Sicherheit

Um das Vertrauen in das Internet zu erhöhen, ist das Thema Sicherheit für eco von enormer Bedeutung. Neben diversen Initiativen und Services kümmert sich eine eigene Kompetenzgruppe um aktuelle Fragestellungen der Sicherheit im Hinblick auf die Branche. Eine weitere Kompetenzgruppe namens Anti-Abuse dient dem mitgliederinternen Austausch über aktuelle Abuse Themen.

Einmal jährlich befragt eco für seine Studie „IT-Sicherheit“ Expert:innen zu ihrer Einschätzung der Bedrohungslage, zur Bewertung aktueller Sicherheitsthemen und zu Trends. Die Themen reichen dabei von der personellen und organisatorischen Sicherheit über den Schutz von IT -Systemen, die Sicherheit mobiler Kommunikationstechnik bis hin zu Fragen des Sicherheitsmanagements und der Mitarbeitersensibilisierung.

Kompetenzgruppe Sicherheit

Stellungnahme zum Koalitionsvertrag

Gemeinsam mit Mitgliedern der Kompetenzgruppe „Abuse“ erarbeitete die KG Sicherheit im Frühjahr 2022 eine Stellungnahme zu den einzelnen Positionen des Koalitionsvertrages. Im Fokus standen dabei die im Koalitionsvertrag angesprochenen IT-Themen wie Verschlüsselung, Vorratsdatenspeicherung, dem Umgang mit Sicherheitslücken und der Rolle des BSI. Die Ergebnisse dieses Workshops flossen direkt in die Arbeit der Berliner Kolleg:innen ein.

Security Expert Talks und Webinare

Am 16. März 2022 wurde ein Webinar zum Thema „Sicherheit im IoT“ in Zusammenarbeit mit der Kompetenzgruppe Internet of Things angeboten. Die Aufzeichnung des Webinars ist im eco Mitgliederbereich unter https://www.eco.de/news/sicherheit-im-iot-iot-sicherheitskennzeichen-sicherheitsluecken-einfallstore-wie-koennen-neue-standards-helfen/ verfügbar, eine kurze Zusammenfassung ist unter https://www.eco.de/news/verpflichtende-zertifizierungen-als-schluessel-fuer-mehr-sicherheit-im-internet-of-things/ öffentlich einsehbar.

Anlässlich der aktuellen Entwicklungen sprachen wir beim eco Security Expert Talk Special „Cyberwar“ am 22. März 2022 mit Expert:innen über die aktuellen Auswirkungen des russischen Angriffskrieges gegen die Ukraine für die Cybersicherheit und die digitalen Infrastrukturen und wie sich Unternehmen optimal vorbereiten können. eco Mitgliedern steht die Aufzeichnung des Security Expert Talks Special „Cyberwar“ im Mitgliederbereich zur Verfügung. 

Als zentraler Bestandteil des Internets steht das DNS am Anfang der Wertschöpfungskette und ist besonderen Bedrohungen ausgesetzt. Aus diesem Grund trafen sich am 22. Juni 2022 führende Köpfe zum Security Expert Talk, um Möglichkeiten zum Schutz des DNS zu diskutieren.

Nachdem Sven-Holger Wabnitz, Senior Advisor bei DomiNIC, die grundlegenden Bausteine des DNS vorgestellt und deren Funktionsweise erläutert hatte, warf er die Frage nach Sicherheitsmechanismen bzw. deren Fehlen im DNS auf. Patrick Ben Kötter von der Sys4 AG griff diesen Gedanken auf und forderte eine grundlegende Modernisierung des DNS. Alle im Internet agierenden Unternehmen und Personen brauchen ein Netz, in dem sie sich verlässlich und vertrauensvoll bewegen können.

Mit ihrem Vortrag über mögliche Angriffe auf das DNS beschließt Prof. Haya Shulman den Expert Talk, der als Videoaufzeichnung im Mitgliederbereich zur Verfügung steht.

