Security by Service Design 

Bilden Service Management und Information Security Management das Dream-Team zur dauerhaften Gewährleistung des Sicherheitsniveaus? Der Security by Service-Design (SxSD) Ansatz adressiert, dass Security in allen Bereichen des Service Managements mitgedacht und mitgelenkt wird – und sorgt so dafür, dass Sicherheit von der ersten Idee eines neuen Service über die Inbetriebnahme und den Regelbetrieb bis zur Außerbetriebnahme gewährleistet wird.  

Von Martin Glaser, Andreas Dassen, Franz Gläser und Robert Manuel Beck

Trotz allgegenwärtig zunehmender Sicherheitsvorfälle wird Security meist immer noch in einem von zwei Modi betrieben: entweder nach dem Gießkannenprinzip der Compliance (Gleiches Maß an Sicherheit für alle Services & Anwendungen) oder nach der Rettungsdienstlogik (Vorfall -> Management Attention -> Aktivismus), bisweilen mühsam getarnt durch das Label der Risikobasiertheit. Bei vielen Unternehmen folgt das IT-Sicherheitsprogramm noch keinem systematischen Grundsatz. 

In der Softwareentwicklung ist Security by Design ein wichtiges Paradigma, das hilft, Sicherheit frühzeitig und ganzheitlich im Code zu verankern. Dies zielt jedoch in der Regel auf einzelne Produkte ab, ist damit aufwendig, immer individuell umzusetzen und vor allem auf die Entwicklungsphase am Anfang des Lebenszyklus beschränkt. Der Ansatz Security by Service Design erweitert das Konzept von der Softwareentwicklung auf den gesamten Lebenszyklus der Services, mithin Einsatzzweck und Daseinsberechtigung der Produkte, also die Service-Erbringung. Für die betriebenen und angebotenen Services kommt somit eine angemessene Security nicht mehr zufällig heraus, sondern wird kontinuierlich an neue Bedrohungen, Technologien oder sonstige veränderte Anforderungen angepasst. 

Verankerung in der Serviceerbringung

Es existiert in der Praxis oftmals kein abgestimmtes Vorgehen zwischen Service Management und Information Security Management

Solange diese Trennung von Service Management und Security fortbesteht, finden im Prinzip zwei getrennte Kämpfe gegen dieselben Windmühlen statt. In Kombination mit fehlendem Business-Know-how auf beiden Seiten führt das dazu, dass die Ziele einerseits nicht aufeinander abgestimmt sind, andererseits Business-Anforderungen immer wieder individuell abgeholt werden müssen. Das wirkt auf alle Beteiligten im Geschäftsprozess dauerhaft zermürbend. 

Es fehlt also an einer Vorgehensweise, um die Serviceerbringung systematisch, ganzheitlich und dauerhaft mit der Security in das gesamte Service-Portfolio einfließen zu lassen. 

Andersherum wäre es hilfreich, Security als Kosten- und Nutzenfaktor durch das Service Management sicht- und messbar zu machen. Das wiederum, um die Kosten zu optimieren und den konkreten Nutzen für das Business herauszustellen. 

Dafür ist ein „Shift Left“ im Sinne einer Vorverlagerung analog zum Bereich der Softwareentwicklung notwendig. Dort hat das Konzept bereits einen großen Rückhalt. Security muss also von Anfang an in die Diskussion mit dem Kunden einfließen. Das verlangt nach einem intensiven Abgleich mit dem Business. So wird das richtige Maß an Sicherheit für jeden Service über den gesamten Lebenszyklus aufgebaut und aufrechterhalten. Dadurch werden Risikobasiertheit, Wirtschaftlichkeit und Nachhaltigkeit zu Qualitätskategorien. Über diese wird mit Kunden verhandelt und nicht zuletzt auch die Preisfindung betrieben. Gelingen kann das jedoch nur durch tiefe Integration in andere Qualitätsprozesse und die eingesetzten Service Management Frameworks

Ist die Zusammenarbeit erfolgreich, ergibt sich für Information Security Management eine höhere Sicherheit. Denn das gewünschte Risikoniveau im Betrieb ist dauerhaft gewährleistet. Das garantiert reduzierten Stress durch weniger Feuerwehreinsätze und eindeutige Verantwortlichkeiten. Aufseiten des Service Managements lässt sich eine erhöhte Kundenzufriedenheit erzielen sowie gegebenenfalls auch ein Alleinstellungsmerkmal auf dem Markt produzieren. 

