Skip to main content
main-content
Top

2018 | Book

Cybersecurity Best Practices

Lösungen zur Erhöhung der Cyberresilienz für Unternehmen und Behörden

share
SHARE
insite
SEARCH

About this book

Das Thema Cybersecurity ist so aktuell wie nie, denn im Cyberspace lassen sich nur schwer Grenzen in Bezug auf den Zugang zu Informationen, Daten und Redefreiheit setzen. Kriminelle nutzen die Lücken oft zu ihrem Vorteil aus. Die Vielzahl der IT-Systeme, ihre unterschiedlichen Nutzungsarten und ihre Innovations- und Lebenszyklen haben zu hohen Sicherheitsrisiken für Unternehmen und staatliche Einrichtungen geführt. Diese Risiken werden sich auch langfristig nicht so einfach aus der Welt schaffen lassen. Daher müssen Institutionen Strategien und Lösungen zu ihrem Selbstschutz entwickeln. Dieses Buch beschreibt Lösungsansätze und Best Practices aus den unterschiedlichsten Bereichen, die nachweislich zu einer höheren Resilienz gegenüber Cyberangriffen führen.

Weltweit renommierte IT-Sicherheitsexperten berichten in 40 Beiträgen, wie sich staatliche Institutionen, unter anderem das Militär (Cyber Defence), Behörden, internationale Organisationen und Unternehmen besser gegen Cyberangriffe schützen und nachhaltige Schutzstrategien entwickeln können. Die Autoren widmen sich den Gründen und Zielen, die ihren jeweiligen Strategien zugrunde liegen, sie berichten, wie Unternehmen auf konkrete Cyberattacken reagiert haben und wie einzelne staatliche Institutionen angesichts nationaler Cyberstrategien agieren. In weiteren Kapiteln zeigen Wissenschaftler auf, was bei der Abwehr von Cyber-Attacken bereits heute möglich ist, welche Entwicklungen in Arbeit sind und wie diese in Zukunft eingesetzt werden können, um die Cyber-Sicherheit zu erhöhen. Im letzten Kapitel berichten Hersteller, Anwenderunternehmen und Dienstleister welche Best Practices sie in ihren Unternehmen eingeführt haben und wie andere Unternehmen ihrem Beispiel folgen können.

Das Buch richtet sich an IT-Verantwortliche und -Sicherheitsbeauftragte in Unternehmen und anderen Organisationen, aber auch an Studierende in den verschiedenen IT-Studiengängen.

Table of Contents

Frontmatter
1. How to Eliminate the Prevailing Ignorance and Complacency Around Cybersecurity

The increased digitization, automation and interconnectedness of all spheres of life have resulted in many innovations and improvements, such as Internet of Things, Industry 4.0, Robo Advisor of FinTechs, Smart Home, etc., but it also brings with it great risks and challenges. In this article, I shall highlight the challenges of the twenty-first century and explain why there is what I like to call a prevailing ignorance and complacency about cybersecurity. One of the main reasons why we seem to be ignorant and complacent is that we have never experienced a major and damaging cyber incident that has disrupted essential services and led to a loss of life. In the last few years, we have been faced with disturbing and potentially devastating cyberattacks, but we have always, seemingly, managed to contain them. However, this successful containment of cyberattacks has not been achieved, thanks to our technical and organizational cyber capabilities, but rather to the fact that cyber criminals can attain their goals well below the threshold of a cyber Armageddon. This problem is compounded by a massive increase in technological and organizational complexity that is challenging for governments and industries to manage. I will attempt to give best practice examples of how we can overcome this problem and gain a better overview of this increasingly complex world of cyber friends and foes.

Stefanie Frey

Beispiele aus der Praxis

Frontmatter
2. Angriff aus der Dunkelheit: Cyberattacke auf das Lukaskrankenhaus Neuss

Am Aschermittwoch ist alles vorbei: Diese im Rheinland wohlbekannte Prämisse bewahrheitete sich für das Lukaskrankenhaus in Neuss bei Düsseldorf am Aschermittwoch des Jahres 2016. Ein Hackerangriff traf die IT-Infrastruktur der hochdigitalisierten Klinik. Mit der radikalen Entscheidung, sämtliche IT-Systeme sofort herunterzufahren, konnte ein Ausbreiten der hochaggressiven Schadsoftware und eine Verschlüsselung der Patientendaten verhindert werden. Die Klinik nutzte die Krise als Chance und stellte die gesamte IT-Infrastruktur neu auf. Im Gegensatz zu anderen betroffenen Institutionen verfolgte das Lukaskrankenhaus nach dem Leitgedanken „Transparenz schafft Vertrauen“ konsequent einen offenen Umgang mit dem Hackerangriff und seinen Folgen auch den Medien gegenüber. Auf die Digitalisierung setzt man in dem Neusser Krankenhaus weiterhin.

Ulla Dahmen, Nicolas Krämer
3. Audrey and Reto Gfeller People Like You and Me

PHISHING Attacks and identity theft have become part of everyday life. This chapter tells the story of Audrey and Reto Gfeller, people like you and me who were the victims of a PHISHING attack in 2008. In July 2008, 206 cars and 35 other items worth almost CHF 2 million were acquired on their behalf on the Ricardo Online Platform. The Gfellers take us on their journey of disappointed and angry sellers, attacks on their house, lawyers, and ricardo.ch, who was unwilling to take responsibility and was very unhelpful in resolving and analyzing the case.

Audrey, Reto Gfeller

Staaten und Behörden

Frontmatter
4. Vorworte

Leistungsfähige und sichere Kommunikationssysteme sind das zentrale Nervensystem der Gesellschaft im 21. Jahrhundert. Sie schaffen die Voraussetzung für Mobilität, Datenaustausch sowie Kapital-, Waren- und Dienstleistungstransfer. Sie sorgen für die Vernetzung von medizinischen Geräten in einem Operationssaal und sind Voraussetzung für die Industrie 4.0, die Energiewende oder den Betrieb von kritischen Infrastrukturen. Gleichzeitig bieten täglich auftretende neue Sicherheitslücken und Schwachstellen Angreifern immer wieder neue Möglichkeiten, Informationen auszuspähen, Geschäfts- und Verwaltungsprozesse zu sabotieren oder sich auf Kosten Dritter kriminell zu bereichern. Welche Auswirkungen dies haben kann, haben Cyber-Attacken der jüngeren Vergangenheit wie WannaCry oder NotPetya eindrucksvoll gezeigt.

