Sinn und Unsinn - Managementsysteme und Zertifizierung

Konstantin Ziouras • 8. Februar 2024


Fragen Sie sich manchmal wofür machen Sie den ganzen Aufwand mit einem Qualitätsmanagement System, oder schlimmer, mit einem Informationssicherheitsmanagement System?


Und das Zertifikat? Kostet nur Geld, ist das nur zum Vorzeigen? Welchen Wert hat das Zertifikat überhaupt?


Zweifeln Sie selbst? Erleben Sie solche Diskussionen? Haben Sie passende Antworten?


Weltbewegende Nachrichten gingen kürzlich um die Welt, dass ein Flugzeug während eines Fluges eine „verdeckte Tür“ verlor. Es scheint sich herauszustellen, dass vergessen wurde, die Sicherungsbolzen einzusetzen. (#1) Zum Glück sind keine Menschen zu Schaden gekommen. Menschliche Fehler passieren! Es passieren auch systemische Fehler. Was ist der Unterschied?


Wahrscheinlich weniger Personen haben mitgekriegt, dass ein namhafter Automobilhersteller, plötzlich einen Teil seiner Software zur Steuerung von KFZ-Systemen, der Öffentlichkeit zugänglich gemacht hatte, weil ein Mitarbeiter, eines der Master Token öffentlich und offen ablegte, sodass andere komplett fremde Fachleute dieses benutzen hätten können. (#2)


Immer wieder gehen Nachrichten um die Welt, dass die größten und namhaftesten Konzerne Kundendaten verlieren, und oft sind die Ursachen banal, z.B.

  • Ein Mitarbeiter benutzt für ein öffentlich zugängliches Software Testsystem das gleiche Passwort wie für interne geschützte Produktive Software-Applikationen.
  • Ein Mitarbeiter lässt einfach Betriebsfremde Personen in das Bürogebäude rein.


2017 haben IT-Mitarbeiter des US Amerikanischen Unternehmens Equifax, über längere Zeit vernachlässigt Software Patches einzuspielen (Updates). Eine längst bekannte Schwachstelle wurde von fremden benutzt, und es wurden Daten von ca. 140 Millionen Personen gestohlen. Was sind die Folgeschäden? Darüber berichten die wenigsten.


Im Sommer 2023 wurde Microsoft zum wiederholten Mal Opfer von Cyber Attacken, diesmal mit wesentlich komplexerem Hintergrund (#3). Telekom ist immer wieder gerne im illustren Kreis. Was sind hier die Folgeschäden?


Wie oft haben wir über Rückruf-Aktionen gestaunt, die durch das ganze Land gehen, manchmal sogar weltweite Auswirkungen haben, zu Autos (#4), zu Lebensmittel (#5)(#6) bis hin zu Medikamenten und Medizingeräten (#7) die Tausende Menschen / Patienten in Deutschland betreffen können.


Was haben diese Fälle gemeinsam? Zum Teil waren es einfache banale Ursachen, zum Teil waren es hochkomplexe Zusammenhänge, oft systematische Fehler, die zum Versagen, zur Gefährdung von Personen geführt haben.


Es gibt leider auch die kriminelle skrupellose Gewinnsucht, die Menschen und Unternehmen dazu treibt systematisch andere Menschen zu gefährden und zu schädigen (nicht nur die Kriege, die Nigerianische Prinzen und Cyber-Hacker).

An den Skandal mit den „giftigen“ Brustimplantaten der Französischen Firma Poly Implant Prothese (PIP) erinnern sich wohl noch viele (#8).

An den Skandal mit der giftig gepanschten Baby-Milchpulver in China eher auch (#9).

Wer kennt den Skandal mit den potentiell tödlich gefährlichen Herzschrittmachern von Medtronic (USA) (#10) und deren Rückruf (#11)?


Je komplexer das Thema wird, desto schwieriger das Terrain, desto umfangreicher die Diskussion über Sinn und Unsinn eines Qualitätsmanagement Systems, eines Informationssicherheitssystems, oder ähnlichem.

Klar, man kann nicht jeder Gefahr aus dem Weg gehen, es bleiben immer Restrisiken!


Wussten Sie, dass Medizingeräte auch gehackt werden können, und dies sogar Leben gefährden kann? Nun (wieder am Beispiel Medtronic) es  konnte die Fernsteuerung von Insulinpumpen, mit Cyber-Angriffsmethoden manipuliert werden, bis hin zur tödlichen Gefährdung von Patienten (#12).


Warum all diese Schreckensnachrichten?


Es gibt SEHR viele und SEHR gute Gründe, warum wir aus den Erfahrungen gelernt haben, und nach und nach Regelwerke für Qualitätsmanagement, Informationssicherheit und internationale Normen entstanden sind etc. Es steckt ein hoher Erfahrungsschatz darin!


Menschen manchen Fehler, Menschen denken nicht immer an alles, Menschen sind auch mal müde, übernächtigt, unaufmerksam, abgelenkt, unwissend, uniformiert, falsch informiert, unbedacht, gestresst.

Menschen können auch mutwillig, böswillig, kriminell und abartig gewissenlos sein.

Menschen können auch verschiedene Ansichten haben, und Gefahren schlicht übersehen, ignorieren etc.


Was betrifft uns das alles? Sind das nicht alles extreme Beispiele?

  • Wir sind doch die Guten!
  • Wir passen auf!
  • Wir arbeiten verantwortungsbewusst!
  • Wir stellen nicht solche gefährliche Medizingeräte her!
  • Von unseren Produkten hängt kein Leben ab!
  • Von unserer Arbeit hängen nicht Millionen Personendaten ab!
  • Wir halten keine Betriebsgeheimnisse mit Millionen Euro Wert in unseren Händen!
  • Wir haben nicht die Verantwortung die Menschen einer Stadt mit sauberem Trinkwasser zu versorgen!


Was ist also der Sinn und Zweck eines Management Systems, oder eines Zertifikats, oder der Diskussion?


Genau das ist die richtige Frage auf dem Weg "back to the Roots":

Zu welchem Zweck haben Sie ein Management System eingeführt?

Was wollen Sie damals erreichen, was wollen uns was müssen Sie heute erreichen?


Bringen Sie sich das wieder in Erinnerung, warum Sie damit angefangen haben!

Welche Risiken wollten Sie damals verringern?

Welche Risiken wollen oder müssen Sie heute verringern? Was soll passieren? Was darf nicht passieren?


Nur darum geht es! im Großen, und im Kleinen!


