Kategorie: Cyber

Neue Vergleichsbilder für Weißrost

UKramer40878

www.din.de

Überarbeitung von DIN EN ISO 4628-3, Beschichtungsstoffe – Beurteilung von Beschichtungsschäden – Bewertung der Menge und der Größe von Schäden und der Intensität von gleichmäßigen Veränderungen im Aussehen – Teil 3: Bewertung des Rostgrades

Die Internationale Norm zur Bewertung des Rostgrades von beschichteten Oberflächen wird aktuell überarbeitet. Dabei werden einige grundlegende Änderungen vorgenommen:

a) der Titel wurde zu ” Beschichtungsstoffe – Beurteilung von Beschichtungsschäden – Bewertung der Menge und der Größe von Schäden und der Intensität von gleichmäßigen Veränderungen im Aussehen – Teil 3: Bewertung des Rostgrades ” gekürzt;

b) der Anwendungsbereich wurde für die Bewertung von unbeschichtetem Metall geöffnet;

c) eine Definition für Weißrost wurde hinzugefügt;

d) Abschnitt 4 wurde um einen Hinweis zur Originalgröße der Bilder ergänzt;

e) eine Tabelle zur Bestimmung der Rostgröße wurde hinzugefügt;

f) der Prozentsatz der verrosteten Fläche im Bild A.5 wurde korrigiert;

g) die Bewertung von Weißrost zusammen mit neuen Vergleichsbildern wurde hinzugefügt;

h) die Bewertung durch Schätzung der verrosteten Fläche in Prozent wurde hinzugefügt;

i) Anhang B mit einem Beispiel für ein Prüfblech nach ISO 9227 NSS-Salzsprühtest mit einem Rostgrad Ri 4 wurde hinzugefügt;

j) die Korrelation mit der ASTM-Rostskala im Anhang C wurde an die Ausgabe 2008 von ASTM D610 angepasst;

k) der Text wurde redaktionell überarbeitet und die normativen Verweisungen wurden aktualisiert.

Der Rostgrad kann grundsätzlich nach zwei Verfahren bewertet werden. Zum einen durch Vergleichen mit den in der Norm gezeigten Vergleichsbildern und zum anderen durch Abschätzen der verrosteten Fläche in Prozent.

Die grundlegende Änderung ist, dass es zum ersten Mal eine internationale Vergleichsskala für die Bewertung von Weißrost genormt wird.… Weiterlesen

Report: Cyberkriminelle lieben ältere Sicherheitslücken

UKramer40878

www.heise.de

(Bild: Dmitry Demidovich/Shutterstock.com) Unter anderem die US-Institutionen Cybersecurity and Infrastructure Security Agency (CISA) und FBI zeigen mit weltweiten Partnern wie dem Cyber Security Centre (NCSC-UK) in einem Report auf, dass Online-Gangster überwiegend schon länger bekannte Sicherheitslücken ausnutzen, um Unternehmen zu attackieren. Alt, aber nicht minder gefährlich

Wie aus dem Report über die im Jahr 2022 am häufigsten ausgenutzten Schwachstellen hervorgeht , läuft das Patch-Management in vielen Firmen offensichtlich nicht optimal: Viele der ausgenutzten Lücken stammen aus den Vorjahren. Den Großteil bilden Sicherheitslücken aus dem Jahr 2021. Einige gehen sogar bis ins Jahr 2017 zurück.

Im Jahr 2022 wurden im Zuge des Common-Vulnerabilities-and-Exposures-Programm (CVE) über 25.000 neue Sicherheitslücken gemeldet. Davon tauchen in der Top zwölf der 2022 am häufigsten ausgenutzten Lücken nur fünf Stück in der Liste auf.

Dem technischen Direktor der NSA Neal Ziring zufolge bieten ältere Schwachstellen Angreifern einen kostengünstigen und wirkungsvollen Ansatzpunkt, um auf sensible Daten zuzugreifen. Da die Lücken schon länger bekannt sind, sind sie gut dokumentiert und Exploitcode ist bereits über einen längeren Zeitraum in Umlauf. So fallen Attacken leichter und Angreifer scannen das Internet kontinuierlich nach verwundbaren Systemen – und landen, wie der Report zeigt, auch Jahre später noch Treffer. Jetzt patchen!