Podcasts und insights – die IT-Sicherheitslage in Deutschland

Bereits im Januar sprachen wir mit Dr. Haya Shulman, Direktorin der Abteilung Cybersecurity Analytics and Defences (CAD) am Fraunhofer-Institut für Sichere Informationstechnologie SIT in Darmstadt, Im eco Podcast “Die IT-Sicherheitslage in Deutschland“ über die Sicherheitslage für deutsche Unternehmen.
Dieses Thema griff die KG auch im ersten Teil der eco Insights IT-Security am 11. Mai 2022 auf, als Thorsten Urbanski, ESET DACH, und Stefan Becker vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zu Gast bei Markus Schaffrin waren und über die aktuelle IT-Sicherheitslage in Deutschland sprachen und auch das Thema „Welche Auswirkungen hat der Krieg von Russland gegen die Ukraine auf die Cybersicherheit?“ aufgriffen.
Der 2. Teil der eco Insights IT-Sicherheit drehte sich um das Thema „Ransomware Angriffe“. Hier zeigten die Expert:innen, wie Angriffe ablaufen können, welche Auswirkungen Schadprogramme tatsächlich auf Unternehmen haben und welche Maßnahmen bei einem bereits erfolgten Angriff zu ergreifen sind. Zudem diskutieren die Teilnehmer:innen über Präventionen und was es für Unternehmen bedeutet, das Thema IT-Sicherheit stärker in den Fokus zu rücken.
Im dritten und letzten Teil der eco Insights IT-Sicherheit sprechen die Experten Thorsten Urbanski, ESET DACH, und Stefan Becker vom Bundesamt für Sicherheit in der Informationstechnik (BSI) über das Thema Cyber-Resilienz. Dabei ergaben sich interessante Einblicke zum Schutz von Unternehmensdaten und worauf es bei der Sensibilisierung der eigenen Mitarbeitenden ankommt.

Sichere digitale Identitäten

Das Analystenhaus techconsult hat im Frühjahr 2022 im Auftrag von eco rund 300 Bürger:innen, 170 Unternehmen und 40 öffentliche Verwaltungen zur Erstellung der Studie „Security & Digitale Identitäten in einer digitalisierten Welt“ befragt, die Anfang Juni veröffentlicht wurde.

Darauf aufbauend traf sich die Kompetenzgruppe Sicherheit am 15. November zum Thema „Security & digitale Identitäten in einer digitalisierten Welt“. Pascal Lehan-Bergmeier vom Polizeipräsidium Bonn betonte die Wichtigkeit der Prävention von Cybercrime, da die Digitalisierung immer mehr lukrative Möglichkeiten für Kriminelle schaffe, Straftaten zu begehen. Wichtig sei eine hohe Benutzerfreundlichkeit und Nutzerakzeptanz von Sicherheitstechnologien zum Identitätsschutz. Dass hier noch Luft nach oben ist, belegte er mit Zahlen aus der Studie Security & Digital Identities in einer digitalisierten Welt von eco und techconsult.  Über Identitäten, Zero Trust Prinzipien und Vertrauensmodelle als Grundlage für Cybersicherheit sprach anschließend Carsten Stöcker, Gründer und CEO der Spherity GmbH. Anhand eines Beispiels aus der Pharmabranche zeigte er, wie SSI (Self-Sovereign Identities) die volle Kontrolle über die eigenen Daten ermöglicht.

Im Rahmen der it-sa 2022 tauschte sich die Kompetenzgruppe Sicherheit gemeinsam mit dem Mitglied adesso SE über die Anforderungen und Herausforderungen aus, die sich nicht nur bei der Softwareentwicklung, sondern auch im täglichen Einsatz ergeben. Sowohl die fortschreitende Digitalisierung als auch die zunehmende Professionalisierung der Täter sind Gründe für den Anstieg der registrierten Cybercrime-Delikte in Deutschland. Es zeigt sich, dass 80 Prozent aller Angriffe auf Applikationsebene stattfinden, was den Fokus auf sichere Software(-entwicklung) unabdingbar macht. Ediz Turcan von Adesso stellte hier den Ansatz „Hacking for Security“ vor. Oberstes Ziel ist dabei die Schaffung eines echten Bewusstseins für Sicherheitslücken und Gefahren bei Entwicklern und die Vertiefung von Wissen und Theorie durch praktische Übungen wie z. B. Live-Hacking.

