.png)
Hier finden Sie die Dezember-News und den Produktrückblick vom Cyberday sowie eine Zusammenfassung des letzten Admin-Webinars des Jahres 2024. Unser nächstes Admin-Webinar, bei dem wir live gehen werden, findet Anfang 2025 statt. Sie können sich für das Webinar auf unserer Webinar-Seite anmelden, wenn das Datum näher rückt.
Die NIS2-Richtlinie wird ab Oktober 2024 anwendbar sein, und die länderspezifischen Gesetze werden derzeit zügig fertiggestellt. Die Hauptunterschiede zwischen den Ländern liegen in der Bezeichnung der Sektoren und der Betonung der Sicherheitsmaßnahmen. In vielen Ländern wurde das nationale Gesetz bereits umgesetzt.
Im Frühjahr 2024 haben wir das E-Book NIS2 ready with ISO 27001's best practices veröffentlicht, in dem wir zeigen, wie die Anforderungen der international anerkannten Norm mit der Richtlinie Hand in Hand gehen und so die Einhaltung erleichtern. In vielen Ländern verweist auch die nationale Gesetzgebung auf ISO 27001, um eine angemessene Umsetzung zu gewährleisten.
Wir veröffentlichen die nationalen NIS2-Gesetze gerade am Cyberday !
Der Digital Operational Resilience Act (DORA) gilt für Finanzdienstleister und IKT-Dienstleister, die in der EU tätig sind. Sie legt einheitliche Anforderungen für Informationsnetze und -systeme fest, die finanzielle Geschäftsprozesse unterstützen. Wir haben in unserem Blog bereits ausführlicher über DORA geschrieben.
Im Laufe des Jahres 2024 werden mehrere aktualisierte technische Regulierungsstandards (RTS) zu DORA veröffentlicht, die den Finanzinstituten helfen sollen, die Grundsätze von DORA zu übernehmen und ihre Einhaltung sicherzustellen. Um in Übereinstimmung mit DORA zu arbeiten, ist es daher notwendig, auch die RTS-Vermerke einzuhalten.
Die Spezifikationen behandeln Themen wie Risikomanagement, Klassifizierung von Vorfällen, Sicherheitsmanagement in der Lieferkette, Penetrationstests, Berichterstattung über Vorfälle und eine detailliertere Umsetzung der Informationssicherheit für das Outsourcing. Im Rahmen des digitalen Sicherheitsmodells hat DORA bereits eine Aktualisierung der Klassifizierung von Vorfällen erhalten, und wir werden die RTS-Verfeinerungen im Laufe des Jahres 2025 einführen.
Die Aufsicht über DORA wird am 17. Januar 2025 beginnen.
Die CRA (Cyber Resilience Act) ist eine EU-Verordnung, die die Sicherheit aller digitalen Produkte und Dienstleistungen gewährleistet. Sie hat einen breiten Geltungsbereich und kategorisiert Software und Hardware (z. B. Unterhaltungselektronik, IoT, Betriebssysteme) mit digitalen Elementen. Die CRA stellt sicher, dass Produkte mit digitalen Elementen während ihres gesamten Lebenszyklus sicherheitsorientiert konzipiert, entwickelt und gewartet werden.
Quelle: exein.io
Das EU-KI-Gesetz trat im August 2024 in Kraft, und seine Durchsetzung wird im Laufe des Jahres 2025 schrittweise erfolgen. Das KI-Gesetz gilt für Entwickler und Nutzer von KI-Systemen. Obwohl der Anwendungsbereich des KI-Gesetzes enger ist, ist es für Organisationen gut zu wissen, wo sie stehen.
Der Hauptzweck des AI-Gesetzes besteht darin,:
Die KI-Gesetzgebung der EU soll als globaler Maßstab für die KI-Regulierung dienen und einen Ausgleich zwischen technologischen Fortschritten und sozialen und ethischen Erwägungen schaffen.
Die Chief Information Security Officers (CISOs) von Organisationen tragen bei ihrer Arbeit oft eine große Verantwortung. CISOs sind strategische Akteure und Risikomanager. Die Rolle des CISO besteht jedoch nicht nur darin, den Schutz der Daten zu gewährleisten, sondern auch das Vertrauen der Organisation aufrechtzuerhalten Es ist wichtig, die Angst zu berücksichtigen, die viele CISOs haben: Werde ich meinen Job verlieren, wenn es in der Organisation zu einer Datenverletzung kommt?
