Revision history for DatenSicherheitUrsachenAnalyse2024
Additions:
Was in der Diskussion über Cyberkriminalität oft untergeht, ist der Umstand, dass Daten-GAU-s oder schlicht EDV-Ausfälle immer noch sehr häufig dadurch entstehen, weil die EDV-Produkte und Dienstleistungen unzureichendes Qualität aufweisen. Dieser Aspekt darf nicht unterschätzt werden, weshalb wir ihm [[DStechnikUrsacheGAU diesen Artikel gewidmet haben]].
Deletions:
Additions:
Am Ende der Betrachtung steht die Frage, inwiefern Schutz gegen die geschilderten Probleme der EDV möglich ist. Egal, ob ein mehr oder weniger gezielter Angriff vorliegt, ob eine technische Panne die Ursache ist: unsere Beobachtungen zeigen, dass derartige Zwischenfälle praktisch **nie unvermeidbar sind**. Ein Schutz dagegen ist vorhanden. Und damit die häufigste Ausrede (als Beispiel) einer finanziell klammen Kommune oder eines notorisch unterfinanzierten KMU von vornherein dementiert ist: **der Schutz ist nicht aufwändig und seine Kosten tendieren gegen Null!**.
In der Regel passiert
dabei, dass es sich bei den geschilderten Problemen , in denen niemand von der Sicherheitslücke wusste oder diese gerade erst entdeckt wurde und eine Reaktion auf sie noch nicht möglich war etc. Fast ausnahmsweise erfolgen Angriffe auf dem hier dargestellten Wege über bereits bekannte Sicherheitslücken, die praktisch immer dokumentiert und kommuniziert wurden, in der Regel besteht auch schon die Möglichkeit, die jeweilige Sicherheitslücke im Wege gewöhnlicher Softwareupdates zu schließen.
In der Regel passiert
dabei, dass es sich bei den geschilderten Problemen , in denen niemand von der Sicherheitslücke wusste oder diese gerade erst entdeckt wurde und eine Reaktion auf sie noch nicht möglich war etc. Fast ausnahmsweise erfolgen Angriffe auf dem hier dargestellten Wege über bereits bekannte Sicherheitslücken, die praktisch immer dokumentiert und kommuniziert wurden, in der Regel besteht auch schon die Möglichkeit, die jeweilige Sicherheitslücke im Wege gewöhnlicher Softwareupdates zu schließen.
Deletions:
Additions:
Welche Angriffsform auch immer vorliegt, welche Ziele die Angreifer auch immer verfolgen - ein unvorbereitetes Opfer bekommt die Folgen mehr oder weniger zu spüren. Die Folgen der Angriffe sind insbesondere:
Deletions:
Additions:
Die Zwischenfälle (entweder mittels Ransomware, als ""DoS""-Attacken oder Datendiebstahl) erfolgen meist auf folgende Weise:
Deletions:
Additions:
Eines der mittlerweile größten Probleme der heutigen EDV sind kriminelle Angriffe. Diese versuchen wir - insbesondere aus dem Blickwinkel von Verwaltungen und KMU-s - näher zu untersuchen.
Deletions:
Additions:
== der Ursachen und Folgen für Daten-GAUs ==""<div style="float: right;margin: 20px;padding: 10px;width: 320px;"><span style='width: 100%; text-align: left; font-weight: bolder; color: #003366; font-size: 2em;'>DS Leitfaden ThVU</span></div> ""
Deletions:
Additions:
===== DS Leitfaden ""ThVU"" - die Analyse =====
== der Ursachen für Daten-GAUs und nicht nur dieser ==""<div style="float: right;margin: 20px;padding: 10px;width: 320px;"><span style='width: 100%; text-align: left; font-weight: bolder; color: #003366; font-size: 2em;'>DS Leitfaden ThVU</span></div> ""
Eines der mittlerweile größten Probleme der heutigen EDV sind kriminelle Angriffe. Diese versuchen wir - insbesondere aus dem Blickwinkel von Verwaltungen und KMU-s näher zu untersuchen.
((2)) Ursachen
Die aktuell häufigsten Ursachen für größere und bekannt gewordene Zwischenfälle rund um Datensicherheit sind
- Aktivitäten von Cyberkriminellen
- unter Ausnutzung von Fehlern in der eingesetzten Technik, insbesondere in der Software (Softwarelücken).
Die Zwischenfälle (entweder mittels Ransomware, als""DoS""-Attacken oder Datendiebstahl) erfolgen meist auf folgende Weise:
- Cyberkriminelle konzipieren ein Angriffsverfahren, bei dem eine **bekannt gewordene Sicherheitslücke in Software zum Zweck eines unbefugten Zugriffs auf EDV-Systeme genutzt wird**; die betroffene Software kann ein Element des Betriebssystems sein (Beispiel: Microsoft RD-Protokoll) oder eine Software, die für die Kommunikation im Internet genutzt wird (Beispiel: Cisco IPSec-Implementation für VPNs);
- vorzugsweise werden dafür Sicherheitslücken verwendet, die einen **Remote-Zugriff** über Internet ermöglichen - auf diese Weise können Angriffe weltweit, standortunabhängig per Internet durchgeführt werden;
- darauf aufbauend werden ganze Botnetze oder andere - den Cyberkriminellen nicht direkt zuzuordnenden - Computer dafür verwendet, **Angriffe automatisiert und massenhaft auf Geräten, die über das öffentliche Internet erreichbar sind, durchzuführen**; die automatisierten Routinen werden jedenfalls dafür verwendet, jedenfalls die vulnerablen Geräte zu finden und meist auch in diese einzudringen;
- es ist zu bemerken, dass der Zugriff auf nicht abgesicherte Geräte bei der hier beschriebenen Methode so gut wie nie gezielt erfolgt; Cyberkriminelle haben in der Regel kein Interesse an konkreten Zielen, sondern an einem erfolgreichen Zugriff auf möglichst viele Ziele, die dann zu finanziellen Zwecken erpresst werden können (Verschlüsselung, Datendiebstahl, Betriebsstörung, damit der Betroffene erpresst werden kann); insofern arbeiten die Computer der Angreifer **blind möglichst viele per Internet erreichbare Geräte ab**; dies ist nicht nur unsere Beobachtung, sondern wird auch im Bericht des BSI bestätigt [1];
- je nach Angriffsvariante erfolgt die Kompromittierung der angegriffenen Geräte bzw. ganzer Netzwerke, automatisiert oder die Angreifer unternehmen bei Information über Zugriffsmöglichkeit manuell den Versuch, in die Geräte / Netzwerke tiefer einzudringen;
- ist das Eindringen erfolgreich, nehmen Angreifer - automatisiert oder manuell - die angestrebten Maßnahmen vor:
- am häufigsten ist Ransomware - die Datenbestände werden verschlüsselt, Sicherungskopien vernichtet und es wird ein Lösegeld gefordert;
- oft werden Daten auch mit Verschlüsselung durch Ransomware zusammen oder bei z. B. Wirtschaftsspionage gezielt kopiert und so gelangen sie in die Hände der Angreifer;
- sofern die Datenverschlüsselung nicht sinnvoll oder nicht das Ziel war, kann es passieren, dass die Angreifer die gekaperten Systeme lediglich als "bots" nutzen - also als "Zombie"-Maschinen, die mit der "Zentrale" der Cyber-Kriminellen zusammenarbeiten und weitere Angriffe automatisiert starten; zugleich verbinden sie sich mit dem Netz der Angreifer, um - wie auch immer geartete - Fernsteuerung zu ermöglichen;
- in der Regel werden Spuren der Angreifer - egal zu welchem Zweck sie eindrangen - verschleiert.
((2)) Folgen der Angriffe
Welche Angriffsform auch immer erfolgt, welche Ziele die Angreifer auch verfolgen - ein unvorbereitetes Opfer bekommt die Folgen mehr oder weniger zu spüren. Die Folgen der Angriffe sind insbesondere:
- **finanzielle Verluste** - durch:
- Wiederherstellungs- und "Aufräum-"maßnahmen, meist hohe Kosten verursachen,
- entgangene Umsätze wegen Betriebsunterbrechung, die noch empfindlicher sein können,
- Produktionsausfall wegen kompromittierter / ausgefallener Systeme und Produktionssteuerungen (bei "Industrie 4.0" immer häufiger),
- Strafzahlungen (z. B. wegen Verletzung der Datenschutzvorschriften),
- bei Ransomware-Angriffen sind die Lösegeldzahlungen selbst auch ein mitunter beachtlicher Posten,
- **Reputationsverluste** infolge Vertrauensverlust bei Kunden und Geschäftspartnern (was den Unternehmenswert nachhaltig beeinträchtigen kann),
- **Verlust / Verletzung der Vertraulichkeit sensibler Daten** - bei Datendiebstahl oder Datenlecks können Kunden-, Mitarbeiter- oder sonstige, in der Organisation benötigten Daten verloren gehen oder in die falschen Hände geraten (insb. relevant bei Geschäftsgeheimnissen),
- **rechtliche Konsequenzen** - behördliche Ermittlungen, Klagen wegen Datenschutzverstößen, können Ressourcen der Organisation lange binden,
- **Identitätsdiebstahl** kann ebenfalls die involvierten Einzelpersonen empfindlich treffen,
- **Versorgungsunterbrechungen** und **Gefährdung der öffentlichen Sicherheit** können insbesondere bei Angriffen auf öffentliche Einrichtungen oder Infrastruktur die Folge sein - Stromausfälle, Beeinträchtigung der Wasserversorgung, Verkehrsbeeinträchtigungen, Ausfall von Verwaltungshandeln bis zu Funktionsausfällen in Krankenhäusern mit Gefahr für Leib und Leben,
- **politische und gesellschaftliche Instabilität** sind in der Folge der oben genannten Angriffe auf öffentliche Infrastruktur ebenfalls möglich.
Unsere Beobachtungen zeigen dabei, dass es sich bei den geschilderten Problemen praktisch **nie um unvermeidbare Situationen handelt**, in denen niemand von der Sicherheitslücke wusste oder diese gerade erst entdeckt wurde und eine Reaktion auf sie noch nicht möglich war etc. Fast ausnahmsweise erfolgen Angriffe auf dem hier dargestellten Wege über bereits bekannte Sicherheitslücken, die praktisch immer dokumentiert und kommuniziert wurden, in der Regel besteht auch schon die Möglichkeit, die jeweilige Sicherheitslücke im Wege gewöhnlicher Softwareupdates zu schließen.
== der Ursachen für Daten-GAUs und nicht nur dieser ==""<div style="float: right;margin: 20px;padding: 10px;width: 320px;"><span style='width: 100%; text-align: left; font-weight: bolder; color: #003366; font-size: 2em;'>DS Leitfaden ThVU</span></div> ""
Eines der mittlerweile größten Probleme der heutigen EDV sind kriminelle Angriffe. Diese versuchen wir - insbesondere aus dem Blickwinkel von Verwaltungen und KMU-s näher zu untersuchen.
((2)) Ursachen
Die aktuell häufigsten Ursachen für größere und bekannt gewordene Zwischenfälle rund um Datensicherheit sind
- Aktivitäten von Cyberkriminellen
- unter Ausnutzung von Fehlern in der eingesetzten Technik, insbesondere in der Software (Softwarelücken).
Die Zwischenfälle (entweder mittels Ransomware, als""DoS""-Attacken oder Datendiebstahl) erfolgen meist auf folgende Weise:
- Cyberkriminelle konzipieren ein Angriffsverfahren, bei dem eine **bekannt gewordene Sicherheitslücke in Software zum Zweck eines unbefugten Zugriffs auf EDV-Systeme genutzt wird**; die betroffene Software kann ein Element des Betriebssystems sein (Beispiel: Microsoft RD-Protokoll) oder eine Software, die für die Kommunikation im Internet genutzt wird (Beispiel: Cisco IPSec-Implementation für VPNs);
- vorzugsweise werden dafür Sicherheitslücken verwendet, die einen **Remote-Zugriff** über Internet ermöglichen - auf diese Weise können Angriffe weltweit, standortunabhängig per Internet durchgeführt werden;
- darauf aufbauend werden ganze Botnetze oder andere - den Cyberkriminellen nicht direkt zuzuordnenden - Computer dafür verwendet, **Angriffe automatisiert und massenhaft auf Geräten, die über das öffentliche Internet erreichbar sind, durchzuführen**; die automatisierten Routinen werden jedenfalls dafür verwendet, jedenfalls die vulnerablen Geräte zu finden und meist auch in diese einzudringen;
- es ist zu bemerken, dass der Zugriff auf nicht abgesicherte Geräte bei der hier beschriebenen Methode so gut wie nie gezielt erfolgt; Cyberkriminelle haben in der Regel kein Interesse an konkreten Zielen, sondern an einem erfolgreichen Zugriff auf möglichst viele Ziele, die dann zu finanziellen Zwecken erpresst werden können (Verschlüsselung, Datendiebstahl, Betriebsstörung, damit der Betroffene erpresst werden kann); insofern arbeiten die Computer der Angreifer **blind möglichst viele per Internet erreichbare Geräte ab**; dies ist nicht nur unsere Beobachtung, sondern wird auch im Bericht des BSI bestätigt [1];
- je nach Angriffsvariante erfolgt die Kompromittierung der angegriffenen Geräte bzw. ganzer Netzwerke, automatisiert oder die Angreifer unternehmen bei Information über Zugriffsmöglichkeit manuell den Versuch, in die Geräte / Netzwerke tiefer einzudringen;
- ist das Eindringen erfolgreich, nehmen Angreifer - automatisiert oder manuell - die angestrebten Maßnahmen vor:
- am häufigsten ist Ransomware - die Datenbestände werden verschlüsselt, Sicherungskopien vernichtet und es wird ein Lösegeld gefordert;
- oft werden Daten auch mit Verschlüsselung durch Ransomware zusammen oder bei z. B. Wirtschaftsspionage gezielt kopiert und so gelangen sie in die Hände der Angreifer;
- sofern die Datenverschlüsselung nicht sinnvoll oder nicht das Ziel war, kann es passieren, dass die Angreifer die gekaperten Systeme lediglich als "bots" nutzen - also als "Zombie"-Maschinen, die mit der "Zentrale" der Cyber-Kriminellen zusammenarbeiten und weitere Angriffe automatisiert starten; zugleich verbinden sie sich mit dem Netz der Angreifer, um - wie auch immer geartete - Fernsteuerung zu ermöglichen;
- in der Regel werden Spuren der Angreifer - egal zu welchem Zweck sie eindrangen - verschleiert.
((2)) Folgen der Angriffe
Welche Angriffsform auch immer erfolgt, welche Ziele die Angreifer auch verfolgen - ein unvorbereitetes Opfer bekommt die Folgen mehr oder weniger zu spüren. Die Folgen der Angriffe sind insbesondere:
- **finanzielle Verluste** - durch:
- Wiederherstellungs- und "Aufräum-"maßnahmen, meist hohe Kosten verursachen,
- entgangene Umsätze wegen Betriebsunterbrechung, die noch empfindlicher sein können,
- Produktionsausfall wegen kompromittierter / ausgefallener Systeme und Produktionssteuerungen (bei "Industrie 4.0" immer häufiger),
- Strafzahlungen (z. B. wegen Verletzung der Datenschutzvorschriften),
- bei Ransomware-Angriffen sind die Lösegeldzahlungen selbst auch ein mitunter beachtlicher Posten,
- **Reputationsverluste** infolge Vertrauensverlust bei Kunden und Geschäftspartnern (was den Unternehmenswert nachhaltig beeinträchtigen kann),
- **Verlust / Verletzung der Vertraulichkeit sensibler Daten** - bei Datendiebstahl oder Datenlecks können Kunden-, Mitarbeiter- oder sonstige, in der Organisation benötigten Daten verloren gehen oder in die falschen Hände geraten (insb. relevant bei Geschäftsgeheimnissen),
- **rechtliche Konsequenzen** - behördliche Ermittlungen, Klagen wegen Datenschutzverstößen, können Ressourcen der Organisation lange binden,
- **Identitätsdiebstahl** kann ebenfalls die involvierten Einzelpersonen empfindlich treffen,
- **Versorgungsunterbrechungen** und **Gefährdung der öffentlichen Sicherheit** können insbesondere bei Angriffen auf öffentliche Einrichtungen oder Infrastruktur die Folge sein - Stromausfälle, Beeinträchtigung der Wasserversorgung, Verkehrsbeeinträchtigungen, Ausfall von Verwaltungshandeln bis zu Funktionsausfällen in Krankenhäusern mit Gefahr für Leib und Leben,
- **politische und gesellschaftliche Instabilität** sind in der Folge der oben genannten Angriffe auf öffentliche Infrastruktur ebenfalls möglich.
Unsere Beobachtungen zeigen dabei, dass es sich bei den geschilderten Problemen praktisch **nie um unvermeidbare Situationen handelt**, in denen niemand von der Sicherheitslücke wusste oder diese gerade erst entdeckt wurde und eine Reaktion auf sie noch nicht möglich war etc. Fast ausnahmsweise erfolgen Angriffe auf dem hier dargestellten Wege über bereits bekannte Sicherheitslücken, die praktisch immer dokumentiert und kommuniziert wurden, in der Regel besteht auch schon die Möglichkeit, die jeweilige Sicherheitslücke im Wege gewöhnlicher Softwareupdates zu schließen.
Deletions:
== für Daten-GAUs ==""<div style="float: right;margin: 20px;padding: 10px;width: 320px;"><span style='width: 100%; text-align: left; font-weight: bolder; color: #003366; font-size: 2em;'>DS Leitfaden ThVU</span></div> ""
Eine der häufigsten Ursachen für größere und bekannt gewordene Zwischenfälle rund um Datensicherheit sind
- Aktivitäten von Cyberkriminellen
- unter Ausnutzung von Fehlern in der eingesetzten Technik, insbesondere in der Software (Softwarelücken).
Die Zwischenfälle (entweder mittels Ransomware, als""DoS""-Attacken oder Datendiebstahl) erfolgen meist auf folgende Weise:
- Cyberkriminelle konzipieren ein Angriffsverfahren, bei dem eine **bekannt gewordene Sicherheitslücke in Software zum Zweck eines unbefugten Zugriffs auf EDV-Systeme genutzt wird**; die betroffene Software kann ein Element des Betriebssystems sein (Beispiel: Microsoft RD-Protokoll) oder eine Software, die für die Kommunikation im Internet genutzt wird (Beispiel: Cisco IPSec-Implementation für VPNs);
- vorzugsweise werden dafür Sicherheitslücken verwendet, die einen **Remote-Zugriff** über Internet ermöglichen - auf diese Weise können Angriffe weltweit, standortunabhängig per Internet durchgeführt werden;
- darauf aufbauend werden ganze Botnetze oder andere - den Cyberkriminellen nicht direkt zuzuordnenden - Computer dafür verwendet, **Angriffe automatisiert und massenhaft auf Geräten, die über das öffentliche Internet erreichbar sind, durchzuführen**; die automatisierten Routinen werden jedenfalls dafür verwendet, jedenfalls die vulnerablen Geräte zu finden und meist auch in diese einzudringen;
- es ist zu bemerken, dass der Zugriff auf nicht abgesicherte Geräte bei der hier beschriebenen Methode so gut wie nie gezielt erfolgt; Cyberkriminelle haben in der Regel kein Interesse an konkreten Zielen, sondern an einem erfolgreichen Zugriff auf möglichst viele Ziele, die dann zu finanziellen Zwecken erpresst werden können (Verschlüsselung, Datendiebstahl, Betriebsstörung, damit der Betroffene erpresst werden kann); insofern arbeiten die Computer der Angreifer **blind möglichst viele per Internet erreichbare Geräte ab**; dies ist nicht nur unsere Beobachtung, sondern wird auch im Bericht des BSI bestätigt [1];
- je nach Angriffsvariante erfolgt die Kompromittierung der angegriffenen Geräte bzw. ganzer Netzwerke, automatisiert oder die Angreifer unternehmen bei Information über Zugriffsmöglichkeit manuell den Versuch, in die Geräte / Netzwerke tiefer einzudringen;
- ist das Eindringen erfolgreich, nehmen Angreifer - automatisiert oder manuell - die angestrebten Maßnahmen vor:
- am häufigsten ist Ransomware - die Datenbestände werden verschlüsselt, Sicherungskopien vernichtet und es wird ein Lösegeld gefordert;
- oft werden Daten auch mit Verschlüsselung durch Ransomware zusammen oder bei z. B. Wirtschaftsspionage gezielt kopiert und so gelangen sie in die Hände der Angreifer;
- sofern die Datenverschlüsselung nicht sinnvoll oder nicht das Ziel war, kann es passieren, dass die Angreifer die gekaperten Systeme lediglich als "bots" nutzen - also als "Zombie"-Maschinen, die mit der "Zentrale" der Cyber-Kriminellen zusammenarbeiten und weitere Angriffe automatisiert starten; zugleich verbinden sie sich mit dem Netz der Angreifer, um - wie auch immer geartete - Fernsteuerung zu ermöglichen;
- in der Regel werden Spuren der Angreifer - egal zu welchem Zweck sie eindrangen - verschleiert.
((1)) Folgen der Angriffe
Welche Angriffsform auch immer erfolgt, welche Ziele die Angreifer auch verfolgen - ein unvorbereitetes Opfer bekommt die Folgen mehr oder weniger zu spüren. Die Folgen der Angriffe sind insbesondere:
- **finanzielle Verluste** - durch:
- Wiederherstellungs- und "Aufräum-"maßnahmen, meist hohe Kosten verursachen,
- entgangene Umsätze wegen Betriebsunterbrechung, die noch empfindlicher sein können,
- Produktionsausfall wegen kompromittierter / ausgefallener Systeme und Produktionssteuerungen (bei "Industrie 4.0" immer häufiger),
- Strafzahlungen (z. B. wegen Verletzung der Datenschutzvorschriften),
- bei Ransomware-Angriffen sind die Lösegeldzahlungen selbst auch ein mitunter beachtlicher Posten,
- **Reputationsverluste** infolge Vertrauensverlust bei Kunden und Geschäftspartnern (was den Unternehmenswert nachhaltig beeinträchtigen kann),
- **Verlust / Verletzung der Vertraulichkeit sensibler Daten** - bei Datendiebstahl oder Datenlecks können Kunden-, Mitarbeiter- oder sonstige, in der Organisation benötigten Daten verloren gehen oder in die falschen Hände geraten (insb. relevant bei Geschäftsgeheimnissen),
- **rechtliche Konsequenzen** - behördliche Ermittlungen, Klagen wegen Datenschutzverstößen, können Ressourcen der Organisation lange binden,
- **Identitätsdiebstahl** kann ebenfalls die involvierten Einzelpersonen empfindlich treffen,
- **Versorgungsunterbrechungen** und **Gefährdung der öffentlichen Sicherheit** können insbesondere bei Angriffen auf öffentliche Einrichtungen oder Infrastruktur die Folge sein - Stromausfälle, Beeinträchtigung der Wasserversorgung, Verkehrsbeeinträchtigungen, Ausfall von Verwaltungshandeln bis zu Funktionsausfällen in Krankenhäusern mit Gefahr für Leib und Leben,
- **politische und gesellschaftliche Instabilität** sind in der Folge der oben genannten Angriffe auf öffentliche Infrastruktur ebenfalls möglich.
Unsere Beobachtungen zeigen dabei, **dass es sich __nicht__ etwa um unvermeidbare Situationen handelt**, in denen niemand von der Sicherheitslücke wusste oder diese gerade erst entdeckt wurde und eine Reaktion auf sie noch nicht möglich war etc. Fast ausnahmsweise erfolgen Angriffe auf dem hier dargestellten Wege über bereits bekannte Sicherheitslücken, die praktisch immer dokumentiert und kommuniziert wurden, in der Regel besteht auch schon die Möglichkeit, die jeweilige Sicherheitslücke im Wege gewöhnlicher Softwareupdates zu schließen.
Additions:
Mit anderen Worten gilt auch hier der Satz: **Vorbeugen ist besser als heilen**! Das heißt, 90 % der Fälle könnten vermieden werden, die restlichen 10 % könnten nur geringe Kosten zur Folge haben.
Deletions:
Additions:
- ein sorgfältiger Umgang mit der EDV minimiert das Risiko; damit ist sowohl die sinnvolle und sichere Konzeption der gewählten Infrastruktur und Werkzeuge gemeint (was an IT nehme ich und wie viel davon?) wie auch ein korrekter, operativer Umgang mit ihr (wie pflege ich das alles?),
- ein kluges Datensicherungskonzept ist billig, zuverlässig und schützt praktische zu 100 % vor Datenverlust!
- bei Auswahl von sicheren Werkzeugen (Hardware, Software, die bisher selten gehackt oder als unsicher aufgefallen ist) reduziert sich das Angriffsrisiko deutlich,
- kompetente Mitarbeiter sind sowohl bei Vermeidung wie auch Bewältigung von Zwischenfällen von unschätzbarem Wert,
- ein Sicherheitskonzept hilft Zwischenfälle zu vermeiden; lässt sich letzterer nicht vermeiden, so ist die Bewältigung eines solchen bei guter Vorbereitung deutlich schneller, einfacher und am Ende auch in finanzieller Hinsicht günstiger!
Mit anderen Worten gilt auch hier der Satz: **Vorbeugen ist besser als heilen**!
- ein kluges Datensicherungskonzept ist billig, zuverlässig und schützt praktische zu 100 % vor Datenverlust!
- bei Auswahl von sicheren Werkzeugen (Hardware, Software, die bisher selten gehackt oder als unsicher aufgefallen ist) reduziert sich das Angriffsrisiko deutlich,
- kompetente Mitarbeiter sind sowohl bei Vermeidung wie auch Bewältigung von Zwischenfällen von unschätzbarem Wert,
- ein Sicherheitskonzept hilft Zwischenfälle zu vermeiden; lässt sich letzterer nicht vermeiden, so ist die Bewältigung eines solchen bei guter Vorbereitung deutlich schneller, einfacher und am Ende auch in finanzieller Hinsicht günstiger!
Mit anderen Worten gilt auch hier der Satz: **Vorbeugen ist besser als heilen**!
Deletions:
Additions:
Unsere Beobachtungen zeigen dabei, **dass es sich __nicht__ etwa um unvermeidbare Situationen handelt**, in denen niemand von der Sicherheitslücke wusste oder diese gerade erst entdeckt wurde und eine Reaktion auf sie noch nicht möglich war etc. Fast ausnahmsweise erfolgen Angriffe auf dem hier dargestellten Wege über bereits bekannte Sicherheitslücken, die praktisch immer dokumentiert und kommuniziert wurden, in der Regel besteht auch schon die Möglichkeit, die jeweilige Sicherheitslücke im Wege gewöhnlicher Softwareupdates zu schließen.
Ein zweiter, häufig völlig falsch wahrgenommener Aspekt, ist die Frage, inwiefern ein Cyberangriff oder ein sonstiger Daten-GAU unvermeidbar ist. In der Formulierung "eine 100-prozentige Sicherheit gibt es in der IT nicht" enthält nur eine halbe Wahrheit. Selbstverständlich kann man einen Angriff oder Ausfall der IT nie zu 100 % ausschließen, **ABER**:
- ein sorgfältiger Umgang mit der EDV minimiert das Risiko; dabei
Ein zweiter, häufig völlig falsch wahrgenommener Aspekt, ist die Frage, inwiefern ein Cyberangriff oder ein sonstiger Daten-GAU unvermeidbar ist. In der Formulierung "eine 100-prozentige Sicherheit gibt es in der IT nicht" enthält nur eine halbe Wahrheit. Selbstverständlich kann man einen Angriff oder Ausfall der IT nie zu 100 % ausschließen, **ABER**:
- ein sorgfältiger Umgang mit der EDV minimiert das Risiko; dabei
Deletions:
Additions:
- **Identitätsdiebstahl** kann ebenfalls die involvierten Einzelpersonen empfindlich treffen,
- **Versorgungsunterbrechungen** und **Gefährdung der öffentlichen Sicherheit** können insbesondere bei Angriffen auf öffentliche Einrichtungen oder Infrastruktur die Folge sein - Stromausfälle, Beeinträchtigung der Wasserversorgung, Verkehrsbeeinträchtigungen, Ausfall von Verwaltungshandeln bis zu Funktionsausfällen in Krankenhäusern mit Gefahr für Leib und Leben,
- **politische und gesellschaftliche Instabilität** sind in der Folge der oben genannten Angriffe auf öffentliche Infrastruktur ebenfalls möglich.
- **Versorgungsunterbrechungen** und **Gefährdung der öffentlichen Sicherheit** können insbesondere bei Angriffen auf öffentliche Einrichtungen oder Infrastruktur die Folge sein - Stromausfälle, Beeinträchtigung der Wasserversorgung, Verkehrsbeeinträchtigungen, Ausfall von Verwaltungshandeln bis zu Funktionsausfällen in Krankenhäusern mit Gefahr für Leib und Leben,
- **politische und gesellschaftliche Instabilität** sind in der Folge der oben genannten Angriffe auf öffentliche Infrastruktur ebenfalls möglich.
Deletions:
Additions:
- je nach Angriffsvariante erfolgt die Kompromittierung der angegriffenen Geräte bzw. ganzer Netzwerke, automatisiert oder die Angreifer unternehmen bei Information über Zugriffsmöglichkeit manuell den Versuch, in die Geräte / Netzwerke tiefer einzudringen;
((1)) Folgen der Angriffe
Welche Angriffsform auch immer erfolgt, welche Ziele die Angreifer auch verfolgen - ein unvorbereitetes Opfer bekommt die Folgen mehr oder weniger zu spüren. Die Folgen der Angriffe sind insbesondere:
- **finanzielle Verluste** - durch:
- Wiederherstellungs- und "Aufräum-"maßnahmen, meist hohe Kosten verursachen,
- entgangene Umsätze wegen Betriebsunterbrechung, die noch empfindlicher sein können,
- Produktionsausfall wegen kompromittierter / ausgefallener Systeme und Produktionssteuerungen (bei "Industrie 4.0" immer häufiger),
- Strafzahlungen (z. B. wegen Verletzung der Datenschutzvorschriften),
- bei Ransomware-Angriffen sind die Lösegeldzahlungen selbst auch ein mitunter beachtlicher Posten,
- **Reputationsverluste** infolge Vertrauensverlust bei Kunden und Geschäftspartnern (was den Unternehmenswert nachhaltig beeinträchtigen kann),
- **Verlust / Verletzung der Vertraulichkeit sensibler Daten** - bei Datendiebstahl oder Datenlecks können Kunden-, Mitarbeiter- oder sonstige, in der Organisation benötigten Daten verloren gehen oder in die falschen Hände geraten (insb. relevant bei Geschäftsgeheimnissen),
- **rechtliche Konsequenzen** - behördliche Ermittlungen, Klagen wegen Datenschutzverstößen, können Ressourcen der Organisation lange binden,
- **Identitätsdiebstahl** kann ebenfalls die involvierten Einzelpersonen empfindlich treffen.
((1)) Folgen der Angriffe
Welche Angriffsform auch immer erfolgt, welche Ziele die Angreifer auch verfolgen - ein unvorbereitetes Opfer bekommt die Folgen mehr oder weniger zu spüren. Die Folgen der Angriffe sind insbesondere:
- **finanzielle Verluste** - durch:
- Wiederherstellungs- und "Aufräum-"maßnahmen, meist hohe Kosten verursachen,
- entgangene Umsätze wegen Betriebsunterbrechung, die noch empfindlicher sein können,
- Produktionsausfall wegen kompromittierter / ausgefallener Systeme und Produktionssteuerungen (bei "Industrie 4.0" immer häufiger),
- Strafzahlungen (z. B. wegen Verletzung der Datenschutzvorschriften),
- bei Ransomware-Angriffen sind die Lösegeldzahlungen selbst auch ein mitunter beachtlicher Posten,
- **Reputationsverluste** infolge Vertrauensverlust bei Kunden und Geschäftspartnern (was den Unternehmenswert nachhaltig beeinträchtigen kann),
- **Verlust / Verletzung der Vertraulichkeit sensibler Daten** - bei Datendiebstahl oder Datenlecks können Kunden-, Mitarbeiter- oder sonstige, in der Organisation benötigten Daten verloren gehen oder in die falschen Hände geraten (insb. relevant bei Geschäftsgeheimnissen),
- **rechtliche Konsequenzen** - behördliche Ermittlungen, Klagen wegen Datenschutzverstößen, können Ressourcen der Organisation lange binden,
- **Identitätsdiebstahl** kann ebenfalls die involvierten Einzelpersonen empfindlich treffen.
Deletions:
Additions:
Die Zwischenfälle (entweder mittels Ransomware, als""DoS""-Attacken oder Datendiebstahl) erfolgen meist auf folgende Weise:
Deletions:
Additions:
== für Daten-GAUs ==""<div style="float: right;margin: 20px;padding: 10px;width: 320px;"><span style='width: 100%; text-align: left; font-weight: bolder; color: #003366; font-size: 2em;'>DS Leitfaden ThVU</span></div> ""
Deletions:
Additions:
- oft werden Daten auch mit Verschlüsselung durch Ransomware zusammen oder bei z. B. Wirtschaftsspionage gezielt kopiert und so gelangen sie in die Hände der Angreifer;
- sofern die Datenverschlüsselung nicht sinnvoll oder nicht das Ziel war, kann es passieren, dass die Angreifer die gekaperten Systeme lediglich als "bots" nutzen - also als "Zombie"-Maschinen, die mit der "Zentrale" der Cyber-Kriminellen zusammenarbeiten und weitere Angriffe automatisiert starten; zugleich verbinden sie sich mit dem Netz der Angreifer, um - wie auch immer geartete - Fernsteuerung zu ermöglichen;
- in der Regel werden Spuren der Angreifer - egal zu welchem Zweck sie eindrangen - verschleiert.
Unsere Beobachtungen zeigen dabei, **dass es sich __nicht__ etwa um unvermeidbare Situationen handelt**, in denen niemand von der Sicherheitslücke wusste oder diese gerade erst entdeckt wurde und eine Reaktion auf sie noch nicht möglich war etc. Fast ausnahmsweise erfolgen Angriffe auf dem hier dargestellten Wege über bereits bekannte Sicherheitslücken, die praktisch immer dokumentiert und kommuniziert wurden, in der Regel besteht auch schon die Möglichkeit, die jeweilige Sicherheitslücke im Wege gewöhnlicher Softwareupdates zu schließen. Im Einzelnen sind die
- sofern die Datenverschlüsselung nicht sinnvoll oder nicht das Ziel war, kann es passieren, dass die Angreifer die gekaperten Systeme lediglich als "bots" nutzen - also als "Zombie"-Maschinen, die mit der "Zentrale" der Cyber-Kriminellen zusammenarbeiten und weitere Angriffe automatisiert starten; zugleich verbinden sie sich mit dem Netz der Angreifer, um - wie auch immer geartete - Fernsteuerung zu ermöglichen;
- in der Regel werden Spuren der Angreifer - egal zu welchem Zweck sie eindrangen - verschleiert.
Unsere Beobachtungen zeigen dabei, **dass es sich __nicht__ etwa um unvermeidbare Situationen handelt**, in denen niemand von der Sicherheitslücke wusste oder diese gerade erst entdeckt wurde und eine Reaktion auf sie noch nicht möglich war etc. Fast ausnahmsweise erfolgen Angriffe auf dem hier dargestellten Wege über bereits bekannte Sicherheitslücken, die praktisch immer dokumentiert und kommuniziert wurden, in der Regel besteht auch schon die Möglichkeit, die jeweilige Sicherheitslücke im Wege gewöhnlicher Softwareupdates zu schließen. Im Einzelnen sind die
Deletions:
Unsere Beobachtungen zeigen dabei, **dass es sich __nicht__ etwa um unvermeidbare Situationen handelt**, in denen niemand von der Sicherheitslücke wusste oder diese gerade erst entdeckt wurde und eine Reaktion auf sie noch nicht möglich war etc. Fast ausnahmsweise erfolgen Angriffe auf dem hier dargestellten Wege über bereits bekannte Sicherheitslücken, die praktisch immer dokumentiert und kommuniziert wurden, in der Regel besteht auch schon die Möglichkeit, die jeweilige Sicherheitslücke im Wege gewöhnlicher Softwareupdates zu schließen.
Additions:
- es ist zu bemerken, dass der Zugriff auf nicht abgesicherte Geräte bei der hier beschriebenen Methode so gut wie nie gezielt erfolgt; Cyberkriminelle haben in der Regel kein Interesse an konkreten Zielen, sondern an einem erfolgreichen Zugriff auf möglichst viele Ziele, die dann zu finanziellen Zwecken erpresst werden können (Verschlüsselung, Datendiebstahl, Betriebsstörung, damit der Betroffene erpresst werden kann); insofern arbeiten die Computer der Angreifer **blind möglichst viele per Internet erreichbare Geräte ab**; dies ist nicht nur unsere Beobachtung, sondern wird auch im Bericht des BSI bestätigt [1];
----
[1] BSI, Bericht zur Lage der IT-Sicherheit in Deutschland 2023, Seite 11: "[...] Angreifer gingen im Berichtszeitraum zunehmend den Weg des geringsten Widerstands und wählten verstärkt solche Opfer aus, die ihnen leicht angreifbar erschienen. Nicht mehr die Maximierung des potenziellen Lösegelds stand im Vordergrund, sondern das rationale Kosten-Nutzen-Kalkül. So wurden vermehrt **kleine und mittlere Unternehmen sowie Behörden der Landes- und Kommunalverwaltungen, wissenschaftliche Einrichtungen sowie Schulen und Hochschulen Opfer** von Ransomware-Angriffen." (Hervorhebung durch Verfasser)
----
[1] BSI, Bericht zur Lage der IT-Sicherheit in Deutschland 2023, Seite 11: "[...] Angreifer gingen im Berichtszeitraum zunehmend den Weg des geringsten Widerstands und wählten verstärkt solche Opfer aus, die ihnen leicht angreifbar erschienen. Nicht mehr die Maximierung des potenziellen Lösegelds stand im Vordergrund, sondern das rationale Kosten-Nutzen-Kalkül. So wurden vermehrt **kleine und mittlere Unternehmen sowie Behörden der Landes- und Kommunalverwaltungen, wissenschaftliche Einrichtungen sowie Schulen und Hochschulen Opfer** von Ransomware-Angriffen." (Hervorhebung durch Verfasser)
Deletions:
Additions:
- Cyberkriminelle konzipieren ein Angriffsverfahren, bei dem eine **bekannt gewordene Sicherheitslücke in Software zum Zweck eines unbefugten Zugriffs auf EDV-Systeme genutzt wird**; die betroffene Software kann ein Element des Betriebssystems sein (Beispiel: Microsoft RD-Protokoll) oder eine Software, die für die Kommunikation im Internet genutzt wird (Beispiel: Cisco IPSec-Implementation für VPNs);
- vorzugsweise werden dafür Sicherheitslücken verwendet, die einen **Remote-Zugriff** über Internet ermöglichen - auf diese Weise können Angriffe weltweit, standortunabhängig per Internet durchgeführt werden;
- darauf aufbauend werden ganze Botnetze oder andere - den Cyberkriminellen nicht direkt zuzuordnenden - Computer dafür verwendet, **Angriffe automatisiert und massenhaft auf Geräten, die über das öffentliche Internet erreichbar sind, durchzuführen**; die automatisierten Routinen werden jedenfalls dafür verwendet, jedenfalls die vulnerablen Geräte zu finden und meist auch in diese einzudringen;
- es ist zu bemerken, dass der Zugriff auf nicht abgesicherte Geräte bei der hier beschriebenen Methode so gut wie nie gezielt erfolgt; Cyberkriminelle haben in der Regel kein Interesse an konkreten Zielen, sondern an einem erfolgreichen Zugriff auf möglichst viele Ziele, die dann zu finanziellen Zwecken erpresst werden können (Verschlüsselung, Datendiebstahl, Betriebsstörung, damit der Betroffene erpresst werden kann); insofern arbeiten die Computer der Angreifer **blind möglichst viele per Internet erreichbare Geräte ab**;
- ist das Eindringen erfolgreich, nehmen Angreifer - automatisiert oder manuell - die angestrebten Maßnahmen vor:
- am häufigsten ist Ransomware - die Datenbestände werden verschlüsselt, Sicherungskopien vernichtet und es wird ein Lösegeld gefordert;
- oft werden Daten auch mit Verschlüsselung durch Ransomware zusammen oder bei z. B. Wirtschaftsspionage gezielt
((1)) Betroffene Schutz(-los)?
- vorzugsweise werden dafür Sicherheitslücken verwendet, die einen **Remote-Zugriff** über Internet ermöglichen - auf diese Weise können Angriffe weltweit, standortunabhängig per Internet durchgeführt werden;
- darauf aufbauend werden ganze Botnetze oder andere - den Cyberkriminellen nicht direkt zuzuordnenden - Computer dafür verwendet, **Angriffe automatisiert und massenhaft auf Geräten, die über das öffentliche Internet erreichbar sind, durchzuführen**; die automatisierten Routinen werden jedenfalls dafür verwendet, jedenfalls die vulnerablen Geräte zu finden und meist auch in diese einzudringen;
- es ist zu bemerken, dass der Zugriff auf nicht abgesicherte Geräte bei der hier beschriebenen Methode so gut wie nie gezielt erfolgt; Cyberkriminelle haben in der Regel kein Interesse an konkreten Zielen, sondern an einem erfolgreichen Zugriff auf möglichst viele Ziele, die dann zu finanziellen Zwecken erpresst werden können (Verschlüsselung, Datendiebstahl, Betriebsstörung, damit der Betroffene erpresst werden kann); insofern arbeiten die Computer der Angreifer **blind möglichst viele per Internet erreichbare Geräte ab**;
- ist das Eindringen erfolgreich, nehmen Angreifer - automatisiert oder manuell - die angestrebten Maßnahmen vor:
- am häufigsten ist Ransomware - die Datenbestände werden verschlüsselt, Sicherungskopien vernichtet und es wird ein Lösegeld gefordert;
- oft werden Daten auch mit Verschlüsselung durch Ransomware zusammen oder bei z. B. Wirtschaftsspionage gezielt
((1)) Betroffene Schutz(-los)?
Deletions:
- vorzugsweise werden dafür Sicherheitslücken verwendet, die einen Remote-Zugriff über Internet ermöglichen - auf diese Weise können Angriffe weltweit, standortunabhängig per Internet durchgeführt werden;
- darauf aufbauend werden ganze Botnetze oder andere - den Cyberkriminellen nicht direkt zuzuordnenden - Computer dafür verwendet, Angriffe automatisiert und massenhaft auf Geräten, die über das öffentliche Internet erreichbar sind, durchzuführen; die automatisierten Routinen werden jedenfalls dafür verwendet, jedenfalls die vulnerablen Geräte zu finden und meist auch in diese einzudringen;
- es ist zu bemerken, dass der Zugriff auf nicht abgesicherte Geräte bei der hier beschriebenen Methode so gut wie nie gezielt erfolgt; Cyberkriminelle haben in der Regel kein Interesse an konkreten Zielen, sondern an einem erfolgreichen Zugriff auf möglichst viele Ziele, die dann zu finanziellen Zwecken erpresst werden können (Verschlüsselung, Datendiebstahl, Betriebsstörung, damit der Betroffene erpresst werden kann);
-
Additions:
Die Zwischenfälle (mit Ransomware, ausgeführt als ""DoS""-Attacken oder Datendiebstahl) erfolgen auf folgende Weise:
Deletions:
Additions:
- unter Ausnutzung von Fehlern in der eingesetzten Technik, insbesondere in der Software (Softwarelücken).
Deletions:
Additions:
Eine der häufigsten Ursachen für größere und bekannt gewordene Zwischenfälle rund um Datensicherheit sind
- Aktivitäten von Cyberkriminellen
- unter Ausnutzung von Fehlern in der eingesetzten Technik, insbesondere in der Software.
Die Zwischenfälle (mit Ransomware, ausgeführt als DoS-Attacken oder Datendiebstahl) erfolgen auf folgende Weise:
- Cyberkriminelle konzipieren ein Angriffsverfahren, bei dem eine bekannt gewordene Sicherheitslücke in Software zum Zweck eines unbefugten Zugriffs auf EDV-Systeme genutzt wird; die betroffene Software kann ein Element des Betriebssystems sein (Beispiel: Microsoft RD-Protokoll) oder eine Software, die für die Kommunikation im Internet genutzt wird (Beispiel: Cisco IPSec-Implementation für VPNs);
- vorzugsweise werden dafür Sicherheitslücken verwendet, die einen Remote-Zugriff über Internet ermöglichen - auf diese Weise können Angriffe weltweit, standortunabhängig per Internet durchgeführt werden;
- darauf aufbauend werden ganze Botnetze oder andere - den Cyberkriminellen nicht direkt zuzuordnenden - Computer dafür verwendet, Angriffe automatisiert und massenhaft auf Geräten, die über das öffentliche Internet erreichbar sind, durchzuführen; die automatisierten Routinen werden jedenfalls dafür verwendet, jedenfalls die vulnerablen Geräte zu finden und meist auch in diese einzudringen;
- es ist zu bemerken, dass der Zugriff auf nicht abgesicherte Geräte bei der hier beschriebenen Methode so gut wie nie gezielt erfolgt; Cyberkriminelle haben in der Regel kein Interesse an konkreten Zielen, sondern an einem erfolgreichen Zugriff auf möglichst viele Ziele, die dann zu finanziellen Zwecken erpresst werden können (Verschlüsselung, Datendiebstahl, Betriebsstörung, damit der Betroffene erpresst werden kann);
- je nach Angriffsvariante erfolgt die Kompromittierung der angegriffenen Geräte oder der internen Netzwerke, in denen sie sich befinden, automatisiert oder die Angreifer unternehmen bei Information über Zugriffsmöglichkeit manuell den Versuch, in die Geräte / Netzwerke tiefer einzudringen;
-
Unsere Beobachtungen zeigen dabei, **dass es sich __nicht__ etwa um unvermeidbare Situationen handelt**, in denen niemand von der Sicherheitslücke wusste oder diese gerade erst entdeckt wurde und eine Reaktion auf sie noch nicht möglich war etc. Fast ausnahmsweise erfolgen Angriffe auf dem hier dargestellten Wege über bereits bekannte Sicherheitslücken, die praktisch immer dokumentiert und kommuniziert wurden, in der Regel besteht auch schon die Möglichkeit, die jeweilige Sicherheitslücke im Wege gewöhnlicher Softwareupdates zu schließen.
- Aktivitäten von Cyberkriminellen
- unter Ausnutzung von Fehlern in der eingesetzten Technik, insbesondere in der Software.
Die Zwischenfälle (mit Ransomware, ausgeführt als DoS-Attacken oder Datendiebstahl) erfolgen auf folgende Weise:
- Cyberkriminelle konzipieren ein Angriffsverfahren, bei dem eine bekannt gewordene Sicherheitslücke in Software zum Zweck eines unbefugten Zugriffs auf EDV-Systeme genutzt wird; die betroffene Software kann ein Element des Betriebssystems sein (Beispiel: Microsoft RD-Protokoll) oder eine Software, die für die Kommunikation im Internet genutzt wird (Beispiel: Cisco IPSec-Implementation für VPNs);
- vorzugsweise werden dafür Sicherheitslücken verwendet, die einen Remote-Zugriff über Internet ermöglichen - auf diese Weise können Angriffe weltweit, standortunabhängig per Internet durchgeführt werden;
- darauf aufbauend werden ganze Botnetze oder andere - den Cyberkriminellen nicht direkt zuzuordnenden - Computer dafür verwendet, Angriffe automatisiert und massenhaft auf Geräten, die über das öffentliche Internet erreichbar sind, durchzuführen; die automatisierten Routinen werden jedenfalls dafür verwendet, jedenfalls die vulnerablen Geräte zu finden und meist auch in diese einzudringen;
- es ist zu bemerken, dass der Zugriff auf nicht abgesicherte Geräte bei der hier beschriebenen Methode so gut wie nie gezielt erfolgt; Cyberkriminelle haben in der Regel kein Interesse an konkreten Zielen, sondern an einem erfolgreichen Zugriff auf möglichst viele Ziele, die dann zu finanziellen Zwecken erpresst werden können (Verschlüsselung, Datendiebstahl, Betriebsstörung, damit der Betroffene erpresst werden kann);
- je nach Angriffsvariante erfolgt die Kompromittierung der angegriffenen Geräte oder der internen Netzwerke, in denen sie sich befinden, automatisiert oder die Angreifer unternehmen bei Information über Zugriffsmöglichkeit manuell den Versuch, in die Geräte / Netzwerke tiefer einzudringen;
-
Unsere Beobachtungen zeigen dabei, **dass es sich __nicht__ etwa um unvermeidbare Situationen handelt**, in denen niemand von der Sicherheitslücke wusste oder diese gerade erst entdeckt wurde und eine Reaktion auf sie noch nicht möglich war etc. Fast ausnahmsweise erfolgen Angriffe auf dem hier dargestellten Wege über bereits bekannte Sicherheitslücken, die praktisch immer dokumentiert und kommuniziert wurden, in der Regel besteht auch schon die Möglichkeit, die jeweilige Sicherheitslücke im Wege gewöhnlicher Softwareupdates zu schließen.
Deletions:
Additions:
Eine der häufigsten Ursachen für größere und bekannt gewordene Zwischenfälle rund um Datensicherheit sind Aktivitäten von Cyberkriminellen unter Ausnutzung von Fehlern in der eingesetzten Technik, insbesondere in der Software. Unsere Beobachtungen zeigen dabei, **dass es sich __nicht__ etwa um unvermeidbare Situationen handelt**, in denen niemand von der Sicherheitslücke wusste oder diese gerade erst entdeckt wurde und eine Reaktion auf sie noch nicht möglich war etc. Fast ausnahmsweise erfolgen Angriffe auf dem hier dargestellten Wege über bereits bekannte Sicherheitslücken, die praktisch immer dokumentiert und kommuniziert wurden, in der Regel besteht auch schon die Möglichkeit, die jeweilige Sicherheitslücke im Wege gewöhnlicher Softwareupdates zu schließen.
Deletions:
Additions:
Eine der häufigsten Ursachen für größere und bekannt gewordene Zwischenfälle rund um Datensicherheit sind Aktivitäten von Cyberkriminellen unter Ausnutzung von Fehlern in der eingesetzten Technik, insbesondere in der Software. Unsere Beobachtungen zeigen dabei, **dass es sich __nicht__ etwa um unvermeidbare Situationen handelt**, in denen niemand von der Sicherheitslücke wusste oder diese gerade erst entdeckt wurde und eine Reaktion auf sie noch nicht möglich war etc.
Deletions:
Additions:
((1)) Angriff unter Ausnutzung technischer Lücken in der EDV
Eine der häufigsten Ursachen für größere und bekannt gewordene Zwischenfälle rund um Datensicherheit sind Aktivitäten von Cyberkriminellen unter Ausnutzung von Fehlern in der eingesetzten Technik, insbesondere in der Software.
((1)) Technischer Ausfall
Häufig entstehen Daten-GAU-s oder schlicht EDV-Ausfälle dadurch, weil schlicht die EDV-Industrie unzureichendes Qualitätsmanagement betreibt.
((1)) Sonstige
Eine der häufigsten Ursachen für größere und bekannt gewordene Zwischenfälle rund um Datensicherheit sind Aktivitäten von Cyberkriminellen unter Ausnutzung von Fehlern in der eingesetzten Technik, insbesondere in der Software.
((1)) Technischer Ausfall
Häufig entstehen Daten-GAU-s oder schlicht EDV-Ausfälle dadurch, weil schlicht die EDV-Industrie unzureichendes Qualitätsmanagement betreibt.
((1)) Sonstige
Deletions:
Additions:
An dieser Stelle wollen wir die Ergebnisse der Auswertung unterschiedlicher Zwischenfälle im Hinblick auf die gesicherten oder (sofern eine Klärung nicht mit Sicherheit erfolgen konnte) wahrscheinlichsten Ursachen für Datenverlust, Kompromittierung, Ausfall der EDV in Verwaltungen und KMUs zusammenfassen. Die Ursachenforschung steht nun mal am Anfang jeder Gegenmaßnahme.
((1)) Angriff unter Ausnutzung von
((1)) Angriff unter Ausnutzung von
Additions:
===== DS Leitfaden ""ThVU"" - Analyse der Ursachen =====