Das neue Dream-Team 

Wenn es also gelingt, die Ziele von Service Management und Information Security Management aufeinander abzustimmen, kann eine Kette von Sicherheitsanforderungen vom Kunden des IT-Services bis hin zu den von den einzelnen IT-Bereichen erbrachten Services abgebildet werden.  

Dafür müssen Kunden beantworten, welche Anforderungen an Vertraulichkeit, Integrität, Verfügbarkeit und weitere Werte der im Service verarbeiteten Informationen zu stellen sind. Durch Konkretisierung und Einstufung des Schutzbedarfs in einem Service-Level-Agreement (SLA) lassen sich dann reale Maßnahmen in der Serviceerbringung definieren. Das Service-Modell muss dafür das Wissen bereitstellen, welche Bereiche innerhalb der IT an der Leistungserbringung eines jeden Services beteiligt ist. Die Servicekomponente wird durch die Unterstützung von Information Security Management in Maßnahmen pro Bereich definiert. Damit wird das jeweilige Sicherheitslevel gewährleistet. Dazu stellt der Service-Manager mit Unterstützung durch Information Security Management sicher, dass das benötigte Sicherheitsniveau auch im Zusammenspiel der unterschiedlichen Servicekomponenten eingehalten wird. 

Die Sichtweise des Security by Service Designs ist folgende: Angestrebt wird die verlässliche Sicherheit des Services während seines gesamten Lebenszyklus – alle Beteiligten und Stakeholder dabei zu berücksichtigen ist eine Selbstverständlichkeit, egal ob sie innerhalb oder außerhalb der Organisation angesiedelt sind. 

Um das zu erreichen, muss das Service Design explizit auch Sicherheitsfragen berücksichtigen, dabei sowohl Bedrohungen von außerhalb der Organisation als auch die oftmals ignorierten internen Risiken beachten und sich vor allem in einer frühen Phase der Einführung und Entwicklung einbringen. Zusammenfassend gesprochen: Das Service Management muss alle vier Quadranten der von den Phasen Einführung und Betrieb sowie von externen und internen Bedrohungsquellen aufgespannten Matrix betrachten. 

Fazit 

Mittels Security by Service Design wird über den gesamten Service Lifecycle ein angemessenes Level an Sicherheit gewährleistet. So werden Potenziale für Sicherheitsverbesserungen aktiv gestaltet. Das Mittel dazu ist das Service Design, oder umfassender gedacht: das Service Management

Dank Security by Service Design können mithilfe des im Service Management kanalisierten Business-Know-Hows (wo?) gemeinsam mit der technischen Expertise der Security (wie?) Bedrohungen deutlich besser abgewehrt werden. Damit wird durch die Zusammenarbeit von IT-Service Management und Information Security Management Sicherheit effizienter auf das angestrebte Niveau gebracht. 

Compliance-Bingo und Checklisten-Fetisch? Die Suche nach nachhaltiger Security

Hundertprozentige Security gibt es nicht, wie wir alle wissen. Daher macht es wenig Sinn, Vorfälle zu zählen, um den Erfolg eines Security-Programms zu bewerten. Woher weiß ich aber sonst, ob ich auf dem richtigen Weg bin?

Eine gleichzeitig schwammige und konkrete Antwort darauf, was umzusetzen ist, gibt der Begriff „Stand der Technik“. Zwar gibt es keine objektiven harten Vorgaben in Bezug auf Ziele, Tools oder Technologien, wenn ich allerdings etwa meine, ohne Authentifizierung oder Backup auszukommen, sollte ich gute Argumente haben, wenn etwas anbrennt.