Wenn Sie wirklich beantworten können, was der Sinn ihres QMS oder ISMS ist, dann haben Sie es parat vor Augen! Dann können Sie es in jeder Diskussion auf den Punkt bringen…

  • was es für Sie bedeutet,
  • was für Sie wichtig ist, was ist für betroffene wichtig?
  • welche Ziele Sie haben,
  • welche Verantwortung Sie haben, welche Haftung ergibt sich?
  • was erwarten andere mit Recht von Ihnen... Kunden, Auftraggeber, Partner, Lieferanten, Mitarbeiter...


Wenn Sie in solch einer Diskussion geraten und in Zweifel geraten: Wozu der Aufwand? Was machen wir? Warum machen wir es? Nur Makulatur?

Wenn Sie auf Widersprüche stoßen...

Wenn Sie an dem gesamten System zweifeln, oder an einzelne Bestandteile: an Prozesse, Richtlinien, Dokumente, Arbeitsanweisungen, Testanweisungen, Verfahrensanweisungen, Kommunikation, Schulungen...


Für mich gibt es Zwei Zauberworte:  "Sicherstellen" und "Zweck"


Dies ist der gemeinsame Nenner: Was muss ich sicherstellen? Was will ich sicherstellen?

Was ist der Zweck des Systems, oder eines Bestandteils?


Will ich sicherstellen, dass bei einem fliegenden Flugzeug, zu keiner Zeit, unbeabsichtigt eine verdeckte Tür einfach rausploppt, in 5000 Meter Flughöhe?


Will ich sicherstellen, dass das regelmäßige Einspielen der Software-Updates auf den aktuellsten Stand nicht von einem übermüdeten, unwilligen oder uninteressierten Mitarbeiter abhängig ist, damit meine Software möglichst auf dem aktuellsten Stand ist, damit bekannte Schwachstellen möglichst behoben sind? Will ich sicherstellen, dass auch im Krankheitsfall, sich jemand anderes qualifiziert und korrekt um die Aufgabe  kümmert und diese ausführt?


Was ist ihnen so wichtig, dass Sie es nicht der Tagesform ihrer Selbst oder Ihrer Mitarbeiter überlassen wollen?

Was ist ihnen so wichtig, dass Sie es nicht dem Zufall überlassen wollen?


Und das Zertifikat?


Nun, dies symbolisiert eine objektive unparteiische Prüfung Ihres Management Systems, nach definierten akzeptierten Kriterien, um festzustellen dass Sie geplant kontinuierlich, sicherstellen, den jeweiligen Zweck zu erfüllen, und dass Ihr System lernfähig ist und regelmäßig verbessert wird.


Das Zertifikat ist nur soviel Wert, wie es auf strikte transparente und sinnvolle Akzeptanzkriterien basiert, sowohl für das Prüfobjekt, als auch für den Prüfvorgang und Auditor.

Dafür wird der Stand der Technik, Methodik und Wissenschaft benutzt, dafür werden die Internen Prüfungen  immer strenger, dafür muss die Zertifizierungsindustrie sorgen.


Zertifikate sind nicht gleich Zertifikate. Siegel sind nicht gleich Prüfsiegel.

Schwarze Schafe gab und gibt es in allen Bereichen, es gab Skandale mit Bio-Getreide (#13), Bio-Olivenöl, und es gibt selbst ausgestellte, ungeprüfte Zertifikate und Siegel, es gibt Selbstdeklarationen etc.


Es liegt an uns allen zusammen, dafür zu sorgen, dass ein Zertifikat, nicht zu einem einfachen Stück Papier verkümmert, welches nur Geld kostet und nichts aussagt.

Es liegt an uns allen, dafür zu sorgen, dass ein Zertifikat den Wert hat, welchen es repräsentiert.


Mein Fazit:

Wenn Ihnen Zweifel kommen,

  • besinnen Sie sich auf den Zweck, hinterfragen Sie den Zweck den Sie verfolgen!
  • Besinnen Sie sich darauf was Sie tatsächlich sicherstellen wollen!


Viel Erfolg weiterhin, Ihr Konstantin Ziouras


Quellen zu den beschriebenen Qualen

 

1)     Loch in Boeing 737 Max 9: Wichtige Bolzen fehlten   heise online

https://www.heise.de/news/Boeing-Flugzeug-verliert-Rumpfteil-Wichtige-Bolzen-fehlten-9621493.html

2)     Mercedes hat offenbar nicht aufgepasst und leakt Interna inklusive Sourcecode   heise online

https://www.heise.de/news/Mercedes-hat-offenbar-nicht-aufgepasst-und-leakt-Interna-inklusive-Sourcecode-9611515.html

3)     Cloud-Anwendungen - Hacker-Angriff auf Microsoft war gravierend   tagesschau.de

https://www.tagesschau.de/investigativ/swr/microsoft-outlook-e-mails-sicherheitsluecke-hacker-100.html

4)     Tesla: Rückruf von Elektroautos wegen Problemen mit Airbags und Rücklichtern   heise Autos

https://www.heise.de/news/Tesla-Rueckruf-von-Elektroautos-wegen-Problemen-mit-Airbags-und-Ruecklichtern-7346822.html

5)     Lebensmittelwarnung.de - Neueste Warnungen

https://www.lebensmittelwarnung.de/bvl-lmw-de/liste/alle/deutschlandweit/10/0

6)     Produktrueckrufe   REWE Presse

https://mediacenter.rewe.de/produktrueckrufe

7)     Rückruf von Philips-Beatmungsgeräten: Schlafmediziner warnen vor... (aerzteblatt.de)

https://www.aerzteblatt.de/nachrichten/124834/Rueckruf-von-Philips-Beatmungsgeraeten-Schlafmediziner-warnen-vor-abruptem-Therapieabbruch

8)     Skandal um Brustimplantate: Die unsichtbare Gefahr (aerzteblatt.de)

https://www.aerzteblatt.de/archiv/124347/Skandal-um-Brustimplantate-Die-unsichtbare-Gefahr

9)     Skandal um Babynahrung: Chinesische Milchindustrie wird landesweit geprüft - Gesundheit - FAZ

https://www.faz.net/aktuell/gesellschaft/gesundheit/skandal-um-babynahrung-chinesische-milchindustrie-wird-landesweit-geprueft-1698144.html

10)   Implant Files: Medtronic - Unter Schock (sueddeutsche.de)

https://www.sueddeutsche.de/projekte/artikel/politik/implant-files-medtronic-unter-schock-e311905/