Arne Schönbohm, Udo Helmbrecht
5. ENISA’s Contribution to National Cyber Security Strategies

National Cyber Security Strategies (NCSS) are the main documents of MS to set strategic principles, guidelines, and objectives and in some cases specific measures in order to mitigate riskRisk associated with cybersecurity. To encounter existing and emerging cybersecurity threats, EU Member States and EFTA countriesEFTA countries are required to evolve and adapt their cybersecurity strategies frequently. In July 2016, the European parliamentEuropean Parliament voted the adoption of the Directive on Security of Network and Information Systems (the NIS Directive)Directive on Security of Network and Information Systems (the NIS Directive). Among other measures, the NIS Directive requires the EU Member States to adopt and implement a national strategy on the security of network and information systems (national NIS strategyNational NIS strategy). Member States may request the assistance of ENISA in developing national NIS strategies.ENISA is supporting the EU Member States and EFTA countriesEFTA countries since 2012. For this reason, ENISA has published several studies regarding the development, implementation, and evaluation of the NCSS. ENISA has also created several tools like online tutorial videos and an online interactive map that stores all the developed NCSS of EU MS together with their strategic objectives and examples of good practices. More information regarding ENISA’s work on NCSS will be further analyzed in Chap. 5 “ENISA’s Contribution to National Cyber Security Strategies” of this book.

Dimitra Liveri, Anna Sarri, Eleni Darra
6. Die Allianz für Cyber-Sicherheit: Netzwerke schützen Netzwerke

Bundesamt für Sicherheit in der Informationstechnik (BSI)Die rasante technologische Entwicklung der letzten Jahre und das ebenso dynamische Fortschreiten der Digitalisierung aller Lebensbereiche von Smart Home bis zu Industrie 4.0 eröffnen Wirtschaft und Gesellschaft enorme Chancen. Damit einher gehen neue und immer komplexere Herausforderungen in Sachen Informationssicherheit, denen einzelne Unternehmen oder Organisationen letztlich nicht mehr allein wirksam entgegentreten können. Vor diesem Hintergrund verfolgt die Allianz für Cyber-Sicherheit, eine 2012 begründete Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das Ziel, einen offenen Informations- und Erfahrungsaustausch unter allen wichtigen Akteuren im Bereich der Cyber-Sicherheit in Deutschland zu ermöglichen, um im Zusammenschluss die Widerstandsfähigkeit des Wirtschaftsstandorts Deutschland gegenüber Cyber-Angriffen zu stärken.

Stefan Wunderlich
7. Polizei – Klotz am Bein oder Partner in der Krise?

Behörden – besonders StrafverfolgungsbehördenStrafverfolgungsbehörde – werden häufig als störend und lästiges Übel empfunden. Insbesondere im Falle eines Cyberangriffs sind dies häufig die letzten Stellen, die man währenddessen in der Firma haben möchte. Welche Chancen sich beim Einbinden einer Strafverfolgungsbehörde bieten können, wie diese mit Firmen gemeinsam an der Lösung eines Cyberangriffs arbeiten und welchen Gewinn beide daraus ziehen können, stellt der Autor am Beispiel des Cybercrime-Kompetenzzentrum des LandeskriminalamtesLandeskriminalamtNordrhein-WestfalenNordrhein-Westfalen dar. Er beleuchtet dabei auch einige Vorurteile, die ihm in seiner Arbeit immer wieder begegnen, veranschaulicht aber auch die Grenzen der Kooperation.

Dirk Kunze
8. Comprehensive Cyber Security Approach: The Finnish Model

The cyberspace is evolving quickly and becoming a growing challenge for nations, as well as the international community. The key question is how to improve the preparedness of modern societies and how to build new capacities in the cyberspace. Knowledge is crucial to further development, as the weakest links in the chain are the users, be they individuals, companies or governments. Because of the very whole-of-society nature of cyber threats, preparing for and addressing them require strong measures. Multiple countries may enjoy unrivalled power in many of the areas of cyber security, offensive uses included, but may lack the tools necessary to identify in a timely manner threats that nimbly cross all the neat categories and carefully guarded bureaucratic silos. The idea behind a comprehensive security approach is that society’s security does not rest on the prowess of traditional security providers such as the police and militaryMilitary alone, but all the key sectors of society have been included in the security planning and implementation processProcesses. This whole-of-society aspect of a comprehensive security approach makes the political leadership particularly important. Including a wide range of society’s players in the security planning and implementation processProcesses aims both at increasing capabilitiesCapabilities to respond to a wide range of threats, such as cyber threats, that cross sectoral boundaries, but also to secure the vital functions of society that usually demand tight collaboration between several sectors. This efficient collaboration allows wide and efficient mobilisation of society’s resources.

Aapo Cederberg
9. The “Petnica Group”: A Case of Public-Private Partnership for Cyber Security in the Republic of Serbia

The article presents the case of the development of an informal public-private partnership in cyber security in the Republic of Serbia. Built as a bottom-up initiative and supported by several international organizations working in the field, the public-private framework now poses as a functioning forum for information, knowledge, and experience exchange among key public and private actors. Now officially branded as the Cyber Security Nexus, previously known as the informal “Petnica Group,” the framework is a recognized body for public-private cooperationCooperation. Its regular activities range from debates and consultations on policy development, joint efforts aimed at developing national incident response procedures, and now national cyber security drills as the latest addition. This case of public-private partnership demonstrates how efficient and effective frameworks can be built and how they can contribute to national efforts and capacities even when official, legislativeLegislative mechanisms are still in their early stages of development.

