Initiative IT-Sicherheit in der Wirtschaft

Reden Sie im Unternehmen über das Thema Sicherheit bevor der Notfall eintritt: Mit den Serious Games des Projektes ALARM.

Der innovative Ansatz des Projekts zur Sensibilisierung im Bereich Informationssicherheit und Datenschutz fokussiert die Tätigkeiten von KMU-Mitarbeitenden. Jedes Serious Game behandelt schwerpunktmäßig ein anderes für kleine und mittlere Unternehmen informationssicherheitsrelevantes Thema (z. B. Social Engineering, CEO-Fraud, Passwortschutz).

Eine lebendige und praktische Vermittlung von Gefährdungen und entsprechenden Sicherheitsmaßnahmen involviert die Teilnehmenden emotional und steigert somit die Motivation, mehr über Informationssicherheit und den eigenen Erfahrungen zu reden sowie ein dauerhafteres Informationssicherheitsbewusstsein zu schaffen.

Das Lernformat kann in kurzer Zeit (15 bis 20 Minuten) abgeschlossen werden. Andererseits können die Materialien auch für eine intensivere Auseinandersetzung mit für KMU relevanten Themen genutzt werden.

Der Methoden-Mix enthält:

• 7 analoge Serious Games
• 7 digitale Serious Games
• 7 niederschwellige Sicherheitskonzepte und Handlungsanweisungen entsprechend sowohl analog als auch digital durchgeführter „Vor-Ort-Angriffe“
• Ein Selbsttest für Individuen
• Aktuelle Erkenntnisse zu deutschen KMU durch tiefenpsychologische Interviews und Online-Umfragen sowie Evaluationsauswertungen von Trainingserfahrungen.

Ziel dieses Projekts ist es, kleineren und mittleren Unternehmen die notwendigen Fähigkeiten zur selbstständigen Risikobewertung zu vermitteln und über relevante Maßnahmen aufzuklären, um die Absicherung der IT-Infrastruktur zu gewährleisten. Hierfür wurden insgesamt vier Lernspiele entwickelt.

Vier kostenlose Lernspiele zu unterschiedlichen IT-Sicherheitsthemen:

• Beim Phishing Quiz sollen Nutzer:innen lernen, woran man Phishing E-Mails erkennen kann.
• Das Password Game demonstriert, welche Fehler im Zusammenhang mit Passwörtern gemacht werden.
• Im Kartenspiel Security Cards müssen Nutzer:innen entscheiden, mit welchen Maßnahmen sie ihr fiktives Unternehmen absichern.
• Threat Attack soll einen Einblick geben, was ein Angreifer mit scheinbar harmlosen Bedrohungen erreichen kann.

Zudem werden zu allen vier Lernspiele die jeweiligen Source Codes veröffentlicht sodass die Unternehmen die Spiele selbstständig für sich anpassen und so in das dauerhafte Lernangebot überführen können.

Zielgruppe

Das Projekt richtet sich an kleine und mittlere Unternehmen, welche …

• Lernspiele als ersten Einstieg in das Thema IT-Sicherheit nutzen möchten
• das Bewusstsein bzüglich IT-Sicherheit in ihrem Unternehmen grundsätzlich erhöhen möchten.
• ihre Mitarbeitende regelmäßige und möglichst selbstständig schulen möchten
• die jeweiligen Lernspiele und deren Inhalte auf ihre Bedürfnisse anpassen möchten

Die teilautomatisierte und einfach zu handhabende Open-Source Software DA3KMU ist voraussichtlich Anfang/Mitte 2024 verfügbar. Die Software ermöglicht es kleinen und mittleren Unternehmen (KMU), ihre gespeicherten Daten so zu anonymisieren, dass sie besser genutzt und für Datenanalysen zur Verfügung gestellt werden können, z. B. im Kontext von SIEM-Systemen (Security Information and Event Management).

Ziel ist es bei diesem Use Case, kleine und mittlere Unternehmen bei der datenschutzkonformen Weitergabe und langfristigen Speicherung von Logdaten zur Prüfung von Sicherheitsvorfällen zu unterstützen.

Beim Thema Datenschutz in Unternehmen stehen sich häufig zwei scheinbar unvereinbare Gegensätze gegenüber: Der Schutz von personenbezogenen und sensiblen Daten auf der einen sowie die vielfältigen Möglichkeiten zur Realisierung neuer Dienste und Datenanalysen auf Basis von Nutzungs- und Nutzerdaten auf der anderen Seite.

