Der Weg zur Zertifizierung nach ISO/IEC 27001 „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen“ ist mühsam und aufwändig. Die ersten Hürden hierzu wurden bereits erfolgreich überwunden und damit das erste Audit erfolgreich absolviert.
Die weiteren Zertifizierungsschritte finden im Laufe von Q2-Q3/2024 statt.
Nachdem im Februar dieses Jahrs bereits die EcoStep 5.1 Zertifizierung für unser integriertes Managementsystem erfolgreich rezertifiziert wurde runden wir unsere zukünftige Tätigkeit als USSP (U-Space Service Provider) mit der ISO/IEC 27001 als Ganzes ab.
Für weitere Informationen steht Ihnen Herr Marius Ammermann gerne zur Verfügung. Sie erreichen uns per Telefon unter +49 421 34 14 94 und per Mail an brm@brm.de.
Die b.r.m. IT & Aerospace GmbH hat am 23. Februar 2024 erneut das renommierte EcoStep Zertifikat erhalten und sich damit als erstes Unternehmen mit einem Managementsystem für einen U-Space Service Provider (USSP) ausgezeichnet, eine Zertifizierung die die wichtigsten Normforderungen der ISO-Normen 9001, 14001 und 45001 zusammenfasst. Dies ist ein weiterer Meilenstein und ganz besonderer Moment für uns und unterstreicht unser Engagement im Bereich der unbemannten Luftfahrt. Mit dieser mehrfachen Zertifizierung wird unser Ansatz bei der Qualität, Umweltschutz sowie Sicherheit und Gesundheit bei der Arbeit ausgezeichnet.
U-Space-Service Provider (USSP)
Als U-Space Service Provider (USSP) wird b.r.m. IT & Aerospace eine entscheidende Rolle bei der Integration von unbemannten Luftfahrtsystemen (UAS) übernehmen. Die Zertifizierungen nach EcoStep belegt dabei unser Engagement für höchste Standards in Qualität, Umweltmanagement und Arbeitssicherheit. Darüber hinaus bestätigt diese Auszeichnung unsere tägliche Arbeit innovative und sichere Lösungen im Bereich UAS und USSP zu entwickeln. Als erstes Unternehmen wurde das Managementsystem von b.r.m. IT & Aerospace für den Bereich U-Space Service Provider (USSP) zertifiziert.
EcoStep – Mehr als nur ein Zertifikat
Mit dem EcoStep Zertifikat wurden wir für ein Managementsystem ausgezeichnet, das international anerkannte ISO-Normen im Bereich Qualitätsmanagement, Umweltmanagement sowie Arbeits- und Gesundheitsschutz überprüft. Dafür wurde ein Audit durch die GUT Zertifizierungsgesellschaft für Managementsysteme mbH durchgeführt. Mit dieser Auszeichnung beweisen wir, dass der Einsatz innovativer Technologien und Verantwortung und Nachhaltigkeit miteinander vereinbar sind und sich nicht ausschließen.
Chancen von UAS mit b.r.m. IT & Aerospace nutzen
Die Chancen der unbemannten Luftfahrt sind enorm. Kontaktieren Sie uns gerne, um mehr über die Möglichkeiten von UAS, USSP und „Advanced Air Mobility“ zu erfahren. Als zertifiziertes Luftfahrtunternehmen beraten und unterstützen Sie unsere Experten rund um unsere Geschäftsführer Herrn Harald Rossol sowie Herrn Markus Rossol bei Ihrem Sachverhalt. Sie erreichen uns per Telefon unter +49 421 34 14 94 und per Mail an brm@brm.de.
Ein sonniges “Moin” vom Niedersachsen Aviation Day! Am heutigen Donnerstag, den 07.09.2023, findet der 4. Niedersachsen Aviation Day in Hildesheim statt. Wir freuen uns auf spannende Fachvorträge und Einblicke rund um die bemannte und unbemannte Luftfahrt.
