ECSM - Recommendations for ALL - DE

Der Europäische Monat der Cyber-Sicherheit (ECSM) ist eine im Monat Oktober stattfindende Aufklärungskampagne. Ziel dieser Initiative ist es, die Bürgerinnen und Bürger in Bezug auf das Thema Cyber-Sicherheit zu sensibilisieren. Mit dieser Kampagne soll das Bewusstsein der Bürger für Cyber-Bedrohungen im tagtäglichen Leben - bei der Arbeit oder beim Surfen im Internet zuhause - geschärft werden.

Netz- und Informationssicherheit (NIS) für Ausbilder

Zielgruppe
Die Zielgruppe dieser Publikation sind Ausbilder, wobei dieser Begriff Schulungsleiter, Lehrer wie auch Fachleute aus der Praxis umfasst, die im Bereich der formalen und nicht formalen Bildung tätig sind, einschließlich in Programmen für lebenslanges Lernen. Die wesentliche Rolle der Ausbilder darf beim IKT-Stakeholder-Mapping nicht vernachlässigt werden! 

Tipps für die NIS-Schulung

  • Eine Umfrage der ENISA hat ergeben, dass eine „optimale Schulungseinheit“ folgende Merkmale aufweisen sollte: Sie sieht eine kurze Einführung und Praxisübungen vor und es werden Geschichten und Beispiele aus dem wirklichen Leben gegeben. Ein Intensivkurs kann Folgendes umfassen: Rollenspiele, Simulationen, Gruppenarbeit, Planspiele als Teil der Prüfungen sowie eine Auswahl guter Filme.
  • Zu meisternde Herausforderungen: Vermittlung des Verständnisses dafür, dass der Einsatz von Technik mit Risiken verbunden ist und dafür, dass diese Risiken nicht nur persönlicher Natur sind, sondern auch Auswirkungen auf andere Personen haben können. Die Technik muss verstanden und nicht nur einfach eingesetzt werden; Neugestaltung echter menschlicher Beziehungen und Verhaltensweisen im Internet: „Netiquette“; Berücksichtigung des fächerübergreifenden Fachwissens (rechtlicher, technischer, organisatorischer Art usw.);
  • Vermittlungsmodell für die NIS-Schulung

Empfehlungen

  • Wir empfehlen, dass die Ausbilder und ihre Schüler eine zupackende Haltung einnehmen.
  • Öffentlich-private Partnerschaften sollten angestrebt werden, um aktuelle Kursmaterialien und Kurse zu entwickeln.

Weitere Informationen: http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1

Netz- und Informationssicherheitsschulung für Mitarbeiter

Ziel
Schulungen sind wichtig, um sowohl die Informationssicherheitsbeauftragten als auch die Mitarbeiter auf den jeweils neuesten Stand zu bringen und deren Kenntnisse in Bezug auf das kostenwirksame Bekämpfen von Bedrohungen zu verbessern.

