IT Sicherheit: Unterschied zwischen den Versionen

Zur Navigation springen Zur Suche springen
← Zum vorherigen Versionsunterschied
 
(5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 9: Zeile 9:
=Ressourcen=
=Ressourcen=


* '''Risikoanalyse für kleine Unternehmen'''
* '''Für kleine Unternehmen'''
:[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/KMU/CyberRisikoCheck/CyberRisikoCheck_node.html| BSI-CyberRisikoCheck nach DIN SPEC 27076]
:[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html BSI Seite zum Grundschutz in Unrternehmen]
:[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/KMU/CyberRisikoCheck/CyberRisikoCheck_node.html BSI-CyberRisikoCheck nach DIN SPEC 27076]
:[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Unternehmen-allgemein/IT-Notfallkarte/it-notfallkarte_node.html Die BSI IT-Notfallkarte]


* '''ISO 27001'''
* '''ISO 27001'''
:[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Managementsystemen/ISO-27001-Basis-IT-Grundschutz/iso-27001-basis-it-grundschutz_node.html BSI-Seiten zum Thema ISO 270001|]
:[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Managementsystemen/ISO-27001-Basis-IT-Grundschutz/iso-27001-basis-it-grundschutz_node.html BSI-Seiten zum Thema ISO 270001]
:[[wikipedia:de:ISO/IEC-27000-Reihe|Wikipedia Artikel zur ISO 270001]]
:[[wikipedia:de:ISO/IEC-27000-Reihe|Wikipedia Artikel zur ISO 270001]]


* '''NIS-2'''
* '''NIS-2'''
:[https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/nis-2-regulierte-unternehmen_node.html BSI-Seiten zum Thema NIS-2|]
:[https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/nis-2-regulierte-unternehmen_node.html BSI-Seiten zum Thema NIS-2]
:[https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung_node.html NIS-2 Betroffenheitsprüfung]
:[https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung_node.html NIS-2 Betroffenheitsprüfung]
:[https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-MUK/MUK_node.html MUK Unternhemenskonto für NIS-2 pflichtige Unternehmen]
:[https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-MUK/MUK_node.html MUK Unternehmenskonto für NIS-2 regulierte Unternehmen]
:[[wikipedia:de:NIS-2-Richtlinie|Wikipedia Artikel zur NIS-2-Richtlinie]]
:[[wikipedia:de:NIS-2-Richtlinie|Wikipedia Artikel zur NIS-2-Richtlinie]]


Zeile 29: Zeile 31:
Die Bedrohungslage hat sich in den letzten Jahren sukzessive weltweit verschärft. Viele, insbesondere autoritäre, Staaten nutzen die Möglichkeit, Angriffe gegen Staaten, Wirtschaft und Einzelpersonen durchzuführen.
Die Bedrohungslage hat sich in den letzten Jahren sukzessive weltweit verschärft. Viele, insbesondere autoritäre, Staaten nutzen die Möglichkeit, Angriffe gegen Staaten, Wirtschaft und Einzelpersonen durchzuführen.


Spionage, Terrorismus, Terror auf Staatsebene kann sich dabei auch auf kleine, privatwirtschaftliche Unternehmen auswirken, selbst wenn diese weder zur kritischen Infrastruktur zählen, noch als besonders lukrative Ziele gelten. Viele Unternehmen werden oftmals kollateral geschädigt. Andere werden im Rahmen von unspezifischen Angriffen, sozusagen als Beifang, geschädigt.
Spionage, Terrorismus, Terror auf Staatsebene kann sich dabei auch auf kleine, privatwirtschaftliche Unternehmen auswirken, selbst wenn diese weder zur kritischen Infrastruktur zählen, noch als besonders lukrative Ziele gelten. Viele Unternehmen werden oftmals kollateral geschädigt. Andere werden im Rahmen von automatisierten oder unspezifischen Angriffen, geschädigt.