11)   Class 1 Device Recall Medtronic Sprint Fidelis Lead (fda.gov)

https://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfres/res.cfm?id=65383

12)   Geht doch: Rückruf angreifbarer Insulinpumpen nach über zwei Jahren   heise online

https://www.heise.de/news/Geht-doch-Rueckruf-angreifbarer-Insulinpumpen-nach-ueber-zwei-Jahren-4475601.html

Die Liste lässt sich leider Kilometerlang fortführen

13) Skandal um angebliches Bio-Getreide: „Ein Fall von ’Gier frisst Hirn‘ “ - taz.de

https://taz.de/Skandal-um-angebliches-Bio-Getreide/!5027182/

von Konstantin Ziouras 8. Juli 2024
Haben Sie es schon mitbekommen? IAF und ISO haben die ISO Normen für Management Systeme des Typs A jeweils um einen Anhang erweitert, welcher die Auswirkungen des Klimawandels auf Ihre Management Systeme adressiert. d.h. Unternehmen mit einem Management System nach der Norm ISO 9001 oder der ISO / IEC 27001, müssen folgendes berücksichtigen: (lesen Sie weiter)
von Konstantin Ziouras 31. Januar 2024
Zu Management Systemen gehören Planungsdokumente, es gibt oft Pläne, Konzepte Strategie-Papiere. Manch Dokument ist besser, manches dürftiger, deshalb ein paar Gedanken dazu, in beliebiger Reihenfolge: Was ist ein Plan? Was ist eine Strategie? Zuerst kommt die Strategie, das ist der Blick auf das ganze, diese enthält was wir wollen, was wir steuern können und die ganzen Ungewissheiten und Abhängigkeiten. Dann kommt der Plan (oder Pläne) mit dem Konkretem was planen zu tun, also unser Beitrag, Schritt für Schritt! Am besten finde ich, Sie müssen gar nicht einverstanden sein, mit meinen weiteren Darlegungen! Hoffentlich finden Sie für sich, was Sie jeweils darunter verstehen. Eine Strategie… beschreibt eine Theorie, beschreibt unseren Wunsch, als ein zu erreichendes Ziel, und den Weg, den wir gehen wollen, den Weg den wir zu gehen bereit sind, um dieses Ziel war werden zu lassen! Eine Strategie… Ist langfristig, enthält eine kohärente zielorientierte Logik, enthält kohärente Ziele, enthält aufeinander abgestimmte Aktivitäten, Fähigkeiten, zu erzielende Ergebnisse enthält Aktivitäten welche zusammen als Ganzes, die Erreichung von Unternehmenszielen verfolgen, verfolgt Ziele, welche für das Unternehmen erstrebenswert sind, orientiert sich an ein bestimmtes Ergebnis, welches wir erreichen wollen, berücksichtigt vorhandene und neue Kunden, die unsere Produkte oder Dienstleistung haben wollen, erlaubt leider nicht das Kundenverhalten zu kontrollieren oder zu steuern, aber gibt den Weg vor, den WIR gehen wollen, und zu gehen bereit sind, Berücksichtigt, interessierte Parteien, und eine konsistente Kommunikation zueinander / miteinander, intern, extern. Strategien bringen in der Regel eine emotionale Sorge mit sich „wird es so wie wir uns das Vorstellen?" Akzeptieren wir diese „Ängste und Sorgen“, Strategien führen NICHT zu „Vorhersagen“, sondern zu einem Wunschszenario, Strategien laufen entlang der zugrundeliegenden Logik, solange die äußeren Einflussfaktoren mitspielen, Strategien bedürfen der Anpassung im Verlauf der Umsetzung! Strategie – kurz gefasst: Das ist unser Spielplatz / unsere Umgebung, die uns bekannten Rahmenbedingungen und Randbedingungen (unser Markt)! was wollen wir erreichen, (Ziel)! wie wollen wir es erreichen, (Plan)! welche Fähigkeiten setzen wir ein, (wir und unsere Kollegen/innen)! Das ist unser Management System, das ist unser Versuch sicherzustellen, dass wir unser Ziel erreichen! Eine gute Strategie enthält… eine Chancen- und Risikobetrachtung / Risikobewertung, eine Erfolgskontrolle, um unser Verhalten den laufenden Gegebenheiten anzupassen, einen Kommunikationsplan, und einiges mehr... Ein Plan ist in der Praxis unvollständig… ist leider oft eine Liste von Aktivitäten, Maßnahmen, enthält oft Aktivitäten welche nicht zwingend in sich zusammen kohärent sind, enthält oft Aktivitäten welche nicht zwingend ein gemeinsames Ziel verfolgen, berücksichtigt oft keine konsistente Kommunikation (intern, extern) zielt in der Regel auf die Ressourceneinteilung und Ressourcen Zuordnung ab. Pläne bringen in der Regel eine emotionale Gemütsruhe „wir haben es geplant, wir wissen was wir tun“, Planen ermöglicht meist eine Kostenkontrolle, Planen führt zu „Vorhersagen“ können kurz, mittel, oder langfristig sein, enthalten meist Aktivitäten die wir kontrollieren und steuern können, das ist sehr gut, regeln in der Regel die Ressourceneinteilung und Ressourcen Zuordnung etc.... Ein Plan sollte mehr sein als eine Liste von Aktivitäten, ein Plan sollte obige Versäumnisse vermeiden, eine Einführung haben, Ziele definieren, auf die Ziele angepasste konkrete Arbeitsergebnisse definieren (Deliverables / Output), einen Zeitplan und Meilensteine enthalten, Ressourcen festlegen, Verantwortung und Aufgabenverteilung regeln, interne / externe Mitwirkungspflichten definieren, Kommunikationswege und konsistente Kommunikations-Inhalte enthalten (intern / extern), Evtl. auch ein Risikomanagement enthalten oder mindestens berücksichtigen, eine Erfolgskontrolle enthalten! und ja, das komplizierteste sind dann ganze Projektpläne, davon kann man viel lernen, aber es kann auch zu viel des Guten sein! Ein Konzept... enthält eine konkrete Beschreibung einer Aufgabe und des Lösungsweges, Ein Konzept beantwortet: Warum Wie Wann Ein Konzept enthält einen verständlichen Titel, eine Zusammenfassung / Einleitung, eine Einführung, ein Ziel/Ziele, eine Begründung und Vorteile / Nachteile, eine Beschreibung über eingesetzte Methoden, Ressourcen, Materialien, den