Beim Rückblick auf das Jahr 2021, das sich nun mit großen Schritten dem Ende neigt, beschleicht einen der Eindruck, dass es nur noch schwierige Themen gibt, allen voran natürlich die Corona-Pandemie. Aber die soll hier nicht das Thema sein. Vielmehr wollen wir einen Blick auf die Ereignisse werfen, die uns in diesem Jahr bewegt haben und das waren durchaus interessante Herausforderungen. Doch auch wir können uns des Eindruckes nicht erwehren, dass es sich irgendwie schwieriger, anstrengender und auch belastender angefühlt hat.
Der Exchange-Vorfall
Der März begann mit mehreren Zero-Day-Exploits, die für den Angriff auf On-Premise-Versionen von Microsoft Exchange Server verwendet wurden. Diese Exploits veranlassten Microsoft am 3.3.2021 dazu, außerplanmäßige Sicherheitsupdates zu veröffentlichen. Schnell zeichnete sich eine weltweite Angriffswelle ab, die uns in die Situation versetzte, die Überprüfungen unserer Kunden-Infrastrukturen als Sicherheitsvorfälle anzusehen und strukturiert abzuarbeiten. Als Resultat haben wir zur Verbesserung der Informationssicherheit gezielt auf Netzwerksensoren gesetzt, die verdächtige Kommunikation in Echtzeit feststellen können. Zusätzlich haben wir vermehrt Schwachstellenscans zur Überprüfung und Minimierung der Angriffsfläche durchgeführt. Auch die folgenden Monate beschäftigte uns der Microsoft Exchange Server immer wieder mit Schwachstellen und weiteren Sicherheitsupdates, was häufig zu außerplanmäßigen Einsätzen unserer Administratoren führte.
Nervenzentrale ISMS
Das Thema Informationssicherheit rückte dabei immer mehr in den Fokus. Mit jedem weiteren Angriff und jedem weiteren Sicherheitsvorfall wurde die Notwendigkeit nach zentral strukturierter und organisierter Informationssicherheit in Unternehmen und bei den Geschäftsführungen immer deutlicher. Häufig fehlt es an Prozessen für ein standardisiertes Vorgehen, welches in diesen Fällen besonders wichtig ist. In den vielen Beratungsgesprächen mussten wir allerdings Kunden immer wieder davon überzeugen, dass Informationssicherheit keine einmalige Investition, sondern ein fortlaufender Prozess ist, den es gilt – ähnlich wie den Brandschutz – als selbstverständlich anzusehen und umzusetzen.
Planen.Entscheiden.Umsetzen.
Eine Hilfestellung zur Orientierung für unsere Kunden war uns dabei besonders wichtig. Die Ereignisse im Jahr 2021 haben die Bedeutung und das Interesse am Thema Informationssicherheitsmanagementsystem (ISMS) deutlich gemacht. Mit unserer Online-Konferenz “Mit #Sicherheit in die Zukunft … Planen.Entscheiden.Umsetzen.” haben wir einen Beitrag zum “European Cyber Security Month” (#ECSM) des BSI geleistet und unseren Kunden wertvolle Tipps gegeben.
Ziel war es, Unternehmern die Angst vor der gefühlt großen “Hürde ISMS” zu nehmen. In Vorträgen konnten wir deutlich machen, dass es auf das richtige Managementsystem ankommt und ein ISMS nach VdS Richtlinie 10000 Unternehmen weder organisatorisch noch finanziell überfordert und gezielt für die Verbesserung der Sicherheit sorgt.
“Wenn technische und organisatorische Maßnahmen etabliert sind, gilt es die Mitarbeiter ins Boot zu holen”, sagte Tobias Günther, Sicherheitsberater im Systemhaus SAR in seinem Vortrag. Gezielte Aufklärungsarbeit bei den Mitarbeitern ist unerlässlich. Regelmäßig und in kleinen Intervallen umgesetzt, stellen sich schnell und zuverlässig Erfolge ein.
Mit unserem strategischen Partner, P.E.G. Einkaufs- und Betriebsgenossenschaft eG, haben wir zudem an drei Terminen in Online-Veranstaltungen informiert und gezielt die Möglichkeiten der VdS Richtlinie 10000 erläutert. Denn zum 1.1.2022 ergeben sich Neuerungen für Krankenhäuser und Kliniken. Diese werden in die Pflicht genommen, ein gelebtes ISMS vorzuweisen. Fördermittel durch das Krankenhauszukunftsgesetz (KHZG) wurden durch den Bund bereitgestellt. Mögliche Fallstricke im Vergaberecht und in der Zuteilung gilt es zu berücksichtigen.
2021 – das Fazit
Alle hatten wir auf etwas mehr Normalität gehofft. Die aktuelle Schwachstelle in der Java-Bibliothek log4j zeigt erneut die Verwundbarkeit in unserer digitalisierten und vernetzten Welt. In unklaren Zeiten ist es umso wichtiger einen Masterplan in der Hand zu haben. Die Wichtigkeit von organisierter Sicherheit wird erneut mehr als deutlich. Leider müssen wir noch immer feststellen, dass Geschäftsführer Sicherheit noch nicht zur Chefsache gemacht haben. Wir werden aber nicht müde, bis auch der Letzte es verstanden hat.
“Sicherheit als zentrales Fokusthema zu etablieren, hat vor Jahren den Wandel der SAR eingeleitet. Wie wichtig Informationssicherheit ist, hat 2021 nochmal unterstrichen.”, sagt Jens Künne, Geschäftsführer der SAR.
2022 – der Ausblick
Die Lage bleibt angespannt. Von Normalität noch keine Spur. Eine erfolgreiche Digitalisierung braucht eine Sicherheitsstrategie. Informationssicherheit wird Unternehmer noch viel intensiver beschäftigen. Der Faktor Mensch spielt eine noch größere Rolle als Einfallstor für Angriffe. Mitarbeiter als erste und letzte Verteidigungslinie müssen gestärkt werden.
“Die Digitalisierung mit all ihren Vorzügen wird weiter voranschreiten. Das ist gut so. Wenn wir aber dabei weiterhin die Informationssicherheit vernachlässigen, werden wir niemals das volle Potenzial der Digitalisierung ausnutzen können. Mehr noch: Im schlimmsten Fall werden viele Digitalisierungsprojekte scheitern.”
Quelle: ARNE SCHÖNBOHM, PRÄSIDENT DES BUNDESAMTS FÜR SICHERHEIT IN DER INFORMATIONSTECHNIK
Wir möchten uns nun auf die wirklich wichtigen Dinge besinnen und wünschen Gesundheit und Glück im kommenden Jahr.
Ruhige, gesegnete und besinnliche Weihnachtstage und guten Start in das Jahr 2022 wünscht Ihnen das Team der SAR