Die älteste und bekannteste Form von Belästigungen und Betrug sind Spam-Mails, die ständig im Internet versendet werden und primitive Werbung oder Betrugsversuche darstellen. Daneben haben sich jedoch auch ernste Bedrohungen entwickelt, die teilweise sorgfältig und technisch anspruchsvoll geplant und dann perfide und raffiniert ausgeführt werden und so eine höhere Erfolgsquote verzeichnen. Im Falle von Emotet wird sogar auf Social Engineering zurückgegriffen.
Der wirtschaftliche Schaden durch Cybercrime in Deutschland im Jahr 2025 wird auf 290 Milliarden Euro geschätzt.
 
==Folgen==
Es besteht ein mehr als 50 prozentiges Risiko, dass Unternehmen, welche einer Cybercrime-Attacke zum Opfer fallen, so stark geschädigt werden, dass sie den Betrieb einstellen.


==Schwachstellen==
==Schwachstellen==
Schwachstellen entstehen durch fehlende Updates oder Exploits, Sicherheitslücken, fehlende oder nicht ausreichende Sicherheitsmaßnahmen oder menschliches Fehlverhalten. In diesem Abschnitt werden mögliche Schwachstellen genauer beschrieben.
Schwachstellen entstehen durch fehlende Updates oder Exploits, Sicherheitslücken, fehlende oder nicht ausreichende Sicherheitsmaßnahmen oder menschliches Fehlverhalten. In diesem Abschnitt werden mögliche Schwachstellen genauer beschrieben.
Die älteste und bekannteste Form von Belästigungen und Betrug sind Spam-Mails, die ständig im Internet versendet werden und primitive Werbung oder Betrugsversuche darstellen. Daneben haben sich jedoch auch ernste Bedrohungen entwickelt, die teilweise sorgfältig und technisch anspruchsvoll geplant und dann perfide und raffiniert ausgeführt werden und so eine höhere Erfolgsquote verzeichnen. Im Falle von Emotet wird sogar auf Social Engineering zurückgegriffen.


===E-Mail===
===E-Mail===
Das älteste Kommunikationsmittel im Internet ist E-Mail. Das System ist vor über 50 Jahren konzipiert und ursprünglich ohne Sicherheitsfunktionen konzipiert worden, da man den weltweiten Erfolg nicht vorausgesehen hat (vergleiche mit "SMS").
Das älteste Kommunikationsmittel im Internet ist E-Mail. Das System ist vor über 50 Jahren konzipiert und ursprünglich ohne Sicherheitsfunktionen konzipiert worden, da man den weltweiten Erfolg nicht vorausgesehen hat (ähnlich wie bei "SMS").


Mit der Zeit ist das System E-Mail zwar weiterentwickelt und auch mit Sicherheitsfunktionen versehen worden, die wesentlichen Probleme unter Sicherheitsaspekten sind aber geblieben. Da kein Nachfolger für E-Mail vorgesehen ist, wird man auch in Zukunft mit den Nachteilen leben müssen. Besonders gefährlich sind Schadsoftware in Dateianhängen und Links zu Phishing-Seiten. Daneben sind E-Mail ein Baustein für Emotet-Kampagnen. Daneben können durch massenhaft versendete E-Mails DDoS-ähnliche Angriffe durchgeführt und Server überlastet werden.
Mit der Zeit ist das System E-Mail zwar weiterentwickelt und auch mit Sicherheitsfunktionen versehen worden, die wesentlichen Probleme unter Sicherheitsaspekten sind aber geblieben. Da kein Nachfolger für E-Mail vorgesehen ist, wird man auch in Zukunft mit den Nachteilen leben müssen. Besonders gefährlich sind Schadsoftware in Dateianhängen und Links zu Phishing-Seiten. Durch massenhaft versendete E-Mails DDoS-ähnliche Angriffe durchgeführt und Server überlastet werden. Daneben sind E-Mail ein Baustein in Emotet-Kampagnen.


