European Cyber Security Month 2021: DGQ beteiligt sich mit kostenfreiem Online Tutorial
Im Oktober 2021 findet erneut der European Cyber Security Month (ECSM) statt. Der ECSM sensibilisiert seit 2012 europaweit Bürger sowie Organisationen für den verantwortungsbewussten Umgang im Internet und mit digitalen Medien. Zum ESCM bieten die Mitgliedstaaten der Europäischen Union unter Federführung der europäischen IT-Sicherheitsbehörde European Union Agency for Network and Information Security (ENISA) verschiedene Veranstaltungen, Informationen und andere Aktionen an. In Deutschland unterstützt und koordiniert das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Aktivitäten.
In diesem Jahr sensibilisiert das BSI u. a. zu den Schwerpunktthemen “Sicheres digitales Zuhause” und “Erste Hilfe für den Digitalen Notfall” für das Thema Cyber-Sicherheit. Nicht nur beim Onlineshopping und der Absicherung von Social-Media-Accounts im privaten Umfeld, sondern auch in Unternehmen ist schnelles Handeln im „Digitalen Notfall“ gefragt. Ein erster Schritt ist es, sich über die Risiken, Typen von Angreifern und verbreiteten Mythen über Cyber Security in der Industrie 4.0 zu informieren.
Die DGQ beteiligt sich auch in diesem Jahr wieder am ECSM und möchte mit einem kostenfreien Online Tutorial zur Sensibilität im Bereich Cyber Security in der Industrie 4.0 beitragen.
Jetzt zum kostenfreien Tutorial anmelden »
BSI veröffentlicht Lagebericht 2020 zur IT-Sicherheit in Deutschland
Die IT-Sicherheitslage bleibt dynamisch und angespannt – zu diesem Schluss kommt der Lagebericht, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) für 2020 veröffentlicht hat. Die Cyber-Sicherheitsbehörde des Bundes gibt damit einen umfassenden Überblick über die cyber-kriminellen Bedrohungen in Deutschland. Zudem nennt der Bericht die Lösungen und Gegenmaßnahmen des BSI für Staat, Wirtschaft und Gesellschaft.
Laut Lagebericht griffen Kriminelle mittels Schadprogramme massenhaft Privatpersonen, Unternehmen, Behörden und andere Institutionen an. Eine zentrale Rolle spielt dabei nach wie vor Ransomware, bei der die Opfer beispielsweise durch Verschlüsselung am Zugriff auf ihre Daten zunächst gehindert und dann erpresst werden. Diese Bedrohung gefährdet sowohl die Daten von Unternehmen und Behörden als auch von sonstigen Institutionen und Privatanwendern.
Auch auf neue Entwicklungen wie die Corona-Pandemie stellen sich Cyber-Kriminelle schnell ein und finden Möglichkeiten für neue Formen krimineller Handlungen. Zu den genutzten Methoden gehören hierbei beispielsweise Phishing-Kampagnen, CEO-Fraud und Betrugsversuche mit IT-Mitteln. So wurden Soforthilfe-Maßnahmen durch gefälschte Antragswebseite missbraucht, indem Kriminelle abgefangene unternehmensbezogene Daten für die Beantragung staatlicher Hilfsgelder nutzten. Daten-Leaks und Schwachstellen in Software-Produkten bieten weitere große Einfallstore für Cyber-Kriminelle.
Der Lagebericht des BSI kann hier heruntergeladen werden.
Cyberkriminalität in Deutschland wächst
Am 11.11.2019 hat das BKA das “Bundeslagebild Cybercrime” vorgestellt. Laut diesem Bericht ist die Zahl der Straftaten im Bereich Cyberkriminalität im engeren Sinne im Vergleich zum Vorjahr um 1,3% gestiegen. Zu dieser Art der Cyberkriminalität gehören nach der Definition des BKA der Betrug mit gestohlenen Kreditkartendaten, Überweisungsbetrug, Ransomware-Attacken, Computersabotage, Identitätsdiebstahl sowie das Ausspähen von Computersystemen. Das BKA weist allerdings auf die hohe Dunkelziffer hin: Oft werden Straftaten von Unternehmen nicht erkannt, gehen aufgrund von Schutzmaßnahmen nicht über das Versuchsstadium hinaus oder werden von Unternehmen nicht gemeldet, um Reputationsschäden zu vermeiden.
Deutschland ist attraktives Ziel für Cyberkriminelle
Aufgrund des hohen Entwicklungsstandes und des Know-hows in Unternehmen ist Deutschland ein attraktives Ziel für Cyberkriminelle. Vor allem die zunehmende Digitalisierung in mittelständischen Unternehmen erhöht die Gelegenheit für Cyberstraftaten. Die dort häufig anzufindenden unzureichenden Absicherungen sowie veralteten Technologien wirken sich dabei kriminalitätsfördernd aus. Auch der Umgang mit technischem Know-how erfährt laut BKA eine besorgniserregende Entwicklung. Im Internet und speziell im Darknet können Cyberkriminelle Expertise zum Einsatz krimineller Malware austauschen. Aufgrund der Verfügbarkeit von “Cybercrime-as-a-Service” ist das technische Wissen allerdings nicht mehr unbedingt eine Voraussetzung für Cyberstraftaten. Die Vorgehensweise von Tätern, z. B. bei Attacken gegen mittelständische Unternehmen, wird im Lagebericht des BKA als hoch-professionell beschrieben. Vor einem Angriff werden häufig Informationen über das Unternehmen gesammelt, um diese ggf. für eine spätere Erpressung nutzen zu können. Insbesondere Umsatzzahlen werden von Kriminellen genutzt, um ihre Lösegeldforderungen anzupassen. Dies macht deutlich, dass nicht nur die IT-Systeme geschützt, sondern auch die Beschäftigten für Phänomene wie Social Engineering oder Phishing sensibilisiert werden müssen.
Wie kann Cyberkriminalität verhindert werden?
Wirksame Maßnahmen gegen eine steigende Zahl von Cyberkriminalität in zunehmend vernetzten Produktionsprozessen und digitalisierten Unternehmen ist zum einen die Steigerung der technischen IT-Sicherheit. Zum anderen tragen auch gut ausgebildete Mitarbeiter zur Sicherheit des Unternehmens bei. Neben Awareness-Schulungen sind spezifische Schulungen am Arbeitsplatz ein geeignetes Mittel, um Mitarbeiter für Cyber Sicherheit zu sensibilisieren. Vor allem Mitarbeiter der Produktion sollten die neuen Risiken kennen und darauf reagieren können. Hier empfiehlt der Digitalverband Bitkom ausdrücklich “IT-Experten mit Produktions-Know-how”. Die DGQ bietet zusammen mit dem Fraunhofer IOSB die passenden Trainings an. Die Teilnehmer erwerben das erforderliche Wissen, um Gefahren durch Cyber-Angriffe zu erkennen, IT-Sicherheitslösungen umzusetzen und so die Produktion zu sichern. Im Lernlabor Cyber Sicherheit werden Cyber-Angriffe auf Industrieanlagen simuliert. Die Teilnehmer können die Folgen anhand des Modells einer Produktionsanlage unmittelbar nachvollziehen und ihr erlerntes Wissen direkt testen.
Sie möchten sich über das Thema Cyber Security in der Industrie 4.0 näher informieren? Besuchen Sie unsere Themenseite Cyber Security. Dort finden Sie Blogbeiträge, News, Whitepaper und Videos rund um das Thema Cyber Sicherheit. Oder melden Sie sich direkt kostenfrei zu unserem interaktiven Online-Tutorial an und verschaffen sich einen Einblick in alles Wissenswerte.
Kostenfreies Online Tutorial gibt Einführung in Cyber Security
Warum ist das Thema Cyber Security für Unternehmen von großer Bedeutung? Wie hoch ist das Bewusstsein für die Gefahren und Risiken für vernetzte Produktionsanlagen? Welche Relevanz nimmt hier der Schutz sensibler Informationen und Produktionsanlagen ein? Das kostenfreie Online-Tutorial der DGQ gibt Antworten auf diese und weitere Fragen sowie einen Überblick zu Cyber Security in der Industrie 4.0.
Interesse geweckt? Jetzt zum Online Tutorial anmelden und mitmachen. »
Einen ersten Einblick in den Aufbau und in die Inhalte des Tutorials liefert das folgende Video:
4 grundlegende Konzepte, die Sie für die Sicherheit Ihrer Industrieanlage kennen sollten
Die industrielle Digitalisierung ist im vollen Gange. Zusammengefasst unter Begriffen wie Industrie 4.0 und Smart Factory ziehen immer mehr Themen wie Big Data, künstliche Intelligenz, IoT oder Predictive Maintenance in die Produktions- und Automatisierungsnetze ein.
Unternehmen unterschätzen e-Crime
Das Wirtschaftsberatungsunternehmen KPMG hat für eine aktuelle, repräsentative Studie 1001 Firmen zu ihren Erfahrungen im Bereich Computerkriminalität befragt. Ein zentrales Ergebnis: Zwei von fünf Unternehmen (39 Prozent) waren in den vergangenen zwei Jahren von e-Crime betroffen. Dennoch unterschätzen viele Unternehmen die Gefahr und investieren zu wenig in die Prävention von e-Crime.
Zu den meistgenannten Faktoren, die e-Crime begünstigen, zählen laut Studie Unachtsamkeit (90 Prozent) und unzureichend geschulte Mitarbeiter (83 Prozent). Eine angemessene Sensibilisierung und gut ausgebildetes Personal gelten als zentrale Grundvoraussetzung für mehr Sicherheit. Ein weiterer relevanter Faktor ist eine gelebte Sicherheitskultur (86 Prozent). Auch wenn präventive Maßnahmen im Vergleich zur Vorgängerstudie zunehmen, ist die Investitionsbereitschaft nach wie vor gering. Vor allem Angriffe durch Ransomware wie zum Beispiel WannaCry, NotPetya oder Emotet, können erhebliche Schäden für das Unternehmen nach sich ziehen. Bei einem Viertel der Betroffenen kam es infolge der Attacke zu einem Betriebsausfall.
Die Studienergebnisse machen deutlich, dass neben der geeigneten IT- Infrastruktur vor allem Investitionen in geschulte Mitarbeiter einen entscheidenden Beitrag zur Sicherheit von Unternehmen leisten.
Neues Online Tutorial gibt Überblick zu Cyber Security
Wer ins Thema Qualitätsmanagement einsteigen will, ohne gleich ein Training zu besuchen, hat bei der DGQ hierzu seit Juli die Möglichkeit: im kostenfreien, vierteiligen Online Tutorial „QM-Wissen kompakt“. Nun ist das nächste Tutorial online. Hier können sich alle, die sich für Cyber Security interessieren, in drei Schritten einen kompakten Überblick verschaffen. Teilnehmer lernen z. B. die Mythen der Cyber-Sicherheit kennen und erfahren, wie sie Cyber-Angriffe vermeiden.
Warum sollten sich Unternehmen mit dem Thema Cyber Security beschäftigen? Wie hoch ist das Bewusstsein für die Gefahren und Risiken für vernetzte Produktionsanlagen? Welche Relevanz nimmt hier der Schutz sensibler Informationen und Produktionsanlagen ein? Welche Typen von Angreifern gibt es? Das Online-Tutorial liefert Antworten auf diese und weitere Fragen. Es besteht aus verschiedenen Teilen: aus interaktiven Modulen, Videos und einem Quiz.
Cyber Security leichtgemacht – jetzt zum Online Tutorial anmelden
“Winnti: Angriff auf das Herz der deutschen Industrie” – eine Recherche von BR und NDR
Weltweit waren Unternehmen jahrelang einer Hackergruppe namens „Winnti“ ausgesetzt.
Darunter auch Henkel, Siemens, die Chemiekonzerne BASF sowie Covestro und der Schweizer
Pharma-Riese Roche.
Erfahren Sie in einer spannend dargestellten und lesenswerten Recherche von BR und NDR mehr über die Hacker, die Ziele und die Motivation dahinter. Diese Entdeckung zeigt einmal mehr, dass Hackerangriffe auf Industrieunternehmen nicht unterschätzt werden dürfen. Zum Beitrag »
Sie möchten erfahren, wie Sie sich besser schützen können?
Informieren Sie sich auf der DGQ-Themenseite Cyber Security über aktuelle Blogbeiträge, News, Whitepaper und Videos rund um das Thema Cyber Security in der Industrie 4.0.
Die Trainings zu Cyber Security, welche die DGQ in Kooperation mit dem Fraunhofer IOSB anbietet,
finden Sie hier.
Cyber-Sicherheits-Tag zeigt, was Unternehmen zukunftsfähig macht
Cyber-Sicherheit stärken: Fachkräfte gewinnen und entwickeln – so lautete das Motto des 28. Cyber-Sicherheits-Tags im Mai in München. Initiator war die Allianz für Cyber-Sicherheit, die das Event in Kooperation mit der Gesellschaft für Informatik e.V. und der Fraunhofer Academy veranstaltete. An diesem Tag gingen Experten und Verantwortliche aus Wirtschaft und Forschung der Frage nach, wie es Organisationen gelingt, ausreichend IT-Sicherheits-Fachkräfte zu gewinnen und zu qualifizieren.
Als Mitglied der Allianz für Cyber-Sicherheit war auch die Deutsche Gesellschaft für Qualität (DGQ) mit einem Workshop zum Thema Kompetenzmanagement vertreten. Gemeinsam mit dem Fraunhofer IOSB hat die DGQ ein Trainingskonzept zum Thema „Cyber Security in der Industrie 4.0“ entwickelt. Im Rahmen dieser Kooperation waren Kompetenzanforderungen von Cyber-Sicherheitsfachkräften bereits Thema.
Wie lässt sich der Bedarf an Fachkräften mit IT-Know-how decken, um weiterhin zukunftsfähig zu bleiben?
In den Bereichen IT und Cyber-Sicherheit herrscht Fachkräftemangel. Das belegt auch die 2018 erschienene Bitkom-Studie zum Arbeitsmarkt für IT-Fachkräfte. Wie es dennoch gelingen kann, den Bedarf an Experten zu decken, zeigten Professor Claudia Eckert und Professor Ina Schieferdecker in ihren Keynote-Vorträgen. Darüber hinaus machten die Expertinnen deutlich, welche Kompetenzen konkret nötig sind, um Unternehmen vor Cyber-Angriffen zu schützen. Kommt es zum Angriff, müssen Mitarbeiter z. B. in der Lage sein, die Verwundbarkeiten der Komponenten und die Schwere des Angriffs beurteilen. Hier kann gezielte Weiterbildung das Sicherheits-Know-how erhöhen.
Potenziale nutzen: Erste Schritte im Kompetenzmanagement
Die Frage, wie Unternehmen dem immer stärker werdenden Kompetenzbedarf erfolgreich begegnen, beantwortete der Workshop der DGQ. Hier erfuhren die Teilnehmer, wie sie ein zielgerichtetes Kompetenzmanagement einführen. Als ersten Schritt notierte jeder die Veränderungen, die in den nächsten Jahren auf die eigene Organisation zukommen, und welche Ideen es bereits gibt, um diese zu bewältigen.
Am Beispiel „Cloud-Computing“ erlebten die Teilnehmer praktisch, welche Schritte nötig sind, um ein Kompetenzmanagement im Bereich Cyber-Sicherheit einzuführen. Cloud-Computing ist eine Technologie, die bereits viele Organisationen erfolgreich einsetzen. Diese Innovation bildet die Grundlage für den nächsten Schritt: Die Chancen und Risiken dieser Technologie für das Unternehmen abzuschätzen. Chancen sind hierbei z. B. Einsparungen bei Hardware und Personal sowie die Möglichkeit, den Umfang von Speicherplatz, Rechenleistung und Software sehr präzise an den jeweiligen Bedarf anzupassen. Zudem ermöglicht Cloud-Computing es, weitere Funktionen zu realisieren sowie auf Daten und Anwendungen mobil zuzugreifen. Risiken ergeben sich insbesondere bei der Frage nach der angemessenen Sicherheit – vor allem für sensible oder personenbezogene Daten. Hier ist die Frage nach dem Standort des Anbieters relevant. Befindet sich dieser nicht im EU-Ausland, gelten beispielsweise keine europäischen Datenschutzrichtlinien. Ein weiteres Risiko ist das fehlende Know-how bei der Auswahl des passenden Anbieters. Zudem sollten die Verantwortlichen in der Lage sein, aus der Vielfalt der verschiedenen Services die passenden auszuwählen.
Unterschiedliche Hierarchieebenen benötigen unterschiedliche Kompetenzen
In einer abschließenden Diskussion wurde schnell deutlich, dass sich durch verschiedene Hierarchieebenen unterschiedliche Kompetenzniveaus ergeben: Das Management muss vor allem die Grundlagen der Cyber-Sicherheits-Risiken kennen und beurteilen können, für welche Daten welcher Anbieter und welche angebotenen Services sinnvoll sind. Weiterhin müssen diese Mitarbeiter wissen, welche Sicherheitsstandards des Cloud-Computing-Anbieters angemessen sind. Die IT-Experten der Organisation hingegen benötigen vertiefte Kenntnisse im Bereich Cyber-Sicherheit. Sie sollten die Sicherheitsmaßnahmen des Cloud-Computing-Anbieters beurteilen können und ggf. in das interne Sicherheitsmanagement integrieren. Zudem müssen sie in der Lage sein, Führungskräften und Mitarbeitern den sicheren Umgang mit Cloud-Computing zielgruppengerecht zu vermitteln. Neben Fachkompetenz ist darüber hinaus Kommunikationsfähigkeit als soziale Kompetenz gefragt. Im Rahmen eines Kompetenzmanagements würde im Unternehmen ein Abgleich zwischen den vorhandenen Kompetenzen (Ist-Zustand) und dem Bedarf (Soll-Zustand) stattfinden. Als Ergebnis dieses Soll-Ist-Abgleichs kann der Weiterbildungsbedarf einer Person im Unternehmen abgeleitet und einzelnen Mitarbeitern zugeordnet werden.
Fazit des Cyber-Sicherheits-Tags: Weiterbildung muss praxisnah sein
Eins zeigten der Cyber-Sicherheits-Tag und auch die Gespräche mit den Teilnehmern deutlich: Geeignete Fachkräfte und die gezielte Vermittlung von Kompetenzen sind die Voraussetzung dafür, dass der digitale Wandel gelingt. Praxisnahe und zielgruppengerechte Weiterbildungsangebote, die nicht nur die IT-Abteilung adressieren, leisten hierzu den entscheidenden Beitrag.
Video: So funktionieren Cyber-Angriffe auf Industrieanlagen
Die DGQ hat gemeinsam mit dem das Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB ein Trainingskonzept zum Thema „Cyber-Sicherheit in der vernetzten Produktion“ entwickelt. Durch diese Kooperation profitieren Teilnehmer von aktuellen wissenschaftlichen Erkenntnissen in den Bereichen Cyber-Sicherheit und Automatisierung.
Um die im Training praktizierte Verzahnung von Forschung und Anwendungsorientierung zu veranschaulichen, war die DGQ mit der Kamera vor Ort und hat das Lernlabor Cyber-Sicherheit des Fraunhofer Instituts in Karlsruhe besucht. Dort finden die Trainings mit der in der Produktion eingesetzten Hardware statt. Das Video zeigt die Modellfabrik des Fraunhofer IOSB mit realen Automatisierungskomponenten im Einsatz und verschiedene Simulationen von Cyber-Angriffen auf Industrieanlagen. Zudem berichtet Trainer Christian Haas, Experte des Fraunhofer IOSB, über die eingesetzte Hardware, die Gefahren von Cyber-Angriffen und das Besondere des neuen DGQ-Trainings. Video anschauen
Positive Bilanz zum European Cyber Security Month
Seit 2012 weist der European Cyber Security Month (ECSM) auf die Gefahren und Risiken im Cyber-Raum hin. Zielgruppe sind Bürgerinnen, Bürger und Organisationen. Der ECSM findet jährlich im Oktober statt und bildet ein europaweites Format zur Sensibilisierung im Bereich Cyber Security.
Die Aktionen reichen von Veranstaltungen und Schulungen in Unternehmen über die Etablierung von Webseiten bis hin zu Pressearbeit. Sie bieten Informationen, Hilfestellungen und Praxisbeispiele für den sicheren Umgang mit Cyber-Risiken. Als Koordinierungsstelle für den ECSM in Deutschland informiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) Organisationen und Unternehmen und wirbt um passende Beiträge. Für das Jahr 2018 zieht das BSI ein positives Fazit: 100 Partner in Deutschland waren mit rund 200 Aktionen beim ESCM dabei. Darunter auch die die Allianz für Cyber-Sicherheit.
Auch die DGQ beteiligte sich mit dem Whitepaper „Mythen der Cyber Security“ am ECSM. Ziel des Whitepapers ist es, über häufigsten Mythen der Cyber Security in der vernetzten Produktion aufzuklären. Um Unternehmen optimal auf die Anforderungen der Industrie 4.0 vorzubereiten, hat die DGQ Dr. Christian Haas, Experte des Fraunhofer IOSB, gefragt, um welche Mythen es sich konkret handelt – und was Unternehmen tun können, um sich zu schützen.
Als Mitglied der Allianz für Cyber-Sicherheit ist für die DGQ ein lösungsorientierter Austausch zwischen Politik, Industrie, Wissenschaft eines der Ziele, die sie mit der Teilnahme am ESCM verfolgt. Darüber hinaus möchte sie Organisationen, Bürgerinnen und Bürgern für das Thema sensibilisieren. Ihr Bestreben ist es vor allem, das Bewusstsein für Cyber-Risiken in der vernetzten Produktion zu stärken. Denn wenn eine vernetzte Produktion zunehmend zur eine Strategie wird, muss Cyber Security zur Qualitätssache werden.
Um Mitarbeiterinnen und Mitarbeiter fit für die Industrie 4.0 zu machen, hat die DGQ in Kooperation mit dem Fraunhofer IOSB Trainings zu Cyber Security in der Industrie 4.0 entwickelt: Im viertägigen DGQ-Zertifikatslehrgang Cyber-Security in der Industrie 4.0 erwerben die Teilnehmer das erforderliche Wissen, um Gefahren durch Cyber-Angriffe zu erkennen, IT-Sicherheitslösungen umzusetzen und die Produktion zu sichern. Im Lernlabor Cybersicherheit erleben die realitätsnahe Simulationen von Cyber-Angriffen auf Industrieanlagen, können die Folgen anhand des Modells einer Produktionsanlage unmittelbar nachvollziehen und ihr erlerntes Wissen direkt testen.
Weitere Informationen zu den DGQ-Trainings für Cyber Security erhalten Interessierte online, DGQ-Produktmanagerin Christina Eibert (T 069 954 24-189, E-Mail christina.eibert@dgq.de) und auf der DGQ-Themeseite zu Cyber Security mit Whitepapers sowie aktuellen Blog- und Fachbeiträgen.