeme innerhalb der Einrichtung bei Bedarf.“ Für Betreiber von vitaler Bedeutung wird der Einsatz von Sicherheitslösungen, die von der ANSSI mit dem Sicherheitsvisum zertifiziert sind, sogar obligatorisch. Denn im Krisenfall müssen diese Betreiber schnell reagieren und widerstandsfähig sein. Gesicherte Kommunikationslösungen sind daher unerlässlich, damit die Mitarbeiter ihre Tätigkeit fortsetzen können. Dabei werden verschiedene Technologien wie die Ende-zu-Ende-Verschlüsselung empfohlen.
Schutz der Netzarchitektur
In der NIS2-Richtlinie wird die Trennung von Netzen und Fernzugängen gefordert, insbesondere bei der Verwendung von On-Premise-Sicherheitslösungen. Diese müssen in einem isolierten Netz funktionsfähig sein und die Organisation muss alle ihre Auswirkungen auf ihre Netzarchitektur kennen.
Beauftragung von sicheren Zulieferern und Dienstleistern
Besondere Aufmerksamkeit wird auch den Akteuren der Lieferkette gewidmet, unabhängig davon, ob sie Zulieferer oder Dienstleister sind. Diese erhalten in der Regel Zugang zur Infrastruktur ihres Kunden und stellen damit ein Sicherheitsrisiko dar. Und aus gutem Grund kann dies bei Sicherheitslücken in ihrer Infrastruktur Auswirkungen auf die Netzsicherheit der mehr oder weniger kritischen Unternehmen haben, für die sie arbeiten. Aus diesem Grund fallen auch sie unter die NIS2-Richtlinie.
Alles über die NIS2-Richtlinie:
https://www.tixeo.com/de/neue-nis2-richtlinie-was-wird-sich-fuer-die-europaeischen-unternehmen-und-behoerden-aendern/