Nach der Begrüßung durch Stefan Schröder, Niedersachsen Aviation, und den Gastgeber AutoGyro, vertreten durch Herrn Gerald Speich findet ein umfangreiches Programm statt. Unser Geschäftsführer Harald Rossol wird als Teil der Vortragsreihe über die Vorzüge und aktuellen Entwicklungen des Erprobungszentrums “Hatten-UAS” und seine Möglichkeiten sprechen. Weitere Highlights finden Sie im Programm.
Bei dem Thema Energieeinsparung und Umweltfreundlichkeit scheint die Green-IT die vorerst erstklassigste und bewährteste Lösung zu sein. Dieses Umdenken hat sich aus den steigenden Energiepreisen und dem anwachsenden Umweltbewusstsein ergeben. Allerdings gab es schon vor dieser Zeit Pioniere, die sich besonders mit dem Thema Energieeinsparung und Umweltfreundlichkeit beschäftigt haben.
Wo liegt der Unterschied?
Ein Rechenzentrum gibt extrem viel Wärme ab und muss oft auch mit beispielsweise Klimaanlagen gekühlt werden. Der dafür verwendete Strom ist nicht nur sehr kostspielig, sondern auch im Hinblick auf die Ressourcen nicht nachhaltig. Zusätzlich schwillt der ökologische Fußabdruck an und schadet wiederum der Umwelt sehr.
Um diese Probleme zu minimieren und zu lösen, haben schlaue Köpfe das Betriebskonzept der Green-IT entwickelt. Darüber hinaus liefern viele Webseiten hilfreiche Tipps zur Optimierung und Ressourceneinsparung. Der Bremer Unternehmer Harald Rossol hat als einer der ersten in Deutschland die Green-IT erfolgreich angewendet. Außerdem kann seine Firma b.r.m. durch das zertifizierte Rechenzentrum ca. 60% der Energiekosten ohne Leistungsverlust einsparen, was sich auch positiv auf die Kunden auswirkt. Seine Optimierungen bei der Hard- und Software verhelfen seiner Firma und ihm zu etlichen Auszeichnungen und einem hohen Ansehen in der IT-Branche.
Green-IT bei b.r.m.
Das neue Betriebskonzept ist für b.r.m. Standard. Neben weiteren zahlreichen Optimierungen im Rechenzentrum hat sich die Green-IT als erfolgreiches und zertifiziertes Konzept bewiesen. Für die Kunden von b.r.m. steht das umweltfreundliche und DSGVO konforme Rechenzentrum schon seit Jahren zur Verfügung. Die Abwärme des Rechenzentrums wird zum Heizen und Kühlen von Büroräumen genutzt.
B.r.m. ist ein Pionier der Green-IT, welcher sich bewusst und so nachhaltig wie möglich für die Energieeffizienz, Umwelt und Ressourcenschonung einsetzt.
Um eine Internet-Protocol-Adresse (IP-Adresse) durch IP-Datenpakete zu ersetzen, wird die Technik NAT und PAT verwendet. Doch was ist das genau, wie funktioniert das und wie sicher ist diese Lösung?
Was ist NAT?
Network Address Translation (NAT) fungiert als Übersetzung einer IP-Adresse, die in einem Netzwerk verwendet wird, in eine andere IP-Adresse, die in einem anderen Netzwerk verwendet wird. Sie setzt eine öffentliche IP-Adresse auf mehrere private IP-Adressen um. Dabei wird jede ausgehende Verbindung mit einer IP-Adresse und Portnummern verlesen. Durch die angegebene Portnummer kann dann die NAT eingehende Daten einer lokalen Station zuordnen. Diese Zuordnung ist allerdings nur für kurze Zeit gültig.