Weg / Plan / Umsetzungsschritte, die Zeitachse, Verantwortlichkeiten (und denken Sie an Vertretungsregelungen), Evtl. auch eine Risikobewertung / Risikobetrachtung, Notwendige Dokumentation, Qualifikation / Schulungsmaßnahmen, und falls nötig referenziert es auf weitere mit geltende Dokumente... Lessons learned: Es gibt Überschneidungen, es gibt Unterschiede, Sie sehen es so, oder nicht, sorgen Sie für sich für die Klarheit die Sie benötigen! Definieren Sie was das, was für Sie wichtig ist! Legen Sie den Zweck/Umfang/Inhalt Ihrer Dokumente in ihrem Management System fest, sodass Ihre Dokumente Ihrem Unternehmen einen maximalen Wert bringen. Beschreiben Sie in jedem Dokument, an erster Stelle nach dem Titel, den Zweck eines Dokuments, legen Sie per Inhaltsverzeichnis im jeweiligen Template den Umfang fest. (Lesen Sie auch: Inhalte einer Idealen Prozessbeschreibung https://www.ziouras-consulting.com/inhalte-einer-idealen-prozessbeschreibung ) Schon sind diese Hilfsmittel und Dokumente wertvoller, und können nur noch mit der Zeit besser werden. Viele Erfolg Ihr Konstantin Ziouras
Risk-Bowtie
von Konstantin Ziouras 29. Januar 2024
Tun Sie sich manchmal etwas schwer in die Risikoanalyse einzutauchen? Manchmal brauchen wir eine neue Betrachtungsweise! Manchmal ist es schwierig Bücher oder Normen zu verstehen, manchmal ist es schwierig einen gemeinsamen Blickwinkel mit Kollegen oder Beratern zu finden. Manchmal sieht man den Wald vor lauter Bäumen nicht. Risikoanalyse einmal anders? Vielleicht bringt Sie dieser Ansatz auf neue Ideen! Die Bowtie Methode für die Risiko Betrachtung (Bowtie = Die Fliege zum Anzug) Dieser Betrachtungsansatz lässt sich breit benutzen, für Prozesse, Produkte, FMEA, Benutzung gefährlicher Substanzen, Automotive, Medizintechnik, Informationssicherheit, Qualitätsmanagement etc. Ein Bild spricht mehr als Tausend Worte! Auf einen Blick: im Zentrum die mögliche Gefahr, Welche Ursachen kann es dafür geben? Was können wir im Vorfeld tun? Schulungen, Technische, organisatorische Maßnahmen, etc.? Was können wir, oder müssen wir tun, wenn es doch passiert? Wie reagieren wir? Welche Konsequenzen sind möglich?
von Konstantin Ziouras 28. Juni 2023
Artificial Intelligence ist keine Modeerscheinung mehr! Es sind neue Angebote auf dem Markt, die sich etablieren, die vieles verändern werden. Es sind machtvolle Tools, und die Versuchung ist groß, diese zu benutzen. Warum auch nicht? Nur, welche Risiken ergeben sich? Welche Chancen können genutzt werden? Was sollte davor geregelt und geklärt werden?
Information Bias. Confirmation Bias
von Konstantin Ziouras 17. April 2023
Wenn wir ein Thema untersuchen oder erarbeiten, sind wir immer voreingenommen! Auch wenn es im bestmöglichen Sinn gemeint ist, überhaupt nicht negativ, wir sind voreingenommen, und vorgeprägt, durch... unsere Persönlichkeit - ICH denke also bin ICH unsere Art Dinge anzugehen - ICH mach das so unsere bewusste Erfahrungen - ICH habe das x Mal so gemacht… unser bewusstes Training – Ich habe das so gelernt, mein Meister hat es mir so gezeigt unsere unbewussten antrainierten Denkmuster, Motorik und Reaktionen Wir fangen ziemlich alles mit einer ersten Meinung an. Die Frage ist, ob wir an dieser Meinung zwanghaft festhalten müssen, oder ob wir einsichtig neue Erkenntnisse, und neue Wege zulassen, wenn es sich als nötig oder sinnvoll erweist? Erkennen wir überhaupt, dass es sinnvoll oder nötig wäre eine existierende Meinung zu ändern?
von Konstantin Ziouras 15. April 2023
Sie tun sich anfangs schwer? Wo und wie beginnen Sie mit einem neuen Information-Sicherheitsmanagement-System (ISMS)? Gehen wir das zusammen Schritt für Schritt durch. Wir finden Orientierung in der Norm (egal welche Version, am besten immer die aktuellste :-) z.B. ISO27001, Kapitel 4 4.1 Kontext: Was ist die Strategische Ausrichtung des Unternehmens? Welche Interne und externe Einflussfaktoren sehen Sie? Welche positive Aspekte erkennen Sie, und welche negative Aspekte befürchten Sie mit einem ISMS? 4.2 Interesierte Parteien Welche interne und externe Parteien sehen Sie in Ihrem Umfeld? Was sind deren Anforderungen? 4.3 Scope des ISMS Was wollen Sie mit Ihrem ISMS beschützen? Wofür soll Ihr ISMS gelten? Was sind Ihre Produkte bzw. Dienstleistungen? Welche Standorte haben Sie? Wer sind Ihre Mitarbeiter und Abteilungen? Was sind die bei Ihnen eingesetzte Technologien? Wie ist Ihr Netzwerk aufgesetzt? Welche Prozesse haben Sie in Ihrem Unternehmen (Kernprozesse, Unterstützungsprozesse, ausgelagerte Prozesse, Management Prozesse) Was sind die Schnittstellen zwischen Ihren Prozessen? Wie lenken Sie ausgelagerte Prozesse? So geht es weiter, Schritt für Schritt! Ist es kompliziert? Nein! Nicht, wenn es transparent ist, und verständlich gemacht wird! Ist es komplex? Ja! Deshalb unterstütze ich Sie gerne! Ich führe Sie mit den richtigen Fragen, und unterstütze Sie dabei die Antworten zu finden! Umfassend, bis zur Zertifizierung, mit Fachwissen, Erfahrung und die Fähigkeit in den Normen zwischen den Zeilen zu lesen... Detaillierte Analyse, Prozess-Dokumentation, Optimierung, Ergänzung, Neuentwicklung, Entwurf und Dokumentation von Richtlinien, Awareness-Training für Mitarbeiter, Risiko Management Training für die ISMS verantwortlichen Personen, Implementierung von Maßnahmen (Controls) Audit. Verständlich, nachhaltig, entwicklungsfähig, menschlich, auf Augenhöhe, für Sie! Vielen Dank für Ihren Besuch. Ihr Konstantin Ziouras
von Konstantin Ziouras 8. April 2023
