Sicherheit
Um das Vertrauen in das Internet zu stärken, ist das Thema Sicherheit für eco von zentraler Bedeutung. Neben verschiedenen Initiativen und Services beschäftigt sich eine eigene Kompetenzgruppe mit aktuellen Sicherheitsfragen aus Branchensicht. Eine weitere Kompetenzgruppe Anti-Abuse dient dem mitgliederinternen Austausch zu aktuellen Abuse-Themen.
Einmal jährlich befragt eco seine Mitgliedsunternehmen im Rahmen der Studie „IT-Sicherheit“ zur Einschätzung der Bedrohungslage, zur Bewertung aktueller Sicherheitsthemen und zu Trends. Die Bandbreite der Themen reicht dabei von der personellen und organisatorischen Sicherheit über den Schutz von IT-Systemen, die Absicherung mobiler Kommunikationstechnik bis hin zu Fragen des Sicherheitsmanagements und der Sensibilisierung der Mitarbeiterinnen und Mitarbeiter.
Eine starke Abwehrkette ist nicht nur im Fußball Voraussetzung für Erfolge. Auch in mittelständischen Unternehmen gilt es, die IT-Sicherheit in das Gesamtkonzept der Unternehmens-IT einzupassen, um Angriffe erfolgreich abzuwehren. Wie das gelingen kann, darüber berichtete unter anderem der Fußballverein Borussia Dortmund am 26. April 2023. Know-how und Best Practices vermittelten im Rahmen von „Dortmund Protected“ Expert:innen den rund 50 Teilnehmer:innen vor Ort.
Nachdem die IT-Sicherheitsumfrage am 16. Februar 2023 veröffentlicht wurde, stellten wir bereits am 3. März die Ergebnisse und Auswertung zur IT-Sicherheitsumfrage im Rahmen des „Dortmund Protected: ESET Security Day“ auf dem BVB-Trainingsgelände vor.
Diese wurde folgend am 11. April offiziell vom Verband veröffentlicht. eco IT-Sicherheitsumfrage 2023: Viele Unternehmen unterschätzen noch immer Bedrohungslage – eco. Den Vergleich der Ergebnisse der Sicherheitsumfrage 2023 und der letzten Jahre zog Michael Weirich im Rahmen eines IT-Security Talks für die it-sa 365: it-sa 365 2023 | Action: eco Umfrage IT-Sicherheit 2023 – Ergebnisse und Vergleiche der letzten Jahre (itsa365.de).
„Cybersicherheit in der Lieferkette“ und „Software Bill of Materials (SBOM)“ waren die beherrschenden Themen beim ersten Treffen der Kompetenzgruppe Sicherheit am 3. Mai 2023, welches als reine Online-Veranstaltung durchgeführt wurde. Auch die neue NIS2-Richtlinie der EU und der geplante EU Cyber-Resilience-Act fordern den Einsatz von SBOMs. „Anbieter und Anwender sollten sich mit SBOMs vertraut machen, da die Bereitstellung von SBOMs von Anbietern in vielen Marktbereichen bald verlangt werden wird. Anwender sollten von ihren Lieferanten bereits heute SBOMs fordern, auch wenn viele Anbieter derzeit noch nicht in der Lage sind, diese bereitzustellen“, sagt Oliver Dehning, Leiter der Kompetenzgruppe (KG) Sicherheit im eco Verband und gab dazu auch konkrete Tipps.
In der heutigen digitalen Wirtschaft ist die Sicherheit unserer Lieferketten von entscheidender Bedeutung für den wirtschaftlichen Erfolg von Unternehmen. Modernste Lieferketten stehen jedoch immer mehr im Fokus von Angreifer:innen. Die zahlreichen Schnittstellen und vielfältigen Systeme bieten zahlreiche Einfallstore für potenzielle Bedrohungen.
