Der Stand der IT-Sicherheit (IT Security) in Deutschland

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit seinem Bericht zum Stand der IT-Sicherheit im Jahr 2020 einen umfassenden Überblick über die Bedrohungen für den Bund, die deutschen Bürger/innen und seiner Wirtschaft im Cyber-Raum. Es werden Gegenmaßnahmen und Lösungen des BSI für nationale, wirtschaftliche und soziale Teilnehmer vorgestellt.

Die IT-Sicherheitslage ist angespannt. Beispielsweise benutzen Angreifer bösartige Software, um umfangreiche Cyberkriminalitätsangriffe auf Einzelpersonen, Unternehmen, Behörden und andere Institutionen sowie gezielte Angriffe durchzuführen. In ähnlicher Weise nutzten die Angreifer Themen wie die COVID-19-Pandemie.

Die Lage der IT-Sicherheit in Deutschland 2020 (PDF, 2MB)

Artikel "Die Lage der IT-Sicherheit in Deutschland 2020" in den Warenkorb legen

Den Bericht "Die Lage der IT-Sicherheit in Deutschland" kostenfrei abonnieren.

Die Situation wurde erneut von der Emotet-Malware dominiert, die sich im letzten Berichtszeitraum als besonders gefährlich erwiesen hat. Es ermöglicht eine Reihe weiterer Malware-Angriffe auf gezielte Ransomware-Angriffe gegen ausgewählte zahlungskräftige Opfer. Im Allgemeinen ist die Anzahl neuer Malware-Varianten im Herbst und Winter überdurchschnittlich hoch. Der Tageszuwachs lag teilweise bei knapp 470.000 Varianten.

Unabhängig von Emotet bleibt Ransomware eine der größten Bedrohungen für Unternehmen, Behörden und andere Institutionen sowie private Benutzer. Unter anderem gibt es einen Trend zu gezielten Angriffen auf wohlhabende Opfer. Automobilhersteller und ihre Zulieferer, verschiedene Flughäfen oder Fluggesellschaften sowie wenig bekannte umsatzstarke Unternehmen wurden angegriffen. Betroffen sind auch Einrichtungen der öffentlichen Verwaltung und Universitäten sowie medizinische Einrichtungen, insbesondere Krankenhäuser.

Gleichzeitig hat mit der Offenlegung von Millionen von Patientenakten im Internet die Gefahr von Datenlecks ein neues Niveau erreicht. Im Berichtszeitraum wurde festgestellt, dass Datenbanken mit hochsensiblen medizinischen Informationen über das Internet frei zugänglich sind. Im Gegensatz zum Datendiebstahl sind keine technisch ausgefeilten Angriffsaktionen erforderlich, aber unzureichende Sicherheit oder falsch konfigurierte Datenbanken sind die Ursache für Datenlecks.

Von Juli 2019 bis September 2019 sind rund 15.000 Datensätze deutscher Staatsbürger mit Millionen von Bildern kostenlos im Internet erreichbar. Darüber hinaus werden regelmäßig Berichte über den Diebstahl von Kundendaten beobachtet.

Darüber hinaus traten im Berichtszeitraum erneut mehrere Sicherheitslücken in Softwareprodukten auf, von denen einige schwerwiegend (kritisch) waren. Angreifer verwenden diese Sicherheitsanfälligkeiten, um Malware-Angriffe oder Datendiebstahl auszuführen. Angreifer nutzen zunehmend auch den Faktor "Mensch" als Tor für Angriffsoffensiven mit Social-Engineering-Methoden und öffnen so die Tür für weitere Angriffe.

Verschiedene Angriffswellen unter Ausnutzung der COVID-19-Pandemie haben gezeigt, dass Cyberkriminelle schnell auf sozial verwandte Themen und Trends reagieren. Beispielsweise wurden Phishing-Aktivitäten und Versuche, IT-Ressourcen für Betrug zu verwenden, beobachtet. Zum Beispiel haben Betrüger Soforthilfe-Maßnahmen erfolgreich missbraucht, indem sie Antragswebseiten amtlicher Stellen auf täuschend ähnlicher Weise imitiert haben. Die vom Antragsteller auf der gefälschten Seite eingegebenen unternehmensbezogenen Informationen wurden dann von Cyberkriminellen verwendet, um betrügerisch Hilfsgelder zu beantragen.

