Initiative IT-Sicherheit in der Wirtschaft

Reden Sie im Unternehmen über das Thema Sicherheit bevor der Notfall eintritt: Mit den Serious Games des Projektes ALARM.

Der innovative Ansatz des Projekts zur Sensibilisierung im Bereich Informationssicherheit und Datenschutz fokussiert die Tätigkeiten von KMU-Mitarbeitenden. Jedes Serious Game behandelt schwerpunktmäßig ein anderes für kleine und mittlere Unternehmen informationssicherheitsrelevantes Thema (z. B. Social Engineering, CEO-Fraud, Passwortschutz).

Eine lebendige und praktische Vermittlung von Gefährdungen und entsprechenden Sicherheitsmaßnahmen involviert die Teilnehmenden emotional und steigert somit die Motivation, mehr über Informationssicherheit und den eigenen Erfahrungen zu reden sowie ein dauerhafteres Informationssicherheitsbewusstsein zu schaffen.

Das Lernformat kann in kurzer Zeit (15 bis 20 Minuten) abgeschlossen werden. Andererseits können die Materialien auch für eine intensivere Auseinandersetzung mit für KMU relevanten Themen genutzt werden.

Der Methoden-Mix enthält:

• 7 analoge Serious Games
• 7 digitale Serious Games
• 7 niederschwellige Sicherheitskonzepte und Handlungsanweisungen entsprechend sowohl analog als auch digital durchgeführter „Vor-Ort-Angriffe“
• Ein Selbsttest für Individuen
• Aktuelle Erkenntnisse zu deutschen KMU durch tiefenpsychologische Interviews und Online-Umfragen sowie Evaluationsauswertungen von Trainingserfahrungen.

Ziel dieses Projekts ist es, kleineren und mittleren Unternehmen die notwendigen Fähigkeiten zur selbstständigen Risikobewertung zu vermitteln und über relevante Maßnahmen aufzuklären, um die Absicherung der IT-Infrastruktur zu gewährleisten. Hierfür wurden insgesamt vier Lernspiele entwickelt.

Vier kostenlose Lernspiele zu unterschiedlichen IT-Sicherheitsthemen:

• Beim Phishing Quiz sollen Nutzer:innen lernen, woran man Phishing E-Mails erkennen kann.
• Das Password Game demonstriert, welche Fehler im Zusammenhang mit Passwörtern gemacht werden.
• Im Kartenspiel Security Cards müssen Nutzer:innen entscheiden, mit welchen Maßnahmen sie ihr fiktives Unternehmen absichern.
• Threat Attack soll einen Einblick geben, was ein Angreifer mit scheinbar harmlosen Bedrohungen erreichen kann.

Zudem werden zu allen vier Lernspiele die jeweiligen Source Codes veröffentlicht sodass die Unternehmen die Spiele selbstständig für sich anpassen und so in das dauerhafte Lernangebot überführen können.

Zielgruppe

Das Projekt richtet sich an kleine und mittlere Unternehmen, welche …

• Lernspiele als ersten Einstieg in das Thema IT-Sicherheit nutzen möchten
• das Bewusstsein bzüglich IT-Sicherheit in ihrem Unternehmen grundsätzlich erhöhen möchten.
• ihre Mitarbeitende regelmäßige und möglichst selbstständig schulen möchten
• die jeweiligen Lernspiele und deren Inhalte auf ihre Bedürfnisse anpassen möchten

Der Grundschutz^PLUS Aktivator verfolgt das Ziel, das IT-Sicherheitsniveau (produzierender) KMU zu erhöhen und Hürden in Bezug auf die Umsetzung von IT-Sicherheitsmaßnahmen abzubauen.

Dazu haben wir eine interaktive Plattform geschaffen, die kleine und mittlere Unternehmen in die Lage versetzt, kompetente IT-sicherheitsrelevante Entscheidungen selbst zu treffen und das Verständnis für Sicherheitsfragestellungen stärkt. KMU erhalten speziell auf ihr Unternehmen zugeschnittene IT-Sicherheitskonzepte und Hilfestellungen bei der Umsetzung in Form von Templates, Best-Practices und Schritt für Schritt Anleitungen.

Grundlage ist die Erfassung der spezifischen IT-Sicherheitsanforderungen des Unternehmens.

Zielgruppe

Unsere Zielgruppe sind Unternehmen, die bisher nicht beziehungsweise wenig mit dem Thema Informationssicherheit zu tun hatten oder noch nicht den richtigen Einstiegspunkt in das Thema gefunden haben. Aber auch fortschrittlichere Unternehmen können anhand unseres Tools sehen, wie viel sie im Bereich der Informationssicherheit schon getan haben und zusätzliche Informationen und Maßnahmen erhalten.

Jedes Unternehmen, unabhängig von deren Größe, wird nützliche Informationen aus der Plattform ziehen können.

Mit dem Fördervorhaben „Höhere IT-Sicherheit durch Sichere Software Entwicklung“ (kurz: HITSSSE) soll es für Unternehmen einfacher werden, einen sicheren Prozess zur Entwicklung von Produkten und Software einzuführen, um die IT-Sicherheit in Infrastrukturen und Produkten zu verbessern.  

