Cybersicherheit

EU-Strategie und wichtigste Maßnahmen

Um Bedrohungen entgegenzuwirken, hat die EU eine Cybersicherheitsstrategie entwickelt und Initiativen eingeleitet, um Sicherheit und Resilienz zu stärken.

Cyberresilienz-Verordnung

VERORDNUNG (EU) 2024/2847 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 23. Oktober 2024

Die VO soll dafür sorgen, dass internetfähige Hardware- und Softwareprodukte sicher sind. So sollen Verbraucher und Unternehmen mehr Vertrauen haben. Die Verordnung schreibt vor, dass Produkte mit digitalen Elementen (PDEs) bestimmte Cybersicherheitsanforderungen erfüllen müssen. Außerdem müssen die Sicherheitsmerkmale der Produkte transparent sein.

Inkrafttreten und Geltungsbeginn

Analyse und Bewertung der für das Jahr 2030 prognostizierten, aufkommenden Cybersicherheits-bedrohungen

Die Studie "ENISA Foresight Cybersecurity Threats for 2030" (ENISA-Prognose zu Cybersicherheitsbedrohungen für 2030) analysiert und bewertet neue Cybersicherheitsbedrohungen für 2030. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat dabei eine strukturierte Methodik verwendet. Die Studie wurde 2022 erstmals veröffentlicht und ist in der zweiten Auflage.

BSI - Technische Sicherheitshinweise und Warnungen

Das BSI gibt Informationen über aktuelle IT-Sicherheitsgefährdungen heraus. Das BSI informiert über Schwachstellen, Bedrohungen und Vorfälle. Außerdem gibt es formale Warnungen nach §7 des BSI-Gesetzes.

Lage der IT-Sicherheit in Deutschland 2024

Cybersicherheitsagentur Baden-Württemberg

Die Cybersicherheitsagentur erstellt Berichte zur Cybersicherheitslage in Baden-Württemberg. So können andere Behörden geeignete Maßnahmen ergreifen.

Hinweis: KI-Sicherheit ist die Vermeidung von Bedrohungen, die die Vertraulichkeit, Integrität oder Verfügbarkeit eines KI-Modells oder KI-fähigen Systems gefährden könnten. KI-Sicherheit ist ein wichtiger Bestandteil des KI-Entwicklungszyklus. Die Integration von KI in Systeme führt zu neuen Schwachstellen, für die neue Sicherheitsverfahren erforderlich sind. Die Identifizierung und Minderung dieser Schwachstellen sind ein wesentlicher Bestandteil der KI-Sicherheit.

Es besteht die Möglichkeit, Cybersicherheit zu messen und zu automatisieren. Anstelle statischer Checklisten können priorisierte, maschinenlesbare Regeln in kontinuierlichen PDCA-Zyklen entwickelt werden.

  • Plan: Zieldefinition, Situationsanalyse, KPI-Festlegung
  • Do: Umsetzung, Tests, Mitarbeitertraining, Datensammlung
  • Check: Datenanalyse, Qualitätskontrolle, Feedback-Sammlung
  • Act: Standardisierung, Korrekturmaßnahmen, Prozessintegration

In der ISO 27001 und BSI IT-Grundschutz liegt ein einfacher, aber leistungsstarker Ansatz zur kontinuierlichen Verbesserung: der Plan-Do-Check-Act (PDCA)-Zyklus. Dieser Zyklus ist ein systematischer Vier-Schritte-Ansatz zur Problemlösung und Verbesserung von Prozessen und Produkten.

Phase 1: Plan

Die erste Stufe des PCDA-Zyklus ist die Planungsphase. Sie legt den Grundstein für kontinuierliche Verbesserungsprozesse. In dieser Phase werden die Ziele und Erwartungen des Projekts definiert und die Maßnahmen geplant. Ein wichtiger Aspekt ist dabei die Analyse der aktuellen Situation. Mögliche Methoden sind Audits, Datenanalysen und Mitarbeiterbefragungen. Auf der Grundlage dieser Informationen werden Probleme und Verbesserungsbereiche identifiziert. Außerdem werden Hypothesen und Prognosen entwickelt, auf denen die Ziele und Maßnahmen basieren. Einige Beispiele für Aktivitäten in dieser Phase sind Projektplan, KPIs und Benchmarks.