Tipps

  • Die Informationssicherheit ist heute hoch aktuell, da sie sich rasch entwickelt und auf unterschiedliche Art und Weise unser aller Leben berührt. Die Menschen benötigen Zugang zu Informationsmaterial, Übungen, Anleitungen und spezifische Schulungen dazu, wie sie ein akzeptables Niveau der Sicherheit und des Schutzes der Privatsphäre bei ihren täglichen Abläufen gewährleisten können, bei denen die Informationstechnik eine immer größere Rolle spielt.
  • Wenn es um den Bereich des Schutzes kritischer Dienstleistungs- und Kommunikationsinfrastrukturen geht, die für Trinkwasser, Strom und Kommunikationsfähigkeit sorgen, besteht Bedarf an Experten, die Probleme diagnostizieren und lösen und Ratschläge erteilen können. Wenn es zu Vorfällen kommt, besteht eine große Nachfrage nach Dienstleistungen im Bereich der Informationssicherheit, wie bei der Handhabung von Vorfällen, Warnungen und der Fehleranalyse. In vielen Fällen muss ein Computer Emergency Response Team eingerichtet werden (http://www.enisa.europa.eu/activities/cert/ ). Auch dieses Team ist nur so stark wie seine einzelnen Mitglieder. Es ist wichtig, dass der Kenntnisstand der Mitarbeiter, der Sicherheitsbeauftragten und auch der Schulungskräfte sich stets auf dem neuesten Stand befindet: Nur so kann auf die neuesten Bedrohungen reagiert werden und nur so können diese so rasch und so wirksam wie möglich angegangen werden.
  • Aus der Perspektive der Schulungskräfte betrachtet, bietet diese Rolle eine hervorragende Gelegenheit, um „vor Ort“ tätig zu werden und sich einen Eindruck von der Wirklichkeit aus unterschiedlichen Blickwinkeln zu verschaffen, da die Kommunikation im Klassenzimmer bidirektional sein sollte. Erfahrung und aktuelles Wissen sind unverzichtbar, um bei der Zielgruppe glaubwürdig zu wirken. Das Feedback nach den Kursen zeigt, dass Beispiele aus dem wirklichen Leben und Anwendungsfälle sich beim Publikum großer Beliebtheit erfreuen.
  • Es können unterschiedliche Methoden eingesetzt werden, um den Schulungsteilnehmern Informationen zu vermitteln, beispielsweise durch die Organisation von Seminaren, zweckbestimmten Veranstaltungen oder einfach nur, indem Zugang zu Material für das Selbststudium gewährt wird. Beide Ansätze weisen Vorteile auf, da das Selbststudium eine größere Flexibilität bietet und die Kosten insgesamt senkt. Seminare dagegen fördern die Kommunikation und stellen eine hervorragende Gelegenheit dar, bei der die Teilnehmer ihre Erfahrungen und Kenntnisse austauschen können.

Empfehlungen

Die ENISA organisiert Schulungskurse vor Ort zur Unterstützung von Computer Emergency Response Teams und anderer Kompetenzen der operativen Kräfte. Das Lehrmaterial ist auf der ENISA-Website abrufbar.

Weitere Informationen: http://www.enisa.europa.eu/activities/cert/support/exercise

Software-Updates


Ziel

Die ENISA warnt vor den Risiken der Verwendung eingestellter Software, nicht nur aufgrund des fehlenden Supports durch den Hersteller, sondern auch aufgrund der fehlenden Unterstützung durch Dritte, wie Hersteller von Anti-Malware-Programmen und anderer Software bzw. von Computerperipheriegeräten. Dies führt zu einer anhaltenden Gefährdung aufgrund von Schwachstellen und der fehlenden Möglichkeit, Peripheriegeräte oder Applikationen Dritter zu aktualisieren.

Tipps

  • Die Verwendung eingestellter Software birgt folgende Risiken: Die Endnutzer sind nicht in der Lage, die Integrität der Software zu prüfen, da die zur Signierung verwendeten Zertifikate eventuell abgelaufen sind; die fehlende Möglichkeit, die Integrität des Softwarepakets zu prüfen, könnte die Nutzer der Bedrohung durch Malware aussetzen; potenziell infizierte Systeme können die Infektion im gesamten Netz verbreiten; dies könnte auch zu einer Nichteinhaltung der Sicherheitsrichtlinien führen.
  • Der Verlust der Produktbetreuung durch den Hersteller eingestellter Software könnte potenziell zu folgendem Szenarium führen: Den Nutzern der eingestellten Systeme stehen keine Sicherheitsupdates oder -mitteilungen mehr zur Verfügung; neue Bedrohungen werden nicht mehr erfasst, gemeldet und analysiert, und aus diesem Grund werden keine Sicherheitspatches mehr herausgegeben; folglich ist die eingestellte Software diesen Bedrohungen ständig ausgesetzt, als ob sie ein Zero-Day-Angriffsvektor wäre. Der fehlende Support durch Fremdsoftware und Hardware-Hersteller könnte dazu führen, dass die Plattform nicht mehr zur Verfügung steht, d. h. unbekannte Bugs sorgen dafür, dass die eingestellte Software nicht mehr läuft; Inkompatibilität alter Betriebssysteme mit neuen Geräten, wegen fehlender Treiber für neue Versionen von Peripheriegeräten können die Nutzer gebrauchte oder defekte Geräte nicht aktualisieren oder ersetzen; der fehlende Support für bestehende Geräte auf der eingestellten Plattform kann dazu führen, dass diese Geräte bei Auftreten eines Fehlers nicht mehr eingesetzt werden können; der fehlende Support durch Fremdhersteller der installierten Software kann dazu führen, dass die Kunden auch deren Software nicht mehr aktualisieren können bzw. keinen neuen Patch mehr installieren können. Dies gilt auch für neue Anwendungen und kann besonders problematisch sein, wenn keine aktualisierten Versionen von Anti-Viren- und Anti-Malware-Software mehr verfügbar sind.

