HiS-BCM-News März 2017
Die Top Themen: NIS-Richtlinie und IT-Sicherheitsgesetz fordern BCM, BSI konkretisiert Inhalte für KRITIS-Prüfungen, Ausfall von Amazons AWS-Cloud, Ausfälle und Datenverluste bei GitLab nach Tippfehler eines Administrators, Backup-Strategien für die Cloud-Nutzung, Vorbereitung und Reaktion auf einen Ransomware-Angriff, Krisenmanagement aus Sicht des Top Managements, BCI veröffentlicht HorizonScan 2017, Naturkatastrophen 2016: Munich Re zieht Bilanz, deutlicher Anstieg an DDoS-Attacken in der DACH-Region.
Neuigkeiten
Die NIS-Richtlinie und das IT-Sicherheitsgesetz fordern BCM-Maßnahmen
Zusätzlich zum bereits im Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz, welches auf die Erhöhung der Sicherheit informationstechnischer Systeme abzielt, wurde Mitte 2016 die sogenannte NIS-Richtlinie auf EU-Ebene verabschiedet. Die NIS-Richtlinie gilt für Betreiber „wesentlicher Dienste“, welche für das Gemeinwohl eine bedeutende Rolle spielen und die aufgrund ihrer weitreichenden Vernetzung einer besonderen Bedrohungslage ausgesetzt sind. Neben den im IT-Sicherheitsgesetz bereits adressierten Organisationen aus dem KRITIS-Umfeld ergeben sich aus der NIS-Richtlinie neue Anforderungen für Unternehmen, die „digitale Dienste“ anbieten. Dazu gehören z. B. Online-Händler oder Cloud-Dienste. Diese sind – ab einer bestimmten Größe – u. a. dazu verpflichtet, Sicherheitsvorfälle zu melden und Business Continuity Maßnahmen zu etablieren.
http://www.security-insider.de/nis-richtlinie-it-sicherheitsgesetz-und-die-folgen-a-581850/
--------------------------------------------------------------
BSI konkretisiert Inhalte für KRITIS-Prüfungen
Betreiber Kritischer Infrastrukturen (KRITIS) aus den Branchen Energie, IT+TK, Ernährung und Wasser unterliegen einer Prüfpflicht zu den Anforderungen des IT-Sicherheitsgesetzes. Das BSI hat im Februar 2016 damit begonnen, die Besonderheiten der Prüfung Kritischer Infrastrukturen im Rahmen von Multiplikatoren-Workshops zu vermitteln. Im ersten Workshop wurde verdeutlicht, dass dabei auch spezifische BCM-Fragestellungen zur Verfügbarkeit in Notfallsituationen untersucht werden.
https://www.heise.de/security/meldung/BSI-legt-Grundstein-fuer-Pruefungen-gemaess-IT-Sicherheitsgesetz-3632463.html
--------------------------------------------------------------
Ausfall von Amazons AWS-Cloud verdeutlicht Risiko von Zentralisierung
Am 28. Februar 2016 hat eine Störung bei den Amazon Web Services (AWS) dazu geführt, dass mehrere bekannte Online-Dienste stundenlang nicht erreichbar waren, darunter Expedia, Soundcloud und SPIEGEL TV. Der Vorfall macht deutlich, dass im Laufe der letzten Jahre eine starke Zentralisierung auf wenige Cloud-Anbieter stattgefunden hat. Je höher jedoch die Konzentration im Infrastrukturbereich steigt, desto weitreichender und gefährlicher sind die Auswirkungen für das gesamte Netz. Ausfälle von Cloud-Diensten ließen sich zwar abfedern, wenn Unternehmen parallel mehrere Dienstleister in Anspruch nehmen würden – die hierfür erforderlichen Investitionen würden jedoch den Einspareffekt der Cloud-Nutzung unter Umständen wieder zunichtemachen.