Zusätzlich wird zwischen Source-NAT (SNAT) und Destination-NAT (DNAT) unterschieden. Bei einer SNAT wird die Quellenadresse ausgetauscht, was wiederum typisch für private Internetzugänge ist. Um allerdings das Ziel eines IP-Packets zu ändern, wird ein Destination-NAT (DNAT) verwendet. Die DNAT wird meistens für das Ändern einer öffentlichen IP eines Internet-Anschlusses in eine private IP-Adresse eines Servers im privaten Subnetz benutzt. SNAT und DNAT können einzeln oder gemeinsam für ein IP-Paket verwendet werden.
Was ist PAT?
Eine Port Address Translation ermöglicht es mehrere Geräte eines Local Area Network (LAN) auf eine einzige öffentliche IP-Adresse abbilden zu lassen. Diese Technik ist also eine Erweiterung zu NAT. Auf diese Weise spart man viele IP-Adressen ein. PATs kommen in den meisten Heimnetzwerken zum Einsatz.
Wie sicher ist diese Technik?
Im Hinblick auf die IT-Sicherheit gibt es bei NAT geringe Sicherheitsbedenken. Da sich die Endgeräte hinter einem Router, also in einem privaten Netz, vor dem öffentlichen Internet verbergen, sind die Systeme aus dem Internet nicht erreichbar. Lediglich beim Verbindungsaufbau der Endgeräte wird eine direkte Internetverbindung benötigt. Obwohl diese Technik keine vollwertige Firewall oder Paketfilter ersetzen kann, ist der Schutz mit einer rudimentären Firewall zu vergleichen.
Bei Fragen zu genaueren Information zu diesen Techniken, stehen Ihnen die Mitarbeiter von b.r.m. gerne zur Verfügung. Des Weiteren können Sie sich auf dieser Webseite belesen.
Die Einhaltung der DSGVO und GDPR sind im Zeitalter des Internets wichtiger denn je. Sie sind die Grundregeln des Datenschutzes und der Datensicherheit. Sie bilden auch die Basis eines transparenten Umgangs, der den Datenmissbrauch einschränken soll.
Was ist die DSGVO?
Die Datenschutzgrundverordnung (DSGVO) stammt von der Europäischen Union und liefert Regeln zur Verarbeitung personenbezogener Daten. Die Verordnung ist anzuwenden, wenn bei der Verarbeitung Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Diese gelten im sowohl im privaten als auch im öffentlichen Bereich EU-weit. Somit muss sich jedes Unternehmen, welches personenbezogene Daten verarbeitet, an die DSGVO halten. Das gilt ebenso für natürliche und juristische Personen, sowie für Unternehmen, die im Auftrag eines Dritten arbeiten.
Für was steht GDPR?
Die Allgemeine Datenschutz-Verordnung (General Data Protection Regulation GDPR) bildet den neuen rechtlichen Rahmen der Europäischen Union. Die Verordnung legt genau fest, wie personenbezogene Daten gesammelt und verarbeitet werden dürfen.
Diese Regelungen gelten seit Mai 2018 für alle Organisationen mit einem Sitz in der EU, die personenbezogene Daten verarbeiten. Sie gilt außerdem für alle Organisationen weltweit, die Daten von EU-Bürgern verarbeiten.
DSGVO und GDPR bei b.r.m.
Der Bremer IT-Dienstleister b.r.m. ist für sein DSGVO konformes Rechenzentrum bekannt. Darüber hinaus hat b.r.m. ihre Sicherheit durch mehrere Parameter gestärkt. Von den Technischen und Organisatorischen Maßnahmen (TOM) über Sicherheitsanalysen bis hin zur Risikobewertung ist business ressource management bestens aufgestellt.
Des Weiteren sind Harald Rossol und Thorsten Brendel von b.r.m. als betriebliche Datenschutzbeauftrage engagiert. Sie sind die Experten in Sachen Datenschutz und stehen Ihnen bei Fragen sehr gerne zur Verfügung.