Phae 2: Do

Die zweite Phase des PCDA-Zyklus ist die "Do"-Phase. In dieser Phase wird der zuvor erstellte Plan umgesetzt und überwacht. Außerdem werden Aufgaben dokumentiert und es werden Tests durchgeführt. Prototypen werden entwickelt und Prozessverbesserungen implementiert. Außerdem werden Mitarbeiter geschult. Ein wesentlicher Aspekt der "Do"-Phase ist das Sammeln von Daten durch Überwachung der Leistung oder Feedback. Diese sind wichtig für die anschließende "Check"-Phase.
In der Planungsphase wird die aktuelle Situation analysiert und identifiziert. Dies geschieht z. B. durch Audits, Leistungsdaten oder Befragungen. So können Probleme und Bereiche für Verbesserungen identifiziert werden. Außerdem werden Hypothesen und Prognosen entwickelt, die als Basis für die Festlegung von Zielen und Maßnahmen dienen. Sie helfen auch dabei, den Erfolg zu messen und zu bewerten. Beispiele für Aktivitäten in dieser Phase sind die Erstellung eines Projektplans, die Definition von Leistungskennzahlen und die Festlegung von Benchmarks.

Phase 3: Check

Die dritte Phase des PDCA-Zyklus ist die Überprüfungsphase. In dieser Phase wird die Wirksamkeit der in der "Do"-Phase umgesetzten Maßnahmen bewertet. Die tatsächlichen Ergebnisse werden mit den erwarteten Ergebnissen verglichen, um zu sehen, ob die Ziele erreicht wurden. So wird sichergestellt, dass die Lösungen die gewünschten Verbesserungen erzielen und die Ressourcen effizient genutzt werden.
Die Überprüfungsphase beinhaltet typischerweise das Sammeln und Analysieren von Daten, das Durchführen von Tests und das Überprüfen der Ergebnisse. Dies kann beispielsweise durch das Erstellen von Berichten und Diagrammen, das Durchführen von Qualitätskontrollen und das Sammeln von Feedback von Mitarbeitern und Kunden erfolgen. Dabei ist es wichtig, sowohl quantitative als auch qualitative Daten zu berücksichtigen, um ein vollständiges Bild der Situation zu erhalten.
Wenn die Ergebnisse nicht den Erwartungen entsprechen, ist es notwendig, die Gründe dafür zu ermitteln und geeignete Korrekturmaßnahmen zu planen. Es ist auch wichtig, Erfolge zu erkennen und zu feiern, um die Motivation und das Engagement der Mitarbeiter zu fördern. Schließlich dient die Überprüfungsphase auch dazu, Lernmöglichkeiten zu identifizieren und das Wissen und die Fähigkeiten der Organisation zu verbessern.

Phase 4: Act

Die vierte Phase im PCDA-Zyklus ist die "Act"-Phase, was "Handeln" bedeutet. Nachdem die vorherigen Phasen durchlaufen wurden, ist es nun an der Zeit, Maßnahmen zu ergreifen, um die festgestellten Probleme zu beheben und Verbesserungen umzusetzen.
Die "Act"-Phase ist entscheidend, um die Wirksamkeit der Maßnahmen zu bewerten und sicherzustellen, dass die gewünschten Verbesserungen erreicht wurden. Wenn die Maßnahmen erfolgreich waren, werden sie standardisiert und in den Betriebsablauf integriert. Sollten die Maßnahmen nicht die gewünschten Ergebnisse gebracht haben, wird der Zyklus erneut durchlaufen.
Ein Beispiel für eine Aktivität in der "Act"-Phase könnte die Implementierung einer neuen Software sein, die Arbeitsabläufe optimiert und die Produktivität steigert. Nach der Implementierung wird die Software bewertet, indem beispielsweise die Zeit, die für bestimmte Aufgaben benötigt wird, gemessen und mit den vorherigen Werten verglichen wird. Wenn die Software die gewünschten Ergebnisse liefert, wird sie dauerhaft eingesetzt. Sollten jedoch Probleme auftreten, werden diese analysiert und der PCDA-Zyklus beginnt von vorne.
Die "Act"-Phase ist somit ein entscheidender Schritt im PCDA-Zyklus, um kontinuierliche Verbesserungen zu gewährleisten und die Qualität und Effizienz von Prozessen zu steigern.

 

Es besteht die Möglichkeit, die Sicherheit in Bezug auf die Informationssicherheit in einem digitalen Umfeld zu messen und diese Messung automatisiert durchzuführen. Anstelle statischer Checklisten können priorisierte, maschinenlesbare Regeln in kontinuierlichen PDCA-Zyklen entwickelt werden.