Der Industriespion der keiner sein will – Künstliche Intelligenz und ChatGPT als Spion! Spätestens jetzt ist es für Unternehmen und Organisationen nötig ihre Haltung zu K ünstlicher I ntelligenz (KI) bzw. ChatGPT zu überdenken und festzulegen. Warum sollte das für Sie relevant sein, auch wenn scheinbar keine Berührungspunkte bestehen? Vorfall 1: Samsung Kürzlich wurde in diversen Medien berichtet, dass Entwickler des koreanischen Unternehmens Samsung, Software Code mit dem Sie Probleme hatten, in ChatGPT eingegeben haben, um Hilfe zu bekommen. Eigentlich eine wundervolle Idee könnte man meinen, da doch viele Tutorials im Internet rumgeistern, wie ChatGPT beim Programmieren und bei der Fehlersuche hervorragend unterstützen kann. Ja, ABER: Die Mitarbeiter haben unbedacht „proprietären Software-Code“ in ChatGPT eingegeben. Ohne Non Disclosure Agreements, ohne Beratungs-Vertrag, ohne interne Klärung der Konsequenzen, ohne Risiko Management! Unter Missachtung der Warnung im Kleingedruckten von ChatGPT "keine geheimen Informationen einzugeben" haben Sie eigenmächtig gehandelt, um Probleme zu lösen. ChatGPT ist eine lernfähige KI, die aus allen Eingaben weiter lernt. Dies gilt für alle öffentlich zugängliche Varianten, die derzeit im Umlauf sind, und Begeisterungsstürme auslösen. Nun sind die benannten Code Bestandteile nicht mehr geheim, sondern evtl. öffentlich zugänglich, oder nur mit viel Aufwand wieder löschbar. Vorfall 2: Lerninstitute Begeisterte Schüler bzw. Studenten experimentieren und lassen sich Texte schreiben. Auch andere Personen! Ist das nicht herrlich, was die KI alles schneller und besser kann? Wir erleben ein Stück Science-Fiction live mit! Wir sind dabei! JA, ABER: Grundsätzlich spricht nichts dagegen, zu experimentieren. Auch hier gilt. Bitte an mögliche Konsequenzen und Regeln für alle denken! Es sollte klare Spielregeln geben, für alle Beteiligte, bzgl. Nutzungsmodelle: Es gibt Themen die womöglich zu Streitigkeiten, Disqualifizierung oder späterer Rufschädigung führen können. Regeln zu Quellenangaben, Plagiarismus, Benotungen, Aufsätze, Diplomarbeiten, Doktorarbeiten! Bisherige Regeln decken nicht die Benutzung einer KI akademischer Ausbildung und Arbeit! Wie steht es mit geistigem Eigentum etc.? Die Skandale mit diversen plagiierenden Politikern waren und sind nur eine mögliche Konsequenz. Lessons learned: Es gibt sicherlich gute und legitime Anwendungen einer KI, es gibt sicher auch unerwünschte. Spätestens jetzt ist es Zeit für Organisationen darüber nachzudenken, und zu solchen Themen klare Spielregeln zu definieren, z.B. a) mit einer „Richtlinie zur Benutzung von Künstlicher Intelligenz“ (Policy), oder b) mit entsprechenden Ergänzungen Ihrer existierenden Richtlinien, z.B. Richtlinie zur Internet-Nutzung Nachtrag: Andere unabsehbare Konsequenzen müssen wir weiterhin beobachten, z.B. "verbesserte Cyber Attacken" unter Mitwirkung von KI. Vielen Dank für Ihren Besuch. Ihr Konstantin Ziouras
von Konstantin Ziouras 1. April 2023
Wie kann ein Cyber Angriff noch persönlicher werden als ein persönliches Scam-Email, bezüglich Ihres "Amazon Kontos", "Google Kontos", "Strom", oder "Telefon Kontos"? Geht es noch glaubhafter, noch perfider? JA, es geht! z.B. mit öffentlich zugänglichen kostenlosen Informationen aus dem Handelsregister, aus öffentlichen Auktionen, öffentlichen Gerichtsverhandlungen usw.
von Konstantin Ziouras 20. März 2023
Begriffe für Tools im Einsatz in der Informationssicherheit Der wichtigste Effekt den Sicherheitstools bieten ist „ Visibilität “. Die Verteidiger der Informationssicherheit, müssen sehen können , sehen was im Verborgenen passiert. Je nach Tool, unterscheiden und definiert der Hersteller, wo Licht ins Dunkle gebracht werden kann, in welche Hardware-Komponenten, in welche digitalen Komponenten, welche Zustände und welche Zustandsänderungen erfasst, erkannt, in Bezug gebracht, gemeldet und visualisiert werden können; welche Filter und Feineinstellungmöglichkeiten angeboten werden. Nun zur Übersicht einige Begriffe: SOC: Security Operations Center ISOC: Information Operations Center GSOC: Global Security Operations Center Die Schaltzentrale, das Cyber Security Team, welches die Cybersecurity Vorfälle (Security-Incidents) überwacht, identifiziert, analysiert, und hoffentlich behebt; wenn möglich 365 Tage pro Jahr, 24 Stunden pro Tag. Dies sind die Helden, die sich um die Überwachung und Bearbeitung der Alarme, und das Cyber Incident Management kümmern. Für das SOC sind wichtig: Strategie, technische Lösungen, Prozesse, Schulungen, Kontinuierliche Verbesserung NOC: Network Operations Center Ein Team welches sich um die Netzwerk Leistung und Geschwindigkeit kümmert. SEM: Security Event Management Ein Tool, welches Echtzeitanalysen und Echtzeitberichte erstellt und dem SOC zur Verfügung stellt. Ein Event ist alles, was in den Systemen und im Netzwerk passiert, die normalen Aktivitäten und die „unerlaubten“. Wir interessieren uns um die "schlechten". SIM: Security Information Management Ein Tool, welches für die Erfassung und Verwaltung von Logfiles und weiteren sicherheits-relevanten Daten benutzt wird. Die protokolierten Daten werden analysiert. Wenn Events gewisse voreingestellte „Grenzwerte“ überschreiten, werden Meldungen ausgegeben. Hier liegt die Kunst der Einstellungen, um sinnvolle Filter und Grenzwerte zu generieren. Ein Event welches gemeldet wird, kann als Warnung oder als Alarm eingestuft sein. Es kann falsch Positive und falsch Negative Alarme geben. SIEM: Security Incident and Event Management Ein einzelnes Sicherheitsmanagement-System, welches Aktivitäten im Netzwerk sichtbar und transparent macht, welches beide Aufgaben übernimmt, als SEM und als SIM. Hier werden Maschinendaten in Echtzeit aus vielen Quellen (Endpoints) gesammelt, analysiert, kategorisiert und bewertet! Je nach Trigger werden Alarme ausgegeben. Das SOC Team arbeitet mit diesen Alarmen, Daten und Berichten, versucht Vorfälle möglichst frühzeitig zu erkennen, von den falschen Alarmen zu trennen, und reagiert auf die Vorfälle. Je moderner das SIEM Tool, desto fortschrittlichere Fähigkeiten hat es. (Modernere haben extravagante Bezeichnungen wie „Next Gen SIEM“ o.