Eine Lösung bietet die im Projekt DA3KMU entwickelte Open-Source Software für KMU, mit deren Hilfe Daten maßgeschneidert und teilautomatisch anonymisiert werden können. So lassen sich Daten für ausgewählte Anwendungsfälle so generalisieren und anonymisieren, dass keine Personenbezüge mehr hergestellt werden können, die Daten für die Analyse aber gleichzeitig weitgehend nutzbar bleiben.
Die zentralen thematischen Schwerpunkte sind dabei:

Datenschutz durch Anonymisierung und Pseudonymisierung:

• Entwicklung einer teilautomatisierten Open-Source Software, die es KMU ermöglicht, personenbezogene Daten adaptiv und maßgeschneidert zu anonymisieren bzw. zu pseudonymisieren.
• Ziel: Datenschutzkonforme Nutzung und Weitergabe von Daten, ohne die Analysemöglichkeiten zu beeinträchtigen

Umsetzung zweier exemplarischer Use Cases:

• Anonymisierung von Logdaten für KI-basierte SIEM-Systeme.
• Anonymisierung von Gesundheitsdaten und Befunden für die Entwicklung KI-basierter Analysewerkzeuge.

Maßgeschneiderte Anonymisierung für KMU:

• Fokus auf die Bedürfnisse von kleinen und mittleren Unternehmen, die oft nicht über spezialisierte Kenntnisse im Bereich Datenschutz verfügen.
• Schaffung von Werkzeugen, die ohne hochspezialisierte Kenntnisse bedienbar sind und die Qualität der Anonymisierung berücksichtigen.
• Teilautomatisierung der Prozesse und Entwicklung einer benutzerfreundlichen Open-Source Software.
• IT-Verantwortliche (auch ohne spezialisierte Kenntnisse) in KMU dazu befähigen, einen „Basischeck“ für ihre Daten durchzuführen zu können.

Zielgruppe

IT-Verantwortliche in kleinen und mittleren Unternehmen

Bei ELITE können Sie verschiedene IT-Angriffe realitätsnah anhand von Demonstratoren selbstständig und in sicherer Umgebung erleben. Begleitende Lerninhalte erläutern Ihnen die Gefahrenszenarien und ermuntern zu Abhilfemaßnahmen.

Auf der Demonstrator- und Lernplattform können KMU-Mitarbeitende zu den folgenden Themen IT-Sicherheitsangriffe hautnah erleben und im Nachgang ihr Wissen festigen:

• Passwortsicherheit
• Phishing/Spear-Phishing
• Ransomware ´
• Social Engineering
• USB-Angriffe
• Man-in-the-Middle-Angriffe

Erleben können Sie ELITE nur live vor Ort auf Veranstaltungen. Wo das Projekt demnächst sein wird, finden Sie auf der Webseite.
Lerninhalte können Sie auf der Demonstrator-Plattform unter „Kurse“ nachlesen: Zur Demonstrator-Plattform.

Zielgruppe

Mitarbeitende in kleinen und mittleren Unternehmen

Der Grundschutz^PLUS Aktivator verfolgt das Ziel, das IT-Sicherheitsniveau (produzierender) KMU zu erhöhen und Hürden in Bezug auf die Umsetzung von IT-Sicherheitsmaßnahmen abzubauen.

Dazu haben wir eine interaktive Plattform geschaffen, die kleine und mittlere Unternehmen in die Lage versetzt, kompetente IT-sicherheitsrelevante Entscheidungen selbst zu treffen und das Verständnis für Sicherheitsfragestellungen stärkt. KMU erhalten speziell auf ihr Unternehmen zugeschnittene IT-Sicherheitskonzepte und Hilfestellungen bei der Umsetzung in Form von Templates, Best-Practices und Schritt für Schritt Anleitungen.

Grundlage ist die Erfassung der spezifischen IT-Sicherheitsanforderungen des Unternehmens.

Zielgruppe

Unsere Zielgruppe sind Unternehmen, die bisher nicht beziehungsweise wenig mit dem Thema Informationssicherheit zu tun hatten oder noch nicht den richtigen Einstiegspunkt in das Thema gefunden haben. Aber auch fortschrittlichere Unternehmen können anhand unseres Tools sehen, wie viel sie im Bereich der Informationssicherheit schon getan haben und zusätzliche Informationen und Maßnahmen erhalten.