Besonders beliebt bei Angreifern ist nach wie vor eine fünf Jahre alte Lücke ( CVE-2018-13379 ) in FortiOS und FortiProxy. Darüber können Angreifer VPN-Zugangsdaten abgreifen. Auch die Proxy-Shell-Schwachstellen in Microsoft Exchange (CVE-2021-34473, CVE-2021-31207, CVE-2021-34523) sind nach wie vor gefragt. In diesen Fällen können Angreifer unter anderem Schadcode ausführen. Eine Exchange-Lücke (CVE-2017-11882) geht sogar bis ins Jahr 2017 zurück.… Weiterlesen

Änderungen bei ISO 27002 und 27001: Was das für Unternehmen bedeutet

UKramer40878

www.all-about-security.de

Seit Jahren unterstützt die internationale ISO/IEC 27000-Normenwelt Unternehmen darin, Informationssicherheit effizient und ganzheitlich zu handhaben und Informationssicherheitsrisiken zu reduzieren. Vor Kurzem ist nun Bewegung in diese Normenfamilie gekommen: 2022 hat die International Accreditation Forum (IAF) zunächst die ISO 27002 und im Oktober dann auch die ISO 27001 überarbeitet und in allen Bereichen an die aktuelle Bedrohungslage angepasst.

Patrycja Schrenk, IT-Sicherheitsexpertin und Geschäftsführerin der PSW GROUP ( www.psw-group.de ), begrüßt die Änderungen der Normen: „Neben mehr Praxisnähe kommt jetzt insbesondere das Thema Datenschutz neben der Informationssicherheit stärker zum Tragen. In Zeiten der Zunahme von Attacken auf Organisationen bietet insbesondere der neue Blickwinkel auf die Cybersicherheit und den Datenschutz für die Unternehmen einen echten Mehrwert, welche bisher nur die Compliance auf dem Schirm und das Thema Informationssicherheits-Managementsystem eher als Last empfunden hatten.“

Die ISO 27001 ist der internationale Standard für die Realisierung eines Informationssicherheit-Managementsystems (ISMS). Ein ISMS nach ISO 27001gewährleistet, dass Daten sowohl optimal genutzt als auch sicher verwahrt werden. Die ISO 27002 ergänzt die Sicherheitsmaßnahmen der ISO 27001 um konkrete Umsetzungsempfehlungen und stellt damit eine Art Leitfaden bereit. Mit der Neufassung der beiden ISO-Normen wurden umfangreiche Änderungen, sowohl an der Struktur, wie auch beim Inhalt vorgenommen.

Sofort auffällig bei der ISO 27001:2022 ist bereits die Namensänderung: Aus „Informationstechnologie – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen“ wurde mit der Neufassung „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmaßnahmen“. „Bereits der neue Titel macht klar, dass sich die Schutzziele verändert haben. Cybersicherheit und Datenschutz erhalten einen größeren Stellenwert und werden explizit hervorgehoben. Insgesamt sind die neuen Maßnahmen praxisnäher geworden und in der Beschreibung detaillierter.… Weiterlesen

Neue ISO/IEC 27001:2022 – das müssen Unternehmen jetzt wissen

Dirk Gohr

www.report.at

Nach fast zehn Jahren wurde der international anerkannte führende Standard für Informationssicherheit – die ISO/IEC 27001 – überarbeitet und im Oktober 2022 als „ISO/IEC 27001:2022“ neu veröffentlicht. Der Geschäftsführer der staatlich akkreditierten und auf Informationssicherheit spezialisierten Zertifizierungsorganisation CIS – Certification & Information Security Services GmbH und VÖSI-Präsident, Klaus Veselko, klärt auf, was neu ist und welche Fristen zu beachten sind.