ä. Ein SIEM kann Daten aus verschiedensten Quellen aggregieren, z.B. Server : Webserver, Proxyserver, Mailserver, Fileserver, FTP-Server Netzwerkgeräte: Router, Switches, Wireless Access Points, Modems, Leitungstreiber, Hubs Sicherheitsgeräte: IDP/IPS (Intrusion Detection und Intrusion Prevention System), Firewalls, Antivirus-Software, Content-Filter... Applikationen / Programme: Sehr vielfältig, um nicht alle zu sagen. Ein SIEM kann auf viele Metadaten bzw. Attribute achten, und diese auswerten: Benutzerkonten, Prozesse, Events, IP Adressen, Speicher… Dabei werden Änderungen erkannt (Prozessstart, Stop, Anlegen eines Benutzerkontos, Benutzen eines Benutzerkontos, um sich einzuloggen, Berechtigungsänderungen eines Benutzerkontos etc. EDR: Endpoint detection and Response Systeme die Bedrohungen innerhalb der definierten Endpunkte erkennt und darauf reagiert. Prinzipielle ähnlich wie ein SIEM, aber fokusiert auf Endpoint Geräte, als Clients, Computer, Server, Mobile Devices. In der Regel arbeiten diese Systeme mit „Endpoint Agents“, also Applikationen am Endgerät. Diese Agieren wie bessere Antivirus Software, schützen gegen Malware, Dateien und Programmattacken, und erkennen auch Verhaltensmuster. Wegen der Verhaltensmustererkennung sind sie besser als Anti Virus Software die „nur“ bekannte Signaturen detektiert, und besser als SIEM nur im Einsatz auf Endgeräten. EDR ergänzt SIEM, liefert wertvolle Logfiles (Protokolle) für das SIEM, und kann auch durch Automatismen bestimmte Angriffe abwehren. XDR: Extended Detection and Response Dieses sind modernere EDR-Systeme, welche Daten aus immer mehr Endgeräten erfassen, auswerten und korrelieren. Das wichtigste sind die Korrelationen und Zusammenfassungen von "scheinbar unabhängigen Alerts" zu einem zusammenhängenden Vorfall. Sie wirken automatisch und clients, Applications, auf mehreren Sicherheitsebenen, vollständiger, z.B. Endpunkte wie EDR, und E-Mail, Benutzerkonten, Server, Cloud, SaaS, Netzwerk, Datenbanken, und generell alles Assets. Dies ermöglicht eine schnellere Erkennung von Bedrohungen und verbesserte Untersuchungs- und Reaktionszeiten und Abwehrmechanismen durch das SOC Team. Es konzentriert die Aufwände, anstatt vielen kleinen einzelnen Alerts nachzujagen, auf wenigere, aber zusammenhängende. MDR: Management Detection and Response Hier handelt es sich um eine Dienstleistung in Kombination mit oben beschriebener Technik. Dies ist für Unternehmen die kein eigenes SOC Team 24/7 parat haben, interessant! Hier teilen sich Menschen und Technik die Erkennung, Filterung und Auswertung und Feinjustierung von Alarmen, und „Verhinderung von Bedrohungen“, als Dienstleistung! Diese Spezialisten-Teams helfen auch bei „Reparatur“ Aufgaben falls nötig. SOAR: Security, Orchestration, Automation and Response SOAR ist eine vollständige Plattform, eine Schaltzentrale um SOC Teams zu managen und zu unterstützen. Hier werde diverse Cyber-Sicherheits-Tools z.B. SIEM, DER; Firewalls, über Schnittstellen eingebunden. Es können große Mengen an Informationen verarbeitet werden, Alarme priorisiert und bearbeitet werden. SOAR beinhaltet Automation und vordefinierte Szenarien, Workflows etc., um Entscheidungen zu erleichtern und Reaktionen zu beschleunigen. Workflows können auch zur Überprüfung in Einsatz kommen, um Alarme abzuarbeiten, und falsche Alarme herauszufiltern. Ebenfalls sind in der Regel Incident Ticket Protokollierung, Nachbearbeitung, Berichtswesen und Wissensdatenbanken integriert. Als Mechanismen haben wir also: Präventiver Schutz vor einer "Infektion", Erkennung und Verhinderung von Malware vor einer "Infektion" durch Erkennung bekannter Dateitypen, digitaler Signaturen, digitaler "Antikörper" Manche Malware ist neu, oder alte wurde verändert um einer Erkennung zu entgehen. Hier ist wichtig: Reaktive Detektion nach einer "Infektion", durch Erkennung von Verhaltensmuster. Malware, wenn einmal drin, muss etwas tun, die nächsten Schritte sind oft typisch für verschiedene Angriffsarten. Je nach hinterlegten Regeln, Workflows, Logikbäumen, Vergleichs-Algorithmen, können Benutzerkonten/Systemkonten Prozesse, Dateien, Kommunikation etc. analysiert werden, Alarme gegeben werden und automatische Reaktionen ausgeführt werden. Response und Recovery... Lessons Learned: Mesch: Es bedarf wie immer, Menschen und Technik. Die Menschen müssen Ihre eigesetzte Technik kennen, verstehen, und beherrschen, sowohl die Technik für die Geschäftsprozesse als auch die Technik für die Sicherheitsüberwachung. Maschine: Namen sind Schall und Rauch: Es kommt darauf an, was genau die eingesetzte Lösung kann, was sie nicht kann, wie sie eingestellt ist, wie modern, und wie anpassungsfähig auf neue Gefahren sie ist, wie sie kombiniert werden kann. ISMS: Mensch, Maschinen, Strategien und tolle Konzepte und Richtlinien dokumentiert auf Papier. Letztendlich kommt es darauf an, wie lernfähig das gesamte Informationssicherheitsmanagement System ist und bleibt, welche Strategie es verfolgt, wie diese umgesetzt wird... Vieles hängt davon ab, wie "Risiken bewertet" werden, wie Logikfehler durchrutschen oder vermieden werden, und wie Sie am Ball bleiben! Alles Gute, viel Erfolg! Vielen Dank für Ihren Besuch. Ihr Konstantin Ziouras P.S. Tools in der Übersicht: https://www.gartner.com/reviews/market/security-information-event-management und Suchen Sie nach den Stichworten: magic quadrant for siem 2022