Jedes Unternehmen, unabhängig von deren Größe, wird nützliche Informationen aus der Plattform ziehen können.

Mit dem Fördervorhaben „Höhere IT-Sicherheit durch Sichere Software Entwicklung“ (kurz: HITSSSE) soll es für Unternehmen einfacher werden, einen sicheren Prozess zur Entwicklung von Produkten und Software einzuführen, um die IT-Sicherheit in Infrastrukturen und Produkten zu verbessern.  

Immer mehr kleine und mittlere Unternehmen (KMUs) entwickeln Software für Infrastrukturen oder Produkte. Hierbei treffen oftmals hoher Zeitdruck und beschränkte personelle Ressourcen aufeinander. Deshalb spielt die Sicherheit der Entwicklungen teils kaum eine Rolle und gefährdet letztlich Unternehmen und ihre Kunden.

Im Projekt HITSSSE werden Handlungsempfehlungen sowie technische Hilfsmittel erstellt, um daraufhin generische Lösungsansätze für Unternehmen zu schaffen. Letztendlich soll es Unternehmen leichter fallen, einen sicheren Prozess für die Produkt- und Softwareentwicklung umzusetzen, der die IT-Sicherheit in Infrastrukturen und Produkten verbessert.  

Zudem ist ein Schwerpunkt die Arbeit am Faktor Mensch. Phishing-Mails, Tailgating, CEO-Fraud, Baiting – diese und viele weitere Methoden machen sich die Schwachstelle „Mensch“ zu Nutze und können Angreifern den Zugang zu sensiblen Daten und Systemen ermöglichen. Deshalb erarbeitet das Projekt HITSSSE Lösungen, die das gesamte Personal für Bedrohungen sensibilisiert und Akzeptanz für Sicherheitsmaßnahmen schafft. 

Die entwickelten Lösungen und einem umfassenden Ansatz für die IT-Sicherheit können KMU Risiken mindern, ihre Kunden schützen und in einer zunehmend vernetzten digitalen Landschaft erfolgreich sein. 

Angebote

Um Unternehmen bei der Sensibilisierung zu unterstützen, wurde das Videospiel Security Adventure entwickelt, das die Spielenden durch verschiedene Security-Herausforderungen im Arbeitsalltag führt. Zum einen soll so spielerisch Security-Wissen aufgebaut werden. Zum anderen die Bereitschaft zur Beschäftigung mit dem Thema steigen. Spielbar ist es auf einem normalen PC oder als klassischer Spielautomat.  

Beim Versuch CI/CD Pipeline-Tools in die interne Infrastruktur einzubinden kann es oft zu Problemen kommen. Schuld sind häufig Konfigurationsprobleme, besonders wenn Embedded Hardware verwendet wird. Um diese Störungen zu verhindern, bietet die CI-in-a-Box eine vollständig gekapselte CI/CD Infrastruktur. Hiermit erhalten Softwareentwickler:innen eine sichere Plattform, um automatisierte CI/CD Pipeline Prozesse auszuprobieren und kennenzulernen. 

Daten über Prozesse, Personen oder Systeme sind wichtige Assets. Um diese vor Manipulation oder Diebstahl zu bewahren, wurde die Security Annotation entwickelt, um KMU den Einstieg in die IT-Sicherheit zu erleichtern. Mit diesem Konzept ist es möglich, sicherheitssensiblen Quellcode dauerhaft zu kennzeichnen und den Assets sowie potenziellen Schwachstellen zuzuordnen.  

Zielgruppe

Kleine und mittlere Unternehmen

Mit diesem Projekt werden Handwerksunternehmen digitale Chancen aufgezeigt und innovative Geschäftsmodelle mit sicheren IT-Infrastrukturen entwickelt. Zudem werden die Handwerksunternehmen in der Erlangung notwendiger Kompetenzen und Fähigkeiten in Bezug auf IT-Sicherheit unterstützt.

Der intelligente IT-Sicherheitsassistent soll kleine und mittlere Unternehmen darin unterstützen ihre IT-Infrastruktur besser zu verstehen, deren Komplexität zu reduzieren und dementsprechend das Sicherheitsniveau zu verbessern. Auf Basis des intelligenten IT-Sicherheitsassistenten und dem entwickelten Weiterbildungsangebot, werden Entscheidungsträger in KMU zu selbstständigen und fundierten Entscheidungen befähigt.

