Heimat der Akademie
Blogs
Ransomware, AI Act 101, NIST CSF 2.0: Cyberday Produkt- und Nachrichtenübersicht 3/2024 🛡️
Teil der ISO 27001-Sammlung
Teil der NIS2-Sammlung

Ransomware, AI Act 101, NIST CSF 2.0: Cyberday Produkt- und Nachrichtenübersicht 3/2024 🛡️

ISO 27001-Sammlung
Ransomware, AI Act 101, NIST CSF 2.0: Cyberday Produkt- und Nachrichtenübersicht 3/2024 🛡️
NIS2-Sammlung
Ransomware, AI Act 101, NIST CSF 2.0: Cyberday Produkt- und Nachrichtenübersicht 3/2024 🛡️
Cyberday Blog
Ransomware, AI Act 101, NIST CSF 2.0: Cyberday Produkt- und Nachrichtenübersicht 3/2024 🛡️

Dies sind die März-Neuigkeiten und der Produktrückblick von Cyberday. Unser nächstes Live-Webinar für Administratoren findet im Mai 2024 statt. Sie können sich dafür auf unserer Webinar-Seite anmelden, wenn das Datum näher rückt.

Wichtigste Nachrichten zur Cybersicherheit 3/2024

Traficom würdigt die Zusammenarbeit bei der Verhinderung von Betrugsanrufen und -nachrichten mit dem Preis "Infosec Frontrunner".

Artikel von kyberturvallisuuskeskus.fi

Traficom und Huoltovarmuuskeskus organisierten am 13.3.2024 das Seminar Tietoturva 24 in Helsinki. Auf dem Seminar wird der jährliche Anerkennungspreis für "Infosec-Frontrunner" verliehen, um herausragende Zusammenarbeit und Innovation im Bereich der Cybersicherheit zu würdigen. In diesem Jahr wurde der Preis an Organisationen verliehen, die gemeinsam Maßnahmen zur Verhinderung internationaler gefälschter Anrufe und Nachrichten entwickelt und umgesetzt haben.

Ein wichtiger Teil der Umsetzung ist die technische Filterung, bei der ordnungsgemäße finnische Anrufe erlaubt sind, anderer Verkehr aber blockiert wird. Darüber hinaus spielten die Traficom-Verordnungen, die alle Betreiber dazu verpflichteten, dieselben Filter zu implementieren, eine wesentliche Rolle bei der Erreichung einer einheitlichen Umsetzung ohne Schlupflöcher für Cyber-Kriminelle.

Zwischen 2020 und 2021 verloren die Finnen 7,1 Millionen Euro allein durch betrügerische Anrufe beim technischen Support. Die 2022 eingeführten Präventionsmethoden haben die Zahl der Betrugsanrufe erheblich verringert, und der kriminelle Nutzen ist auf 600 EUR gesunken. Ursprünglich wurden sogar 200 000 betrügerische Anrufversuche pro Tag blockiert. Das Problem der betrügerischen Anrufe und Nachrichten ist ein globales Problem, so dass die finnischen Ergebnisse auch auf internationaler Ebene von Interesse sind.

Dank der Zusammenarbeit zwischen den Telekommunikationsbetreibern und den Behörden konnten gefälschte Anrufe mit gefälschten finnischen Nummern praktisch unterbunden werden.

Verliehen an: DNA Oyj, Elisa Oyj, KRP, Traficom, Länsilinkki Oy, Setera Communications Oy, Suomen Numerot NUMPAC Oy, Telia Finland Oyj ja Ålands Telekommunikation Ab

12,5 Milliarden Dollar Verlust durch Cyberkriminalität in den USA

Artikel von tripwire.com

Der jährliche Bericht des Internet Crime Complaint Center (IC3 ) des FBI wurde veröffentlicht und zeigt, dass die Verluste durch Cyberkriminalität im Jahr 2023 mit einer Rekordrate von 22 % gestiegen sind. Die Zahlen in dem Bericht umfassen nur Vorfälle, die dem IC3 gemeldet wurden, so dass die Zahl tatsächlich höher sein könnte.

Die beliebtesten Arten von Angriffen:

  • Ransomware (+18%)
  • Anlagebetrug (+33%)
  • Betrug beim technischen Support
  • Betrügereien unter dem Deckmantel der Regierung

Alle Interessierten sind aufgefordert, den Bericht zu lesen!

Stürmische Ransomware-Bande reklamiert Angriff auf belgische Brauerei Duvel für sich

Artikel von therecord.media

Im März 2024 wurde die belgische Brauerei Duvel von einem Ransomware-Angriff heimgesucht. Die IT-Abteilung von Duvel entdeckte den Betrug und schaltete die Produktionslinien und Server des Unternehmens ab. Die Folge war eine tagelange Unterbrechung der Produktion in den Fabriken sowohl in Belgien als auch in den USA. Duvel versicherte seinen Kunden jedoch, dass es dank der vorhandenen Lagerbestände keine Probleme mit der Verfügbarkeit geben würde.

Am Donnerstag, den 7. März, wurde Duvel auf der Leakage-Website der Ransomware-Bande Stormous aufgeführt. Auf der Stormous-Website wird behauptet, dass 88 GB an Daten von Duvel gestohlen wurden, darunter Bestellinformationen, Kontaktdaten und Adressen. Dem Unternehmen wurde eine Frist bis zum 25. März eingeräumt, um das Lösegeld zu zahlen.

Stormous hat in den vergangenen Monaten bekannt gegeben, dass es einer Allianz beigetreten ist, zu der auch ThreatSec, GhostSec, Blackforums und SiegedSec gehören. Die Mitglieder der Allianz arbeiten bei Angriffen zusammen und entwickeln auch eigene Angebote (z. B. RaaS-Dienste für weniger qualifizierte Cyberkriminelle (Ransomware-as-a-Service)).

IAPP veröffentlicht den "EU AI Act: 101"

Artikel von iapp.org

Die Europäische Union hat das weltweit erste umfassende KI-Gesetz, das EU-KI-Gesetz, entwickelt, das Anforderungen für die Entwicklung und den Einsatz von KI-Systemen auf verschiedenen Risikoebenen festlegen soll. Damit sollen die Menschenrechte geschützt und gleichzeitig die Innovation gefördert werden.

Am Mittwoch, den 13. März 2024, stimmte das Europäische Parlament für den Entwurf des EU-Gesetzes über künstliche Intelligenz und der Text ist nun verfügbar und fertig. Es wird erwartet, dass der AI-Akt so bald wie möglich veröffentlicht wird, sobald die letzten verfahrenstechnischen und sprachlichen Prüfungen abgeschlossen sind.

Die IAPP (International association of privacy professionals) hat eine leicht verständliche Zusammenfassung des Inhalts des AI-Gesetzes veröffentlicht. Der Kern des Gesetzes ist ein risikobasierter Ansatz, der aus vier Risikostufen besteht:

  • Inakzeptables Risiko: KI-Systeme, die als Bedrohung für die Menschenrechte, die Sicherheit oder den Lebensunterhalt angesehen werden, sind verboten.
  • KI-Systeme mit hohem Risiko: KI-Technologie, die die Sicherheit, die Rechte oder den Lebensunterhalt von Menschen gefährden kann. Sie unterliegen strengen Auflagen, bevor sie auf den Markt kommen können.
  • KI-Systeme mit geringem Risiko: KI-Technologien, die ein geringes Risiko darstellen.
  • KI-Modelle für allgemeine Zwecke: Allgemeine KI-Modelle, die in verschiedene Produktionsketten oder Anwendungen integriert werden können.

Die meisten Bestimmungen des KI-Gesetzes werden zwei Jahre nach Veröffentlichung der endgültigen Fassung in Kraft treten. Daher ist jetzt ein guter Zeitpunkt, um herauszufinden und zu prüfen, ob Sie eines dieser KI-Systeme in Ihrem Unternehmen einsetzen oder anbieten.

NIST veröffentlicht Version 2.0 des Cybersecurity Framework

Artikel von nist.gov

Das NIST (National Institute of Standards and Technology) hat eine neue Version 2.0 seines Rahmenwerks veröffentlicht. Die ursprüngliche NIST-CSF wurde 2014 veröffentlicht, eine Aktualisierung der CSF in Version 1.1 erfolgte später im Jahr 2018.