Die ISO/IEC 27001 ist die wichtigste internationale Norm für Informationssicherheit. Sie unterstützt Organisationen dabei, Informationssicherheitsmaßnahmen zu erarbeiten, zu implementieren sowie laufend zu verbessern. Die Norm deckt präventive Maßnahmen ab, um Informationen und Daten zu schützen. Auch reaktive Maßnahmen, um konkrete Sicherheitsvorfälle im Ernstfall bestmöglich abzufedern, sind in der Norm enthalten. Im Oktober 2022 wurde die neue Version der ISO/IEC 27001 von der ISO (International Organization for Standardization) veröffentlicht. „Nach der letzten Revision im Jahr 2013 war eine Überarbeitung des Standards längst überfällig. Besonders seit dem rasanten Digitalisierungsanstieg in Betrieben hat sich auch die Bedrohungslage branchenunabhängig zugespitzt. Cyberattacken wurden und werden zunehmend professionalisiert“, so CIS-Geschäftsführer Klaus Veselko ( Bild oben, c Foto Weinwurm ).

Der Global Threat Report von Crowdstrike ( Link ) zeigte etwa eine Zunahme von rund 82 % Ransomware-bedingter Datenlecks (2.686 Angriffe) im Jahr 2021 und mit nur einer Stunde und 32 Minuten eine deutlich kürzere Zeitspanne, die Angreifer benötigen, um sich Zugriff zu Systemen zu verschaffen. „Entsprechende Sicherheitsmaßnahmen schnell umzusetzen, ist also essentiell. Damit steht oder fällt oft der Erfolg und die Reputation eines Unternehmens“, so Veselko weiter. Eine Zertifizierung nach ISO/IEC 27001 entspricht dem aktuellsten, international anerkannten Stand der Technik und stellt Informationssicherheit auf mehreren Ebenen sicher.… Weiterlesen

Änderungen bei ISO 27002 und 27001

Dirk Gohr

www.lanline.de

Patrycja Schrenk, Geschäftsführerin der PSW Group. Seit Jahren unterstützt die internationale ISO/IEC 27000-Normenwelt Unternehmen darin, Informationssicherheit effizient und ganzheitlich zu handhaben und Informationssicherheitsrisiken zu reduzieren. Vor Kurzem ist nun Bewegung in diese Normenfamilie gekommen: 2022 hat die International Accreditation Forum (IAF) zunächst die ISO 27002 und im Oktober dann auch die ISO 27001 überarbeitet und in allen Bereichen an die aktuelle Bedrohungslage angepasst.

Patrycja Schrenk, IT-Sicherheitsexpertin und Geschäftsführerin der PSW Group, begrüßte in einer Mitteilung die Änderungen der Normen: „Neben mehr Praxisnähe kommt jetzt insbesondere das Thema Datenschutz neben der Informationssicherheit stärker zum Tragen. In Zeiten der Zunahme von Attacken auf Organisationen bietet insbesondere der neue Blickwinkel auf die Cybersicherheit und den Datenschutz für die Unternehmen einen echten Mehrwert, die bisher nur die Compliance auf dem Schirm und das Thema Informationssicherheits-Management-System eher als Last empfunden hatten.“

Die ISO 27001 ist der internationale Standard für die Realisierung eines Informationssicherheit-Management-Systems (ISMS). Ein ISMS nach ISO 27001gewährleistet, dass Daten sowohl optimal genutzt als auch sicher verwahrt werden. Die ISO 27002 ergänzt die Sicherheitsmaßnahmen der ISO 27001 um konkrete Umsetzungsempfehlungen und stellt damit eine Art Leitfaden bereit. Mit der Neufassung der beiden ISO-Normen gibt es umfangreiche Änderungen, sowohl an der Struktur, wie auch beim Inhalt.

Sofort auffällig bei der ISO 27001:2022 ist bereits die Namensänderung: Aus „Informationstechnologie – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen“ wurde mit der Neufassung „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmaßnahmen“. „Bereits der neue Titel macht klar, dass sich die Schutzziele verändert haben. Cybersicherheit und Datenschutz erhalten einen größeren Stellenwert und werden explizit hervorgehoben.… Weiterlesen

Langersehnt, endlich da: die neue ISO/IEC 27001:2022!

Dirk Gohr

www.datenschutz-notizen.de

Im Oktober 2022 wurde eine neue Version des De-Facto-Standards der Informationssicherheit veröffentlicht: die ISO/IEC 27001:2022, welche Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) formuliert. Die 2022er-Version löst damit die 2017er-Version (ISO/IEC 27001:2013 inkl. der beiden Corrigenda) ab.

