KI? or not to be! - marim consult ist jetzt Partner der Project ConsultProject Consult

KI – Chancen nutzen und Risiken meistern

Wie können Unternehmen die Chancen der KI nutzen und dabei die Risiken meistern? Hier sind ein paar pragmatische Ansatzpunkte

Sep. 2024 – Markus J Neuhaus ist Mitglied in der ISACA Fachgruppe Artificial Intelligence und der Kommission Internet und Digitales des BVMW.

Künstliche Intelligenz (KI) verändert die Geschäftswelt – und das in rasantem Tempo. Überall wird gelobt, wie gut sich KI einsetzen lässt. Und wer nicht mitzieht, verliert. Aber wie bei allen neuen Technologien gibt es auch hier Risiken. Die sollte man nicht ignorieren, sondern realistisch einschätzen und pragmatisch lösen.

Wie bewertet man als Unternehmen individuell die potenziellen Risiken einer KI? Und wie klassifiziert man diese? Gilt vielleicht der Grundsatz: Was als Risiko nicht abgesichert werden kann, wird eben versichert? Oder bleibt das Unternehmen auf den Restrisiken sitzen? Was kann ein Unternehmen tun, um Restrisiken zu beherrschen – erst recht, wenn diese nicht auf den ersten Blick zu erkennen sind? 

(mehr …)

The Risks Associated with AI

ISACA Certificate – The Risks Associated with AI

Wie lässt sich das Risiko bei der Einführung einer KI im Unternehmen erkennen? ISACA beschäftigt sich intensiv mit diesem Thema und bietet sehr gute Zertifizierungen in diesem Bereich für Auditoren und Consultants an.

Die generative KI ist seit der Einführung von ChatGPT ein großes Diskussionsthema in den Vorstandsetagen auf der ganzen Welt. Im Bereich der Cybersicherheit steigert KI zweifelsfrei die Effizienz, verbessert die Erkennung von Bedrohungen und verkürzt die Reaktionszeiten bei Vorfällen. Doch die Risiken sind enorm.

Welche Grundlage lässt sich für eine Risikobewertung einsetzen?

(mehr …)

Cyber-Sicherheits-Check OT

Markus J Neuhaus unterstützte als Co-Autor bei der erstmaligen Erstellung des neuen Cyber Security Check Version OT und erstellt die Abbildungen im Leitfaden

Ihre Herausforderung

Eine komplette Betrachtung eines Unternehmens mit Produktionsanlagen und infrastruktureller IT ist ohne die genaue Analyse und Bewertung der Operationelle Technologie (OT) nicht möglich. Die beste Absicherung der klassischen IT in Büro und Verwaltung nützt nichts, wenn die OT-Seite nicht gleichstark ist

Ihr Ziel

Auch in der OT gelten die gleichen Ziele wie auf der klassischen IT Seite. Mit dem Cyber-Sicherheits-Check OT wissen Sie, wie es um die Sicherheit Ihrer Kronjuwelen bestellt ist und was sie tun müssen um Ihre individuelle Sicherheitssituation richtig abzubilden

• Sie planen die Einführung eines Information Security Management Systems (ISMS) nach ISO/IEC 27001?
• Wie ist der Status des Datenschutzes und der Sicherheitslage in Ihrem Unternehmen?
• Sie haben noch kein Sicherheitskonzept festgelegt und wollen zuerst einen Status der Angriffsvektoren erheben?

Unser Lösungsansatz

Nach einigen erfolgreichen Jahren des Cyber Sicherheitsrat Checks IT wurde auf vielfachen Wunsch und Anfragen von Unternehmen der Cyber Security Check OT durch das BSI und die ISACA veröffentlicht. Die 360 Grad Betrachtung der Unternehmen berücksichtigt die gesteigerten Bedürfnisse an Sicherheit und alle Angriffsvektoren in IT und OT

Das BSI und die ISACA bieten Unternehmen mit dem Cyber-Sicherheits-Check OT eine ideale Ergänzung, um die eigenen Sicherheitslage umfassend aufzunehmen. Gerade für mittelständische Unternehmen ohne große eigene IT- oder Risk-Abteilung ist dies eine ideale erste Standortbestimmung der IT und OT Sicherheit

Mit dem Leitfaden des Cyber-Sicherheits-Check OT (CSC) auf Basis der Vorgaben des BSI und der ISACA lassen sich bestehende Sicherheitsstandard im Unternehmen überprüfen. Die Ergebnisse des CSC leiten sich direkt aus BSI IT-Grundschutz-Kompendium, ISACA COBIT 2019, ISO/IEC 27001:2013 oder PCI DSS 3.2.1 ab

Oder eigene Mitarbeiter sollen zum Cyber Security Practitioner OT ausgebildet werden? Auch das ist möglich – als Gruppe im eigenen Unternehmen oder in offenen Zertifikatskursen

Kontaktieren Sie uns – info (a) marim . de !

 

2021 Cloud Governance in Deutschland – Herausforderungen und Erfolgsfaktoren

Sechs Jahre nach der viel beachteten Studie Cloud Governance in Deutschland – eine Standort­bestimmung erscheint die neue Studie. 

Wieder wurden Experten durch das ISACA Germany Chapter e. V. (ISACA) und PwC nach Ihren Erfahrungen und Zukunftserwartungen hinsichtlich der Nutzung von Cloud Computing befragt. 

Die Funktionen der Befragten, der Branchenschwerpunkt und die Marktorientierung sind in der Verteilung der Teilnehmer nahezu identisch zu 2015. Auch die Marktorientierung der Unternehmen nach geografischer Ausrichtung ist annähernd dieselbe wie zuvor. Damit ergibt sich eine gute bis sehr gute Vergleichbarkeit der Ergebnisse bei den Entwicklungen, Trends und Erwartungen in der Studie.

Lesen Sie die Studie Cloud Governance in Deutschland – Herausforderungen und Erfolgsfaktoren.

Für Fragen stehen wir gerne zur Verfügung

Kontaktieren Sie uns – info (a) marim . de !

Dr. CORONA oder: Wie ich lernte den Lock-down zu lieben

Artikel im itSM-Magazin

Eine kleiner Erfahrungsbericht zu den Erfahrungen von Unternehmen in der COVID-19-Pandemie

Wie steuert man als Business Continuity Manager durch eine globale Krise – mit dem klassischen Wasserfall-Ansatz oder besser doch mit Quick Checks?

Ein Jahr nach dem Ausbruch der COVID-19-Pandemie werden viele Erfahrungen aus der Krise auch im neuen modernisierten BSI-Standard 200-4 Business Continuity Management diskutiert.

Der Protagonist erscheint
Irgendwann während einer CNN Übertragung im Impeachment-Verfahren Ende 2019 – mittlerweile muss man ja vom ersten sprechen – erschien eine Nachricht auf dem unteren Tickerlaufband: „Multipler Virus auf Fischmarkt in China entdeckt.“ Das ging fast unter im Tohuwabohu der permanenten BREAKING NEWS an diesem Tag – aber irgendwie wurde es doch zur Kenntnis genommen.

Als der Ticker am nächsten Tag immer noch die Meldung brachte, und die erste Reportage eines nervösen CNN-Reporters von einem Lock-down der noch unbekannten Millionenmetropole Wuhan sprach, da kamen Erinnerungen an die Vogelgrippe H5N1 in 2006 und die Schweinegrippe H1N1 seit 2009 auf. Aber es ging damals alles ohne großartige Probleme weiter. Und auch die letzte Vogelgrippe H7N9 in 2013 war nicht dramatisch gewesen – und vor allem letztere nur im weit entfernten China. Betrifft das europäische Unternehmen? Der Markt mit Lieferketten und Lagern funktioniert doch?

Lesen Sie den ganzen Artikel 

Das neue it Service Management Magazin, Heft 54, ab Mitte Februar 2021 zu beziehen – www.itsmf.de

COVID-19 – AHA-L-C-Regeln einhalten

Animation Youtube

Das Einhalten der AHA-L-C-Regeln verringert das Ansteckungsrisiko in der COVID-19-Pandemie. Deshalb ist es sinnvoll und verkürzt oder verhindert sogar einen neuen Lockdown

Das NEUE NORMAL erfordert das Einhalten von Verhaltensregeln, um die Gesellschaft und Wirtschaft zu schützen

Für Fragen stehen wir gerne zur Verfügung

Kontaktieren Sie uns – info (a) marim . de !