„Die Häufigkeit und Komplexität von Angriffen auf Lieferketten werden voraussichtlich zunehmen, da sie für Angreifer effektiver und potenziell lukrativer sind als andere Angriffs-Szenarien“, stellen die Expert:innen der eco Kompetenzgruppe IT-Sicherheit bei ihrem Treffen am 22. November im eco Kubus in Köln-Ehrenfeld fest und erarbeiteten Tipps und Strategien, wie sich Unternehmen schützen können: IT-Lieferkettensicherheit: eco Kompetenzgruppe Sicherheit erarbeitet 6 Tipps – eco.
„Moderne Software-Lieferketten werden anfälliger für Angriffe“, sagte Matthias Riedel von SAP. Er gab einen globalen Überblick über die wirtschaftlichen und sozialen Konsequenzen der Angriffe. „Angreifer nutzen Sicherheitslücken und das Vertrauen zwischen Kunden und Service Providern aus, um Schadsoftware zu verbreiten oder Netzwerke zu infiltrieren“, sagte Maik Wetzel von ESET in seinem Vortrag. Anhand von prominenten Beispielen wie NotPetya, Kaseya und Solar Winds verdeutlichte Wetzel, welch weitreichende Auswirkungen Angriffe in der Lieferkette haben können.
Auch im Jahr 2023 war eco wieder mit einem Gemeinschaftsstand auf der it-sa in Nürnberg vertreten. Zusammen mit unseren Partnern GlobalDots, nameshield, NorthC und Plusserver standen wir bereit, um mit unseren Besucher:innen über die aktuellen Themen der Internetwirtschaft zu diskutieren und um aktuelle Projekte und Initiativen rund um Sicherheit und die digitale Transformation zu präsentieren.
Kongresse und Messen
Im Jahr 2023 war eco auf zahlreichen Veranstaltungen und Messen rund um das Thema IT-Sicherheit vertreten.
Gemeinsam mit unseren Mitausstellern GlobalDots, Nameshield Germany, NorthC Datacenters Deutschland und plusserver informierten wir auf der it-sa 2023 umfassend über das Thema Cybersicherheit und führten viele spannende Gespräche mit den Besucher:innen. Außerdem konnte unser Geschäftsführer Alexander Rabe die BSI-Präsidentin Claudia Plattner am eco Gemeinschaftsstand begrüßen.
ISD 2023
Das Motto für 2023 lautete: Backup for Tomorrow und war in zwei parallele Vortragsreihen zu vier Hauptthemen gegliedert: Achieving the State of the Art, Future Security, Digital Supply Chain Security und Connected Security.
Den rund 250 Teilnehmer:innen pro Veranstaltungstag boten sich 40 spannende Vorträge und Paneldiskussionen sowie zahlreiche Gelegenheiten zum Networking und zu vertiefenden (Fach-)Gesprächen.
Weitere Informationen hier.
Veröffentlichungen und Kurzstudien
- Nur 22,5 Prozent der Deutschen nutzen Cloud-Services, um private Medien zu sichern
- Jeder vierte Deutsche bezahlt mit dem Handy – eco gibt Sicherheitstipps
- Ein drittel arbeitet im Sommer Outdoor: eco gibt Sicherheitstipps
- eco Umfrage: Deutsche bleiben Backup Muffel
- eco Verband empfiehlt starke Passwörter statt häufiges Wechseln
- Gesundheits-Apps nutzen ein Drittel der Deutschen
Interviews mit unseren Mitgliedern
- Drei Fragen an Thomas Wagner (myra)
- Forschungsprojekt INSPECTICON zur Identifizierung gehackter Websites
- Drei Fragen an Dr. Silvia Knittl (pwc) zum Zero-Trust Ansatz
- Penetrationstests zeigen die eigenen Defizite (Sebastian Schreiber, SySS)
- Drei Fragen an Tarik Nemri (plusserver)
- Unternehmensvorstellung Spherity GmbH
- Drei Fragen an Oliver Dehning
- Interview „IT Sicherheit im Mittelstand“ mit Michael Schröder
- Supply Chain Sicherheitsinterview mit Stefan Hessel
KG Abuse
Das 1. Treffen der KG Abuse am 22. April 2023 drehte sich um die Initiative TOP DNS und um die Gründe für die KG Abuse, sich dort zu engagieren. Die TOP DNS-Initiative wurde ins Leben gerufen, um das Interesse unserer Mitglieder gegenüber der Politik zu wahren und die Bestrebungen der Content Industrie, das Anti-Abuse Handling gänzlich in Richtung der Hoster, Telecom Unternehmen und Registrare zu schieben zu kontern.