Studie zur IT-Sicherheit

Gegenüber dem Jahr 2021 sehen die von uns befragten IT-Sicherheitsexpert:innen ein steigendes Bedrohungspotenzial. Waren im Vorjahr noch 77,4 Prozent von einer mindestens wachsenden Bedrohung ausgegangen, so zeigen die aktuellen Werte eine Steigerung von 16,4 Prozent an. 93,8 Prozent der Befragten gehen von einer wachsenden bzw. stark wachsenden Bedrohungslage aus. Das zeigt die IT-Sicherheitsstudie 2022, die eco – Verband der Internetwirtschaft e. V. seit mehr als zehn Jahren im Zeitraum von September bis zum jeweiligen Jahresende erhebt.

Die Bedrohungslage im eigenen Unternehmen beurteilen die Expert:innen dabei deutlich positiver als die Lage in Deutschland insgesamt. Die deutsche Wirtschaft sei IT-sicherheitstechnisch unzureichend aufgestellt – das sagen mehr als Zweidrittel (71 Prozent) der befragten Expert:innen. Beim eigenen Unternehmen sind die Befragten optimistischer, hier denken nur 12,4 Prozent, es sei unzureichend gegenüber Cybercrime abgesichert. 30 Prozent empfinden sich als ausreichend abgesichert, 39 Prozent als gut und fast 15 Prozent sogar als sehr gut.

Kompetenzgruppe Anti-Abuse

Die eco Kompetenzgruppe Anti-Abuse (KG Abuse) setzt sich aus Vertretern der Anti-Abuse-Abteilungen der deutschen Webhoster und Internet Service Provider (ISP) sowie einigen ausgewählten Expert:innen aus dem Anti-Abuse Umfeld zusammen.

Die KG Abuse zeichnet sich durch eine vertrauliche Diskussionskultur aus und ermöglicht so einen positiv-offenen Austausch zwischen Fachabteilungen, deren Unternehmen eigentlich im Wettbewerb stehen.

Bedingt durch den Umgang mit vertraulichen, teils besonders schützenswerten Daten handelt es sich um eine geschlossene Gruppe, die jedoch Einladungen an qualifizierte Teilnehmer:innen ausspricht. Neben dem Erfahrungsaustausch im Rahmen von internen Treffen profitieren die Mitglieder durch intensiven Austausch mit der Kompetenzgruppe Sicherheit und guten Kontakten zum Bundesamt für Sicherheit in der Informationstechnik (BSI).

Zu Beginn des Jahres 2022 bestand sie aus 72 Teilnehmer:innen von 37 Unternehmen beziehungsweise Institutionen. Als Mitglied der Kompetenzgruppe Abuse wurde von Michael Weirich, eco, ein kurzes Statement zur IT-Sicherheit und Cyberrisiken für die VDI-Nachrichten gegeben, welches in der Ausgabe vom 14. Januar 2022 veröffentlicht wurde.

Gemeinsam mit Mitgliedern der Kompetenzgruppe „Sicherheit“ erarbeitete die KG Abuse im Frühjahr 2022 eine Stellungnahme zu den einzelnen Positionen des Koalitionsvertrages. Im Fokus standen dabei die im Koalitionsvertrag angesprochenen IT-Themen wie Verschlüsselung, Vorratsdatenspeicherung, dem Umgang mit Sicherheitslücken und der Rolle des BSI.

DNS als Grundlage aller Information war Thema des ersten Treffens der Kompetenzgruppe im Jahr 2022. Thomas Rickert und Lars Steffen stellten der KG die Initiative topDNS vor und regten eine intensive Zusammenarbeit der KG mit der initiative an. Im Lauf des Jahres erarbeitete die KG einen Definitions- und Anforderungskatalog für die Initiative.

Die Mitglieder der KG Abuse erarbeiteten in diesem Rahmen einen Katalog zur Definition von Abuse-Fällen und arbeiteten die Unterschiede zwischen „DNS-Abuse“ und „Content-Abuse“ heraus. Patrick Ben Koetter, Leiter der KG Abuse beteiligte sich im November 2022 an einem Workshop in Brüssel zum Thema „State of the DNS 2022“. Ziel war eine Konkretisierung des Themas DNS-Abuse sowie zur Erläuterung der Begrifflichkeiten für die Teilnehmer der EU-Kommission.

Auch beim Security Expert Talk „Sicherheit fürs Domain Name System“ stellte die KG Abuse mit ihrem Leiter Patrick Ben Koetter einen der Experten zum Thema DNS in Deutschland als Referenten.