Liebe Leserinnen und Leser,
der Jahresausklang ist immer eine spannende Zeit, in der man das Vergangene Revue passieren lässt und mit Neugier auf das Kommende blickt. Auch wir möchten die Gelegenheit nutzen und Ihnen in unserem Dezember Newsletter einen Rückblick des Jahres 2021 geben.
Im vergangenen Jahr haben wir Ihnen zusätzlich zu unseren 12 monatlichen Security Newslettern vier Sonderausgaben zugestellt. Die erste Sonderausgabe im Februar diente zur Warnung vor der Zero-Day Lücke in Exchangeservern. Da sich die Kritikalität der Zero-Day-Lücke Hafnium immer weiter verschärft hat und das BSI dafür die Stufe 4 einer IT-Bedrohungslage vergeben hat, haben wir unsere Handlungsempfehlungen im März erneut in einer Sonderausgabe zusammengefasst. Anlässlich des Microsoft Patchdays im November gab es eine Sonderausgabe zu kritischen Sicherheitslücken bei Microsoft-Programmen. Abgeschlossen wurde das Jahr mit der vierten und letzten Sonderausgabe, die diese Woche versendet wurde. Hier haben wir Sie über die schwerwiegende Sicherheitslücke in log4j informiert, der vom BSI sogar die höchste Warnstufe (10 von 10) erteilt wurde.
In 2021 haben wir auch unser Angebot an kostenlosen Webinaren fortgesetzt. Aus acht stattgefundenen Webinaren haben wir uns die Highlights herausgepickt und stellen Ihnen hier unsere Top 3 der meistbesuchten Webinare 2021 vor:
Platz 1: Angriffsziel Active Directory – So sichern Sie Ihr AD effizient ab
Platz 2: LDAP Verschlüsselung – Warum Ihr Active Directory in Gefahr ist
Platz 3: Social Engineering – Wie Hacker Ihre Mitarbeiter manipulieren
Die Aufzeichnungen zu all unseren Webinaren können Sie sich jederzeit auf unserer Website ansehen. Auch im neuen Jahr werden wir Sie weiterhin mit spannenden Webinaren rund um die Themenbereiche IT-Infrastruktur, Informationssicherheit und Digitalisierung versorgen.
Mit den letzten Tagen des Jahres geht es für uns alle in die Planung für 2022. Dabei ist eines sicher: Im Datenschutz und in der Informationssicherheit sind wir fortlaufend aufgefordert, uns zu verbessern, denn auch in 2022 ist mit einem Anstieg der Bedrohungslage durch Cyberangriffe zu rechnen.
Um diesen Herausforderungen gerecht zu werden, haben wir im zurückliegenden Jahr gemeinsam mit unseren Kunden zahlreiche Maßnahmen umgesetzt. Die effektivsten Mittel möchten wir rückblickend noch einmal zusammenfassen und Ihnen als Sneak Preview einen Einblick darin geben, was wir 2022 für Sie anbieten möchten.
Security Scans
Um unserem eigenen Anspruch an die kontinuierliche Verbesserung der IT-Sicherheit gerecht zu werden, setzen wir monatliche technische Schwachstellenscans um. Die Ergebnisse halfen uns, in diesem Jahr zahlreiche Lücken zu erkennen, die trotz umfangreicher manueller Prüfungen außerhalb des Fokus blieben. Die Scans können dabei mehrere kleine Schwachstellen zu weitreichenden Abweichungen kombinieren. Wir erkannten, dass diese Kombination aus einem softwarebasierten Scan und der fachlichen, menschlichen Einschätzung und Bewertung einen hohen Mehrwert für die Unternehmenssicherheit bedeuten. Kurzfristig können damit kritische Schwachstellen im Netzwerk erkannt und geschlossen werden. Security Scans bilden für uns eine Sicherheitsbasis, um die Umsetzungszeit bis zur Wirksamkeit längerfristiger Maßnahmen zu stabilisieren. Und wie bei allem in der IT-Sicherheit lautet die Devise, am Ball zu bleiben. Über regelmäßige Rescans können neu entstandene Lücken zügig erkannt werden, die durch permanente Modifikationen am Netzwerk entstehen können.
In 2021 formten wir mit dem “Schwachstellenscan” und dem “AD Assessment” zwei schlagfertige Dienstleistungsprodukte für unsere Kunden. Wir sind der festen Überzeugung, dass Unternehmen dadurch schnell eine erhebliche Verbesserung der IT-Sicherheit erreichen.