Was ist neu? Und was kommt auf nach ISO/IEC 27001 zertifizierte Kunden jetzt zu? Dazu finden Sie Informationen in diesem Beitrag. Die Neuerungen

Zunächst die Änderungen im Überblick: Die ISO/IEC 27001:2022 beschreibt in den Kapiteln 4 bis 10 Anforderungen an ein Managementsystem zur Informationssicherheit. Die Änderungen sind relativ überschaubar – gleich mehr dazu. Was sich aber geändert hat und was gravierende Auswirkungen auf ein ISMS hat: Die Controls im Anhang referenzieren jetzt auf die neue ISO/IEC 27002:2022. Damit werden die Änderungen der neuen ISO/IEC 27002:2022 ( vgl. unsere Beiträge dazu ) jetzt auch verbindlich für ein ISMS nach ISO/IEC 27001 (zu den Übergangszeiten lesen Sie mehr weiter unten im Text). Wichtig ist: Diese Änderungen sind signifikant und nicht zu unterschätzen! Änderungen

Nun zu den wesentlichen Änderungen im Managementrahmen aus Kapitel 4-10 der ISO/IEC 27001:2022: In der Stakeholder-Analyse in Abs. 4.2 sollen die relevanten Anforderungen der identifizierten interessierten Parteien zukünftig dahingehend gekennzeichnet werden, inwiefern diese das ISMS tangieren.

In Abs. 4.4 wird die Verpflichtung des Managements, ein ISMS aufzusetzen, zu implementieren, aufrechtzuerhalten und kontinuierlich zu verbessern, erweitert um die Verpflichtung, dass dies auch die benötigten Prozesse und Interaktionen umfasst – eigentlich eine Selbstverständlichkeit.

Gleichfalls wird in Abs. 5.3 eine Selbstverständlichkeit präzisiert: Das Top-Management muss sicherstellen, dass alle Verantwortlichkeiten und Zuständigkeiten kommuniziert werden und zwar – das ist neu – innerhalb der Organisation.… Weiterlesen

CO2-Fußabdruck: Wie man Kohlenstoffdioxid-Emissionen berechnet

Dirk Gohr

www.news.at

Inhaltsverzeichnis Was ist der CO2-Fußabdruck?

Der CO2-Fußabdruck oder die CO2-Bilanz gibt an, wie viel Kohlenstoffdioxid-Emissionen in Summe bei einem (Herstellungs-) Prozess oder einer Aktivität freigesetzt werden. So kann beispielsweise der CO2-Fußabdruck für einzelne Produkte berechnet werden: Dazu werden jene CO2-Emissionen erfasst, die durch die Herstellung, Nutzung und Entsorgung des Produktes anfallen.

Weitere Beispiele, für die ein CO2-Fußabdruck ermittelt werden kann, sind: Wohnen (Heizen, Energie, Wasser), Verkehr und Mobilität (Flugreise, Autofahrt etc.), Ernährung , Urlaub und Hotelübernachtungen, eine Veranstaltung oder eine bestimmte Dienstleistung .

Auch interessant:

Oft wird der CO2-Fußabdruck in sogenannten CO2-Äquivalenten (CO2e) angegeben . Das sind Treibhausgase, die im Kyoto-Protokoll neben Kohlenstoffdioxid genannt werden: Konkret handelt es sich um Methan (CH4), Distickstoffmonoxid (N2O), Halogenierte Fluorkohlenwasserstoffe (H-FKW), Fluorkohlenwasserstoffe (FKW) und Schwefelhexafluorid (SF6). Viele dieser Treibhausgase werden seltener ausgestoßen als CO2 – jedoch liegt ihr Treibhauspotenzial zum Teil deutlich über dem von Kohlenstoffdioxid. Methan hat laut dem 5. Sachstandsbericht des ⁠Weltklimarats ⁠IPCC (The Intergovernmental Panel on Climate Change) ⁠ ein Erderwärmungspotenzial (Global Warming Potential (GWP)) von 28, bezogen auf einen Zeithorizont von 100 Jahren. Das bedeutet, dass eine emittierte Tonne Methan, auf 100 Jahre gesehen, so klimaschädlich ist wie 28 Tonnen CO2.