===Externe Daten===
===Externe Daten===
Externe Daten in Dateiform als E-Mailanhang, aber auch durch Download im Internet oder offline auf einem Datenträger (beispielsweise USB-Stick) eingebracht, können, wenn sie mit Schadsoftware versehen sind, Schaden anrichten und den Schutz vor Angriffen von Außen kompromittieren. Typische Vertreter von Dateien mit "eingebauter" Schadsoftware sind Office-Dateien mit Makroviren.
Externe Daten in Dateiform als E-Mailanhang, aber auch durch Download im Internet oder offline auf einem Datenträger (beispielsweise USB-Stick) eingebracht, können, wenn sie mit Schadsoftware versehen sind, Schaden anrichten und den Schutz vor Angriffen von Außen kompromittieren. Typische Vertreter von Dateien mit "eingebauter" Schadsoftware sind Office-Dateien mit Makroviren.


===Menschlicher Faktor===
===Der menschliche Faktor===
Menschen sind der größte Unsicherheitsfaktor in der IT-Sicherheit. Neben dem Beeinflussen von Menschen durch Social Engineering sind auch Spionage, Erpressung, mutwillige oder fahrlässige Beschädigung vielfach Ursache für Schadensfälle. Am Häufigsten sind aber vermutlich Unwissenheit oder Fehler in der Umsetzung (vgl. menschlicher Faktor) die Ursache für Gefahren.
Menschen sind der größte Unsicherheitsfaktor in der IT-Sicherheit. Neben dem Beeinflussen von Menschen durch Social Engineering sind auch Spionage, Erpressung, mutwillige oder fahrlässige Beschädigung vielfach Ursache für Schadensfälle. Am Häufigsten sind aber vermutlich Unwissenheit oder Fehler in der Umsetzung (vgl. menschlicher Faktor) die Ursache für Gefahren.


===Sabotage===
===Sabotage===
//->
Eine große Gefahr besteht durch bewusste Angriffe auf die Handlungsfähigkeit eines Unternehmens. Von der Manipulation der Infrastruktur durch eigene Mitarbeiter, über Diebstahl von Technik durch Verbrecher, bis hin zu Schadsoftware, die gezielt Anlagen beschädigt, ist eine große Bandbreite mit den unterschiedlichsten Motiven denkbar.


===Datenverlust===
===Datenverlust===
//->
Das Löschen, Verschlüsseln oder Verändern von Daten oder Datenträgern stellt die größte, weil unmittelbare Bedrohung dar. Informationen und Ressourcen sind nicht mehr verfügbar, Wissen und Aufzeichnungen verloren. Die immense Abhängigkeit von Daten wird den Betroffenen erst wirklich klar, wenn man sie nicht mehr nutzen kann.


===Infiltration===
===Infiltration===
//->
Das Eindringen in IT Infrastrukturen ist oftmals der erste Schritt eines kompexen Angriffsszenarios und ermöglicht den  Tätern den Zugang zu allen Informationen des Unternehmens. Insbesondere Emotet baut auf diese Komponente auf.


===Abhören===
===Abhören===
//->
Das Abhören der Kommunikation und das Beobachten der Abläufe in einem Unternehmen sind ebenfalls ein wichtiger Angriffsvektor. Gewohnheiten und Verhaltensweisen können so als Vorlage für das erfolgreiche Nachahmen verwendet werden. Auch diese Komponente ist Teil einer Emotet-Kampagne.


===Malware===
===Malware===
//->
Schadsoftware kann in Sicherheitslücken einfallen, aber auch eingeschleppt werden. Ein häufig unterschätzter Angriffsvektor wird entscheidend durch den Anwender beeinflusst, indem er Software oder Plugins installiert.
 
Beispielsweise enthalten Hilfsprogramme zum Herunterladen von Treibern oder Software häufig Schadsoftware. Vollkommen nutzlos und dabei potenziell gefährlich sind Anwendungen, die den Computer aufträumen oder beschleunigen. Ebenfalls gefährlich sind Plugins für Internetbrowser, die Seitenaufrufe umleiten, Werbung einstreuen oder Daten ausspähen.


===Virenbefall===
In der Regel wird Malware als Virus (wird eingeschleppt) oder Wurm (Dringt in das System ein) bezeichnet, genaurere Unterteilungen werden in den nächsten Abschnitten vorgenommen.
//->


===Ransomware===
===Ransomware===
Abgerufen von „https://wiki.fakturax.de/index.php?title=IT_Sicherheit