Viele Unternehmen und Organisationen hatten nicht nur durch die Corona Pandemie erhebliche Probleme, sondern auch bei der IT-Security. 2021 war kein gutes Jahr für die IT-Security, da es erhebliche Sicherheitslücken aufzeigte und die Cyberübergriffe auf Unternehmen stark anstiegen, unser Rückblick 2021:
Entwicklung der Cyberkriminalität
Im Jahr 2021 war ein deutlicher Anstieg der Cyberangriffe auf Unternehmen und Organisationen zu verzeichnen. Dieser Trend nimmt seit 2020 deutlich zu. Laut einer Studie von der Internetseite Check Point Research stieg die Anzahl von Cyberangriffen auf Organisationen aller Art um 40%.
Die Pandemie sorgte bei IT-Dienstleistern durch die notwendige Arbeitsflexibilisierung für einen enormen Zeitdruck. Zusätzlich traten Hackerattacken deutlich öfter auf und wurden gleichzeitig immer raffinierter. Die Hacker waren oft schneller als die Abwehrmaßnahmen dagegen. Ein massives Problem in der IT-Security war der sogenannte Zero-Day.
Zero-Day-Lücke als große Gefahr
Die IT-Systeme entwickeln sich ständig weiter und die Softwares sind dadurch meist schnell veraltet. Neue Patches bringen die Geräte auf den neusten Stand und schließen alte Sicherheitslücken.
Doch dieser sogenannter Zero-Day (null Tag) umfasste vier Sicherheitsmängel bei Microsoft Exchange Servern, welche durch einen fehlerhaften Programmier-Code von den Entwicklern versehentlich implementiert wurde. Das gab der Hackergruppe Hafnium die Möglichkeit tausende Exchange Server zu infiltrieren und zu scannen. Da aber bisher nicht geklärt werden konnte, ob eine „Backdoor“ (Hintertür) installiert wurde, kann man die Konsequenzen für die Zukunft noch nicht festlegen.
Was lernt man daraus?
Auf einen Zero-Day kann man sich nicht einstellen, da sie überall und unentdeckt vorkommen können. Man kann sich aber regelgerecht an den Datenschutz gemäß DSGVO halten. Hierfür gibt es zwei Versionen: privacy by design und privacy by default. Letzteres beschreibt Einstellungen, welche standardmäßig datenschutzfreundlich sind. Privacy by design beschreibt die Datenschutzvorgänge, welche am besten eingehalten werden, wenn diese bei der Erarbeitung bereits technisch integriert wurden. Quasi eine doppelt verschlossene Tür.
Dafür ist allerdings eine zuverlässige IT-Sicherheitspolitik Voraussetzung. Diese setzt nicht nur auf progressive Technik, sondern auch auf eine entsprechende Firewall. IT-Security definiert sich durch kontinuierliche Updates und qualitative Bekämpfungen der Sicherheitslücken.
Rückblick 2021: IT-Security ist in der IT-Branche ein sehr dominantes Thema und ist mit einem ständigen Bestreben nach Qualität verbunden. Neben der Prozessdigitalisierung ist auch die Erhöhung der Geschwindigkeit des Datenmanagements sowie das Entwickeln digitaler Produkte eine Herausforderung für die zukünftige IT.
Moderne IT-Dienstleistungen sind in einer digitaler werdenden Welt gefragter denn je, ganz genauso wie eine Anspruchshaltung an solide IT-Security. Neben einer qualitativen und zügigen Bearbeitung anstehender Aufgaben durch effektive Dienstleister, ist der Bereich der Sicherheit von Daten und Netzwerken, kurzum IT-Security, ein noch oft unterschätzter Teilbereich.
Wie durch unseren kompetenten Partner Sonicwall im neusten Jahresbericht festgestellt, nehmen die Cyber-Angriffe durch Ransomware und Encrypted Threats deutlich zu. Gerade die Angriffe durch Ransomware sind um 105% zum Vorjahr angestiegen und sogar um 232% gegenüber dem Vergleich zum Jahr 2019.