Immer mehr kleine und mittlere Unternehmen (KMUs) entwickeln Software für Infrastrukturen oder Produkte. Hierbei treffen oftmals hoher Zeitdruck und beschränkte personelle Ressourcen aufeinander. Deshalb spielt die Sicherheit der Entwicklungen teils kaum eine Rolle und gefährdet letztlich Unternehmen und ihre Kunden.

Im Projekt HITSSSE werden Handlungsempfehlungen sowie technische Hilfsmittel erstellt, um daraufhin generische Lösungsansätze für Unternehmen zu schaffen. Letztendlich soll es Unternehmen leichter fallen, einen sicheren Prozess für die Produkt- und Softwareentwicklung umzusetzen, der die IT-Sicherheit in Infrastrukturen und Produkten verbessert.  

Zudem ist ein Schwerpunkt die Arbeit am Faktor Mensch. Phishing-Mails, Tailgating, CEO-Fraud, Baiting – diese und viele weitere Methoden machen sich die Schwachstelle „Mensch“ zu Nutze und können Angreifern den Zugang zu sensiblen Daten und Systemen ermöglichen. Deshalb erarbeitet das Projekt HITSSSE Lösungen, die das gesamte Personal für Bedrohungen sensibilisiert und Akzeptanz für Sicherheitsmaßnahmen schafft. 

Die entwickelten Lösungen und einem umfassenden Ansatz für die IT-Sicherheit können KMU Risiken mindern, ihre Kunden schützen und in einer zunehmend vernetzten digitalen Landschaft erfolgreich sein. 

Angebote

Um Unternehmen bei der Sensibilisierung zu unterstützen, wurde das Videospiel Security Adventure entwickelt, das die Spielenden durch verschiedene Security-Herausforderungen im Arbeitsalltag führt. Zum einen soll so spielerisch Security-Wissen aufgebaut werden. Zum anderen die Bereitschaft zur Beschäftigung mit dem Thema steigen. Spielbar ist es auf einem normalen PC oder als klassischer Spielautomat.  

Beim Versuch CI/CD Pipeline-Tools in die interne Infrastruktur einzubinden kann es oft zu Problemen kommen. Schuld sind häufig Konfigurationsprobleme, besonders wenn Embedded Hardware verwendet wird. Um diese Störungen zu verhindern, bietet die CI-in-a-Box eine vollständig gekapselte CI/CD Infrastruktur. Hiermit erhalten Softwareentwickler:innen eine sichere Plattform, um automatisierte CI/CD Pipeline Prozesse auszuprobieren und kennenzulernen. 

Daten über Prozesse, Personen oder Systeme sind wichtige Assets. Um diese vor Manipulation oder Diebstahl zu bewahren, wurde die Security Annotation entwickelt, um KMU den Einstieg in die IT-Sicherheit zu erleichtern. Mit diesem Konzept ist es möglich, sicherheitssensiblen Quellcode dauerhaft zu kennzeichnen und den Assets sowie potenziellen Schwachstellen zuzuordnen.  

Zielgruppe

Kleine und mittlere Unternehmen

Mit diesem Projekt werden Handwerksunternehmen digitale Chancen aufgezeigt und innovative Geschäftsmodelle mit sicheren IT-Infrastrukturen entwickelt. Zudem werden die Handwerksunternehmen in der Erlangung notwendiger Kompetenzen und Fähigkeiten in Bezug auf IT-Sicherheit unterstützt.

Der intelligente IT-Sicherheitsassistent soll kleine und mittlere Unternehmen darin unterstützen ihre IT-Infrastruktur besser zu verstehen, deren Komplexität zu reduzieren und dementsprechend das Sicherheitsniveau zu verbessern. Auf Basis des intelligenten IT-Sicherheitsassistenten und dem entwickelten Weiterbildungsangebot, werden Entscheidungsträger in KMU zu selbstständigen und fundierten Entscheidungen befähigt.

Das Gesamtziel des dreijährigen Projekts ist die bedarfsgerechte Entwicklung und Erprobung eines intelligenten IT-Sicherheitsassistenten, die Exploration tragfähiger Geschäftsmodelle für den IT-Sicherheitsassistenten sowie flankierender Weiterbildungskonzepte, um die IT-Sicherheit im deutschen Handwerk zu erhöhen.