Das kann so weit gehen, dass Konzerne viele Security-Funktionen im Wesentlichen deswegen im Einsatz haben, um sich moralisch abzusichern, falls etwas schiefgeht: „Erst wenn du den Gartner Hype Cycle einmal rauf- und runtergekauft hast, sind du und dein Job auf der sicheren Seite.“

Darüber hinaus stellt sich aber auch die Frage, wie die Umsetzung geschehen soll, also welche Qualität und Intensität ausreichend ist. Das Zauberwort hier ist „Sorgfaltspflicht“ (Englisch „Due Diligence“) – und die sollte ich im Notfall nachweisen können.

Um auch langfristig in Bezug auf die Security voranzukommen, innerhalb einer Organisation wie auch gesamtgesellschaftlich, braucht es allerdings noch ein drittes Prinzip: Das Ganze kann nicht funktionieren, wenn wir dauerhaft technische Schulden anhäufen. Zwar wissen wir heute nicht, welche kritischen Schwachstellen in nächster Zeit auftauchen. Aber solange wir immer mehr technische Altlasten sammeln, wächst das Risiko, dass uns eine davon kalt erwischt.

https://www.heise.de/meinung/Kommentar-Angriffe-lassen-sich-nicht-vermeiden-uebernehmt-die-Verantwortung-7328918.html

HiSolutions Research

Lesetipps Februar 2021

A Corporate Anthropologist’s Guide to Product Security 

Was kann ein Unternehmensanthropologe zur Security beitragen? Viel, stellt sich heraus, jedenfalls wenn er Alex Gantman heißt und es um Produktsicherheit geht. Der Bericht seiner jahrzehntelangen Arbeit am Thema Product Security ist nicht nur erhellend, sondern auch äußerst nützlich als Handreichung.

https://www.linkedin.com/pulse/corporate-anthropologists-guide-product-security-alex-gantman

Security, Moore’s law, and the anomaly of cheap complexity

Der (Ex-)Sicherheitsforscher Thomas Dullien alias Halvar Flake hat bereits 2019 einen bisher zu Unrecht weniger beachteten Vortrag zum Thema der ökonomischen Gründe für den Komplexitätsanstieg, der bekanntlich der Hauptfeind der Security ist, gehalten.

Video: https://www.youtube.com/watch?v=q98foLaAfX8 

Folien: https://docs.google.com/presentation/d/181WFEcKiOiIDiWygVk2WGActldWUkAPiPsn5U4KKN_g/mobilepresent?slide=id.p1 


Katastrophenarm(ee): Ich war‘s nicht – Cyberwars!

Zwanzigmal „Cyber“ in einem Artikel? Ob das ein Qualitätsmerkmal sein kann, sollten Sie anhand meiner letzten Security-Kolumne in der Zeitschrift iX am besten selbst beurteilen. 
Teaser: „COVID-19 hat eine Überlebensquote von 98–99% – Ebola schnaubt verächtlich – und ­einen Reproduktionsfaktor von lediglich 2–3, worüber die Masern nur lachen können. Was die aktuelle Pandemie so tragisch macht, ist genau die Kombination aus exponentiellem Wachstum, das aufgrund aufwendiger Detektion nicht „billig“ zu begrenzen ist, und nicht vernachlässigbarer Todesrate. Ebola und SARS waren zu tödlich und auffällig, um sich weit verbreiten zu können, Corona haut genau in einen Sweet Spot von tödlich genug für ein weltweites Massaker, aber auch harmlos genug, um sich von uns immer weiter herumtragen zu lassen.“ Und ja, es geht (auch) um Security.