von Konstantin Ziouras 19. März 2023
Lockheed Martin, das US amerikanisches Militärunternehmen, hat vor einigen Jahren Cyber Attacken nach militärischen Erfahrungen in ein Angriffs Modell gegossen. Dieses ist in 7 Phasen unterteilt. Es dient dazu sowohl die Schritte des Cyberkriminellen als auch der Verteidigung besser zu sortieren und zu verstehen. Reconnaissance Weaponization Delivery Exploitation Installation Command and Control (C2) Action on Objectives Manche würden auch ergänzen: 8. Get the money and run or do it again Dieses Modell ist eine Vereinfachung. Natürlich gibt es Varianten, Variationen, und kein Krimineller muss sich daran halten! Die Cyber Welt wird immer komplexer, es werden neue Wege gesucht und gefunden. Artificial Inteligence ist angekommen. Trotzdem sind Modelle hilfreich: für den Strategie-Tisch, für Schulungen, für Struktur, für das Lernen. Ja es gibt auch augenscheinliche Schwächen, z.B. ein Insider kann erste Schritte scheinbar überspringen, hat diese aber im stillen Kämmerlein durch gemacht, und sich einen Plan zurecht gelegt! Nach diesem Modell muss ein Angriff alle diese 7 Phasen durchlaufen, um an sein Ziel zu gelangen und erfolgreich zu sein. Das bedeutet, wir haben die ersten 6 Schritte lang die Gelegenheit den Angriff zu vereiteln, um den letzten Schritt zu verhindern. Schauen wir uns diese Schritte einzeln an, und überlegen auch potentielle Taktiken als Gegenmaßnahmen (ohne Anspruch auf Vollständigkeit). 1. Reconnaissance / Aufklärungsarbeit (Mögliche Ziele identifizieren und auskundschaften) Planungsphase des Angreifers. Suche nach öffentlich zugänglichen Informationen, z.B. Email Adressen sammeln Angestellte / Personen / Rollen identifizieren Informationen sammeln aus dem Web, den Nachrichten, den Sozialen Medien, Konferenzlisten, Informationen im Darknet kaufen Möglichkeiten der Verteidigung: Vor der Tür können wir wenig tun! Begrenzen Sie und kontrollieren Sie die öffentlich zugängliche Information, z.B. mit einer Social Media Richtlinie (Sowohl für Social Media, als auch für eigene Webseiten des Unternehmens Wieviel können Sie an den eigenen Webservern loggen, nach Mustern durchsuchen, und als Historie für Analysen aufbewahren? 2. Weaponization / Bewaffnung aussuchen (Angriff vorbereiten) Automatisierte Tools werden „in Ruhe“ für den ausgesucht, zusammengestellt, und deren Einsatz wird vorbereitet, z.B. USB Stick, evtl. in Kombination mit einem Köder / Angebot z.B. in einem Modemagazin und einem Aufkleber „Sommerkollektion YSL“ auf dem USB Stick, oder einem Ford Mustang Magazin, und einem Ferrari Ettiket? Dateibasierte Angriffe werden vorbereitet, z.B. mit einem Köder, kaschierte Emails bzw. Webseiten mit „Fangangeboten“ Die entsprechende Malware, z.B.: eine Backdoor, oder Exploit wird vorbereitet. Möglichkeiten der Verteidigung: Die Vorbereitung des Gegners kann nicht verhindert werden! Aber in der Zeit kann und muss sich das Unternehmen ebenfalls vorbereiten, aus der Vergangenheit lernen, sich mental und digital vorbereiten: Sicherheitsstrategie, System und Controls aufsetzen und in der Tat umsetzen. Detektoren / Scanner aktiv und aktuell halten Awareness Schulungen durchführen Angriff / Verteidigung Trainings Incident Response Plan ausarbeiten, und trainieren Erkennung bekannter Muster einstellen (Viren, Malware, Trojaner) Analysen und Trends beobachten, allgemein informiert bleiben Sparten- und Branchen-Spezifische Information einholen über Angriffe beobachten 3. Delivery / Lieferung (Platzierung des Cyber-Schädlings) Der Angreifer verschickt sein getarntes Paket. Der Angriff hat begonnen, z.B. USB Stick liegt im Hof, oder auf einem Firmen-Parkplatz, oder Ein USB Stick liegt in einem Paket einer Material-Lieferung, als Dankeschön, oder Werbegeschenk dabei. Dateibasierte Angriffe werden losgeschickt, mit Köder, Spam Emails, Persönliche Emails, gefälschte Emails bzw. Webseiten mit „Ködern/Fangangeboten“, gefakte Webseiten, etc. Direkter kontrollierter Angriff über Webserver / Datenbanken Penetrationsversuch über offene Ports und Protokolle Interaktionen über Social Media, Uploads, Einladungen, Honigtöpfchen/Köder. Die Phantasie hat keine Grenzen. Möglichkeiten der Verteidigung: Die erste und wichtigste Möglichkeit einen Angriff zu vereiteln, z.B. Sperrung der USB Ports für Datenspeicher Rollen, Verantwortung, Zugriffsrechte verstehen, planen, kontrollieren, aufzeichnen (Logging), einschränken auf das nötige Maß Server und Infrastrukturtrennen, kennen, überwachen. Standardkonfigurationen und Settings vermeiden Technik Einsetzen die Indizien überwacht und meldet Analyse der physikalischen und der digitalen Lieferungen Micro-Demilitarisierte Zonen einsetzen. Doppelte Firewalls einsetzen Scanner einsetzen, aktuell halten Logging sammeln, für laufende Analysieren, und für forensische Analysen falls es mal nötig sein sollte. Daten analysieren und Trends und unübliche Aktionen beobachten (z.B. Start von Programmen zur „Unzeiten“, Start von Programmen die „nicht gelistet sind“… Neue Benutzerkonten, die nicht freigegeben wurden erkennen und sperren Gestartete Prozesse die „nicht gestartet sein sollten", erkennen und genauer anschauen... 