Aufgrund neuer Schwachstellen, neuer Angriffsmethoden und der zunehmend komplexen Situation im IT-Bereich ist die Sicherheitslage immer noch dynamisch und angespannt und hat manchmal enorme Auswirkungen auf Unternehmen, Behörden und Einzelpersonen. Wir sind angesichts dieser Herausforderung jedoch nicht machtlos. Experten aus verschiedenen Disziplinen diskutieren die wichtigsten digitalen Themen der heutigen Zeit wie künstliche Intelligenz, 5G, autonomes Fahren oder sicheres Smart Home. So gestaltet das Sichere Digitalisierung.

Quelle: BSI, Die Lage der IT-Sicherheit in Deutschland

 

Informationssicherheit, IT-Sicherheit ist das Fundament der Compliance

Im Bereich der Informatik, Netzwerk und des Internet spielt das Management von Security eine entscheidende Rolle. Best Practices aus dem Handwerk und spezifische Angebote richten sich insbesondere an den Mittelstand und die breitere Wirtschaft. Besonders im Kontext von KRITIS-Einrichtungen gewinnen Cybersicherheit und die Absicherung von Medien zunehmend an Bedeutung. Die Entwicklung sicherer Software und die Einhaltung von Standards sind essenziell, um Attacken zu verhindern.

Die Blockchain-Technologie verspricht erhöhte Sicherheit bei der Informationsverarbeitung, während Überfälle auf User und Zentren durch Video-Mittel visualisiert werden können. Risikomanagement und angebotene Dienste spielen in der Cybersicherheit eine zentrale Rolle, ebenso wie die Beratung und Kommunikation zur Umsetzung von Sicherheitskonzepten. Die Nutzung von Kryptographie Werkzeugen wie E-Mail birgt Mitarbeiter in Sicherheitsfragen. Kryptographie und innovative Methoden sind gefragt, um Services abzusichern.

Die enge Verknüpfung von IT und Sicherheit wirft Fragen auf, während grundlegende Prinzipien den Erfolg in der Praxis ausmachen. Digitale Sicherheiten erfordern eine ganzheitliche Herangehensweise, um Risiken zu minimieren und Gewissheit sowie Geborgenheit gegenüber Schadsoftware zu schaffen. Die Bewältigung der vielfältigen Aufgaben erfordert größtmögliche Sicherung, um die Wahrscheinlichkeit der Abwesenheit von Unsicherheit zu erhöhen.

Mit zunehmender elektronischer Repräsentation, zunehmender Vernetzung und Steuerung von Prozessen in Informationssystemen nimmt der Geltungsbereich des Begriffs "IT-Sicherheit" weiter zu und wirkt sich somit auf die Arten der erforderlichen Sicherheitsmechanismen aus.

Nach dem Vokabular des BSI bezieht sich IT-Sicherheit auf den Zustand, in dem die Risiken aufgrund von Schwächen beim Einsatz von Informationstechnik mittels geeigneter Maßnahmen auf ein akzeptables Maß reduziert werden.

IT-Sicherheit ist das Gegenteil von IT-Unsicherheit. Unsicherheit bedeutet Gefahr, Risiko oder Bedrohung. Bedrohungen sind immer dann vorhanden, wenn es Schwachstellen gibt. Die eigentliche Bedeutung der IT-Sicherheit wird in der Regel bei fehlender Sicherheit erkannt, nämlich dann, wenn etwas passiert ist. Beim Thema IT-Sicherheit geht es um die elektronische Datenverarbeitung (EDV), wertvolle Informationen und die IT-Infrastruktur. Die Fakten müssen zum einen vor unbefugten Einblicken und vor Verlust gesichert werden, z.B. gegen Hacker, Schadsoftware, Phishing, Cyberangriffe, Attacken, Viren und Spam.

IT-Security sorgt auch für die zuverlässige Funktion Ihrer IT-Systeme & EDV-Anlagen, Ihres Netzwerkes – frei von Störungen und Ausfällen. Physische Ursachen wie Diebstahl, Vandalismus, Brand, Wasser, insbesondere Verschmutzungen wie Staub beschädigen EDV & IT und legen Unternehmen komplett lahm.