Das Gesamtziel des dreijährigen Projekts ist die bedarfsgerechte Entwicklung und Erprobung eines intelligenten IT-Sicherheitsassistenten, die Exploration tragfähiger Geschäftsmodelle für den IT-Sicherheitsassistenten sowie flankierender Weiterbildungskonzepte, um die IT-Sicherheit im deutschen Handwerk zu erhöhen.

Die Zielsetzung zahlt auf zwei angestrebte Ergebnisse ein:

1. Sensibilisierung des Handwerks für die IT-Sicherheit
2. Technische, organisatorische und kompetenzbasierte Befähigung des Handwerks zur Verbesserung der IT-Sicherheit

Zielgruppe

Als Zielgruppe des Projekts werden in erster Linie Mitarbeiter:innen des deutschen Handwerks angesprochen, die von nachfolgenden Problemen besonders betroffen sind (ZDH, 2018):

• Eine unzureichende Sensibilisierung der Fachkräfte im Handwerk bezüglich der IT-Sicherheit
• Digitale Spaltung zwischen wenig und stark digitalisierten Betrieben mit unterschiedlichen IT-Infrastrukturen
• Fehlende passgenaue Lösungen, die die speziellen Bedürfnisse des Handwerks adressieren (bspw. offline fähige Anwendungen, Berücksichtigung der besonderen regulatorischen Anforderungen im Handwerk, datenschutzrechtliche Aspekte) und die spezialisierte IT-Infrastruktur (bspw. Datenmanagement in Smart-Buildings)
• Kompetenzen und Fähigkeiten der Fachkräfte sind primär auf hochspezialisierte, manuelle Tätigkeiten ausgerichtet und müssen bzgl. IT-Sicherheit weiterentwickelt werden

Mit Hilfe von ITS.kompetent gewinnen Unternehmen an Transparenz hinsichtlich folgender drei Fragestellungen:

1. Welche ITS-Kompetenzen werden bei welchen Mitarbeiter*innen benötigt (Was?)
2. Wo liegt der berufsspezifische und unternehmensübergreifende ITS-Qualifizierungsbedarf (Wo?)
3. Wie können die fehlenden ITS-Kompetenzen effektiv etabliert werden (Wie?)

ITS.kompetent trägt entscheidend dazu bei, Unternehmen über potenzielle Gefahren bezüglich des sicherheitsrelevanten Verhaltens der Mitarbeiter*innen aufzuklären und das ITS-Niveau kosteneffektiv in KMUs langfristig zu steigern. 

Dafür wird ein online-gestützten ITS-Diagnosetools ITS.kompetent entwickelt. Es ermöglicht die Identifizierung von KMU-spezifischen ITS-Qualifizierungsbedarfen mittels eines Vergleichs von Berufsprofilen und der anschließenden Auswahl von passgenauen ITS-Ausbildungsangeboten.

Die Herausforderungen von kleinen und mittleren Unternehmen bei der Auswahl und Umsetzung von mitarbeitendenbezogenen Maßnahmen für den ITS-Kompetenzaufbau bestehen nicht nur darin, dass Maßnahmen zum ITS-Kompetenzaufbau kostspielig sind. Vielmehr mangelt es Unternehmen häufig an Transparenz bezüglich der drei W’s: “Was”, “Wo” und “Wie”.

Die ITS-Kompetenzests dauern ca. 25-35 Minuten pro Mitarbeiter pro Kompetenztest.

Zielgruppe

Durch die hohe IT-Durchdringung in nahezu allen Branchen sowie nachweislich vorhandenen Gefahren aus dem unsicheren Umgang mit der IT, richtet sich ITS.kompetent grundsätzlich an alle kleine und mittlere Unternehmen in Deutschland.