Neben unseren Ressourcen im Datenschutz durch Harald Rossol und Thorsten Brendel, verfügen wir auch über umfassende Expertise im Bereich IT-Security und auch DSGVO. Gemeinsam mit unseren Partnern haben wir die Konzepte, um auch ihre Sicherheit auf dem aktuellen Stand zu halten.
Ransomware – Geld oder Rechner?
Die Methode, durch eine Blockade des Rechners ein ‚Lösegeld‘ (engl.: ‚ransom‘) zu erpressen, hat in den letzten Jahren erheblich zugenommen. Der Nutzer eines Rechners sieht auf dem Monitor dann nur noch die ‚Lösegeldforderung‘ der Angreifer. Das besonders Perfide daran: Geht das Opfer auf die Forderung ein, bleibt sein Rechner in der Regel trotzdem blockiert. Man kann sich also nur höchst selten ‚freikaufen‘.
‚Ransomware‘ befällt längst nicht mehr nur ein einziges Betriebssystem. Ob Linux, Mac-OS oder Windows, alle Nutzer sind von dieser digitalen Form des Straßenraubs betroffen. Längst auch geistern im DarkNet viele Bauanleitungen für Ransomware herum, die sogenannten ‚CrimeWare-Kits‘. Eine ‚Ransomware‘ verschlüsselt dann zumeist nicht den gesamten Rechner, sondern vor allem jene Daten, die dem Nutzer wichtig sind, also bspw. den Ordner ‚Eigene Dokumente‘ unter Windows.
Der Schutz gegen Ransomware gleicht dem gegen andere Viren oder Trojaner. Ein Nutzer erhält bspw. eine Mail mit dem Anhang einer unbezahlten Rechnung, mit einer Strafandrohung des Bundeskriminalamtes, oder mit angeblichen Nutzungsverstößen der GEMA. Wer einen solchen Anhang öffnet, hat dann den Erpressern den ‚Hausschlüssel‘ selbst in die Hand gedrückt.
Man sollte daher NIEMALS einen Mail-Anhang öffnen, der nicht aus einer absolut vertrauenswürdigen Quelle stammt. GEMA wie BKA nutzen übrigens noch immer die gute alte Briefpost. Ferner ist es wichtig, alle relevanten Daten regelmäßig auf externen Datenträgern zu sichern, weil sie so für die Erpresser unerreichbar bleiben. Browser können durch installierte Anwendungen wie ‚NoScript‘ vor der Ausführung von Java-Befehlen geschützt werden, auch Werbeblocker bieten einen erhöhten Schutz.
Firewall: Mauern überwinden
Einen ‚Port‘ – zumindest aber ein Bullauge – muss ein Programm immer dann öffnen, wenn seine erzeugten Inhalte auch auf anderen Monitoren weltweit sichtbar sein sollen. Wie beispielsweise im Fall einer Homepage. Dort, wo etwas aus einem solchen ‚Port‘ oder ‚Hafen‘ in die virtuelle Welt auslaufen kann, dort kann natürlich auch etwas einlaufen. Daher wurden, um einen Rechner vor unerwünschten Zugriffen aus dem Netz heraus zu schützen, die ‚Firewalls‘ oder ‚Brandschutzmauern‘ geschaffen. Diese Sicherheitsprogramme sorgen dafür, dass nach festgelegten Regeln nur erwünschte Gäste in den heimatlichen Hafen gelangen. In der Regel muss jeder Zugriff zwei solcher Schutzmauern überwinden: die erste beim Provider, die zweite dann beim Client auf dem Netzwerkrechner.
Privacy by Design – IT-Security als ganzheitliches Konzept
Die beiden Begriffe ‚Privacy by Design‘ und ‚Privacy by Default‘ sind älter als die neue Datenschutz-Grundverordnung (DSGVO). Durch das Gesetz haben sie allerdings ein ganz neues Gewicht erhalten (Art. 25 DSGVO).