Irina Rizmal
10. Nationale Cyber-Strategie: Einbezug der lokalen Ebene in einem föderalen Staat

Dieser Artikel soll anhand des Beispiels des Sicherheitsverbunds Schweiz aufzeigen, wie die lokale Ebene in einem föderalen Staat in die Umsetzung einer nationalen Cyber-Strategie einbezogen werden kann. Dies wird insbesondere am Beispiel des Krisenmanagements im Cyber-Bereich veranschaulicht.Die Schweiz besteht aus 26 Kantonen, die über eigene politische Institutionen für die Executive, Legislative und Judikative verfügen. Die Kantone sind für alle staatlichen Aufgaben zuständig, die durch die Bundesverfassung nicht ausdrücklich dem Bund übertragen wurden.

André Duvillard, Melanie Friedli
11. …limitem esse delendam – Grenzen sind zu überwinden

„Cyber“ ist inzwischen fast ein Schimpfwort: Der Begriff garantiert Aufmerksamkeit, mehr aber auch nicht. Allzuviel ist allzu technisch. Diese Lehmschicht, die sich durch jede Branche, jede Verwaltungseinheit, ja den Alltag zieht, verstehen zu wollen, ist auf den ersten Blick deutlich aufwendiger als gewinnbringend. Deswegen sind Angriffe nach wie vor einfach. ICT an sich entwickelt sich rasend schnell, Angreifer aber können sich die Mühe sparen, grundsätzlich neue Malware zu entwickeln. Die alte funktioniert „ewig“.Dabei stellt der Mißbrauch des Cyberspace Wirtschaft und Behörden vor sich permanent wandelnde Herausforderungen. Die Bedrohungsfelder sind altbekannt: Spionage, Sabotage und Kriminalität. Dabei beobachtet man seitens der Aggressoren – sie seien unter dem Sammelbegriff „Cybercrime“ zusammengefasst – eine zunehmende Internationalisierung, Professionalisierung und Arbeitsteilung. Das allein macht die Aufklärung solcher Fälle hochkomplex. Unternehmen und Behörden sind an Rechtsräume gebunden, der Aggressor ist dies nicht. Die Schweiz ist hier keine Insel: Das Tun von Cyberkriminellen ist zur Kenntnis zu nehmen, vorbeugende wie auch reaktive Maßnahmen tun Not. Die monetären und persönlichen Schäden, die durch Cyberkriminalität verursacht werden, sind gravierend, könnten durch vernetztes Experten-Know-how jedoch teilweise vermieden werden.Vor diesem Hintergrund wurden in der Schweiz die Swiss Cyber Experts gegründet. Der privatwirtschaftliche Verein ist durch einen Kooperationsvertrag mit MELANI, der Melde- und Analysestelle Informationssicherung MELANI, zu einer Public Private Partnership verbunden. Ein Rückblick auf die ersten drei Aufbaujahre.

Mark A. Saxer
12. E-Voting in der Schweiz – Herausforderungen und Schutzprinzipen

Der Artikel erklärt, wie Wahl und Abstimmungen in der Schweiz praktisch ablaufen und wie E-Voting die bestehenden Stimmkanäle ergänzt. Dabei ist es wichtig festzustellen, dass der Begriff „E-Voting“ in der Schweiz im Sinn des Abstimmens und Wählens von zu Hause aus, über das Internet, verwendet wird. Sogenannte Wahlmaschinen respektive Stimmcomputer im Wahllokal werden in der Schweiz keine eingesetzt. In über 200 Versuchen wurde E-Voting in der Schweiz geprüft, verfeinert und nach und nach immer höheren Sicherheitsanforderungen unterstellt. Grundlegende Konzepte wie die individuelle Verifizierbarkeit, die universelle Verifizierbarkeit sowie die Einführung von unabhängigen Kontrollgruppen bieten einen hohen Schutz vor der Manipulation von Stimmen. Die korrekte Umsetzung dieser Techniken und des zu Grunde liegenden E-Voting Protokolls muss jeweils in separaten Zertifizierungen überprüft werden. Die Implementierung, die Einführung und der Betrieb einer sicheren E-Voting Lösung stellen sehr hohe Anforderungen an das Know-How des Personals sowie die Maturität der Prozesse der beteiligten Organisationen. In der Schweiz erfüllen die Schweizerische Post und der Kanton Genf als Anbieter einer Lösung für die elektronische Stimmabgabe die an ein solches System gestellten Anforderungen.

Christian Folini, Denis Morel

Cyber Defence

Frontmatter
13. NATO: Ein transatlantischer Blick auf die Cybersicherheit

Cyber-Angriffe auf Staaten und deren kritische Infrastrukturen sind schon lange keine Fiktion mehr, sondern Realität. Die vermeintliche Anonymität von Angriffen und die kostengünstigen Möglichkeiten zur asymmetrischen Wirkung haben Cyber-Angriffe im Informationsumfeld zu einem wirkungsvollen Mittel gemacht. Auch die NATO behandelt schon heute den Cyberraum als einen eigenen Operationsraum. Viele Länder haben Cyber-Fähigkeiten in ihren Strukturen abgebildet. Auch die Bundeswehr baut ihren Beitrag im Rahmen der Sicherheitsarchitektur in Deutschland aus, um die Chancen der Digitalisierung zu nutzen, aber auch um den Bedrohungen aus dem Cyber- und Informationsraum zu begegnen.

Dieter Warnecke, Sorin Ducaru
14. Cyber Defence – eine zwingende Notwendigkeit!

Die zunehmende Abstützung aller gesellschaftlichen Bereiche auf vernetzte Informations- und KommunikationstechnologieInformations- und Kommunikationstechnologie (IKT)-Systeme führt zu vitalen Abhängigkeiten von deren Funktionieren. Die Schwachstellen der IKT-Systeme könnten zu Cyber-Angriffen gegen Einzelpersonen, Unternehmen, Behörden und Staaten genutzt werden. Nur eine gemeinsame, gesamtgesellschaftliche Anstrengung und das Setzen eines Bündels von Cyber-Sicherheitsmaßnahmen ermöglichen die Reduktion der Risiken auf ein tolerierbares Ausmaß. Darüber hinaus ist es notwendig, Cyber-Verteidigungsmaßnahmen zur Abwehr großer Angriffe auf die Souveränität Österreichs vorzubereiten.