Das Bundesamt für Sicherheit in der Informationstechnik warnt im Leitfaden zur Informationssicherheit vor gravierenden Schäden infolge physischer Einwirkung. Laut OEM Hardware Herstellern dürfen Geräte wie Server nur unter bestimmten Klimabedingungen (gekühlt und staubfrei) betrieben werden. Wichtige EDV-Anlagen, IT-Systeme und Komponenten wie Server, Datenspeicher, Switche und Datensicherung sollten in geschützten Räumen (Serverraum) untergebracht werden.

 

Verfügbarkeit und Sicherheit von IT-Systemen

Die Verfügbarkeit und Sicherheit von IT-Systemen spielen eine wichtige Rolle. Das IT-Sicherheitsgesetz dient der Erhöhung der Sicherheit informationstechnischer Systeme, IT-Ausstattung und digitale Infrastrukturen. Insbesondere eine Beeinträchtigung oder ein Ausfall der Versorgungsdienstleistungen hätte dramatische Folgen für Unternehmen, Wirtschaft, Staat und Gesellschaft.

Das Angebot an Cyber-Sicherheitslösungen nimmt aufgrund der wachsenden Bedeutung von Daten und der stetigen Bedrohung durch Angriffe kontinuierlich zu. Die Innovation in diesem Bereich zielt darauf ab, mit den raffinierten Angriffsmethoden Schritt zu halten und gleichzeitig die Compliance-Anforderungen zu erfüllen. Die Benutzer spielen eine entscheidende Rolle bei der erfolgreichen Umsetzung dieser Services, da ihre Information Technology häufig das Ziel von Angriffen ist. Die richtige Balance zwischen Angriffsschutz und Benutzerfreundlichkeit ist der Schlüssel. Eine ganzheitliche Herangehensweise berücksichtigt nicht nur technische Aspekte, sondern auch Schulungen und Awareness-Programme.

Downloads von sicherheitsrelevanten Inhalten sind essentiell, um das Wissen in der Belegschaft zu entwickeln. Externe Bedrohungen aus dem Bereich social media erfordern solide Kenntnisse der Grundlagen der Cyber-Sicherheit. Computer, sowohl physisch als auch digital, stehen im Fokus der Angriffe, weshalb eine stetige Vertiefung der Kenntnisse unerlässlich ist. Die Möglichkeit, online zu agieren, eröffnet Chancen, bringt aber auch Risiken mit sich, die wie Maschinen behandelt werden müssen. Die Resilienz von Systemen und Organisationen wird zunehmend zu einem zentralen Anliegen in dieser komplexen Landschaft.

Ein EDV-Raum dient der Unterbringung einer zentralen IT-Infrastruktur, die den Kern einer Unternehmens-IT darstellt. Nicht nur Schwachstellen bergen Gefahren für IT-Anlagen. Auch ein unsicherer Computerraum stellt ein erhebliches Risiko dar. Nur die regelmäßige Pflege, Instandhaltung und Wartung aller Systeme, Anlagen und Komponenten wirken sich positiv auf die Sicherheit und den Werterhalt. Der Rechnerraum muss vor Hitze, Feuer, Brand und Schmutz abgesichert werden.

Informationsbroschüren zum Thema IT-Sicherheitsgesetz:

Broschüre "IT-Sicherheitsgesetz" (PDF, 1MB)

Schutz Kritischer Infrastrukturen: durch IT-Sicherheitsgesetz und UP KRITIS (PDF, 3MB)

 

Informationssicherheit: Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit

Schwachstellen in Informationssystemen sind der Ausgangspunkt für Angriffsoffensiven, Fehlfunktionen und Ausfälle, die dazu führen, gewünschte Schutzziele und damit die IT-Sicherheit nicht zu erreichen. Es gibt viele Gründe für Schwachstellen, wie beispielsweise fehlende Redundanz der Technik, fehlerhafte Programmierung, unzureichende Wartung und Einhaltung der Sicherheitsanforderungen. Die Ursache für Schwachstellen beginnt schon bei der Wahl des Standortes der Server, Storages und Switches im Gebäude.

Die Informationssicherheit dient der Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit von Wissen. Sie bezieht sich wie die IT-Sicherheit auf digitale Daten, aber darüber hinaus auch beispielsweise auf Schriftstücke in Papierform. Informationen müssen vor Risiken wie unbefugtem Zugriff oder Manipulation abgesichert, in Unternehmen müssen wirtschaftliche Schäden verhindert werden.

Informationssicherheit orientiert sich an den internationalen ISO/IEC-27000-Normreihen, am IT-Sicherheitsmanagement und dem IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese Standards behandeln viele Aspekte der Sicherheit von Details und IT-Systemen. Im IT-Umfeld spricht man bei der Sicherheit von Informationen auch von IT-Sicherheit, Computersicherheit oder Datenschutz.

 

Schutz für wertvolle Daten

Ein Rechenzentrum (RZ) dient in erster Linie der Informationssicherheit, also dem Schutz der zentralen IT-Infrastruktur. Das sind alle technischen Aspekte, die dem Dokumentenschutz dienen. Es werden dabei bestimmte Ziele verfolgt, das sind Vertraulichkeit, Integrität und Verfügbarkeit. Bezüglich der Datensicherheit bestehen Gefahren in technischen Mängeln und in fremden Zugriffen auf die Informationen.

Technische und organisatorische Maßnahmen (TOM) zur Erhöhung der Datensicherheit sind Kontrollmechanismen nach § 9 Bundesdatenschutzgesetz für datenverarbeitende Stellen beispielsweise Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Trennung von Daten. Gebäude bilden den physischen Rahmen und Schutz für Geschäftsprozesse. Ein Gebäude umfasst Arbeitsplätze, die zentrale Informationstechnik und die verarbeiteten Informationen. Serverräume sind schützenswerte Räume oder Gebäudeteile und sollten keinesfalls in gefährdeten Bereichen untergebracht sein.

Ein Computerraum dient der Unterbringung der Firmendaten und der zentralen IT-Infrastruktur, die das Fundament eines Unternehmens darstellt. Nicht nur Angriffe und Schwachstellen bergen Risiken für die Datensicherheit. Auch ein „unsicherer“ IT-Raum stellt eine erhebliche Gefahr dar. Der Rechnerraum muss vor Hitze, Feuer und Brand geschützt werden, aber auch vor Schmutz. Staub schadet der IT, Baustaub stellt eine erhöhte Brandgefahr dar. Nur die regelmäßige Pflege, Wartung und Instandhaltung aller Systeme, Anlagen und Komponenten der IT-Geräte und deren Umgebung wie Serverschränke (Racks), Doppelboden oder Rechenzentrum (RZ) wirkt sich positiv auf die IT-Sicherheit und den Werterhalt aus.

 

Organisatorische Maßnahmen für die IT-Sicherheit

Bei der IT-Sicherheit geht es darum, Schwachstellen zu entdecken und sich im Einzelfall gegen Angriffe zu verteidigen. Der Schutz von Informationssystemen erfordert in der Regel verschiedene Maßnahmen, bei denen mehrere Schutzmechanismen gleichzeitig eingesetzt und diese Maßnahmen ständig an Änderungen und aktuelle Bedingungen angepasst werden. IT-Sicherheit ist nicht statisch und irgendwann "fertig", sondern ein steter Prozess.

Die Informatik bildet die Grundlage für das Management von Security, die Bereitstellung von Services und die voranschreitende Digitalisierung, die eng mit den Aspekten der Cyber-Technik verknüpft ist. Informationen sind unterschiedlichen Bedrohungen ausgesetzt. Dazu zählen beispielsweise Hackerangriffe, unbefugter Zugriff, Sabotage, Spionage, Vandalismus, Überschwemmungen, Feuer und Sturm, insbesondere Verschmutzungen der IT-Geräte mit Schmutz oder sogar Baustaub.

Technische Maßnahmen für die Informationssicherheit sind beispielsweise die schützende Umgebung, wie Rack (Serverschrank), Verschlüsselung, Updates und Patches, Antivirensoftware, Firewalls, VPN, Datensicherung (Backup), Redundanzen, Brandschutz, Kameras, Zugangsberechtigung und Authentifizierungsmethoden. Organisatorische Maßnahmen sind Mitarbeitersensibilisierung, Schulungen, Dokumentationen oder Richtlinien für Passwörter.