Portnox führte eine Umfrage unter 200 Fachleuten in CISO-Funktionen durch, insbesondere in großen Organisationen. Die Zahlen sprechen für sich, was die beruflichen Herausforderungen und Ängste angeht. 99 % der Befragten machen sich Sorgen um den Fortbestand ihres Arbeitsplatzes nach einer Datenschutzverletzung, darunter 77 %, die sehr besorgt sind.
Was kann getan werden, um die Situation zu verbessern? Unternehmen sollten sich über den aktuellen Stand der Informationssicherheit im Klaren sein und Ressourcen für den Aufbau und die Pflege eines proaktiven Informationssicherheitsumfelds und einer gemeinsamen Verantwortung bereitstellen.
Informationssicherheit ist eine Teamleistung - machen wir sie zu einer solchen.
Artikel von helpnetsecurity.com
Artikel von darkreading.com
Nun wollen wir sehen, was die Umfrage von CyberArc über die Sicherheitspraktiken der Mitarbeiter ergibt. Die Umfrage unter 14.000 Arbeitnehmern aus verschiedenen Branchen zeigt, dass sich die Sicherheitspraktiken nicht wesentlich verbessert haben. Zu den wichtigsten Zahlen aus der Umfrage gehören:
Die Umfrageergebnisse verdeutlichen den Bedarf an Sicherheitsbewusstsein und Schulungen für das Personal. Wie erhält Ihr Unternehmen die Sicherheitskompetenz seiner Mitarbeiter aufrecht?
Artikel von theregister.com
Cyberkriminelle Ransomware-Banden haben in letzter Zeit die britische Gesundheitsbranche heimgesucht. Der britische Gesundheitsdienst NHS (National Health System) hat viel von sich reden gemacht, da viele Systeme das Ziel mehrerer Angriffe waren, die angeblich auch von verschiedenen kriminellen Banden verübt wurden. Zu den jüngsten Zielen gehört das bekannte Alder Hey Children's Hospital in Liverpool. Zu dem Angriff auf das Kinderkrankenhaus hat sich dieselbe Erpresserbande bekannt, die bereits in der Vergangenheit für zahlreiche Angriffe auf NHS-Krankenhäuser verantwortlich war.
An vielen Standorten hat der Angriff die Verfügbarkeit der Systeme beeinträchtigt, was dazu geführt hat, dass Termine abgesagt wurden und das Personal zu Stift und Papier greifen musste. Trotz der Datenpanne sind die Dienste von Alder Hey nicht beeinträchtigt, und es gibt keine Unterbrechungen bei geplanten Terminen oder Verfahren. Allerdings wurden bei der Datenpanne sensible Daten gestohlen. Im Fall von Alder Hey handelt es sich dabei um Patienten- und Spenderdaten, Berichte und Dokumente. Das Krankenhaus bestätigte, dass es die Datenpanne untersucht und mit der National Crime Agency (NCA) und anderen Partnern zusammenarbeitet, um die Auswirkungen zu bewerten und seine Systeme zu sichern.
Artikel von thehackernews.com
Im Dezember beschloss Rumänien, das sechstgrößte Land Europas , die Ergebnisse der ersten Runde der Präsidentschaftswahlen zu annullieren. Die Annullierung erfolgte, nachdem der Dienst Tik Tok begonnen hatte, Kampagnen zur Förderung der rechtsgerichteten Partei Geogescu zu verbreiten, in die Russland verwickelt zu sein schien. Die Ermittlungen ergaben beispielsweise hohe nicht deklarierte Spenden und 25 000 Social-Media-Konten, die in kurzer Zeit aktiviert wurden, um Geogescus Wahlkampf zu unterstützen, der über einen anderen Kontaktkanal koordiniert wurde. Es ist noch nicht klar, ob Geogescu eine Rolle in der Kampagne spielte.
In den Erklärungen zur Annullierung wurde hervorgehoben, dass das Wahlergebnis nicht mit den Umfragen übereinstimmte und ein relativ unbekannter rechtsextremer Kandidat als Sieger hervorging. Die Kandidaten, die bei der Wahl gut abgeschnitten haben, sind natürlich unglücklich über die Entscheidung, und einige kommentierten die Annullierung als antidemokratisch. Die zweite Runde der Präsidentschaftswahlen sollte im Dezember 2024 stattfinden, aber die rumänische Regierung hat beschlossen, die Präsidentschaftswahlen auf einen späteren Zeitpunkt zu verschieben, vermutlich auf das Frühjahr 2025.