Empfehlungen

  • IT-Manager

     sollten sicherstellen, dass die Systeme stets auf dem neuesten Stand sind und dass jeweils das letzte Sicherheitspatch installiert ist. Jede eingestellte Software sollte als hohes Sicherheitsrisiko für kritische IT-Komponenten betrachtet werden und zur Minderung des Risikos sollte eine Migration auf neuere Lösungen oder andere Plattformen durchgeführt werden. Bei kritischen Infrastrukturinformationssystemen erstreckt sich das Sicherheitsrisiko auf die Bürger, weshalb die Verantwortung der IT-Manager noch größer ist.
  • Die Hersteller sollten sicherstellen, dass ausreichend Zeit für die Migration vorhanden ist. Während dieser Phase empfiehlt die ENISA, dass entsprechende Vorankündigungen herausgegeben werden und eine eingehende Analyse der erwarteten Auswirkungen auf die Sicherheit der Nutzer nach Einstellung des Produkts durchgeführt wird.
  • Die Nutzer sollten sich dem Sicherheitsrisiko bewusst sein und verstehen, welchem Risiko sie sich aussetzen, wenn sie überholte Software verwenden.

Weitere Informationen: http://www.enisa.europa.eu/publications/flash-notes/flash-note-risks-of-using-discontinued-software

Cyber-Übungen für technische Experten

Ziel

Die ENISA setzt sich dafür ein, Cyber-Übungen europaweit zu fördern und generell den Austausch bewährter Praktiken im Bereich der Zusammenarbeit und der Übungen zur Vorbereitung auf Cyber-Krisen zu unterstützen. Die ENISA ist die treibende Kraft hinter einer Reihe europaweiter Cyber-Übungen, wie Cyber Europe, sowie der gemeinsamen EU-US-Cyberübung (Cyber Atlantic) und jährlicher internationaler Konferenzen zu Themen im Bereich der Cyber-Krisen-Zusammenarbeit und ‑Übungen. Bislang wurden zwei europaweite Cyber-Krisen-Übungen durchgeführt: Cyber Europe 2010 und Cyber Europe 2012 sowie eine EU-US-Cyber-Übung, genannt „Cyber Atlantic“, im Jahr 2011. Derzeit läuft die dritte europaweite Cyber-Krisen-Übung Cyber Europe 2014 (CE2014). Teilnehmen können Interessenten aus der EU und der EFTA aus dem öffentlichen und privaten Sektor, auch EU-Organe und -Einrichtungen. Dazu zählen beispielsweise unter anderem Behörden, die für Cyber-Krisen verantwortlich sind, wie die Behörden für Informationssicherheit, nationale oder Regierung-CERTs, nationale Regulierungsbehörden sowie Einrichtungen des privaten Sektors und NIS-Experten.