Das NIST CSF war ursprünglich für Organisationen kritischer Infrastrukturen gedacht, um Cybersicherheitsrisiken auf der Grundlage bestehender Standards, Richtlinien und Praktiken zu verwalten und zu mindern. Bereits in der Entwurfsfassung erhielt die neue Version des CSF umfangreiches Feedback, das genutzt wurde, um das aktuelle Modell in 2.0 zu erweitern und auszubauen.  

Das neue CSF 2.0 richtet sich an ein breiteres Publikum, unabhängig vom Sicherheitsniveau, von kleinen Schulen und Organisationen bis hin zu den größten Unternehmen. Das NIST CSF 2.0 aktualisiert wichtige Richtlinien und entwickelt eine Reihe von Werkzeugen, die Organisationen dabei helfen, ihre Sicherheitsziele zu erreichen, wobei der Schwerpunkt auf Governance- und Lieferkettenaspekten liegt. Der Anforderungsrahmen bietet auch mehr unterstützendes Material für die Arbeit im Bereich der digitalen Sicherheit.

Massive Datenpanne offenbart Informationen von 43 Millionen französischen Arbeitnehmern

Artikel von hackread.com

Im Februar/März 2024 kam es in Frankreich zu einer massiven Datenpanne bei Arbeitsagenturen, bei der die Daten von 43 Millionen französischen Arbeitnehmern durchsickerten. Zu den Daten gehörten unter anderem Namen, Personalausweise und Kontaktdaten. Von dem massiven Datenleck könnten Arbeitsuchende der letzten 20 Jahre und etwa zwei Drittel der französischen Bevölkerung betroffen gewesen sein. Von der Datenpanne waren zwei französische Arbeitsvermittlungen, France Travail und Cap Emploi, betroffen.

Die Datenschutzverletzung wurde erst nach dem Vorfall entdeckt, als Personen die verdächtigen Aktivitäten bei den französischen Datenschutzbehörden (CNIL) meldeten. Die Arbeitsagentur selbst meldete den Verstoß erst etwa einen Monat nach Beginn des Verstoßes.

Nach der Datenpanne wurde eines der Arbeitsvermittlungsunternehmen, France Travail, wegen Sicherheitsmängeln, Verlangsamungen und dem Horten von Kundendaten heftig kritisiert. France Travail war auch von einer externen Ethik-Hacking-Agentur wegen der unzureichenden Sicherheitsmaßnahmen kontaktiert worden. Die CNIL hat eine GDPR-Untersuchung eingeleitet, um zu prüfen, ob das Unternehmen die erforderlichen Sicherheitsmaßnahmen einhält. Die CNIL rät potenziellen Opfern einer Datenschutzverletzung außerdem, sich vor Betrug und Phishing zu hüten.

Die wichtigsten Dinge aus der Entwicklung von Cyberday

Visueller Modus auf Dokumentationskarten

Sehen Sie, wie die verschiedenen dokumentierten Objekte miteinander verbunden sind! Wir haben eine visuelle Ansicht der verschiedenen Dokumentationskarten entwickelt, mit der Sie die Verbindungen zwischen den verschiedenen Objekten besser erkennen können.

Auf der Dokumentationskarte kann die visuelle Ansicht über die Schiebetaste am oberen Rand leicht aufgerufen werden. Änderungen an der Dokumentation werden weiterhin in der aktuellen Kartenansicht vorgenommen.

‍Verbesserungen im Risikomanagement

Wir haben das Dashboard für das Sicherheitsrisikomanagement von Cyberday und den internen Risiko-Workflow verbessert. Es wurde ein klareres Konzept für die Verwendung der Sicherheitsrisikotabelle entwickelt.

Gleichzeitig wurde eine Möglichkeit zur Identifizierung anlagenspezifischer Risiken eingeführt. Dies ermöglicht es der Organisation, die Eigentümer wichtiger Vermögenswerte (z. B. Informationssystem, Datenlager, Lieferant, Niederlassung) anzuweisen, eine Risikobewertung durchzuführen, die die wichtigsten damit verbundenen Bedrohungen berücksichtigt.

Die Änderungen am Risikomanagement wurden so vorgenommen, dass sie die bisherige Arbeit im Bereich der Risiken nicht unterbrechen oder zunichte machen.

Neue kommende Rahmenwerke: C2M2 und Katakri 2020

Cyberday wird demnächst zwei neue Rahmenwerke erhalten: Cybersecurity Capability Maturity Model (C2M2) und Katakri 2020. Sie können die Frameworks in Cyberday über das Dashboard "Organisation" aktivieren und ändern.

Außerdem wird bald der Cyberday stattfinden: Der Digital Operational Resilience Act (DORA),

Im Forschungsstadium: ISO 9001

Sehen Sie sich die verfügbaren und kommenden Frameworks in der Cyberday oder auf der Frameworks-Seite an.

Demnächst verfügbar: Neue Metriken zur Cybersicherheit - Seite‍

Auf Wunsch unserer Kunden fügen wir dem Cyberday eine Seite mit Sicherheitsmetriken hinzu, um einen besseren visuellen Überblick über den Prozess zu geben. Informationen über den Prozess und andere Entwicklungen zum Cyberday werden auf unserer Entwicklungswebsite veröffentlicht.

Haben Sie weitere Fragen?

Sollten wir Ihre Fragen hier nicht beantwortet haben, können Sie sich gerne an unser Team wenden. Sie können die Chatbox benutzen odercyberday kontaktierencyberday

Geschrieben von
Ronja Isaksson
21.3.2024
@
LinkedIn

Inhalt des Artikels

Andere Artikel zum gleichen Thema

Vollständige ISO 27001-Kollektion anzeigen
Vollständige NIS2-Sammlung anzeigen

Andere verwandte Blog-Artikel

Artikel teilen

Andere ähnliche Inhalte von Academy

Blogs

Die 10 häufigsten Nichtkonformitäten bei ISO 27001-Audits

Audits und Nichtkonformitäten treiben Organisationen zu kontinuierlichen Verbesserungen an. Vor Ihrer ersten ISO 27001-Zertifizierung ist es jedoch gut, einige der häufigsten Nichtkonformitäten zu kennen, damit Sie diese bei Ihrem Zertifizierungsaudit vermeiden können.
18.2.2025

Ich habe eine Anfrage für ein Interview zum ISO 27001-Audit erhalten - was sollte ich erwarten?

In diesem Blog werden wir über die Bedeutung der Teilnahme von Mitarbeitern am Audit-Interview-Prozess sprechen, warum Auditoren Einblicke von Mitarbeitern schätzen, und uns mit möglichen Fragen beschäftigen, die in einem ISO 27001-Interview gestellt werden.
13.2.2025

Checkliste zur Einhaltung von ISO 27001 und zur Zertifizierung

Möchten Sie sicherstellen, dass Sie die Anforderungen von ISO 27001 erfüllen? Diese Checkliste enthält klar geordnete Schlüsselschritte, die Ihre Organisation beim Aufbau eines ISMS und bei der Einhaltung der ISO 27001-Norm unterstützen.
6.2.2025

Beginnen Sie noch heute

Starten Sie kostenlos, in Ihrer gewohnten Teams-Umgebung.
Wenn Sie zunächst einige Fragen haben, vereinbaren Sie einen Termin mit uns.

Kostenlose 14-tägige Testversion starten
Buchen Sie ein Online-Meeting
So geht's!
ZusammenfassungSicherheitsaufgaben und GewährleistungDokumentation der ArbeitsabläufeRichtlinien für ArbeitnehmerBerichtsvorlagen
Anwendungsfälle
Nach RahmenAlle RahmenwerkeISO 27001NIS2-RichtlinieNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Nach MethodeCyber-RisikomanagementBewusstsein der MitarbeiterCompliance-BerichterstattungKontrollmanagementVerwaltung vonAssets up: a
Dynamische RichtliniendokumenteVerwaltung der Privatsphäre
Ressourcen
AkademieWebinareBlogHilfe-ArtikelVideo-KurseInhalt der BibliothekWöchentliche NachrichtenübersichtenAbonnieren Sie die AkademieCyberday bewertenPartnerprogrammTeamNutzungsbedingungenDatenschutzbestimmungen
Kontakt
+358 10 231 6010
team@cyberday.ai
Die App funktioniert in:
In Finnland unter dem Namen Digiturvamalli bekannt
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finnland
Cyberday.ai - Verbessern und zertifizieren Sie Ihre Cybersicherheit