Walter J. Unger
15. Erfahrungselemente erfolgreicher Strategie-Entwicklung und -Umsetzung im Umgang mit existenziellen Risiken im Cyber-Raum

Best Practices? Ist es überhaupt möglich, den Anderen zu erklären, was richtig ist oder nicht? Die beiden Autoren, jeder mit über 20 Jahren Erfahrung im Bereich von Strategieschöpfungen auf allen Führungsstufen im Bereich Cyber sind der Meinung, dass es die Professionalität des Beraters ist, eine Entität – sei es ein Unternehmen, eine öffentliche Gemeinschaft oder eine Regierung – mittels deren spezifischen Werten, Eigenschaften und Prozessen zu entwickeln und zu betreuen. Dabei handelt es sich prioritär darum Sprache, Kultur und Inhalte der Leistungs- und Systemarchitekturen dieser Entitäten umfassend und präzise zu verstehen. Dies vor allem auch in Bezug auf die Dynamik, Robustheit und Resilienz der vitalen und kritischen Leistungen, welche stark durch digitalisierte Systemkomponenten geprägt werden. Dieser Beitrag verfolgt das Ziel, einige praktische Erfahrungen der Autoren im Umgang mit der Strategieentwicklung und -umsetzung einer integrierten Cyber-SicherheitsarchitekturCyber-Sicherheitsarchitektur zu vermitteln.

Gérald Vernez, Adolf J. Dörig

IT-Industrie (Anwender, Dienstleister und Hersteller)

Frontmatter
16. Vorworte

Digitalisierung ist in aller Munde. Klar ist mittlerweile, dass es sich beim Thema nicht um eine Modeströmung handelt, sondern dass Digitalisierung vielmehr die Grundlage bildet, auf der Wirtschaft, Wissenschaft und Gesellschaft in Zukunft aufbauen. Noch wissen wir nicht im Detail, wie dieser Prozess ablaufen wird, geschweige denn, wo wir in zehn Jahren stehen werden. Prognosen sind aber durchaus möglich: Einzelne Jobs und Geschäftsmodelle werden verschwinden, gleichzeitig werden aber andere, neue geschaffen. Es gibt für uns gute Gründe, positiv in die Zukunft zu schauen. Die Schweiz ist als wettbewerbsfähiges und innovatives Land gut aufgestellt, um die technologischen Veränderungen zu ihrem Vorteil nutzen zu können.

Heinz Karrer, Holger Mühlbauer
17. Was Unternehmen von Staaten lernen können: Cyberstrategieentwicklung

Die Cyberbedrohungen sind in den letzten Jahren stark angestiegen und jeder steht heute im Visier der Täter – Staaten, kritische Infrastrukturen und Unternehmen jeglicher Größe sowie weite Teile der vernetzten Bevölkerung. Je nach Motivation bedienen sich die Täter verschiedener Straftaten wie Cybercrime, Cyberhacktivismus, Cyberspionage oder auch Cybersabotage zur Durchführung des Cyberangriffes. Staaten haben diese Cyberbedrohungen erkannt und von 193 Mitgliedern der International Telecommunication Union (ITU) haben fast die Hälfte bereits Cyberstrategien entwickelt. Die meisten Unternehmen sind noch nicht so soweit. Die Entwicklung einer Cyberstrategie ist der erste Schritt in eine sichere und planbare Zukunft. Simulationsübungen oder auch sogenannte War Games sind eine gute Methode, die technischen und organisatorischen Schwachstellen im Unternehmen zu identifizieren und geeignete Maßnahmen zur Erhöhung der Cybersicherheit zu entwickeln. Die Ergebnisse des War Game dienen auch als Grundlage zur Cyberstrategieentwicklung. In diesem Artikel werden die Methoden und Instrumente des War Game sowie die generischen Schritte zur Cyberstrategieentwicklung beschrieben.

Stefanie Frey
18. Cyberangriffe: Teil des Alltags?

Tägliche Cyberattacken auf Unternehmen und Organisationen, bei denen Daten gestohlen oder die digitalen Infrastrukturen angegriffen werden, gehören bereits heute zu unserem Alltag. Nicht nur Unternehmen, auch Behörden und staatliche Einrichtungen werden Opfer von Wirtschaftsspionage, Sabotage und Datendiebstahl. Aber gerade in der Wirtschaft wird eine große Dunkelziffer darüber vermutet, wie viele Unternehmen tatsächlich Opfer von Hackerangriffen sind. Bitkom führt alle zwei Jahre eine aufwändige Unternehmensbefragung durch, um trotz der undurchsichtigen Lage Licht ins Dunkel zu bringen. Mit der Studie wird nicht nur ein kleiner branchenspezifischer Teil der Industrie abgebildet, sondern die deutsche Gesamtwirtschaft repräsentiert. Wie ist es also um die Sicherheit der Wirtschaft in Deutschland wirklich bestellt? Der folgende Beitrag stellt die zentralen Ergebnisse der Bitkom Wirtschaftsschutzstudie 2017 vor. Dabei beleuchtet er insbesondere folgende Fragen: Welche Unternehmen sind von entsprechenden Vorfällen betroffen? Wer sind die mutmaßlichen Täter? Schützt sich die Wirtschaft ausreichend? Außerdem werden verursachte Schäden benannt und Gründe für die hohe Dunkelziffer identifiziert. Im Rahmen eines Fazits wird ein Ausblick in die Zukunft gewagt sowie Handlungsempfehlungen sowohl für die Wirtschaft als auch für die Politik gegeben.

Teresa Ritter, Marc Bachmann
19. Private and Public Partnership: An Unavoidable Issue

The public-private partnershipPublic-Private Partnership model was not born with the digital revolution. Often presented abstractly as an essential element, it is rarely understood even if the digital revolution gives it all its meaning. This reality had been lived by Christian Aghroum during the last 15 years, while he carried partnership projects both with governments and the private sector or through an academic and associative life, rich of experiences. Based on various concrete examples, this chapter aims to recall the good practices of the public-private partnership; those practices help thankfully to pass from word to act and from the idea to its realization. After a definition of public-private partnership and a study of the progressive decline of the notion of state in Western countries, the author will describe the elements conducive to the recourse of the private sector in a more and more sensitive field, because at the heart of the personal, professional, economic, cultural and social activity of our society. The author will then pragmatically define the means and actions needed to achieve effective partnerships, while advocating the use of common standards and an extension of the number of actors.

Christian Aghroum
20. Best Practices in Cybersecurity from Intergovernmental Discussions and a Private Sector Proposal

This paper comments on the best practice norms presented in the 2015 Report of the UNUN Intergovernmental Group of Experts in the Field of Information and Telecommunications in the Context of International Security (UN document A/70/174) (https://daccess-ods.un.org/access.nsf/GetFile?Open&DS=A/70/174&Lang=E&Type=DOC).In Sect. 20.1, we comment on the best practices outlined in the proposed norms. In Sect. 20.2, we make additional recommendations.

Richard Hill
21. Woher nehmen, wenn nicht stehlen – oder wo haben Sie Ihren CISO her?

CISO werden ist nicht schwer, CISO sein umso mehr. Frei nach diesem Motto durfte ich einigen Unternehmen helfen, die Jung-CISOs bzw. Neu-CISOs dabei zu unterstützen, die CISO Agenda und die (Cyber-) Sicherheitsstrategie aufzubauen. Gerade die Positionierung des CISO als Funktion im Unternehmen spielt dabei eine wesentliche Rolle. CISOs sind normalerweise das Sammelbecken für allerlei technische Problemlagen, um die sich keiner kümmern möchte.

Michael Bartsch
22. Einbindung Datenschutz und Betriebsrat beim Aufbau eines SIEM

Die zunehmende Gefährdung durch professionelle Cyberangriffe erfordert einen Paradigmenwechsel: Ergänzung der Prävention durch DetektionDetektion und Reaktion. SIEM-Systeme („Security Information and Event Management System“), in denen systematisch und umfassend Logdaten zusammenlaufen und ausgewertet werden, sind hierbei unverzichtbar.Vor dem Aufbau eines SIEM gilt es einen umfassenden Abstimmungsprozess mit allen relevanten Bereichen durchzuführen. Hierfür sollte man hinreichend Zeit einplanen. Nicht nur technische Aspekte gilt es beim Aufbau zu berücksichtigen. Immens wichtig sind eine frühzeitige Einbindung von Datenschutz und Betriebsrat sowie ein offener und transparenter Dialog. Abzuwägen ist die Notwendigkeit zur Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten mit dem berechtigten Unternehmensinteresse zur Erkennung und Analyse von Cyberangriffen. Hilfreich hierbei sind klare und enge Zweckbindung der Datenspeicherung, geeignete Löschfristen sowie ein stringent eingeschränkter Kreis der Zugriffsberechtigten.Ein SIEM kann – richtig eingesetzt – Cyberangriffe erkennen und zugleich alle Anforderungen von Datenschutz und Betriebsrat erfüllen.

Matthias Drodt, Ludger Pagel, Thomas Biedorf
23. Divide et Impera: Sicherheit durch Separation

Das bewährte Prinzip der Separation (die Aufteilung eines Systems in Sicherheitsdomänen und Kontrolle der Kommunikation zwischen ihnen) sollte bei der Umsetzung einer Cyber-Sicherheitsstrategie als Best Practice rekursiv auf alle Ebenen eines Informationssystems angewandt werden. Es ist nicht nur für die Abgrenzung von Netzbereichen sinnvoll (z. B. mit Firewalls und VPN-Gateways), sondern auch zur Aufteilung unterschiedlich kritischer Komponenten innerhalb einzelner IT-Systeme – insbesondere solcher, die Sicherheitsfunktionen übernehmen und daher besonders vertrauenswürdig, korrekt und nachvollziehbar gestaltet sein müssen. Das Kapitel stellt das MILS-Konzept als übergreifenden Ansatz zur Entwicklung einer separierten Systemarchitektur vor und gibt einen Überblick über die wichtigsten betriebssystemnahen Mechanismen zu deren Realisierung.

Dirk Loss, Magnus Harlander
24. Die Komplexität der IT-Security meistern

In diesem Beitrag verfolgen wir zuerst die überspitzt formulierte These, ob wir als Gesellschaft zu dumm sind für adäquate IT-Sicherheit, die wie Umweltschutz eine nachhaltige Planung und eine Regulierung mit Fingerspitzengefühl benötigt. Dabei arbeiten wir verschiedene Themen heraus, die dazu führen, dass die IT-Sicherheit immer komplexer wird und als vielköpfige, monsterähnliche Hydra wahrgenommen wird, der nach dem Abschlagen eines Kopfes sofort mehrere nachwachsen. Wir stossen dabei auf viele in der IT-Sicherheit als querschnittliche Disziplin intrinsisch verankerte Problemkreise, die in den folgenden Kapiteln jeweils einzeln adressiert und einer Lösungsmöglichkeit gegenübergestellt werden.So wird zuerst die Möglichkeit einer Sicherheitsarchitektur diskutiert, der Problemkreis des Fachkräftemangels beleuchtet und schliesslich ein Vorschlag erarbeitet, wie – trotz der hohen Komplexität der IT-Sicherheit – Beschaffungsvorgänge mit der einfachen Frage „wie bekomme ich den besten Schutz für mein Geld und welche Folgen für den Betrieb meiner IT Landschaft in kommerziellen und organisatorischen Aufwänden resultieren daraus“. In dem ganzen Beitrag schwingt zwischen den Zeilen mit, dass sich eine demokratische Gesellschaft damit beschäftigen könnte, wie der Schutz, den der Bürger auf der Strasse und die angesiedelten Unternehmen im Wirtschaftsraum geniessen auch für alle Teilnehmer im Cyber-InformationsraumCyber-Informationsraum (kurz CIR) etabliert werden könnte. Aus dieser Betrachtung entsteht ein kurzer Ausflug in das Thema Medienkompetenz und ein Vorschlag, wie eine auf drei Säulen basierende Informationsaustauschplattform die Gesamtsicherheit deutlich verbessern könnte und welche Herausforderungen dabei noch in der Forschung gelöst werden müssten.

Ramon Mörl
25. Progressing Towards a Prescriptive Approach on Cyber Security – Adopting Best Practices and Leverage Technical Innovation

Buzzwords like artificial intelligenceArtificial Intelligence (AI), big dataBig Data analytics, predictive operations support and cyber threat intelligenceThreat Intelligence emerged over the last years, being appraised as game changers. Several evangelists and vendors are still claiming to “solve” the Cyber Security challenge by those. This article compiles some thoughts about influential factors, critical success factors as well as lessons learned from other domains and conceptual limits of feasibility when taking the endeavor to implement and leverage the next level of Cyber Security operational capabilities. The article seizes some thought leadership and concepts promoted by the Atos Scientific Community embracing the insights and experience of the author towards making new methods and technologies actionable – comprehensibly and result driven.

Jörg Eschweiler
26. Increasing the Efficiency of Security Analysts

Security monitoring and analytics are widely deployed technologies supporting enterprises to cope with the multitude of security challenges they are facing. The proliferation of methods and techniques demands a systematic approach to cover the various aspects of security monitoring and analytics. Security 360° is both a comprehensive operational security model integrating the many aspects of security monitoring and analytics as well as a vision for bringing security to the next level of quality. It represents a contextual, cognitive, and adaptive approach for protecting enterprises’ mission-critical assets. Security technology is steadily evolving by making use of advances in related fields. Cognitive systems possess the potential to further improve the detection capability of today’s security systems. Based on a specific realization of a cognitive security system, we demonstrate how cognitive technology eases the work of security analysts and increases their efficiency.

Alain Gut, Andreas Wespi
27. Intelligence and Cyber Threat Management
Applying Foresight and Analytical Techniques to Mitigate Cyber Risks

In a world where technology advancements are only outpaced by the growth of the attack surface we are trying to defend, the use of the intelligence cycle and its associated techniques is of primordial importance to safeguard both the public and private sector in the virtual world. This chapter focuses on how to build a coherent strategy to implement and leverage an apparatus that has proven invaluable many times over to governments when ensuring national securitySecurity and sustaining economic growth in the physical world.

Martin Dion
28. Die digitale Transformation

Der Handlungsbedarf bei der Umsetzung von Compliance-Anforderungen wächst unaufhaltsam, nicht zuletzt getrieben durch die fortschreitende Verlagerung von Geschäftsprozessen und Workflows in die digitale Welt. Die digitale Transformation und der damit einhergehende verstärkte Einsatz von Cloud-Lösungen hat nicht nur Auswirkungen auf Geschäftsprozesse, die Einbindung von Mitarbeitern oder das Verhältnis zu Kunden, sondern bringt eine Dynamik ins Spiel, die die Erfüllung von Compliance-Anforderungen vor neue Herausforderungen stellt.

Michael Kranawetter
29. Moderne digitale Kooperationen und Verbundkonzepte mit sensiblen Daten

Kooperation und Zusammenarbeit innerhalb und zwischen Behörden auf Bundes-, Landes- und kommunaler Ebene sind wichtige Aspekte des täglichen Behördenlebens. Digitale Prozesse erfordern vertrauliche Grundprinzipien und sichere Architekturen, wenn es um den Austausch von Dokumenten geht, die als VS-NfD oder sogar GEHEIM gekennzeichnet sind. Der behördliche Alltag zeigt, dass fehlende sichere digitale Raumstrukturen dem klassischen, d. h. dem papierbezogenen Weg, immer noch den Vorzug geben. Der Beitrag führt systematisch in die Kernkonzepte vertrauenswürdiger digitaler Kooperationen ein. Im Mittelpunkt stehen qualifizierende Prinzipien, sodass Informationsprozesse mit hohen Ansprüchen an Vertraulichkeit und einer zugesicherten Nachweisführung umsetzbar werden. Eine koordinierte Zusammenarbeit ist eng verknüpft mit der Thematik einer hoheitlichen normativen Verhaltenssteuerung. Das vorgestellte Prinzip abgegrenzter, jedoch bedarfsgerecht integrierbarer digitaler Raumstrukturen gewährleistet eine hohe kooperative Dynamik.

Jörg Kebbedies
30. Mehr Cyber-Sicherheit geht uns alle an

Rasch denkt man an Science-Fiction-Filme, Roboter und Computer, die allgegenwärtig erscheinen, sowie an Bösewichte, die listig und gewaltsam ihre Macht ausbreiten und alles kontrollieren wollen. Diese großteils der Fantasie entsprungenen Geschichten dienen vor allem der Unterhaltung, in der Realität sieht die Welt zwar viel nüchterner, aber nicht einfacher aus. Wenn Fachleute vom Begriff „Cyber“ reden, dann meinen sie eine Vielzahl von informationsverarbeitenden Maschinen, die untereinander direkt oder indirekt kommunizieren können. In diesem Artikel werde die Cyber-Herausforderungen sowie Cyber-Sicherheit bei A1 und Konsument dargestellt.

Wolfgang Schwabl
31. Cyber-Sicherheits-Check

Eine spannende Frage ist und bleibt, warum Unternehmen für Cybersicherheit motiviert werden. Bei vielen Unternehmen ist Compliance eine große Triebfeder. Sie werden zum Beispiel durch gesetzliche Vorgaben gezwungen, sich an Standards zu halten. Für andere Unternehmen wiederum gelten Vorgaben ihrer Großkunden in der Lieferkette. Auch hier wird die Einhaltung spezifischer Standards meist erzwungen. Wie ist es jedoch bei Unternehmen, die keine konkreten Vorgaben haben? Diese haben häufig kein Informationssicherheitsmanagementsystem (ISMS) vorzuweisen. Sie kennen den Zustand ihrer Cybersicherheit nicht. Meist aufgeschreckt durch Presseberichte oder gar Ereignisse im eigenen Haus rufen diese Unternehmen und Organisationen bei einem Berater an. Häufig haben die Unternehmer oder deren IT-Leiter (ein IT-Sicherheitsbeauftragter oder gar Informationssicherheitsbeauftragter ist dort sehr selten zu finden) bereits von Penetrationstests gehört. Für die Fragestellung „wie sicher bin ich denn eigentlich?“ ist ein Penetrationstest jedoch denkbar ungeeignet. Insbesondere bei Unternehmen, die über ihre Prozesse nicht Bescheid wissen. Alternativ wäre ein Audit nach zum Beispiel ISO 27001 oder gar BSI-GrundschutzBSI-Grundschutz denkbar. Allerdings würden diese Audits allein schon an fehlenden formalen Dokumenten scheitern. Eine Aussage zur Cyber-Sicherheit ist auch hier nicht von einem durchaus umfänglichen Projekt zu erwarten. Einen pragmatischen Ansatz für Unternehmen ohne definierte Sicherheitsprozesse nach einem spezifischen Standard bietet der „Cyber-Sicherheits-Check“.

Tobias Glemser
32. IT-Sicherheit in Industrienetzen – IoT und IIoT

In Zeiten von Industrie 4.0, „Internet of Things (IoT)“ und einer zunehmenden Internetvernetzung von Industriesystemen bieten sich natürlich für Hacker neue Möglichkeiten, Industrienetzwerke direkt aus dem Internet anzugreifen. Im Folgenden gehen wir jedoch davon aus, dass das Zielunternehmen seine kritischen Systeme gut gesichert und deshalb nicht direkt an das Internet angeschlossen hat. Da wir in unserer Tätigkeit schon viele Industrieunternehmen aus diversen Branchen (Automation, Energie, Fertigung, Chemische Industrie etc.) auf Sicherheitslücken in ihrer Unternehmensinfrastruktur untersucht haben, ist uns etwas aufgefallen: Die gleichen Angriffsmuster und Angriffsmöglichkeiten ergeben sich immer wieder, selbst, wenn das Unternehmen keine direkt aus dem Internet erreichbaren Industriesysteme besitzt. Die fast immer gleiche Angriffsmethodik wollen wir hier grob skizzieren. Die Auswirkungen solcher und ähnlich erfolgter Angriffe hängen natürlich stark von der kontrollierten Umgebung, dem Industriesektor und weiteren physischen Schutzmaßnahmen des Unternehmens ab. Sie können jedoch von der Zerstörung einzelner Maschinen über den Know-how-Diebstahl bis hin zur Destabilisierung von ganzen Ländern durch die Zerstörung kritischer Infrastrukturen führen. Das gefährliche bei Industriesteuerungen ist grundsätzlich, dass durch mechanische Komponenten immer auch Menschen zu Schaden kommen können.

Sascha Herzog
33. Cyber Governance: Knowing and Doing What’s Important for making Smart Cities resilient

CYBER GOVERNANCE should be regarded as the implicit steering level of all of the CYBER activities. It sets principles and legal baselines and enforces them, respectively, by the power of convincingGovernance through guidelines, standards, and procedures to be followed.Since CYBER GOVERNANCE has its own scope and definition per industry or even organizations, it’s up to you to declare accountability and responsibility for certain ICT problems.We will have a look at the ingredients of a proper CYBER GOVERNANCE, and you get aware of traps and errors the author experienced in order to reach a working CYBER GOVERNANCE.At the end we will have a look at the diesel engine of CYBER GOVERNANCE, the cyber security management system, which serves as the melting pot of all relevant information of CYBER.

Lars Minth
34. How Blockchain Will Change Cybersecurity Practices

While the entire business world is trying to make sense of the ascent of cryptocurrencies, BitcoinBitcoin being the forefront, the promise of Blockchain’s distributed open ledger format to be an “unhackable” network able to record and verify dataData transactions without typical third-party validation holds theCybersecuritySecuritypotential to change the cybersecurity practice long before its promise to change the way value is exchanged over the Internet. Globally, sophisticated cyberattacks are compromising organizations at an unprecedented rate and with devastating consequences. Today’s hackers are motivated by a wide range of objectives that include financial gain, industrial espionage, cyberwarfare, and terrorism. The Blockchain not only has a place in cryptocurrency exchanges but could also be used to improve security solutions, this article claims. By itself Blockchain provides little in terms of threat detection and defense, but its strength comes from creating an infrastructure trusted by all transaction participants, decentralized by nature. Blockchain builds more transparent and decentralized systems that offer event tracking and cryptographyCryptography: threats can be tracked and dealt with before they spread.Can Blockchain deliver on its promise? The potential is clear. Blockchain technology could constantly check and validate data communication flow with no single point of failure and offload authentication to a decentralized layer of security.

Claudio Di Salvo
35. Worst Case Cyberkrise: Es ist keine Frage ob, sondern wann

Die Anhäufung der Überschriften „Ransomware verhindert Operationen, Millionen von KundendatenKundendaten wurden veröffentlicht, die Produktion stand für Wochen still, Neuinstallation von 3000 Servern in 5 Tagen, durch DataleakDataleak Verlust des Aktienwertes, Kühlschränke legen das Internet lahm“ macht deutlich, es kann trotz fortschrittlicher Sicherheitsarchitektur jederzeit zu einer (Cyber-)Krise kommen. In diesem Kapitel werden keine konkreten Maßnahmen oder wiederverwendbare Rezepte vorgestellt. Um die eigene Vorbereitung oder Sichtweise zu diesem Thema zu reflektieren, werden Impulse gegeben und ausgewählte Zusammenhänge aufgezeigt.

Axel Allerkamp
36. Being More Effective Through Information Sharing and Cooperation

Often there is great reluctance to share information about security issues. This chapter looks at the different types of professional events currently being organised and how they can be used to learn, exchange best practices and lead to optimisation of protection against, and reaction to, cyber threats.Executives with responsibility for cybersecurityCybersecurityCooperationdo not need to be told by anybody else that they have a challenging role to play. Organisations are becoming increasingly dependent on dataData and information systems, and the volume of data is ever growing. Data has a value and therefore is an attractive target for competitors and cyber criminals. Cyberattacks are growing in volume, in frequency and in sophistication, and organisations both large and small are already targets. The challenges will get bigger rather than diminish. It is a race to keep one step ahead and to be able to recognise a cyber threat, to prevent a cyberattack and to repair the damage after the cyberattack and not forgetting having to work within allocated (i.e. limited) budgets.To optimise cybersecurityCybersecurity effectiveness in these circumstances, an executive that has responsibility for cybersecurity (CISO) Chief Information Secuirty Officer (CISO)needs to be equipped with the best available information and tools to do the job. To do this, means benefiting from the experience of others and especially from those outside one’s own organisation. As soon as the term “security” is mentioned, there is often a reluctance to talk about one’s own issues with external people. However, the sharing of information, intelligently and for very selfish reasons, should be encouraged.

Michael Weatherseed

Forschung und Lehre

Frontmatter
37. Cybersecurity Capacity Building: A Swiss Approach

SecurityFor states andCybersecurity societies to increase international cyber-realm stability, they must first develop capacities to recognize the relevant risksRisk. The relation between capacity building and cybersecurity has been recognized by a wide range of international organizations and states. This article aims to illustrate the Swiss approach to increasing global cyberspaceCyberspace stability, at the core of which lies the Geneva Internet Platform (GIP)Geneva Internet Platform. The use of the GIP quickly emerged as a best practice to empower both states and non-state actors to acquire the requisite skills and knowledge to comprehend and participate in global digital debates. While the GIP is certainly a success, the authors argue that it is not enough to address challenges such as cybercrime, dataData breaches, and malicious operations targeting critical infrastructures. SwitzerlandSwitzerland needs a comprehensive, harmonized capacity building program rather than a patchwork of related activities.

Laura Crespo, Bastien Wanner, Solange Ghernaouti
38. Research and Education as Key Success Factors for Developing a Cybersecurity Culture

The development and deployment of a cybersecurityCybersecuritySecurityculture and best practices among all stakeholders are a crucial issue for the information society. Based on two innovative initiatives in the field of education and research issued by the University of Lausanne, this chapter points out mains stakes, challenges and constraints encountered by research activities in the field of cybersecurity and the fight against cybercrimeCybercrime, to improve skills, competences and measures that will contribute to obtain an effective cybersecurity culture.

Solange Ghernaouti, Bastien Wanner
39. Eine vertrauenswürdige Zusammenarbeit mit Hilfe der Blockchain-Technologie

Die „Blockchain“ ist eine spannende und faszinierende IT-Technologie, die das Potenzial hat, Politik, Verwaltung und Wirtschaftszweige gewaltig auf den Kopf zu stellen. Die Blockchain-TechnologieBlockchain-Technologie ist eine Querschnittstechnologie mit hohem disruptiven Potenzial für viele Wirtschaftsbereiche. Die Blockchain-basierten Systeme könnten in vielen Bereichen zentrale Instanzen ablösen, wie Banken, Notare oder Treuhänder. Das ist möglich, weil die Validierungsalgorithmen der Blockchain-Technologie ganz ohne solche Intermediäre die Vertrauenswürdigkeit der aufgezeichneten Transaktionsdaten garantieren. In der Zukunft werden zunehmend sogenannte Smart Contracts im Rahmen der Blockchain-Technologie umgesetzt, die eine vorprogrammierte, selbstausführende Vertragsabwicklung möglich machen. Die Blockchain-Technologie wird unsere IT-Systeme im Laufe der Digitalisierung effektiver und sicherer machen. Damit neue Geschäftsideen mit der Blockchain-Technologie positiv gestaltet werden können, soll dieser Artikel helfen, die komplizierte Technologie besser zu verstehen und mit Hilfe von Anwendungsfällen die Nutzungsmöglichkeiten aufzuzeigen.

Norbert Pohlmann
40. Cybersecurity for Everyone

The rapid development of cyberspace in the recent two decades has introduced the new term cybersecurity as a follow-up of information security or IT security. Despite the rapid adoption of this new term, there exists a lot of confusion about its precise meaning, while – due the societal importance of it – there is a high need for a common understanding of what cybersecurity entails. This paper discusses a new framework of thinking where (i) cyberspace is being defined as the space of cyber activities (i.e., IT-enabled activities) and (ii) cybersecurity as the multidisciplinary (cyber) risk management challenge of securing cyberspace. As is argued, this new holistic conceptualization enables a common understanding and participation of all stakeholders in the current cybersecurity challenge.

Jan van den Berg
41. Learning from the Past: Designing Secure Network Protocols

Network protocols define how networked computer systems exchange dataData. As they define all aspects of this communication, the way they are designed is also security sensitive. If communication is supposed to be encrypted, this has to be outlined in the protocol’s specification. If services implementing the protocol should allow for authentication, this has to be defined in the protocol. Hence, the way a protocol is designed is elemental for the security of systems later implementing it. Security by designSecurity by Design starts with the protocol definition. Especially in today’s fast-moving environment, with cloud services and the Internet of ThingsInternetof Things (IoT), engineers constantly have to develop new protocols. In this chapter, we derive guidelines for designing new protocols securely, as well as recommendations on how existing protocols can be adjusted to become more secure. We base these recommendations on our analysis of how – historical – protocols were designed and which underlying design decisions made their corresponding implementations susceptible to security issues.

Tobias Fiebig, Franziska Lichtblau, Florian Streibelt, Thorben Krüger, Pieter Lexis, Randy Bush, Anja Feldmann
42. National Cybersecurity Legislation: Is There a Magic Formula?

Cybersecurity has, without doubt, become a global issue. There is hardly a State that has not experienced a cyberattack, disruption of national or corporate networks, loss of dataData, or various forms of cybercrimeCybercrime. Moreover, with the deepening and widening penetration of information and communication technologies (ICTs) penetrating in the society, there is an element of “cyber” to every crime, conflict and civilCivil unrest.To this global problem, not all fixes need, or can, be international. Alongside the heavily debated status and scope of international law and regional coordination of confidence-building measures, the key to international, and national, cybersecurity lies with individual States.Research on comprehensive national cybersecurity legislation has been less prominent than the scholarship on above-mentioned international law discourse or national cybersecurity strategies. Current research focuses mostly on individual jurisdictions and limited issue areas. As “cyber” has become a new dimension in all societal affairs, a comprehensive approach to developing national cybersecurity regulation requires due attention by not just national policy-makers but the legislature and judiciary alike.

Eneken Tikk
Backmatter
Metadata
Title
Cybersecurity Best Practices
Editors
Michael Bartsch
Dr. Stefanie Frey
Copyright Year
2018
Electronic ISBN
978-3-658-21655-9
Print ISBN
978-3-658-21654-2
DOI
https://doi.org/10.1007/978-3-658-21655-9

Premium Partner