Empfehlungen

  • Cyber Europe 2012 leistete einen wertvollen Beitrag zur Förderung des europaweiten Managements von Sicherheitsvorfällen im Cyberraum. Aus diesem Grund ist es wichtig, dass diese Anstrengungen fortgeführt werden und der Europäische Cyber-Übungsraum weiterentwickelt ist. Bei zukünftigen Cyber-Übungen sollten die sektorübergreifenden Abhängigkeiten näher beleuchtet werden und sie sollten stärker auf bestimmte Zielgruppen ausgerichtet sein.
  • Cyber Europe 2012 stellte eine wichtige Gelegenheit für die Zusammenarbeit auf internationaler Ebene und zur Stärkung der europäischen Zusammenarbeit bei der Bewältigung von Sicherheitsvorfällen im Cyberraum dar. Zur Förderung der internationalen Zusammenarbeit ist es unerlässlich, den Austausch bewährter Praktiken in Cyberübungen, durch den Austausch von Erfahrungen und Fachwissen und die Organisation von Konferenzen zu stärken. Auf diese Weise werden die Kreise gestärkt, die in der Lage sind, grenzüberschreitende Cyber-Krisen zu bewältigen. Alle Interessenvertreter des Bereichs der internationalen Cyber-Krisen-Zusammenarbeit müssen auf den Einsatz von Verfahren geschult werden, damit sie wissen, wie sie diese angemessen durchführen können. Die konkrete Einbeziehung von Organisationen des privaten Sektors stellt einen zusätzlichen Pluspunkt dieser Übung dar. Aus diesem Grund sollten die EU-Mitgliedstaaten und die EFTA-Länder bei zukünftigen Übungen die Teilnahme des privaten Sektors in Erwägung ziehen.
  • Die europäische Community für das Management von Cyber-Zwischenfällen könnte durch Beiträge aus anderen kritischen Sektoren Europas (z. B. Gesundheit, Verkehr) gestärkt werden, die in Bezug auf das Management großer Krisen von Bedeutung sind.
  • Cyber Europe 2014: Diese hochkomplexe Cyber-Übung des Jahres 2014 baut auf den Lehren der beiden vorangehenden europaweiten Übungen auf. Es werden dabei folgende Zielsetzungen verfolgt: Testen der bestehenden Verfahren und Mechanismen der Zusammenarbeit zur Bewältigung von Cyber-Krisen in Europa; Förderung der Fähigkeiten auf nationaler Ebene; Prüfung der bestehenden Zusammenarbeit zwischen dem privaten und dem öffentlichen Sektor; Analyse der Eskalations- und Deeskalationsprozesse (auf technischer, operativer und strategischer Ebene); Verstehen der Problematik der öffentlichen Angelegenheiten im Zusammenhang mit großangelegten Cyberangriffen.

Weitere Informationen: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation

Cloud-Sicherheit für alle digitalen Nutzer


Zielgruppe

Die Zielgruppe besteht aus den Informationssicherheitsbeauftragten des öffentlichen und privaten Sektors, die Cloud-Dienste nutzen und diese in ihre täglichen Abläufe integriert haben oder erwägen, Cloud-Dienste geschäftlich zu erwerben. Ebenfalls angesprochen sind alle digitalen Nutzer, die Tag für Tag beliebte Cloud-Dienste (Social Media usw.) in Anspruch nehmen, z. B. Facebook, Dropbox, Instagram, Twitter usw., damit diese wissen, wie das Cloud-Modell funktioniert und welche Vor- und Nachteile es birgt, so dass sie in der Lage sind zu beurteilen, welche Art von Informationen sie in die „Cloud“ stellen können und welche nicht. Die ENISA setzt sich insbesondere dafür ein, KMU und öffentliche Verwaltungen dabei zu unterstützen, die Situation zu verstehen, bevor die Migration in die Cloud vollzogen wird.

Tipps

Die ENISA schlägt vor, dass alle potenziellen Cloud-Nutzer folgende Aktivitäten durchlaufen, wenn sie die Nutzung von Cloud-Diensten in Erwägung ziehen:

  • Welche Dienstleistungen können in die Cloud gehen und was sind die Vorteile des Cloud-Computing, die im täglichen Leben eine Erleichterung darstellen (d. h. Skalierbarkeit, große Speicherkapazitäten, regelmäßige Backups, Interoperabilität)?
  • Welche Art von Informationen wird in die Cloud verlagert und wie wichtig sind diese Informationen für ihre Inhaber (z. B. personenbezogene Daten, sensible Daten und Geschäftsdaten)?
  • Welche Nachteile bringt das Cloud-Computing mit sich, die große Auswirkungen auf Ihre tägliche Arbeit haben können und welche Möglichkeiten gibt es, um diese Nachteile zu mindern?
  • Wie kann man eine fundierte Entscheidung bezüglich der Art des benötigen Cloud-Dienstes (IaaS, PaaS, SaaS) treffen und erkennen, welche Grenzen die eigene Verantwortlichkeit bei jeder Art von Dienstleistungen hat?
  • Sich Zeit nehmen für das Gespräch mit dem Cloud-Diensteanbieter (CSP) und ein gemeinsames Verständnis vereinbaren, das in einem Service Level Agreement (SLA) festgehalten wird.