Der CO2-Fußabdruck ist übrigens nicht zu verwechseln mit dem ökologischen Fußabdruck , der den Flächenbedarf eines Menschen auf der Erde in Gobal Hektar (gha) angibt. © News.at QUELLE: Europäische Umweltagentur (Stand 2019)* * Werte zu Treibhausgasemissionen exkl. Landnutzung, Landnutzungsänderung und Forstwirtschaft

In Österreich hat CO2 laut “Klimaschutzbericht 2020” des Umweltbundesamtes einen Anteil von 84,5 Prozent bezogen auf die gesamten Treibhausgasemissionen im Jahr 2018.… Weiterlesen

Cyber-Angriffe bleiben effektiv und lukrativ

Dirk Gohr

www.risknet.de

Ob die Kompromittierung geschäftlicher E-Mails, Active-Directory-Angriffe, Ransomware, Phishing oder MFA-Attacken: Fundamentale Angriffe auf Organisationen bleiben auch 2023 sehr effektiv und lukrativ für Cyber-Kriminelle, so die Sicherheitsexperten von Kudelski Security. Menschliche Fehler verursachen immer wieder Lücken in den bestehenden Cyber-Abwehrsystemen von Unternehmen. Zudem sind Phishing und neue MFA-Bombardements heute ausgefeilter denn je und verringern die Wirksamkeit von Sicherheitsschulungen.

Vor diesem Hintergrund sollten die Sicherheitsteams von Unternehmen nicht defensiv auf menschengemachte Probleme reagieren, sondern offensiv handeln. So ist zu hoffen, dass Kunden von MDR-Services (Managed Detection and Response) vor allem präventive Funktionen anstelle von reaktiven Schnellreparaturen fordern.

Zero Trust statt VPN

Viele Menschen arbeiten heute von zuhause – das ist nichts Neues. Neu ist dagegen die Art und Weise, wie die Sicherheitsteams die verteilt arbeitenden Beschäftigten schützen. Ab dem kommenden Jahr wird Zero Trust die virtuellen privaten Netzwerke (VPN) vollständig ersetzen. Die Grenzen der Unternehmensnetzwerke haben sich verschoben, da die Mitarbeiter auf einen Großteil ihrer Anwendungen via SaaS (Software-as-a-Service) zugreifen. Und die Absicherung von Heimnetzwerken ist für IT-Teams riskant. Um die vielerorts remote arbeitende Belegschaft unterstützen und schützen zu können, ist es daher entscheidend, grundsätzlich keinem Gerät zu vertrauen.

Erkaufter Zugang zu Unternehmensnetzen

Die drohende Rezession rückt immer näher. Und es ist sehr wahrscheinlich, dass Cyber-Kriminelle die schlechte Wirtschaftslage ausnutzen werden, um sich Zugang zu Unternehmenssystemen zu verschaffen. Unserer Einschätzung nach wird Software-Hacking ab 2023 zurückgehen, dafür erhöht sich das “Insider- Risiko “. Das heißt, Hacker werden zunehmend Mitarbeiter von Drittanbietern für die Logistik sowie Internet Service Provider (ISP) und Softwarehersteller ins Visier nehmen und versuchen, sich den Zugang zum Firmennetzwerk zu erkaufen.… Weiterlesen

ISO 27002: Auswirkungen auf die Informationssicherheit

Dirk Gohr

ISO 27002: Auswirkungen auf die Informationssicherheit

news.google.com

Am 15. Februar 2022 wurde eine neue Version der ISO 27002 veröffentlicht. Diese berücksichtigt die technologische Entwicklung indem sie nicht nur neue Szenarien und Risiken behandelt, sondern auch Aspekte der Cybersicherheit, der Cloud und des Datenschutzes integriert. Dieser Artikel wird die wichtigsten Änderungen vorstellen und erklären, was die ISO 27002 für Unternehmen bedeutet.

Was ist die ISO 27002?