https://www.heise.de/select/ix/2021/1/2031711062675348992

HiSolutions Research

KMU und raus bist Du? IT-Sicherheit für den Mittelstand

Eine wachsende Zahl von Ressourcen und Handreichungen beschäftigt sich mit der Frage, wie mittelständische Unternehmen Informationssicherheit wirtschaftlich und effektiv umsetzen können. Die Abschlussarbeit unseres Kollegen Patrick Taege beleuchtet die besonderen Herausforderungen, denen sich KMUs in der Security stellen.

https://research.hisolutions.com/2021/01/warum-der-mittelstand-besonders-auf-it-sicherheit-achten-sollte/

HiSolutions Empfehlung: Unsere Checkliste zur Cybersecurity für kleine und mittlere Einrichtungen 

HiSolutions Research

Schwachstellendarstellungsstandardisierungsvorschlag: OASIS CSAF

Schwachstellen werden in der Regel individuell beschrieben und dokumentiert. Dabei würde eine einheitliche Darstellungsform die Verarbeitung und gar Automation in diesem Bereich erheblich erleichtern. Zwar existieren schon verschiedene Standardvorschläge dazu, bisher konnte sich jedoch keiner davon breiter durchsetzen.

Nun sammelt sich hinter dem OASIS Common Security Advisory Format (CSAF) relevante Unterstützung u. a. von BSI, NIST und MITRE mit geplanten Aktivitäten wie einem Proof-of-Concept-Projekt zur Anwendung.

https://github.com/oasis-tcs/csaf

HiSolutions Research

Wider den reedlichen Mast- und Schotbruch der Integrität: UN verlangen IT-Resilienz von Schifffahrt

Während sich viele Konzerne auf dem Land und in der Luft schon länger um den Schutz ihrer Netze und Daten kümmern, verlangt die internationale Schifffahrtsorganisation der UNO, IMO, nun auch IT-Resilienz auf den Meeren. Seit Anfang des Jahres gelten neue Anforderungen für die Cyber-Sicherheit an Bord von Schiffen tausender Reedereien. Dafür wurden eigens die Regeln für den sicheren internationalen Schiffsbetrieb ergänzt, u. a. um ein Cyber-Risikomanagement. Systeme müssen nun durch technische und organisatorische Maßnahmen (TOM) geschützt werden.

https://www.tagesspiegel.de/wirtschaft/it-ausfaelle-in-der-schifffahrt-wie-cyberattacken-den-welthandel-bedrohen/26781164.html

Es steht so mittel: Mittelstand und IT-Sicherheit

Im Zuge der Digitalisierung werden immer mehr Informationen digital gespeichert, bearbeitet und verteilt. Während in kleineren Unternehmen oft eher eine verhältnismäßig geringe Menge an Daten verarbeitet wird und davon ein Großteil immer noch analog, verarbeiten mittelständische und große Unternehmen Informationen heute meist vorwiegend digital. Durch die Integration und automatisierte Verwaltung von – häufig sensiblen – Daten in Netzwerkstrukturen ergeben sich zwangsläufig Schwachstellen, die die Sicherheit der Informationen gefährden.

Die steigende Komplexität von Prozessen und Anwendungen führt fast unvermeidbar zu Fehlern in der Entwicklung, Wartung oder Handhabung. Zwar sind nicht alle Fehler sicherheitskritisch: Häufig greifen die Schutzmechanismen von Betriebssystemen und verwendeter Software, bevor ein Schaden entstehen kann. Doch mit der wachsenden Abhängigkeit von funktionierenden und vertrauenswürdigen Systemen wachsen auch die Risiken für deren Anwender*innen. 