Empfehlungen

  • Die ENISA-Publikationen zur Cloud-Sicherheit enthalten wichtige Orientierungshilfen dazu, wie alle Cloud-Kunden ihr Eigentum schützen können und welche Verantwortlichkeiten und Rechte sie bei der Inanspruchnahme von Cloud-Dienstleistungen haben.
  • Die Sicherheit in der Cloud muss bei der Beschaffung von Cloud-Dienstleistungen als einer der größten Vorteile aufgrund der Skalierbarkeit betrachtet werden.

Weitere Informationen: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing

Schutz der Privatsphäre für alle digitalen Nutzer


Zielgruppe

Die Zielgruppe ist die der digitalen Nutzer. Die Nutzer haben online dieselben Rechte wie offline; sie sollten sich ihrer Online-Rechte bewusst sein. Die Aufgabe der nationalen Datenschutzbehörden ist es, die Nutzer zu unterstützen.

“Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.” - Artikel 16, Vertrag von Lissabon

Tipps

  • Der EU-Rechtsrahmen gewährt den Bürgerinnen und Bürgern der Europäischen Union eine Reihe von Rechten im digitalen Umfeld, wie den Schutz personenbezogener Daten und der Privatsphäre, die Freiheit der Meinungsäußerung und die Informationsfreiheit.
  • Die Grundsätze des Datenschutzes und des Schutzes der Privatsphäre werden online nicht immer gewährt. Gemäß der 2011 durchgeführten Eurobarometer-Umfrage zum Datenschutz und zur elektronischen Identität in der EU gaben 43 % der Internetnutzer an, dass sie mehr personenbezogene Daten preisgeben mussten als erforderlich, um Zugang zu Online-Diensten zu erhalten oder diese zu benutzen und 70 % der Europäer äußerten sich besorgt darüber, dass ihre personenbezogenen Daten zu einem anderen Zweck verwendet werden könnten als demjenigen, zu dem sie erhoben wurden. 75% der Europäer wünschen sich, ihre persönlichen Daten online jederzeit löschen zu können.
  • Zu meisternde Herausforderungen: Die Handlungen natürlicher Personen spiegeln nicht notwendigerweise deren Datenschutzbedenken wieder; selbst wenn Nutzer Bedenken im Hinblick auf den Schutz ihrer Privatsphäre haben, beschließen sie in bestimmten Fällen, personenbezogene Daten für vergünstigte Dienstleistungen oder Waren preiszugeben. Nur ein Drittel (33%) der Europäer ist sich der Existenz einer nationalen öffentlichen Behörde bewusst, die für den Schutz ihrer personenbezogenen Daten verantwortlich ist.
  • Die Bürger der Union müssen ferner auch in die Lage versetzt werden, Praktiken zu identifizieren, bei denen diese wichtigen Grundsätze verletzt werden und angemessene Maßnahmen zu ergreifen, wozu auch die Inanspruchnahme ihrer Rechte als betroffene Person bei dem für die Verarbeitung Verantwortlichen zählen, der sich nicht an die Vorschriften hält und gegebenenfalls bei den zuständigen Behörden Beschwerde einzulegen. Dies setzt voraus, dass das Rechtsbewusstsein der betroffenen Personen geschärft wird, da der erste Schritt auf diesem Weg darin besteht, sicherzustellen, dass die betroffenen Personen die Bedeutung der Sicherung ihrer Daten vor nicht erforderlicher Offenlegung verstehen.

Empfehlung

Wir empfehlen, dass die Nutzer Praktiken identifizieren, bei denen ihre Rechte als betroffene Personen verletzt werden und angemessene Maßnahmen ergreifen, gegebenenfalls auch indem sie Beschwerde bei den zuständigen Behörden einreichen.

Die Datenschutzbehörden sollten darauf abzielen, das Bewusstsein der Nutzer im Hinblick auf ihre in den Datenschutzvorschriften verankerten Rechte zu schärfen sowie im Hinblick auf die Möglichkeiten, die ihnen rechtlich zustehen, um diese Rechte auszuüben, auch durch Beschwerden in Fällen der übermäßigen Erfassung und Speicherung personenbezogener Daten.

Weitere Informationen

http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat

EUROBAROMETER 2011: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf

Nationale Datenschutzbehörden: http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm

Sichere intelligente Netze

Zielgruppe 

Alle Empfehlungen sind an die Europäische Kommission, die Mitgliedstaaten, den privaten Sektor und Experten für kritische Infrastrukturen gerichtet.

Kritische Infrastrukturen sind Einrichtungen, Systeme oder Teile davon in Mitgliedstaaten, die für die Aufrechterhaltung wichtiger sozialer Funktionen und den Schutz der Gesundheit, der Sicherheit und des wirtschaftlichen und sozialen Wohlergehens der Menschen von wesentlicher Bedeutung sind und deren Ausfall oder Zerstörung zu signifikanten Auswirkungen auf einen Mitgliedstaat führen würde, der so nicht mehr in der Lage wäre, diese Funktionen zu gewährleisten. Es werden nachfolgend Empfehlungen für sichere intelligente Netze formuliert.

Empfehlungen

  • Die Europäische Kommission (EK) und die zuständigen Behörden der Mitgliedstaaten (MS) sollten Initiativen zur Verbesserung des rechtlichen und politischen Rahmens der Informationssicherheit intelligenter Netze ergreifen.
  • Die EK sollte in Zusammenarbeit mit der ENISA und den Mitgliedstaaten die Schaffung einer öffentlich-privaten Partnerschaft fördern, um Initiativen im Bereich der Informationssicherheit intelligenter Netze zu koordinieren.
  • Die ENISA und die EK sollten Sensibilisierungs- und Bildungsmaßnahmen fördern.
  • Die EK und die MS sollten in Zusammenarbeit mit der ENISA Initiativen zur Information und zum Erfahrungsaustausch unterstützen.
  • Die EK sollte in Zusammenarbeit mit der ENISA und den MS und dem privaten Sektor ein Mindestpaket von Sicherheitsmaßnahmen entwickeln, das auf bestehenden Normen und Leitlinien basiert.
  • Sowohl die EK als auch die zuständigen Behörden der Mitgliedstaaten sollten die Entwicklung von Sicherheitszertifizierungsprogrammen für Komponenten, Produkte und organisatorische Sicherheitsvorkehrungen fördern.
  • Die EK und die zuständigen Behörden der Mitgliedstaaten sollten die Einrichtung von Versuchskonfigurationen und Risikobewertungen unterstützen.
  • Die EK und die MS sollten in Zusammenarbeit mit ENISA die Strategien zur Koordinierung der Maßnahmen im Fall von die Energienetze betreffenden Vorfällen großen Ausmaßes im Cyberraum auf gesamteuropäischer Ebene fördern.
  • Die zuständigen Behörden der Mitgliedstaaten sollten in Zusammenarbeit mit CERTs Aktivitäten einleiten, damit diese eine beratende Rolle bei der Behandlung von Informationssicherheitsfragen übernehmen, welche die Energienetze betreffen.
  • Die EK und die zuständigen Behörden der Mitgliedstaaten sollten in Zusammenarbeit mit den Hochschulen und dem Forschungs- und Entwicklungssektor Forschungsstudien zu intelligenten Netzen unterstützen, bei denen auf den bestehenden Forschungsprogrammen aufgebaut wird.

Weitere Informationen: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastr…s/smart-grids-and-smart-metering/ENISA-smart-grid-security-recommendations

Literaturverzeichnis:

ENISA

  OTHER

Browse the Topics

This site uses cookies to offer you a better browsing experience.
Aside from essential cookies we also use tracking cookies for analytics.
Find out more on how we use cookies.

Accept all cookies Accept only essential cookies