http://www.spiegel.de/netzwelt/web/amazon-web-services-das-internet-haengt-am-tropf-von-amazon-a-1137111.html
Zusammenfassung von Amazon: https://aws.amazon.com/de/message/41926/
--------------------------------------------------------------
Ausfälle und Datenverluste bei GitLab nach Tippfehler eines Administrators
Beim Versuch, einen Hackerangriff abzuwehren, hat ein Administrator von GitLab, einem Onlinedienst zur Versionsverwaltung für Softwareprojekte, versehentlich 300 Gigabyte an Kundendaten gelöscht. Da trotz fünf verschiedener Backup-Mechanismen offenbar keine funktionierenden Sicherungen existierten, mussten die Daten schließlich anhand einer „versehentlich manuell erstellten“ Sicherheitskopie wiederherstellgestellt werden.
http://t3n.de/news/gitlab-loescht-versehentlich-300-gigabyte-791175/
Zusammenfassung von GitLab:
https://about.gitlab.com/2017/02/01/gitlab-dot-com-database-incident/
Wissenswertes
Business Continuity Institute veröffentlicht neue BCM-Awareness-Poster
Die vom Business Continuity Institute (BCI) jährlich organisierte Business Continuity Awareness Week (BCAW) findet 2017 in der Woche vom 15. - 19. Mai 2017 statt. Das BCI wird dort eine Reihe von Artikeln, Fallstudien, Webinaren und andere Informationen zum diesjährigen Thema „Cyber Resilience“ veröffentlichen.
http://www.thebci.org/index.php/bcaw-home/
Um bereits im Vorfeld auf das Thema aufmerksam zu machen, stellt das BCI auf seiner Website mehrere kostenlose Poster bereit, die frei weiterverbreitet oder heruntergeladen werden dürfen.
http://www.thebci.org/index.php/posters/
--------------------------------------------------------------
Backup-Strategien für die Cloud-Nutzung
Im Normalfall haben Anbieter von „Software as a Service“ (SaaS) wie Microsoft recht gute Verfahren für die Datensicherung. Kunden, die Produkte wie Office 365 oder Azure einsetzen, sollten jedoch beachten, dass die Backups nicht unbedingt für sie erstellt werden, sondern für den Anbieter selbst. Die Wiederherstellung einer bereits vor mehreren Monaten gelöschten Datei oder E-Mail gestaltet sich dann oft schwierig oder ist gar nicht erst möglich.
Welche Datensicherungsstrategien für welche Zwecke geeignet sind, zeigt ein auf CloudComputing-Insider veröffentlichter Artikel.
http://www.cloudcomputing-insider.de/datensicherungsstrategien-fuer-office-365-und-azure-a-580030/
--------------------------------------------------------------
Die richtige Vorbereitung und Reaktion auf einen Ransomware-Angriff
Ransomware ist für Kriminelle weiterhin eine erfolgversprechende Methode, auf verhältnismäßig einfachem Wege Lösegeld zu erpressen. Den betroffenen Organisationen verursacht Ransomware dagegen vor allem Kosten: Ausfallzeiten sowie erforderliche Systemwiederherstellungen und Analysen des Vorfalls können schnell sehr teuer werden.
Wie wichtig es ist, einen Business Continuity Plan zu implementieren und zu testen, das zeigen die Empfehlungen des folgenden Artikels sowie die Themenpapiere des Bundesamts für Sicherheit in der Informationstechnik (BSI).
https://businessresilienceforum.com/responding-ransomware-demands/
BSI Themenpapiere zu Ransomware: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/Ransomware/Ransomware_node.html
--------------------------------------------------------------
Krisenmanagement aus Sicht des Top Managements
Erfolgreiches Krisenmanagement erfordert eine starke Führung, welche durch eine geeignete Strategie sowie funktionierende Krisenmanagement-Pläne und -Strukturen unterstützt wird. PwC hat mit 164 Geschäftsführern über ihre Erfahrungen, Schwierigkeiten und Ansätze zum Krisenmanagement gesprochen. Der folgende Artikel zeigt die Erkenntnisse und Empfehlungen, welche sich aus diesen Gesprächen ableiten lassen.