COVID-19 – Exponentielle Funktion erklärt

Animation Youtube

Was macht die exponentielle Steigerung der COVID-19-Fallzahlen so gefährlich? Dies lässt sich mathematisch ganz einfach begründen

Das Einhalten der AHA-L-C-Regeln verringert das Ansteckungsrisiko in der COVID-19-Pandemie. Deshalb ist es sinnvoll und verkürzt oder verhindert sogar einen neuen Lockdown

Das NEUE NORMAL erfordert das Einhalten von Verhaltensregeln, um die Gesellschaft und Wirtschaft zu schützen

Für Fragen stehen wir gerne zur Verfügung

Kontaktieren Sie uns – info (a) marim . de !

Passwörter

Ihre Herausforderung

Sicherheitsvorfälle lassen sich durch zu leichte Passwörter oder den falschen Umgang mit Sicherheitszugängen erklären. Erste Untersuchungen zeigen, dass in der Unternehmung wenig Wissen zum richtigen Umgang mit Passwörtern vorhanden ist

Ihr Ziel

Schnell, nachhaltig und auf die Bedürfnisse der eigenen Unternehmung angepasste Trainings und weitergehende Coachings lokal im Unternehmen oder per Video-Training anbieten

Unser Lösungsansatz

Grundlagen schaffen

  • Klassifizieren Sie Ihre zu schützenden Daten. Je wichtiger diese Daten sind, umso komplexer sollte das Passwort sein
  • Vorsicht vor Social Engineering Attacken – Geben Sie niemals Ihr Passort bekannt – auch nicht telefonisch 
  • Nehmen sie unterschiedliche Passwörter für verschiedene Anwendungen und ändern Sie diese in Abhängigkeit besonderer Klassifizierung regelmässig
  • Kein „Masterpasswort“ für alle firmenbezogenen Zugänge nutzen und verwenden Sie kein Passwort, dass Sie auch privat nutzen. Dies ist eine der größten Fehler bei potentielle Bedrohungen am Home Office-Arbeitsplatz

Aufbau guter Passwörter erklären

  • Bei der Wahl eines Passwortes sind Ihrer Kreativität keine Grenzen gesetzt. Wichtig ist, dass Sie sich das Passwort gut merken können. Hierfür gibt es unterschiedliche Hilfsstrategien: Der eine merkt sich einen Satz und benutzt von jedem Wort nur den 1. Buchstaben (oder nur den zweiten oder letzten). Anschließend verwandelt man unter Umständen noch bestimmte Buchstaben in Zahlen oder Sonderzeichen. Die andere nutzt einen ganzen Satz als Passwort oder reiht unterschiedliche Wörter, verbunden durch Sonderzeichen, aneinander. Eine weitere Möglichkeit besteht darin, zufällig 5-6 Worte aus dem Wörterbuch zu wählen und diese mit einem Leerzeichen zu trennen. Dies resultiert in einem leicht zu merkenden, leicht zu tippenden und für Angreifer schwer zu brechenden Passwort
  • Je länger, desto besser. Ein gutes Passwort sollte mindestens acht Zeichen lang sein
  • Bei Verschlüsselungsverfahren für WLAN wie zum Beispiel WPA und WPA2 sollte das Passwort beispielsweise mindestens 20 Zeichen lang sein. Hier sind so genannte Offline-Attacken möglich, die auch ohne stehende Netzverbindung funktionieren
  • Für ein Passwort können in der Regel alle verfügbaren Zeichen genutzt werden, beispielsweise Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen (Leerzeichen, ?!%+…). Manche Anbieter von Onlinediensten machen technische Vorgaben für die verwendbaren bzw. zu verwendenden Zeichen. Wenn Ihr System Umlaute zulässt, bedenken Sie bei Reisen ins Ausland, dass auf landestypischen Tastaturen diese eventuell nicht eingegeben werden können
  • Nicht als Passwörter geeignet sind Namen von Familienmitgliedern, des Haustiers, des besten Freundes, des Lieblingsstars, Geburtsdaten und so weiter. Das vollständige Passwort sollte möglichst nicht in Wörterbüchern vorkommen. Es sollte zudem nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern wie „asdfgh“ oder „1234abcd“ bestehen. Manche Anbieter gleichen Passwörter gegen eine sogenannte „black list“ ab, in der genau solche nicht geeigneten Passwörter hinterlegt sind. Möchte man sie nutzen, erhält man einen Hinweis, dass das Passwort in dieser Form nicht zugelassen wird bzw. nicht sicher ist
  • Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? # am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen, ist nicht empfehlenswert
  • Nutzen Sie einen Passwortmanager, um Ihre unterschiedlichen Passwörter gut verwalten zu können. – und ihr starkes Passwort, um diesen abzusichern. So müssen Sie sich nur ein gutes Passwort merken und können trotzdem sehr starke, überall unterschiedliche Passworte verwenden. Aber hier gelten spezifische Regeln für ein sehr starkes Passwort

Ein starkes Passwort kann „kürzer und komplex“ oder „lang und einfach“ sein. Doch wie lang und wie komplex sollte es mindestens sein? 

  • 8 bis 12 Zeichen lang ist und drei Zeichenarten genutzt werden
  • 20 bis 25 Zeichen lang ist und zwei Zeichenarten genutzt werden (beispielsweise eine Folge von Wörtern)
  • 8 Zeichen lang ist, zwei Zeichenarten genutzt werden und es zusätzlich durch eine Mehr-Faktor-Authentisierung abgesichert ist (beispielsweise durch einen Fingerabdruck, eine Bestätigung per App oder eine PIN). Dies ist generell empfehlenswert

Diese Gefahren bestehen natürlich auch immer auf Ihrem privaten Equipment!

Weitergehende Informationen finden Sie auch im Bereich Business Security

Gerne stellen wir Ihnen in einem persönlichen Gespräch Ansätze und Erfahrungen vor.

Kontaktieren Sie uns – info (a) marim . de !

 

Quelle: bsi.de

 

Home Office

Ihre Herausforderung

Mitarbeiter müssen spontan aus dem Home Office arbeiten. Dies kann zur Aufrechterhaltung des Geschäftsbetriebes notwendig werden, beispielsweise durch einen Schaden im Unternehmen, oder durch externe Ursachen veranlasst werden, beispielsweise die CORONA-Pandemie

Ihr Ziel

Schnell, nachhaltig und auf die Bedürfnisse der eigenen Unternehmung angepasste Trainings und weitergehende Coachings lokal im Unternehmen oder per Video-Training anbieten

Unser Lösungsansatz

Grundlagen schaffen

  • Denken Sie an den Datenschutz der Unterlagen im Home Office. Am Besten Sie arbeiten im einem eigenen Raum und lassen keine Unterlagen offen liegen
  • Direkter Datenverkehr über Virtuell Private Network (VPN) in das Firmennetzwerk muss durch Fachpersonal eingerichtet werden. Nutzen Sie keine unsicheren privaten Systeme im direkten Datenaustausch mit dem Firmennetzwerk über VPN
  • Versenden Sie keine Informationen über Soziale Netzwerke wie WhatsApp, Facebook oder andere Kanäle – erst recht nicht wenn diese personenbezogen oder vertraulich sind
  • Installieren Sie Anwendungen nur nach Prüfung und aus den Originalquellen, also beispielsweise den Appstores. Sollten Sie beruflich zu einer Installation aufgefordert werden, prüfen Sie an entsprechender Stelle die Richtigkeit der Angabe mit einem Anruf

Sichere Nutzung von E-Mails erklären

  • Seien Sie vorsichtig bei E-Mails von fremden Adressen, die Links zu angeblichen Programmen für die Arbeit im Home Office oder zur Videotelefonie enthalten
  • Sehen Sie sich bei jeder E-Mail die Absenderadresse genau an. Zwar ist es möglich, original erscheinende Adressen zu fälschen, oft handelt es sich jedoch um fehlerhaft erstellte Adressen, die Ihnen eine eindeutige Warnung sein können
  • Gefahr besteht auch bei E-Mails, die Ihnen nahelegen, persönliche Daten wie Passwörter oder Zahlungsinformationen zu übermitteln
  • Achten Sie genau auf die Schreibweise von Webadressen. Tippen Sie URLs wenn möglich selbst ein oder wählen Sie eine Internetseite über ein bereits angelegtes Lesezeichen an. Links aus E-Mails sollte grundsätzlich zunächst Misstrauen entgegengebracht werden
  • Dazu sollten Sie keine der Telefonnummern aus der E-Mail verwenden, sondern stets über firmeninterne Telefonbücher oder Angaben im firmeneigenen Intranet recherchieren
  • Keine seriöse Organisation, egal ob Finanzinstitut, Behörde oder Unternehmen befragt Sie nach persönlichen Daten per E-Mail oder Telefon – seien Sie immer skeptisch, wenn Sie auf diesen Wegen zu einer Eingabe aufgefordert werden
  • Löschen Sie im Verdachtsfall die betreffenden E-Mails und klicken Sie keinesfalls auf enthaltene Links
  • Ausweiskopien oder personenbezogene Daten sollten Sie niemals per E-Mail übermitteln