4. Exploitation / Ausbeutung (Zugriff erlangen) Der Angriff muss nun eine Schwäche ausnutzen, eine Hardware-, Software-, oder Menschliche Schwäche. Starten des Angriffs aus der Ferne Starten des Angriffs durch ein „Opfer“ eines Köders (Email Anhang, Link klicken…) Möglichkeiten der Verteidigung: Menschliches Verhalten kennen, beobachten, und stärken. Digitale Verteidigungsmöglichkeiten einsetzen. Aufmerksamkeit-Schulungen und Tests nach Schulungen durchführen Secure Coding Ausbildung für Entwickler einsetzen, und prüfen Vulnerability scaning durchführen Penetration Test (Pen Test)... Endpoints stärken / Endpoint hardening (individuell) Administrationsrechte beschränken Ausführungsrechte, und Automatische Startups beschränken / kontrollieren / überwachen Schellcode-, Script- Beschränkungen Digitale Audits, scanns ... 5. Installation / Installation (Festsetzen um einen geheimen Kommunikationskanal zu öffnen) Hier werden normalerweise durch den Angreifer Backdoors geöffnet (Kommunikationskanäle) um sich beim Opfer System einzunisten, und langfristig zu agieren, z.B. Webshell auf Webserver Backdoors auf clients Services hinzufügen, die selbstständig laufen (Autorun, Registry Schlüssel…) Hinzuaddierte Komponenten werden getarnt. Möglichkeiten der Verteidigung: Hier sind digitale Erkennungstools (Detection) essentiell, für Überwachung, Erkennung, Protokollierung und Analyse, z.B. Überwachung von typischen installationspfaden, Services und Registry Analyse von Berechtigungen zur Installation / zum Start von Prozessen (auch temporäre) Überwachung von Filesystemen bezüglich „anlegen abnormaler Dateien“ Zertifikate und Programme überwachen Zeitstempel von Programmen / Dateien / Skripten überwachen (z.B. Installationsdatum / Patch Datum) 6. Command & Control (C2) / Zugriffskontrolle bekommen (Fernkontrolle etablieren) Hier passiert die Kommunikation mit dem Angreifer, um das Opfer System zu verändern, z.B. Zweiwege Kommunikation / Fernkontrolle zur Kommando-Infrastruktur des Angreifers etablieren. Meist über Web, DNS, Emailprotokolle Die Kommandostruktur des Angreifers ist evtl. auf einem anderen „gekapertem und missbrauchten System, oder Netzwerk“ Möglichkeiten der Verteidigung: Hier ist die letzte Möglichkeit der Verteidigung, indem die Kommunikation unterbunden wird. Kennen der erlaubten Kommunikationen Entdecken der „unerlaubten Kommunikation Entdecken der Malware Wege in die Außenwelt limitiert halten, kennen und überwachen Proxies einsetzen, überall wo möglich (http, DNS) Standardkonfigurationen und Settings vermeiden Kreativität einsetzen, Analytische Fähigkeiten trainieren Echtzeitanalyse trainieren Sperrmechanismen trainieren und bereit halten 7. Action on Objectives / Das Ziel des Angriffs erreichen (der Schadensfall ist eingetreten, das Ziel des Angriffs wurde erreicht) Der Angreifer sendet das „Kill“ Kommando. Er/sie drückt auf dem Roten Knopf. Was nun passiert hängt vom Endziel der kriminellen Gegner ab: Benutzer Daten sammeln / klauen / kopieren und rausschicken Berechtigungen fälschen für weitere Schritte, Gehen Sie zurück zu Schritt Nr 4 Weitere interne Erkundungsausflüge unternehmen (*) Aus der gesicherten Position, innerhalb des Netzwerks fortpflanzen. Daten / Informationen zerstören Daten / Informationen verschlüsseln und Opfer erpressen (Ransomware) Evtl. sollte noch ein Schritt 8 hinzugezählt werden, falls es um Geld geht 8. 8. Get the money and run or do it again / Geld kassieren nach der Erpressung Möglichst versteckt, mit Kryptowährungen etc. Die Angreifer freuen sich und die Sektkorken knallen Verteidigung: Einschalten der Polizei / BKA Zahlen oder nicht, wie, wo, wann, womit? Versuchen den Schaden zu begrenzen Scherbenhaufen aufräumen, Kunden, Partner, Reputation, Öffentlichkeit, Behörden Neu beginnen, weiter machen, oder ... Lessons learned: Diese Methodik kann behilflich sein die eigenen Maßnahmen zu hinterfragen, umgesetzte Maßnahmen zu bestätigen, Lücken zu entdecken. Indem dieses Modell selbst hinterfragt wird, hilf es die eigene Strategie und Techniken auf den Prüfstand zu stellen. Wer dieses Modell gemeistert hat, ist im Anschluß daran reif für die Oberklasse, das Studium der Mitre Attack Datenbank, oder NIST Vulnerability Database mit viel mehr Details, vielen Angriffsstrategien , noch viel mehr Taktiken, Techniken und Details. Gehen Sie mal folgendes Gedankenexperiment durch: Der Täter ist schon mittendrin im System, nicht draußen vor der Tür! Was ergibt sich daraus? Wie geht Ihre Organisation im Konkreten Fall vor ? Quellen: a) Lockhead Martin - The Cyber Kill Chain " https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html " b) Mitre Attack Organisation und Datenbank: https://attack.mitre.org/ c) NIST Vulnerability Database (NVD): https://nvd.nist.gov/vuln (*) Nach einer IBM Analyse, betrug die durchschnittliche Verweildauer ca. 9 Monate, bevor es zum final count down kam. Es gibt viele solche Werte, von 50 Tagen, bis 270 Tage, alles erschreckend viel! IBM: In 2022, it took an average of 277 days—about 9 months—to identify and contain a breach. https://www.ibm.com/reports/data-breach Vielen Dank für Ihren Besuch. Sofern Sie das strategische Gespräch suchen, bitte gerne! Ihr Konstantin Ziouras
Weitere Beiträge
Share by: