ORDIX blog
7 Minuten Lesezeit (1368 Worte)

Die Zukunft, aber sicher! – Wie BSI und CIS Unternehmen in einer digitalen Welt schützen und stärken

In einer Welt, in der die digitale Vernetzung rasant voranschreitet, wird das Thema Cyber-Sicherheit in Deutschland immer bedeutsamer. Die Verwundbarkeit gegenüber Cyber-Bedrohungen nimmt zu und es ist von entscheidender Bedeutung, effektive Schutzmaßnahmen zu implementieren. In diesem Blogbeitrag werfen wir einen Blick darauf, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Center for Internet Security (CIS) in dieser digitalen Landschaft eine Schutz- und Stärkungsfunktion übernehmen. Erfahren Sie, wie sie Standards und Zertifizierungen nutzen, um Unternehmen in einer Welt voller Herausforderungen sicherer zu machen. Lesen Sie weiter, um zu verstehen, wie diese Organisationen einen Beitrag leisten, um die digitale Zukunft sicherer zu gestalten.

Die fortschreitende Digitalisierung hat viele Bereiche unseres Lebens grundlegend verändert. Online-Banking, Smart Homes, E-Government und die zunehmende Vernetzung von Unternehmen haben viele Vorteile gebracht, aber auch neue Risiken geschaffen. Cyber-Angriffe sind zu einer allgegenwärtigen Bedrohung geworden, die nicht nur Unternehmen, sondern auch individuelle Bürger betrifft. Die Cyber-Sicherheit ist daher ein zentrales Anliegen. In der aktuellen IT-Landschaft Deutschlands findet eine konstante Veränderung statt, die von einer fortwährenden Interaktion zwischen Sicherheitsexperten und Angreifern geprägt ist. Dies bedeutet, dass Sicherheitsexperten ständig daran arbeiten, die Sicherheitsmaßnahmen zu stärken und auf neue Bedrohungen zu reagieren, während gleichzeitig Angreifer fortlaufend versuchen, Schwachstellen zu identifizieren und zu nutzen. Diese dynamische Beziehung fordert eine kontinuierliche Anpassung und Innovation, um die Integrität und Sicherheit der IT-Systeme zu gewährleisten. Cyber-Kriminalität hat in den letzten Jahren zugenommen und die Angriffe werden immer raffinierter.

Vorstellung: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine Bundesoberbehörde, die dem Geschäftsbereich des Bundesministeriums des Innern, für Bau und Heimat unterstellt ist. Es fungiert als zentraler Ansprechpartner für sämtliche Angelegenheiten der IT-Sicherheit in Deutschland. Gegründet wurde das BSI im Jahr 1991. Seit seiner Gründung veröffentlicht es Standards, welche Methoden, Prozesse und Empfehlungen beinhalten. Unternehmen und Privatpersonen haben die Möglichkeit, sich an diesen Standards zu orientieren, um ihre Geschäftsprozesse und Daten sicherer zu gestalten. Eine Zertifizierung gemäß ISO-Normen ist möglich. 

Aufgaben des BSI

Das BSI verfolgt das Ziel, die IT-Sicherheit in der Gesellschaft zu gewährleisten und zu fördern. Die Relevanz von IT-Sicherheit im öffentlichen und privaten Sektor in den Fokus zu rücken und die Unterstützung des eigenverantwortlichen Handelns der betroffenen Akteure zu unterstützen, ist eine zentrale Aufgabe des BSI.

Es werden praxisorientierte Mindeststandards und Handlungsempfehlungen in den Bereichen IT- und Internet-Security veröffentlicht. Anwender von spezifischen Produkten sollen in Bezug auf Gefahren sensibilisiert werden, um so ein Mindestmaß an Sicherheit zu gewährleisten. Zudem warnt das BSI vor aktuellen Bedrohungen (Exploits) und gibt entsprechende Empfehlungen ab.

Eine weitere Aufgabe des BSI besteht darin, die IT-Systeme des Bundes zu schützen. Dies umfasst die Abwehr von Viren, Trojanern und anderen technischen Bedrohungen gegen die IT-Architekturen der Bundesverwaltung.

Das BSI-Grundschutz-Kompendium

Das IT-Grundschutz-Kompendium ist eine wesentliche Quelle für alle, die sich mit Informationssicherheit beschäftigen. Die aktuelle Ausgabe, veröffentlicht in der Edition 2023 (PDF), bietet umfassende Einblicke in mögliche Bedrohungen und erörtert gleichzeitig wichtige Sicherheitsanforderungen. Die Verbesserung der Entwürfe wird durch den Austausch mit Anwendern über eine Kommentarfunktion unterstützt. 

Formulierungskriterien

Anforderungen werden mithilfe von Modalverben ausgedrückt, um ein besseres Verständnis dafür zu entwickeln.

MUSS/DARF NUR:

Diese Formulierung kennzeichnet uneingeschränkte Anforderungen, für die keine Risikoübernahme möglich ist.

DARF NICHT/DARF KEIN:

Hierbei handelt es sich um ein uneingeschränktes Verbot.

SOLLTE:

Die Verwendung dieses Ausdrucks bedeutet, dass eine Anforderung normalerweise erfüllt werden muss. Es kann jedoch Gründe geben, dies nicht zu tun.

SOLLTE NICHT/SOLLTE KEIN:

Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden sollte. Es kann Gründe dafür geben, es doch zu tun.

Das folgende Beispiel für eine Systemsicherung einer Datenbank erklärt diese Art der Anforderungsbeschreibung:

„Es MÜSSEN regelmäßig Systemsicherungen des DBMS und der Daten durchgeführt werden. Auch bevor eine Datenbank neu erzeugt wird, MUSS das Datenbanksystem gesichert werden.“

(Vgl. APP_4_3_Relationale_Datenbanksysteme_Edition_2023.pdf, 2023)

Das BSI beschreibt die Anforderungen sehr abstrakt. Die Anforderungen sind technologieneutral formuliert. Das erlaubt einen großen Handlungsspielraum und kann auf verschiedenen Datenbanksystemen technologisch unterschiedlich umgesetzt werden.

Link zum Dokument

Vorstellung Center for Internet Security (CIS)

Aufgaben und Ziele

Ziel des CIS ist es, Standards und Richtlinien im Bereich der Cyber-Sicherheit zu veröffentlichen und aufzuzeigen. Unternehmen sowie Einzelpersonen sollen durch diese Richtlinien bei der Abwehr von IT-Bedrohungen unterstützt werden. CIS veröffentlicht Dokumente in Form von Benchmarks, die jeweils für verschiedene Versionen oder Releases eines Produkts erstellt werden. Sie zeigen den jeweiligen Angriffsvektor, Prüfszenarien und Lösungsvorschläge auf. Die Dokumente vertiefen technisch die Thematik und geben Aufschluss darüber, welche Einstellungen ausgewählt, deaktiviert oder konfiguriert werden sollten. 

Auszug CIS Oracle Database 19c Benchmark

Dieser Ausschnitt wurde für die Konsistenz von Englisch auf Deutsch übersetzt. Zunächst wird in der Beschreibung erklärt, welche Funktion der Parameter erfüllt.

Beschreibung:

Die Einstellung FAILED_LOGIN_ATTEMPTS bestimmt, wie viele fehlgeschlagene Anmeldeversuche erlaubt sind, bevor das System das Konto des Benutzers sperrt.

Auswirkungen und Gründe, warum der Profilparameter eingeschränkt werden sollte und wie Angreifer die Nichtbeachtung der Empfehlung ausnutzen könnten, werden dargestellt.

Ein Code, der zur Prüfung der vorliegenden Einstellungen verwendet werden kann, wird dediziert angegeben. 

SELECT P.PROFILE, P.RESOURCE_NAME, P.LIMIT,  
DECODE (P.CON_ID,0,(SELECT NAME FROM V$DATABASE),  
                                   1,(SELECT NAME FROM V$DATABASE), 
                                      (SELECT NAME FROM V$PDBS B 
                                WHERE P.CON_ID = B.CON_ID)) DATABASE 
                                          FROM CDB_PROFILES  
WHERE TO_NUMBER(DECODE(P.LIMIT, 
'DEFAULT',(SELECT DECODE(LIMIT,'UNLIMITED',9999,LIMIT) 
FROM CDB_PROFILE 
WHERE PROFILE='DEFAULT' 
AND RESOURCE_NAME='FAILED_LOGIN_ATTEMPTS' 
AND CON_ID = P.CON_ID), 
'UNLIMITED','9999',P.LIMIT)) > 5 
AND P.RESOURCE_NAME = 'FAILED_LOGIN_ATTEMPTS' 
AND EXISTS ( SELECT 'X' FROM CDB_USERS U WHERE U.PROFILE = P.PROFILE ) 
ORDER BY CON_ID, PROFILE, RESOURCE_NAME;

Ein Code-Fragment, welches die Sicherheitseinstellung gemäß den CIS-Anforderungen umsetzt, wird beschrieben. 

ALTER PROFILE <profile_name> LIMIT FAILED_LOGIN_ATTEMPTS 5; 
 

(Vgl. IS_Oracle_Database_19c_Benchmark_v1_0_0.pdf, 2020)
Link zur Oracle Security Benchmark

Zusammengefasst verfolgt das CIS vielfältige Ziele:

  • Es entwickelt bewährte Benchmarks
  • Es bietet Schulungen und Zertifizierungen für Fachleute an
  • Es gibt zeitnahe Bedrohungswarnungen heraus
  • Es führt Sicherheitsbewertungen durch

Darüber hinaus stellt das CIS wertvolle und kostenlose Sicherheitssoftware und -tools zur Verfügung.

(vgl. CIS_Oracle_Database_19c_Benchmark_v1_0_0.pdf, 2020) 

Die Lage der IT-Sicherheit in Deutschland

Im aktuellen IT-Sicherheitsbericht von 2023, veröffentlicht vom Bundesamt für Sicherheit in der Informationstechnik (BSI), rückt nicht nur die Analyse gegenwärtiger Bedrohungen in den Fokus, sondern auch zukünftige Schutzmaßnahmen auf EU-Ebene. Die Europäische Union beabsichtigt, verbindliche Standards einzuführen, um kritische Infrastrukturen vor sowohl Cyber- als auch physischen Bedrohungen zu schützen, wie beispielsweise Sabotageakten, physischen Angriffen auf Serverräume oder den Diebstahl von Hardware. Diese harmonisierten Vorgaben sollen eine einheitliche und koordinierte Herangehensweise an die Cyber-Sicherheit in der gesamten EU gewährleisten.

Die Maßnahmen sollen sicherstellen, dass Unternehmen und Organisationen, insbesondere jene, die als wichtige, besonders wichtige oder kritische Einrichtungen gelten, angemessene Schutzvorkehrungen implementieren. Der Bericht betont somit nicht nur die aktuelle Gefahrenlage, sondern legt auch einen klaren Fokus auf proaktive Maßnahmen zur langfristigen Sicherung kritischer Infrastrukturen.

(Vgl. Lagebericht2023.pdf, 2023)

Auszug aus dem Dokument:

Im Kontext des russischen Angriffskriegs gegen die Ukraine kam es im Berichtszeitraum zu einer Reihe prorussischer Hacktivismus-Angriffe in Deutschland. Die Hacktivistengruppen verwendeten dafür ausschließlich Distributed-Denial-of-Service-Angriffe (DDoS-Angriffe), die vornehmlich auf die Verfügbarkeit von Internetdiensten zielen und keinen nachhaltigen Schaden bewirken können, wie etwa Ransomware-Angriffe. 

Link dazu

Welchen Mehrwert hat eine BSI-Zertifizierung für Unternehmen?

Ein zertifiziertes Unternehmen hat Sicherheitsstandards und -praktiken etabliert und implementiert. Besserer Schutz vor Cyber-Angriffen, Datenverletzungen und anderen Sicherheitsrisiken sind das Ergebnis. Dieser Nachweis trägt dazu bei, das Vertrauen, die Glaubwürdigkeit und das Ansehen des Unternehmens in der Öffentlichkeit zu stärken. Kunden, Partner und Stakeholder erkennen, dass die Sicherheit digitaler Vermögenswerte höchste Priorität genießt. 

Fazit

Die Cyber-Sicherheit wird in einer zunehmend digital vernetzten Welt immer wichtiger. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Center for Internet Security (CIS) spielen entscheidende Rollen bei der Abwehr von Cyber-Bedrohungen und der Förderung von Innovationen. Ihre Arbeit trägt dazu bei, die digitale Zukunft sicherer und widerstandsfähiger zu gestalten. Die Zertifizierungen des BSI und des CIS bieten Unternehmen Schutz, Effizienz und internationale Anerkennung. In einer Zeit, in der unsere Gesellschaft zunehmend von einer sicheren digitalen Umgebung abhängt, sind Investitionen in Sicherheitsvorkehrungen von entscheidender Bedeutung.

Wenn Sie Interesse am Thema Cyber-Sicherheit haben, zögern Sie nicht, uns zu kontaktieren. Unsere IT-Security-Experten stehen Ihnen gerne zur Verfügung. Darüber hinaus bieten wir auch Seminare zu diesem Thema an, die Sie unter folgendem Link finden:

Seminarempfehlung

Denis Kantorek
Alle Beiträge anzeigen
Denis Kantorek hat noch keine Informationen über sich angegeben
Markiert in:
IT-Security
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Montag, 29. April 2024

Sicherheitscode (Captcha)

×
Informiert bleiben!

Bei Updates im Blog, informieren wir per E-Mail.

Weitere Artikel in der Kategorie

SSH Key Signing
SSH Key Signing
Weiterlesen...
Wie schütze ich meine Backups vor einer Ransomware-Attacke am Beispiel Dell EMC Data Domain Retention Lock
Wie schütze ich meine Backups vor einer Ransomware-Attacke am Beispiel Dell EMC Data Domain Retention Lock
Weiterlesen...
Open Policy Agent – Policy as Code?
Open Policy Agent – Policy as Code?
Weiterlesen...