Web-Browser richtig einsetzen

  • Einige Webseiten täuschen vor, von einem seriösen Unternehmen betrieben zu werden und verlangen, Daten zu hinterlegen, um über Neuigkeiten im Zusammenhang mit Corona informiert zu bleiben
  • Zukünftig könnten auch Anrufe getätigt werden, in denen angeblich öffentliche Stellen Daten über die Ausbreitung der Epidemie erfassen wollen und dazu personenbezogene Informationen zu Anmeldedaten oder Bankzugängen abfragen
  • Machen Sie telefonisch niemals Angaben zu sensiblen Informationen. Behörden, Banken und anderen Institutionen fragen diese niemals auf diese Weise ab
  • Zudem werden betrügerische Webportale versprechen, Lösungen für Corona-bezogene Probleme bereitzustellen und dafür Produkte oder Dienstleistungen anbieten. Lassen Sie sich nicht von dieser Verlockung täuschen. Sollten wirksame Medizinprodukte auf den Markt gelangen, wird das Bundesministerium für Gesundheit darüber informieren
  • Werbe- und Popup-Fenster können plötzlich erscheinen, um Ihnen entweder Heilmittel, Impfungen, und Behandlungen anzupreisen oder vorgeben, ein sicherheitsrelevantes Programm Ihres Arbeitgebers installieren zu wollen. Sie sollten grundsätzlich darauf verzichten, derartige Werbefenster anzuklicken. Solche Banner oder Popups können Schadsoftware enthalten, unabhängig von den Produkten, für die sie werben

Ist es trotz allem dazu gekommen, dass Sie sensible Informationen eventuell an Betrüger versendet haben, ändern Sie sofort Ihr Passwort. Ging es bei diesen Informationen um dienstliche Angelegenheiten, müssen Sie den Vorgang Ihrer IT-Abteilung melden. Haben Sie zudem Passwörter übermittelt, die Sie für mehrere Accounts verwenden, ist es unbedingt notwendig, bei all diesen Zugängen die Passwörter zu ändern. In solchen Fällen ist es empfehlenswert, auch das Passwort bei Ihrem E-Mail-Anbieter zu verändern

Diese Gefahren bestehen natürlich auch immer auf Ihrem privaten Equipment!

Weitergehende Informationen finden Sie auch im Bereich Business Security

Gerne stellen wir Ihnen in einem persönlichen Gespräch Ansätze und Erfahrungen vor.

Kontaktieren Sie uns – info (a) marim . de !

 

Quelle: bsi-fuer-buerger.de

 

Cyberkriminelle nutzen Corona aus

Die Corona-Krise nimmt Einfluss auf die Methoden von Cyber-Kriminellen. Der Versuch die aktuell schnell ausgelagerten Home Office-Arbeitsplätze gezielt anzugreifen nimmt zu.

Viele Mitarbeiterinnen und Mitarbeiter arbeiten im Rahmen der Corona-Krise in Heimarbeitsplätzen. Die grundsätzlich gute Idee um den Geschäftsbetrieb aufrecht zu erhalten, hat aber oftmals keine Zeit für die Erarbeitung und Schulung dieser Personen für die einfachsten sicherheitsspezifische Regeln für das Home Office oder Passwörter gelassen. 

Holen Sie dies dringend nach!

Schulungen, Links und Hinweise finden Sie auch hier Business Security

Auch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) bietet gute und fundierte Grundlagen zur Verteilung an die Mitarbeiter. Einfach aufbereitet und leicht verständlich auf den Seiten bsi-fuer-buerger.de

Nutzen Sie diese Angebote und bleiben Sie gesund!

Gerne stellen wir Ihnen in einem persönlichen Gespräch Ansätze und Erfahrungen vor.

Kontaktieren Sie uns – info (a) marim . de !