Besondere Gefährdung des Mittelstands

Dabei sind mittelständische Unternehmen bzw. KMU besonders gefährdet: Den Grundstein hierfür legt die im Unternehmen verwendete IT-Infrastruktur. Sehr kleine Unternehmen, beispielsweise Einzelunternehmen, haben in der Regel keine eigens eingerichtete IT-Infrastruktur. Hier kommen häufig etwa Router zum Einsatz, wie sie auch in privaten Haushalten verwendet werden, um eine Verbindung zum Internet zu ermöglichen. Kommunikationswege wie etwa E-Mail oder eine Webseite werden meist von großen Anbietern wie Google Mail oder Strato bereitgestellt. Der Vorteil hierbei ist ein geringer Aufwand für die Unternehmen und eine relativ hohe Sicherheit durch die Verwendung von Systemen professioneller Anbieter, da diese starke Sicherheitskonfigurationen für ihre Geräte (etwa eine FritzBox) und Systeme (zum Beispiel Webhosting oder Webmail) bereitstellen und in der Regel auch die nötigen Ressourcen dazu haben. 

Nachteile bestehen in der Abhängigkeit vom Anbieter beziehungsweise von Dienstleistenden, die etwa bei der Einrichtung und Instandhaltung kontaktiert werden müssen. Zusätzlich ist eine derartig aufgebaute IT-Infrastruktur meist nicht sehr flexibel in ihren Konfigurationsmöglichkeiten oder bietet irgendwann nicht mehr alle Funktionen, die ein Unternehmen sich wünscht. Manche Unternehmen können oder wollen auch keinen Webmail-Anbieter einsetzen, da sie sich Sorgen um den Datenschutz machen, etwa wenn es sich um eine Arztpraxis handelt, die empfindliche Informationen verarbeiten muss.

Der nächste Schritt ist also der Einsatz flexiblerer IT-Systeme in einer gegebenenfalls wachsenden IT-Abteilung. Sich mit diesen Systemen auseinanderzusetzen stellt jedoch die meisten KMU vor Probleme. In diesem Fall wenden sich Unternehmen häufig an externe Dienstleister. Zwar wird dadurch das Unternehmen anpassungsfähiger in seiner IT. Aber meist ist der Fokus weder bei den Unternehmen noch bei ihren externen Dienstleistern auf IT-Sicherheit ausgerichtet, was zur Folge hat, dass potentielle Angriffswege entstehen, die ein großer Anbieter möglicherweise geschlossen hätte.

Große Unternehmen brauchen ein hohes Maß an Flexibilität und haben in der Regel auch eine entsprechende IT-Abteilung. Sie sind sich der Tragweite einer gut ausgeprägten IT-Sicherheit eher bewusst und besitzen im Zweifel die notwendigen Ressourcen, diese einzurichten und zu warten. Und wenn ein externer Dienstleister zu Rate gezogen werden muss, wird dieser meist entsprechende Schwerpunkte auf IT-Sicherheit vorweisen können.

Risiken für KMUs

Damit sind KMU von den drei vorgestellten Unternehmensgrößen am schwächsten aufgestellt, wenn es um ihre IT-Sicherheit geht, da sie zwar in ihren digitalen Unternehmensprozessen vielseitiger werden müssen, gleichzeitig aber aus unterschiedlichen Gründen selten den notwendigen Schwerpunkt auf IT-Sicherheit legen können.

IT-Sicherheit in Abhängigkeit der Unternehmensgröße [Taege 2020]

Es müssen daher Maßnahmen ergriffen werden, die sowohl von technischen Aspekten einer Offenlegung der Schwachstelle (Disclosure) abhängig sind als auch von der Kommunikation mit möglichen Betroffenen, beispielsweise Kunden. Gleichzeitig muss gegebenenfalls die Öffentlichkeit informiert werden, bzw. die Bekanntmachung der Schwachstelle ist als Teil eines angemessenen Krisenmanagements zu etablieren. Häufig haben KMU keine ausreichende Erfahrung im Bereich der IT-Sicherheit. Dieser Mangel an Erfahrung erschwert den Umgang mit den Prozessen, die kritische Schwachstellen mit sich bringen, da die Unternehmen dadurch schlecht auf Sicherheitsvorfälle vorbereitet sind. 

Formen von Schwachstellen

Im Bereich der Informationstechnik gibt es ein sehr breites Spektrum an möglichen Schwachstellen und Systemen, in denen diese auftauchen können. Vulnerabilities können sowohl in Hard- als auch in Software vorhanden sein – und sie können die unterschiedlichsten Ursachen haben: Diese erstrecken sich von veralteten Lizenzen oder Systemen über Verschleißerscheinungen eingesetzter Hardware bis hin zu Konfigurationsfehlern bei der Einrichtung oder Wartung. Die Möglichkeiten, einzelne schwerwiegende Schwachstellen in eingesetzten Systemen zu haben – beziehungsweise eine Kombination aus mehreren kleineren Schwachstellen, die zusammen eine kritische ergeben –, sind nahezu unüberschaubar vielfältig. Daher werden diese in der Mehrheit der Fälle, sofern sie keine direkt ersichtlichen gravierenden Auswirkungen haben, nicht als solche entdeckt.

Um eine repräsentative Übersicht der häufigsten Sicherheitsvorfälle in diesem Bereich wiedergeben zu können, wurden Daten der HiSolutions AG ausgewertet. Hierbei wurden die betreuten Sicherheitsvorfälle sowie Penetrationstests der Jahre 2016 bis 2019 nach der Vorgabe der OWASP Top Ten kategorisiert und anschließend jeweils nach Häufigkeit des Aufkommens und Kritikalität der entsprechenden Kategorie bewertet.

So ist beispielsweise die Kategorie „Mangelnde Systempflege“, die sich auf ein unzureichendes Patchmanagement bei Webservern oder die Verwendung trivialer Passwörter bezieht, 2019 in 56,7% aller Fälle bei Kunden der HiSolutions AG nachgewiesen worden. 

Prävalenz der Schwachstellentypen nach Jahren (HiSolutions Schwachstellen-Report 2020)

Es kann beobachtet werden, dass besonders Findings innerhalb der Kategorien der Authentifizierung von Nutzer*innen, der Verwendung veralteter Komponenten, der mangelnden Systempflege sowie einer ungeeigneten Sicherheitsarchitektur (beispielsweise eine unzureichende Konfiguration von Protokollen oder fehlende Konzepte im Netz-Management) kritische Schwachstellen für ein Unternehmen mit sich bringen.

Prävalenz der Schwachstellentypen (HiSolutions Schwachstellen-Report 2020)

Umgang mit Security in KMUs

Die Risiken für KMU, die von Schwachstellen in der IT-Sicherheit ausgehen, sind enorm vielfältig. Sie reichen von geringen Gefährdungen, etwa der Verlangsamung alltäglicher Prozesse und Aufgaben, bis hin zu existenzgefährdenden Krisen. Dabei steigert der Einsatz jedes Systems, welches in der Infrastruktur eingesetzt wird, die potentiellen Möglichkeiten eines Auftretens einzelner Schwachstellen beziehungsweise einer Kette von Schwachstellen exponentiell. Unternehmen betreiben in der Regel deutlich zu wenig Aufwand betreiben, mögliche Schwachstellen frühzeitig zu erkennen oder diese zu eliminieren, wodurch sie im Großteil der Vorfälle nicht ausreichend vorbereitet sind.

Es lässt sich festhalten, dass die Hürden im Umgang mit Vulnerabilities und eventuell daraus resultierender Vorfälle, im Speziellen was die interne und externe Kommunikation angeht, sehr vielfältig sind und ohne externe Hilfe nicht angemessen bewältigt werden können. Unternehmen, beziehungsweise Entscheidungsträger*innen, die mit der Thematik der IT-Sicherheit nicht vertraut sind, treffen häufig Entscheidungen, die mehr schaden als nutzen. Das Sparen von Ressourcen bei der Einrichtung und Wartung der eigenen IT-Infrastrukturen, bei der Auswahl externer Dienstleister oder beim Aufbau einer eigenen IT-Abteilung hat in der Regel negative Folgen für ein Unternehmen, die unter Umständen später nur schwer auszubessern sind.