‚Privacy by Design‘ meint, dass der technische Aufbau eines datenverarbeitenden Systems so gestaltet sein muss, dass der Datenschutz schon automatisch in das System integriert ist. Anders ausgedrückt: Der Datenschutz und auch die IT-Security muss eine Systemeigenschaft sein. Dies geschieht durch die ‚Technischen und Organisatorischen Maßnahmen‘ (TOM) bei der Installation der Rechner und bei der Implementierung ihrer Programme. Hier ist der Hersteller am Zug.
‚So schnell wie möglich‘, ‚Transparenz herstellen‘, ‚minimieren‘, ‚in die Lage versetzen‘ – alles Formulierungen, die bisher kaum mehr als einen weiten Interpretationsspielraum schaffen. Kurzum: Die Regel des ‚Privacy by Design‘ erlaubt keine standardisierte Antwort, sie ist abhängig von den jeweiligen Anforderungen im Datenschutz. Klar ist aber, dass schon beim Aufbau eines datenverarbeitenden Systems und bei der Auswahl und Implementierung der eingesetzten Technik und Software mögliche Anforderungen der DSGVO zu berücksichtigen sind.
Für die Interessierten Leser finden Sie den kompletten Cyber Thread Report 2022 unseres Partners Sonicwall hier.
Zertifiziertes Managementsystem EcoStep: Erneut wurde b.r.m. nach den Maßgaben des Managementsystems EcoStep 5.1 für kleine und mittlere Unternehmen zertifiziert. Beginnend mit 2008 ist dies nun das 15. und 16. Jahr in Folge, dass b.r.m. für seine Betriebsabläufe und Prozesse auszeichnen lässt. Für alle Managementsysteme steht im Fokus, dass Aufgaben und Tätigkeiten mit den Zielvorgaben in Einklang sind und den betrieblichen Ablauf reibungsfrei gestalten.
EcoStep ist eine praxisorientierte Alternative zu den herkömmlichen ISO-Normen. In einem System vereint bedient es sich der aus KMU Sicht wichtigsten Normforderungen der folgenden Standards:
DIN EN ISO 9001:2015 Qualitätsmanagement
DIN EN ISO 14001:2015 Umweltmanagement
DIN ISO 45001:2018 Arbeits- und Gesundheitsschutz
Mithilfe der drei Aspekte (Qualität, Umwelt- und Arbeitsschutz) werden verschiedene Prozessbeschreibungen ermöglicht, die von Wertschöpfungsprozessen über Führungsprozesse reichen. Auch Entwicklungsprozesse und andere unterstützende Abläufe werden hierbei erfasst.
Durch das Managementsystem EcoStep werden Potentiale zur Kostensenkung aufgedeckt, Controlling- und Kennzahlensysteme zur Unterstützung der Führung implementiert und die Rechtssicherheit erhöht. Kontinuierliche Verbesserung steht hier mit an vorderster Stelle. Nicht nur das Zertifizierungsaudit für die Vergabe der Zertifizierung ist hierbei von bedeutung, sondern die durchgängige Kette interner Anpassungen und Nachrichtung bestehender Prozesse auf die neuen , sich ändernden Umstände des Geschäftsalltages.
Unser Dank gilt der großartigen Zusammenarbeit mit der Zertifizierungsstelle GUTcert . Herr Markus Rossol von b.r.m. hat das Audit mit Herrn Hauke Kreutzfeld von GUTcert durchgeführt.
Die resultierenden Verbesserungspotentiale werden laufend ausgeschöpft und wir freuen uns schon auf die kommenden 2 Jahre, nach deren Ablauf es dann auch wieder lauten wird: zertifiziertes Managementsystem nach EcoStep.
Unser komplettes Zertifikat können Sie hier einsehen.