Die Zielsetzung zahlt auf zwei angestrebte Ergebnisse ein:

1. Sensibilisierung des Handwerks für die IT-Sicherheit
2. Technische, organisatorische und kompetenzbasierte Befähigung des Handwerks zur Verbesserung der IT-Sicherheit

Zielgruppe

Als Zielgruppe des Projekts werden in erster Linie Mitarbeiter:innen des deutschen Handwerks angesprochen, die von nachfolgenden Problemen besonders betroffen sind (ZDH, 2018):

• Eine unzureichende Sensibilisierung der Fachkräfte im Handwerk bezüglich der IT-Sicherheit
• Digitale Spaltung zwischen wenig und stark digitalisierten Betrieben mit unterschiedlichen IT-Infrastrukturen
• Fehlende passgenaue Lösungen, die die speziellen Bedürfnisse des Handwerks adressieren (bspw. offline fähige Anwendungen, Berücksichtigung der besonderen regulatorischen Anforderungen im Handwerk, datenschutzrechtliche Aspekte) und die spezialisierte IT-Infrastruktur (bspw. Datenmanagement in Smart-Buildings)
• Kompetenzen und Fähigkeiten der Fachkräfte sind primär auf hochspezialisierte, manuelle Tätigkeiten ausgerichtet und müssen bzgl. IT-Sicherheit weiterentwickelt werden

Mit Hilfe von ITS.kompetent gewinnen Unternehmen an Transparenz hinsichtlich folgender drei Fragestellungen:

1. Welche ITS-Kompetenzen werden bei welchen Mitarbeiter*innen benötigt (Was?)
2. Wo liegt der berufsspezifische und unternehmensübergreifende ITS-Qualifizierungsbedarf (Wo?)
3. Wie können die fehlenden ITS-Kompetenzen effektiv etabliert werden (Wie?)

ITS.kompetent trägt entscheidend dazu bei, Unternehmen über potenzielle Gefahren bezüglich des sicherheitsrelevanten Verhaltens der Mitarbeiter*innen aufzuklären und das ITS-Niveau kosteneffektiv in KMUs langfristig zu steigern. 

Dafür wird ein online-gestützten ITS-Diagnosetools ITS.kompetent entwickelt. Es ermöglicht die Identifizierung von KMU-spezifischen ITS-Qualifizierungsbedarfen mittels eines Vergleichs von Berufsprofilen und der anschließenden Auswahl von passgenauen ITS-Ausbildungsangeboten.

Die Herausforderungen von kleinen und mittleren Unternehmen bei der Auswahl und Umsetzung von mitarbeitendenbezogenen Maßnahmen für den ITS-Kompetenzaufbau bestehen nicht nur darin, dass Maßnahmen zum ITS-Kompetenzaufbau kostspielig sind. Vielmehr mangelt es Unternehmen häufig an Transparenz bezüglich der drei W’s: “Was”, “Wo” und “Wie”.

Die ITS-Kompetenzests dauern ca. 25-35 Minuten pro Mitarbeiter pro Kompetenztest.

Zielgruppe

Durch die hohe IT-Durchdringung in nahezu allen Branchen sowie nachweislich vorhandenen Gefahren aus dem unsicheren Umgang mit der IT, richtet sich ITS.kompetent grundsätzlich an alle kleine und mittlere Unternehmen in Deutschland.

Die einzelnen Zielgruppen in KMUs stellen die jeweiligen ITS-Anforderungsprofile dar, die in der ITS-Kompetenzmessung abgebildet sind. Dabei handelt es sich um folgende ITS-Anforderungsprofile: 

• Geschäftsführung 
• Führungskräfte / Stabsstelle 
• IT-Administrator*in 
• Sachbearbeiter*in im Innendienst  

• Sachbearbeiter*in im Außendienst 

Das Projekt mIT Standard sicher entwickelte einen neuen Beratungsstandard für die Cybersicherheit von Klein- und Kleinstunternehmen: Den CyberRisiko-Check. Dieser wird von IT-Dienstleistern angewandt, die damit kleinen Betrieben ihren Status Quo aufzeigen und ihnen erste Handlungsempfehlungen aussprechen.

Dienstleistungsunternehmen erhalten zudem die Möglichkeit Folgeaufträge über die ausgesprochenen Handlungsempfehlungen am Ende des CyberRisiko-Checks zu generieren.

Gerade Klein- und Kleinstunternehmen stehen häufig vor der Herausforderung weder über das passende Personal, genügend Geld oder ausreichend Zeit zur vollumfänglichen Absicherung gegen Cyberrisiken vorzugehen. Der CyberRisiko-Check bietet daher einen zeiteffizienten und niederschwelligen Einstieg in das Thema und hilft, die relevantesten Einfallstore zu schließen. Ziel des CyberRisiko-Checks nach DIN SPEC 27067 ist es das Cybersicherheitsniveau über einfach umzusetzende Anforderungen, mit passgenauen Handlungsempfehlungen zu erhöhen.

Zielgruppe

Zielgruppe in der Anwendung des Standards sind branchenübergreifend Unternehmen mit bis zu 50 Mitarbeitenden. Die zweite Zielgruppe sind Dienstleistungsunternehmen, welche durch den CyberRisiko-Check einen bedarfsgerechten, wirtschaftsnahen und vor allem praxistauglichen Standard für die Einführung erster Cybersicherheitsmaßnahmen zur Hand haben.

Der Standard wurde gemeinsam mit dem Deutschen Institut für Normung (DIN e.V.) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI)sowie einem DIN SPEC-Konsortium aus IT-Dienstleistern entwickelt.