http://www.pwc.com/gx/en/ceo-agenda/pulse/crisis.html
--------------------------------------------------------------
Organisationen unterschätzen das Katastrophenszenario „europaweiter Blackout“
Der „Blackout“-Experte Herbert Saurugg ist der Ansicht, dass die Gefahr eines europaweiten Strom- und Infrastrukturausfalls, dessen Behebung bis zu sieben Tage dauern könnte, und die Auswirkungen eines solchen Katastrophenszenarios von vielen Organisationen unterschätzt werden. Hohe wechselseitige Abhängigkeiten in der Logistik und Produktion, eine weitestgehend unvorbereitete Bevölkerung, technische Probleme und falsche oder zu optimistische Erwartungen könnten demnach in Summe zu einer kritischen Gesamtsituation führen.
http://www.herbert.saurugg.net/2017/blog/stromversorgung/blackout-das-unterschaetzte-katastrophenszenario/
Welche Maßnahmen bei einem Blackout im Kraftwerks Thyrow in Brandenburg einzuleiten sind, zeigt folgender Artikel.
http://www.businessinsider.de/das-wuerde-im-falle-eines-blackouts-in-deutschland-passieren-2017-2/
--------------------------------------------------------------
Optimaler Aufbau eines Business Continuity Plans gemäß ISO 22301
Die wichtigsten Elemente eines Business Continuity Plans (BCP) werden im Standard ISO 22301 in Kurzform definiert. Der Autor des folgenden Artikels fasst in einer kurzen Checkliste zusammen, welche Informationen kleine und mittlere Organisationen in den jeweiligen Kapiteln des BCP beschreiben sollten und nennt einige Beispiele.
https://advisera.com/27001academy/knowledgebase/business-continuity-plan-how-to-structure-it-according-to-iso-22301/
--------------------------------------------------------------
Sollte man Übungsszenarien wirklich geheim halten?
Bei der Entwicklung von Übungsszenarien und -drehbüchern wird häufig nur ein kleiner Personenkreis beteiligt, um in der Übung einen Überraschungseffekt zu erzeugen, der für größere Realitätsnähe sorgen soll. Diese gelebte Praxis hat allerdings einige Nachteile, die im schlimmsten Fall sogar dazu führen können, dass die Übung erfolglos abgebrochen werden muss. Business Continuity Coordinator James Halpin fasst in einem Artikel zusammen, warum er sich gegen eine Geheimhaltung von Übungsszenarien ausspricht.
http://www.thebci.org/index.php/about/news-room#/blog_posts/shhhhhh-dot-dot-dot-dont-tell-anyone-the-scenario-54391/
Standards, Berichte, Richtlinien und Leitfäden
BCI veröffentlicht HorizonScan 2017
Das Business Continuity Institute (BCI) hat in einer aktuellen Studie die Ergebnisse einer weltweiten Befragung von Business-Continuity- und Resilience-Experten veröffentlicht. Im Ergebnisbericht werden die größten Risiken, unterteilt nach Region, Branche und Größe der Organisationen, anschaulich aufbereitet.
http://www.thebci.org/index.php/about/news-room#/news/the-digital-threat-remains-the-top-concern-for-business-continuity-professionals-220757/
Zum Bericht: http://www.bcifiles.com/HorizonScan2017.pdf
--------------------------------------------------------------
Naturkatastrophen 2016: Munich Re zieht Bilanz
Der weltgrößte Rückversicherer Munich Re zieht Bilanz über die Naturkatastrophen 2016. Die aus Naturkatastrophen resultierenden Schäden summierten sich im vergangenen Jahr demnach auf weltweit insgesamt rund 175 Milliarden Dollar. Das ist ein deutlicher Anstieg im Vergleich zum Vorjahr (rund 90 Mrd. Dollar). Weltweit kamen 8.700 Menschen bei Naturkatastrophen ums Leben. Dies liegt deutlich unter dem Zehn-10-Jahres-Durchschnitt von 60.600 Toten.
https://www.munichre.com/de/media-relations/publications/company-news/2017/2017-03-09-company-news/index.html
Zum Bericht: https://www.munichre.com/site/touch-publications/get/documents_E1666771929/mr/assetpool.shared/Documents/5_Touch/_Publications/TOPICS_GEO_2016-de.pdf
--------------------------------------------------------------
Deutlicher Anstieg an DDoS-Attacken in der DACH-Region
Ein neuer Bericht des IT-Unternehmens Link11 zeigt, dass mit 11.575 DDoS-Attacken auf Organisationen in Deutschland, Österreich und der Schweiz im 4. Quartal 2016 ein neuer Höchstwert erreicht wurde. Dabei handelt es sich um einen Zuwachs von 116,8 Prozent im Vergleich zum Vorjahresquartal. Die Gefahr durch DDoS-Angriffe wird von Unternehmern weiterhin unterschätzt: Laut Bericht hat nur rund ein Drittel Vorbereitungen getroffen und verfügt über entsprechende Notfallpläne.