Die ISO 27002 ist ein Teil der ISO 27000-Normenreihe (Standards zur Informationssicherheit). Es handelt sich um eine Sammlung von Best Practices (Leitfaden), die Hinweise liefern für eine mögliche Umsetzung der Maßnahmen des Anhangs A der ISO 27001. Die ISO 27001 legt die Anforderungen an ein Informationssicherheitsmanagementsystems (ISMS) fest und Anhang A listet die verschiedenen Controls auf. Es ist jedoch zu beachten, dass nur die ISO-Norm 27001 zertifizierbar ist. Die ISO 27002 dient lediglich als Orientierungshilfe.

Was sind die wesentliche Änderungen der ISO 27002?

Anstelle von 14 Kapiteln und 114 Maßnahmen bringt die neue Version eine andere Struktur. Sie enthält 93 Maßnahmen, die in 4 Themen unterteilt sind:

  • 8 personenbezogene Maßnahmen;
  • 14 physische Maßnahmen;
  • 34 technologische Maßnahmen;
  • 37 organisatorische Maßnahmen.

    Die folgenden 11 Maßnahmen wurden neu definiert:

    Technologische Maßnahmen

    • Konfigurationsmanagement:
      Sorgt dafür, dass Hardware, Software, Dienste und Netzwerke mit den erforderlichen Sicherheitseinstellungen konfiguriert werden und dass die Konfiguration nicht unbefugt verändert wird.
    • Löschung von Informationen:
      Ermöglicht es, die unnötige Weitergabe sensibler Daten zu verhindern und die gesetzlichen und vertraglichen Anforderungen an die Löschung von Daten zu erfüllen.
    • Datenmaskierung:
      Hier geht es darum, personenbezogene Daten zu schützen, durch z.B.
Weiterlesen

Psychische Folgen von Cyber-Angriffen: Ausnahmesituation fürs Security-Team

Dirk Gohr

www.heise.de

(Bild: And-One / shutterstock.com) Cyberangriffe, allen voran Ransomware-Attacken, führen teilweise zu schwerwiegenden, langfristigen psychischen Problemen für betroffene Security-Teams. Das hat eine groß angelegte wissenschaftliche Untersuchung des IT-Security-Unternehmens Northwave herausgefunden. Das Unternehmen warnt daher davor, die psychischen Folgen der Stresssituation zu unterschätzen – und gibt Führungskräften Tipps zur Unterstützung der Angestellten.

Northwave unterteilt die Angriffe in drei Phasen: In der ersten Phase, dem initialen Angriff und der anschließenden “Vorfallsphase” geht es zunächst um das Umsetzen des Security-Aktionsplans und die beginnenden Wiederherstellungsmaßnahmen. Rund vier Wochen nach dem Vorfall dauert die Wiederherstellung noch an, gleichzeitig beginnt die alltägliche Arbeit wieder. Bis zur dritten Phase, der vollständigen Beseitigung der Folgen, könne es bis zu zwei Jahre dauern. Psychische Folgen in allen Angriffsphase

In allen drei Zeiträumen konnten die Studien-Autorinnen und -Autoren psychische und körperliche Auswirkungen in den Notfall-Security-Teams beobachten. Fast zwei Drittel der Teammitglieder klagten in der ersten Phase über Schlafprobleme (63 Prozent), Kopfschmerzen hatten 44- und Nacken- oder Rückenprobleme 33 Prozent der Security-Angestellten. In der darauffolgenden Periode klagten 3 von 4 Befragten über “negativen Grübeleien”, mehr als die Hälfte gab an, “Müde und Energielos” gewesen zu sein. Selbst nach einem Jahr berichtete wiederum fast jeder fünfte, wegen des Angriffs über einen Arbeitgeberwechsel nachzudenken (18 Prozent). Ganze 14 Prozent trugen sogar “schwere Traumasymptome” mit sich herum und benötigten psychologische Unterstützung. Mangelnde Unterstützung

Gleichzeitig fühlen sich nicht wenige Security-Teams nicht ausreichend von der eigenen Geschäftsleitung unterstützt: Jeder Fünfte hätte sich mehr professionelle psychische Hilfe nach dem Angriff gewünscht, ein Drittel beklagte außerdem mangelndes Wissen und konkrete Instrumente zur psychologischen Selbsthilfe.… Weiterlesen