Die einzelnen Zielgruppen in KMUs stellen die jeweiligen ITS-Anforderungsprofile dar, die in der ITS-Kompetenzmessung abgebildet sind. Dabei handelt es sich um folgende ITS-Anforderungsprofile: 

• Geschäftsführung 
• Führungskräfte / Stabsstelle 
• IT-Administrator*in 
• Sachbearbeiter*in im Innendienst  

• Sachbearbeiter*in im Außendienst 

In dem Projekt „KMU. Einfach Sicher.“, wurde eine Online-Weiterbildungsplattform mit praxisnahen Modulen zu IT-Sicherheitsthemen entwickelt, die sich an Beschäftigte aller Branchen und Bereiche unabhängig von IT-Vorkenntnissen richtet

Die Module umfassen Inhalte zu verschiedenen Themen und regen zur Auseinandersetzung mit IT-Sicherheitsthemen im Kontext des eigenen Arbeitsbereiches an. Sie vermittelt Empfehlungen und Tipps für mehr Sicherheit und Produktivität im Arbeitsalltag. 

Insbesondere in KMU muss das Thema IT-Sicherheit als Querschnittsaufgabe gesehen und verankert werden. Zur Verankerung gehört die klare Positionierung der Führung zum Thema IT-Sicherheit sowie das Schaffen der notwendigen organisatorischen Rahmenbedingungen. Auf dieser Basis kann dann jede:r im Unternehmen seinen/ihren Beitrag zu mehr IT-Sicherheit und zum Aufbau eines IT-Sicherheitssystems im Unternehmen leisten. Das bedeutet natürlich nicht, dass alle zu IT-Sicherheitsfachleuten werden. Die Frage ist: Wie können die Beschäftigten aus dem Einkauf, der Personalabteilung oder der Arbeitsvorbereitung für das Thema begeistert oder besser gesagt, wie motiviert werden, Verantwortung für das Thema zu übernehmen?   

Die Weiterbildungsplattform „KMU. Einfach Sicher.“ will hierauf eine praktische Antwort geben. Sie wird in Kooperation der o.g. Partner weiterentwickelt und bietet neben dem kostenfreien Zugang auch eine Businessversion. Bei dieser können Unternehmen, die ihre Beschäftigten mit in die Stärkung der IT-Sicherheit einbinden wollen, die Inhalte organisieren und einzelnen Beschäftigten oder Gruppen zuordnen, eigene Inhalte integrieren und das Management des Weiterbildungsprozesses weitgehend automatisieren. Nach Abschluss einzelner Module erhalten die Teilnehmer:innen sowohl in der kostenfreien als auch in der Businessversion ein Zertifikat. Die Teilnehmenden und auch die Unternehmen können die Weiterbildung so als Baustein für mehr IT-Sicherheit im Unternehmen auch prüfbar dokumentieren. 

Zielgruppe

Kleine und mittlere Unternehmen und ihre Beschäftigte ohne gesonderte IT-Sicherheitskenntnisse.

Das Projekt mIT Standard sicher entwickelte einen neuen Beratungsstandard für die Cybersicherheit von Klein- und Kleinstunternehmen: Den CyberRisiko-Check. Dieser wird von IT-Dienstleistern angewandt, die damit kleinen Betrieben ihren Status Quo aufzeigen und ihnen erste Handlungsempfehlungen aussprechen.

Dienstleistungsunternehmen erhalten zudem die Möglichkeit Folgeaufträge über die ausgesprochenen Handlungsempfehlungen am Ende des CyberRisiko-Checks zu generieren.

Gerade Klein- und Kleinstunternehmen stehen häufig vor der Herausforderung weder über das passende Personal, genügend Geld oder ausreichend Zeit zur vollumfänglichen Absicherung gegen Cyberrisiken vorzugehen. Der CyberRisiko-Check bietet daher einen zeiteffizienten und niederschwelligen Einstieg in das Thema und hilft, die relevantesten Einfallstore zu schließen. Ziel des CyberRisiko-Checks nach DIN SPEC 27067 ist es das Cybersicherheitsniveau über einfach umzusetzende Anforderungen, mit passgenauen Handlungsempfehlungen zu erhöhen.

Zielgruppe

Zielgruppe in der Anwendung des Standards sind branchenübergreifend Unternehmen mit bis zu 50 Mitarbeitenden. Die zweite Zielgruppe sind Dienstleistungsunternehmen, welche durch den CyberRisiko-Check einen bedarfsgerechten, wirtschaftsnahen und vor allem praxistauglichen Standard für die Einführung erster Cybersicherheitsmaßnahmen zur Hand haben.

Der Standard wurde gemeinsam mit dem Deutschen Institut für Normung (DIN e.V.) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI)sowie einem DIN SPEC-Konsortium aus IT-Dienstleistern entwickelt.