Zusammen mit ICANN wurde seitens der Vertreter der Content Industrie eine Studie über DNS Abuse erarbeitet, in dem die meisten Abuse Kategorien fälschlicherweise dem DNS zugeordnet wurden de facto aber „normales” Abuse darstellten. Die Kompetenzgruppe sieht sich hier in der Pflicht, die Politik mit Informationen/Daten und Statistiken zu versorgen und Begrifflichkeiten zu klären, damit die Interessen unserer Mitglieder gewahrt bleiben und eine stärkere Regulierung abgewendet wird.
Im Zuge dessen wurde auch ein Treffen in Brüssel mit der EU-Kommission durchgeführt, bei welchem Patrick Koetter als Leiter der KG Abuse und Experte für DNS (und DNS-Sicherheit) teilnahm, um zusammen mit der Kommission Begrifflichkeiten zu klären und Handlungsempfehlungen auszusprechen.
Am 5. Juli traf sich die Kompetenzgruppe Abuse in Köln zu ihrem 2. Treffen. Als externer Gast war Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit eingeladen, der über „Software Bill of Materials“ referierte, ein Thema, welches auch unter Sicherheitsaspekten immer wichtiger wird. So stellt sich nach Sicherheitsvorfällen, wie dem Supply Chain Angriff auf „Solarwinds“, oder dem log4J Vorfall unweigerlich die Frage: „Sind auch wir betroffen?“. Im Ausblick stellte er einige Werkzeuge für die Verwaltung und Erstellung von SBOMs vor und ging auf mögliche Anwendungsfälle einer Software Bill of Materials im Unternehmen ein.
Eine kurze Erklärung und Tool-Übersicht wurde von Seiten der KG Abuse in Folge des Meetings erarbeitet: Kurz erklärt: Software Bill of Materials (SBOM) – eco
Winfried Kania, Anti Abuse Engineer bei IONOS Hosting Security erläuterte, mit welchen Maßnahmen IONOS intern Mitarbeiter:innen und die Marken, die sie vertreten, vor Phishing und Spam schützt und stellte interne Tools und Abläufe vor, um frühzeitig auf Bedrohungen reagieren zu können und Mitarbeiter:innen zu unterstützen, Phishing gegen die Marken von IONOS zu melden.
Initiative Ransomware
Die eco Mitgliedsunternehmen Microsoft, Rohde & Schwarz sowie die Sophos AG klären auf der Initiativen-Website auf, wie Ransomware Unternehmen gefährdet und welche Maßnahmen getroffen werden können. Dazu wurde zur Erläuterung ein Erklärvideo erstellt, um die Awareness bei Unternehmen bezüglich der Gefahren von Ransomware zu erhöhen.
Bei der Roadshow Cybercrime am 6. Juni 2023 bei der Sparkasse Essen stellte die Initiative Ransomware die „Geschichte der Ransomware“ vor, beginnend 1989 mit der ersten Ransomware bis zu den letzten Entwicklungen nach 2020.
Die Initiative-Ransomware dient als Anlauf- und Informationsstelle für kleine bis mittlere Unternehmen und vernetzt diese mit Sicherheitsbehörden sowie Partnern aus der IT-Sicherheitsbranche.