Der Fall verdeutlicht insbesondere die wachsenden Herausforderungen, denen sich Demokratien aufgrund der Einmischung von außen über digitale Plattformen gegenübersehen, und unterstreicht die dringende Notwendigkeit, die Kontrolle sozialer Medien zu verstärken und politische Vorschriften zu modernisieren, um die Integrität von Wahlen zu schützen.
Mit dieser Funktion können Sie Ihre Partner zunächst in verschiedene Kategorien einteilen und ermitteln, welche Partner eine Sicherheitsbewertung benötigen. Anschließend können Sie Bewertungen auf der Grundlage des ausgewählten Anforderungsrahmens versenden. Erfahren Sie mehr über diese Funktion in unserer Akademie.
Wir haben auch die ersten Verbesserungen für Sicherheitsbewertungen veröffentlicht, einschließlich der Überprüfung von Bewertungsantworten, der Wiedervorlage von Anfragen und der Möglichkeit, redundante Bewertungen zu löschen.
Mit Hilfe unseres Teams kann das Konto mit einer Funktion auf Gruppenebene verknüpft werden, die es verschiedenen Organisationen innerhalb einer großen Gruppe ermöglicht, separate Cyberday zu nutzen. Auf Unternehmensebene kann es jedoch manchmal erforderlich sein, für bestimmte Aufgaben zusätzliche Anforderungen zu stellen und manchmal eine Unternehmensimplementierung für einige Aufgaben bereitzustellen.
Eines der Konten kann als "Hauptkonto des Unternehmens" definiert werden, wobei die Hauptnutzer entscheiden können, die gewünschten Aufgabenbeschreibungen an die Unterkonten zu verteilen. Die Unterkonten erhalten die verteilten Beschreibungen sofort, müssen aber ansonsten ihre eigene Aufgabenversion auf normale Weise verwalten, einschließlich des Schreibens ihrer eigenen "kontenspezifischen Spezifikationen" in der Prozessbeschreibung.
Diese Funktion wurde speziell für Berater entwickelt, die mehrere Konten betreuen, oder für große Unternehmen mit mehreren Unternehmen/Konten unter ihrer Kontrolle und mit denselben Schlüsselpersonen. Auf der Seite "Ihre Konten" werden jetzt mehr relevante Informationen angezeigt. Wenn Sie Zugriff auf mehrere Cyberday haben, können Sie diese über die Schaltfläche "Konto ändern" im linken Menü aufrufen.
Nutzung der öffentlichen API: Wir werden in Kürze bessere Beschreibungen der auf Cyberday verfügbaren öffentlichen APIs veröffentlichen. Diese werden es Organisationen ermöglichen, ihre eigenen Integrationen zwischen anderen Diensten und Cyberday zu erstellen.
Cyberday Trust Center Berichtsportal: Sie können ganz einfach eine glaubwürdig aussehende Webseite für Sicherheitsberichte erstellen. Sie können die Berichte auswählen, die Sie weitergeben möchten (z. B. organisatorische Sicherheitsrichtlinien, Compliance-Berichte oder teilbereichsspezifische Sicherheitsrichtlinien), und auch andere "Kontrollinformationen" werden auf die Seite gebracht. Die Berichte und das gesamte Portal können entweder frei zugänglich sein oder hinter einer einfachen Authentifizierung stehen.
Deutlichere Verbesserungsempfehlungen vom Cyberday: Wir testen derzeit eine neue Ansicht des Desktops, in der bis zu 10 Verbesserungsvorschläge für den Konformitätswert oder die Nachweise nach Prioritäten geordnet angezeigt werden. Diese Empfehlungen werden dem Benutzer helfen zu verstehen, was als nächstes getan werden sollte.
Darüber hinaus erforschen wir derzeit die KI-gestützte Generierung von Antworten auf Sicherheitsumfragen unter Verwendung von Inhalten aus Ihrem Verwaltungssystem. 🔍
Neue Rahmenwerke: TISAX, NIS2 Nationale Gesetzgebungen: Kyberturvallisuuslaki (Finnland), Cyberfundamentals (Belgien), NSM IKT-Sicherheitsgrundsätze (Norwegen)
Kommende Rahmenwerke: DORA RTS, CIS18, CRA, NIS2 nationale Gesetze
Überprüfen Sie die verfügbaren und kommenden Frameworks in der Cyberday oder auf der Frameworks-Website.