Managementsysteme als Standard in der Informationssicherheit
Wir sehen die Einführung, Handhabung und fortlaufende Weiterentwicklung standardisierter Organisationsabläufe als passende Antwort auf die aktuelle Bedrohungslage. Werden Prozesse immer identisch nach festgelegten Regeln umgesetzt, bedeutet dies einen enormen Anstieg der Stabilität und damit der Sicherheit in der Organisation.
Nur auf Basis eines funktionierenden Managementsystems können die aktuellen Anforderungen beherrschbar werden. Unser Fokus liegt hier in der Beratung kleiner und mittelständischer Umgebungen, bei denen es im Gegensatz zur Industrie meist an klaren Strukturen fehlt. In 2021 haben wir unsere Beratungsleistung umfangreich erweitert, um für Kunden passgenaue Lösungen zu erarbeiten. Mit CISIS12 haben wir einen Standard für die Informationssicherheit in unser Beratungsportfolio aufgenommen, der zielgerichtet ist und auch im Tagesgeschäft umsetzbar bleibt. Darüber gelingt es, organisatorische Sicherheitsmaßnahmen in bestehende Abläufe zu integrieren. Darüber hinaus kann CISIS12 als erreichbarer Einstiegsschritt verstanden und zu jeder Zeit in eine umfassendere Norm wie beispielsweise ISO 27001 adaptiert werden.
Website Monitoring
Websites stehen auf Grund ihrer Außenwirkung besonders im Fokus. Können interne Prozesse vor den Augen der Öffentlichkeit oder auch von Aufsichtsbehörden versteckt werden, ist dies bei Webauftritten nicht möglich. Websites stehen immer und für jeden frei erreichbar im Internet und können damit jederzeit auf notwendige Anforderungen geprüft werden. Im Kontext des TTDSG hat sich diese Thematik verschärft.
Auch in Bezug auf die Beratung konformer Webauftritte haben wir unseren Prüfkatalog in 2021 ausgeweitet und können Kunden in dieser Thematik noch zielführender unterstützen. Mit dem Website-Monitoring zeigen wir auf, welche Anforderungen Ihre Website aktuell noch nicht erfüllt, wie z. B. das Blockieren der Cookies bis eine Einwilligung vorliegt.
Sneak Preview – ein kleiner Ausblick auf 2022
Microsoft 365
Wenige Organisationen konnten sich der cloudbasierten Weiterentwicklung von Microsoft Produkten entziehen. Viele Stellen greifen, bedingt durch die Pandemieanforderungen, zumindest auf digitale Kommunikationsdienste von M365 zurück. Damit eröffnen sich zahlreiche Anforderungen an Datenschutz und Informationssicherheit. In den zurückliegenden Monaten haben wir unseren Anforderungskatalog geschärft und kommen damit in 2022 auf Sie zu. Gemeinsam schaffen wir auch bei Ihrer cloudbasierten Umgebung eine anforderungsgerechte Vertraulichkeit, Integrität und Verfügbarkeit.
Notfallmanagement
Wenn Stellen wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) das Thema “Schutzmaßnahmen gegen Ransomware” in den Fokus ihrer Prüfaktionen stellen, wird die Bedrohungslage bewusst. Mit den kommenden Festtagen wird sich das Risiko noch verschärfen. Angreifer werden davon ausgehen, dass Netzwerke über mehrere Tage nicht im normalen Monitoring-Fokus stehen und Warnmeldungen nicht entgegengenommen werden.
Sollte ein Notfall eintreten, ist die kontrollierte Abarbeitung von Handlungsketten essentiell. Organisationen müssen im Schadensfall einen geordneten Plan und Zugriff auf alle notwendigen Informationen wie Kontaktdaten der Ansprechpartner, Dokumentationen oder Passwörter haben. Dieser Informationszugriff muss auch sichergestellt sein, wenn zentrale Systeme nicht zur Verfügung stehen. Unser Ziel ist es, dass sich alle Kunden der Notwendigkeit eines Notfallkonzeptes bewusst sind und wir gemeinsam ein individuelles Notfallkonzept erarbeiten, damit sie im Worst-Case souverän agieren können.
Wir bedanken uns herzlich für Ihre Treue und Ihre Wertschätzung in 2021! In diesem Sinne wünschen wir Ihnen ein friedvolles Weihnachtsfest und einen guten und erholten Start in das neue Jahr 2022.