In unserer Serie „IT-Rückblick 2021“ beschäftigen wir uns mit den interessantesten und gefährlichsten IT-Sicherheitslücken des letzten Jahres, heute: Zero-Day und Hafnium. 2021 war kein gutes Jahr für die IT-Sicherheit und zeigt einmal mehr, dass man IT-Security als stetigen Prozess sehen muss. Die Verteidigung gegen Angreifer muss durchgehend aufgefrischt werden, sonst verrottet Sie wie eine alte unbemannte Burgmauer.
Der Alptraum schlechthin: Zero-Day und IT-Sicherheit
Gegen bekannte Sicherheitslücken gehen die Hersteller einer Software meist sehr schnell vor oder haben das Problem bereits erkannt. Ein entsprechender Patch schließt die Sicherheitslücke und das Programm kann zunächst weiter eingesetzt werden. Gerade aus diesem Grund ist es wichtig, moderne IT-Systeme auf dem neuesten Stand zu haben und zu halten. Kontinuierliche Verbesserung ist hier der Schlüssel für einen stabilen und sicheren Betrieb der IT-Systeme.
Ein massives Problem entsteht aber gerade durch einen sogenannten „Zero-Day“. Der englische Begriff geht dabei darauf ein, dass die hier ausgenutzte Sicherheitslücke seit null Tagen (zero days) bekannt ist, zumindest dem Hersteller und der Öffentlichkeit. Daher gibt es keinen Patch oder eine Übergangslösung, um diese Lücke zu schließen. Sie war schlicht nicht bekannt. Der weltweit aufsehenerregendste Fall eines Zero-Day-Exploits ist sicherlich Stuxnet. Hier wurden gleich mehrere Zero-Day Schwachstellen genutzt, um Produktionsanlagen zu stören und unerwartete Befehle auszuführen.
Zero Day und Hafnium, was geschah?
Anfang März wurden insgesamt 4 relevante Sicherheitsmängel, also “Zero-Days” bei Microsoft Exchange Servern festgestellt. Diese wurden mutmaßlich von der Hackergruppe Hafnium genutzt um systematisch tausende von Exchange Servern zu scannen und zu infiltrieren. Da es nach Recherchen darum ging, eine „Backdoor“ (Hintertür) in die Systeme einzubauen kann nicht abschließend geklärt werden, wie stark sich diese Sicherheitslücke in Zukunft noch auswirken wird.
Microsoft reagierte nach einigen Einschätzungen zwar langsamer als gewünscht, aber die ausgenutzten Sicherheitslücken sind geschlossen worden. Durch mehrere Sicherheitspatches wurde sichergestellt, dass der Zero-Day-Exploit nun nicht mehr nutzbar ist.
Richtige IT-Sicherheit heißt Kontinuität
Richtige, also zuverlässige IT-Sicherheit, ist ein Wunsch und Versprechen aller mit IT-Systemen betrauter Personen. Neben der zum Standard gehörenden Technik, wie einer Firewall, sind aber auch konzeptionell einige Punkte zu beachten. Das magische Dreieck aus Kosten, Zeit und Qualität gilt natürlich auch für diesen Bereich professionellen Handelns. So ist gerade in Hinblick auf den Zeitfaktor sofort ersichtlich, dass es keinen absoluten Zustand der Sicherheit in einem dynamischen System geben kann. Bei einem Zero-Day-Exploit ist die Zeitkomponente derart verzerrt, dass eine korrekte (qualitative) Bekämpfung sofort hohe Ressourcenverbräuche generiert. Eine gute IT-Sicherheitspolitik setzt daher auf kontinuierliche Verbesserung und Anpassung an ein dynamisches Bedrohungsumfeld. Systeme dürfen nicht unbetreut betrieben werden. Erst in Aktion zu treten, wenn etwas nicht mehr funktioniert führt unweigerlich zur Katastrophe. Effektives und effizientes Handeln zeichnet sich durch Kontinuität aus. Lesen Sie hierzu auch die Stellungnahme von Dirk Arendt von Trend Micro.