http://www.datensicherheit.de/aktuelles/ddos-gefahrenlage-link11-report-meldet-attacken-wachstum-um-117-prozent-26393/
Report zum Download: https://www.ddos-info.de/2017/ddos-report-fuer-das-4-quartal-2016-zum-download.html
Aktuelle BCM-Schadensereignisse
DDoS-Angriff auf öffentliche Verwaltung in Luxembourg
Der staatliche IT-Betreiber "Centre des technologies de l'information de l'Etat" (CTIE) wurde am 27. Februar 2017 Opfer eines Distributed-Denial-of-Services-Angriffs (DDoS). Neben Webservern der Behörden und Ämter waren auch mehrere hundert Webdomains betroffen.
http://www.wort.lu/de/lokales/internet-stoerung-angriff-auf-staatliche-server-58b45674a5e74263e13ab3a1/
--------------------------------------------------------------
Hacker kapert über 150.000 Drucker
Anfang Februar 2017 haben sich tausende Drucker in Organisationen weltweit scheinbar aus eigenem Antrieb heraus selbstständig gemacht und Druckaufträge ausgeführt. Hinter dem Phänomen steckte ein junger Hacker, der auf eklatante Sicherheitslücken aufmerksam machen wollte.
https://www.mobilegeeks.de/news/150-000-drucker-druckten-beweis-fuer-die-mangelhafte-sicherheit-im-iot/
--------------------------------------------------------------
Internet-Störung im Bundestag
Nachdem ein Server ausfiel, war der Deutsche Bundestag war am 1. März 2017 für mehrere Stunden vom Internet abgeschnitten. Der Ausfall betraf auch das Intranet und den E-Mail Zugang.
http://www.sueddeutsche.de/digital/server-ausfall-der-bundestag-muss-offline-arbeiten-1.3401613
--------------------------------------------------------------
Säurewolke legt Stadt Oberhausen stundenlang lahm
Am 16. Februar 2017 kam es zu einem Chemieunfall in Oberhausen. Durch einen menschlichen Fehler wurde Salzsäure versehentlich in einen Tank für Schwefelsäure gepumpt. Als dieser platzte, bildete sich eine mehrere hundert Meter große Säurewolke.
http://www.derwesten.de/staedte/oberhausen/chemieunfall-in-oberhausen-wegen-gefaehrlicher-verwechslung-saeurewolke-legt-stadt-stundenlang-lahm-id209633665.html
--------------------------------------------------------------
Räumung des Hamburger Flughafens nach Reizgas-Austritt
Am Helmut-Schmidt-Airport in Fuhlsbüttel wurden am 12. Februar 2017 zahlreiche Personen verletzt, nachdem Reizgas aus einer Kartusche ausgetreten war. Nicht ausgeschlossen wird, dass die Klimaanlage die Verbreitung noch verstärkt hat. Der komplette Flughafen wurde gesperrt und der Flugbetrieb zwischenzeitlich eingestellt.
https://www.welt.de/regionales/hamburg/article162015343/Reizgas-am-Hamburger-Flughafen-sorgt-fuer-Evakuierung.html
--------------------------------------------------------------
Wiederholte Streiks des Bodenpersonals an Berliner Flughäfen
Im Tarifkampf des Bodenpersonals der Berliner Flughäfen hat Verdi wiederholt zu Streiks aufgerufen. Der mehrtägige Streik Mitte März, bereits der fünfte in den letzten Wochen, führte zu rund 1.900 Flugausfällen.
http://www.n-tv.de/wirtschaft/Streik-legt-Berliner-Flughaefen-lahm-article19739065.html
Die nächsten HiS-BCM-News erhalten Sie Mitte Mai 2017.
Ihr Feedback ist herzlich willkommen!