Die Säuberung von sichtbarem Schmutz in einem RZ sorgt für Sauberkeit und schützt IT-Geräte vor Schmutz. Kontaminationen in Rechenzentren sind zusätzlich winzige Staubpartikel (Feinstaub), die mit dem Kühlsystem in die Luft gelangen und IT-Geräte beschädigen und Ausfälle verursachen, aber kaum sichtbar sind.

Server und Geräte sehr anfällig für Schäden und Ausfallzeiten aufgrund von Staub und anderen Verschmutzungen. Schmutz im RZ führt zur Überhitzung der Geräte, zu Unterbrechungen, zu Korrosionsschäden, zu Ausfällen von Netzteilen, Festplatten und Elektronik. Das Verhindern von Verstaubungen im RZ und das regelmäßige Entfernen von Schmutz und Staub schützen Unternehmen vor Geräteschäden und Ausfallzeiten, deshalb ist die regelmäßige Säuberung eines Rechenzentrums oder eines Colocation-Bereichs so wichtig.

 

Pflege und Instandhaltung der Technik

Lassen Sie Ihre zentrale ITK-Technik reinigen. Informationstechnik, Kommunikationstechnik und Sicherheitstechnik vertragen keine Verschmutzungen. Sicherheitstechnik dient beispielsweise dem Einbruchschutz, Zugangsberechtigung, Gebäudesicherheit, Gefahrenmeldung, Informationssicherheit oder Personenschutz und steht für für elektrische und elektronische Sicherheitssysteme, technischen Vorrichtungen, die der Sicherheit dienen.

Geräte und Anlagen sollten stets betriebsbereit sein. Eine regelmäßige Reinigung Ihrer zentralen Informations-, Kommunikations- und Sicherheitssysteme sorgt für eine hohe Betriebssicherheit und beinhaltet die Säuberung der Anlage und der Einzelkomponenten vor Ort incl. Reinigungsmaterial.

Dazu gehören unter anderem Server, Storages, Switches, Brandbekämpfungssysteme, Brandmeldesysteme, CO2-Löschanlagen, Einbruchmeldesysteme, Gebäudesicherheit, Gefahrenmeldeanlagen, Haustechnik, Informatik, Informationssicherheit, Informationstechnologie, Klimatisierungsanlagen, Schließanlagen, Sicherungstechnik, Sprinkleranlagen, Überfallmeldesysteme, Überwachungstechnik, Notstromanlagen und Videoüberwachungssysteme.

 

Schmutz beeinträchtigt die Kühlung von ITK- und Sicherheitssystemen

Staub und Schmutz beeinträchtigen die Kühlung von ITK- und Sicherheitssystemen. Dies führt zwangsläufig zu Ausfällen und Hardwareschäden. Feinstaub stellt zusätzlich ein hohes Gesundheitsrisiko und Baustaub eine zusätzliche Brandgefahr dar. Wenn zentrale Komponenten der Informationstechnik, Kommunikationstechnik oder Sicherheitstechnik im Datacenter ausfallen, kann dies gravierende Folgen haben.

Wir bieten effiziente Reinigungslösungen für Ihre digitale Infrastruktur. Unsere Spezialisten reinigen und pflegen Ihr Technikzentrum und Ihre Sicherheits-Infrastruktur fachgerecht. Nachhaltig werden so Kühlleistung, Energieverbrauch, die Sicherheit, Hochverfügbarkeit und Ausfallsicherheit verbessert.

 

• Rechenzentrumreinigung für die Daten-, IT-Sicherheit und Security von Systemen und Netzwerke.
• Partner und Anbieter für Daten-, Cyber- Security mit Datacenterreinigung.
• Security und Datenschutz mit Serverraumreinigung.
• Datensicherheit und Security mit Serverschrankreinigung.
• Cyber-, System- und IT-Security mit 19 Roll Rackreinigung.
• IT-Sicherheit mit Serverreinigung und Storagesreinigung.
• Cybersicherheit mit Switchesreinigung.
• Cyber-Resilienz mit Doppelbodenreinigung.