Eine frühzeitige Auseinandersetzung mit den unternehmenseigenen Prozessen sowie eine zielführende Verteilung von Expertisen und Aufgaben haben einen beträchtlichen Anteil an der Sicherheit eines Unternehmens. Dafür muss speziell die IT-Sicherheit mehr in den Fokus rücken und mit entsprechenden Ressourcen gefördert werden. Hierzu gehören unter anderem die regelmäßige Auseinandersetzung mit möglichen Schwachstellen eingesetzter Systeme, die Schulung sämtlicher Mitarbeitenden sowie die Einführung von Prozessen und Maßnahmen für den Ereignisfall. 

Fazit

Es muss davon ausgegangen werden, dass Software – egal ob eigens entwickelt oder von Drittanbietern – Bugs hat. Und solange Software Fehler beinhaltet, werden diese auch Schwachstellen enthalten. Wenn eine solche Schwachstelle entdeckt wird und ein Unternehmen davon erfährt, sollte die Entdeckung gründlich untersucht werden, auch oder gerade dann, wenn es an einem detaillierten technischen Verständnis der Problematik mangelt. Die Idee, sich gegen den Melder der Schwachstelle zu wehren, indem Strafverfolgungsbehörden oder Anwälte eingeschaltet werden, ist zwar nicht in jedem Fall zwingend falsch (etwas wenn der Verdacht der Erpressung besteht). Es sollte jedoch eine angemessene und ausreichende Kommunikation mit Meldenden stattfinden, die deren Motivationen herausstellt und prüft, ob entsprechende rechtliche Schritte wirklich notwendig sind. Im schlimmsten Fall können verfrühte Schritte dieser Art zu negativer Aufmerksamkeit in der Öffentlichkeit führen, die unter Umständen schädlicher für das Unternehmen sein kann als die initiale Schwachstelle. Oder aber es werden wohlmeinedne Sicherheitsforscher*innen vergrault, die einen Beitrag zur Security der Organisation hätten leisten können und wollen.

Unabhängig von der Motivation von Melder*innen sollte ein Unternehmen bei kritischen Schwachstellen stets die Verantwortung selbst übernehmen. Eine transparente Kommunikation, extern und intern, die die gefundene Schwachstelle annimmt und ein rasches Handeln vermittelt, hilft dabei das Vertrauen bei Kund*innen, Mitarbeitenden oder dritten Interessengruppen zu fördern und beweist Integrität. Außerdem beugt sie eventuellen Annahmen, die Sicherheits-Situation sei kritischer als sie tatsächlich ist, vor. Die richtige Balance zwischen offener Kommunikation und Diskretion ist schwierig, aber essentiell.

Praktische Hinweise finden Sie auch in unserer Checkliste: https://www.hisolutions.com/detail/checkliste-zur-cybersecurity-fuer-kleine-und-mittlere-einrichtungen

HiSolutions Research

Lesetipps Oktober 2019

Klima der Unsicherheit

Beim Lesen des folgenden Kommentars in der New York Times wird klar, dass die Begrenzung des Klimawandels und die Schaffung nachhaltiger Security zum Teil vor vergleichbaren Herausforderungen stehen – wenn auch die Auswirkungen auf unser Leben sehr unterschiedlich sind. Insbesondere die Bepreisung zukünftiger, bisher nicht eingetretener Risiken ist ein schweres Problem. Zu wünschen wäre, dass die zwei Felder voneinander lernen können.

https://www.nytimes.com/2019/10/23/opinion/climate-change-costs.html


Sinnkrise der Security

Heute hörens- und sehenswerter denn je ist Thomas Dulliens (Hackerhandle @halvarflake) Keynote „Why We are Not Building a Defendable Internet“ von der Black Hat Asia 2017. Er stellt darin genau die Fragen, die wir alle beantworten müssen, um zu begründen, warum und auf welche Weise wir heute weiter Security betreiben wollen, um unseren Beitrag zur Verbesserung der Welt zu leisten.

https://www.youtube.com/watch?v=PLJJY5UFtqY